Информационные системы и технологии

При планировании рабочего времени с минимальной трудоемкостью описываются плановые рабочие графики любой сложности на произвольный период:

* недельные рабочие графики для ИТР и служащих;

* сменные графики любой сложности;

* рабочие графики стохастической природы (например, раз в месяц с плавающим рабочим днем);

* свободные графики, при которых отсутствует планирование рабочего времени на каждый день.

В подсистеме осуществляются функции:

* планирования загрузки сотрудников на календарный год;

* оперативного планирования работы сотрудников (составление графиков рабочего времени, загрузки рабочих мест);

* ведения системы тарифных ставок;

* ведения учета норм времени и выработки и др.

В подсистеме ведутся журналы плановых и фактических отпусков, больничных листов, использования рабочего времени, учета выполненных работ, документов о дополнительном вознаграждении за труд.

Формируются такие документы, как плановые табели работы сотрудников по заказам, проектам, изделиям, операциям с учетом утвержденного графика работы, планы очередных отпусков, командировок и других плановых отсутствий, планы выработки на одного сотрудника.

Учет использования рабочего времени

Учет основан на трудовых соглашениях администрации и сотрудников, в которых оговариваются условия оплаты использованного времени сотрудников по дням недели и рабочим часам в течение дня, условия переработки и недоработки планового времени, сменная работа. Принимается во внимание плановое распределение работ по штатному расписанию. Учет фактически отработанного времени ведется в форме табеля. Возможно ведение нескольких табелей на одного сотрудника. Та или иная форма внесения данных в табель выбирается в зависимости от условий трудового соглашения или сложившейся технологии учета. Возможны следующие варианты:

* ведение ежедневных данных о приходе и уходе сотрудников;

* ведение журнала времени пребывания сотрудников на рабочем месте;

* ведение расчетных видов времени;

* ввод времени реального выполнения работы;

* внесение вручную итоговых данных за месяц по каждому сотруднику;

* ввод данных о регистрации сотрудников во время прихода-ухода в системе автоматического контроля входа-выхода.

В подсистеме могут формироваться документы: распределение рабочего времени по видам, плановая выработка по отдельным сотрудникам и др. Возможен анализ использованного рабочего времени по выбранному табельному листу. При необходимости выполняется расчет среднесписочной численности сотрудников предприятия.

Расчеты с персоналом, пенсионный и налоговый учет

Подсистема включает три основных блока: расчет начислений, учет расчетов с подотчетными лицами, пенсионный и налоговый учет.

Блок «Расчет начислений заработной платы» предназначен для решения всех задач, касающихся ведения расчетов начислений по доходам сотрудников и начислений по налогам и отчислениям с них. В подсистеме реализуются следующие функции:

1. Расчет сумм начислений. Могут использоваться разнообразные виды начислений по доходам и расходам. Каждый вид начислений имеет индивидуальную настройку на соответствующий алгоритм.

Возможен ввод данных через табель с учетом отпусков, бюллетеней, а также результатов работы. При необходимости могут осуществляться перерасчеты начислений. Данные о доходах сотрудников передаются в налоговые органы.

2. Ведение картотек на сотрудников. В подсистеме ведутся картотеки: налоговых карточек, лицевых карточек, расчетных карточек, оперативного архива начислений, пенсионных карточек, карточек учета стажа, платежных документов, сформированных справок и отчетов, депонентов, исполнительных документов.

3. Формирование отчетов. Формируются отчеты по расчетным листкам, перечислениям, различным типам платежных документов для налоговой инспекции с возможностью передачи данных о доходах сотрудников в электронном виде в налоговые инспекции в формате, утвержденном МНС России. Ведется персонифицированный учет отчислений в пенсионный фонд.

Блок «Учет расчетов с подотчетными лицами» предназначен для контроля за наличными деньгами и материальными ценностями, находящимися на ответственности сотрудников. Реализует следующие функции:

1. Ведение данных о видах и нормах расходов по подотчетным суммам.

2. Расчет и регистрация денежных сумм, вьщаваемых под отчет:

* ввод данных о вьщаваемой подотчетной сумме, включая планируемую дату выдачи, назначение, планируемую дату возврата подотчетной суммы;

* расчет объема подотчетной суммы на основании норм расходов;

* генерация расходовых кассовых ордеров на выдачу подотчетных сумм.

При регистрации авансовых отчетов возможны:

* автоматическая нумерация авансовых отчетов;

* формирование нового документа по образцу уже существующего;

* контроль полноты и корректности документа.

3. Настройка и автоматическое формирование бухгалтерских проводок с аналитикой по учету подотчетных сумм:

* автоматическая генерация проводок на основании данных о видах произведенных расходов;

* настройка процедур автоматической генерации проводок;

* ручная коррекция автоматически сформированных проводок.

4. Подведение итогов и закрытие подотчетной суммы:

* автоматическое исчисление баланса задолженности по подотчетной сумме;

* автоматическая генерация приходных кассовых ордеров для возврата подотчетным лицом неизрасходованной части выданной подотчетной суммы;

* автоматическое удержание неизрасходованной подотчетной суммы из заработной платы подотчетного лица.

При закрытии подотчетной суммы система автоматически исчисляет задолженность по подотчетной сумме. При наличии неизрасходованной части подотчетной суммы возможны либо автоматическая генерация приходно-кассовых ордеров для обеспечения возврата неизрасходованной части подотчетной суммы через кассу предприятия, либо автоматическая генерация удержания из заработной платы подотчетного лица. В случае перерасхода подотчетной суммы система может автоматически составить расходный кассовый ордер для дополнительной выдачи перерасходованной суммы через кассу предприятия.

Блок «Пенсионный и налоговый учет» предназначен для сбора, учета и анализа персонифицированной информации о сотрудниках, передачи ее в Пенсионный фонд и МНС России. Формирует документы персонифицированного учета в электронном виде и на бумажных носителях.

Осуществляет хранение, поиск и визуализацию сформированных документов и обработку данных, полученных в электронном виде из Пенсионного фонда. Позволяет контролировать стадии подготовки и передачи документов.

34. ИТ решения задач управления персоналом в корпоративных организациях

Основными принципами построения информационных систем управления персоналом в условиях корпоративных организаций являются следующие:

1. Единая стандартная база данных, содержащая всестороннюю информацию о персонале предприятия.

2. Исполнение в архитектуре «клиент-сервер» и в технологии распределенной обработки информации.

3. Построение комплексов из клиентских рабочих мест и серверного компонента (базы данных). Клиентская часть и база данных могут быть расположены на одном компьютере или разнесены в локальной сети на различные компьютеры.

4. Использование как однопользовательских, так и многопользовательских баз данных.

Применение однопользовательской версии возможно при небольшой численности сотрудников или при отсутствии распределенной обработки информации на предприятии.

В качестве особенностей реализации современных систем управления персоналом можно отметить следующие:

* ведение журнала регистрации действий пользователя;

* документирование базы данных;

* единое администрирование базы данных (управление доступом к базе данных, управление доступом к данным и используемым функциям);

* возможность использования большого количества показателей аналитического учета;

* использование встроенного и внешнего генератора отчетов.

Для ограничения доступа к корпоративной базе данных, ограничения выполняемых пользователями функций, сокращения рутинных операций, выполняемых системным администратором по настройке и управлению базой данных управления персоналом, служит специально создаваемая подсистема администрирования. В подсистеме автоматизируются основные операции по размещению учетных записей сервера базы данных:

* создание, удаление и изменение записей при входе на используемый сервер базы данных;

* определение необходимых прав доступа к выбранной базе данных;

* изменение пароля доступа;

* ассоциирование записи с именем пользователя базы данных

Специально назначаемый администратор автоматизированной системы управления персоналом распределяет права пользователей, зарегистрированных для одной или нескольких связанных между собой баз данных. Права пользователей могут быть детализированы на уровне работы с отдельным модулем комплекса, на уровне доступа к пункту меню выбранного модуля, на уровне структурного подразделения или группы подразделений.

Объекты доступа представляются в виде иерархического дерева. Допускается разрешение или запрет доступа как к объекту нижнего уровня, так и ко всей ветви в целом.

Интернет, трудовые ресурсы и работодатели

Интернет все чаще используется для поиска работников и работы. Сегодня в сети можно найти виртуальные кадровые агентства, сайты реальных кадровых агентств, доски объявлений, корпоративные сайты компаний с имеющимися вакансиями и т.д. И если не так давно найти работу с помощью Интернета могли в основном программисты, то теперь этот путь освоили и представители других профессий. Интернет по достоинству оценили и работодатели, и кадровые агентства, и соискатели работы.

Основные достоинства служб занятости -- скорость, доступность и бесплатность информации. Они также позволяют более подробно сформулировать требования к кандидату, чем, например, газетное объявление. Это повышает качество поиска. И работодатели активно пользуются этими возможностями. К помощи Интернета прибегают, когда не хватает собственной базы или специалиста нужно найти срочно. Некоторые кадровые агентства считают, что Интернет вообще стал основным источником кадров.

Согласно имеющимся данным, чаще всего находят работу через Интернет специалисты по маркетингу, инженерно-технические специалисты, секретари, кадровики, бухгалтеры, банковские специалисты.

Считается, что наибольшую отдачу от Интернета получают те, кто ищет специалистов по информационным технологиям и телекоммуникациям.

Конечно, работу через Интернет находят далеко не все желающие.

Если специальность не пользуется спросом на рынке труда или соискателю явно не хватает опыта, то в Интернете шансы найти работу достаточно малы. Число ищущих работу специалистов многократно превышает предложение, да и в Интернет попадает пока всего небольшая часть вакансий. Случаются и явные просчеты со стороны соискателей. Следует оставлять о себе максимально подробную информацию, а не Ограничиваться общими словами типа «опытный программист ищет работу». Поиск работы требует активной стратегии: не просто оставлять свои резюме в различных базах и ждать предложений, а активно откликаться на уже имеющиеся объявления о вакансиях.

В общем, поиск работы через Интернет -- пока не самый лучший способ трудоустройства. Но возможно, что уже в ближайшее время сетевые «биржи труда» окажутся гораздо эффективнее других способов поисков работы.

Очевидно, главным конкурентом обычных рекрутинговых агентств станет не бесплатный Интернет, а платные базы данных. В Интернете размещается полноценная регулярно обновляемая база данных с избыточной информацией о соискателях и возможностью многофакторного поиска. Работодатель сам отыскивает в базе интересующие его кандидатуры, но получить адреса может, лишь заплатив за них. О преимуществах такой организации поиска свидетельствует факт существования десятков зарубежных платных рекрутинговых баз данных, а также русского единственного аналога www. pointjob. ru. Если работодатель обращается в бесплатный Интернет, то это оборачивается неделями утомительного поиска и бесконечных собеседований. Платная база данных, таким образом, оказывается средством экономии как денег, так и времени.

Однако платными базами данных в Интернете пользуется небольшое число российских компаний. Отнюдь не из-за бедности -- руководители отделов кадров не привыкли, чтобы кто-то решал за них, сможет конкретный человек работать в фирме или нет. Но платная база данных как источник информации и средство предварительного отсева руководителя службы персонала могла бы вполне устроить. Вследствие этого рынок труда стал бы намного больше.

Уже сегодня нет ничего фантастического в проведении различных

тестов через Интернет или визуальном удаленном собеседовании посредством видеокамеры, что обеспечило бы более высокий уровень контроля за качеством поступающей от кандидатов информации.

Не исключено, что можно будет даже тестировать соискателей на виртуальных «детекторах лжи», а развитие средств связи позволит оперативно проверять их данные.

35. Необходимость обеспечения информационной безопасности ИС и ИТ

Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность не только становится обязательной, она еще и одна из характеристик ИС. Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль (например, банковские информационные системы).

Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на ИС.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Если исходить из классического рассмотрения кибернетической модели любой управляемой системы, возмущающие воздействия на нее могут носить случайный характер. Поэтому среди угроз безопасности информации следует выделять как один из видов угрозы случайные, или непреднамеренные. Их источником могут быть выход из строя аппаратных средств, неправильные действия работников ИС или ее пользователей, непреднамеренные ошибки в программном обеспечении и т.д. Такие угрозы тоже следует держать во внимании, так как ущерб от них может быть значительным. Однако в данной главе наибольшее внимание уделяется угрозам умышленным, которые в отличие от случайных преследуют цель нанесения ущерба управляемой системе или пользователям. Это делается нередко ради получения личной выгоды.

Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют взломщиком, а иногда «компьютерным пиратом» (хакером).

В своих противоправных действиях, направленных на овладение чужими секретами, взломщики стремятся найти такие источники конфиденциальной информации, которые бы давали им наиболее достоверную информацию в максимальных объемах с минимальными затратами на ее получение. С помощью различного рода уловок и множества приемов и средств подбираются пути и подходы к таким источникам. В данном случае под источником информации подразумевается материальный объект, обладающий определенными сведениями, представляющими конкретный интерес для злоумышленников или конкурентов.

Защита от умышленных угроз -- это своего рода соревнование обороны и нападения: кто больше знает, предусматривает действенные меры, тот и выигрывает.

Многочисленные публикации последних лет показывают, что злоупотребления информацией, циркулирующей в ИС или передаваемой по каналам связи, совершенствовались не менее интенсивно, чем меры защиты от них. В настоящее время для обеспечения защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода, включающего комплекс взаимосвязанных мер (использование специальных технических и программных средств, организационных мероприятий, нормативно-правовых актов, морально-этических мер противодействия и т.д.). Комплексный характер защиты проистекает из комплексных действий злоумышленников, стремящихся любыми средствами добыть важную для них информацию.

Сегодня можно утверждать, что рождается новая современная технология -- технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Реализация этой технологии требует увеличивающихся расходов и усилий. Однако все это позволяет избежать значительно превосходящих потерь и ущерба, которые могут возникнуть при реальном осуществлении угроз ИС и ИТ.

Вилы умышленных угроз безопасности информации

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.

Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты.

К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в БД, разрушение ПО компьютеров, нарушение работы линий связи и т.д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.

Умышленные угрозы подразделяются также на внутренние (возникающие внутри управляемой организации) и внешние.

Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом.

Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями). По данным зарубежных источников, получил широкое распространение промышленный шпионаж -- это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.

К основным угрозам безопасности информации и нормального функционирования ИС относятся:

* утечка конфиденциальной информации;

* компрометация информации;

* несанкционированное использование информационных ресурсов;

* ошибочное использование информационных ресурсов;

* несанкционированный обмен информацией между абонентами;

* отказ от информации;

* нарушение информационного обслуживания;

* незаконное использование привилегий.

(36) Утечка конфиденциальной информации -- это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:

* разглашения конфиденциальной информации;

* ухода информации по различным, главным образом техническим, каналам;

* несанкционированного доступа к конфиденциальной информации различными способами.

Разглашение информации ее владельцем или обладателем есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.

Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.

Несанкционированный доступ -- это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Наиболее распространенными путями несанкционированного доступа к информации являются:

* перехват электронных излучений;

* принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;

* применение подслушивающих устройств (закладок);

* дистанционное фотографирование;

* перехват акустических излучений и восстановление текста принтера;

* чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

* копирование носителей информации с преодолением мер защиты;

* маскировка под зарегистрированного пользователя;

* маскировка под запросы системы;

* использование программных ловушек;

* использование недостатков языков программирования и операционных систем;

* незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;

* злоумышленный вывод из строя механизмов защиты;

* расшифровка специальными программами зашифрованной информации;

* информационные инфекции.

Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки -- это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений. Причиной возникновения каналов утечки являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации -- канал утечки.

Однако есть и достаточно примитивные пути несанкционированного доступа:

* хищение носителей информации и документальных отходов;

* инициативное сотрудничество;

* склонение к сотрудничеству со стороны взломщика;

* выпытывание;

* подслушивание;

* наблюдение и другие пути.

Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует ИС, так и для ее пользователей.

Менеджерам следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организаций и их сотрудников.

Например, к причинам и условиям, создающим предпосылки для утечки коммерческих секретов, могут относиться:

* недостаточное знание работниками организации правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения;

* использование неаттестованных технических средств обработки конфиденциальной информации;

* слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;

* текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;

* организационные недоработки, в результате которых виновниками утечки информации являются люди -- сотрудники ИС и ИТ.

(37) Большинство из перечисленных технических путей несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности. Но борьба с информационными инфекциями представляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых -- порча информации в БД и ПО компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.

Вредоносные программы классифицируются следующим образом:

Логические бомбы, как вытекает из названия, используются для искажения или уничтожения информации, реже с их помощью совершаются кража или мошенничество. Манипуляциями с логическими бомбами обычно занимаются чем-то недовольные служащие, собирающиеся покинуть данную организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями и т.п.

Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу расчета заработной платы определенные изменения, которые начинают действовать, когда его фамилия исчезнет из набора данных о персонале фирмы.

Троянский конь -- программа, выполняющая в дополнение к основным, т. е. запроектированным и документированным действиям, действия дополнительные, не описанные в документации. Аналогия с древнегреческим троянским конем оправдана -- и в том и в другом случае в не вызывающей подозрения оболочке таится угроза. Троянский конь представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем передается (дарится, продается, подменяется) пользователям ИС. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне и т.д.). Запустивший такую программу подвергает опасности как свои файлы, так и всю ИС в целом. Троянский конь действует обычно в рамках полномочий одного пользователя, но в интересах другого пользователя или вообще постороннего человека, личность которого установить порой невозможно.

Наиболее опасные действия троянский конь может выполнять, если запустивший его пользователь обладает расширенным набором привилегий. В таком случае злоумышленник, составивший и внедривший троянского коня, и сам этими привилегиями не обладающий, может выполнять несанкционированные привилегированные функции чужими руками.

Для защиты от этой угрозы желательно, чтобы привилегированные и непривилегированные пользователи работали с различными экземплярами прикладных программ, которые должны храниться и защищаться индивидуально. А радикальным способом защиты от этой угрозы является создание замкнутой среды использования программ.

Вирус -- программа, которая может заражать другие программы путем включения в них модифицированной копии, обладающей способностью к дальнейшему размножению.

Считается, что вирус характеризуется двумя основными особенностями:

1) способностью к саморазмножению;

2) способностью к вмешательству в вычислительный процесс (т. е. к получению возможности управления).

Наличие этих свойств, как видим, является аналогом паразитирования в живой природе, которое свойственно биологическим вирусам.

В последние годы проблема борьбы с вирусами стала весьма актуальной, поэтому очень многие занимаются ею. Используются различные организационные меры, новые антивирусные программы, ведется пропаганда всех этих мер. В последнее время удавалось более или менее ограничить масштабы заражений и разрушений. Однако, как и в живой природе, полный успех в этой борьбе не достигнут.

Червь -- программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. Червь использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Наиболее известный представитель этого класса -- вирус Морриса (червь Морриса), поразивший сеть Internet в 1988 г. Подходящей средой распространения червя является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют. Наилучший способ защиты от червя -- принятие мер предосторожности против несанкционированного доступа к сети.

Захватчик паролей -- это программы, специально предназначенные для воровства паролей. При попытке обращения пользователя к терминалу системы на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля возможен и другими способами. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе ввода, а не какой-нибудь другой.

Кроме того, необходимо неукоснительно придерживаться правил использования паролей и работы с системой. Большинство нарушений происходит не из-за хитроумных атак, а из-за элементарной небрежности.

Соблюдение специально разработанных правил использования паролей -- необходимое условие надежной защиты.

Компрометация информации (один из видов информационных инфекций). Реализуется, как правило, посредством несанкционированных изменений в базе данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. При использовании скомпрометированной информации потребитель подвергается опасности принятия неверных решений.

Несанкционированное использование информационных ресурсов, с одной стороны, является последствиями ее утечки и средством ее компрометации. С другой стороны, оно имеет самостоятельное значение, так как может нанести большой ущерб управляемой системе (вплоть до полного выхода ИТ из строя) или ее абонентам.

Ошибочное использование информационных ресурсов будучи санкционированным тем не менее может привести к разрушению, утечке или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в ПО ИТ.

Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен. Последствия -- те же, что и при несанкционированном доступе.

Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или отправки.

Это позволяет одной из сторон расторгать заключенные финансовые соглашения «техническим» путем, формально не отказываясь от них, нанося тем самым второй стороне значительный ущерб.

Нарушение информационного обслуживания -- угроза, источником которой является сама ИТ. Задержка с предоставлением информационных ресурсов абоненту может привести к тяжелым для него последствиям. Отсутствие у пользователя своевременных данных, необходимых для принятия решения, может вызвать его нерациональные действия.

Незаконное использование привилегий. Любая защищенная система содержит средства, используемые в чрезвычайных ситуациях, или средства которые способны функционировать с нарушением существующей политики безопасности. Например, на случай внезапной проверки пользователь должен иметь возможность доступа ко всем наборам системы. Обычно эти средства используются администраторами, операторами, системными программистами и другими пользователями, выполняющими специальные функции.

Большинство систем защиты в таких случаях используют наборы привилегий, т. е. для выполнения определенной функции требуется определенная привилегия. Обычно пользователи имеют минимальный набор привилегий, администраторы -- максимальный.

Наборы привилегий охраняются системой защиты. Несанкционированный (незаконный) захват привилегий возможен при наличии ошибок в системе защиты, но чаще всего происходит в процессе управления системой защиты, в частности при небрежном пользовании привилегиями.

При описании в различной литературе разнообразных угроз для ИС и способов их реализации широко используется понятие атаки на ИС. Атака -- злонамеренные действия взломщика (попытки реализации им любого вида угрозы). Например, атакой является применение любой из вредоносных программ. Среди атак на ИС часто выделяют «маскарад» и «взлом системы», которые могут быть результатом реализации разнообразных угроз (или комплекса угроз).

Под «маскарадом» понимается выполнение каких-либо действий одним пользователем ИС от имени другого пользователя.

Под взломом системы понимают умышленное проникновение в систему, когда взломщик не имеет санкционированных параметров для входа.

Условием, способствующим реализации многих видов угроз ИС, является наличие «люков». Люк -- скрытая, недокументированная точка входа в программный модуль, входящий в состав ПО ИС и ИТ. Люк вставляется в программу обычно на этапе отладки для облегчения работы: данный модуль можно вызывать в разных местах, что позволяет отлаживать отдельные части программы независимо.

Наличие люка позволяет вызывать программу нестандартным образом, что может отразиться на состоянии системы защиты. Люки могут остаться в программе по разным причинам:

* их могли забыть убрать;

* для дальнейшей отладки;

* для обеспечения поддержки готовой программы;

* для реализации тайного доступа к данной программе после ее установки.

Большая опасность люков компенсируется высокой сложностью их обнаружения (если, конечно, не знать заранее о их наличии), так как обнаружение люков -- результат случайного и трудоемкого поиска.

Защита от люков одна -- не допускать их появления в программе, а при приемке программных продуктов, разработанных другими производителями, следует проводить анализ исходных текстов программ с целью обнаружения люков.

38. Оценка безопасности ИС

В условиях использования ИТ под безопасностью понимается состояние защищенности ИС от внутренних и внещних угроз.

Показатель защищенности ИС -- характеристика средств системы, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню и глубине в зависимости от класса защищенности.

Для оценки реального состояния безопасности ИС могут применяться различные критерии.

Для предоставления пользователю возможности оценки вводится некоторая система показателей и задается иерархия классов безопасности. Каждому классу соответствует определенная совокупность обязательных функций. Степень реализации выбранных критериев показывает текущее состояние безопасности.

Последующие действия сводятся к сравнению реальных угроз с реальным состоянием безопасности.

Если реальное состояние перекрывает угрозы в полной мере, система безопасности считается надежной и не требует дополнительных мер. Такую систему можно отнести к классу систем с полным перекрытием угроз и каналов утечки информации. В противном случае система безопасности нуждается в дополнительных мерах защиты.

Рассмотрим кратко подходы к оценке безопасности ИС в США и в России. Вопросами стандартизации и разработки нормативных требований на защиту информации в США занимается Национальный центр компьютерной безопасности министерства обороны США (NCSC -- National Computer Security Center). Центр еще в 1983 г. издал критерии оценки безопасности компьютерных систем (TCSEC -- Trusted Computer System Evaluation Criteria). Этот документ обычно называется Оранжевой книгой. В 1985 г. она была утверждена в качестве правительственного стандарта. Оранжевая книга содержит основные требования и специфицирует классы для оценки уровня безопасности компьютерных систем. Используя эти критерии, NCSC тестирует эффективность механизмов контроля безопасности компьютерных систем. Критерии, перечисленные в Оранжевой книге, делают безопасность величиной, допускающей ее измерение, и позволяют оценить уровень безопасности той или иной системы. Возможности анализа степени безопасности ИС привели к международному признанию федерального стандарта США. NCSC считает безопасной систему, которая посредством специальных механизмов защиты контролирует доступ информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации.

В Оранжевой книге приводятся следующие уровни безопасности систем:

* высший класс, обозначается как А;

* промежуточный класс -- В;

* низкий уровень безопасности -- С;

* класс систем, не прошедших испытания -- Д.

Класс Д присваивается тем системам, которые не прошли испытания на более высокий уровень защищенности, а также системам, использующим для защиты лишь отдельные мероприятия или функции (подсистемы безопасности).

Класс С разбивается на два подкласса (по возрастающей требований к защите). Так как С1 должен обеспечивать избирательную защиту, средства безопасности систем класса С! должны удовлетворять требованиям избирательного управления доступом, обеспечивая разделение пользователей и данных. Для каждого объекта и субъекта задается перечень допустимых типов доступа (чтение, запись, печать и т.д.) субъекта к объекту. В системах этого класса обязательны идентификация (присвоение каждому субъекту персонального идентификатора) и аутентификация (установление подлинности) субъекта доступа, а также поддержка со стороны оборудования.

Класс С2 должен обеспечивать управляемый доступ, а также ряд дополнительных требований. В частности, в системах этого класса обязательно ведение системного журнала, в котором должны отмечаться события, связанные с безопасностью системы. Сам журнал должен быть защищен от доступа любых пользователей, за исключением сотрудников безопасности.

В системах класса В, содержащего три подкласса, должен быть полностью контролируемый доступ. Должен выполняться ряд требований, главным из которых является наличие хорошо разработанной и документированной формальной модели политики безопасности, требующей действия избирательного и полномочного управления доступом ко всем объектам системы. Вводится требование управления информационными потоками в соответствии с политикой безопасности.

Политика безопасности -- представляет собой набор законов, правил и практического опыта, на основе которых строятся управление, защита и распределение конфиденциальной информации.

Анализ классов безопасности показывает, что, чем он выше, тем более жесткие требования предъявляются к системе.

39. Нормативные документы по стандартизации

Унифицированная система документации (УСД) включает комплекс взаимосвязанных стандартных форм документов и правил их оформления на основе применения средств вычислительной техники.

В 1970-х годах был утвержден, а в 1994 г. подтвержден ГОСТ на унифицированную систему организационно-распорядительной документации.

В него вошел комплекс стандартов на составление: актов делового письма, докладной записки, постановлений, заявлений, инструкций, кадровой анкеты, объяснительной записки, правил, представлений, приказов, распоряжений, структуры и штатной численности, устава, штатного расписания и др.

Пересмотрены и утверждены новые государственные стандарты на ряд специальных унифицированных систем документации: плановую документацию, по бухгалтерскому учету, материально-техническому снабжению, финансам, статистическую документацию и др.

Каждой утвержденной Госстандартом России форме документа присваивается в соответствии с Общегосударственным классификатором управленческой деятельности -- ОКУД код, который располагается в верхней правой части документа. Основой построения стандартных форм документов являются утвержденные формуляры-образцы.

Так, составление организационно-распорядительных документов регламентируется государственными стандартами; это -- основные положения о составлении и оформлении документов и формуляр-образец, представляющий собой модель формы, присущей данной унифицированной системе.

Унифицированная система документации устанавливает общие требования к разработке всех документов и их содержанию, включает формы документов, государственные стандарты и методические материалы, регламентирующие порядок оформления, согласования и утверждения документов.

Так, в соответствии с правилами, утвержденными ГОСТом, первичные документы должны: содержать достоверные данные о состоянии объекта и минимальный, но достаточный объем исходных данных для получения максимальной результатной информации, используемой для управления организацией; обслуживать все звенья и виды хозяйственного руководства и обеспечивать выполнение не только функции учета, но и функции регулирования и оперативного управления; быть максимально приспособленными для машинной обработки и удобными для восприятия человеком; содержать минимум реквизитов документа за счет исключения из него нормативных, расценочных, справочных, а также производных данных; реквизиты, вводимые с клавиатуры в машину, должны быть по возможности сконцентрированы в одной части документа и обведены утолщенной линией.

Первичный документ включает определенный состав реквизитов-признаков, справочных и группировочных, и реквизитов-оснований, исходных и результатных. Унифицированный документ состоит из трех частей: заголовочной, содержательной и оформительской.

Заголовочная часть содержит: наименование предприятия, организации, работающего, оборудования; характеристику документа (ОКУД); наименование документа; зону для размещения постоянных на документ реквизитов-признаков и их кодов (предприятие, склад, вид операции, цех, требование и т. д.)

Содержательная часть строится в виде таблицы, состоящей из строк и граф, в которых размещаются переменные реквизиты-признаки и количественно-суммовые реквизиты-основания (наименование, номенклатурный номер, количество, код производственных затрат и т. д.)

Оформительская часть документа содержит подписи лиц, несущих юридическую ответственность за составление документа (отпустил, получил).

Результатная информация предназначена для целей управления и передается непосредственно потребителям. Для лиц, которые анализируют информацию и принимают на ее основании решения, важно, в каком виде эти данные выведены машиной -- форма представления результатной информации.

Наиболее распространенной и удобной для пользователей формой вывода результатов обработки является печать информации в разнообразных документах, сводках, отчетах, таблицах, удобных для восприятия человеком. Классификация выходных документов приводится

Для получения небольших по размеру сводок и особенно организации информационно-справочного обслуживания по различным запросам пользователей для вывода результатной информации широко применяются видеотерминальные устройства, с помощью которых данные выдаются на экран дисплея в цифровой, алфавитно-цифровой и графической формах. Это обеспечивает наглядность и удобство для пользователей, особенно работающих на ПК, позволяет им оперативно корректировать информацию. При проектировании форм вывода на дисплей результатной информации придерживаются общих требований и специальных, учитывающих емкость информационного поля, обеспечивающую полное отображение на экране дисплея результатной информации.

Если результаты от решения одной задачи используют в качестве входной информации для решения другой задачи (нормативные данные, полученные в результате решения задач технической подготовки производства, используют в качестве входной информации при решении задач технико-экономического планирования, бухгалтерского учета), то результатную информацию представляют на машинных носителях (гибких магнитных дисках). Эта форма представления результатной информации используется и для переноса информации с одной машины на другую.

К выходным сводкам предъявляются следуюшие требования: состав содержащихся в них показателей должен быть достаточным для целей управления; особое внимание уделяется достоверности отражаемых данных, их логическому расположению; сводки должны выдаваться к указанному сроку, в регламентном режиме и при ответе на запрос; машина должна изготовлять готовые для использования таблицы: печатный титульный лист, заголовочную часть, содержание таблицы и оформляющую часть.

40. Табличные процессоры

Табличные процессоры, или электронные таблицы (ЭТ), имеют давнюю историю применения в сфере бизнеса. Разработки нового поколения, такие, как Excel (Microsoft Inc.), Quattro Pro (Corel Corp.), Lotus (Lotus Development Corp.), отличаются качественно новыми возможностями и уровнем функциональности, позволяющими рассматривать их как мощные системы поддержки принятия решений (decision support system). К наиболее существенным из них следует отнести:

широкие возможности математического, статистического и графического анализа данных;

эффективное моделирование проблем вида «что будет, если»;

прямой доступ к внешним базам данных;

развитый интерфейс с другими популярными пакетами;

возможность разработки пользовательских программ на языке высокого уровня;

поддержку средств мультимедиа;

наличие инструментария для работы в сети Интернет и др.

Несмотря на существование жесткой конкуренции среди разработчиков ЭТ, лидером на сегодняшний день в этом классе является семейство ППП Excel. Помимо широких функциональных возможностей ППП Excel позволяет осуществлять разработку собственных приложений на популярном языке программирования высокого уровня Visual Basic for Application (VBA). В настоящее время существуют сотни различных приложений, выполненных в виде надстроек к ППП Excel и предназначенных для решения широкого круга задач -- от математического и статистического анализа, до реализации систем искусственного интеллекта.

Размещено на Allbest.ru