Текст книги "Организация комплексной системы защиты информации"
Автор книги: Наталия Гришина
сообщить о нарушении
Текущая страница: 7 (всего у книги 12 страниц)
На построение данной модели влияет множество факторов различной природы: специфика задач, решаемых функциональными подразделениями, принципы и методы, выбранные в данной системе управления, технология реализации основных функций, кадровый состав сотрудников, и другие. По своим разновидностям все модели могут быть разделены на следующие группы:
– модели, в которых организационная структура системы управления КСЗИ построена по линейному принципу;
– модели, в которых организационная структура системы управления КСЗИ построена по функциональному принципу;
– модели, в которых организационная структура построена по линейно-функциональному принципу;
– модели, в которых организационная структура построена по матричному типу.
Данная модель формируется с учетом структуры системы управления предприятия, где создается или функционирует КСЗИ, а также с учетом состава основных функций, осуществляемых в системе защиты.
На рис. 21 представлен вариант построения организационной модели.
Рис. 21. Организационная модель КСЗИ
Структурная модель отражает содержание таких компонентов КСЗИ, как кадровый, организационно-правовой и ресурсный. При этом последний компонент представлен основными видами обеспечения: техническое, математическое, программное, информационное, лингвистическое.
Организационно-правовой компонент представляет собой комплекс организационно-технических мероприятий и правовых актов, являющихся основой, регулирующей функционирование основных подсистем КСЗИ. Этот компонент играет связующую роль между кадровым и ресурсным.
Таким образом, рассмотренные модели представляют архитектуру КСЗИ. Они отражают различные стороны проектируемого (анализируемого) объекта и сами образуют систему, как это показано в организационной модели.
7. ТЕХНОЛОГИЧЕСКОЕ ПОСТРОЕНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
7.1. Общее содержание работ
Система защиты информации характеризуется большим числом взаимодействующих между собой средств и многофункциональным характером решаемых с ее помощью задач.
Чтобы такая сложная система эффективно функционировала, необходимо рассмотреть целый комплекс вопросов еще на стадии ее создания.
Для решения сложных проблем (экономических, социальных, политических, научных, технических), стоящих перед обществом, требуется организованная деятельность многих людей. Такая деятельность, осуществляемая в рамках искусственных (т. е. созданных человеком) формирований, называется организационными системами (ОС).
Понятие «организация» относятся к числу ведущих категорий организационной науки. Организация (от лат. organizo – сообщаю, устраиваю) может быть определена как разновидность социальных систем, объединение людей, совместно реализующих некоторую общую цель и действующих на основе определенных принципов и правил. Организация – это элемент общественной системы, самая распространенная форма человеческой общности, первичная ячейка социума. Она не существует без общества, и общество не может существовать без организаций, которые оно ради своего существования и создает. Организация – объект и субъект общества. Но, будучи самостоятельной подсистемой общества, организация имеет специфические потребности, интересы, ценности, предлагает обществу продукты своей деятельности, свои услуги и предъявляет обществу определенные требования.
В значительной мере и индивидуальное, и групповое поведение людей определяется их включенностью в организации. Особенно значима роль организаций в регулировании совместной деятельности людей.
Решение сложных социально-экономических проблем требует скоординированных усилий многих людей и значительных затрат ресурсов. Кроме того, нужны знания (информация), без которых невозможно определить, какие средства и сколько их необходимо выделить для решения проблемы. При наличии необходимых знаний и средств (ресурсов) для решения проблем разрабатывают комплекс мероприятий, реализация которых должна приводить к желаемому результату. В условиях ограниченности знаний и средств на решение проблемы ее разбивают на части (если это возможно) и решают по частям или поэтапно, постепенно приближаясь к цели. Для реализации намеченных мероприятий могут быть подготовлены специальное постановление, приказ, договор либо разрабатывается целевая комплексная программа. Если намеченный комплекс мероприятий невозможно реализовать с помощью указанных средств, для решения проблемы создается организационная система ОС (рис. 22).
Наиболее полное и удачное, на наш взгляд, определение ОС дано П. В. Абдуловым: «Организационной системой называется такая система, структурными элементами которой являются люди, осуществляющие преобразование ресурсов этой системы. Как правило, организационные системы – это сложные многоуровневые системы, состоящие из множества взаимодействующих элементов и подсистем. Характерной особенностью организационной системы, отличающей ее от систем другого типа, например от технических систем, является то, что каждый элемент организационной системы принимает решение по организации действий, т. е. является решающим элементом. Некоторые из них принимают решения по организации только своих собственных действий – это исполнительные элементы. Элементы, принимающие решения по организации не только своих собственных действий, но и действий некоторых других элементов, объединенных или не объединенных в коллективы или организации, – это руководящие элементы системы»[7]7
Абдулов П. В. Введение в теорию принятия решений – М.: ИУНХ, 1977.
[Закрыть].
Рис. 22. Проблема и средства ее решения
Основным элементом любой организационной системы (ОС) являются люди, условно разбиваемые на организаторов и исполнителей. «Работа организаторов есть управление и контроль над исполнением; работа исполнителей – физическое воздействие на объекты труда»[8]8
Богданов А. А. Всеобщая организационная наука (тектология). Часть I
[Закрыть]. Множество исполнителей с их орудиями труда образует объект управления (ОУ), множество организаторов (управленцев) вместе с информацией, техникой, специалистами и обслуживающим персоналом – субъект управления (СУ).
Четкую границу между ОУ и СУ провести невозможно, поскольку исполнительская деятельность немыслима без управленческой, а последняя без исполнительской бессмысленна, однако для целей построения ОС такое разделение является полезным.
С понятием ОС тесно связано понятие «деятельность», так как основная задача ОС заключается в том, чтобы координировать и осуществлять деятельность людей, направленную на решение проблемы. В связи с этим деятельность можно определить как осознанное и направленное на решение проблемы поведение людей.
Понятие «деятельность» будем относить не только к отдельному человеку или группе людей; но и к ОС в целом.
Каждая ОС выполняет множество видов деятельности (основной или обеспечивающей). Для того чтобы скоординировать различные виды деятельности с целью удовлетворения некоторой общественной потребности (проблемы), как правило, требуется установить информационные деловые связи с ОС, осуществляющими эту деятельность. Например, для выпуска автомобилей автозавод должен получать необходимые комплектующие изделия (двигатель, карбюраторы, шины и др.) от поставщиков, с которым он заключает договоры на поставку. Договорные отношения могут дополняться другими видами соглашений между участниками решения проблемы. Однако когда участников (исполнителей) становится много (например, для автомобильных заводов число поставщиков достигает нескольких тысяч) и связи между ними имеют сложный характер, для координации их деятельности недостаточно взаимной информации и доброй воли (хотя это обязательное условие координации), а необходим еще и координатор (или орган Управления), своевременно информируемый обо всех нарушениях и уполномоченный принимать решения, направленные на обеспечение слаженной работы всех исполнительских элементов ОС. Образно говоря, координатора можно сравнить с дирижером оркестра. При этом оркестр может рассматриваться как ОС, дирижер – как СУ, а множество исполнителей – как ОУ. Принципиальная схема ОС приведена на рис. 23.
Рис. 23. Принципиальная схема ОС
Рис. 24. ОС с обеспечивающими подсистемами
Наряду с СУ и ОУ в ОС могут включаться обеспечивающие подсистемы, выполняющие вспомогательную деятельность: снабжение, ремонт, информационное обслуживание, энергообеспечение и др. (рис. 24).
Каждая ОС построена по иерархическому принципу. Наибольшее распространение получили линейная, функциональная, линейно-штабная и программно-целевая (матричная) структуры.
Когда ОС реализована по линейному принципу (рис. 25), каждый исполнитель (И) подчиняется только одному руководителю (Р) по всем вопросам своей деятельности.
Основной недостаток линейных структур – сильная зависимость результатов работы всей ОС от качества решений первого руководителя.
Рис. 25. Линейная структура
В случае функциональной структуры (рис. 26) каждый исполнитель подчиняется нескольким функциональным руководителям (ФР) одновременно, причем каждому по строго определенным вопросам.
Рис. 26. Функциональная структура
При этой структуре руководящие указания более квалифицированны, но нарушается принцип единоначалия.
Рис. 27. Линейно-штабная структура
Система управления может быть построена таким образом, когда в каждом звене управления создаются штабы (советы, отделы, лаборатории), в которых имеются специалисты по отдельным важным вопросам (рис. 27). Штабы (Ш) подготавливают квалифицированные решения, но утверждает и передает их на нижние уровни линейный руководитель.
Програмно-целевая организация ОС, представленная на рис. 28, объединяет в себе особенности всех рассмотренных выше.
Рис. 28. Программно-целевая структура
Опираясь на осмысление закономерностей реальных процессов формирования ОС, а также с учетом традиционных этапов разработки больших систем, можно предложить следующие технологические этапы ОС для наиболее сложного вида проблем (непрограммируемых проблем).
Этап 1. Постановка проблемы, которую требуется решить.
Этап 2. Исследование проблемы: сбор и анализ всех доступных объективных данных и знаний о проблеме и факторах, влияющих на ее решение, формирование банка проблемных знаний, построение и исследование модели проблемы (если проблема допускает модельное представление).
Этап 3. Определение границ (состава) проблемного объекта, т. е. всех потенциальных участников решения проблемы (организаций, коллективов и лиц, от деятельности которых зависит ее решение).
Этап 4. Обследование проблемного объекта. Проводится обследование ОС, входящих в состав проблемного объекта, и выбирается комплекс мер по решению проблемы. На этом этапе формируется план мероприятий (или целевая комплексная программа) по решению проблемы и решается вопрос о целесообразности создания ОС.
Этап 5. Выбор критерия эффективности ОС. На этом этапе начинается собственно разработка будущей ОС. Выбор критерия эффективности системы дает возможность дальнейшем объективно оценивать альтернативные проекты ОС.
Этап 6. Выбор границ (состава) ОУ. Из всех потенциальных участников решения проблемы отбираются те, кто войдет в состав ОУ проектируемой ОС
Этап 7. Обследование ОУ. Проводится углубленное обследование организаций, входящих в состав ОУ, с целью получения данных, необходимых для формирования альтернативных вариантов построения СУ и ОС в целом.
Этап 8. Разработка технического задания на создание ОС. Производятся выбор наиболее эффективного варианта Построения ОС и разработка технического задания.
Этап 9. Техническое и рабочее проектирование ОС.
Этап 10. Внедрение ОС.
Эти этапы не обязательно должны быть строго последовательными. На каждом из них допускается возврат к одному из предыдущих. В зависимости от особенностей проблемы и условий ее решения возможно объединение нескольких этапов в один или пропуск отдельных этапов. Например, если границы ОУ совпадут с границами проблемного объекта, то этап 7 может быть опущен. Этап 3 может быть объединен с этапом 4, этап 6 – с этапом 7 и т. д.
Предлагаемая технологическая схема имеет рекомендательный, а не обязательный, характер и требует в каждом конкретном случае уточнения в зависимости от специфики решаемой проблемы.
Наряду с органами, осуществляющими управление по вертикали, создаются дополнительные органы, призванные обеспечивать управление по горизонтали.
Под проектированием КСЗИ будем понимать процесс разработки и внедрения проекта организационной и функциональной структуры системы защиты, использование возможностей существующих методов и средств защиты с целью обеспечения надежного функционирования объекта (предприятия) в современных условиях.
Поскольку форма производственных отношений всегда соответствует конкретной социально-экономической обстановке, процессы защиты должны рассматриваться с учетом этих условий.
Поскольку процессы защиты находятся во взаимосвязи и взаимодействии, при их исследовании в проектировании обязателен комплексный подход, требующий исследования и учета внешних и внутренних отношений всей совокупности потенциальных угроз.
И наконец, системный подход – это принцип рассмотрения проекта, при котором анализируется система в целом, а не ее отдельные части. Его задачей является оптимизация всей системы в совокупности, а не улучшение эффективности отдельных частей. Это объясняется тем что, как показывает практика, улучшение одних параметров часто приводит к ухудшению других, поэтому необходимо стараться обеспечить баланс противоречивых требований и характеристик.
Для каждой системы должна быть сформулирована цель, к которой она стремится. Эта цель может быть описана как назначение системы, как ее функция. Чем точнее и конкретнее указано назначение или перечислены функции системы, тем быстрее и правильнее можно выбрать лучший вариант ее построения.
Так, например, цель, сформулированная в самом общем виде как обеспечение безопасности объекта, заставит рассматривать варианты создания глобальной системы защиты. Если уточнить ее, определив, например, как обеспечение безопасности информации, передаваемой по каналам связи внутри здания, то круг возможных технических решений существенно сузится.
Следует иметь в виду, что, как правило, глобальная цель достигается через достижение множества менее общих локальных целей (подцелей). Построение такого «дерева целей» значительно облегчает, ускоряет и удешевляет процесс создания системы.
В зависимости от полноты перечня вопросов, подлежащих исследованию, проектные работы представляются в виде разработки комплексного или локального проекта.
Общее – (комплексное) – проектирование организации и технологии всего комплекса или большего числа мероприятий по ЗИ.
При локальном проектировании осуществляется проектирование отдельной подсистемы КСЗИ.
Перечень направлений комплексного проектирования определяется в зависимости от нужд конкретного предприятия и поставленных перед проектом задач и условий. Соответственно, при локальном проектировании круг задач сужается и проект может быть ограничен разработками по одному из направлений. Но локальные проекты должны осуществляться как части комплексного проекта, последовательно реализуемые в ходе работы. Иначе внедрение проекта может привести к отрицательным результатам.
Можно выделить также индивидуальное и типовое проектирование. Индивидуальное представляет собой разработку проекта для какого-нибудь конкретного предприятия, с учетом его специфических особенностей, условий и требований.
Типовые проекты преследуют цель унификации и стандартизации процессов защиты на различных предприятиях.
7.2. Этапы разработки
Наилучшие результаты при создании систем любого уровня сложности достигаются, как правило, тогда, когда этот процесс четко разделяется на отдельные этапы, результаты которых фиксируются, обсуждаются и официально утверждаются. Рекомендуется выделять следующие этапы:
– на предпроектной стадии:
1) разработка технико-экономического обоснования;
2) разработка технического задания;
– на стадии проектирования:
1) разработка технического проекта;
2) разработка рабочего проекта;
– на стадии ввода в эксплуатацию:
1) ввод в действие отдельных элементов системы;
2) комплексная стыковка элементов системы;
3) опытная эксплуатация;
4) приемочные испытания и сдача в эксплуатацию.
Поскольку системы обеспечения безопасности имеют определенную специфику по сравнению с другими системами, содержание некоторых этапов может отличаться о рекомендованного. Тем не менее общая концепция сохраняется неизменной. Рассмотрим последовательность выполняемых работ.
Разработка технико-экономического обоснования. На этом этапе анализируется деятельность объекта, готовятся исходные данные для технико-экономического обоснования (ТЭО) и готовятся ТЭО. Главное на этом этапе обоснование целесообразности и необходимости создания системы защиты, ориентировочный выбор защищаемых каналов, определение объемов и состава работ по созданию системы защиты, сметы и сроков их выполнения.
Технико-экономическое обоснование должно согласовываться со всеми организациями и службами, ответственными за обеспечение безопасности, и утверждаться лицом принимающим решения.
Разработка технического задания. Основная цель этого этапа – разработка и обоснование требований к структуре системы защиты и обеспечение совместимости и взаимодействия всех средств. Главное на этом этапе – сбор подготовка исходных данных, определение состава системы, плана ее создания и оценка затрат. Разработка технического задания начинается после утверждения ТЭО.
Разработка технического проекта. На этом этапе разрабатываются и обосновываются все проектные решения. Разработан и обоснован выбранный вариант проекта; уточнены перечни технических средств, порядок и сроки их поставки. В техническом проекте могут рассматриваться 2–3 варианта решения поставленной задачи по созданию системы защиты. Все варианты должны сопровождаться расчетом эффективности, на основе которого могут быть сделаны выводы о рациональном варианте.
При создании системы защиты небольшого или простого объекта этап технического проектирования может быть исключен.
Разработка рабочего проекта имеет своей целью детализировать проектные решения, принятые на предыдущем этапе. В частности:
– определяется и фиксируется регламент взаимодействия отдельных служб и составляющих системы обеспечения безопасности;
– составляются технологические и должностные инструкции персонала;
– разрабатывается рабочая документация.
В состав рабочей документации входят: спецификация оборудования и материалов, схемы размещения технических средств системы защиты (охранно-пожарной сигнализации, охранного телевидения, охранного освещения и т. п.), схемы прокладки кабельной связи системы защиты, схемы прокладки электропитания системы защиты.
Каждая система защиты уникальна, поэтому документация, как правило, строго индивидуальна и зависит не только от типа и размера объекта защиты, но и от возможностей и опыта заказчика, который будет ее эксплуатировать.
Поскольку документация содержит конфиденциальные сведения, круг лиц, допущенных к ознакомлению и работе с ней, должен быть ограничен.
Ввод в эксплуатацию – это стадия создания системы защиты, состоящая из нескольких этапов (см. выше). На практике при создании систем защиты границы между этими этапами размыты. Состав выполняемых работ следующий:
– комплектация технического обеспечения системы;
– монтажные или строительно-монтажные работы и пуско-наладочные работы;
– обучение персонала (предварительно должны быть укомплектованы все службы системы обеспечения безопасности с учетом требуемой квалификации);
– опытная эксплуатация компонентов и системы в целом;
– приемочные испытания и приемка системы в эксплуатацию.
Все эти работы начинаются только после утверждения всех документов и выделения финансовых средств. Разработчик системы защиты проводит техническое и коммерческое сравнение всех предложений от конкурирующих фирм-изготовителей защитного оборудования, после чего выбирает поставщика, заключает договор на поставку оборудования и оплачивает его.
При получении оборудования желательно сразу проводить его проверку на соответствие сопроводительным документам и техническим условиям, а также (если это возможно) проверку работоспособности в условиях эксплуатации.
Все работы по монтажу и отладке системы защиты должны выполнять специалисты. Силами заказчика можно выполнять только специфические и небольшие по трудозатратам работы такие, как, например установка скрытого теленаблюдения, перенос датчиков охранной сигнализации, ремонт системы радиосвязи и т. п.
Желательно, чтобы в монтаже и настройке защитных систем участвовали те сотрудники службы охраны объекта, которые будут их эксплуатировать.
После окончания работ и испытаний необходимо уточнить все вопросы гарантийного и послегарантийного обслуживания системы защиты.
В разработке системы могут принимать участие несколько групп разработчиков, каждая из которых объединяет специалистов определенного профиля. Так, например, в разработке проектных решений в зависимости от стадии проектирования, особенностей объекта и видов защиты могут участвовать специалисты по охранно-пожарной сигнализации и охранному телевидению, системам связи и коммуникациям, общестроительным и монтажным работам и т. п. Поэтому важнейшая задача организации создания системы безопасности состоит в четком распределении функций и в согласовании выполняемых работ. Практика показывает, что основной причиной плохих разработок является отсутствие единого руководства, единого координационного плана и неудовлетворительная организация контроля и управления ходом разработки со стороны заказчика.
7.3. Факторы, влияющие на выбор состава КСЗИ
Идеология разрабатываемой системы, стратегические вопросы ее функционирования должны быть согласованы и утверждены высшим руководством заказчика.
Создание у заказчика группы, задачей которой является осуществление контакта с разработчиками, курирование разработки, утверждение и оперативная корректировка планов работы, выделяемых финансовых ресурсов являются крайне необходимыми условиями. Без создания такой группы, обладающей достаточным авторитетом и необходимыми полномочиями, разработка системы заранее обречена на неудачу. Но и при наличии такой группы результат будет неудовлетворительным, если ее руководитель не является квалифицированным и полномочным представители заказчика.
На предпроектной стадии выполняется важнейшая работа: изучается объект защиты. Ошибки, допущенные в ходе этой работы, могут существенно снизить эффективность создаваемой системы защиты, и, наоборот, тщательно проведенное обследование позволит сократить затраты на внедрение и эксплуатацию системы.
Изучение объекта защиты сводится к сбору и анализу следующей информации:
1) об организации процесса функционирования объекта. В состав этих данных входят сведения, характеризующие:
– график работы объекта и его отдельных подразделений;
– правила и процедуры доступа на объект, в отдельные помещения и к оборудованию персонала и посетителей (регулярный, случайный, ограниченный доступ);
– численность и состав сотрудников и посетителей объекта (постоянный штат, персонал, работающий по контракту, клиенты);
– процедуру доступа на территорию транспортных средств.
Для получения этих данных можно применять следующие способы: анкетирование сотрудников; опрос сотрудников; личное наблюдение; изучение директивных и инструктивных документов. Следует иметь в виду, что ни один из этих способов не дает объективной информации: каждый имеет свои достоинства и недостатки. Поэтому их применяют вместе, в совокупности;
2) об организации транспортных и информационных потоков. В состав этих данных входят сведения, характеризующие:
– пути и организацию транспортировки и хранения материальных ценностей на территории объекта;
– уровни конфиденциальности информации, пути и способы ее обработки и транспортировки (документы, телефонная и радиосвязь и т. п.);
3) об условиях функционирования объекта. В состав этих данных входят сведения, характеризующие:
– пространство, непосредственно прилегающее к территории объекта;
– ограждение периметра территории и проходы;
– инженерные коммуникации, подземные хранилище и сооружения на территории;
– размещение подразделений и сотрудников по отдельным помещениям (с поэтажными планами);
– инженерные коммуникации в помещениях;
– состояние подвальных и чердачных помещений;
– размещение, конструкции и состояние входов, дверей, окон;
– существующую систему защиты;
– состав и настроение населения, экономические факторы и криминогенную обстановку на прилегающей территории.
На основе результатов анализа всех перечисленных сведений должны быть определены: назначение и основные функции системы защиты; основные виды возможных угроз и субъекты угроз; внешняя среда; условия функционирования системы защиты (наличие энергетических и других ресурсов, естественные преграды и т. п.).
Эти данные рекомендуется систематизировать в виде пояснительной записки, структурных схем и планов.
Целесообразно иметь следующие планы:
1) план территории объекта с указанием расположения всех зданий и других наземных сооружений; подземных сооружений; всех коммуникаций и мест их выхода за территорию объекта; всех ограждений, в том числе по периметру территории объекта, с обозначением их технического состояния на момент обследования; средств защиты (существующей системы, если она имеется);
2) поэтажные планы, где должно быть указано расположение всех помещений с обозначением дверных и оконных проемов, внутренних и наружных (пожарных) лестниц, толщины материала стен и существующих средств защиты; всех коммуникаций с обозначением коммуникационных шкафов и других мест санкционированного доступа к каналам связи и жизнеобеспечения;
3) планы помещений с указанием мест размещения оборудования и других технических средств (телефонов, персональных ЭВМ, принтеров и т. д.); расположения коммуникаций и мест размещения коммутационного оборудования (коробки, розетки и т. п.); функционального назначения и степени конфиденциальности получаемой и обрабатываемой информации; особенностей технологического процесса (для производственных помещений), важных с точки зрения обеспечения безопасности.
На основе этих планов целесообразно подготовить структурные схемы:
– ограждения каждого помещения, указав на ней (схематично) все стены и другие инженерно-технические сооружения, окружающие помещение. Эта схема позволит оценить возможности эшелонирования защиты, выработать рекомендации по рубежам защиты, выбрать и определить зоны безопасности и оценить «прочность» рубежей;
– документооборота (для документов с ограниченным доступом), указав источник и приемники документа; его связи с другими документами; способ подготовки (ручной, машинный); способ транспортировки (с курьером, по телефону, по факсу, по компьютерной сети и т. п.); место хранения; для описания документооборота можно использовать специально разработанные формы.
Каждое предприятие уникально. Поэтому и система защиты конкретного предприятия тоже уникальна. Тем не менее, можно перечислить основные параметры предприятия и показать, каким образом они могут оказывать влияние на разрабатываемую комплексную систему защиты информации:
– характер деятельности предприятия оказывает влияние на организационно-функциональную структуру КСЗИ, ее состав; состав и структуру кадров СЗИ, численность и квалификацию ее сотрудников; техническое обеспечение КСЗИ средствами защиты; количество и характер мер и мероприятий по ЗИ; цели и задачи КСЗИ;
– состав защищаемой информации, ее объем, способы представления и отображения, технологии обработки: состав и структуру СЗИ; организационные мероприятия по ЗИ; состав технических средств защиты, их объем; состав нормативно-правового обеспечения КСЗИ; методы и способы ЗИ; объем материальных затрат на ЗИ;
– численный состав и структура кадров предприятия: численный состав сотрудников СЗИ; организационную структуру СЗИ; объем затрат на ЗИ; техническую оснащенность КПП; объем организационных мероприятий по ЗИ;
– организационная структура предприятия: организационную структуру КСЗИ; количество и состав сотрудников СЗИ;
– техническая оснащенность предприятия: объем и состав технических средств ЗИ; количество и квалификацию технического персонала СЗИ; методы и способы ЗИ; размер материальных затрат на ЗИ;
– нормативно-правовое обеспечение деятельности предприятия влияет на формирование нормативно-правовой базы КСЗИ; регулирует деятельность СЗИ; влияет на создание дополнительных нормативно-методических и организационно-правовых документов СЗИ;
– экономическое состояние предприятия (кредиты, инвестиции, ресурсы, возможности) определяет объем материальных затрат на ЗИ; количество и состав сотрудников и квалифицированных специалистов СЗИ; уровень технической оснащенности СЗИ средствами защиты; методы и способы ЗИ;
– режим работы предприятия влияет на режим функциональности КСЗИ, всех ее составляющих; состав технических средств ЗИ; объем затрат на ЗИ; численность персонала СЗИ;
– местоположение и архитектурные особенности предприятия: состав и структуру СЗИ; состав технических средств ЗИ; объем материальных затрат на ЗИ; численный состав и квалификацию сотрудников СЗИ;
– тип производства: организационно-функциональную структуру СЗИ;
– объем производства: размеры материальных затрат на ЗИ; объем технических средств защиты; численность сотрудников СЗИ;
– форма собственности влияет на объем затрат на ЗИ (например, на некоторых государственных предприятиях затраты на защиту информации (СЗИ) могут превышать стоимость самой информации); методы и способы ЗИ.
Организация КСЗИ на каждом конкретном предприятии зависит от параметров рассмотренных характеристик данного предприятия. Эти характеристики определяют Цели и задачи КСЗИ, объем ее материального обеспечения, состав и структуру КСЗИ, состав технических средств защиты, численность и квалификацию сотрудников СЗИ и т. д. Однако степень воздействия различных характеристик предприятия на организацию КСЗИ различна. Из числа наиболее влиятельных можно выделить следующие:
– характер деятельности предприятия;
– состав защищаемой информации, ее объем, способы представления и отображения;
– численный состав и структура кадров предприятия;
– техническая оснащенность предприятия;
– экономическое состояние предприятия;
– организационная структура предприятия;
– нормативно-правовое обеспечение деятельности предприятия.
В меньшей степени на организацию КСЗИ на предприятии могут влиять:
