Автор работы: Пользователь скрыл имя, 04 Апреля 2012 в 20:47, курс лекций
В зависимости от сферы деятельности, характера задач и выполняемых управленческим персоналом должностных функций ИС условно можно классифицировать по следующим признакам.
1. По виду решаемых задач:
• корпоративные, региональные и другие ИС, предназначенные для управления предприятиями, организациями, офисами, корпорациями и т.д. К этому же классу можно причислить информационно-справочные системы, ориентированные на поиск информации в различных средах (архивах, библиотеках, фондах корпоративной системы, Интернете и т.д.);
1. Классификация ИС, их характеристика
2. Структура, функции и схема функционирования ИС
3. Системный анализ и стандарты – научная и технологическая основа для создания современных ИС
4. Понятие открытых систем
5. Создание ИС с учетом их жизненного цикла
6. Состав, особенности и характеристика интегрированных и корпоративных ИС
7. Структура и схема функционирования ERP-систем.
8. Экономическая эффективность ИС, способы ее расчета
9. Оценка и выбор ИС и ИТ.
10. Информационная безопасность и защита информации, виды угроз, методы и средства защиты ИС
11. Создание системы информационной безопасности..
Описываются и анализируются следующие параметры:
• производительность (например, число обработанных документов, время, потраченное на решение задач, и т.д.);
• доступность сервиса (например, возможность работы в нескольких часовых поясах);
• надежность сервиса (например, возможность потерь в случае простоя).
Определение финансовых результатов, т.е. сопоставление доходов и затрат, предлагается осуществлять в разрезе конкретных информационных сервисов.
Что касается затрат, то в современной литературе имеется весьма обширный арсенал методов, позволяющих осуществлять их расчет с достаточной точностью. В частности, введено специальное понятие — «совокупная стоимость владения», или ССВ (TotalCost of Ownership, TCO), которая определяется в соответствии с жизненным циклом системы. Жизненный цикл любой системы содержит все этапы ее эволюции. Однако жизненный цикл ИС имеет специфику и, как правило, содержит следующие этапы:
• создание;
• внедрение;
• эксплуатация (обслуживание, ремонт, предоставление сервиса);
• поддержка (модернизация, внедрение новых и замена старых информационных технологий);
• ликвидация ИС.
Для расчетов удобно все затраты, сопровождающие жизненный цикл, разделить на две группы — первоначальные и эксплуатационные. Первоначальные распределяются по периодам эксплуатации в соответствии с прогнозируемым жизненным циклом или требованиями о сроках возврата средств инвестором. Эксплуатационные затраты рассчитываются за месяц, квартал и год. Если расчеты выполнять в разрезах информационных сервисов, на уровне задач, то доход второю типа (результат), полученный, например, за год за счет экономии заработной платы работников какого-либо отдела (планового, бухгалтерского, диспетчерского и т.д.) или экономии за счет повышения производительности труда, полученного в результате автоматизации ввода первичных документов, и т.д., можно рассчитать по формуле:
Di=Ei+Ki
где Di — доход, полученный в результате обращения к информационному сервису, предназначенному для решения задач в текущем году; Ei — экономия, полученная в текущем году эксплуатации; Ki — объем первоначальных затрат, который должен быть возвращен в текущем году инвестору. Затраты и доходы, полученные в разные периоды, для сопоставимости должны быть приведены к единому знаменателю. Для этого выбирается некоторая точка отсчета (начало или конец периода), а затем результаты и затраты пересчитываются на этот момент времени. Пересчет осуществляется с помощью коэффициентов дисконтирования.
Будущие доходы, полученные в результате какой-либо деятельности, должны корректироваться из-за изменения курса рубля. Доход, полученный через год, имеет меньшую стоимость, чем сегодня. Однако вложенные сегодня в информатизацию предприятия средства в будущем должны быть возвращены в денежном эквиваленте сегодняшнего дня. Определение денежного эквивалента будущей суммы по отношению к сумме, которая вложена сегодня, называется дисконтированием. Оно базируется на формуле сложных процентов. Например, курс рубля ежегодно снижается на 20%, тогда, очевидно, сумме в 100 руб. через год будет соответствовать сумма в 120 руб. (100 х(1 +0,2)).
Дисконтирование осуществляется с целью восполнения в будущем вложенных денег в проект информационного сервиса (услуги). Для этого используется ставка дисконта, устанавливаемая для каждого года. Если курс рубля равен 12,5%, то ставка дисконта для первого года равна (1 + 0,125)' = 1,125; для второго (1 + 0,125)2 = = 1,266; для третьего (1 + 0,125)3 = 1,424 и т.д. Если требуется не только восполнить обесценение денег от инфляции, но и заплатить процент за пользование кредитом, то ставка дисконта должна состоять из двух частей С = С, + С2, где С, — часть, учитывающая обесценение денег за счет инфляции; С2 — процент, который следует заплатить за пользование кредитом.
Возвращение денег, вложенных в информационный сервис, осуществляется согласно установленным инвестором коэффициентам эффективности капитальных вложений. Например, если требуется возвратить деньги после первого года эксплуатации в объеме 75% от всех вложений, после второго — 20%, а оставшиеся средства после третьего, то нормативные коэффициенты будут равны 0,75; 0,20 и 0,05.
Для учета фактора неопределенности используют иной подход. Достаточно распространенной методикой является переход от точечных оценок затрат и результатов к интервальным с использованием принципа минимакса. Это означает, что отыскивается величина экономической эффективности в предположении, что будут иметь место максимальные затраты и минимальные результаты(пессимистический прогноз). Тогда при положительном результате проект ИС рентабелен.
9. Оценка и выбор ИС и ИТ.
В процессе приобретения ИС или технологий необходимо осуществить их оценку и выбор, исходя их возможностей и потребностей покупателя. Однако, прежде чем выполнять эти действия, i к обходимо получить достоверную информацию о производителе покупаемого программного продукта. Как правило, эта информация включает:
1. Оценку репутации фирмы-производителя на рынке программных продуктов, число продаж данного программного продукта.
2. Количество внедрений данного продукта фирмой-производителем.
3. Соответствие покупаемой системы стандартам открытых систем.
4. Адаптируемость системы к новым информационным потребностям, новому производству, новым организационным структурам (за счет изменения параметров настроек или написания новых программ).
5. Совместимость покупаемой системы с иными системами, которые уже функционируют на предприятии, например системами управления технологическими процессами.
6. Приемлемость цены, в которой должны учитываться следующие составляющие: покупка, внедрение, сопровождение. Опыт показывает, что полная цена в два-три раза выше цены собственно программного продукта.
Если на все перечисленные характеристики имеется положительный ответ, то можно перейти непосредственно к процессу оценки покупаемой и внедряемой ИС. Процесс оценки выполняется на основе действующих в нашей стране стандартов: ГОСТ Р ИСО/МЭК 9126-93; Оценка программной продукции, ГОСТ 28195-89; Оценка качества программных средств; Общие положения; ИСО/МЭК 12207-95 «Информационная технология. Процессы жизненного цикла программных средств».
Последний стандарт устанавливает общую структуру процессов жизненного цикла программных средств. Он определяет процессы, работы и задачи, которые используются при приобретении системы, содержащей программные средства, или отдельно поставляемою программного продукта, при оказании программной услуги, а также при поставке, разработке, эксплуатации и сопровождении программных продуктом. Рассмотрим методику оценки и выбора ИС, созданной в ВЗФЭИ. Оценка осуществляется на основе анализа соответствия продукта-претендента пожеланиям пользователя по следующим характеристикам :
• функциональные возможности;
• надежность и безопасность;
• практичмость и удобство применения;
• эффективность;
• сопровождаемость.
Каждая их характеристик детализируется набором атрибутов. Например, атрибуты функциональных возможностей отражают соответствие программного продукта целям управления предприятия, составу входной и результирующей информации, способность к взаимодействию с внешней средой и т.д. Более детально характеристики и атрибуты приводятся в табл. 3.2.
Каждый из атрибутов, в зависимости от его наличия или отсутствия в анализируемой ИС, можно оценить нулем или единицей (ДА, НЕТ). Если сумму всех единиц разделить на число, характеризующее «идеальную» систему, то можно получить оценку анализируемой ИС. Согласно данной методике, «идеальная» система оценивается числом 36. Будем считать, что оценка системы высокая при 0,7 < к < 1, средняя при 0,5 < к < 0,7 и низкая при к < 0,5, где к = 0/36, О — общая оценка анализируемой системы (количество единиц, отражающих наличие атрибутов у оцениваемой системы). Допустим, общая оценка системы равна 23 ед. Тогда получим: к = 23/36 = 0,6, что указывает на среднюю оценку системы.
10. Информационная безопасность и защита информации, виды угроз, методы и средства защиты ИС
Предоставляя огромные возможности, информационные технологии, вместе с тем, несут в себе и большую опасность, создавая совершенно новую, мало изученную область для возможных угроз, реализация которых может приводить к непредсказуемым и даже катастрофическим последствиям.
Специалисты считают, что все компьютерные преступления имеют ряд отличительных особенностей. Во-первых, это высокая скрытность, сложность сбора улик по установленным фактам. Отсюда сложность доказательств при рассмотрении в суде подобных дел. Во-вторых, даже единичным преступлением наносится весьма высокий материальный ущерб. В-третьих, совершаются эти преступления высоко квалифицированными системными программистами, специалистами в области телекоммуникаций.
Безопасность информации определяется как состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированными системами обработки данных (АСОД), от внутренних или внешних угроз, т.е. такое состояние, когда несанкционированное получение информации субъектами доступа, не имеющими соответствующих полномочий, невозможно, существенно затруднено или сведено к уровню не выше допустимого.
С формальной точки зрения под информационной безопасностью понимается состояние защищенности информации и поддерживающей ее инфраструктуры (компьютеров, линий связи, систем электропитания и т.п.) от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.
На практике важнейшими являются три аспекта информационной безопасности:
1) доступность для установленного круга лиц (возможность за разумное время получить требуемую информационную услугу);
2) целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
3) конфиденциальность (защита от несанкционированного прочтения).
Основными целями защиты информации являются:
• предотвращение утечки, хищения, утраты, искажения, подделки информации;
• предотвращение угроз безопасности личности, организации, обществу, государству;
• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
• предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;• обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств обеспечения.
Угроза безопасности компьютерной системы – это действия, которые могут нанести ей ущерб.
Угрозы могут быть случайными, возникающие независимо от воли и желания людей и преднамеренными, т.е. специально ими созданными.
Кроме того, существуют угрозы, вызванные стихийными бедствиями. Они, как правило, всегда приводят к выходу из строя системы обработки данных и реже нарушают конфиденциальность данных. В свою очередь, преднамеренные угрозы делятся на две группы — внешние и внутренние.
Внешние угрозы возникают в результате непосредственной деятельности недобросовестных конкурентов, преступных элементов, а внутренние - инициируются персоналом предприятия.
Действия извне могут быть направлены на пассивные носители информации следующим образом: похищение или снятие копий с документов, дискет; снятие информации, возникающей в процессе коммуникаций; уничтожение информации или повреждение ее носителей; случайное или преднамеренное доведение до сведения конкурентов документов и материалов, содержащих коммерческую тайну.
Действия извне могут быть также направлены на персонал компании (на активные носители информации) и выражаться в 'форме подкупа, угроз, шантажа, выведывания в целях получения информации, составляющей коммерческую тайну, или предполагать переманивание ведущих специалистов на конкурирующую фирму и т.п. Внутренние угрозы представляют наибольшую опасность для вновь сформированных и не устоявшихся коллективов, где не успели сложиться традиции поддержания высокой репутации предприятия, поэтому своевременному вскрытию этих угроз должно уделяться постоянное внимание.
Одной из главных преднамеренных угроз является компьютерный вирус. Это специально написанная программа, которая может присоединятся к другим программам и выполнять разрушающие действия. Жизненный цикл вируса включает следующие этапы:
-
-
-
-
Полностью защитить компьютер от вирусов сложно. Но выполнение определенных правил позволит снизить угрозу заражения:
1.
2.
3.
4.
Из далеко неполного перечня угроз, можно сделать вывод, что информационные системы, основанные на новых информационных технологиях, являются весьма уязвимыми, если не принимать меры, обеспечивающие безопасность информации и имеющие правовую основу.
Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно поделить на четыре уровня:
1) законодательный или правовой (законы, нормативные акты, стандарты и т.п.);
2) административный (действия общего характера, предпринимаемые руководством организации);
3) процедурный (конкретные меры безопасности, имеющие дело с людьми);
4) программно-технический (конкретные технические меры).В практической работе предприятия по защите информации должны присутствовать меры всех четырех уровней.
При проведении мероприятий по защите информации могут быть выбраны те или иные формы.
В зависимости от характера информации, ее доступности для заинтересованных потребителей, а также экономической целесообразности конкретных защитных мер, могут быть избраны следующие формы защиты информации:
• признание коммерческой тайной;
• патентование;
• использование норм авторского права;
• применение норм обязательного права.
Принимая меры по защите информации, важно помнить, что защита информации - дорогостоящее мероприятие. Поэтому, прежде всего, необходимо определить сам объект защиты, т.е. какую информацию необходимо защищать. Ответ на поставленный вопрос может быть прост - надо защищать информацию, которая по своим признакам является коммерческой тайной.
Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение, передача или утечка которых может нанести ущерб его интересам. Статья 28 Закона РФ "О предприятиях и предпринимательской деятельности" гласит: "Перечень сведений, составляющих коммерческую тайну, определяется руководителем предприятия". Сразу оговоримся, что к таким сведениям в принципе может быть отнесена любая деловая информация, кроме ограничений, накладываемых Постановлением Правительства РФ от 5 декабря 1991 года №35.