- •Лекции по дисциплине «Информационные технологии в менеджменте»
- •Информационное общество
- •Понятие информации, виды, свойства.
- •Понятие системы и ее свойства
- •Основные признаки систем
- •Федеральная целевая программа "Электронная Россия".
- •Основные направления программы
- •Информационные системы, классификация.
- •Информационные технологии, классификация.
- •Объекты проектирования ис и ит в управлении организацией
- •Концепция систем поддержки принятия решений (сппр).
- •Реинжиниринг бизнес-процессов
- •Контроллинг
- •Системы искусственного интеллекта
- •Стадии и этапы создания ис и ит
- •Особенности информационной технологии в организациях различного типа.
- •Понятие информационного обеспечения, его структура.
- •Внемашинное информационное обеспечение. Системы классификации и кодирования.
- •Внемашинное информационное обеспечение. Унифицированная система документации и организация документопотоков.
- •Варианты организации внутримашинного информационного обеспечения.
- •Банк данных, его состав, модели баз данных.
- •Vba (Visual Basic for Applications) - объектно-ориентированный язык программирования.
- •Хранилища данных и базы знаний – перспектива развития ио в управлении.
- •Электронная коммерция
- •Классификация систем электронной коммерции.
- •Методология совокупной стоимости владения или ссв (Total Cost of Ovnership, тсо)
- •Пути снижения совокупной стоимости владения
- •Факторы времени при расчете экономической эффективности ис
- •Показатели экономической эффективности ис
- •Информационные технологии управления предприятием
- •Планирование потребности в производственных мощностях (crp)
- •Замкнутый цикл планирования материальных ресурсов (clmpr)
- •Планирование ресурсов производства (mrp II)
- •Планирование ресурсов предприятия (erp I)
- •Производство на мировом уровне (wcm)
- •Оптимизация управления ресурсами (erp II)
- •Менеджмент как сотрудничество (csrm)
- •Особенности модели
- •Угрозы информационной безопасности
- •Пути реализации угроз информационной безопасности
- •Этапы разработки систем зашиты
- •Идентификационные системы
- •Биометрические системы
Этапы разработки систем зашиты
При первоначальной разработке и реализации системы защиты ИС обычно выделяют три стадии.
Первая стадия — выработка требований включает:
выявление и анализ уязвимых в ИС и ИТ элементов, которые могут подвергнуться угрозам;
выявление или прогнозирование угроз, которым могут подвергнуться уязвимые элементы ИС;
анализ риска.
Стоимостное выражение вероятного события, ведущего к потерям, называют риском. Оценки степени риска в случае осуществления того или иного варианта угроз, выполняемые по специальным методикам, называют анализом риска.
На второй стадии — определение способов защиты — принимаются решения о том:
какие угрозы должны быть устранены, и в какой мере;
какие ресурсы ИС должны быть защищаемы, и в какой степени;
с помощью, каких средств должна быть реализована защита;
каковы должны быть стоимость реализации защиты и затраты на эксплуатацию ИС с учетом защиты от потенциальных угроз.
Вторая стадия предусматривает разработку плана защиты и формирование политики безопасности, которая должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.
План защиты содержит следующие разделы (группы сведений):
1. Текущее состояние системы (как результат работы первой стадии).
2. Рекомендации по реализации системы защиты.
3. Ответственность персонала.
4. Порядок ввода в действие средств защиты.
5. Порядок пересмотра плана и состава защиты.
Политика безопасности представляет собой некоторый набор требований, прошедших соответствующую проверку, реализуемых при помощи организационных мер и программно-технических средств и определяющих архитектуру системы защиты. Для конкретных организаций политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств, расположения организации и т.д.
Третья стадия — построение системы информационной безопасности, т.е. реализация механизмов защиты как комплекса процедур и средств обеспечения безопасности информации. В заключение производится оценка надежности системы защиты, т.е. уровня обеспечиваемой ею безопасности.
Функционирование системы информационной безопасности направлено на реализацию принципа непрерывного развития. Необходимо с определенной периодичностью анализировать текущее состояние системы и вводить в действие новые средства защиты. В этом отношении интересна практика защиты информации в США.
Американский специалист в области безопасности информации А. Патток предлагает концепцию системного подхода к обеспечению защиты конфиденциальной информации, получившую название «метод Opsec» (Operation Security).
Суть метода в том, чтобы пресечь, предотвратить или ограничить утечку той части информации, которая позволит конкуренту определить, что осуществляет или планирует предприятие.
Идентификационные системы
Проблема разграничения доступа к информации в корпоративных системах существовала с самого начала их функционирования.
Самым простым и привычным средством идентификации пользователей на сегодняшний день пока остается парольный доступ к системе. Однако нельзя гарантированно утверждать, что пароль является абсолютно надежной защитой от проникновения злоумышленников в хранилище информации - будь то жесткий диск локального компьютера или сетевые устройства хранения информации. Даже если в организации существует строгая политика по длине пароля и частоте его обновления, подобные организационно-административные меры не исключают случаев компрометации паролей. Причина тому весьма проста - некоторые сотрудники никак не могут запомнить свои пароли. Для выхода из этой ситуации сотрудники организаций, чтобы упростить запоминание паролей, часто задают в качестве пароля какое-нибудь простое слово, набор повторяющихся цифр или символов, собственное имя или что-либо подобное. Такие пароли могут быть "взломаны" за минимальный срок. Существующая статистика показывает, что в стандартном домене операционной системы применение простейшей программы подбора пароля так называемым методом "грубой силы" способно в течение суток предоставить злоумышленнику до 90% всех паролей пользователей. Иногда, чтобы особенно "не напрягаться", пользователи применяют одинаковый пароль ко всем информационным системам, доступ к которым им разрешен. В этом случае, узнав всего один пароль, злоумышленник получит доступ ко всему информационному пространству, в принципе доступному данному пользователю: и в корпоративную сеть, и в систему электронной почты, и в финансовую систему организации.
Таким образом, все попытки защитить важную для организации информацию будут преодолены, а нарушитель получит "зеленый свет" для всех своих неблаговидных начинаний. С этого времени организация может начать "терять" информацию, возможно, неожиданно для себя и, наверное, такую, которой делиться-то и не следовало.