- •Частный институт управления и предпринимательства
- •А 42 Корпоративные информационные системы: Основы построения. Учебное пособие / а. И. Аксенов, а.Ф. Кривец – Мн.: Част. Ин-т упр. И пред., 2009. – с.
- •Содержание
- •1. Основные понятия корпоративных информационных систем
- •1.1. Компьютерные информационные технологии в управлении экономическим объектом.
- •1.2. Информационные системы.
- •1.3. Классификация информационных систем
- •1.4. Виды обеспечения информационных систем
- •1.5. Корпоративная информационная система (кис). Принципы организации кис.
- •1.6. Структура корпоративной информационной системы
- •1.7. Корпоративные информационные технологии
- •1.8. Требования к кис
- •2. Информационные ресурсы кис
- •2.1. Источники информации в кис
- •2.2. Информационные модели объекта управления
- •2.3. Информационные массивы и потоки
- •2.4. Информационное обеспечение кис
- •2.5. Информационные ресурсы и их роль в управлении экономикой
- •2.6. Информационные ресурсы Республики Беларусь
- •2.7. Государственные программы информатизации Республики Беларусь
- •3. Техническое и системное программное обеспечение кис
- •3.1. Технические средства кис и их классификация
- •3.2. Технические средства автоматизации производственных процессов
- •3.3. Системное программное обеспечение
- •3.4. Операционная среда
- •4. Сетевые технологии в корпоративных информационных системах
- •4.1. Компьютерные сети
- •4.2. Классификация компьютерных сетей
- •Технологии и сети
- •4.3. Понятие интерфейса и протокола компьютерных сетей
- •4.4. Понятие "открытой" системы. Модель osi.
- •4.5. Уровни модели osi [3]
- •4.6. Локальные компьютерные сети. Оборудование и методы доступа
- •4.7. Глобальная сеть Internet.
- •4.8. Адресация компьютеров в сетях [3,4]
- •4.9. Сервисы сети Internet [3,4]
- •Распределенная гипертекстовая информационная система www.
- •4.10. Корпоративные сети и их характеристика
- •4.11. Телекоммуникационные и Internet/Intranet-технологии в корпоративных информационных системах
- •4.12. Администрирование компьютерных сетей.
- •Почтовый сервер (Mail server) – сервер, обеспечивающий прием и передачу электронных писем пользователей, а также их маршрутизацию.
- •4.13. Перспективы развития телекоммуникационных технологий [4]
- •5. Корпоративные базы данных
- •5.1. Организация данных в корпоративных информационных системах.
- •Корпоративные базы данных и требования, предъявляемые к ним
- •Характеристика интеграционных решений корпоративных баз данных
- •5. 5.Системы управления базами данных и технологии доступа к данным в кис
- •6. Прикладное программное обеспечение кис
- •6.1. Программные средства моделирования экономических процессов [3,11]
- •6.2. Программное обеспечение кис.
- •6.3. Концепции управления компьютеризированными предприятиями [4]
- •II. Концепция внедрения ит в виде систем, таких как mrp, erp, crm.
- •III. Концепция csrp
- •6.4. Электронный бизнес, его классификация.
- •6.6. Корпоративные информационные системы в предметной области [4]
- •6.7. Пакеты ппо кис предметных областей, состояние рынка и перспективы его развития [4].
- •7. Системы искусственного интеллекта (ии)
- •7.1. Понятие систем ии, направления использования и развития [3,4]
- •7.2.Математические модели исследования ии.
- •7.3. Использование ии в экономике. Управление знаниями [4]
- •7.4. Понятие и назначение экспертной системы [3,4]
- •7.6. Режимы работы и классификация эс [3,4]
- •7.7. Понятие системы поддержки принятия решений [3,4]
- •7.8. Средства создания систем ии [4]
- •8. Обеспечение безопасности корпоративных информационных систем
- •8.1. Информационная безопасность, безопасная система
- •8.2. Критерии оценки информационной безопасности и классы безопасности информационных систем [4]
- •8.3. Политика информационной безопасности [3]
- •8.4. Классификация угроз информационной безопасности [3]
- •8.5. Понятие компьютерной преступности [4]
- •8.6. Программно-техническое обеспечение безопасности информационных систем [3,4]
- •8.7. Обеспечение безопасности в компьютерных сетях [4]
- •8.8. Организационно-экономическое обеспечение безопасности информационных систем [4]
- •8.9. Структура и функции системы информационной безопасности [4]
- •8.10. Методы защиты информации [4]
- •8.11. Правовое обеспечение безопасности информационных систем [3,4]
- •8.12. Нормативные акты Республики Беларусь об информатизации и защите информации
- •9. Проектирование корпоративных информационных систем
- •9.1. Понятие жизненного цикла и модели жизненного цикла кис [4]
- •9.2. Модели жизненного цикла кис [4]
- •9.3. Каноническое и индустриальное проектирование кис
- •9.4. Этапы проектирования кис [4]
- •9.5. Формирование требований к кис. Проблемы взаимодействия потребителя и проектировщика кис. Разработка концепции кис
- •Техническое задание
- •9.7. Технический проект
- •9.8. Рабочая документация. Ввод в действие. Сопровождение
- •9.9. Реинжиниринг бизнес-процессов [3,4]
- •9.10. Участники реинжиниринга бизнес-процессов [3,4]
- •9.11. Этапы реинжиниринга [4]
- •9.12. Моделирование бизнес-процессов [4]
- •9.13. Информационные технологии и реинжиниринг бизнес-процессов [4]
- •9.14. Примеры реализации реинжиниринга бизнес-процессов в предметной области [3].
- •9.15. Обзор систем автоматизированного проектирования кис [4]
- •9.16.Оценка эффективности внедрения информационных систем [4]
8.3. Политика информационной безопасности [3]
Политика информационной безопасности представляет собой документ, на основе которого строится комплексная система обеспечения безопасности информации корпорации. Политика безопасности строится в соответствии со спецификой корпорации и законодательной базой государства.
Формирование политики информационной безопасности включает в себя этапы:
1. Анализ рисков. При анализе рисков выполняются следующие мероприятия: инвентаризация, классификация, выявление угроз, оценка рисков.
Инвентаризация проводится для определения объема необходимой защиты, и в интересах контроля защищенности. Инвентаризации подлежат:
-
ресурсы данных: накопители файлов, базы данных, документация: учебные пособия, инструкции и описания по работе с элементами ИС, документы служебного и производственного уровня и т.д.;
-
программные ресурсы: системное и прикладное программное обеспечение, утилиты и т.д.;
-
материально-техническая база, обеспечивающая информационные ресурсы (вычислительное и коммуникационное оборудование, носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения и т. п).
-
коммунальное и хозяйственное обеспечение: отопление, освещение, энергоснабжение, кондиционирование воздуха;
-
человеческие ресурсы (наличие необходимых специалистов, уровень их профессионализма, психологические качества, связи в коммерческом мире и т.д.).
Классификация информационных ресурсов производится с целью определения их ценности. В качестве основной переменной, например, можно выбрать степень конфиденциальности информации со следующими значениями:
-
информация, содержащая государственную тайну - 3;
-
информация, содержащую коммерческую тайну - 2;
-
конфиденциальная информация (информация, не представляющая собой коммерческой или государственной тайны, хотя огласка ее нежелательна)-1;
-
свободная (открытая) информация - 0.
Другими переменными могут быть выбраны отношение того или иного ресурса к нарушениям основных трех аспектов информационной безопасности (конфиденциальности, целостности, доступности). При этом вводится n-бальная система оценки.
Выявление угроз. Определяются носители, потенциальные источники утечки информации, вероятности реализации разных видов угроз на основе анализа статистического материала. Так, например:
-
уничтожение всей информации в результате пожара (стихийного бедствия) может быть 1 раз в 40 лет;
-
несанкционированное чтение или копирование сотрудником закрытых сведений (активная угроза) может быть 1 раз в 4 года;
-
искажение информации в файле памяти ЭВМ из-за сбоя в аппаратуре или системных программах (пассивная угроза) может быть 1 раз в 10 дней.
Оценка рисков. Для каждого из информационных ресурсов определяется его интегральная ценность и возможные угрозы. Каждая из угроз оценивается с точки зрения её применимости к данному ресурсу, вероятности возникновения и возможного ущерба.
2. Определение стратегии защиты осуществляется по следующим направлениям:
предотвращение (предупреждение) ущерба (например, авторизация персонала на доступ к информации и технологии);
обнаружение угроз - обеспечение раннего обнаружения преступлений и злоупотреблений, даже если механизмы защиты были обойдены;
минимизация размера потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению;
восстановление - обеспечение эффективного восстановления информации в случае ее потери.
3. Составление документов политики информационной безопасности.
Специалисты рекомендует включать в состав документа, характеризующего политику безопасности организации, следующие разделы:
-
введение, где определяется отношение высшего руководства к проблемам информационной безопасности корпорации;
-
организационный раздел, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности, планы и график работы;
-
классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
-
штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
-
раздел физической защиты;
-
раздел управления информацией, описывающий подход к управлению компьютерами и компьютерными сетями;
-
раздел правил разграничения доступа к производственной информации;
-
раздел, характеризующий порядок разработки и сопровождения систем;
-
раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
-
юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.
4. Разработка программы реализации политики информационной безопасности.
На этом этапе выделяются ресурсы, назначаются ответственные, формируется план действий, определяется порядок контроля выполнения программы и т.п.
Таким образом, политика информационной безопасности корпорации представляет собой основной документ, на основе которого строится система обеспечения безопасности информации и который доводится до всех сотрудников.