Информационные системы управления

Справочное и информационное обеспечение управленческой деятельности

Пакет прикладных программ - комплекс взаимосвязанных программ для решения задач определенного класса конкретной предметной области. Пакеты прикладных программ служат программным инструментарием решения функциональных задач и являются самым многочисленным классом программных продуктов. Справочное и информационное обеспечение управленческой деятельности представлено следующими ППП: «ГАРАНТ» (налоги, бухучет, аудит, предпринимательство, банковское дело, валютное регулирование, таможенный контроль); «КОНСУЛЬТАНТ+» (налоги, бухучет, аудит, предпринимательство, банковское дело, валютное регулирование, таможенный контроль).

Автоматизированные системы проектирования. CASE-технологии

Автоматизированные системы проектирования --быстроразвивающийся путь ведения проектировочных работ. В области автоматизации проектирования ИС и ИТ за последнею десятилетие сформировалось новое направление -- CASE (Computer-Aided Software/System Engineering). Лавинообразное расширение областей применения компьютеров, возрастающая сложность информационных систем, повышающиеся к ним требования привели к необходимости индустриализации технологий их создания. Важное направление в развитии технологий составили разработки интегрированных инструментальных средств, базирующихся на концепциях жизненного цикла и управления качеством ИС и ИТ управления. Они представляют собой комплексные технологии, на создание сложных автоматизированных управленческих систем и поддержку их полного жизненного цикла или ряда его основньи этапов. Дальнейшее развитие работ в этом направлении привело х созданию ряда концептуально целостных, оснащенных высокоуровневыми средствами проектирования и реализации вариантов, доведенных по качеству и легкости тиражирования до уровня программных продуктов технологических систем, которые получили название CASE-системы или CASE-технологии. В настоящее время не существует общепринятого определению CASE. Содержание этого понятия обычно определяется перечнем задач, решаемых с помощью CASE, а также совокупностью применяемых методов и средств. CASE-технология представляет собой совокупность методов анализа, проектирования, разработки и сопровождения ИС, поддержанную комплексом взаимосвязанных средств томатизации. CASE -- это инструментарий для системных аналитиков, разработчиков и программистов, позволяющий автоматизировать процесс проектирования и разработки ИС, прочно вошедший в практику создания и сопровождения ИС и ИТ. При этом CASE- системы используются не только как комплексные технологические конвейеры для производства ИС и ИТ, но и как мощный инструмент решения исследовательских и проектных задач, таких, как структурный анализ предметной области, спецификация проектов средствами языков программирования последнего поколения, выпуск проектной документации, тестирование реализации проектов, планирование и контроль разработок, моделирование деловых приложений с целью решения задач оперативного и стратегического планирования и управления ресурсами и т.п. Помимо автоматизации структурных методологий и как следствие возможности применения современных методов системной и программной инженерии CASE обладают следующими основными достоинствами: * улучшают качество создаваемых ИС (ИТ) за счет средств автоматического контроля (прежде всего, контроля проекта); * позволяют за короткое время создавать прототип будущей ИС (ИТ), что позволяет на ранних этапах оценить ожидаемый результат; * ускоряют процесс проектирования и разработки системы; * освобождают разработчика от рутинной работы, позволяя ему целиком сосредоточиться на творческой части проектирования; * поддерживают развитие и сопровождение уже функционирующей ИС (ИТ); * поддерживают технологии повторного использования компонентов разработки.

Информационные единицы и их совокупности

При рассмотрении структуры информации выделяются отдельные ее элементы, которые могут быть и простыми и сложными. Простые элементы не поддаются дальнейшему расчленению; сложные образуются как сочетание различных элементов и представляются информационными совокупностями. Структурные элементы называются информационными единицами. Выделяют следующие структурные единицы: реквизит, показатель, информационные сообщения, информационный массив, информационный поток, информационная система. Информационной единицей низшего уровняются реквизиты, из которых формируются более сложные структуры информации. Реквизиты отражают отдельные свойства объекта, включают в себя сочетание цифр или букв, имеющих смысловое содержание и не поддающееся дальнейшему делению. Показатель -- логическое высказывание, содержащее качественную и количественную характеристики отображаемого явления. Показатель является минимальной по составу информационной совокупностью для образования самостоятельного документа. Совокупность показателей, содержащихся в документе, образует информационное сообщение. Группа однородных документов, объеденных по определенному признаку (например, отчетному периоду), ставляет информационный массив (файл). Файл является основной структурной единицей при автоматизированной обработке. Массивы по различным признакам могут объединяться в потоки, используемые при решении различных комплексов задач управления. Информационная система охватывает всю информацию экономического объекта и является структурной единицей высшего уровня.

Организационно-управленческая сущность задачи

Задача -- проблемная ситуация с явно заданной целью, которую необходимо достичь; в более узком смысле задачей также называют саму эту цель, данную в рамках проблемной ситуации, то есть то, что требуется сделать. Ещё более узкое определение называет задачей ситуацию с известным начальным состоянием системы и конечным состоянием системы, причём алгоритм достижения конечного состояния от начального известен (в отличие от проблемы, в случае которой алгоритм достижения конечного состояния системы не известен). Управление персоналом является средством реализации кадровой политики организации. Термин «кадровая политика» подразумевает систему правил и норм, приводящих человеческий ресурс в соответствие со стратегией фирмы. Отсюда следует, что мероприятия по работе с кадрами -- отбор, составление штатного расписания, аттестация, обучение, продвижение -- заранее планируются и согласовываются с общим пониманием целей и задач организации. Кадровая политика предусматривает: * разработку общих принципов кадровой политики, определение ее целей; * планирование потребности в трудовых ресурсах, формулирование структуры и штата, назначения, создание резерва, перемещения (организационно-штатная политика); * создание и поддержку системы движения кадровой информации (информационная политика); * принципы распределения средств, обеспечение эффективной системы стимулирования труда (финансовая политика); * обеспечение программы развития, профориентацию и адаптацию сотрудников, планирование индивидуального продвижения, профессиональную подготовку и повышение квалификации (политика развития персонала); * оценку результатов деятельности, анализ соответствия кадровой политики стратегии организации, выявление проблем в кадровой работе, оценку кадрового потенциала. Все перечисленные направления кадровой политики организации отражаются в информационной системе, создаваемой в целях повышения эффективности реализуемых управленческих мероприятий. В рамках предприятия технологии и методы управления персоналом подразделяются на два основных направления: 1) формирование кадрового состава; 2) поддержание его работоспособности. Если рассматривать их в информационном аспекте, то: 1. Формирование кадрового состава начинается с проектирования структуры организации. На практике используются различные виды структурирования -- линейное, кольцевое, иерархическое и т.д. Организационное пространство может быть распределенным территориально (цеха, отделы), функционально (по направлениям деятельности), иерархически (начальник отдела, директор завода). В зависимости от типа выбранной структуры формируются информационные связи, которые составляют основу автоматизированной системы управления, в том числе управления персоналом. Частью общего процесса планирования в организации является планирование потребности в персонале. Успешное кадровое планирование основано на информации, включающей в себя ряд оценок: * сколько работников, какой квалификации, когда и где потребуется; * каким образом можно привлечь нужных работников и сохранить или оптимизировать использование излишнего персонала; * как лучше использовать персонал в соответствии со способностями и умениями работников и их внутренней мотивацией; * каким образом обеспечить условия для развития персонала; * каких затрат потребуют запланированные мероприятия. Подбор персонала осуществляется на основании предварительно выполненного анализа целей и стадий деятельности предприятия. Для этого необходимо дать ответы на следующие вопросы: * сколько времени необходимо работнику для выполнения основных производственных операций; * какие производственные операции можно сгруппировать в более общее понятие рабочего места; * как организовать рабочее место, чтобы увеличить производительность труда; * какой режим работы оптимален для данного рабочего места; * какими характеристиками должен обладать работник для выполнения данной производственной операции. Особое место занимает проблема привлечения кандидатов на работу в организацию. Цель набора персонала состоит в создании резерва кандидатов на все рабочие места с учетом возможных организационных и кадровых изменений, увольнений, перемещений и других факторов. Задача службы персонала состоит в осуществлении контроля за соответствием кадрового состава организации стоящим перед ней производственным задачам. 2. Методы поддержания работоспособности персонала включают в себя: * нормирование труда и мероприятия, направленные на повышение его производительности; * аттестацию (оценку труда и персонала); * формирование кадрового резерва; * стимулирование труда.

Документооборот. Технология применения электронного документооборота

Документооборот - это создание первичных учетных документов или получение их от других организаций, их принятие к учету, обработка, передача в архив. Для любого предприятия вопросы оптимизации документооборота и контроля обработки информации имеют ключевое значение. Электронный документооборот включает: создание документов, их обработку, передачу, хранение, вывод информации, циркулирующей в организации или предприятии, на основе использования компьютерных сетей. Под управлением электронным документооборотом в общем случае принято понимать организацию движения документов между подразделениями предприятия или организации, группами пользователей или отдельными пользователями. При этом под движением документов подразумевается не их физическое перемещение, а передача прав на их применение с уведомлением конкретных пользователей и контроля их исполнения. Критериями выбора системы автоматизации документооборота являются масштабы предприятия, степень технической и технологической подготовки в области компьютерной обработки, структуре управления, наличие или отсутствие других систем автоматизации управления. При выборе системы следует учитывать такие критерии: интеграция с другими автоматизированными системами и базами данных, легкость освоения, удобство работы, обеспечение работы в сетях, надежность системы и защита от несанкционированного доступа.

Специализированные системы управления документооборотом. Программа «1С: Электронный документооборот». Программа «Галактика», модуль «Управление документооборотом».

На российском рынке предлагается достаточно широкий выбор прикладных программ для автоматизации управления документооборотом. Приведем пример электронного документооборота. Программа «1С: Электронный документооборот» предназначается для автоматизации движения в организации потоков документов, их обработки и хранения. Программа позволяет разработать шаблоны документов и установить правила их заполнения пользователями, формализовать жизненные циклы документов, установить маршрутные схемы прохождения документов; контролировать работу исполнителей и выполнение ими временных графиков, обеспечить конфиденциальное хранение и обработку документов на рабочем месте, автоматизировать большую часть рутинных операций при составлении документов, отправлять и принимать документы, вести хранилище документов и обрабатывать их. Документы хранятся в машине в папках, имеющих древовидную структуру. Система поиска позволяет формировать простые и сложные запросы и сохранять результаты поиска на период работы. Большинство операций выполняется автоматически: автоприемка, автоконтроль. Система поддерживает несколько списков документов: «на контроле», «пришедшие», «несохраненные» и др. Можно установить пароль на вход в систему и выбрать способ шифрования личных документов. Контроль документов, находящимися в работе, осуществляется автоматически. Документы можно распечатывать. Программой «1С: Электронная почта» можно принимать и отправлять обычные сообщения. Этой же программой осуществляется перенос папки с документами в базу данных. Справочник организации позволяет вести иерархическую структуру отделов, поддерживать информационную связь начальника с подчиненными, вести списки рассылки документов и др. Внешний отладчик позволяет моделировать прохождение документа по маршруту. Редактор маршрута настраивает маршрут прохождения документов, определяет точки маршрута, в которых нужно рассылать копии документов другим пользователям. Каждому участнику маршрутной схемы можно установить право на просмотр или редактирование поля. Устанавливаются ограничения на время обработки документа для каждого участника маршрутной схемы. В программе «Галактика» модуль «Управление документооборотом» предназначен для учета, хранения и обработки документов (договоров, писем, приказов, протоколов совещаний и т.д.) в элек-тронной форме. Документы, входящие в документооборот, могут быть получены сканированием, по электронной почте или подготовлены с помощью различных текстовых редакторов. Модуль «Управление документооборотом» обеспечивает создание и ведение перечня дел фирмы, формирование полнотекстовых документов, создание классификации документов и использование ее в процессе работы, продвижение документов по маршруту обработки, ведение обработки и контроль исполнения документов, поиск документов, массовую их рассылку в подразделения и др.

Экспертные системы. Типичные категории применения экспертных систем. Технология использования экспертных систем.

Экспертная система - это система искусственного интеллекта, построенная на основе глубоких специальных знаний о некоторой предметной области (полученных от экспертов-специалистов этой области). Основой экспертной системы является совокупность знаний (базы знаний), структурированных в целях формализации процесса принятия решений. ЭС может функционировать в 2-х режимах. Режим ввода знаний -- в этом режиме эксперт посредством редактора базы знаний вводит известные ему сведения о предметной области в базу знаний ЭС. Режим консультации -- пользователь ведет диалог с ЭС, сообщая ей сведения о текущей задаче и получая рекомендации ЭС. Технология экспертных систем является одним из направлений новой области исследования, которая получила наименование искусственного интеллекта (Artificial Intelligence -- AI). Эта технология уже успешно применяется в некоторых областях техники и жизни общества -- органической химии, поиске полезных ископаемых, медицинской диагностике. Типичные категории применения экспертных систем:

1. интерпретация - Описание ситуации по информации, поступающей от датчиков;

2. прогноз - Определение вероятных последствий заданных ситуаций; 3. диагностика - Выявление причин неправильного функционирования системы по результатам наблюдений;

4. проектирование - Построение конфигурации объектов при заданных ограничениях;

5. планирование - Определение последовательности действий;

6. наблюдение - Сравнение результатов наблюдений с ожидаемыми результатами;

7. отладка - Составление способов исправления неправильного функционирования системы;

8. ремонт - Выполнение последовательно предписанных исправлений; 9. обучение - Диагностика, отладка и исправление поведения обучаемого; 10. управление - Управление поведением системы как целостной структуры.

Защита, безопасность информации и виды угроз

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Защита информации - не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации. По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на: правовые (законодательные); морально-этические; технологические; организационные (административные и процедурные); физические; технические (аппаратурные и программные). К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил. К морально-этическим мерам защиты относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Технические виды защиты: разного рода технологические решения и приемы, направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Организационные меры защиты - это меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации. Физические меры защиты основаны на применении разного рода механических, электро-или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. Технические меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих функции защиты. Действия, которые могут нанести ущерб информационной безопасности организации, можно разделить на несколько категорий. 1. Действия, осуществляемые авторизованными пользователями: целенаправленная кража или уничтожение данных на рабочей станции или сервере; повреждение данных пользователем в результате неосторожных действий. 2. "Электронные" методы воздействия, осуществляемые хакерами: несанкционированное проникновение в компьютерные сети; DOS-атаки (DOS (сокр. от Denial of Service - "отказ в обслуживании") - это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). 3. Компьютерные вирусы. 4. Спам: всего за несколько лет из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности: электронная почта в последнее время стала главным каналом распространения вредоносных программ; вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям. 5. "Естественные" угрозы: на информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные обстоятельства и т. д.

Обеспечение безопасности корпоративной сети

В настоящее время корпоративные компьютерные сети играют важную роль в деятельности многих организаций. Большинство корпоративных сетей подключены к глобальной сети Internet . В связи с этим всё серьёзнее становится угроза внешнего вмешательства в процессы нормального функционирования корпоративных сетей и несанкционированного доступа с их ресурсам со стороны злоумышленников - так называемых "хакеров". В основе функционирования всемирной сети Internet лежат стандарты IP -сетей. Каждое устройство в такой сети, однозначно идентифицируется своим уникальным IP -адресом. Однако при взаимодействии в IP -сети нельзя быть абсолютно уверенным в подлинности узла (абонента с которым осуществляется обмен информацией), имеющего определённый IP -адрес, т.к. средства программирования позволяют манипулировать адресами отправителя и получателя сетевых пакетов, и уже этот факт является частью проблемы обеспечения безопасности современных сетевых информационных технологий. Подключаясь к сетям общего пользования, организация преследует определённые цели и пытается эффективно решить следующие задачи: * обеспечить внутренним пользователям доступ к внешним ресурсам. Это, в первую очередь, WWW - ресурсы, FTP - архивы и т.п.; * предоставить доступ пользователям из внешней сети к некоторым внутренним ресурсам (корпоративному WEB - серверу, FTP - серверу и т.д.); * обеспечить взаимодействие с удалёнными филиалами и отделениями; * организовать доступ к ресурсам внутренней сети мобильных пользователей. Решая перечисленные задачи, организация сталкивается с рядом проблем, связанных с безопасностью. При взаимодействии с удалёнными филиалами и мобильными пользователями по открытым каналам возникает угроза перехвата передаваемой информации. Предоставление всеобщего доступа к внутренним ресурсам порождает угрозу внешних вторжений, имеющих целью получения конфиденциальной информации или выведение из строя узлов внутренней сети. Вопросы обеспечения безопасности корпоративных сетей удобно рассматривать, выделив несколько уровней информационной инфраструктуры, а именно: Уровень персонала, Уровень приложений, Уровень СУБД, Уровень ОС, Уровень сети. К уровню сети относятся используемые сетевые протоколы, каждый из которых имеет свои особенности, уязвимости и связанные с ними возможные атаки. К уровню операционных систем (ОС) относятся установленные на узлах корпоративной сети операционные системы (Windows , UNIX и т.д.). Следует также выделить уровень систем управления базами данных (СУБД), т.к. это, как правило, неотъемлемая часть любой корпоративной сети. На четвертом уровне находятся всевозможные приложения, используемые в корпоративной сети. Это может быть программное обеспечение Web -серверов, различные офисные приложения, броузеры и т.п. И, наконец, на верхнем уровне информационной инфраструктуры находятся пользователи и обслуживающий персонал автоматизированной системы, которому присущи свои уязвимости с точки зрения безопасности. Можно выделить несколько общих этапов проведения атаки на корпоративную сеть: * Сбор сведений, * Попытка получения доступа к наименее защищённому узлу (возможно, с минимальными привилегиями), * Попытка повышения уровня привилегий или (и) использование узла в качестве платформы для исследования других узлов сети, * Получение полного контроля над одним из узлов или несколькими. Защищённость системы в целом определяется защищённостью её наиболее слабого звена (например, почтового сервера). Ключевым механизмом защиты является процесс поиска и устранения уязвимостей. Далее рассматриваются различные варианты классификации уязвимостей и источники оперативной информации об обнаруженных уязвимостях.

Создание системы безопасности информации в организации

Создание систем информационной безопасности (СИБ) в организации основывается на следующих принципах: 1. Системный подход к построению системы защиты, означающий оптимальное сочетание взаимосвязанных организационных, программных, аппаратных, физических и других свойств, подтвержденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации. 2. Принцип непрерывного развития системы. Этот принцип, являющийся одним из основополагающих для компьютерных информационных систем, еще более актуален для СИБ. Способы реализации угроз информации в ИТ непрерывно совершенствуются, а потому обеспечение безопасности ИС заключается в реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа. 3. Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки. 4. Полнота контроля и регистрации попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИТ без ее предварительной регистрации. 5. Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала. 6. Обеспечение контроля функционирования системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

Требования к системам защиты информации и её элементам

Требования по защите информации определяются владельцем ИС и согласовываются с исполнителем работ по созданию системы защиты информации. В общем случае целесообразно выделить следующие группы требований к системам защиты информации: общие требования; организационные требования; конкретные требования к подсистемам защиты, техническому и программному обеспечению, документированию, способам, методам и средствам защиты. Обычно формулируются общие требования к следующим характеристикам: 1. способам построения СЗИ либо ее отдельных компонент; 2. к архитектуре вычислительных средств и ИС (к классу и минимальной конфигурации ЭВМ, операционной среде, ориентации на ту или иную программную и аппаратную платформы, архитектуре интерфейса); 3. затратам ресурсов на обеспечение СЗИ (к объемам дисковой памяти для программной версии и оперативной памяти для ее резидентной части, затратам производительности вычислительной системы на решение задач защиты); 4. к надежности функционирования СЗИ; 5. к количеству степеней секретности информации, поддерживаемых СЗИ; 6. к возможности СЗИ обслуживать определенное количество пользователей; 7. к возможности СЗИ реагировать на попытки несанкционированного доступа либо на «опасные ситуации»; 8. к наличию и обеспечению автоматизированного рабочего места администратора защиты информации в ИС; 9. к составу используемого программного и лингвистического обеспечения, к его совместимости с другими программными платформами, к возможности модификации и т.п.; 10. к используемым закупаемым компонентам СЗИ (наличие лицензии, сертификата и т.п.). Организационные требования к системе защиты предусматривают реализацию совокупности административных и процедурных мероприятий. Требования по обеспечению сохранности должны выполняться, прежде всего, на административном уровне. Конкретные требования к подсистемам защиты информации: СЗИ целесообразно условно разделить на подсистемы: 1. управления доступом к ресурсам ИС (включает также функции управления системой защиты в целом); 2. регистрации и учета действий пользователей (процессов); 3. криптографическую; 4. обеспечения целостности информационных ресурсов и конфигурации ИС. Для каждой из них определяются соответствующие требования. Требования к техническому обеспечению: в этой группе формулируются требования к следующим параметрам: месту применения средств защиты; способам их использования; размерам контролируемой зоны безопасности информации; требуемой величине показателей защищенности, учитывающей реальную обстановку на объектах ИС; проведению спецпроверки технических объектов ИС, целью которой является выявление специальных электронных (закладных) устройств. Требования к программному обеспечению: программные средства защиты информации должны обеспечивать контроль доступа, безопасность и целостность данных и защиту самой системы защиты. Для этого необходимо выполнить следующие условия: объекты защиты должны идентифицироваться в явном виде при использовании паролей, пропусков и идентификации по голосу; система контроля доступа должна быть достаточно гибкой для обеспечения многообразных ограничений и различных наборов объектов; каждый доступ к файлу данных или устройству должен прослеживаться через систему контроля доступа для того, чтобы фиксировать и документировать любое обращение. Требования к документированию: можно выделить три группы требований к документированию системы защиты информации: протоколирование, тестирование программ и обработка угроз. Требования по применению способов, методов и средств защиты: рекомендуется применение следующих способов, методов и средств, которые предполагают использование: 1. рациональных способов монтажа, при которых обеспечивается минимальная протяженность электрических связей и коммуникаций; 2. технических средств, в состав которых входят устойчивые к самовозбуждению схемы, развязывающие и фильтрующие элементы, комплектующие с низкими уровнями электромагнитных излучений; 3. средств локального либо общего экранирования; 4. способов оптимального размещения технических средств с целью минимизации контролируемой зоны безопасности информации.

Классификация методов защиты информации. Организационные методы защиты информации

По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на: правовые (законодательные); морально-этические; технологические; организационные (административные и процедурные); физические; технические (аппаратурные и программные). К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил. К морально-этическим мерам защиты относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Технические виды защиты: разного рода технологические решения и приемы, направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Физические меры защиты основаны на применении разного рода механических, электро-или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. Технические меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих функции защиты. Организационные меры защиты - это меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации. Организационные методы защиты информации делятся на организационно-административные и организационно-технические методы защиты. Организационно-административные методы зашиты информации регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, что несанкционированный доступ к информации становится либо невозможным, либо существенно затрудняется. К организационно-административным мероприятиям защиты информации относятся: 1.выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации; 2.выделение специальных ЭВМ для обработки конфиденциальной информации, 3. использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях; 4.организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации; 5. установление запрета на использование открытых каналов связи для передачи конфиденциальной информации; 6. разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации; 7. постоянный контроль за соблюдением установленных требований по защите информации. Организационно-технические методы защиты информации охватывают все структурные элементы автоматизированных информационных систем на всех этапах их жизненного цикла. Организационно-технической защита информации обеспечивается осуществлением следующих мероприятий: 1.ограничением доступа посторонних лиц внутрь корпуса оборудования за счет установки механических запорных устройств или замков, 2.отключением ЭВМ от ЛВС или сети удаленного доступа при обработке на ней конфиденциальной информации, кроме случаев передачи этой информации по каналам связи, 3. использованием для отображения конфиденциальной информации жидко- кристаллических, а для печати - струйных принтеров или термопечати с целью снижения утечки информации по электромагнитному каналу, 4. организацией электропитания ЭВМ от отдельного блока питания (с защитой от побочных электромагнитных излучений или от общей электросети через Фильтр напряжения), 5. и т.п.

Законодательная база защиты информации

Законодательные меры для регулирования вопросов защиты информации на государственном уровне применяются в большинстве развитых стран. Базовым законом в области защиты информации в РФ является принятый в начале 1995 года Федеральный Закон "Об информации, информатизации и защите информации" (далее для краткости - "Закон об информации"), который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов в Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации. Закон гласит: 1. информационные ресурсы делятся на ГОСУДАРСТВЕННЫЕ и НЕГОСУДАРСТВЕННЫЕ; 2. государственные информационные ресурсы РФ формируются в соответствии со сферами ведения как: федеральные информационные ресурсы; информационные ресурсы, находящиеся в совместном ведении Российской Федерации и субъектов Российской Федерации; информационные ресурсы субъектов Российской Федерации; 3. государственные информационные ресурсы являются ОТКРЫТЫМИ и ОБЩЕДОСТУПНЫМИ. Исключение составляет документированная информация, отнесенная законом к категории ОГРАНИЧЕННОГО ДОСТУПА; 4. документированная информация с ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к ГОСУДАРСТВЕННОЙ ТАЙНЕ, и КОНФИДЕНЦИАЛЬНУЮ. 5. конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации; 6. ПЕРСОНАЛЬНЫЕ ДАННЫЕ о гражданах, включаемые в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов местного самоуправления, а также получаемые и собираемые негосударственными организациями, отнесены к категории конфиденциальной информации. Из этого Закона следует: 1. информация из любой области знаний и деятельности в принципе является открытой и общедоступной, если законодательством не предусмотрено ограничение доступа к ней в установленном порядке; 2. категория "конфиденциальная информация", в соответствии с понятием, приведенным выше, объединяет все виды защищаемой информации (тайн). Это относится и к государственным и к негосударственным информационным ресурсам. При этом, исключение составляет информация, отнесенная к государственной тайне: она к конфиденциальной информации не относится, а является составной частью информации с ограниченным доступом. Статьей 21 "Закона об информации" предусмотрен контроль со стороны органов государственной власти за соблюдением требований к защите информации с ограниченным доступом, порядок которого определяет Правительство Российской Федерации. Это означает, что контроль состояния защиты должен охватывать все три составляющие информации с ограниченным доступом, входящей в государственные информационные ресурсы: информацию, составляющую государственную тайну; конфиденциальную информацию; персональные данные о гражданах. При этом, контроль в равной степени должен охватывать и негосударственные структуры при наличии у них (при передаче им на законном основании) указанных видов информации, входящих в государственные информационные ресурсы.

Технические методы защиты информации. Криптографические методы защиты информации

По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на: правовые (законодательные); морально-этические; технологические; организационные (административные и процедурные); физические; технические (аппаратурные и программные). Технические меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих функции защиты. Технические методы защиты информации делятся на два класса: физические и аппаратные. Защита информации в сетях и вычислительных средствах с помощью физических средств реализуется на основе организации доступа к памяти с помощью: 1. Контроля доступа к различным уровням памяти компьютеров. 2. Блокировки данных и ввода ключей. 3. Выделения контрольных битов для записей с целью идентификации и др. К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие: -специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности; -генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства;

-устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации; -схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы). В последнее время возрос интерес к современным аппаратным средствам криптографической защиты информации (АСКЗИ). Это обусловлено, прежде всего, простотой оперативностью их внедрения. Для этого достаточно у абонентов на передающей и приемной сторонах иметь аппаратуру АСКЗИ и комплект ключевых документов, чтобы гарантировать конфиденциальность циркулирующей в автоматизированных системах управления (АСУ) информации. Современные АСКЗИ строятся на модульном принципе, что дает возможность комплектовать структуру АСКЗИ по выбору заказчика. Безопасность обеспечивается гарантированной стойкостью шифрования и выполнением специальных требований , выбор которых обусловлен криптографическими стандартами. Надежность и быстродействие обработки информации зависят от состава выбранной структуры. АСКЗИ включает в себя ряд функционально завешенных узлов и блоков, обеспечивающих заданную надежность и быстродействие. К ним относятся: -входные устройства, предназначенные для ввода информации; -устройства преобразования информации, предназначенные для передачи информации от входных устройств на устройства вывода в зашифрованном, расшифрованном или открытом виде; -устройства вывода, предназначенные для вывода информации на соответствующие носители.

автоматизация нейросетевой управление безопасность сеть информационный

Программные средства и методы защиты информации

Програмные средства - это объективные формы представления совокупности данных и команд, предназначенных для функционирования компьютеров и компьютерных устройств с целью получения определенного результата, а также подготовленные и зафиксированные на физическом носителе материалы, полученные в ходе их разработок, и порождаемые ими аудиовизуальные отображения. К ним относятся: -Программное обеспечение (совокупность управляющих и обрабатывающих программ). Состав: -Системные программы (операционные системы, программы технического обслуживания); -Прикладные программы (программы, которые предназначены для решения задач определенного типа, например редакторы текстов, антивирусные программы, СУБД и т.п.); -Инструментальные программы (системы программирования, состоящие из языков программирования и трансляторов - комплекса программ, обеспечивающих автоматический перевод с алгоритмических и символических языков в машинные коды); -Машинная информация владельца, собственника, пользователя.

К программным средствам защиты относятся специальные программы, которые предназначены для выполнения функций защиты и включаются в состав программного обеспечения систем обработки данных. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:

-идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей; -определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей; -контроль работы технических средств и пользователей; -сигнализации при несанкционированных действиях; -вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.

Категории учёта защищаемой информации

Категорирование ресурсов АС, подлежащих защите, предполагает: * установление градаций важности (категории) обеспечения защиты ресурсов; * отнесение конкретных ресурсов к соответствующим категориям. Исходя из необходимости обеспечения различных уровней защиты разных видов информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в АС, вводится несколько категорий конфиденциальности и несколько категорий целостности защищаемой информации. «СТРОГО КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников); «КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников); «ОТКРЫТАЯ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется. Категории целостности защищаемой информации: «ВЫСОКАЯ» - к данной категории относится информация, несанкционированная модификация (искажение, подмена, уничтожение) или фальсификация (подделка) которой может привести к нанесению значительного прямого ущерба организации, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (средствами электронной цифровой подписи - ЭЦП) в соответствии с обязательными требованиями действующего законодательства, приказов, директив и других нормативных актов; «НИЗКАЯ» - к данной категории относится информация, несанкционированная модификация, подмена или удаление которой может привести к нанесению незначительного косвенного ущерба организации, ее клиентам, партнерам или сотрудникам, целостность которой должна обеспечиваться в соответствии с решением руководства; «НЕТ ТРЕБОВАНИЙ» - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.

Нейронные сети. Нейросетевые технологии

Нейронные сети - это принципиально новое направление в прогнозировании, получившее на сегодняшний день широкое распространение. Нейронная сеть - компьютерный алгоритм, построенный по принципу человеческого мозга и обладающий способностью к обучению. Использование компьютерной реализации моделей значительно увеличивает оперативность получения аналитического материала для принятия решений. Следовательно, выполняются такие основные свойства управления, как эффективность, непрерывность и оперативность. Кроме того, в самой природе нейронных сетей заложена возможность анализа большого объема косвенной и зашумленной информации. Нейросетевые технологии - это компьютерный алгоритм, работу которого можно условно разделить на два основных этапа: обучение и построение прогноза. Использование нейросетевых технологий как инструментальных средств перспективно в решении множества плохо формализуемых задач, в частности при анализе финансовой и банковской деятельности, биржевых, фондовых и валютных рынков, связанных с высокими рисками моделей поведения клиентов, и др. К основным преимуществам нейронных сетей можно отнести:

1. способность обучаться на множестве примеров в тех случаях, когда неизвестны закономерности развития ситуации и функции зависимости между входными и выходными данными. В таких случаях (к ним можно отнести до 80% задач финансового анализа) пасуют традиционные математические методы;

2. способность успешно решать задачи, опираясь на неполную, искаженную и внутренне противоречивую входную информацию;

3. эксплуатация обученной нейронной сети по силам любым пользователям;

4. нейросетевые пакеты позволяют исключительно легко подключаться к базам данных, электронной почте и автоматизировать процесс ввода и первичной обработки данных;

5. внутренний параллелизм, присущий нейронным сетям, позволяет практически безгранично наращивать мощность нейросистемы, т.е. сверхвысокое быстродействие за счет использования массового параллелизма обработки информации;

6. толерантность к ошибкам: работоспособность сохраняется при повреждении значительного числа нейронов;

7. способность к обучению: программирование вычислительной системы заменяется обучением;

8. способность к распознаванию образов в условиях сильных помех и искажений.

Генетический алгоритм. Этапы использования нейросетевых технологий

Генетимческий алгоримтм -- это эвристический алгоритм поиска, используемый для решения задач оптимизации и моделирования путём случайного подбора, комбинирования и вариации искомых параметров с использованием механизмов, напоминающих биологическую эволюцию. Является разновидностью эволюционных вычислений, с помощью которых решаются оптимизационные задачи с использованием методов естественной эволюции, таких как наследование, мутации, отбор и кроссинговер. Отличительной особенностью генетического алгоритма является акцент на использование оператора «скрещивания», который производит операцию рекомбинации решений-кандидатов, роль которой аналогична роли скрещивания в живой природе. Задача формализуется таким образом, чтобы её решение могло быть закодировано в виде вектора («генотипа») генов, где каждый ген может быть битом, числом или неким другим объектом. Некоторым, обычно случайным, образом создаётся множество генотипов начальной популяции. Они оцениваются с использованием «функции приспособленности», в результате чего с каждым генотипом ассоциируется определённое значение («приспособленность»), которое определяет насколько хорошо фенотип, им описываемый, решает поставленную задачу. Из полученного множества решений («поколения») с учётом значения «приспособленности» выбираются решения (обычно лучшие особи имеют большую вероятность быть выбранными), к которым применяются «генетические операторы» (в большинстве случаев «скрещивание» -- crossover и «мутация» -- mutation), результатом чего является получение новых решений. Для них также вычисляется значение приспособленности, и затем производится отбор («селекция») лучших решений в следующее поколение. Этот набор действий повторяется итеративно, так моделируется «эволюционный процесс», продолжающийся несколько жизненных циклов (поколений), пока не будет выполнен критерий остановки алгоритма. Таким критерием может быть: нахождение глобального, либо субоптимального решения; исчерпание числа поколений, отпущенных на эволюцию; исчерпание времени, отпущенного на эволюцию. Генетические алгоритмы служат, главным образом, для поиска решений в многомерных пространствах поиска. Нейросетевые технологии представляют собой совокупность определенных этапов. Первым этапом является четкое определение проблемы, т.е. того, что пользователь-аналитик собирается получить от нейросетевой технологии на выходе. Это может быть некоторый вектор, характеризующий систему или процесс. Вторым этапом является определение и подготовка исходных данных для реализации нейросетевой технологии. При этом отбирается вся необходимая, адекватно и полно описывающая процесс информация. Для наиболее успешного решения проблемы формирования наборов информации для последующего прогнозирования ситуаций рекомендуется привлекать хорошо знающих данную конкретную область специалистов. Сложность выполнения второго этапа заключается в том, что должен быть соблюден баланс между стремлением увеличить количество входных параметров и вероятностью получить плохо обучаемую сеть, которая может исказить ожидаемые прогнозы. Ввод данных в систему, подготовка данных, создание файлов для тренировки и тестирования можно считать самостоятельным третьим этапом. Основной целью работы на этом этапе является формирование необходимого набора ситуаций, с которыми придется работать аналитику, а затем распределение исходных данных по этим ситуациям. При этом нейросетевая технология автоматически реализует задачу классификации, в основе которой лежит нечеткая логика. В качестве входных параметров могут быть использованы искусственно созданные характеристики системы. На этапе подготовки данных анализируется степень их информационной насыщенности, для чего выявляется степень влияния конкретного параметра на прогнозируемую величину. Достигнув равномерного наполнения всех степеней зависимости, выявляется соответствие между прогнозируемой величиной и параметром в виде «Если..., то...; иначе...», что близко к реализации алгоритма нечеткой логики и экспертным системам. Выбор типа нейросетевой технологии и метода ее обучения можно выделить в самостоятельный этап. Последними этапами можно считать проведение тестирования нейросети и ее запуск для получения прогноза. Работоспособность первоначально обученных сетей проводится на тестовой выборке данных. По результатам тестов отбираются наиболее перспективные варианты. Использование нейросетевых технологий как инструментальных средств перспективно в решении множества плохо формализуемых задач, в частности при анализе финансовой и банковской деятельности, биржевых, фондовых и валютных рынков, связанных с высокими рисками моделей поведения клиентов, и др.