- •Информационные системы управления бизнесом конспект вшуб
- •Тема 1. Основные понятия ис
- •1. Организационная структура предприятия. Информационные процессы в управлении предприятием. Классификация структур управления.
- •2. Понятие информационной системы (ис). Классификация информационных систем.
- •3. Архитектура ис, типы архитектур.
- •5. Перспективные направления использования информационных технологий в экономике.
- •Тема 2. Информационное обеспечение ис
- •1. Информационная модель предприятия. Информационные потоки, источники и потребители информации.
- •2. Информационное обеспечение ис и требования к нему.
- •3. Информационные ресурсы, информационные продукты и услуги
- •4. Классификация информационных ресурсов.
- •5. Информационные ресурсы ис. Корпоративные базы данных. Единое информационное пространство организации (предприятия). Электронный документооборот.
- •6. Проблемы создания информационных ресурсов и обеспечения доступа к ним.
- •Тема 3. Ит-инфраструктура предприятия
- •1. Понятие, компоненты и уровни зрелости ит-инфраструктуры предприятия.
- •2. Способы организации ит-инфраструктуры: центр обработки данных (цод) и его компоненты, виртуальный цод.
- •3. Корпоративные информационные системы (кис). Основные компоненты кис. Требования к кис.
- •4. Технологии интеграции ис. Технологии открытых систем. Эталонная модель среды и взаимосвязи открытых систем.
- •5. Техническое обеспечение ит-инфраструктуры ис: компоненты и требования к нему.
- •6. Технические средства front- и back-офиса ис в предметной области. Критерии выбора технических средств для ис в предметной области.
- •7. Корпоративная сеть (кс) предприятия: назначение, структура и основные компоненты.
- •8. Сети Интранет и Экстранет. Требования, предъявляемые к кс.
- •9. Организация сетевого доступа к ресурсам ис.
- •10. Администрирование кс.
- •Тема 4. Программное обеспечение ис
- •1. Программное обеспечение (по) ис: состав и требования к нему.
- •2. Сегментация рынка прикладного по для ис.
- •4. Интегрированное прикладное по.
- •5. Критерии выбора программного обеспечения для ит-инфраструктуры.
- •6. Тенденции развития программного обеспечения.
- •Тема 5. Средства поддержки принятия решений
- •1. Понятие искусственного интеллекта (ии), направления использования ии.
- •2. Математические модели и методы искусственного интеллекта.
- •3. Системы ии и их роль в поддержке управленческих решений.
- •4. Аналитическая обработка данных, системы оперативной аналитической обработки (оlap).
- •5. Интеллектуальный анализ данных (Data Mining) и знаний (Knowledge Мining). Управление и анализ больших объемов данных (Big data). Системы бизнес-аналитики (Business Intelligence, bi).
- •6. Управление знаниями. Системы управления знаниями.
- •7. Экспертные системы (эс): назначение и классификация. Основные компоненты эс.
- •8. Системы поддержки принятия решений (сппр): назначение и классификация. Основные компоненты сппр.
- •9. Интеллектуальные агенты: назначение и классификация.
- •10. Роль и место систем ии в информационных системах.
- •Тема 6. Информационная безопасность ис
- •1. Понятие информационной безопасности (иб) ис.
- •2. Угрозы информационной безопасности ис и их классификация.
- •3. Методы и средства защиты информации. Криптографический метод защиты. Электронная цифровая подпись. Компьютерная стеганография и др.
- •4. Оценка информационной безопасности ис: стандарты и классы иб, требования к иб.
- •5. Правовое обеспечение ис. Политика безопасности предприятия. Государственное законодательство в области информационной безопасности ис.
- •Тема 7. Проектирование информационных систем
- •1. Жизненный цикл (жц) ис. Стандарты разработки ис. Этапы и модели разработки ис, формируемые документы. Роль заказчика и разработчика ис в формировании требований к ней.
- •2. Проектирование ис. Подходы к проектированию ис. Методологии проектирования ис.
- •3. Средства автоматизации проектирования ис. Case-системы.
- •4. Оценка качества информационной системы. Критерии качества ис.
- •5. Реинжиниринг ис и его место в жц ис. Методы и технологии реинжиниринга ис.
- •Тема 8. Сетевые технологии в экономике
- •1. Сетевая экономика.
- •2. Электронный бизнес. Модели электронного бизнеса.
- •3. «Облачные» сервисы в экономике.
- •4. Роль социальных сетей в экономике.
4. Оценка информационной безопасности ис: стандарты и классы иб, требования к иб.
Стандарт ISO 15408 «Общие критерии оценки безопасности информационных технологий» определяет инструменты оценки безопасности ИТ и порядок их использования. В нем определен ряд ключевых понятий, лежащих в основе концепции оценки защищенности продуктов ИТ: профиля защиты, задания по безопасности и объекта оценки.
Профиль защиты – документ, содержащий обобщенный стандартный набор функциональных требований и требований доверия для определенного класса продуктов или систем (например, профиль защиты может быть разработан на межсетевой экран корпоративного уровня или на систему электронных платежей). Помимо этого профиль защиты описывает множество угроз безопасности и задач защиты для данного класса продуктов и содержит обоснование соответствия между угрозами безопасности, задачами защиты и требованиями безопасности.
Задание по безопасности – документ, содержащий требования безопасности для конкретного объекта оценки и специфицирующий функции безопасности и меры доверия. В нем может быть заявлено соответствие одному или нескольким профилям защиты.
Под объектом оценки понимается произвольный продукт информационных технологий или вся ИС в целом (КИС предприятия в целом, процессы обработки данных, подготовки решений и выработки управляющих воздействий; программные коды, исполняемые вычислительными средствами в процессе функционирования КИС; данные и информация, накопленные в базах данных; информация, выдаваемая потребителям и на исполнительные механизмы; коммуникационная аппаратура и каналы связи; периферийные устройства коллективного пользования; помещения и др.).
В данном стандарте представлены две категории требований безопасности: функциональные и требования адекватности (гарантированности) механизмов безопасности.
Функциональные требования определяют совокупность функций объекта оценки, обеспечивающих его безопасность.
Адекватность – свойство объекта оценки, дающее определенную степень уверенности в том, что механизмы его безопасности достаточно эффективны и правильно реализованы.
Безопасность в данном стандарте рассматривается не статично, а в привязке к жизненному циклу объекта.
Использование стандарта позволяет:
сравнивать между собой результаты различных сертификационных испытаний ИС и контролировать качество оценки безопасности;
единообразно использовать имеющиеся результаты и методики оценок различных стран;
определять общий набор понятий, структур данных и язык для формулирования вопросов и утверждений относительно ИБ;
потенциальным пользователям ИС, опираясь на результаты сертификации, определить, удовлетворяет ли данный программный продукт или система их требованиям безопасности;
постоянно улучшать существующие критерии, вводя новые концепции и уточняя содержания имеющихся критериев.
В «Оранжевой книге» выделены основные классы защищенности – D, C, B, A.
В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов, т.е. уровень D предназначен для систем, признанных неудовлетворительными.
Класс C1: ИС должна управлять доступом именованных пользователей к именованным объектам; пользователи должны идентифицировать себя, прежде, чем выполнять какие-либо действия, контролируемые ИС. Для идентификации должен использоваться какой-либо защитный механизм, например пароли, которые должны быть защищены от несанкционированного доступа; ИС защищена от внешних воздействий (в частности, от изменения программы или данных) и от попыток слежения за ходом работы; должны быть в наличии аппаратные или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и программных средств; должны быть описаны подход к безопасности, используемый разработчиком, и применение этого подхода при реализации ИС.
Класс C2 (в дополнение к C1): права доступа должны определяться с точностью до пользователя. Все объекты должны подвергаться контролю доступа; каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем; необходимо ликвидировать все следы внутреннего использования отдельных объектов ИС; ИС должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым ИС; тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.
Класс B1 (в дополнение к C2): каждый хранимый объект ИС должен иметь отдельную идентификационную метку; ИС должна обеспечить реализацию принудительного управления доступом к хранимым объектам; ИС должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств; должна существовать неформальная или формальная модель политики безопасности, поддерживаемой ИС.
Класс B2 (в дополнение к B1): должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена информацией; ИС должна быть внутренне структурирована на хорошо определенные, относительно независимые модули; должна быть продемонстрирована относительная устойчивость ИС к попыткам проникновения; тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.
Класс B3 (в дополнение к B2): для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешенных режимов; должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике ИБ; администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом; должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты; должна быть продемонстрирована устойчивость ИС к попыткам проникновения.
Класс A1 (в дополнение к B3): тестирование должно продемонстрировать, что реализация ИС соответствует формальным спецификациям остальных уровней; механизм управления ИБ должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности.