2. Управленческие Информационные Системы

Информационные системы предназначенные для обеспечения менеджеров информацией для поддержки принятия эффективных решений называются управленческими информационными системами (management information systems MIS). Понятие управленческих информационных систем возникло в 1960-ых и стало лозунгом почти всех попыток внедрения компьютерных технологий и теории систем обработки данных в организациях. В то время, стало очевидно, что компьютеры применительно к решению бизнес-проблем почти полностью сосредотачиваются на автоматизации учетных задач. Концепция управленческих информационных систем была разработана, для противодействия такому неэффективному использованию компьютеров. Несмотря на первые неудачи, концепция MIS все еще видится как жизненная и эффективная по двум главным причинам:

Она подчеркивает ориентацию управления информационными технологиями на бизнес. Главной целью компьютерных информационных систем должно быть поддержка принятия управленческих решений, а не просто представление данных, полученных от производственных информационных систем.

Она подчеркивает, что система должна использоваться для создания прикладных информационных систем. Бизнес-приложения информационных технологий должны рассматриваться как взаимозависимые и взаимосвязанные компьютерные информационные системы, а не как независимые рабочие места обработки данных.

Обеспечение информацией и поддержка принятия управленческих решений на всех уровнях управления - сложная задача. Необходимо несколько основных типов информационных систем для поддержки основных управленческих функций.

Наиболее важны для нас три основных типа управленческих информационных систем: системы генерации отчетов, системы поддержки принятия решений, системы поддержки принятия стратегических решений.

Системы генерации отчетов

Системы генерации отчетов (information reporting systems - IRS) – наиболее распространенная форма управленческих информационных систем. Они обеспечивают управленческих конечных пользователей информацией, которая необходима для удовлетворения их ежедневных потребностей при принятии решений. Они производят и оформляют различные виды отчетов, информационное содержание которых определено заранее самими менеджерами так, чтобы в них была только необходимая для них информация. Системы генерации отчетов выбирают необходимую информацию о процессах внутри фирмы из баз данных, подготовленных производственными информационными системами и информацию об окружении из внешних источников.

Результаты работы систем генерации отчетов могут предоставляться менеджеру по требованию, периодически или в связи с каким либо событием.

Системы поддержки принятия решений

Системы поддержки принятия решений (decision support systems DSS) -естественное развитие систем генерации отчетов и систем обработки транзакций. Системы поддержки принятия решений - интерактивные, компьютерные информационные системы, которые используют модели решений и специализированные базы данных для помощи менеджерам в принятии управленческих решений. Таким образом, они отличаются от систем обработки транзакций, которые предназначены для сбора исходных данных. Они также отличаются от систем генерации отчетов, которые сосредотачиваются на обеспечении менеджеров специфической информацией.

Вместо этого, системы поддержки принятия решений обеспечивают управленческих конечных пользователей информацией в интерактивном режиме и только по требованию. DSS предоставляют менеджерам возможности аналитического моделирования, гибкие инструменты поиска необходимых данных, богатство форм разнообразного представления информации. Менеджеры имеют дело с информацией, необходимой для принятия менее структурированных решений в интерактивном режиме.

Например, электронные таблицы или другие виды программного обеспечения поддержки принятия решений позволяют менеджеру задать ряд вопросов " что если? " и получить интерактивные ответы на них.

Таким образом, информация полученная с помощью DSS отличается от заранее сформулированных форм ответов, получаемых от систем генерации отчетов. При использовании DSS, менеджеры исследуют возможные альтернативы и получают пробную информацию, основанную на наборах альтернативных предположений. Следовательно, менеджерам нет необходимости определять свои информационные потребности заранее. Взамен, DSS в интерактивном режиме помогают им найти информацию, в которой они нуждаются.

Системы Поддержки Принятия Стратегических Решений

Системы Поддержки Принятия Стратегических Решений (executive information systems EIS) - управленческие информационные системы, приспособленные к стратегическим информационным потребностям высшего руководства. Высшее руководство получает информацию, в которой оно нуждается из многих источников, включая письма, записи, периодические издания и доклады, подготовленные вручную и компьютерными системами. Другие источники стратегической информации -встречи, телефонные звонки, и общественная деятельность. Таким образом, большая часть информации исходит из некомпьютерных источников.

Цель компьютерных систем поддержки принятия стратегических решений состоит в том, чтобы обеспечить высшее руководство непосредственным и свободным доступом к информации относительно ключевых факторов, являющихся критическими при реализации стратегических целей фирмы. Следовательно, EIS должны быть просты в эксплуатации и понимании. Они обеспечивают доступ к множеству внутренних и внешних баз данных активно используя графическое представление данных.

Другие Классификации Информационных Систем

Другие способы классификации информационных систем обеспечивают более узкую или широкую классификацию чем те, которые мы уже упомянули. Потому что эти информационные системы могут применяться и для поддержки производства и для управления.

Экспертные системы

На переднем фронте развития информационных систем находятся достижения в области искусственного интеллекта (artificial intelligence AI). Искусственный интеллект - область информатики, чьей целью является разработка систем, которые смогут думать, а также видеть, слышать, разговаривать, и чувствовать. Например, AI проекты включающие разработку естественных интерфейсов компьютера, ускорили развитие индустриальных роботов, и разумное программное обеспечение. Главный толчок к этому - развитие функций компьютера, обычно связанных с человеческим интеллектом, типа рассуждений, изучения, и решения задач.

Одна из наиболее практических прикладных программ AI - развитие экспертных систем (expert systems ES). Экспертная система - основанная на знаниях информационная система; то есть она использует знания в определенной области для того, чтобы действовать как опытный консультант. Компоненты экспертной системы – базы знаний и модули программного обеспечения, которые выполняют логические выводы на базе имеющихся знаний и предлагают ответы на вопросы пользователей. Экспертные системы используются в многих областях, включая медицину, проектирование, физические науки, и бизнес. Например, экспертные системы теперь помогают диагностировать болезни, искать полезные ископаемых, анализировать составы, рекомендовать ремонт, и производить финансовое планирование.

Системы конечного пользователя

Системы конечного пользователя (end user computer systems) -компьютерные информационные системы, которые непосредственно поддерживают как оперативные так и управленческие функции конечных пользователей. Мы должны представлять конечного пользователя, как непосредственно использующего информационные ресурсы вместо косвенного их использования, при помощи профессиональных ресурсов отдела информационных служб организации. Конечные пользователи информационных систем, как правило, используют автоматизированные рабочие места и пакеты прикладных программ для поддержки своей повседневной деятельности, такой как поиск информации, поддержки принятия решения, и разработки приложений. Например, пользователь может готовить тексты, посылать электронную почту, запрашивать информацию из баз данных, или управлять аналитической моделью.

Функциональные информационные системы

Важно понимать, что информационные системы непосредственно поддерживают практически все аспекты управленческой деятельности в таких функциональных областях, как бухгалтерский учет, финансы, управление трудовыми ресурсами, маркетинг, и управление производством.

Например, директора по сбыту нуждаются в информации относительно успеха продаж и их тенденций, предоставляемой маркетинговой информационной системой. Финансовые менеджеры нуждаются в информации относительно финансовых затрат и возврата инвестиций, обеспечиваемых финансовыми информационными системами. Начальники производства нуждаются в информации, анализирующей необходимые ресурсы и производительность рабочего, обеспечиваемой

производственными информационными системами. Начальники отдела кадров нуждаются в информации о профессиональном росте служащего, предоставляемой информационной системой управления кадрами. Таким образом, функциональные информационные системы обеспечивают менеджеров всех подразделений информацией, необходимой для принятия решения в каждой из функциональных областей бизнеса.

Интегрированные Информационные Системы

Информационные системы в реальном мире обычно являются комбинациями нескольких типов информационных систем, которые мы только что упомянули, потому что концептуальные классификации информационных систем разработаны для того, чтобы подчеркнуть различные роли информационных систем. Практически, эти роли интегрированы в сложные или взаимосвязанные информационные системы, которые обеспечивают ряд функций. Таким образом, большинство информационных систем создано для обеспечения информацией и поддержки принятия решений на различных уровнях управления и в различных функциональных областях.

Стратегические информационные системы.

Информационные системы могут играть решающую роль в реализации стратегических планов организации. Эта стратегическая роль подразумевает использование информационных технологий для создания новых продуктов, услуг и возможностей, которые смогут дать организации стратегическое преимущество в борьбе с конкурентными силами на глобальных рынках.

Технически, такие системы могут не отличаться от традиционных систем. Основным их отличием является само отношение к информации как к стратегическому ресурсу, которое и определяет и другие отличия и результаты существования системы.

Новые подходы к использованию информации позволили огромному количеству фирм в различных отраслях создать новые продукты и услуги, существенно снизить затраты и добиться значительного и устойчивого конкурентного преимущества. Но такое преимущество достигается не только повышением эффективности старых процессов, но также и преобразованием бизнеса в целом. Например, переход на электронное банковское обслуживание требует изменения всех процедур оформления платежей с партнерами.

Это не значит, что традиционные технологии более непригодны. Напротив, во многих случаях возможно получение конкурентных преимуществ при соответствующем их использовании и необходимых изменениях остальных составляющих информационной системы.

Наиболее существенные различия между стратегическими и не стратегическими информационными системами приведены в таблице:

Стратегические ИС		Не стратегические ИС
1. Внешний фокус на потребителей, поставщиков, конкурентов и др. участников бизнеса	1. Фокус на внутренних процессах 2. Снижение издержек 3. Местное использование преимуществ
2 . Добавление ценности за счет дифференциации через улучшение продукта или услуг	4. Решение внутренних проблем
	5. Доступные технологии определяют инновации
3. Совместное с потребителями, поставщиками и всеми подразделениями использование получаемых преимуществ	6. Использование информации только для заранее определенных целей
4. Понимание нужд клиентов и поставка им решений их проблем
5. Диктат потребностей бизнеса при внедрении новых технологий
6. Творческое использование информации (например для основания нового бизнеса)

Традиционные и новые информационные технологии

Сравним две ИС - с неавтоматизированной (бумажной) и с автоматизированной ИТ. Каждая из них обладает преимуществами и недостатками.

К основным преимуществам бумажных ИТ следует отнести простоту внедрения технологических решений, от исполнителя не требуется особых технических навыков, т. к. они просты для понимания и освоения, они достаточно гибки и адаптивны к деловым потребностям.

К достоинствам автоматизированных ИТ, прежде всего, следует отнести возможность создания единой информационной базы данных (БД), что позволяет целостно представить предметную область организации. Имеется множество прикладных программных средств (ПС), позволяющих накапливать опыт и знания в виде формализованных процедур и алгоритмов решений.

В таблице 2.1 приведено сравнения вариантов ИТ в организации (на примере туристической фирмы).

Безусловно, к недостаткам автоматизированных ИТ следует отнести сложность их внедрения в практику деятельности организации, повышенные требования к уровню знаний и навыкам персонала, необходимость привлечения дополнительного капитала в ИС организации. Помимо этого, остаётся открытым вопрос: обеспечат ли автоматизированные экономический эффект (или экономию затрат)?

Лекция 4. МОДЕЛИ ИНФОРМАЦИОННЫХ ПРОЦЕССОВ ПЕРЕДАЧИ, ОБРАБОТКИ И НАКОПЛЕНИЯ ДАННЫХ

В области информационных технологий существуют два взаимно дополняющих друг друга направления:

ОLТР-технологии (On-line Transaction Processing), ориентированные на оперативную обработку данных. Они призваны упростить организацию и управляемость информационными потоками (workflow), в которых пользователи взаимодействуют между собой и со множеством программных приложений через специальную управляющей программу.

OLAP-технологии (On-line Analytical Processing), ориентированные на анализ данных и принятие решении. Эти технологии по сравнению с традиционными технологиями имеют преимущества в гибкости и скорости составления запроса и получения ответа, доступности применения.

Эти технологии лежат в основе экономических информационных систем предназначенных соответственно для оперативной обработки данных (OLTP-системы) оперативного анализа данных (OLAP-системы).

OLTP-системы, являясь высокоэффективным средством реализации оперативной обработки данных, оказались малопригодными для задач аналитической обработки. Это обусловлено тем, что:

1. Любое нерегламентированное требование пользователя не распознается системой и требует дополнительной информации о структуре данных.

2. Для решения большинства аналитических задач требуется использование внешних специализированных инструментальных средств для анализа, прогнозирования и моделирования.

OLAP-системы, как правило, ориентированы на обработку нерегламентированных запросов. Основными свойствами этих систем являются;

• поддержка многомерного представления данных, равноправие всех измерений, независимость производительности от количества измерений;

• прозрачность для пользователя структуры, способов хранения и обработки данных;

• автоматическое отображение логической структуры данных во внешней системе и др.

OLAP-системы можно разбить на три класса:

Серверы многомерных баз данных. Эти системы обеспечивают полный цикл OLAP-обработки, либо включают в себя собственный интегрированный клиентский интерфейс, либо используют для анализа данных внешние программы работы с электронными таблицами.

Реляционные OLAP-системы. Здесь для хранения данных используются реляционные СУБД, а между БД и клиентским интерфейсом организуется определяемый администратором системы файл метаданных. Через этот промежуточный слой клиентский компонент может взаимодействовать с реляционной БД как с многомерной базой. Структура OLAP-системы представлена на рисунке :

Построение

Реляционное отчетов

хранилище

OLAP

клиент

_{П отоки данных Потоки метаданных}

Инструменты генерации запросов и отчетов пользователей. Эти весьма развитые системы осуществляют выборку данных из исходных источников, преобразуют их и помещают в динамическую многомерную базу данных (БД), функционирующую на компьютере пользователя. Указанный подход позволяет обойтись как без сервера многомерной БД, так и без сложного промежуточного слоя метаданных, необходимого для ROLAP-cpeдcтв, и в то же время обеспечивает достаточную эффективность анализа.

Круг задач, эффективно решаемых каждой из систем, представлен в таблице

Сравнительная характеристика OLTP- и OLAP-систем

Характеристика задач	OLTP-система	OLAP-система
Назначение системы	Фиксация, оперативный поиск и обработка данных; регламентированная аналитическая обработка	Работа с архивными данными, аналитическая обработка, прогнозирование, моделирование
Вид деятельности	Оперативная, тактическая	Аналитическая, стратегическая
Частота обновления данных	Высокая частота, небольшими порциями	Малая частота большими порциями
Источники данных	В основном внутренние	По отношению к аналитической системе, в основном внешние
Срок хранения данных	Текущие (не более нескольких месяцев)	Архивные (годы) и прогнозируемые
Уровень агрегации данных	Детализированные данные	Агрегированные данные
Возможность Аналитических операций	Регламентированные отчеты	Последовательность интерактивных отчетов, динамическое изменение уровней агрегации данных
Характер запросов	Много простых транзакций	Сложные транзакции
Хранимые данные	Оперативные, детализированные	Охватывающие большой период времени, агрегированные
Тип данных	Структурированные	Разнотипные

Важность решения проблемы по обеспечению безопасности информации подтверждается затратами на мероприятия по ее защите.

При использовании любой информационной технологии следует обращать внимание на наличие средств защиты данных, программ, компьютерных систем.

Безопасность данных включает обеспечение достоверности данных и защиту данных и программ от несанкционированного доступа, копирования, изменения.

Различают три группы методов предотвращения угрозы информационной безопасности: правовые, программно-технические и организационно-технические.

Правовые методы заключаются в разработке комплекса нормативно-правовых актов и положений, регламентирующих информационные отношения в обществе.

Программно-технические методы состоят из предотвращения утечки обрабатываемой информации путем исключения несанкционированного к ней доступа, предотвращения специальных воздействий, взывающих разрушение, уничтожение, искажение информации или сбои в работе информационных систем, выявления внедренных программных или аппаратных закладных устройств, исключение перехвата информации техническими средствами.

Организационно-экономические методы формируют и обеспечивают функционирование систем защиты секретной и конфиденциальной информации, их сертификацию и лицензирование, стандартизацию способов и средств зашиты информации, контроль над действием персонала защищенных информационных систем.

Рассмотрим содержание программно-технических методов защиты информации.

Достоверность данных контролируется на всех этапах технологического процесса эксплуатации ЭИС. Различают визуальные и программные методы контроля.

Визуальный контроль выполняется при обследовании и обработке данных на заключительных этапах.

Программный - на внутримашинном этапе. При этом обязателен контроль при вводе данных их корректировке, т.е. везде, где есть вмешательство пользователя в вычислительный процесс. Контролируются отдельные реквизиты, записи, группы записей, файлы. Программные средства контроля достоверности данных закладываются на стадии рабочего проектирования.

Защита данных и программ от несанкционированного доступа, копирования, изменения реализуется программно-техническими методами и технологическими приемами.

К программно-техническим средствам защиты относят пароли, электронные ключи, Электронные идентификаторы, электронную подпись, средства кодирования, декодирования данных. Для кодирования, декодирования данных, программ и электронной подписи используются криптографические методы. Например, в США применяется криптографический стандарт, разработанный группой IETF. Экспорту он не подлежит, разработаны, в том числе и отечественные, электронные ключи, например Novex Key для зашиты программ и данных в системах Windows, DOS, Netware.

Технологический контроль — это комплекс мероприятий, органично встраиваемых в технологические процессы преобразования данных. Он заключается в организации Многоуровневой системы защиты программ и данных как средствами проверки паролей, электронных подписей, электронных ключей, скрытых меток файла, использованием программных продуктов, удовлетворяющих требованиям компьютерной безопасности, так и методами визуального и программного контроля достоверности, целостности, полноты данных.

Чтобы обеспечить безопасность информационных ресурсов, устранить возможность несанкционированного доступа, усилить контроль санкционированного доступа к "конфиденциальной информации, внедряются различные системы опознавания, установления подлинности объекта и разграничения доступа. Ключевыми понятиями в этой системе являются «идентификация» (присвоение какому-либо объекту уникального имени или образа) и «аутентификация» (установление подлинности). Конечная цель процедур идентификации и аутентификации – допуск к информации ограниченного пользования в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки.

Во время эксплуатации ЭИС наибольший вред и убытки приносят вирусы. Защиту от вирусов можно организовать так же, как и защиту от несанкционированного доступа.

Технология защиты является многоуровневой и содержит следующие этапы:

• входной контроль нового программного обеспечения или дискеты, который осуществляется группой специально подобранных детекторов, ревизоров и фильтров. Например в состав группы можно включить Scan, Aidstest, TPU8CLS. Можно провести карантинный режим. Для этого создается ускоренный компьютерный календарь. При каждом следующем эксперименте вводится новая дата и наблюдается отклонение в старом программном обеспечении. Если отклонения нет, то вирус не обнаружен;

• сегментация жесткого диска. При этом отдельным разделам диска присваивается атрибут Read Only. Для сегментации можно использовать, например, программу Manager и др.;

• систематическое использование резидентных программ-ревизоров и фильтров для контроля целостности информации, например Check21, SBM, Antivirus2 и т.д.;

• архивирование. Ему подлежат и системные, и прикладные программы. Если один компьютер используется несколькими пользователями, то желательно ежедневное архивирование. Для архивирования можно использовать PKZIP и др.

Безопасность обработки данных зависит от безопасности использования информационных систем, объединяющих совокупность аппаратных и программных средств, различного рода физических носителей информации, собственно данных, а также персонала, обслуживающего перечисленные компоненты.

В настоящее время в США разработан стандарт оценок безопасности компьютерных систем, так называемые критерии оценок пригодности. В нем учитываются четыре типа требований к компьютерным системам:

• требования к проведению политики безопасности - security policy;

• ведение учета использования компьютерных систем — accounts;

• доверие к компьютерным системам;

• требования к документации.

Требования к проведению последовательной политики безопасности и ведение учета использования компьютерных систем зависят друг от друга и обеспечиваются средствами, заложенными в систему, т.е. решение вопросов безопасности включается в программные и аппаратные средства на стадии проектирования.

Нарушение доверия к информационным системам, как правило, бывает вызвано нарушением культуры разработки программ: отказом от структурного программирования, созданием заглушек, неопределенным вводом и т.д. Для тестирования на доверие нужно знать архитектуру приложения, правила устойчивости его поддержания, тестовый пример.

Требования к документации означают, что пользователь должен иметь исчерпывающую информацию по всем вопросам. При этом документация должна быть лаконичной и понятной.

Только после оценки безопасности информационной системы она может поступить на рынок.

Эффективность программных средств защиты зависит от правильности действий пользователя, которые могут быть выполнены ошибочно или со злым умыслом. Поэтому следует предпринять следующие организационные меры защиты:

• общее регулирование доступа, включающее систему паролей и сегментацию) винчестера;

• обучение персонала технологии защиты;

• обеспечение физической безопасности компьютера и магнитных носителей;

• выработка правил архивирования;

• хранение отдельных файлов в шифрованном виде;

• создание плана восстановления винчестера и испорченной информации.

Для шифровки файлов и защиты от несанкционированного копирования разработано и используется достаточно большое количество программ, (например Catcher, Exeb и др.). Одним из методов защиты является скрытая метка файла: метка (пароль) записывается сектор на диске, который не считывается вместе с файлом, а сам файл размещается и: другом секторе, тем самым файл не удается открыть без знания метки.

Лекция 5. РИСК МЕНЕДЖМЕНТ ИТ

Развитие новых информационных технологий и всеобщая ком­пьютеризация привели к тому, что информационная безопас­ность не только становится обязательной, она еще и одна из характери­стик ИС. Существует довольно обширный класс систем обработки ин­формации, при разработке которых фактор безопасности играет перво­степенную роль (например, банковские информационные системы).

Под безопасностью ИС понимается защищенность системы от слу­чайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного по­лучения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на ИС.

Под угрозой безопасности информации понимаются события или дей­ствия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Если исходить из классического рассмотрения кибернетической модели любой управляемой системы, возмущающие воздействия на неё могут носить случайный характер. Поэтому среди угроз безопасности информации следует выделять как один из видов угрозы случайные, или непреднамеренные. Их источником могут быть выход из строя аппаратных средств, неправильные действия работников ИС или ее пользователей, непреднамеренные ошибки в программном обеспечении и т.д. Такие угрозы тоже следует держать во внимании, так как ущерб от них может быть значительным. Однако в данной главе наибольшее внимание уделяется угрозам умышленным, которые в отличие от случайных преследуют цель нанесения ущерба управляе­мой системе или пользователям. Это делается нередко ради получения личной выгоды.

Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют взломщиком, а иногда «компьютерным пиратом» (хакером).

В своих противоправных действиях, направленных на овладение чужими секретами, взломщики стремятся найти также источники конфиденциальной информации, которые бы давали им наиболее достоверную информацию в максимальных объемах с минимальными затратами на ее получение. С помощью различного рода уловок и множества приемов и средств подбираются пути и подходы к таким источникам. В данном случае под источником информации подразумевается материальный объект, обладающий определенными сведеньями, представляющими конкретный интерес для злоумышленников или конкурентов.

Защита от умышленных угроз – это своего рода соревнование обороны и нападения: кто больше знает, предусматривает действенные меры, тот и выигрывает.

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.

Активные угрозы имеют целью нарушения нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в БнД, разрушение ПО компьютеров, нарушение работы линий связи и т.д. Источником активных угроз могут быть действия взломщиков вредоносные программы и т.п.

Умышленные угрозы подразделяются также на внутренние (возникающие внутри управляемой организации) и внешние.

Внутренние угрозы чаще всего определяются социальной напря­женностью и тяжелым моральным климатом.

Внешние угрозы могут, определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями). По данным зарубежных источников, получил широкое распространение промышленный шпионаж — это наносящие ущерб владельцу коммерческой тайны неза­конные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.

К основным угрозам безопасности информации и нормального функционирования ИС относятся:

• утечка конфиденциальной информации;

• компрометация информации;

• несанкционированное использование информационных ресурсов;

• ошибочное использование информационных ресурсов;

• несанкционированный обмен информацией между абонентами;

• отказ от информации;

• нарушение информационного обслуживания;

• незаконное использование привилегий.

٧ Утечка конфиденциальной информации — это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:

• разглашения конфиденциальной информации;

• ухода информации по различным, главным образом техниче­ским, каналам;

• несанкционированного доступа к конфиденциальной инфор­мации различными способами.

Разглашение информации ее владельцем или обладателем есть умышленные или неосторожные действия должностных лиц и поль­зователей, которым соответствующие сведения в установленном по­рядке были доверены по службе или по работе, приведшие к озна­комлению с ним лиц, не допущенных к этим сведениям.

Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.

Несанкционированный доступ — это противоправное преднаме­ренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Наиболее распространенными путями несанкционированного доступа к информации являются:

■ перехват электронных излучений;

■ принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;

■ применение подслушивающих устройств (закладок);

■ дистанционное фотографирование;

■ перехват акустических излучений и восстановление текста принтера;

■ чтение остаточной информации в памяти системы после вы­полнения санкционированных запросов;

■ копирование носителей информации с преодолением мер защиты;

■ маскировка под зарегистрированного пользователя;

■ маскировка под запросы системы;

■ использование программных ловушек;

■ использование недостатков языков программирования и опе­рационных систем;

■ незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;

■ злоумышленный вывод из строя механизмов защиты;

■ расшифровка специальными программами зашифрованной информации; ■ информационные инфекции.

Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных программных разработок со стороны взломщика. Например, используются технические каналы утечки — это физические пути от источника конфиденциальной информации к злоумышленнику, посредствам которых возможно получение охраняемых сведений. Причиной возникновения каналов утечки являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации — канал утечки.

Однако есть и достаточно примитивные пути несанкциониро­ванного доступа:

■ хищение носителей информации и документальных отходов;

■ инициативное сотрудничество;

■ склонение к сотрудничеству со стороны взломщика;

■ выпытывание;

■ подслушивание;

■ наблюдение и другие пути.

Любые способы утечки конфиденциальной информации могут вести к значительному материальному и моральному ущербу как организации, где функционирует ИС, так и для ее пользователей.

Менеджерам следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организаций и их сотрудников. Например, к причинам и условиям, создающим предпосылки для утечки коммерческих секретов, могут относиться:

■ недостаточное знание работниками организации правил защиты конфиденциальной информации и непонимание необхо­димости их тщательного соблюдения;

• использование неаттестованных технических средств обработ­ки конфиденциальной информации;

• слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;

■ текучесть кадров, в том числе владеющих сведениями, состав­ляющими коммерческую тайну;

■ организационные недоработки, в результате которых винов­никами утечки информации являются люди — сотрудники ИС и ИТ.

Большинство из перечисленных технических путей несанкцио­нированного доступа поддаются надежной блокировке при правиль­но разработанной и реализуемой на практике системе обеспечения безопасности. Но борьба с информационными инфекциями пред­ставляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ; цель которых — порча информации в БД и ПО компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.

Вредоносные программы классифицируются следующим образом:

Логические бомбы, как вытекает из названия, используются для ис­кажения или уничтожения информации, реже с их помощью соверша­ются кража или мошенничество. Манипуляциями с логическими бом­бами обычно занимаются чем-то недовольные служащие, собирающие­ся покинуть данную организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями и т.п.

Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу расчета заработной платы оп­ределенные изменения, которые начинают действовать, когда его фамилия исчезнет из набора данных о персонале фирмы.

Троянский конь — программа, выполняющая в дополнение к ос­новным, т. е. запроектированным и документированным действиям, действия дополнительные, не описанные в документации. Аналогия с древнегреческим троянским конем оправдана — и в том и в другом случае в не вызывающей подозрения оболочке таится угроза. Троянский конь представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем передается (дарится, продается, подменяется) пользователям ИС. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне и т.д.). Запустивший такую программу подвергает опасности как свои файлы, так всю ИС в целом. Троянский конь действует обычно в рамках полномочий одного пользователя, но в интересах другого пользователя вообще постороннего человека, личность которого установить порой невозможно.

Наиболее опасные действия троянский конь может выполнять, если запустивший его пользователь обладает расширенным набором привилегий. В таком случае злоумышленник, составивший и вне­дривший троянского коня, и сам этими привилегиями не обладающий, может выполнять несанкционированные привилегированные функции чужими руками.

Известен случай, когда преступная группа смогла договориться с программистом фирмы, работающей над банковским программным обеспечением, о том, чтобы он ввел подпрограмму, которая предос­тавит этим преступникам доступ в систему после ее установки с целью перемещения денежных вкладов. Известен другой случай, когда фирма, разрабатывающая ПО, стала объектом домогательств другой фирмы, которая хотела выкупить программы и имела тесную связь с преступным миром. Преступная группа, если она удачно определит «место для внедрения троянского коня (например, включит его в сис­тему очистки с автоматизированным контролем, выдающую денежные средства), может безмерно обогатиться.

Для зашиты от этой угрозы желательно, чтобы привилегированныe и непривилегированные пользователи работали с различными экземплярами прикладных программ, которые должны храниться и защищаться индивидуально. А радикальным способом защиты от этой угрозы является создание замкнутой среды использования программ.

Вирус — программа, которая может заражать другие программы путем включения в них модифицированной копии, обладающей спо­собностью к дальнейшему размножению.

Считается, что вирус характеризуется двумя основными особен­ностями:

1. способностью к саморазмножению;

2. способностью к вмешательству в вычислительный процесс (т. к. к получению возможности управления).

Наличие этих свойств, как видим, является аналогом паразитирования в живой природе, которое свойственно биологическим ви­русам. В последние годы проблема борьбы с вирусами стала весьма актуальной, поэтому очень многие занимаются ею. Используются различные организационные меры, новые антивирусные программы ведется пропаганда всех этих мер. В последнее время удавалось более или менее ограничить масштабы заражений и разрушений. Однако как и в живой природе, полный успех в этой борьбе не достигнут.

Червь — программа, распространяющаяся через сеть и не остав­ляющая своей копии на магнитном носителе. Червь использует ме­ханизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Наиболее известный представитель этого клас­са — вирус Морриса (червь Морриса), поразивший сеть Internet в 1988г. Подходящей средой распространения червя является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют. Наилучший способ защи­ты от червя — принятие мер предосторожности против несанкцио­нированного доступа к сети.

Захватчик паролей — это пpoгpаммы, специально предназначен­ные для воровства паролей. При попытке обращения пользователя к, терминалу системы на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользова­тель вводит имя и пароль, которые пересылаются владельцу про­граммы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользо­ватель, думающий, что допустил ошибку при наборе пароля, повто­ряет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля возмо­жен и другими способами. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что вы вводите имя и па­роль именно системной программе ввода, а не какой-нибудь другой. Кроме того, необходимо неукоснительно придерживаться правил использования паролей и работы с системой: большинство наруше­ний происходит не из-за хитроумных атак, а из-за элементарной не­брежности. Соблюдение специально разработанных правил исполь­зования паролей — необходимое условие надежной защиты.

Приведенный краткий обзор наиболее опасных вредоносных программ безопасности ИС не охватывает всех возможных угроз этого типа. Для более подробной информации о перечисленных уг­розах, а также о других (скрытые каналы, сборка мусора, жадные программы) следует обратиться к специальной литературе.

٧ Компрометация информации (один из видов информационных инфекций). Реализуется, как правило, посредством несанкциониро­ванных изменений в базе данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнитель­ные усилия для выявления изменений и восстановления истинных введений. При использовании скомпрометированной информации потребитель подвергается опасности принятия неверных решений.

٧ Несанкционированное использование информационных ресурсов, с Ирной стороны, является последствиями ее утечки и средством ее компрометации. С другой стороны, оно имеет самостоятельное зна­чение, так как может нанести большой ущерб управляемой системе (вплоть до полного выхода ИТ из строя) или ее абонентам.

٧ Ошибочное использование информационных ресурсов будучи санкционированным тем не менее может привести к разрушению, утечке или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в ПО ИТ.

٧ Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен, Последствия — те же, что и при несанкционированном доступе.

٧ Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или отправки. Это позволяет одной из сторон расторгать заключенные фи­нансовые соглашения «техническим» путем, формально не отказываться' от них, нанося тем самым второй стороне значительный ущерб.

٧ Нарушение информационного обслуживания — угроза, источником которой является сама ИТ. Задержка с предоставлением информационных ресурсов абоненту может привести к тяжелым для него последствиям. Отсутствие: у пользователя своевременных данных, необходимых для принятия решения, может вызвать его нерациональные действия.

٧ Незаконное использование привилегий. Любая защищенная система содержит средства, используемые в чрезвычайных ситуациях, Или средства которые способны функционировать с нарушением существующей политики безопасности. Например, на случай внезапной проверки пользователь должен иметь возможность доступа ко «всем наборам системы: обычно эти средства используются администраторами, операторами, системными программистами и другими пользователями выполняющими специальные функции.

Большинство систем защиты в таких случаях используют наборы привилегий, т. е. для выполнения определенной функции требуется определенная привилегия. Обычно пользователи имеют минимальный набор привилегий, администраторы — максимальный.

Наборы привилегий охраняются системой защиты. Несанкционированный (незаконный) захват привилегий возможен при наличии ошибок в системе защиты, но чаще всего происходит в процессе управления системой защиты, в частности при небрежном пользовании привилегиями.

Строгое соблюдение правил управления системой защиты, а также принципа минимума привилегий позволяет избежать таких нару­шений.

При описании в различной литературе разнообразных угроз для ИС и способов их реализации широко используется понятие атаки на ИС. Атака — злонамеренные действия взломщика (попытки реа­лизации им любого вида угрозы). Например, атакой является применение любой из вредоносных программ. Среди атак на ИС часто вы­деляют «маскарад» и «взлом системы», которые могут быть результатом реализации разнообразных угроз (или комплекса угроз).

Под «маскарадом» понимается выполнение каких-либо действий одним пользователем ИС от имени другого пользователя. Такие дей­ствия другому пользователю могут быть и разрешены. Нарушение заключается в присвоении прав и привилегий, что называется симу­ляцией или моделированием. Цели «маскарада» — сокрытие каких-либо действий за именем другого пользователя или присвоение прав и привилегий другого пользователя для доступа к его наборам дан­ных или для использования его привилегий.

Могут быть и другие способы реализации «маскарада», например создание и использование программ, которые в определенном месте могут изменить определенные данные, в результате чего пользователь получает другое имя. «Маскарадом» называют также передачу сообщений в сети от имени другого пользователя. Наиболее опасен «маскарад» в банковских системах электронных платежей, где неправильная идентификация клиента может привести к огромным убыткам; Особенно это касается платежей с использованием электронных карт: Используемый в них метод идентификации с помощью персонального идентификатора достаточно надежен. Но нарушения могут происходить вследствие ошибок его использования, например утери кредитной карточки или использовании очевидного идентификатора (своего имении т.д.).

Для предотвращения «маскарада» необходимо использовать на­дежные методы идентификации, блокировку попыток взлома систе­мы, контроль входов в нее. Необходимо фиксировать все события, которые могут свидетельствовать о «маскараде», в системном журна­ле для его последующего анализа. Также желательно не использовать программные продукты, содержащие ошибки, которые могут привес­ти к «маскараду».

Под взломом системы понимают умышленное проникновение в систему, когда взломщик не имеет санкционированных параметров для входа. Способы взлома могут быть различными, и при некото­рых из них происходит совпадение с ранее описанными угрозами. Так, объектом охоты часто становится пароль другого пользователя. Пароль может быть вскрыт, например, путем перебора возможных паролей. Взлом системы можно осуществить также, используя ошибки программы входа.

Основную нагрузку защиты системы от взлома несет программа входа. Алгоритм ввода имени и пароля, их шифрование, правила хранения и смены паролей не должны содержать ошибок. Противостоять взлому системы поможет, например, ограничение попыток неправильного ввода пароля (т.е. исключить достаточно большой перебор) с последующей блокировкой терминала и уведомлением администратора в случае нарушения. Кроме того, администратор безопасности должен постоянно контролировать активных пользова­телей системы: их имена, характер работы, время входа и выхода и т.д. Такие действия помогут своевременно установить факт взлома и предпринять необходимые действия.

Условием, способствующим реализации многих видов угроз ИС, является наличие «люков». Люк — скрытая, недокументированная точка входа в программный модуль, входящий в состав ПО ИС и ИТ. Люк вставляется в программу обычно на этапе отладки для облегчения работы: данный модуль можно вызывать в разных местах, что позволяет отлаживать отдельные части программы независимо. Наличие люка позволяет вызывать программу нестандартным Образом, что может отразиться на состоянии системы защиты. Люки могут остаться в программе по разным причинам:

■ их могли забыть убрать;

■ для дальнейшей отладки;

■ для обеспечения поддержки готовой программы;

■ для реализации тайного доступа к данной программе после ее установки.

Большая опасность люков компенсируется высокой сложностью их обнаружения (если, конечно, не знать заранее о их наличии), так | как обнаружение люков — результат случайного и трудоемкого поиска. Защита от люков одна — не допускать их появления в программе, а при приемке программных продуктов, разработанных другими про­изводителями, следует проводить анализ исходных текстов программ с целью обнаружения люков.

Реализация угроз ИС приводит к различным видам прямых или косвенных потерь. Потери могут быть связаны с материальным ущербом: стоимость компенсации, возмещение другого косвенно утраченогo имущества; стоимость ремонтно-восстановительных работ; расходы на анализ, исследование причин и величины ущерба; дополнительные расходы на восстановление информации, связанные с восстановлением работы и контролем данных и т.д.

Потери могут выражаться в ущемлении банковских интересов, финансовых издержках или в потере клиентуры.

Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного пожхода. Поэтому необходимо опережающим темпами совершенствовать комплексные средства защиты.

Лекция 6. УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РЕСУРСАМИ НА РАЗЛИЧНЫХ ЭТАПАХ ЖИЗНЕННОГО ЦИКЛА ИС.

Менеджер должен непосредственно участвовать в процессе планирования, а также постоянной оценке степени реализации проектов и заданий. При этом он должен лично уделять время персональным контактам с людьми, уча­ствующими в проекте, при необходимости использовать советы консультантов, выбрать поставщиков, обеспечивающих хорошее обслуживание, заниматься подготовкой персонала для работы с ИС о многое другое.

Традиционно рассматривается два этапа осуществления проекта ИС:

1. разработка и внедрения системы;

2. эксплуатация системы.

С позиции менеджера организации выделяют четыре стадии создания ИС:

1. Эскиз проекта. Включает подробное описание целей и задач проекта, ожидаемой прибыли, временных ресурсов, иных ограничений и другое. На этом этапе следует определить «менеджера проекта», который отвечает за его осуществление, и ответственного за проект в высшем руководстве организации.

2. Оценка проекта. Определяется, что будет делать система, какая аппаратура и прикладные программы будут использоваться, и как они будут обслуживаться. Анализируются возможные затраты и прибыли от различных действий и производится конечный выбор проектных решений. В качестве основного правила рекомендуется использовать принцип, согласно которому система должна быть настолько простой, насколько это возможно.

3. Построение и тестирование. Предполагает ввод данных в систему, обучение персонала, составление методики испытаний и тестирование системы на реальных данных. При этом персонал должен убедиться, что система соот­ветствует сформулированным требованиям к ней, надёжна, не имеет на данном этапе ошибок, позволяет легко работать с ней.

4. Управление проектом и оценка риска. Следует иметь в виду, что проект не завершен, до тех пор, пока менеджер проекта не сможет продемонстриро­вать, что система работает надёжно и приносит прибыль. Следует постоянно обсуждать и оценивать риски проекта, что, возможно, позволит избежать их. Риск можно спланировать, приняв альтернативное решение, приготовиться к крайним действиям и т. п.

Сущность развития ИС во времени отражается в категории жизненный цикл (ЖЦ) – время от начала создания продукта до момента прекращения экс­плуатации.

Организация не может существовать без ИС. Можно говорить лишь о прекращении эксш1уатации данного поколения этого специфического продук­та, отдельных её подсистем и элементов

ЖЦ ИС заканчивается, как правило, не из-за её физического износа, а в результате морального устаревания. Моральный износ ИС характеризует невозможность удовлетворения определённых информационных потребностей организации. Поэтому возникает необходимость модификации всей ИС, либо её частей, или же необходимость разработки новой системы. Следует оценить риск отставания от конкурентов в результате устаревания ИС. Необходимо иметь в виду, что при выборе готовых ИС этот риск также имеет место. При­чинами неудач во внедрении готовых ИС чаще всего, бывают неверный выбор системы, слабая проработанность методологии использования ИТ и другое. С позиции разработчика выделяют следующие стадии ЖЦИС:

1. Предпроектное обследование, которое включает сбор материалов для проектирования (формирование требований, изучение объекта, выбор и разра­ботка варианта концепции системы), анализ материалов и разработка документации (создание и утверждение технико-экономического обоснования и технического задания на проектирование ИС);

2. Проектирование, которое включает предварительное (выбор проектных решений по всем аспектам создания ИС, описание всех компонентов ИС) и детальное проектирование (выбор математических методов и разработка алгоритмов программ , формирование структур БД, разработка документации на постановку и установку ПП, выбор комплекса технических средств и разработка документации на их поставку и установку, разработка и утверждение технического проекта системы);

3. Разработка ИС, включает получение и установку технических средств, разработку, тестирование и доводку программ, получение и установку ПС, разработка инструкции по эксплуатации ПО, технических средств и должностных инструкций персоналу, оформление рабочего проекта системы;

4. Ввод ИС в эксплуатацию, подразумевает ввод в опытную эксплуатацию аппаратно-программных средств, обучение и сертификацию персонала, проведение опытной эксплуатации всех компонентов и системы в целом, сдача в эксплуатацию и подписание актов приема-сдачи работ;

5. Эксплуатация ИС, включает регулярную реализацию процедур и функций системы, поддержку (сопровождение) компонентов системы.

Наибольшее распространение получили три модели ЖЦ ИС:

Каскадная модель – переход на следующий этап после полного окончания работ по предыдущему этапу.

Поэтапная модель с промежуточным контролем – итерационная модель разработки ИС и ИТ с циклами обратной связи между этапами. Межэтапные корректировки обеспечивает меньшую трудоемкость разработки по сравнению с каскадной моделью, но каждый из этапов может растянуться на весь период разработки.

Спиральная модель – делается упор на первые два этапа ЖЦ ИС, На этих этапах проверяется и обосновывается реализуемость технических решений путем создания прототипов. Каждый виток спирали соответствует поэтапной модели создания ИС и ИТ. На нем уточняются цели и характеристики проекта, определяются его качество, планируются работы следующего витка спирали. Происходит последовательная конкретизация деталей проекта ИС, формируется ее обоснованный вариант, который и доводит до реализации.

При использовании спиральной модели происходит накопление и повторное использование проектных решений, средств проектирования, моделей и прототипов ИС и ИТ определяется ориентация на развитие и модификацию ИС и ИТ в процессе их проектирования. Постоянно выполняется анализ риска и издержек в процессе проектирования ИС и ИТ.

ИТ-менеджер, сопровождающий проект ИС на этапах ЖЦ ИС постепенно превращается из заказчика системы в ее пользователя. Во многих организациях это очень болезненный процесс.

На первых этапах ИТ-менеджер должен обеспечить продуктивное взаимодействие персонала - будущих пользователей с разработчиком ИС для проведения обследования проекта, выбора и согласования проектных решений и создаваемой документации.

Одной из главных задач руководства организации заказчика и разработчика – активное обучение будущих пользователей, но прежде всего как постановщиков задач. Пользователь кроме профессиональных знаний в предметной области, должен иметь знания в области ИТ, чтобы грамотно сформулировать постановку задачи. Пользователи должны быть заранее ознакомлены с методикой проведения предварительного обследования, порядком обобщения результатов. Это поможет им определить и выделить подлежащие автоматизированной обработке задачи и функции, квалифицированно выполнять постановку задачи.

На этом этапе ввода системы в эксплуатацию заинтересованные пользователи должны обеспечить полноценное испытание компонентов системы, прежде всего прикладных программ, реализующих функции управления. Пользователи для тестирования должны подготовить необходимую информационную базу (ИБ), согласовать методику проведения испытаний ПС, участвовать в оценке результатов их тестирования. При этом пользователь должен убедиться в эффективности (выполнении возложенных на ПС функций) и надежности программ и технологий их использования.

Это справедливо и при использовании готовых ИС и ИТ, которые реализуются типовыми проектными решениями (ТПР), стандартными проектами, пакетами прикладных программ (ППП).

Использование общих черт организаций позволяет привязать готовые решения (модели и программы) к условиям конкретного пользователя и его задачам.

Лекция 7. УПРАВЛЕНИЕ ПРОЕКТИРОВАНИЕМ ИС И ВНЕДРЕНИЕ ИТ-МЕНЕДЖЕРАМИ.

Проектирование ЭИС - сложная и трудоемкая работа, требующая высокой квалификации участвующих в ней специалистов. Кроме того, в процессе создания и функционирования ЭИС информационные потребности пользователей постоянно меняются или уточняются, что еще больше усложняет разработку и сопровождение таких систем.

Технологии проектирования, применяемые в настоящее время, предполагают поэтапную разработку системы. Этапы по общности целей могут объединяться в стадии. Совокупность стадий и этапов, которые проходит ЭИС в своем развитии от момента принятия решения о создании системы до момента прекращения функционирования системы, называется жизненным циклом ЭИС.

Суть содержания жизненного цикла разработки ЭИС в различных подходах одинакова и сводится к выполнению следующих стадий:

Анализ требований и планирование работ. Эта стадия включает этапы проведения обследования деятельности организации и анализ существующей информационной системы, определение требований к создаваемой ЭИС, оформление технико-экономического обоснования и технического задания на разработку ЭИС.

Проектирование (техническое проектирование). Разработка в соответствии со формулированными требованиями состава автоматизируемых функций (функциональная архитектура) и состава обеспечивающих подсистем (системная архитектура), оформление технического проекта ЭИС.

Детальное проектирование (рабочее проектирование, физическое проектирование, программирование). Разработка и настройка программ, наполнение баз данных, создание рабочих инструкций для персонала, оформление рабочего проекта.

Внедрение (тестирование, опытная эксплуатация), комплексная отладка подсистем UP, обучение персонала, поэтапное внедрение ЭИС в эксплуатацию по подразделениям экономического объекта, оформление акта о приемо-сдаточных испытаниях ЭЙС.

Анализ требований к системе подразумевает определение ее функциональных возможностей, пользовательских требований, требований к надежности и безопасности, требований к внешним интерфейсам и т.д.

Планирование работ включает предварительную экономическую оценку проекта, построение плана-графика выполнения работ, создание и обучение совместной рабочей группы.

На этом этапе осуществляется системный анализ рассматриваемой системы, который включает в себя описание структуры элементов системы и проведение обследования деятельности автоматизируемого объекта; анализ распределения функций по подразделениям и сотрудникам; информационных потоков внутри подразделений и между ними, внешних по отношению к организации объектов и внешних информационных взаимодействий.

Анализ завершается построением моделей деятельности организации, предусматривающих обработку материалов обследования и построения функциональных и информационных моделей двух видов:

• модели «AS-IS» («как есть»), отражающей существующее положение дел в организации;

• модели «ТО-ВЕ» («как должно быть»), отражающей представление о новых технологиях и бизнес-процессах организации.

Стадии проектирования включают следующие этапы:

• разработка функциональной архитектуры ЭИС, которая отражает структуру и распределение функций между сотрудниками и системой, требования к программ6ным информационным компонентам;

• разработка системной архитектуры выбранного варианта ЭИС, включающей собственно проектирование системы и разработку обеспечивающих подсистем.

Построение системной архитектуры предполагает выделение элементов и модулей информационного, технического, программного обеспечения и других обеспечивающих подсистем, определение связей по информации и управлению между выделенными элементами и разработку технологии обработки информации.

Этап детального проектирования включает разработку инструкций пользователя программ, создание информационного обеспечения, включая наполнение баз данных.

Внедрение разработанного проекта предполагает выполнение следующих этап – опытное внедрение, заключающееся в проверке работоспособности элементов и модулей, проекта и устранение выявленных ошибок, и промышленное внедрение – этап сдачи в эксплуатацию и проверки на уровне функций и контроля соответствия требований сформулированным на стадии системного анализа.

Схема жизненного цикла разработки ЭИС условно включает в свой состав только основные процессы, реальный набор этапов и технологических операций в значительной степени зависит от выбранной модели проектирования.

Одним из условий обеспечения высокого качества создания ЭИС является акт вовлечения конечных пользователей в процесс разработки предназначенных для интерактивных систем. Вовлечение пользователей в процесс проектирования позволяет получать замечания и дополнения к требованиям непосредственно в процессе проектирования, тем самым сокращая время разработки.

Разработка и внедрение ЭИС предполагает реорганизацию не только организационной экономической структуры системы, но и изменение бизнес-процессов. Модули организации деловых процессов должны обеспечивать кардинальное повышение эффективности функционирования создаваемой ЭИС. В дальнейшем модели деловых процессов воплощаются в виде положений и инструкций по организации работ персонала на этапе внедрения осуществляется обучение персонала и поэтапный ввод в действия перепроектированных бизнес-процессов. Поэтому при создании сложных корпоративных ЭИС пользователям необходимо работать совместно с проектировщиками на протяжении всего периода разработки.

На стадии анализа требований и планирования работ пользователи осущёствляют следующие действия:

• определяют функции, которые должна выполнять система;

• выделяют приоритетные функции, требующие детального описания в первую очередь;

• описывают информационные потребности.

Формулирование требований к системе осуществляется непосредственно руководителями структурных подразделений и пользователями под руководи специалистов-разработчиков.

На стадии проектирования часть пользователей принимает участие в техническом проектировании системы для уточнения и дополнения требований к системе, которые были выявлены на предыдущих этапах. На данной стадии более детально рассматривают бизнес-процессы и управление ими; создается частичный прототип экранной формы диалога, отчета и устраняются неясности и неоднозначности; устанавливаются требования по разграничению доступа к данным и др.

На стадии внедрения при опытной эксплуатации оценивают получаемые результаты и вносят коррективы, если в процессе разработки система перестает удовлетворять определенным ранее требованиям. После окончания работ тестирования и завершения разработки осуществляется обучение пользователей с новыми организационными изменениями и параллельно с внедрением новой системы продолжается эксплуатация существующей системы до полного внедрения новой.

При проведении обследования деятельности организации одной из главных задач является выявление потребности в информации, а точнее: какая информация, кому, когда (к какому сроку или на каком этапе работы) и в какой форме должна быть предоставлена. Для ответа на эти вопросы существуют различные методы исследования информационных потребностей.

Существующие методы исследования информационных потребностей можно разделить на две группы:

«Косвенные» - базируются либо на изучении мнения людей, являющихся специалистами в конкретной предметной области, на основе запросов, либо путем проведения анкетирования, интервьюирования, анализа пользовательских ссылок и т.п. Недостатком методов является то, что суждение об информационных потребностях специалистов происходит на основе их личного представления о потребностях либо на основе сложившейся практики их контактирования с информационными службами и источниками информации. Поэтому информация, соответствующая его представлению, не всегда бывает наилучшей.

«Прямые» - основаны на непосредственном анализе информационных потоков, циркулирующих в системе между пользователями как внутри, так и на внешнем контуре управления. Эти методы преследуют цель путем изучения конкретной ситуации, в которой действует специалист, выявить объективно необходимую для решения проблемы информацию независимо от того, запросил ее специалист или нет.

В соответствии с основными источниками возникновения профессиональных информационных потребностей формируются методы их выявления: методы, основанные на анализе проблемных ситуаций, и методы, основанные на анализе функционально-должностных обязанностей различных категорий специалистов.

Рассмотрим классификацию методов исследования информационных потребностей:

Методы сбора можно разделить на две группы:

Методы сбора, выполняемые силами разработчиков, включающие методы проведения бесед и опросов, анализа материалов обследования, личных наблюдений, фотографии рабочего дня и хронометража рабочего времени специалиста при выполнении им той или иной работы;

Методы сбора, выполняемы сотрудниками предприятия, которым предлагается либо заполнять тетрадь-дневник на выполняемые ими работы, либо провести документную инвентаризацию рабочего места, либо использовать метод самофотографии рабочего дня, позволяющий выявить состав операций и получаемые при этом документы.

Метод бесед и консультаций с руководителями чаще всего проводится в форме обычной беседы с руководителями предприятий и подразделений или в форме деловой консультации со специалистами по вопросам, носящим глобальный характер и относящимся к определению проблем и стратегий развития и управления предприятием.

Метод опроса исполнителей на рабочих местах используется в процессе сбора сведений непосредственно у специалистов путем бесед, которые требуют тщательной подготовки. Заранее составляют список сотрудников, с которыми намереваются беседовать, разрабатывают перечень вопросов о роли и назначении работ в деятельности объекта, порядке их выполнения.

Метод анализа операций заключается в расчленении рассматриваемого делового процесса, работы на ее составные части, задачи, расчеты, операции и даже их элементы. После этого анализируется каждая часть в отдельности, выявляются повторяемость отдельных операций, многократное обращение к одной и той же операции, их степень зависимости друг от друга.

Метод анализа предоставленного материала применим в основном при выяснении таких вопросов, на которые нельзя получить ответ от исполнителя.

Метод фотографирования рабочего дня исполнителя работ предполагает непосредственное участие проектировщиков и применение рассчитанного для регистрации данных наблюдения специального листа фотографии рабочего дня и распределения его между работами.

Метод выборочного хронометража отдельных работ требует предварительной подготовки, известных навыков и наличия специального секундомера. Данные хронометража позволяют установить нормативы, на выполнение отдельных операций и собрать подробный материал о технике осуществления некоторых работ.

Метод личного наблюдения применим, если изучаемый вопрос понятен по существу и необходимо лишь уточнение деталей без существенного отрыва исполнителей от работы.

Метод документальной инвентаризации управленческих работ заключается в том, что на каждую работу в отдельности открывается специальная карта обследования, в которой приводятся все основные данные о регистрируемой работе или составляемых документах.

Метод ведения индивидуальных тетрадей-дневников. Записи в дневнике производятся сотрудником в течение месяца ежедневно, сразу после выполнения очередной работы.

Метод самофотографии рабочего дня заключается в том, что наблюдение носит более детальный характер и происходит в короткий срок. Этот метод дает сведения о наиболее трудоемких или типичных отдельных работах, которые используются для определения общей трудоемкости выполнения вех работ.

Расчетный метод применяется для определения трудоемкости и стоимости работ, подлежащих переводу на выполнение с помощью ЭВМ, а также для установления объемов работ по отдельным операциям.

Метод аналогии основан на отказе от детального обследования какого-либо подразделения или какой-либо работы. Использование метода требует наличия тождественности и не исключает общего обследования и выяснения таких аспектов, на которые аналогия не распространяется.

Классификация методов исследования информационных, потребностей

Силами исполнителей	Силами разработчиков
•Документальная инвентаризация	• Методы анализа операций
• Самофотографирование	• Личное наблюдение
•Ведение индивидуальных тетрадей-	•Беседы и консультации с руководителями
дневников	• Хронометраж
	• Опрос исполнителей на местах
	• Метод аналогий
	• Расчетный метод
.	• Анализ документооборота

При выборе метода следует учитывать следующие критерии: степень личного участия проектировщика в сборе, материала, а также временные, трудовые и стоимостные затраты на получение сведений.

В основе проектирования ЭИС лежит моделирование проблемной области, необходимость которой во многом обусловлена сложностью организационно-экономической системы. Под проблемной областью будем понимать взаимосвязанную совокупность управляемых объектов организации (предметной области), управляющих объектов, а также автоматизируемых функций управления и программно-технических средств их реализации.

Для того чтобы получить адекватный проблемной области проект ЭИС в виде системы правильно работающих программных модулей, необходимо иметь целостное, системное представление модели, которое отражает все аспекты функционирования будущей автоматизированной информационной системы. При этом под моделью понимается некоторая абстрактная система, имитирующая структуру или функционирование исследуемой проблемной области, отвечающей основному требованию - адекватности этой области.

Проведение предварительного моделирования проблемной области позволяет сократить время и сроки проведения проектировочных работ и получить более эффективный качественный проект системы. Без проведения моделирования проблемной области велика вероятность создать систему, не обеспечивающую достижения поставленных целей, в которой может быть допущено большое количество ошибок в решении стратегических вопросов, приводящих к экономическим потерям и высоким затратам на последующее проектирование системы. Моделирование проблемной области дает возможность оценить достоинства и недостатки существующей информационной системы предприятия и построить эффективную архитектуру новой автоматизированной информационной системы. К моделям проблемных областей предъявляются следующие требования:

• формализованность, обеспечивающая адекватное описание структуры и функционирование проблемной области;

• понятность для заказчиков и разработчиков на основе применения наглядных средств отображения модели;

• реализуемость, подразумевающая наличие средств физической реализации модели проблемной области в ЭИС;

• обеспечение эффективности реализации модели проблемной области на основе определенных методов и вычисляемых показателей. Для реализации перечисленных требовании строится система моделей, которая отражает структурный и оценочный аспекты функционирования проблемной области.

Структурный аспект функционирования ЭИС предполагает построение:

• объектной структуры, отражающей состав взаимодействующих в процессах материальных и информационных объектов предметной области;

• функциональной структуры, отражающей взаимосвязь функций по преобразованию объектов в процессах;

• структуры управления, отражающей события и информационные потоки, которые воздействуют на выполнение бизнес-процессов;

• организационной структуры, отражающей взаимодействие должностных лиц организации и персонала в бизнес-процессах;

• технической структуры, описывающей топологию расположения и способы коммуникации комплекса технических средств.

Для представления структурного аспекта моделей проблемной области чаще всего используют графические методы, которые являются наиболее наглядными и более детально раскрывают взаимосвязь между различными компонентами системы. Трудности возникают при переходе от этапа анализа системы к этапу проектирования и в особенности к программированию.

Главный критерий адекватности структурной модели проблемной области заключается в функциональной полноте разрабатываемой ЭИС.

Оценочный аспект моделирования проблемной области связан с разрабатываемыми показателями эффективности автоматизируемых процессов, к которым относятся:

• время решения задач;

• стоимостные затраты на обработку данных;

• надежность процессов;

• косвенные показатели эффективности (объем производства, производительность труда, рентабельность и т.д.).

Для расчета показателей эффективности ЭИС, реализующей модель проблемной области, как правило, используются статистические методы (например, функционально-стоимостного анализа и др.) и динамические методы (методы имитационного моделирования и др.).

В основе различных методологий моделирования проблемных областей ЭИС лежат принципы последовательной детализации абстрактных категорий на трех уровнях: внешнем(определение требований), на концептуальном (спецификация требований) и внутреннем (реализация требований).

На внешнем уровне детализации модели выделяют основные виды материальных объектов и основные виды информационных объектов (документов), определяют список основных бизнес-процессов, список целевых установок, которым должны соответствовать бизнес-процессы, и строят структурную модель предприятия в виде иерархии подчинения организационных единиц или списков взаимодействующих подразделений.

На концептуальном уровне построения модели проблемной области уточняется состав классов объектов, определяются их атрибуты и взаимосвязи между собой. С.роится обобщенное представление структуры предметной области, выделенные функции декомпозируются, устанавливаются бизнес-правила, определяющие условия вызова функций при возникновении событий и достижений состояний объектов, определяется способ коммуникаций между структурными подразделениями (обмен информацией по каналам связи).

На внутреннем уровне отображается структура информационного процесса в виде файлов данных, входных и выходных документов ЭИС, определяются иерархические структуры программных модулей, реализующих автоматизируемые функции. Причем динамические объекты представляются единицами переменной информации или документами, а статистические объекты - единицами условно-постоянной информации в виде списков, номенклатур, ценников, справочников, классификаторов. При этом модель базы данных как постоянно поддерживаемого информационного ресурса отображает хранение условно-постоянной и накапливаемой переменной информации, используемой в повторяющихся информационных процессах. Строится модель «клиент-серверной» архитектуры вычислительной сети, определяются требования к правам доступа персонала к автоматизированным функциям информационной системы.

При выборе формализма для модели проблемной области обычно в качестве критерия выбора выступает степень ее динамичности. Для регламентированных задач больше подходят функциональные модели, для адаптивных бизнес-процессов (управления рабочими потоками, реализации динамических запросов к базам данных) - объектно-ориентированные модели. А для различных классов задач, описывающих одну и ту же проблемную область, как правило, используются комбинированные модели проблемной области.

Достоинством данной методологии является то, что она обеспечивает интегрированный подход к анализу и проектированию ЭИС и позволяет увязывать организационную структуру с функциями и данными через возникающие события, отражая динамическую структуру бизнес-процессов.

В основе технологии проектирования Эис лежит технологический процесс, который определяет действия, их последовательность, состав исполнителей, средства и ресурсы, требуемые для выполнения этих действий. Для конкретных видов технологий проектирования свойственно как отдельных проектных работ, этапов, так и их совокупность.

Поэтому стоит задача выбора средств проектирования, которые по своим характеристикам в наибольшей степени соответствуют требованиям конкретным объектам. Средства проектирования должны удовлетворять следующим требованиям:

• охватывать в совокупности все этапы жизненного цикла ЭИС;

• должны быть в своем классе инвариантными к объекту проектирования;

• технически, программно и информационно совместимы;

• должны быть достаточно простыми в освоении и применении;

• экономически целесообразны.

Средства проектирования ЭИС можно разделить на два класса: без использования ЭВМ и с использованием ЭВМ.

Средства проектирования без использования ЭВМ применяются на всех стадиях и этапах проектирования ЭИС. Как правило, это средства организационно-методического обеспечения операций проектирования и в первую очередь различные стандарты, регламентирующие процесс проектирования систем. Сюда же относятся единая система классификации и кодирования информации, унифицированная система документации, модели описания и анализа потоков информации и т.п.

Средства проектирования с использованием ЭВМ могут применяться как на отдельных, так и на всех стадиях и этапах процесса проектирования ЭИС и соответственно поддерживают разработку элементов проекта системы, разделов проекта системы, проекта системы в целом. Все множество средств проектирования с использованием ЭВМ можно разделить на четыре группы.

К первой группе относятся операционные средства, которые поддерживают проектирование операций обработки информации. К ним относятся алгоритмические языки, библиотеки стандартных подпрограмм и классов объектов, макрогенераторы, генераторы программ типовых операций обработки данных и т.п., а так же средства расширения функций операционных систем (утилиты). Кроме этого, к ним относятся простейшие инструментальные средства проектирования как средства для тестирования и отладки программ, поддержки процесса документирования как средства для тестирования и отладки программ, поддержки процесса документирования проекта и т.п. особенность последних программ заключается в том, что с их помощью повышается производительность труда проектировщиков, но не разрабатывается законченное проектное решение. Средства данной группы поддерживают отдельные операции проектирования ЭИС и могут применяться независимо друг от друга.

Ко второй группе относят средства, поддерживающие проектирование отдельных элементов создаваемой ЭИС. К ним относятся средства общесистемного назначения, а именно:

• системы управления базами данных;

• методоориентированные пакеты прикладных программ (решение задач дискретного программирования, математической статистики и т.п.);

• табличные процессоры;

• статистические пакеты прикладных программ;

• оболочки экспертных систем;

• графические редакторы;

• текстовые процессоры;

• интегрированные пакеты прикладных программ (интерактивная среда встроенными диалоговыми возможностями, позволяющая интегрировать вышеперечисленные программные средства).

Для данной группы средств характерно их использование для разработки технологических подсистем ЭИС (ввода информации, организации хранения и доступа данным, вычислений, анализа и отображения данных, принятия решений).

К третьей группе относятся средства, поддерживающие проектирование раздел проекта ЭИС. Их выделяют как функциональные средства проектирования. Они направлены на разработку автоматизированных систем, реализующих функции, комплексы задач задачи управления. Разнообразие предметных областей порождает многообразие среди данной группы, ориентированных на тип организационной системы (промышленная, непромышленная сфера), уровень управления и функции управления.

К функциональным средствам проектирования систем обработки информации относятся типовые проектные решения, функциональные пакеты прикладных программ, типовые проекты.

К четвертой группе средств проектирования ЭИС относятся средства поддерживающие разработку проекта на стадиях и этапах процесса проектирован К данной группе относятся средства автоматизации проектирования ЭИС – CASE-средств. Термин CASE (Computer Aided Software Engineering) используется как средство, реализующее CASE-технологию создания и сопровождения программного обеспечения при разработке ЭИС.

Большинство существующих Case-средств основано на методах структурного или объектно-ориентированного анализа и проектирования, использующих спецификации в виде диаграмм или текстов для описания внешних требований, связей между моделями системы динамики поведения системы и архитектуры программных средств.

Исходя из вышесказанного, современные CASE-средства можно классифицировать следующим признакам:

1. По поддерживаемым методологиям проектирования;

• функционально-ориентированные;

• объектно-ориентированные;

• комплексно-ориентированные.

2. По степени интегрированности САSЕ-средств:

• отдельные локальные средства (tools);

• набор неинтегрированных средств, обхватывающих большинство этапов разработки ЭИС (toolkit);

• полностью интегрированные средства, связанные общей базой проектных данных репозитарием (workbench),

3. По типу и архитектуре вычислительной техники:

• ориентированные на ПЭВМ;

• ориентированные на локальную вычислительную сеть;

• ориентированные на глобальную вычислительную сеть;

• смешанного типа.

4.По типу операционной системы:

• работающие под управлением Windows;

• работающие под управлением UNIХ;

• работающие под управлением различных ОС (Windows, UNIX, OS/2).

3. По типу функциональной ориентации жизненного цикла разработки ЭИС:

• средства анализа и проектирования (Bpwin, Silverrun, Oracle Designer);

• средства проектирования баз данных (SQL, Erwin и др.);

• средства управления требованиями (RequisitePro, DOORS и др.);

• средства управления конфигурацией программного обеспечения (PVCS, ClearCase и др.);

• средства документирования (SoDa);

• средства тестирования (Rational Suite TestStudio);

• средства управления проектом (Open Plan Professional, Microsoft Project). Таким образом, современные CASE-системы охватывают обширную область поддержки различных технологий проектирования и программирования от простых средств анализа и документирования до полномасштабных средств автоматизации, поддерживающих весь жизненный цикл ЭИС.

Лекция 8. ЭКОНОМИЧЕСКИЕ АСПЕКТЫ ЭФФЕКТИВНОСТИ ОТ ВНЕДРЕНИЯ ЭКОНОМИЧЕСК4ИХ ИНФОРМАЦИОННЫХ СИСТЕМ.

Эффективность экономических процессов (бизнес-процессов) характеризуется системой показателей, отражающих соотношение полученных результатов и совокупности затрат для их достижения. К таким показателям относятся:

коммерческая эффективность – то есть финансовые последствия реализации проекта для его участников;

бюджетная эффективность — финансовые последствия осуществления проекта для государственных бюджетов различных уровней;

экономическая эффективность – учитывает затраты и результаты реализации проекта, выходящие за пределы прямых финансовых интересов его участников.

Экономические аспекты эффективности от внедрения информационных технологий можно оценивать различными методами.

Согласно первому подходу вывод об экономической эффективности внедрения экономических информационных систем может быть сделан на основании сопоставления годовой экономии (Эгод) с капитальными затратами на приобретение и установку программ и текущими расходами на их эксплуатацию (С) с учетом нормативного коэффициента экономической эффективности (Ен = 0,32), то есть

_Эгод

Э =_С+ЕнК

Значение, полеченное в результате расчета, должно превышать норматив Ен или быть равным Ен(Э>Ён), что может говорить об экономической целесообразности совершенствования экономических информационных систем.

Достоинством данного метода являемся возможность влияния на показатели деятельности предприятия за счет снижения численности персонала. При этом годовой экономический эффект будет представлен величиной экономического фонда заработной платы.

Второй подход позволяет оценивать реальное повышение эффекта работы за счет внедрения новых информационных технологий как разницу между доходами от их производительности.

Экономическая оценка совокупной стоимости владения приобретает сегодня все большее значение. Комплексный подход к решению данной проблемы предполагает модернизацию оборудования, автоматизацию распространения программного обеспечения, обеспечение квалифицированной технической поддержки, а также соблюдение стандарта на аппаратные и программные средства.

Корпорацией Microsoft была разработана модель совокупной стоимости владения ССВ, которая позволяет определить этот показатель и применит при оптимизации структуры расходов. Данная модель способствует упрощению анализа управления прямыми и косвенными затратами, связанными с эксплуатируемыми экономическими информационными системами.

Так, например, капитальные затраты на аппаратно-программные средства состав: около четверти всех расходов на информационные технологии. Значительная часть остальных затрат связана с администрированием и технической поддержкой, неявными расходами на поддержку ЭИС, которые производятся рядовыми пользователями.

В ходе исследований была выявлена закономерность, согласно которой увеличили затрат на информационные технологии ведет к пропорциональному повышению эффективности работы сотрудников.

Автоматизация множества операций позволяет концентрировать выполнение множества функций одним работником с меньшей квалификацией. Кроме того, на основе использования, локальных вычислительных сетей с архитектурой «клиент-cсервис» осуществляется связывание участников бизнес-процесса через технологию управления потоками работ, позволяющее оперативно доставлять результаты выполненной работ последующих исполнителей, автоматически сигнализируя о конце предыдущей операции:

В то же время неоправданная экономия на внедрении новых экономических информационных систем и повышении квалификации сотрудников приводит к росту числа простоев и расходов, вызванных ложными вызовами службы технической поддержки.

Все затраты можно разделить на плановые (преднамеренные) и внеплановые.

Плановые затраты состоят из расходов:

• на аппаратно-программные средства (капитальные вложения на внедрение ЭИС, модернизацию и развитие);

• на администрирование (оплата сетевого и системного администрирования, а также задачи упреждающего управления);

• на техническую поддержку (материально-техническое снабжение, командировки, накладные расходы);

• на разработку новых приложений (тестирование и подготовка документации и др.)

• на оплату коммуникационных средств и дополнительного сервиса. Внеплановые затраты возникают тогда, когда отдельные пользователи злоупотребляют предоставленными возможностями корпоративного или персонального ресурса ЭИС. Данный вид затрат сложно поддается учету и прогнозированию. Внеплановые затраты могут представлять также скрытую опасность, так как при нерациональное сокращении расходов на информационные технологии происходит перераспределение функций технической поддержки с профессиональных сотрудников непосредственно рядовых пользователей, при этом начинается резкий неконтролируемый рост таких затрат. Таким образом, рациональное обоснование выбора необходимых информационных технологий и грамотное их использование позволяет существенно повышает конкурентоспособность продукции и предприятия в целом, снизить трудоемкость рутинных работ, ускорить процессы получения информации, необходимой для принятия экономически обоснованного решения. Затраты на внедрение экономических информационных систем не только окупаются, но и дают прибыль. Каждый доллар, инвестированный в информационные технологии, приносит через год от 2,5 до 3 долларов прибыли. Потенциальный эффект от применения автоматизированных ИТ, в зависимости от сферы воздействия, приведён в таблице. В таблице приведены возможные результаты воздействия ИТ на ИС организации. Однако следует учесть, что количественная оценка результатов такого воздействия во многих случаях затруднительна.

Сфера действия	Результат
Управление	сокращение количества уровней управления; снижение административных расходов; высвобождение работников и упразднение ряда функций; освобождение работников от рутинной работы за счёт автоматизации; высвобождение времени работников для интеллектуальной (аналитической) деятельности; получение рациональных вариантов решения управленческих задач за счёт внедрения математических методов и интеллектуальных систем; создание современной организационной структуры, обеспечи­вающая ее гибкость и адаптивность; повышение производительности труда; повышение квалификации и профессиональной грамотности управленцев; увеличение конкурентного преимущества; увеличение выручки от прибыли, снижение издержек.
Информационная система	совершенствование структуры потоков информации и системы документооборота организации; эффективная внутрифирменная координация, например, с помощью электронной почты; обеспечение достоверности и качества информации; прямой доступ к информационным ресурсам организации; переход на безбумажную технологию работы.
Производство	сокращение времени на проектирование и производство изделий; повышение степени проработанности изделий, в результате чего они становятся более надёжными, ремонтно-пригодными; расширение свойств продукции и сферы её возможного применения; уменьшение затрат на производство продукции и услуг; сокращение затрат труда на приёмку, обработку и выполнение заказов; предоставление потребителям новых уникальных услуг; повышение производительности труда в сфере производства; повышение качества товаров и услуг; рационализация материально технического обеспечения, в т. ч. и за счет снижения уровня запасов.
Маркетинг	уменьшение затрат на распространение изделий; отыскание новых рыночных ниш; возможность идентификации потребителей создаваемой продукции; поддержка продаж; более эффективное взаимодействие с заказчиками (потребителями) продукции(наглядность, скорость передачи сообщений и т.д.); повышение гибкости реагирования на спрос, возможность оперативно удовлетворять новые желания потребителей.