- •Учебное пособие Оглавление
- •Глава 1. Теоретические основы построения информационных систем
- •Глава 2. Техническое обеспечение
- •Глава 3. Программное обеспечение
- •Глава 4. Информационное обеспечение
- •Глава 5. Технологическое обеспечение
- •Глава 6. Организационное обеспечение
- •Глава 1. Теоретические основы построения информационных систем
- •1.1. Система управления экономическим объектом
- •1.1.1. Экономическая информация
- •1.1.1.1 Оценка экономической информации
- •1.1.1.2 Структура экономической информации
- •1.1.1.1. Оценка экономической информации
- •1.1.1.2. Структура экономической информации
- •1.1.2. Система управления и ее свойства
- •1.2. Принципы создания и функционирования аис
- •1.3. Состав автоматизированных информационных систем
- •Контрольные вопросы к главе 1
- •Глава 2. Техническое обеспечение
- •2.1. Состав технического обеспечения
- •2.1.1. Средства обработки информации
- •2.1.2. Средства хранения информации
- •2.1.3. Средства вывода информации
- •2.1.4. Средства ввода информации
- •2.1.5. Средства передачи информации
- •Контрольные вопросы к главе 2
- •Глава 3. Программное обеспечение
- •3.1. Общее понятие о программном обеспечении
- •3.2. Общее программное обеспечение
- •3.2.1 Базовое программное обеспечение
- •3.2.2 Системы программирования
- •3.2.3 Сервисное программное обеспечение
- •3.2.1. Базовое программное обеспечение
- •3.2.2. Системы программирования
- •3.2.3. Сервисное программное обеспечение
- •3.3. Прикладное программное обеспечение
- •3.3.1. Программное обеспечение общего назначения
- •3.3.1.1. Текстовый редактор
- •3.3.1.2. Табличный процессор
- •3.3.1.3. Система управления базами данных
- •3.3.1.4. Средства презентационной графики
- •3.3.1.5. Программы организационного управления
- •3.3.1.6. Интегрированные системы и офисные пакеты
- •3.3.2. Проблемно-ориентированное программное обеспечение
- •Контрольные вопросы к главе 3
- •Глава 4. Информационное обеспечение
- •4.1. Структура информационного обеспечения
- •4.2. Система классификации и кодирования экономической информации
- •4.2.1. Классификация информации
- •4.2.1.1 Иерархическая система классификации
- •4.2.1.2 Фасетная система классификации
- •4.2.1.3 Дескрипторная система классификации
- •4.2.1.1. Иерархическая система классификации
- •4.2.1.2. Фасетная система классификации
- •4.2.1.3. Дескрипторная система классификации
- •4.2.2. Кодирование информации
- •4.2.2.1 Классификационная система кодирования
- •4.2.2.1. Классификационная система кодирования
- •4.2.2.2. Регистрационная система кодирования
- •4.2.3. Выбор системы классификации и кодирования
- •4.3. Система документации
- •4.4. Система документооборота
- •4.5. Внутреннее представление информационного обеспечения
- •4.6. Базы данных
- •4.6.1. Файловая организация данных
- •4.6.2. Базы данных
- •4.6.2.1. Элементы базы данных
- •4.6.2.2. Реляционные базы данных
- •Пример связи записей двух таблиц
- •Пример связи записей двух таблиц
- •Пример связи записей двух таблиц
- •4.6.2.3. Постреляционные базы данных
- •1. Связывание таблиц в реляционной бд:
- •2. Вложение таблиц в постреляционной бд:
- •1. Связывание таблиц в реляционной бд:
- •2. Вложение таблиц в постреляционной бд:
- •4.7. Хранилища данных
- •Контрольные вопросы к главе 4
- •Глава 5. Технологическое обеспечение
- •5.1. Технологический процесс обработки информации
- •5.1.1. Элементы технологического процесса
- •5.1.1.1. Стандартные информационные процедуры
- •5.1.1.2. Этапы технологического процесса
- •5.1.2. Информационный аспект технологического процесса
- •5.1.3. Технический аспект технологического процесса
- •5.1.3.1. Виды интерфейса
- •5.1.4. Проектирование технологического процесса
- •5.2. Виды информационных технологий
- •5.2.1. Классификация с точки зрения методики обработки данных
- •5.2.2. Классификация по способам обработки данных
- •5.2.2.1. Технологии локальных сетей
- •5.2.2.2. Глобализация сетевых технологий
- •5.2.3. Классификация по режимам обработки данных
- •5.3. Выбор информационной технологии
- •Контрольные вопросы к главе 5
- •Глава 6. Организационное обеспечение
- •6.1. Проектирование и внедрение аис
- •6.1.1. Цели проектирования аис
- •6.1.2. Методы и средства проектирования
- •6.1.2.1. Оригинальное проектирование
- •6.1.2.2. Типовое проектирование
- •6.1.2.3. Автоматизированное проектирование
- •6.1.3. Стадии и этапы проектирования
- •6.1.3.1. Предпроектная стадия
- •6.1.3.2. Стадия разработки проектов
- •6.1.3.3. Стадия внедрения
- •6.2. Показатели экономической эффективности
- •6.2.1. Экономический эффект
- •6.2.2. Затраты на реализацию новых технологий
- •6.2.3. Сравнительная экономическая эффективность
- •6.3. Создание системы защиты экономической информации
- •6.3.1. Факторы обострения проблемы защиты информации
- •6.3.2. Дестабилизирующие факторы
- •6.3.3. Задачи системы защиты и безопасности экономической информации
- •6.3.4. Анализ угроз безопасности
- •6.3.5. Классификация методов и средств защиты экономической информации
- •6.3.5.1. Методы защиты
- •6.3.5.2. Средства защиты
- •6.3.6. Принципы и этапы создания системы защиты экономической информации
- •Контрольные вопросы к главе 6
- •Глоссарий
6.3.5.2. Средства защиты
Изучите основные средства защиты информации. Обращайте внимание на то, в каких случаях они применяются.
Среди средств защиты экономической информации можно выделить:
Организационные меры защиты, которые определяют порядок:
ведения системы защиты от несанкционированного доступа;
ограничения доступа в помещения;
назначения полномочий по доступу;
контроля и учета событий;
сопровождения ПО;
контроля за системой защиты.
При этом для обеспечения надежной защиты от НСД к информации обязательным является разделение функций по защите между несколькими сотрудниками, контролирующими друг друга, а также предотвращение доступа посторонних лиц в рабочие помещения. Для этого могут применяться следующие меры: контроль со стороны ответственных лиц; оснащение входных дверей кодовыми замками и другими "захлопывающимися" замками, требующими для открытия ключа, карточки или знания кода;
Программные средства защиты (ПСЗ) включают в себя:
систему разграничения доступа к вычислительным и информационным ресурсам системы;
средства криптографической защиты информации, хранящейся на магнитных носителях АРМ и файл-сервера системы;
средства регистрации и учета попыток НСД, событий в системе, документов, выводимых на печать и т. д.;
средства обеспечения и контроля целостности программных файлов, в том числе средства борьбы с программами-вирусами;
средства контроля паузы неактивности пользователя системы.
Аппаратные средства защиты, выбор которых определяется такими техническими характеристиками как:
высокая надежность - с целью исключения искажения экономической информации и преодоления рубежей защиты нарушителем;
высокая производительность шифрования информации, которая должна обеспечить время реакции системы на запрос пользователя не более 3 сек.
Криптографические средства защиты информации автоматизированной системы, среди которых самым примитивным методом можно назвать обмен паролями со всеми присущими ему недостатками. Одно из последних достижений в области криптографии - цифровая сигнатура. Это способ обеспечения целостности с помощью дополнения сообщения специальным свойством, которое может быть проверено только тогда, когда известен открытый ключ, присвоенный автору сообщения. Криптографические средства предназначены для эффективной защиты информации:
в случае кражи, утери компьютера или магнитного носителя;
при выполнении ремонтных или сервисных работ посторонними лицами или обслуживающим персоналом, не допущенным к работе с конфиденциальной информацией;
при передаче информации в виде зашифрованных файлов по незащищенным каналам связи;
при использовании компьютера несколькими пользователями.
6.3.6. Принципы и этапы создания системы защиты экономической информации
В этом разделе излагаются основные принципы и этапы разработки системы защиты информации.
Практика разработки систем защиты информации позволила выделить ряд основных принципов защиты информации в автоматизированных системах.
Комплексность механизма защиты информации подразумевает, что надежная защита информации от НСД обеспечивается сочетанием организационных мер, программных, криптографических и аппаратных средств защиты. На основании зарубежного и отечественного опыта проектирования можно утверждать, что только комбинированным и комплексным использованием всех названных средств может быть обеспечена защита данных. Организационные меры играют ведущую роль в системе защиты от НСД - являются самостоятельным инструментом защиты и одновременно объединяют все средства и методы в целостный механизм защиты информации в системе.
Принцип персональной ответственности заключается в том, что каждый пользователь должен нести персональную ответственность за свою деятельность в системе, включая любые операции с конфиденциальной информацией и возможные нарушения ее защиты.
Минимизация и разделение полномочий по доступу к обрабатываемой информации и процедурам обработки. При этом каждому сотруднику из числа пользователей, обслуживающего и эксплуатирующего персонала должен предоставляться наименьший набор полномочий по доступу к обрабатываемой конфиденциальной информации и процедурам ее обработки. В то же время эти полномочия должны быть достаточными для успешного выполнения сотрудниками своих служебных обязанностей. Положение, при котором одно лицо становится ответственным за полную отработку любой деловой операции, недопустимо.
Полнота контроля и регистрации попыток несанкционированного доступа означает, что данные должны быть защищены на любом технологическом участке в каждый момент времени. Доступ абонентов в систему и их действия должны контролироваться и фиксироваться для проведения возможного расследования. Меры и средства защиты должны исключать возможность совершения неавторизованных операций. Любая операция должна совершаться от имени конкретного пользователя и регистрироваться соответствующим образом до ее совершения. Анализ зарегистрированных попыток нарушения защиты должен служить основой для выработки рекомендаций по совершенствованию системы защиты.
Несекретность проектирования. Поскольку задача сокрытия деталей реализации системы защиты, предназначенной для эксплуатации в течение продолжительного периода времени, является практически невыполнимой, механизм защиты должен быть эффективен даже в том случае, когда его структура и принципы функционирования становятся известными нарушителям.
Равнопрочность механизма защиты. Вероятности получения одинакового ущерба в случае обхода средств защиты или их несанкционированного отключения на различных технологических участках должны быть равны. Принцип подразумевает дифференциацию требований к мерам и средствам защиты в зависимости от величины ущерба, который может быть понесен в случае их обхода/отключения. В частности, критические операции в АИС (ущерб от которых в случае их несанкционированного совершения превышает определенный, заранее зафиксированный уровень) должны проходить дополнительную проверку на правомочность их выполнения.
Контроль за функционированием системы защиты. Данный принцип утверждает, с одной стороны, необходимость создания специальных средств и методов, направленных на предотвращение попыток несанкционированного вмешательства в работу механизмов защиты, и, с другой стороны, необходимость разработки мероприятий по проверке работоспособности и корректности этого механизма. Мероприятия по контролю за функционированием системы защиты могут быть достаточно эффективными только тогда, когда система защиты имеет достаточно простую логическую структуру, и для каждого ее компонента можно доказать (может быть качественно): функциональную пригодность; корректность функционирования, в смысле объявленных функций и спецификаций.
Экономичность механизма защиты. Стоимость разработки и эксплуатации мер и средств защиты не должна превышать величины возможного ущерба при создании и эксплуатации АИС без соответствующих мер и средств защиты.
Документированность системы защиты. Атрибуты безопасности должны включаться во все документы по системе, касающиеся ее программных и аппаратных средств, их проектирования, приобретения, эксплуатации и обслуживания.
Создавая систему защиты информации необходимо определить ее ориентировочную стоимость и дать разностороннюю оценку предполагаемых методов и средств защиты.
Процесс создания системы защиты информации состоит из следующих этапов:
инженерно-техническое обследование и описание информационных ресурсов системы;
определение наиболее критичных, уязвимых мест системы;
вероятностная оценка угроз безопасности информационным ресурсам;
экономическая оценка возможного ущерба;
стоимостной анализ возможных методов и средств защиты информации;
определение рентабельности применения системы защиты информации