Тема 1.8 Адекватная политика безопасности

↑

▷ Содержание

⇐ ПредыдущаяСтр 4 из 7Следующая ⇒

Как и функциональные требования, требования адекватности жестко структурированы и регламентируют все этапы проектирования, создания и эксплуатации ИТ-продукта очень детально и подробно.

Структура требований адекватности по своей форме очень похожа на структуру функциональных требований и включает в себя те же разделы.

Критерии адекватности используются в ходе квалификационного анализа ИТ-продукта для определения степени корректности реализации функциональных требований и назначения ИТ-продукту соответствующею уровня адекватности. Для этого «Единые критерии» предлагают семь стандартных уровней адекватности, каждый из которых определят степень соответствия ИТ-продукта каждому требованию адекватности (адекватность возрастает от первогоуровня к седьмому). Названия уровней отражают возможности средств контроля и верификации, применяющихся в ходе разработки и анализа ИТ-продукта.

Уровень 1. Применение функциональною тестирования.

Уровень 2. Применение структурного тестирования.

Уровень 3. Применение методик тестирования и контроля

Уровень 4. Применение методик разработки, тестирования и анализа.

Уровень 5. Применение полуформальных методов разработки и тестирования

Уровень 6. Применение полуформальных методов верификации в процессе разработки и тестирования.

Уровень 7. Применение формальных методов верификации в процессе разработки и тестирования.

Требования «Единых критериев» охватывают практически все аспекты безопасности ИТ-продуктов и служат весьма полезным исходным материалом для потребителей и разработчиков при формировании профилей и проектов защиты. Кроме того, «Единые критерии» являются всеобъемлющей энциклопедией информационной безопасности.

Стратегии защиты информации

Осознание необходимости разработки стратегических подходов к защите формировалось по мере осознания важности, многоаспектности и трудности защиты и невозможности эффективного ее осуществления простым использованием некоторого набора средств защиты. Под стратегией вообще понимается общая направленность в организации соответствующей деятельности, разрабатываемая с учетом объективных потребностей в данном виде деятельности, потенциально возможных условий ее осуществления и возможностей организации.

Задача стратегии состоит в создании конкурентного преимущества, устранении негативного эффекта нестабильности окружающей среды, обеспечении доходности, уравновешении внешних требований и внутренних возможностей. Через ее призму рассматриваются все деловые ситуации, с которыми организация сталкивается в повседневной жизни. Известный канадский специалист в области стратегического управления Г. Минцберг предложил определение стратегии в рамках системы «5-Р». По его мнению, она включает:

план (Plan)

прием, или тактический ход (Ploy)

модель поведения (Patten of behaviour)

позицию по отношению к другим (Position in respect to others)

перспективу (Perspective)

Способность компании проводить самостоятельную стратегию во всех областях делает ее более гибкой, устойчивой, позволяет адаптироваться к требованиям времени и обстоятельствам. Факторы, которые могут иметь для фирмы решающее значение в будущем, называются стратегическими. По мнению одного из ведущих западных специалистов Б. Карлофа, они, влияя на стратегию любой организации, придают ей специфические свойства. К таким факторам, в частности, относятся:

миссия, отражающая философию фирмы, ее предназначение

конкурентные преимущества, которыми организация обладает в своей сфере деятельности по сравнению с соперниками или к которым стремится (считается, что они оказывают на стратегию наибольшее влияние). Конкурентные преимущества любого типа обеспечивают более высокую эффективность использования ресурсов предприятия

характер выпускаемой продукции, особенности ее сбыта, послепродажного обслуживания, рынки и их границы

организационные факторы, среди которых выделяется внутренняя структура компании и ее ожидаемые изменения, система управления, степень интеграции и дифференциации внутренних процессов

располагаемые ресурсы (материальные, финансовые, информационные, кадровые и пр.)

Сегодня для разработки и реализации стратегии огромное значение имеют, прежде всего, структурные, информационные и интеллектуальные ресурсы. Сравнивая значения параметров наличных и требующихся ресурсов, можно определить:

степень их соответствия стратегии

потенциал развития организации, совершенствования деятельности, расширения масштабов, роста деловой активности, инноваций

культура, философия, этические воззрения и компетентность управленцев, уровень их притязаний и предприимчивости, способность к лидерству, внутренний климат в коллективе

На стратегический выбор влияют:

риск, на который готова идти фирма

опыт реализации действующих стратегий, позиции владельцев, наличие времени

Рассмотрим особенности стратегических решений. По степени регламентированности они относятся к контурным (предоставляют широкую свободу исполнителям в тактическом отношении), а по степени обязательности следования главным установкам — директивным.

По функциональному назначению такие решения чаще всего бывают организационными или предписывающими способ осуществления в определенных ситуациях тех или иных действий. С точки зрения предопределенности, это решения запрограммированные. Они принимаются в новых, неординарных обстоятельствах, когда требуемые шаги трудно заранее точно расписать.

С точки зрения важности, стратегические решения кардинальны: касаются основных проблем и направлений деятельности фирмы, определяют основные пути развития ее в целом, отдельных подразделений или видов деятельности на длительную перспективу (не менее 5-10 лет). Они вытекают, прежде всего, из внешних, а не из внутренних условий, должны учитывать тенденции развития ситуации и интересы множества субъектов. Практическая необратимость стратегических решений обусловливает необходимость их тщательной и всесторонней подготовки.

Стратегическим решениям присуща комплексность. Стратегия обычно представляет собой не одно, а совокупность взаимосвязанных решений, объединенных общей целью, согласованных между собой по срокам выполнения и ресурсам. Такие решения определяют приоритеты и направления развития фирмы, ее потенциала, рынков, способы реакции на непредвиденные события. Практика сформировала следующие требования к стратегическим решениям:

- реальность, предполагающая ее соответствие ситуации, целям, техническому и экономическому потенциалу предприятия, опыту и навыкам работников и менеджеров, культуре, существующей системе управления

- логичность, понятность, приемлемость для большинства членов организации, внутренняя целостность, непротиворечивость отдельных элементов, поддержка ими друг друга, порождающая синергетический эффект

- своевременность (реализация решения должна успеть приостановить отрицательное развитие ситуации или не позволить упустить выгоду)

- совместимость со средой, обеспечивающая возможность взаимодействия с ней (стратегия находится под влиянием изменений в окружении предприятия и сама может формировать эти изменения)

- направленность на формирование конкурентных преимуществ

- сохранение свободы тактического маневра

- устранение причин, а не следствий существующей проблемы

- четкое распределение по уровням организации работы по подготовке и принятию решений, а также ответственности за них конкретных лиц

- учет скрытых и явных, желательных и нежелательных последствий, которые могут возникнуть при реализации стратегии или отказе от нее для фирмы, ее партнеров; от существующего законодательства, этической стороны дела, допустимого уровня риска и пр.

Исходный момент формирования стратегии — постановка глобальных качественных целей и параметров деятельности, которые организация должна достичь в будущем. В результате увязки целей и ресурсов формируются альтернативные варианты развития, оценка которых позволяет выбрать лучшую стратегию.

Единых рецептов выработки стратегий не существует. В одном случае целесообразно стратегическое планирование (программирование); в другом — ситуационный подход.

Исходя из большого разнообразия условий, при которых может возникнуть необходимость защиты информации, общая целевая установка на решение стратегических вопросов должна заключаться в разработке множества стратегий защиты, и выбор такого минимального их набора, который позволял бы рационально обеспечивать требуемую защиту в любых условиях.

Познавательные статьи:



Психологические особенности спортивного соревнования

Приготовление дезинфицирующих растворов различной концентрации

Занятость населения и рынок труда

Социальный статус семьи и её типология