- •1. Предмет, мета та задачі дисципліни
- •2. Зміст дисципліни
- •Тема 1. Сутність і особливості інформаційного менеджменту
- •1. Інформаційний менеджмент: деякі трактування та визначення
- •2. Обов'язки інформаційного менеджера в організації
- •3. Вимоги до особистісних та професійних якостей
- •4. Вимоги до освітньо-кваліфікаційного рівня інформаційного менеджера
- •5. Положення інформаційного менеджменту в організаційній структурі підприємства
- •Тема 2. Міжнародні стандарти управління підприємством
- •1. Історія розвитку стандартів управління
- •2. Стандарт mrp
- •2. Стандарт mrp- II
- •4. Тенденції розвитку стандартів управління
- •Тема 3. Онови реінжинірингу бізнес-процесів
- •1. Сутність процесної організації управління
- •Хто є власником і клієнтом бізнес-процесу?
- •2. Поняття реінжинірингу бізнес-процесів і його зв’язок новими інформаційними технологіями
- •Відмінності між удосконаленням і реінжинірингом бізнесу
- •Нові іт, що змінюють правила роботи компаній
- •3. Моделювання бізнес-процесів у середовищі bPwin
- •Метод опису процесів idef0
- •Метод опису процесів dfd – Data Flow Diagramming
- •Метод опису процесів idef3
- •Тема 4. Методологія та засоби моделювання інформаційної системи - aris
- •Aris – загальна характеристика
- •2. Сутність методології моделювання aris
- •Рівень визначення вимог
- •Рівень проектної специфікації
- •Рівень опису реалізації/виконання
- •Опис вимог Спеціфікація проекту Виконання
- •3.Імітаційне моделювання в aris
- •4.Вартісний аналіз в aris
- •5. Aris та корпоративні іс
- •6.Використання aris
- •Тема 5: інформаційні ресурси як економічна категорія
- •Енергетичні ресурси - носії енергії, наприклад вугілля, нафта, нафтопродукти, газ, гідроенергія, електроенергія тощо.
- •Тема 6. Загальна характеристика інформаційних ресурсів україни
- •1.Основні положення державної політики щодо формування системи національних інформаційних ресурсів
- •Принципи формування та вимоги до змісту національних ресурсів
- •2. Склад державних інформаційних ресурсів
- •3. Недержавні ресурси
- •4. Управління державними інформаційними ресурсами
- •5. Фактичний стан справ у формуванні державних інформаційних ресурсів України
- •Тема 7: формування інформаційних ресурсів об’єкта
- •1. Інформація – стратегічний ресурс фірми
- •2. Джерела стратегічної інформації
- •3. Канали отримання інформації
- •4. Вимоги до системи управління інформаційними ресурсами організації
- •Тема 8. Основи інформаційної логістики
- •1.1. Сутність логістики
- •1.2. Сутність інформаційної логістики
- •1.3. Цілі та задачі логістичної інформаційної системи
- •Тема 9. Документообіг на підприемстві
- •1. Цілі впровадження систем документообігу
- •2. Вимоги до систем документообігу
- •3. Порівняння сучасних систем документообігу
- •4. Опис системи Optima-WorkFlow
- •4.1. Загальні відомості
- •4.2. Функціональні можливості
- •4.2.2. Модуль "Редактор маршрутних схем"
- •4.2.3. Модуль "Монітор підключень до системи"
- •4.2.4. Сервіс "Менеджер ресурсів"
- •4.2.5. Модуль "Клієнт системи документообігу"
- •4.2.6. Модуль "Диспетчер технологічних процесів"
- •4.2.7. Модуль "Автоматичні обробники"
- •Тема 10. Правові аспекти комплексної захищеності інформаційних ресурсів
- •1. Загальна характеристика комплексної захищеності інформаційних ресурсів
- •2. Правова специфіка сфери інформатизації
- •3. Законодавство з питань інформатизації
- •3.1 Законодавство про інтелектуальну власність
- •3.2. Законодавство про інформаційні ресурси
- •3.3. Захист інформації й інформаційних систем
- •2.4. Правопорушення в сфері інформатизації
- •Тема 11. Технологічна і технічна захищеність інформаційних ресурсів
- •Технологічна захищеність інформаційних ресурсів
- •1.1. Формування технологічної захищеності інформаційних ресурсів
- •1.2. Міжнародні стандарти
- •1.2.1.Гарантії якості й стандартизація
- •1.2.2. Забезпечення інформаційного супроводу життєвого циклу продукції
- •2. Технічна захищеність інформаційних ресурсів
- •2.1. Інформаційна безпека
- •2.2. Правопорушення в галузі технічної захищеності систем
- •2.3. Побудова раціонального захисту
- •Випромінювання
- •Крадіжка
- •Недбалість
- •Неточна або застаріла інформація
- •Перевантаження
- •Додаток2 законодавство україни у сфері інтелектуальної власності
- •Тема 13. Розробка стратегії розвитку інформаційної інфраструктури об’єкта
- •Поняття інформаційної інфраструктури, вимоги до неї та принципи побудови
- •2. Створення та розвиток системотехнічної складової
- •2.1. Загальні принципи та стратегії
- •Оборонна стратегія притримується головним чином традиційних технологій.
- •2.2. Вибір апаратних засобів
- •Класифікація комп'ютерів за продуктивністю
- •Класифікація комп'ютерів за вартістю
- •Сегмент ринку %
- •2.3. Вибір програмних засобів
- •2.4. Вибір фірм-постачальників апаратних та пз
- •1. Наскільки фірма є надійною?
- •2. Яка компетенція фірми у вирішенні технічних та інших питань?
- •Тема 14. Управління процесом створення/розвитку іс на підприємстві
- •1. Організаційні підходи до створення іс
- •2. Принципи побудови ефективної іс
- •1. Основою для впровадження нової інформаційної системи на підприємстві повинна бути економічна необхідність, а не, наприклад, поява нових технологій
- •2. Обсяг фінансування нової інформаційної системи повинен визначатися міркуваннями фінансової вигоди
- •3. Нова інформаційна система повинна мати просту і гнучку структуру
- •3. Планування у середовищі інформаційної системи
- •4. Розробка стратегії інформатизації
- •Процедура управління змінами плану.
- •5. Аналіз діяльності підприємства
- •6. Реорганізація діяльності підприємства
- •Реінжиніринг бізнес-процесів
- •7. Вибір та впровадження систем
- •Проектування власними силами.
- •Придбання готової іс у вітчизняних розробників.
- •Придбання готової системи у відомих постачальників європейського та світового рівня.
- •Перш за все потрібно правильно організувати проект.
- •Перш ніж приступити до впровадження системи необхідно продумати організаційну структуру і бізнес-процеси.
- •Забезпечте створення необхідної технічної інфраструктури (системо-технічної складової інформаційної інфраструктури).
- •Переконайтесь що система відповідає основним потребам усіх користувачів.
- •Управляйте змінами з урахуванням думок (точок зору) своїх співробітників.
- •8. Експлуатація системи
- •Тема 14: концепція управління інформаційною інфраструктурою підприємства
- •1. Історія розвитку
- •2. Система управління інформаційними технологіями
- •3. Створення системи управління інформаційними технологіями на підприємстві
- •4. Вигоди
- •5. Стандарти і методики
- •6. It Governance в Україні
- •7. Висновки
- •Тема 15. Огляд стандартів інформаційної індустрії
- •1. Види стандартів та їх класифікація
- •2. Міжнародні стандарти іт-індустрії
- •Регламентації процесів підприємства
- •Порядку розробки і документування іс і пз
- •Якості програмних засобів
- •1.3. Національні стандарти іт-індустрії
- •3. Стан справ в україні щодо використання передового досвіду створення ефективної інформаційної інфраструктури підприємства
Недбалість
Загроза: конфіденційності, цілісності, доступності.
Запобігання: дуже важке.
Виявлення: іноді легко, іноді важко.
Частота: найбільш поширений ризик.
Наслідки: потенційно дуже тяжкі.
Найпоширенішим джерелом нещастя в будь-якій комп'ютерній системі є невмілі пальці. Деякі експерти запевняють, що 50-60% щорічних комп'ютерних втрат стаються внаслідок недбалостей, що іменуються також помилками людини, випадковостями, помилками, виявами некомпетентності.
Для того щоб справитися з недбалістю, треба зменшувати уразливість системи, поліпшувати підготовку фахівців і забезпечувати компетентну технічну підтримку всім користувачам.
Неточна або застаріла інформація
Загроза: цілісності, законності або етиці.
Запобігання: може бути вельми складним.
Виявлення: може бути вельми складним.
Частота: висока.
Наслідки: потенційно дуже великі.
При обговоренні різних видів небезпек, яких зазнає комп'ютерна система, забувають про такий недолік, як недоброякісність інформації. Однак характерною особливістю проблеми захисту є постійна необхідність повного знищення такої інформації. Інформація стає недоброякісною через те, що вона застаріла або були отримані більш точні дані.
Помилки програмування
Загроза: конфіденційності, цілісності, доступності.
Запобігання, неможливе.
Виявлення, іноді досить складно.
Частота, висока.
Наслідки: потенційно дуже великі.
Збої програмного забезпечення можуть носити самий різний характер. Одна з проблем полягає в тому, що збій в програмі, коректно працюючій в нормальних умовах, може виявитися тільки у разі нештатної ситуації. Звичайно такі помилки не є наслідком злого наміру.
Перевантаження
Загроза: доступності.
Запобігання: вельми ускладнене.
Виявлення: просте.
Частота: невідома, дуже часто зустрічається в нових системах, що рідко використовуються.
Наслідки: потенційно дуже великі.
При великих навантаженнях зламається все, що може зламатися.
Коли система перевантажується, безпека мережі зазнає ризику. Наприклад, при уповільненні роботи мережі деякі програмісти намагаються зареєструватися одночасно на двох машинах, щоб займатися написанням коду на одній машині в той час, коли на другій виконується інша робота (наприклад, компіляція програми). Для того щоб це забезпечити, адміністратор мережі повинен дозволити реєстрацію одночасно на декількох комп'ютерах. Після цього ніхто не зможе визначити напевно, чи працює за комп'ютером програміст або хтось інший підключився до мережі, використовуючи його пароль. Уповільнення роботи мережі спричиняє зниження безпеки.
Те, що спрацьовує в тестових умовах, може відмовити при підвищеному навантаженні.
Піггібекінг
Загроза: конфіденційності, цілісності, доступності.
Запобігання: вельми ускладнене.
Виявлення: вельми ускладнене.
Інформаційні системи є складними і комплексними, тому вибір навіть раціонального ступеня захищеності є складною проблемою як, наприклад, проблема поліоптимізації або векторної оптимізації. Можливі й спрощені підходи з урахуванням конкретних особливостей завдання. Для ілюстрації нижче наводиться приклад аналізу умов раціонального захисту інформації в базах даних від зловмисного перекручування або псування.
Передбачається, що проблема захисту зібраної регулярно на підприємстві інформації виникає тоді, коли ставиться завдання забезпечення гарантованої схоронності даних, що містяться в базах даних, від осіб, що хочуть її порчі.
Розв’язання задачі раціональної захищеності даних може досягатися, наприклад, за рахунок введення системи паролів, використання криптографічних методів захисту інформації, установлення власних командних процесорів, завантажників, створення й завантаження резидентних програм, що перехоплюють переривання й обробну команду від користувача з наступним її блокуванням, якщо команда виявиться забороненої для даної системи. Можливо також використання установки власного головного завантажувального запису (MBR) на жорсткому диску.
Стосовно умов охорони даних від активних спроб їх викрадення або псування з урахуванням аналізу особливостей завдання визначається наступний перелік заходів по забезпеченню захисту інформації:
аутентифікація користувача по паролю й, можливо, по ключовій дискеті або апаратному ключі;
розмежування доступу до логічних дисків;
прозоре шифрування логічних дисків;
шифрування файлів з даними;
дозвіл запусків тільки строго визначених для кожного користувача програм;
реакція на несанкціонований доступ;
реєстрація всіх спроб несанкціонованого доступу в систему й входу/виходу користувача в систему;
створення багаторівневої організації роботи користувача з розширенням надаваних можливостей при переході на більше високий рівень;
надання користувачеві мінімуму необхідних йому функцій.
Найбільш ефективними системами захисту є ті, розробка яких ведеться паралельно з розробкою інформаційної структури, яку вона захищає. При створенні систем захисту прийнято дотримуватися наступних принципів :
1) постійно діюча заборона доступу; у механізмі захисту системи в нормальних умовах доступ до даних повинен бути заборонений, заборона доступу за відсутності особливих настанов забезпечує високий ступінь надійності механізму захисту;
2) простота механізму захисту; ця характеристика необхідна для зменшення числа можливих неврахованих шляхів доступу;
перекриття всіх можливих каналів витоку, для чого повинні завжди й гарантовано перевірятися повноваження будь-якого звертання до будь-якого об'єкта в структурі даних; цей принцип є основою системи захисту. Задача управління доступом повинна розв’язуватися на загальносистемному рівні, при цьому необхідно забезпечувати надійне визначення джерела будь-якого звертання до даних;
незалежність ефективності захисту від кваліфікації потенційних порушників;
поділ повноважень у сфері захисту й доступу, тобто застосування кількох різних ключів захисту;
надання мінімальних повноважень;
максимальна відособленість механізму захисту; для виключення передачі користувачами один одному відомостей про систему захисту рекомендується при проектуванні захисту мінімізувати число загальних для кількох користувачів параметрів і характеристик механізму захисту;
психологічна привабливість захисту, для чого теж важливо домагатися, щоб захист був по можливості простий в експлуатації.
При побудові систем захисту, заснованих навіть не на всіх, а тільки на деяких з перерахованих вище принципів, виникають серйозні перешкоди, пов'язані з великими витратами на їхню реалізацію. У зв'язку із цим захист повинен бути не абсолютним, а тільки раціональним, тобто з самого початку треба передбачати в прийнятному ступені можливість зловмисного проникнення в базу даних.
Активність зазіхань, класифікація викрадачів, характеристики потоку зазіхань, збиток від втрати або псування кожного з елементів інформаційної структури, набір варіантів способів захисту, їхня міцність і вартість одного сеансу захисту тим або іншим способом - усі ці дані потрібно задати або визначити тим чи іншим шляхом.
Оцінка можливих сумарних витрат, пов'язаних з функціонуванням системи захисту бази даних, включає сумарну вартість Z роботи всіх способів захисту в усіх можливих їх наборах застосовно до всіх частин бази даних і суму можливих втрат П, що виникають при проникненні викрадачів через всі способи захисту в різних їх сполученнях до всіх частин бази даних; ця оцінка визначиться формулою
SUM = Z + П.
З урахуванням того, що складові Z й П в залежності від ступеня захищеності бази даних змінюються протилежно, величина SUM може мати мінімум при деякій комбінації варіантів способів захисту частин бази даних. У зв'язку із цим для побудови раціональної структури системи захисту необхідно її мінімізувати, тобто
SUM = Z + Я => min.
Пошук рішення може здійснюватися різними методами, наприклад можна шукати рішення у множині варіантів комбінацій ступенів захисту, тобто шляхом перебору їх можливих наборів для множини частин бази даних вкладеними циклами по варіантах допустимих способів захисту. Таким шляхом будуть визначені індекси захисту для кожної з частин бази даних, яку захищають, що дасть для кожної складової один конкретний метод або сукупність кількох методів захисту.
Такий підхід дозволяє підібрати найдешевший із прийнятних способів захисту для кожної з частин, при якому загальна сума витрат, пов'язаних з функціонуванням захисту, і втрат, що виникають при несанкціонованому доступі, буде мінімальною.
Аналогічно можна поставити й вирішити задачу вибору варіанта структури системи захисту в більш складних умовах, виконавши повномасштабний проект такої системи при відповідних витратах на його виконання. Якщо інформація в базі даних варта того, щоб її захищати, то й на створення системи захисту прийдеться витратити відповідні кошти.