textarchive.ru

Главная > Учебное пособие


Объектные подсистемы РСЗИ (системы ЗИ предприятий, учреждений и организаций), в свою очередь, могут содержать в своем составе собственные органы управления объектные и функциональные подсистемы ЗИ, предназначенные для непосредственного выполнения и обеспечения функций органов ЗИ на конкретных объектах защиты.

Объекты защиты подразделяются на объекты – носители информации, составляющей государственную, служебную или иную тайну, и объекты – носители информации, не составляющей какую-либо тайну.

К объектам первого класса относятся промышленные объекты, объекты органов управления, технологии и материалы, имеющие охраняемые сведения, объекты, не имеющие собственных охраняемых сведений, но косвенно раскрывающие такие сведения, системы и средства информатизации и связи. К объектам второго класса относятся системы и средства информатизации и связи, обрабатывающие важную (ценную) открытую информацию.

В рамках РСЗИ протекают три основных процесса:

общесистемное управление РСЗИ;

процесс ЗИ в объектных подсистемах;

общесистемное обеспечение РСЗИ.

Формализованная структура региональной системы защиты информации отображена на рис. 2.3.

Особенности управления РСЗИ определяются следующими основными факторами.

В 90-х годах произошли качественные изменения в политической, экономической и научно-технической сферах, заставившие во многом пересмотреть государственную политику в области защиты информации, в том числе ее региональную составляющую.

В России отошла в прошлое государственная монополия на информационные ресурсы, в частности, появились ресурсы, находящиеся в ведении субъектов РФ, муниципальных образований. Причем правовые вопросы владения, пользования и распоряжения этими ресурсами во многом еще не урегулированы.

Прежний административный механизм управления защитой информации стал невозможен и неэффективен. В непосредственном подчинении органам государственной власти субъектов РФ и органов местного самоуправления находятся единицы процентов предприятий, учреждений и организаций, находящихся на их территории. В этих условиях необходимость межведомственной координации в сфере защиты информации объективно возросла.

Региональная система защиты информации является составной частью государственной системы защиты информации в РФ. Управление РСЗИ, прежде всего, направлено на реализацию общегосударственной политики в области защиты информации в субъекте РФ.


* подсистемы могут отсутствовать


Рис 2.3. Формализованная (обобщенная) структура региональной системы защиты информации

Региональная система защиты информации обладает самостоятельностью в решении вопросов, относящихся к ведению субъекта РФ. Это в значительной мере касается механизмов управления защитой информации, составляющей служебную тайну, защитой персональных данных, информационных ресурсов субъекта РФ, и находящихся на его территории муниципальных образований.

Функции управления РСЗИ непосредственно не связаны с управлением физическими процессами, протекающими на защищаемых объектах и в средствах защиты информации (контур управления физическими процессами в средствах ЗИ). Управление РСЗИ также непосредственно не связано с управлением техническими системами защиты информации, направленным на обеспечение эффективного применения средств ЗИ, поддержание и восстановление их работоспособности (конур структурного управления системами ЗИ).

Объектами управления в РСЗИ являются аппараты органов исполнительной и представительной власти субъекта РФ, органы местного самоуправления, их структурные подразделения (специалисты) по защите информации, предприятия, учреждения и организации вневедомственной принадлежности на территории субъекта РФ.

Основные функции управления РСЗИ состоят в следующем.

1. При реализации единой государственной политики в области защиты информации:

сбор, систематизация, обобщение информации о состоянии процессов защиты информации на объектах управления, оценка состояния ЗИ в регионе, выявление нерешенных проблем, предоставление необходимой информации о состоянии ЗИ на федеральный уровень;

контроль состояния ЗИ на объектах управления;

определение приоритетных направлений обеспечения ЗИ в регионе;

разработка и контроль за выполнением целевых программ по обеспечению ЗИ (разделов программ развития субъекта РФ);

организация научно-технических исследований и разработок в интересах обеспечения ЗИ в регионе, выполнения требований нормативных документов по ЗИ;

разработка и утверждение региональных нормативных и методических документов по ЗИ (концепций, положений, требований, норм, моделей, методик, рекомендаций, инструкций и других документов);

оказание методической помощи предприятиям, учреждениям и организациям в подготовке к лицензированию, в деятельности, связанной с оказанием услуг в области ЗИ, созданием средств ЗИ, а также средств технического контроля эффективности защиты информации;

осуществление методического руководства подготовкой, профессиональной переподготовкой и повышением квалификации специалистов в области ЗИ;

осуществление методического руководства деятельностью органов местного самоуправления по созданию муниципальных систем ЗИ.

2. При осуществлении координации и функционального регулирования деятельности по обеспечению защиты информации:

создание и совершенствование организационно-технического механизма защиты информационных ресурсов субъекта РФ, защиты информационных ресурсов муниципальных образований;

осуществление на плановой основе межотраслевой координации деятельности по обеспечению ЗИ в аппаратах органов государственной власти субъекта РФ, органах местного самоуправления, на предприятиях, в учреждениях и организациях путем регулярного обсуждения на Совете по вопросам защиты информации общих проблемных вопросов и принятия по ним согласованных решений;

осуществление методического руководства в области ЗИ в отношении аппаратов органов государственной власти субъекта РФ, органов местного самоуправления, предприятий, учреждений и организаций путем организации издания, распространения и внедрения в практическую деятельность концепций, положений, требований, норм, моделей, методик, рекомендаций, инструкций и других документов по ЗИ;

содействие межрегиональному сотрудничеству в области ЗИ.

Таким образом, принципиальными особенностями управления РСЗИ являются:

во-первых, то, что такое управление осуществляется в рамках государственной системы защиты информации;

во-вторых, в качестве основных методов управления используется координация и функциональное регулирование деятельности по обеспечению ЗИ;

в-третьих, важнейшей задачей управления РСЗИ является создание и совершенствование механизмов ЗИ в сфере компетенции субъектов РФ.

Особенности управления защитой информации, как многоплановым и многовариантным процессом, реализуемым совместной согласованной деятельностью по меньшей мере двух субъектов (собственник информации и ответственный за ее защиту), предопределяют сложности, возникающие при построении систем защиты информации более высокого, чем объектовый, уровня.

Первой из проблем, возникающих при построении таких систем, является установление правильного (рационального) соотношения командных и координационных методов управления.

Невозможность реализации чисто командного метода управления связана с тем, что информация ограниченного доступа используется и обрабатывается, в общем случае, целым рядом организаций, учреждений и предприятий различной ведомственной принадлежности и различных форм собственности, расположенных на территории рассматриваемого региона. Такими организациями могут быть местные органы федеральной исполнительной власти, органы местного самоуправления, войсковые части, предприятия оборонных отраслей промышленности, научно-исследовательские институты и т.п. Поэтому реализация комплекса мер, затрагивающих несколько собственников или пользователей информации, не может быть выполнена чисто командными методами. Необходимость же совместных действий упомянутых субъектов защиты информации обусловлена наличием общей цели (обеспечить защищенность информации) и потребностью в использовании единого подхода к организации, планированию и ведению защиты информации. Чрезвычайно важным в этом плане представляется обеспечение единой методологии проведения расчетов по оценке возможностей технических разведок и средств защиты информации, а также по учету влияния средств защиты информации на функционирование технических средств обработки и передачи информации.

Поэтому первой из задач совершенствования управления защитой информации является создание такой системы управления, которая обеспечивала бы рациональное сочетание командных и координационных методов. Для решения этой задачи в регионе должен быть создан координирующий орган при участии всех заинтересованных лиц, которому делегируются определенные полномочия.

Вторая проблема заключается в том, что в процессе осуществления защиты информации возможно спорадическое возникновение угроз безопасности информации, не предусмотренных при проектировании и создании системы защиты. Простейшим примером такой ситуации является «вселение» представительства иностранной фирмы на территорию предприятия или организации, которая использует в своей деятельности информацию ограниченного доступа. Фактически это означает уменьшение размеров контролируемой зоны объекта защиты и тем самым – возможность образования нового, ранее не существовавшего канала утечки информации. Поэтому система управления должна обеспечивать функционирование системы защиты информации в двух режимах, которые можно условно назвать «повседневным» и «оперативным».

В повседневном режиме (по сути своей – это установившееся состояние системы защиты и объекта защиты при неизменных угрозах безопасности информации) управление осуществляется на основе долговременных, заранее разработанных и апробированных планов, программ, инструкций с применением оптимально (рационально) подобранных технических средств и организационных мер по защите информации. В оперативном режиме управление должно быть ориентировано на быстрое выявление возможных угроз безопасности информации, их оценку и выработку рекомендаций по предотвращению или нейтрализации таких угроз.

Поэтому второй задачей совершенствования управления защитой информации является обеспечение адаптации системы защиты к изменяющимся внешним условиям. Решение этой задачи возможно на базе широкого использования средств вычислительной техники и соответствующего программного обеспечения. Особо следует отметить в этой связи необходимость тщательного тестирования используемого программного обеспечения (в первую очередь – операционных систем и средств ведения баз данных) на наличие так называемых не декларированных возможностей (простейший пример – программы типа «троянский конь», осуществляющие «взлом» системы разграничения доступа с передачей добытой информации по сетевым каналам).

Третья проблема связана с непрерывным совершенствованием средств технической разведки, способов несанкционированного доступа к информации. Это означает, что возможно появление новых каналов утечки информации, в том числе – работающих на новых физических принципах. С другой стороны, совершенствуются и средства, и способы защиты информации, что предопределяет необходимость совершенствования системы защиты в процессе ее функционирования.

По опыту создания систем управления можно сделать вывод о том, что наиболее болезненным в ходе модернизации последних является доработка (переработка) программного обеспечения. Решение задачи непрерывного совершенствования программного элемента системы управления целесообразно осуществлять на базе метода развивающихся (эволюционирующих) прототипов, суть которого кратко можно выразить следующим образом:

система программного обеспечения изначально строится на базе программных средств, обеспечивающих свободное наращивание (открытость);

базы данных строятся по принципу гибкой структуры с широким использованием перекрестных ссылок между информационными блоками;

в любой момент времени в распоряжении пользователя находится инструмент, обеспечивающий решение всех прежних задач в полном объеме;

в любой момент времени находящееся в распоряжении пользователя программное обеспечение представляет собой не совокупность отдельных программных продуктов, а единое целое, функционирующее по заданным правилам и обеспечивающее решение определенного круга задач.

Наконец, суть четвертой проблемы заключается в том, что, в силу разнородности и различной принадлежности сил и средств защиты информации, образующих в совокупности региональную систему, необходимо осуществление контроля состояния системы защиты и оценки ее реальных возможностей по парированию как постоянно существующих, так и вновь возникающих угроз безопасности информации. В противном случае даже элементарный выход из строя конкретного единичного средства защиты информации (или проведение регламентных работ) может повлечь за собой утечку информации с самыми непредсказуемыми последствиями. Поэтому еще одной задачей системы управления является непрерывное отслеживание состояния элементов системы защиты и обоснование предложений по принятию мер, исключающих негативные последствия изменения этого состояния. Решение этой задачи требует проведения мониторинга состояния системы по выбранным параметрам, определение перечня которых представляет собой самостоятельную и достаточно сложную задачу.

В заключение необходимо отметить еще один существенный момент. Как региональная система защиты информации является неотъемлемой частью государственной системы защиты информации (ГСЗИ) от технических разведок и от утечки по техническим каналам, так и ее система управления должна согласовываться с системой управления ГСЗИ. На первом этапе создания региональных систем и развертывания ГСЗИ такое согласование может быть проведено по схеме «согласование входов-выходов», а в дальнейшем – и на базе единого (перекрывающегося) математического обеспечения.

3. ПОДГОТОВКА КАДРОВ В ОБЛАСТИ ЗАЩИЩЕННЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И СИСТЕМ ГОСУДАРСТВЕННОГО И МУНИЦИПАЛЬНОГО УПРАВЛЕНИЯ

3.1. Федеральная и региональная системы подготовки кадров

«Кадры решают все». Эта истина при создании и эксплуатации информационных технологий и систем государственного и муниципального управления (ИТС ГМУ) требует первоочередного рассмотрения вопросов подготовки кадров. В настоящем разделе особое внимание уделено кадровому обеспечению защищенных ИТС ГМУ, которые должны стать основой функционирования органов власти и управления всех уровней.

Сложившаяся в России система подготовки таких кадров изображена на схеме (рис. 3.1), включающей Минобразования России и другие заинтересованные Министерства и ведомства Российской Федерации. Методическое руководство данными образовательными программами осуществляет соответствующее Учебно-методическое объединение вузов, в состав которого входят представители вышеуказанных федеральных структур, а также учебных заведений, ведущих подготовку специалистов в области защищенных ИТС. Подобные функции на уровне субъектов Российской Федерации выполняют Региональные учебно-научные центры (РУНЦ), взаимодействующие с вузами, предприятиями и организациями региона соответствующего профиля.

Схема (рис. 3.2) поясняет технологию управления на региональном уровне образовательными программами в области защищенных ИТС ГМУ.

Здесь роль органов ГМУ проявляется с особой интенсивностью, ибо последние, вместе с предприятиями и организациями региона, являются базовыми потребителями выпускников данных программ. Ученый совет РУНЦ, работающий под общим руководством Совета по вопросам защиты информации при Главе администрации, координирует методическую и организационную работу в учебных заведениях региона, реализующих образовательные программы в области защиты ИТС ГМУ.

Функциональные возможности региональной системы поясняет рис. 3.3, где при координирующей роли Ученого совета РУНЦ решаются следующие задачи:

подготовка инженерных кадров;

подготовка кадров высшей квалификации;

послевузовская подготовка кадров;

издание регионального научного вестника и учебных пособий;

проведение конференций и семинаров.

Исторически данная система формировалась под эгидой Гостехкомиссии России и администрации Воронежской области на базе Воронежского государственного технического университета (ВГТУ), Воронежского института МВД России (ВИ МВД) и Международного института компьютерных технологий (МИКТ). Активное участие в формировании системы приняли сотрудники базовых предприятий РУНЦ:

Ассоциации «Черноземье»;

Центрально-Черноземного банка Сбербанка России (ЦЧ банк СБ РФ);

Управления ФСБ по Воронежской области;

Государственного научно-исследовательского испытательного института проблем технической защиты информации Гостехкомиссии России (ГНИИИ ПТЗИ);

Воронежского НИИ связи;

АООТ «Воронежсвязьинформ»;

Центра правительственной связи ФАПСИ в Воронежской области;

Регионального аналитического центра по проблемам безопасности и устойчивого развития (РАЦБУР);

Центрально-Черноземного межрегионального территориального органа Министерства по делам федерации и национальной политики Российской Федерации;

Воронежского областного отделения Российской ассоциации развития малого предпринимательства.

Рис. 3.1. Федеральная схема управления образовательными программами в области защищенных информационных технологий и систем

Рис. 3.2. Схема управления образовательными программами в области защищенных информационных технологий и систем на уровне региона (на примере Воронежской области)

Рис. 3.3. Структура и функции региональной системы подготовки кадров в области защищенных информационных технологий и систем (на примере Воронежской области)

Подготовка инженерных кадров сконцентрирована в ВГТУ, обладающем необходимыми лицензиями. Здесь уже ведется подготовка инженеров-системотехников по специальности 220700 «Комплексное обеспечение информационной безопасности автоматизированных систем» и математиков по специальности 220600 «Организация и технология защиты информации». С 1999 года осуществляется набор по специальности 201800 «Защищенные телекоммуникационные системы» (квалификация – инженер). Таким образом, наряду с защитой информации в компьютерных системах появляется возможность готовить молодых специалистов в области защищенных средств связи. Подготовка по специальности 220600 сейчас ведется в Международном институте компьютерных технологий, квалификация – менеджер. В интересах Министерства внутренних дел России на базе Воронежского института МВД также открыта специальность 201800.

Благодаря мощной поддержке Совета Безопасности, Гостехкомиссии, ФСБ и ФАПСИ России, вышеуказанные специальности не только сохранены в новом классификаторе Минобразования России, но и выделены в нем в самостоятельную группу. Если говорить о специальностях, культивируемых в воронежских вузах, то они звучат так:

075200

«Компьютерная безопасность»

(квалификация – математик);

075500

«Комплексное обеспечение информационной безопасности автоматизированных систем»

(квалификация – специалист по защите информации);

075600

«Информационная безопасность телекоммуникационных систем»

(квалификация – специалист по защите информации);

075300

«Организация и технология защиты информации»

(квалификация – специалист по защите информации).

Государство однозначно подтверждает значимость образовательных программ в области информационной безопасности, и задача состоит в том, чтобы обеспечить их успешную реализацию. Поэтому воспитанники, прежде всего, должны стать достойными гражданами России. Это не громкие слова, а необходимость, ибо они будут решать задачи в области национальной безопасности. Подбор и воспитание студентов нами осуществляются с учетом данного фактора.

Если говорить о профессиональной подготовке, то специальные дисциплины для студентов рассматривают вопросы программной, аппаратной, технической, криптографической, правовой и организационной защиты информации.

Студенты специальностей 075200 и 075500 изучают весьма емкий блок математических дисциплин, в 2-3 раза больший по объему часов, чем у обычных технических специальностей. У этих специальностей достаточно внушительный набор дисциплин по вычислительной технике и программированию, что позволяет выпускникам быть также профессионалами и в области информационных систем открытого типа.

Специальность 075600 близка к группе радиотехнических специальностей и ориентирована на подготовку инженерных кадров для защищенных систем связи (в т.ч. противодействие фрикерам).

Среди всех перечисленных специальность 075300 имеет более гуманитарную направленность (с соответствующим набором дисциплин), ибо по ней фактически готовятся менеджеры служб информационной безопасности (с уклоном в борьбу с компьютерной преступностью).

Начиная с 3-4 курса, студенты каждой специальности будут проходить специализацию в интересах базовых организаций Центра, коими являются: Воронежский НИИ связи, Центрально-Черноземный банк Сбербанка России, АООТ «Воронежсвязьинформ», Государственный научно-исследовательский испытательный институт проблем технической защиты информации Гостехкомиссии России, Управление ФСБ по Воронежской области, Центр Правительственной связи ФАПСИ по Воронежской области, Региональный аналитический центр по проблемам безопасности и устойчивого развития.

Наряду с вышеизложенным, созданный при ВГТУ диссертационный совет приступил к подготовке кадров высшей квалификации по специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность», что органично дополняет рассматриваемую систему.

В целях дальнейшего совершенствования предложенной учебно-научной системы целесообразно ее развитие в плане создания соответствующих разделов региональной целевой программы информационного обеспечения ГМУ, а также ее стыковки с родственными федеральными программами. Данную идею иллюстрирует таблица из приложения 14.

Вопрос подготовки специалистов, работающих в области защищенных информационных технологий, как государственная проблема обозначился несколько лет назад. Наибольшую потребность в таких специалистах испытывают, в первую очередь, силовые структуры, государственный аппарат других ведомств, региональные и муниципальные органы власти, а также средства массовой информации, банковские учреждения, государственные производства. В последнее время и руководители частных компаний все чаще приходят к выводу о необходимости иметь на своем предприятии специалиста, работающего в области защищенных информационных технологий. Несмотря на это опыт работы показал, что при подготовке кадров возникают практические проблемы.

Во-первых, уровень знаний и способностей, поступающих на специальности данного направления (особенно, что касается платной формы обучения), не отвечает заданным высоким требованиям.

Прежде всего, это неудовлетворительная подготовка абитуриентов. К сожалению, та база знаний в области математики, физики и информатики, которая дается в средней общеобразовательной школе, зачастую оказывается недостаточной для дальнейшего обучения в вузе на специальностях направления «Информационная безопасность». Особенно таким отсутствием знаний страдают абитуриенты из сельской местности. Кроме того, у абитуриентов, поступающих на специальности данного направления, часто отсутствует четкое представление о том, чем должен заниматься специалист по защите информации.



Скачать документ

Похожие документы:

  1. Государственное и муниципальное управление (3)

    Ученые записки
    ... основы фун­кционирования государственной и муни­ципальной службы. О функциях государственных и муниципальных служащих, их правовом статусе. Реформирование государственно­го и муниципального управления ...
  2. Государственное и муниципальное управление ученые записки скагс научный и общественно-

    Ученые записки
    ... трансформации методологии изучения системы государственных услуг // Государственное и муниципальное управление. Ученые записки ... сфере государственного и муниципального управления. В этом контексте система подготовки государственных и муниципальных ...
  3. Государственное и муниципальное управление

    Исследование
    ... и документооборота Управление государственным и муниципальным заказом Экономика муниципального хозяйства Муниципальное право Муниципальное управление Государственные и муниципальные финансы Маркетинг территорий ...
  4. Государственное и муниципальное управление (5)

    Документ
    ГОСУДАРСТВЕННОЕ И МУНИЦИПАЛЬНОЕ УПРАВЛЕНИЕ УРОК ... русскими эквивалентами (a-n) State – государство, государственный System – система 1) authoritarian state ... служба 2) appointive service b) государственная повинность 3) career service c) ...
  5. Государственные и муниципальные финансы

    Учебно-методический комплекс
    ... направления развития государственных и муниципальных финансов, положения действующего законодательства о государственных и муниципальных финансах, организацию государственных и муниципальных финансов, бюджетное ...

Другие похожие документы..