Информационная безопасность / Eremenko - Sistemy zashchity informatsii 2016
.pdfАнализируя признаки организационно-технических систем, можно сделать вывод о том, что комплексные системы защиты информации представляют собой разновидность систем такого класса.
Б
Рис. 5. Программно-целевая структура
Анализ подходов к проектированию организационно-техни-
ческих систем. Опираясь на осмысление закономерностей реальных процессов формирования ОТС, а также с учетом традиционных этапов разработки сложных систем рассмотрим и проанализируем алгоритм проектирования ОТС [17]:
Этап 1. Постановка проблемы, которую требуется решить. Этап 2. Исследование проблемы: сбор и анализ всех доступных
объективных данных и знаний о проблеме и факторах, влияющих на ее решение, формирование банка проблемных знаний, построение и исследование модели проблемы (если проблема допускает модельное представление).
Этап 3. Определение границ (состава) проблемного объекта,
т. е. всех потенциальных участников решения проблемы (организации, коллективы и лица, от деятельности которых зависит ее решение).
Этап 4. Обследование проблемного объекта. Проводится обсле-
дование ОТС, входящих в состав проблемного объекта, и выбирается комплекс мер по решению проблемы. На этом этапе формируется план мероприятий (или целевая комплексная программа) по решению проблемы и решается вопрос о целесообразности создания ОТС.
11
Этап 5. Выбор критерия эффективности ОТС. На данном этапе начинается собственно разработка будущей ОТС. Выбор критерия эффективности системы дает возможность в дальнейшем объективно оценивать альтернативные проекты ОС.
Этап 6. Выбор границ (состава) объекта управления (ОУ). Из всех потенциальных участников решения проблемы отбираются те, кто войдет в состав ОУ проектируемой ОТС.
Этап 7. Обследование ОУ. Проводится углубленное обследование организаций, входящих в состав ОУ, с целью получения данных, необходимых для формирования альтернативных вариантов построения СУ и ОТС в целом.
Этап 8. Разработка технического задания на создание ОТС. Вы-
бирается наиболее эффективный вариант построения ОТС и разрабатывается техническое задание.
Этап 9. Техническое и рабочее проектирование ОТС.
Этап 10. Внедрение ОТС.
Эти этапы не обязательно должны быть строго последовательными. На каждом из них допускается возврат к одному из предыдущих. В зависимости от особенностей проблемы и условий ее решения возможно объединение нескольких этапов в один или пропуск отдельных этапов. Так, если границы ОУ совпадут с границами проблемного объекта, то этап 7 может быть опущен. Этап 3 может быть объединен с этапом 4, этап 6 – с этапом 7 и т.д.
Предлагаемая технологическая схема имеет рекомендательный, а не обязательный характер и требует в каждом конкретном случае уточнения в зависимости от специфики решаемой проблемы.
Наряду с органами, осуществляющими управление по вертикали, создаются дополнительные органы, призванные обеспечивать управление по горизонтали.
Под проектированием ОТС понимается процесс разработки и внедрения проекта организационной и функциональной структуры системы, использование возможностей существующих технических методов и средств с целью обеспечения надежного функционирования объекта (предприятия) в современных условиях [17]. Так как форма производственных отношений всегда соответствует конкретной социально-экономической обстановке, процессы ОТС должны рассматриваться с учетом этих условий.
Поскольку процессы любой ОТС находятся во взаимосвязи и взаимодействии, при их исследовании в проектировании обязателен
12
комплексный подход, требующий исследования и учета внешних и внутренних отношений всей совокупности потенциальных угроз. И наконец, ориентация на системный подход – это принцип рассмотрения проекта, при котором анализируется система в целом, а не ее отдельные части. Его задачей является оптимизация всей системы в совокупности, а не улучшение эффективности отдельных частей. Это объясняется тем, что, как показывает практика, улучшение одних параметров часто приводит к ухудшению других, поэтому необходимо стараться обеспечить баланс противоречивых требований и характеристик.
Для каждой системы должна быть сформулирована цель, к которой она стремится. Эта цель может быть описана как назначение системы и как ее функция. Чем точнее и конкретнее указано назначение или перечислены функции системы, тем быстрее и правильнее можно выбрать лучший вариант ее построения.
Следует иметь в виду, что, как правило, глобальная цель достигается через осуществление множества локальных целей (подцелей). Построение такого «дерева целей» значительно облегчает, ускоряет и удешевляет процесс создания системы. В зависимости от полноты перечня вопросов, подлежащих исследованию, проектные работы представляются в виде разработки комплексного или локального проекта [15].
Комплексное проектирование организации и технологии всего комплекса ОТС при локальном проектировании выполняется путем разработки отдельных подсистем ОТС. Перечень направлений комплексного проектирования определяется в зависимости от нужд конкретного предприятия и поставленных перед проектом задач и условий. Соответственно при локальном проектировании круг задач сужается, и проект может быть ограничен разработками по одному из направлений. Но локальные проекты должны осуществляться как части комплексного проекта, последовательно реализуемые в ходе работы. Иначе внедрение проекта может привести к отрицательным результатам.
Можно выделить также индивидуальное и типовое проектирование. Индивидуальное представляет собой разработку проекта для ка- кого-нибудь конкретного предприятия, с учетом его специфических особенностей, условий и требований. Типовые проекты преследуют цель унификации и стандартизации ОТС на различных предприятиях.
13
Наилучшие результаты при создании ОТС любого уровня сложности достигаются, как правило, когда этот процесс четко разделяется на отдельные этапы, результаты которых фиксируются, обсуждаются и официально утверждаются. Рекомендуется выделять следующие этапы [17]:
- на предпроектной стадии:
1)разработка технико-экономического обоснования;
2)разработка технического задания;
- на стадии проектирования:
3)разработка технического проекта;
4)разработка рабочего проекта;
- на стадии ввода в эксплуатацию:
5)ввод в действие отдельных элементов системы;
6)комплексная стыковка элементов системы;
7)опытная эксплуатация;
8)приемочные испытания и сдача в эксплуатацию;
9)определение специфики по сравнению с другими системами, содержащими некоторые этапы, отличающиеся от рекомендованных, тем не менее общая концепция сохраняется неизменной.
Разработка технико-экономического обоснования [17]. На этом этапе анализируется деятельность объекта, готовятся исходные данные для технико-экономического обоснования (ТЭО) и составляется ТЭО. Главное – обоснование целесообразности и необходимости создания ОТС, определение объемов и состава работ, сметы и сроков их выполнения.
Технико-экономическое обоснование должно согласовываться со всеми организациями и службами, ответственными за обеспечение безопасности, и утверждаться лицом, принимающим решения.
Разработка технического задания. Основная цель этапа – разра-
ботка и обоснование требований к структуре ОТС, обеспечение совместимости и взаимодействия всех средств. Главное на данном этапе – сбор и подготовка исходных данных, определение состава ОТС, плана ее создания и оценка затрат. Разработка технического задания начинается после утверждения ТЭО.
Разработка технического проекта. Разрабатываются и обосно-
вываются все проектные решения: выбран вариант проекта; уточнены перечни технических средств, порядок и сроки их поставки. В техническом проекте могут рассматриваться два-три варианта решения по-
14
ставленной задачи по созданию системы защиты. Все варианты должны сопровождаться расчетом эффективности, на основе которого могут быть сделаны выводы о рациональном варианте.
При создании ОТС небольшого или простого объекта этап технического проектирования может быть исключен.
Разработка рабочего проекта. Цель этапа – детализировать проектные решения, принятые на предыдущем этапе. В частности:
-определяется и фиксируется регламент взаимодействия отдельных служб и составляющих системы обеспечения безопасности;
-составляются технологические и должностные инструкции персонала;
-разрабатывается рабочая документация.
В состав рабочей документации входят спецификация оборудования и материалов, схемы размещения технических средств системы защиты (охранно-пожарная сигнализация, охранное телевидение, охранное освещение и т. п.), схемы прокладки кабельной связи и электропитания системы защиты.
Каждая ОТС уникальна, поэтому документация, как правило, строго индивидуальна и зависит не только от типа и размера объекта защиты, но и от возможностей и опыта заказчика, который будет ее эксплуатировать.
Поскольку документация содержит конфиденциальные сведения, круг лиц, допущенных к ознакомлению и работе с ней, должен быть ограничен.
Ввод в эксплуатацию. Эта стадия создания ОТС состоит из ряда этапов. На практике при создании систем защиты границы между этими этапами размыты. Состав выполняемых работ – следую-
щий [17]:
-комплектация технического обеспечения системы;
-проведение монтажных или строительно-монтажных работ
ипусконаладочных работ;
-обучение персонала;
-опытная эксплуатация компонентов и ОТС в целом;
-приемочные испытания и приемка системы в эксплуатацию.
Все эти работы начинаются только после утверждения всех документов и выделения финансовых средств. Разработчик ОТС проводит техническое и коммерческое сравнение всех предложений от конкурирующих фирм – изготовителей защитного оборудования, после чего выбирает поставщика, заключает договор на поставку оборудования и оплачивает его.
15
При получении оборудования желательно сразу проводить его проверку на соответствие сопроводительным документам и техническим условиям, а также (если это возможно) проверку работоспособности в условиях эксплуатации.
Все работы по монтажу и отладке системы защиты должны выполнять специалисты. Силами заказчика можно производить только специфические и небольшие по трудозатратам работы, такие как: установка скрытого теленаблюдения, перенос датчиков охранной сигнализации, ремонт системы радиосвязи и т. п.
После окончания работ и испытаний ОТС необходимо решить все вопросы гарантийного и послегарантийного облуживания разработанной системы.
1.2.Характеристика видов обеспечения процесса автоматизированного проектирования организационных систем
САПР организационно-технических систем – это одна из разновидностей автоматизированных систем (АС), и для ее разработки следует руководствоваться существующими нормативными документами, регламентирующими основные стадии и этапы создания АС, при этом учитывая и особенности самой ОТС [32].
Важным направлением интенсификации производственных процессов является автоматизация проектных работ различного характера путем создания и использования специализированных систем автоматизированного проектирования. Различают САПР: изделий машино- и приборостроения; технологических процессов в машино-
иприборостроении; объектов строительства; организационных систем. Наименее разработана САПР организационных систем. Это объясняется как чрезвычайной сложностью и разнообразием объема автоматизации производственных систем, отсутствием теоретических
иметодических разработок, так и недостаточным вниманием к данной проблеме руководителей предприятий.
Необходимость повышения качества разработки организационных проектов, сокращения затрат и сроков проектирования требует создания специализированной системы автоматизированного проектирования ОТС (САПР ОТС). Основная цель создания САПР ОТС – разработка наиболее экономичного варианта организации производ-
16
ства, труда и управления производственных систем, обеспечивающего получение максимального хозрасчетного дохода. Применение электронной вычислительной техники в организационном проектировании создает возможности для ускорения обработки большого объема информации и подготовки различных вариантов проектных решений. Использование режима активного диалога проектировщика с ЭВМ позволяет ему принимать все принципиальные решения. САПР ОТС может входить в качестве подсистемы в интегрированную автоматизированную систему управления предприятием (ИАСУП) и взаимодействовать с другими подсистемами: АСНИ, САПР конструкций, САПР технологии, АСТПП, АСУП и т.д.
Архитектура САПР ОТС [29]. Любая САПР представляет собой организационно-техническую систему, объединяющую действия коллектива людей и комплекса технических средств по автоматизированному проектированию и организованную оптимальным образом в проектное подразделение. В САПР ОТС выделяют проектирующие, обслуживающие подсистемы и подсистемы обеспечения.
К проектирующим относятся подсистемы, в которых выполняются проектные процедуры и операции по разработке элементов ОТС. В их число входят подсистемы обследования и анализа состояния организации производства, разработки организационных моделей, проектирования отдельных элементов организации производства, разработки и комплексирования организационных модулей и блоков и др. Под обслуживающими понимают подсистемы, обеспечивающие функционирование проектирующих подсистем (например, подсистемы графического отображения информации, информационно-поиско- вой, формирования организационной документации).
В САПР ОТС входят следующие виды обеспечения: методическое, лингвистическое, математическое, программное, техническое, информационное, организационное. Методическое обеспечение САПР ОТС – это совокупность документов, устанавливающих состав, правила отбора и эксплуатации средств обеспечения автоматизированного проектирования.
Организационное обеспечение САПР ОТС – совокупность поло-
жений, инструкций, приказов, штатных расписаний, квалификационных требований и других документов, регламентирующих организационную структуру подразделений, связи между ними, их функции, а также форму представления результатов проектирования и порядок рассмотрения проектных документов.
17
Лингвистическое обеспечение САПР ОТС – совокупность языков проектирования, включая термины и определения, правила формализации естественного языка и методы сжатия и развертывания текстов, необходимых для выполнения автоматизированного проектирования, представленных в заданной форме.
Математическое обеспечение САПР ОТС – совокупность мате-
матических методов, моделей и алгоритмов проектирования, необходимых для выполнения автоматизированного проектирования.
Программное обеспечение САПР ОТС – совокупность машинных программ, а также пакетов прикладных программ, предназначенных для получения конкретных проектных решений. Программное обеспечение по своему назначению разбивается на два вида: системное и прикладное (проблемное).
Техническое обеспечение САПР ОТС – совокупность взаимосвя-
занных и взаимодействующих технических средств. Оно должно включать как универсальные средства ввода, обработки и вывода информации из ЭВМ, так и специализированные: автоматизированные рабочие места, пункты выпуска документации, специализированные микроЭВМ и др.
Информационное обеспечение САПР ОТС содержит все данные,
необходимые для проектирования организации производства в производственных системах. Прежде всего сюда относятся документы, содержащие описание нормативных и директивных документов, государственных и отраслевых стандартов, типовых проектных решений, типовых элементов, стандартных проектных процедур и др. Общее архитектурное решение при построении САПР ОТС подобно традиционным решениям при создании всех автоматизированных систем.
1.3.Исследование состава комплексных систем защиты информации как вида организационно-технических систем
Система защиты информации и общеметодологические прин-
ципы ее построения. Комплексная система защиты информации – это система, в которой действуют в единой совокупности правовые, организационные, технические, программно-аппаратные и другие нормы, методы, способы и средства, обеспечивающие защиту ин-
18
формации от всех потенциально возможных и выявленных угроз и каналов утечки. Элементы КСЗИ, в свою очередь, состоят из средств, устройств и способов защиты информации, а также методов их использования [3].
Понятие защиты информации в настоящее время ассоциируется, как правило, с проблемами обеспечения информационной безопасности в информационных системах (ИС). Задачи же защиты информации решаются с целью нейтрализации дестабилизирующего воздействия причин нарушения целостности информации при обеспечении физической целостности последней или с целью перекрытия каналов несанкционированного ее получения – при защите от несанкционированного получения данных.
Важнейшее концептуальное требование к КСЗИ – требование адаптируемости, т.е. способности к целенаправленному приспособлению при изменении структуры, технологических схем или условий функционирования ИС. Важность требования адаптируемости обусловливается, с одной стороны, тем, что перечисленные факторы, относящиеся к ИС, могут существенно изменяться, а с другой – тем, что процессы защиты информации относятся к слабоструктурированным, т.е. содержащим высокий уровень неопределенности. Управление же слабоструктурированными процессами может быть эффективным лишь при условии адаптируемости системы управления.
Помимо общего концептуального требования, к КСЗИ предъявляется еще целый ряд более конкретных, целевых требований, которые могут быть разделены на функциональные, эргономические, экономические, технические и организационные. В совокупности эти требования образуют систему (рис. 6) [20].
Как у нас в стране, так и за рубежом, наряду с конкретными разработками определенных вопросов защиты, формировались общеметодологические принципы (общие положения) построения и функционирования КСЗИ. Соблюдение требований таких принципов способствует повышению эффективности защиты. В условиях же сис- темно-концептуального подхода к защите надо не просто руководствоваться теми или иными общими положениями – нужна стройная и, возможно, более полная система общеметодологических принципов.
Сформированная к настоящему времени система включает сле-
дующий перечень общеметодологических принципов: концептуаль-
ное единство; адекватность требованиям; гибкость (адаптируемость);
19
функциональная самостоятельность; удобство использования; минимизация предоставляемых прав; полнота контроля; экономичность.
Рис. 6. Требования к системе защиты информации в ИС
Концептуальное единство. Архитектура, технология, организация и обеспечение функционирования как КСЗИ в целом, так и составных ее компонентов должны рассматриваться и реализовываться в строгом соответствии с основными положениями единой концепции защиты информации.
20