Наталия Гришина - Организация комплексной системы защиты информации

— в обеспечении всеохватности защиты информации.

Исходя из этого, можно сформулировать следующее определение:

«Комплексная система защиты информации — система, полно и всесторонне охватывающая все предметы, процессы и факторы, которые обеспечивают безопасность всей защищаемой информации» [2] Алексенцев A. И. Понятие и назначение комплексной системы защиты информации // Вопросы защиты информации. — 1996. — № 2. .

При построении любой системы необходимо определить принципы, в соответствии с которыми она будет построена. КСЗИ — сложная система, функционирующая, как правило, в условиях неопределенности, требующая значительных материальных затрат. Поэтому определение основных принципов КСЗИ позволит определить основные подходы к ее построению.

Принцип законности заключается в соответствии принимаемых мер законодательству РФ о защите информации, а в случае отсутствия соответствующих законов — другим государственным нормативным документам по защите.

В соответствии с принципом полноты защищаемой информации защите подлежит не только информация, составляющая государственную, коммерческую или служебную тайну, но и та часть несекретной информации, утрата которой может нанести ущерб ее собственнику либо владельцу. Реализация этого принципа позволяет обеспечить и охрану интеллектуальной собственности.

Принцип обоснованности защиты информации заключается в установлении путем экспертной оценки целесообразности засекречивания и защиты той или другой информации, вероятных экономических и других последствий такой защиты исходя из баланса жизненно важных интересов государства, общества и граждан. Это, в свою очередь, позволяет расходовать средства на защиту только той информации, утрата или утечка которой может нанести действительный ущерб ее владельцу.

Принцип создания специализированных подразделений по защите информации заключается в том, что такие подразделения являются непременным условием организации комплексной защиты, поскольку только специализированные службы способны должным образом разрабатывать и внедрять защитные мероприятия и осуществлять контроль за их выполнением.

Принцип участия в защите информации всех соприкасающихся с нею лиц исходит из того, что защита информации является служебной обязанностью каждого лица, имеющего по роду выполняемой работы отношение к защищаемой информации, и такое участие дает возможность повысить качество защиты.

Принцип персональной ответственности за защиту информации требует, чтобы каждое лицо персонально отвечало за сохранность и неразглашение вверенной ему защищаемой информации, а за утрату или распространение такой информации оно несет уголовную, административную или иную ответственность.

Принцип наличия и использования всех необходимых правил и средств для защиты заключается в том, что КСЗИ требует, с одной стороны, участия в ней руководства предприятия и специальной службы защиты информации и всех исполнителей, работающих с защищаемой информацией, с другой стороны, использования различных организационных форм и методов защиты, с третьей стороны, наличие необходимых материально-технических ресурсов, включая технические средства защиты.

Принцип превентивности принимаемых мер по защите информации предполагает априорное опережающее заблаговременное принятие мер по защите до начала разработки или получения информации. Из этого принципа вытекает, в частности, необходимость разработки защищенных информационных технологий.

Среди рассмотренных принципов едва ли можно выделить более, или менее важные. А при построении КСЗИ важно использовать их в совокупности.

Осознание необходимости разработки стратегических подходов к защите формировалось по мере осознания важности, многоаспектности и трудности защиты и невозможности эффективного ее осуществления простым использованием некоторого набора средств защиты.

Под стратегией вообще понимается общая направленность в организации соответствующей деятельности, разрабатываемая с учетом объективных потребностей в данном виде деятельности, потенциально возможных условий ее осуществления и возможностей организации.

Известный канадский специалист в области стратегического управления Г. Минцберг [3] Минцберг Г. Стратегический процесс. Концепции, проблемы, решения. — СПб.: Питер, 2001. предложил определение стратегии в рамках системы «5-Р». По его мнению, она включает:

1) план (Plan) — заранее намеченные в деталях и контролируемые действия на определенный срок, преследующие конкретные цели;

2) прием, или тактический ход (Ploy), представляющий собой кратковременную стратегию, имеющую ограниченные цели, могущую меняться, маневр с целью обыграть противника;

3) модель поведения (Patten of behaviour) — часто спонтанного, неосознанного, не имеющего конкретных целей;

4) позицию по отношению к другим (Position in respect to others);

5) перспективу (Perspective).

Задача стратегии состоит в создании конкурентного преимущества, устранении негативного эффекта нестабильности окружающей среды, обеспечении доходности, уравновешении внешних требований и внутренних возможностей. Через ее призму рассматриваются все деловые ситуации, с которыми организация сталкивается в повседневной жизни.

Способность компании проводить самостоятельную стратегию во всех областях делает ее более гибкой, устойчивой, позволяет адаптироваться к требованиям времени и обстоятельствам.

Стратегия формируется под воздействием внутренней и внешней среды, постоянно развивается, ибо всегда возникает что-то новое, на что нужно реагировать.

Факторы, которые могут иметь для фирмы решающее значение в будущем, называются стратегическими. По мнению одного из ведущих западных специалистов Б. Карлофа, они, влияя на стратегию любой организации, придают и специфические свойства. К таким факторам относятся:

1) миссия, отражающая философию фирмы, ее предназначение. При пересмотре миссии, происходящем в результате изменения общественных приоритетов;

2) конкурентные преимущества, которыми организация обладает в своей сфере деятельности по сравнению с соперниками или к которым стремится (считается, что они оказывают на стратегию наибольшее влияние). Конкурентные преимущества любого типа обеспечивают более высокую эффективность использования ресурсов предприятия;

3) характер выпускаемой продукции, особенности ее сбыта, послепродажного обслуживания, рынки и их границы;