- •8 Защита информации 39
- •9 Экономические аспекты повышения эффективности информационных технологий 48
- •1Введение.
- •2Информационные технологии
- •2.1Информационное общество
- •2.2Информация, информационные технологии и системы.
- •2.3Классификация ис
- •2.4Особенности информационных технологий в различных организациях
- •2.5Информационные технологии - инструмент формирования управленческих решений
- •3Информационное обеспечение ис
- •3.1Экономическая информация и ее структура
- •3.2Внешнее и внутреннее информационное обеспечение
- •3.2.1Системы классификации и кодирования
- •3.2.2Унифицированная система документации и организация документопотоков
- •3.3Информационное обеспечение арм менеджера
- •4Состав технического обеспечения ит и ис
- •5Программные средства ис
- •6Информационная модель предприятия
- •6.1Структура предприятия и информационные потоки
- •6.1.1Инфологическая модель предприятия
- •6.1.2Даталогическая модель предприятия
- •6.2Взаимодействие с базами данных.
- •6.3Особенности информационной модели предприятия в системе 1с.
- •7Информационные технологии управления персоналом
- •7.1Организационно-экономическая сущность задач управления персоналом
- •1) Формирование кадрового состава;
- •7.1.1Формирование кадрового состава
- •7.1.2Методы поддержания работоспособности персонала
- •7.1.3Задачи управления персоналом и их решение на базе ит
- •7.1.4 Планирование штатных расписаний
- •7.1.5 Накопление персональных данных о сотрудниках
- •7.1.6Набор и перемещение сотрудников. Профессиональный рост персонала
- •7.1.7Планирование использования трудовых ресурсов
- •7.1.8Учет использования рабочего времени
- •7.1.9Расчеты с персоналом, пенсионный и налоговый учет
- •7.1.10Ит решения задач управления персоналом в корпоративных организациях
- •7.1.11Интернет, трудовые ресурсы и работодатели
- •7.2Система босс-Кадровик
- •7.3Программа 1с: Управление персоналом и зарплата
- •Функциональные возможности программы "1с:Зарплата и Управление Персоналом 8.0"
- •8Защита информации
- •8.1Необходимость и потребность в защите информации
- •8.2Основные понятия защиты информации
- •8.3Угрозы безопасности
- •8.4Модель нарушителя
- •8.5Методы и средства защиты
- •8.6Пример защиты информации шифрованием
- •9Экономические аспекты повышения эффективности информационных технологий
- •9.1Современные подходы к определению эффективности информационных технологий
- •9.2Экономическая оценка совокупной стоимости владения информационными технологиями
- •9.2.1Совокупная стоимость владения
- •9.2.2Анализ расходов на информационные системы
- •9.2.3Расчет стоимости простоя сервера
- •9.2.4Снижение совокупной стоимости владения путем реформирования информационной системы
8.2Основные понятия защиты информации
Дадим несколько определений. Защита информации — это средства обеспечения безопасности информации. Безопасность информации — защита информации от утечки, модификации и утраты. По существу, сфера безопасности информации не защита информации, а защита прав собственности и интересов субъектов информационных отношений. Утечка информации — ознакомление постороннего лица с содержанием секретной информации. Модификация информации — несанкционированное изменение информации, корректное по форме и содержанию, но другое по смыслу. Утрата информации — физическое уничтожение информации.
Цель защиты информации — противодействие угрозам безопасности информации. Угроза безопасности информации — действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов (т. е. к утечке, модификации и утрате), включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Поэтому для обеспечения безопасности информации необходима защита всех сопутствующих компонентов информационных отношений (т. е. компонентов информационных технологий и автоматизированных систем, используемых субъектами информационных отношений):
• оборудования (технических средств);
• программ (программных средств);
• данных (информации);
• персонала.
С этой целью в соответствующих организациях и на соответствующих объектах строится система защиты. Система защиты — это совокупность (комплекс) специальных мер правового (законодательного) и административного характера, организационных мероприятий, физических и технических (программно-аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения безопасности информации, информационных технологий и автоматизированной системы в целом. Для построения эффективной системы защиты необходимо провести следующие работы:
1) определить угрозы безопасности информации;
2) выявить возможные каналы утечки информации и несанкционированного доступа (НСД) к защищаемым данным;
3) построить модель потенциального нарушителя;
4) выбрать соответствующие меры, методы, механизмы и средства защиты;
5) построить замкнутую, комплексную, эффективную систему защиты, проектирование которой начинается с проектирования самих автоматизированных систем и технологий.
При проектировании существенное значение придается предпроектному обследованию объекта. На этой стадии:
• устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой АИТУ, оценивается уровень ее конфиденциальности и объем;
• определяются режимы обработки информации (диалоговый, телеобработка и режим реального времени), состав комплекса технических средств и т. д.;
• анализируется возможность использования имеющихся нарын-ке сертифицированных средств защиты информации;
• определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;
• определяются мероприятия по обеспечению режима секретности на стадии разработки.
Для создания эффективной системы защиты разработан ряд стандартов. Главная задача стандартов информационной безопасности — создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и взгляды на проблему информационной безопасности.
Наиболее значимыми стандартами информационной безопасности являются (в хронологическом порядке): Критерии безопасности компьютерных систем Министерства обороны США («Оранжевая книга»), Руководящие документы Гостехкомиссии России, Европейские критерии безопасности информационных технологий, Федеральные критерии безопасности информационных технологий США, Канадские критерии безопасности компьютерных систем и Единые критерии безопасности информационных технологий.