- •Інформаційні системи в менеджменті
- •Лекція №1. Економічна інформація. Класифікація, носії, складові. Інформаційні системи. Введення, історія розвитку, класифікація
- •Джерело виникнення даних → збір даних → передача даних → зберігання даних → переробка даних → видача результатів → користувачі еом
- •Носії інформації
- •Структура і властивості економічної інформації
- •Історія розвитку інформаційних систем
- •Iіі покоління (з середини 80-х рр.)
- •Лекція №2. Інформаційні технології та їх використання. Автоматизоване робоче місце менеджера як складова аіс
- •Історія розвитку іт
- •Автоматизоване робоче місце
- •Лекція №3. Автоматизовані системи управління підприємством (Виробничі системи) Загальні відомості з розвитку автоматизованих систем управління підприємством
- •Планування потреб в матеріалах (склад та послідовність процедур планування згідно mrp)
- •(Страховий запас)-(Резервування для інших цілей)
- •Управління виробничими ресурсами (концепція mrp іі: еволюція, структура, практичне використання)
- •Інтегровані інформаційні системи автоматизації процесів курування підприємством (erp – Enterprise Resources Planning – Планування ресурсів підприємства)
- •Управління фінансами
- •Система планування ресурсів підприємства, синхронізованого зі споживачами (csrp)
- •Планування виробництва планування замовлень покупців.
- •Розвинуті системи планування (aps, Advanced Planning System)
- •Лекція №4. Crm (Customer Relationship Management)
- •Історія розвитку crm
- •При виборі того чи іншого crm-рішення як правило керуються наступними вимогами:
- •Функції crm-систем:
- •Лекція №5. Експертні системи
- •Економічні експертні системи
- •Лекція №6. Системи підтримки прийняття рішень у бізнесі
- •Цілі, призначення, практика сппр
- •Тенденції та перспективи розвитку сппр у різних галузях
- •Функції системи підтримки прийняття рішень
- •Лекція №7. Комп’ютерні мережі. Інтернет
- •Топології локальних обчислювальних мереж.
- •Адресація в Internet
- •Основні сервіси Internet
- •Лекція №8. Інформаційні ресурси глобальної мережі Інтернет
- •1. Основні віхи в історії розвитку Internet
- •2. Протокол tcp/ip
- •3. Організація Інтернету
- •4. Принципи адресації в Інтернеті
- •5. Принцип роботи Інтернету
- •6. World Wide Web і гіпертексти
- •8. Протокол http та url
- •9. Інші інформаційні ресурси Інтернету
- •Лекція №9. Уразливість і зловживання в системах
- •Почему системы уязвимы
- •Новые уязвимости
- •Заботы для создателей и пользователей систем
- •18.2. Средства контроля
- •Общие средства контроля
- •Прикладные средства контроля
- •Разработка структуры контроля: затраты и доходы
- •18.3. Аудит информационных систем
- •Роль аудита в процессе контроля
- •Аудиты качества данных
18.2. Средства контроля
Средства контроля: все методы, политика и процедуры, которые гарантируют защиту активов организации, точность и надежность ее записей, и строгое операционное соблюдение стандартов управления.
Для минимизации ошибок, катастроф, компьютерных преступлений и прорывов безопасности, специальные политики и процедуры должны быть включены в проект и реализацию информационных систем. Комбинация ручных и автоматизированных мер, которые защищают информационные системы и гарантируют, что они работают согласно стандартам управления, называется средствами контроля. Средства контроля состоят из всех методов, политик и организационных процедур, которые гарантируют безопасность активов организации, точность и надежность ее учетных записей и строгого операционного соблюдения стандартов управления.
В прошлом, контроль информационных систем рассматривался как запоздалая мысль, адресованная только к концу реализации, непосредственно перед тем, как система будет установлена. Сегодня, однако, организации настолько критически зависят от информационных систем, что проблемы уязвимости и контроля, должны быть идентифицированы как можно раньше. Контроль информационной системы должен быть неотъемлемой часть ее проекта. Пользователи и разработчики систем должны уделять особое внимание средствам контроля в течение всего жизненного цикла системы.
Компьютерные системы контролируются комбинацией общих и прикладных средств контроля.
Общие средства контроля: средства контроля, которые устанавливают структуру контроля проекта, безопасности и использования компьютерных систем по всей организации.
Прикладные средства контроля: определенные средства контроля, уникальные для каждого компьютеризированного приложения.
Общие средства контроля контролируют проект, безопасность и использование компьютерных программ, и безопасность файлов данных вообще по всей организации. В целом, общие средства контроля применяются ко всем компьютеризированным прикладным программам и состоят из комбинации системного программного обеспечения и ручных процедур, которые создают общую среду контроля.
Прикладные средства контроля - определенные средства контроля, уникальные для каждого компьютеризированного приложения, типа платежной ведомости, дебиторской задолженности и обработки заказа. Они состоят и из средств контроля применяемых в функциональной области пользователя специфической системы и из программированных процедур.
Общие средства контроля
Общие средства контроля - общие средства контроля, которые гарантируют эффективную работу программированных процедур. Они применяются ко всем прикладным областям. Общие средства контроля включают следующие:
Средства контроля процесса реализации системы.
Средства контроля программного обеспечения.
Средства контроля физического аппаратного обеспечения.
Средства контроля компьютерных операций.
Средства контроля безопасности данных.
Административные дисциплины, стандарты и процедуры.
Таблица 18.2. Необходимая для информационной системы техническая документация и документация пользователя
Техническая документация |
Документация пользователя |
Блок схема системы Форматы файла Форматы записи Список программ / модулей Диаграммы структуры программы Комментарии к описанию программы / модуля Распечатки исходной программы Перекрестные ссылки модуля Аварийные ситуации / действия Аварийное завершение Потребности установки задания Графики запуска задания Распределение отчета / вывода Контакт ответственного программиста Распечатки языка управления заданиями Процедуры копирования / восстановления Процедуры управления запуском Процедуры доступа к файлу Требования к аппаратным средствам / операционной системе |
Типовые формы отчетов / вывода Типовые входные формы / экраны Команды подготовки данных Команды ввода данных Команды для использования отчетов Конфигурации безопасности Описание функционирования системы Потоки работ Процедуры исправления ошибок Отчетность Комментарий к процедурам обработки Список / описание средств управления Контакт ответственного пользователя
|
СРЕДСТВА КОНТРОЛЯ РЕАЛИЗАЦИИ
Средства контроля реализации: аудит процесса разработки систем в различных точках, чтобы убедиться, что он должным образом контролируется и управляется.
Средства контроля реализации проводят ревизию процесса разработки системы в различных точках, чтобы гарантировать, что она должным образом контролируется и управляется. Аудит разработки системы должен искать наличие формальных точек обзора на различных стадиях разработки, которые дают возможность пользователям и управлению одобрять или не одобрять реализацию.
Аудит разработки системы должен также исследовать уровень участия пользователя на каждой стадии реализации и проверять использование формальной методологии стоимость/прибыль для определения выполнимости системы. Аудит должен также искать использование средств контроля и методов обеспечения качества для разработки программы, конверсии и испытания.
Важное, хотя часто пренебрегаемое, требование разработки систем - соответствующая документация. Без хорошей документации, которая показывает, как система работает с технической точка зрения и с точка зрения пользователя, информационная система может быть трудна или не пригодна для функционирования, сопровождения или использования. Таблица 18.2. перечисляет различные виды документации, которые обычно требуются для запуска и сопровождения информационной системы. Аудит системы должен искать документацию системы, пользователя и операций, которая соответствует формальным стандартам.
СРЕДСТВА КОНТРОЛЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Средства контроля программного обеспечения: предназначены для гарантии безопасности и надежности программного обеспечения.
Средство контроля безопасности программ: средства контроля, предназначенные для предотвращения несанкционированных изменений в программах систем, которые уже эксплуатируются.
Средства контроля необходимы для различных категорий программного обеспечения, используемого в компьютерных системах. Средства контроля программного обеспечения контролирует использование системного программного обеспечения, и предотвращают несанкционированный доступ программ, системного программного обеспечения и компьютерных программ.
Средства контроля системного программного обеспечения контролируют программное обеспечение операционной системы, которая распределяет и управляет компьютерными ресурсами для обеспечения выполнения прикладных программ. Средства контроля системного программного обеспечения также используются для компиляторов, утилит, составления отчетов по операциям, установки и обработки файлов и хранения учетных записей. Системное программное обеспечение - важная область контроля, потому что оно осуществляет общие функции управления программами, которые непосредственно обрабатывают данные и файлы данных. Средство контроля безопасностью программ предназначено для предотвращения несанкционированных изменений в программах систем, которые уже эксплуатируются.
СРЕДСТВА КОНТРОЛЯ АППАРАТНОГО ОБЕСПЕЧЕНИЯ
Средства контроля аппаратного обеспечения: средства контроля, которые предназначены, чтобы гарантировать физическую безопасность и правильную работу компьютерных аппаратных средств.
Средства контроля аппаратным обеспечением проверяют неисправность оборудования и гарантируют, что компьютерные аппаратные средства физически безопасны. Компьютерные аппаратные средства должны быть так физически безопасны, чтобы к ним могли получить доступ только лица, имеющие разрешение. Доступ к помещениям, где работают компьютеры, должен быть ограничен персоналом компьютерных операций. Компьютерные терминалы в других областях или микроЭВМ могут сохраняться в замыкаемых помещениях. Компьютерное оборудование должно быть специально защищено от пожара и чрезмерных температур и влажности. Организации, которые критически зависят от своих компьютеров, должны также создать условия для аварийного копирования в случае сбоя питания.
Много видов компьютерных аппаратных средств также содержат механизмы, которые проверяют неисправность оборудования. Проверки на четность обнаруживают неисправности оборудования, ответственного за изменение битов внутри байтов во время обработки. Контроль правильности контролирует структуру «включено - выключено» битов внутри байтов, чтобы убедиться, что они достоверны для набора символов определенной компьютерной машины. Эхоконтроль проверяет, что аппаратное устройство готово к работе.
СРЕДСТВА КОНТРОЛЯ КОМПЬЮТЕРНЫХ ОПЕРАЦИЙ
Средства контроля компьютерных операций: процедуры, которые гарантируют, что программные процедуры, последовательно и правильно применяются к хранению данных и обработке.
Средства контроля компьютерных операций используются в работе компьютерного отдела и помогают гарантировать, что программные процедуры, последовательно и правильно применяются к хранению и обработке данных. Они включают средства контроля установки заданий компьютерной обработке, программное обеспечение операций и машинные операции и процедуры дублирования и восстановления для обработки, которая заканчивается неправильно.
Команды для выполнения компьютерных заданий должны быть полностью задокументированы, рассмотрены и одобрены ответственным должностным лицом. Средства контроля программного обеспечения операций включают ручные процедуры, предназначенные для предотвращения и обнаружения ошибок. Они включают определенные инструкции для системного программного обеспечения, процедуры перезагрузки и восстановления, процедуры маркирования и использования магнитных лент ввода и вывода, и процедуры для определенных прикладных программ.
Системное программное обеспечение может содержать системный файл регистрации, детализирующий все действия во время обработки. Этот файл регистрации может быть напечатан для обзора, чтобы сбой аппаратного обеспечения, аварийные завершения и действия оператора могли быть исследованы. Определенные команды для копирования и восстановления могут быть разработаны так, чтобы в случае ошибки аппаратных средств или программного обеспечения, процесс восстановления для функционирующих программ, системного программного обеспечения и файлов данных не создал ошибочные изменения в системе.
Сложные средства контроля компьютерных операций контролирует машинные операции в национальном масштабе для этой корпорации.
СРЕДСТВА КОНТРОЛЯ БЕЗОПАСНОСТИ ДАННЫХ
Средства контроля безопасности данных: средства контроля, которые гарантируют, что файлы данных или на диске или ленте не являются предметом несанкционированного доступа, изменения или разрушения.
Средства контроля безопасности данных гарантирует, что файлы данных или на диске или ленте не являются предметом несанкционированного доступа, изменения или разрушения. Такие средства контроля требуется для файлов данных, когда они находятся в использовании и когда они находятся на хранении. Проще контролировать файлы данных в пакетных системах, так как доступ ограничен операторами, которые управляют пакетными заданиями. Однако, диалоговые системы и системы режима реального времени, работающие в реальном масштабе времени уязвимы в нескольких точках. К ним можно получить доступ через терминалы также как и операторам в течение эксплуатации.
Когда данные могут быть введены в режиме реального времени через терминал, возможность несанкционированного ввода должна быть предотвращена. Например, кредитное авизо может быть изменено, чтобы соответствовать коммерческому счету. В таких ситуациях, безопасность может быть разработана на нескольких уровнях:
Терминалы могут быть физически ограничены так, чтобы они были доступны только для уполномоченных лиц.
Системное программное обеспечение может включать использование паролей известных только уполномоченным лицам. Никто не может войти в систему без правильного пароля.
Дополнительные наборы паролей и ограничений безопасности могут быть разработаны для определенных систем и прикладных программ. Например, программное обеспечение безопасности данных может ограничивать доступ к определенным файлам, типа файлов системы дебиторской задолженности. Это может ограничивать характер доступа так, чтобы только лица уполномоченные модифицировать эти определенные файлы, могли это делать. Все другие будут способны только читать файлы или будут лишены доступа вообще.
Системы, которые допускают запросы в режиме реального времени и формирование отчетов, должны защищать файлы данных.
Хотя риск безопасности файлов, хранимых автономно меньший, эти файлы данных на диске или ленте могут быть вынесены для несанкционированных целей. Они могут быть защищены в закрываемых помещениях, с достаточно надежными процедурами, чтобы они отпускались только для авторизированной обработки. Файлы регистрации использования и библиотечные записи могут использоваться для каждого съемного запоминающего устройства, если он помечен и имеет уникальный идентификационный номер.
АДМИНИСТРАТИВНЫЕ СРЕДСТВА КОНТРОЛЯ
Административные средства контроля: формализованные стандарты, правила, процедуры, и дисциплины контроля, гарантирующие, что средства контроля организации должным образом исполняются и приводятся в исполнение.
Разделение функций: принцип внутреннего контроля, который делит обязанности и назначает задачи между людьми так, чтобы функции задания не накладывались, чтобы минимизировать риск ошибок и мошеннической манипуляции активами организации.
Административные средства контроля - формализованные стандарты, правила, процедуры и дисциплины контроля, которые гарантируют, что средства контроля организации должным образом исполняются и приводятся в исполнение. Наиболее важные административные средства контроля - 1) разделение функций, 2) письменные политики и процедуры, и 3) диспетчерский контроль.
Разделение функций - фундаментальный принцип внутреннего контроля в любой организации. В сущности, он означает, что функции задания должны быть разработаны так, чтобы минимизировать риск ошибок или мошеннической манипуляции активами организации. Лица, ответственные за операционные системы не должны быть лицами, ответственными за инициацию транзакций, которые изменяют активы, хранящиеся в этих системах. Обязанности за ввод, обработку, и выдачу материальных средств со склада обычно разделяются между разными людьми, чтобы ограничить то, что каждый может сделать с системой. Например, лица, которые используют систему, не должны иметь полномочия, чтобы инициировать платежи или отмечать чеки. Типичная схема состоит в том, что отдел информационных систем организации, ответственен за данные и программные файлы, а конечные пользователей, ответственны за инициацию ввода транзакций или исправление ошибок. В рамках отдела информационных систем, обязанности программистов и аналитиков отделены от обязанностей операторов компьютерного оборудования (Организация отдела информационных систем обсуждена в Главе 4).
Письменные политики и процедуры устанавливают формальные стандарты для контроля действий информационной системы. Процедуры должны быть формализованы в письменной форме и утверждены соответствующим уровнем управления. Ответственность и обязанности должны быть четко определены.
Диспетчерский контроль персоналом, включенный в процедуры контроля гарантирует, что средства контроля для информационной системы выполняются, как предназначено. С помощью диспетчерского контроля слабые места могут быть определены, ошибки исправлены, и отклонения от стандартных процедур идентифицированы. Без адекватного диспетчерского контроля, даже самый лучший набор средств контроля может быть обойден, упрощен или отвергнут.
Слабость в каждом из этих общих средств контроля может иметь широко распространенный эффект на программные процедуры и данные по всей организации. Таблица 18.3. подытоживает эффект недостатков в основных общих областях контроля.
Таблица 18.3. Эффект недостатков в общих средствах контроля
Недостаток |
Воздействие |
Средства контроля реализации |
Новые системы или системы, которые были изменены, будут иметь ошибки или будут не в состоянии функционировать, как требуется |
Средства контроля программного обеспечения (безопасность программы) |
Несанкционированные изменения могут быть сделаны при обработке. Организации, не может достоверно знать, какие программы или системы были изменены |
Средства контроля программного обеспечения (системное программное обеспечение) |
Эти средства контроля не могут иметь прямой эффект на индивидуальные прикладные программы. Так как другие общие средства контроля сильно зависят от системного программного обеспечения, слабость в этой области вредит другим общим средствам контроля |
Средства контроля физического аппаратного обеспечения |
Аппаратные средства могут иметь серьезные неисправности или могут сломаться полностью, вызвав многочисленные ошибки или разрушение компьютеризированных записей |
Средства контроля компьютерных операций |
В системе могут происходить случайные ошибки (Большая часть обработки будет правильна, но иногда этого не может быть). |
Средства контроля безопасности файла данных |
Могут быть сделаны несанкционированные изменения в данных, сохраненных в компьютерных системах, или несанкционированные лица могут получить доступ к важной информации |
Административные средства контроля |
Все другие средства контроля не могут быть должным образом исполнены или приведены в исполнение |