1. Перечень функций, предназначенных для непосредственного обеспечения защиты информации;
2. Перечень функций для управления механизмами непосредственной защиты;
3. Общее содержание функций, т. е. перечень их взаимосвязей, основных процедур КСЗИ;
4. Классификация функций, т. е. распределение их по функциональным подразделениям КСЗИ.
Функциональная модель включает в себя 2 вида функций:
1. Функции для непосредственного обеспечения защиты информации, а именно:
1.1. Предупреждение условия, порождающих дестабилизирующие факторы;
1.2. Предупреждение появления дестабилизирующих факторов;
1.3. Обнаружение проявления дестабилизирующих факторов;
1.4. Предупреждение воздействия дестабилизирующих факторов;
1.5. Обнаружение воздействия дестабилизирующих факторов;
1.6. Локализация воздействия дестабилизирующих Факторов;
1.7. Ликвидация последствия воздействия дестабилизирующих факторов;
2. Функции для управления механизмом непосредственной защиты:
2.1. Планирование;
2.2. Оперативно-диспетчерское управление;
2.3. Календарно-плановое руководство;
2.4. Обеспечение повседневной деятельности.
Информационная модель. Информационная модель отражает структуру, содержание, объем и направление циркуляции тех информационных потоков, которые необходимы для решения всех задач предприятия и КСЗИ.
Особенность информационной модели КСЗИ в том, что система защиты информации предприятия организуется с целью защиты информации в тех потоках, которые циркулируют как в процессе функционирования всего предприятия, так и в процессе функционирования КСЗИ.
Составными компонентами информационной модели являются:
1. Тип информационного потока по функциональному назначению;
2. Вид информации, циркулирующей в потоке;
3. Этапы циркуляции потока;
4. Схема циркуляции информации каждого вида;
5. Количественные характеристики потоков каждого вида.
В информационной модели циркулирует несколько видов информации:
1) корреспонденция;
2) техническая документация;
3) периодика (журналы и проч.);
4) книги;
5) фактографическая быстроменяющаяся информация;
6) фактографическая медленноменяющаяся информация (исходная и регламентная);
7) фактографическая постоянная информация.
Информация циркулирует в информационной модели в несколько этапов:
1 этап: генерирование информации;
2 этап: ввод в систему обработки;
3 этап: передача информации;
4 этап: прием, хранение, накопление информации;
5 этап: поиск информации;
6 этап: функциональная переработка информации;
7 этап: выдача информации для использования.
Организационная модель КСЗИ показывает состав, взаимосвязь и подчиненность в управленческой иерархии подразделений, входящих в состав комплексной системы защиты информации.
На построение данной модели влияет множество факторов различной природы: специфика задач, решаемых функциональными подразделениями, принципы и методы, выбранные в данной системе управления, технология реализации основных функций, кадровый состав сотрудников, и другие. По своим разновидностям все модели могут быть разделены на следующие группы:
— модели, в которых организационная структура системы управления КСЗИ построена по линейному принципу;
— модели, в которых организационная структура системы управления КСЗИ построена по функциональному принципу;
— модели, в которых организационная структура построена по линейно-функциональному принципу;
— модели, в которых организационная структура построена по матричному типу.
Данная модель формируется с учетом структуры системы управления предприятия, где создается или функционирует КСЗИ, а также с учетом состава основных функций, осуществляемых в системе защиты.
На рис. 21 представлен вариант построения организационной модели.
Рис. 21. Организационная модель КСЗИ
Структурная модель отражает содержание таких компонентов КСЗИ, как кадровый, организационно-правовой и ресурсный. При этом последний компонент представлен основными видами обеспечения: техническое, математическое, программное, информационное, лингвистическое.
Организационно-правовой компонент представляет собой комплекс организационно-технических мероприятий и правовых актов, являющихся основой, регулирующей функционирование основных подсистем КСЗИ. Этот компонент играет связующую роль между кадровым и ресурсным.
Таким образом, рассмотренные модели представляют архитектуру КСЗИ. Они отражают различные стороны проектируемого (анализируемого) объекта и сами образуют систему, как это показано в организационной модели.
7. ТЕХНОЛОГИЧЕСКОЕ ПОСТРОЕНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
7.1. Общее содержание работ
Система защиты информации характеризуется большим числом взаимодействующих между собой средств и многофункциональным характером решаемых с ее помощью задач.
Чтобы такая сложная система эффективно функционировала, необходимо рассмотреть целый комплекс вопросов еще на стадии ее создания.
Для решения сложных проблем (экономических, социальных, политических, научных, технических), стоящих перед обществом, требуется организованная деятельность многих людей. Такая деятельность, осуществляемая в рамках искусственных (т. е. созданных человеком) формирований, называется организационными системами (ОС).
Понятие «организация» относятся к числу ведущих категорий организационной науки. Организация (от лат. organizo — сообщаю, устраиваю) может быть определена как разновидность социальных систем, объединение людей, совместно реализующих некоторую общую цель и действующих на основе определенных принципов и правил. Организация — это элемент общественной системы, самая распространенная форма человеческой общности, первичная ячейка социума. Она не существует без общества, и общество не может существовать без организаций, которые оно ради своего существования и создает. Организация — объект и субъект общества. Но, будучи самостоятельной подсистемой общества, организация имеет специфические потребности, интересы, ценности, предлагает обществу продукты своей деятельности, свои услуги и предъявляет обществу определенные требования.
В значительной мере и индивидуальное, и групповое поведение людей определяется их включенностью в организации. Особенно значима роль организаций в регулировании совместной деятельности людей.
Решение сложных социально-экономических проблем требует скоординированных усилий многих людей и значительных затрат ресурсов. Кроме того, нужны знания (информация), без которых невозможно определить, какие средства и сколько их необходимо выделить для решения проблемы. При наличии необходимых знаний и средств (ресурсов) для решения проблем разрабатывают комплекс мероприятий, реализация которых должна приводить к желаемому результату. В условиях ограниченности знаний и средств на решение проблемы ее разбивают на части (если это возможно) и решают по частям или поэтапно, постепенно приближаясь к цели. Для реализации намеченных мероприятий могут быть подготовлены специальное постановление, приказ, договор либо разрабатывается целевая комплексная программа. Если намеченный комплекс мероприятий невозможно реализовать с помощью указанных средств, для решения проблемы создается организационная система ОС (рис. 22).
Наиболее полное и удачное, на наш взгляд, определение ОС дано П. В. Абдуловым: «Организационной системой называется такая система, структурными элементами которой являются люди, осуществляющие преобразование ресурсов этой системы. Как правило, организационные системы — это сложные многоуровневые системы, состоящие из множества взаимодействующих элементов и подсистем. Характерной особенностью организационной системы, отличающей ее от систем другого типа, например от технических систем, является то, что каждый элемент организационной системы принимает решение по организации действий, т. е. является решающим элементом. Некоторые из них принимают решения по организации только своих собственных действий — это исполнительные элементы. Элементы, принимающие решения по организации не только своих собственных действий, но и действий некоторых других элементов, объединенных или не объединенных в коллективы или организации, — это руководящие элементы системы»[7].