- •Конспект лекцій з дисципліни
- •План лекції
- •Основні поняття теми лекції
- •1.1. Інформатизація в системі управління підприємством
- •1.2. Поняття інформаційної системи
- •Приклади систем
- •Зміна підходу до використання інформаційних систем
- •1.3. Інформаційна стратегія як ключовий чинник успіху
- •1.4. Зовнішнє і внутрішнє інформаційне оточення підприємства
- •1.5. Інформаційний контур, інформаційне поле
- •Висновки
- •Критерії засвоєння
- •Рекомендована література до лекції
- •Питання для самоперевірки
- •План лекції
- •Основні поняття теми лекції
- •2.1. Загальні властивості інформаційних систем
- •2.2. Роль структури управління у формуванні іс
- •2.3. Типи даних в організації
- •2.4. Категорії іс, що підтримують різні типи рішень
- •2.5. Поняття про технології olap
- •2.6. Поняття про Data Mining
- •2.7. Поняття про інтелектуальні системи
- •2.8. Інформаційні системи підтримки діяльності керівника
- •2.9. Інтеграція інформаційних систем підприємства
- •Висновки
- •Критерії засвоєння
- •Рекомендована література до лекції
- •Питання для самоперевірки
- •План лекції
- •Основні поняття теми лекції
- •3.1. Принципи створення інформаційної системи
- •3.2. Структура середовища інформаційної системи
- •3.3. Модель створення інформаційної системи
- •3.4. Реінжинирінг процесів бізнесу
- •3.5. Відображення і моделювання процесів
- •3.6. Забезпечення процесу аналізу і проектування іс можливостями case-технологій
- •3.7. Впровадження інформаційних систем
- •Висновки
- •Критерії засвоєння
- •Рекомендована література до лекції
- •Питання для самоперевірки
- •План лекції
- •Основні поняття теми лекції
- •4.1. Методологія планування матеріальних потреб підприємства mrp
- •4.2. Стандарт mrp II
- •4.3. Erp і управління можливостями бізнесу
- •4.4. Склад erp-системи, основні відмінності систем mrp і erp
- •4.5. Особливості вибору і впровадження erp-системи
- •Співвідношення вартісних оцінок впровадження
- •Приклад побудови матриці "Критерії вибору іс"
- •4.6. Особливості та основні проблеми впровадження і використання erp-системи
- •Висновки
- •Критерії засвоєння
- •Рекомендована література до лекції
- •Питання для самоперевірки
- •План лекції
- •Основні поняття теми лекції
- •5.1. Необхідність забезпечення безпеки даних і інформаційного захисту
- •5.2. Засоби забезпечення безпеки даних і інформаційного захисту
- •5.3. Організація забезпечення безпеки даних і інформаційного захисту
- •5.4. Вибір засобів забезпечення безпеки даних і інформаційного захисту
- •Висновки
- •Критерії засвоєння
- •Рекомендована література до лекції
- •Питання для самоперевірки
- •Понятійний апарат навчальної дисципліни
- •Рекомендована література з навчальної дисципліни
5.3. Організація забезпечення безпеки даних і інформаційного захисту
Питання визначення стратегії розробки, придбання і впровадження засобів захисту інформації, визначення круга першочергових завдань і формування політики інформаційної безпеки є прерогативою вищого керівництва компанії. Питання реалізації і забезпечення ІБ прямо входять в сферу відповідальності керівника ІТ-департаменту (якщо компанія крупна) або ІТ-відділу або ІТ-служби. Доводити комусь, що корпоративну інформацію і дані потрібно ретельно захищати, немає необхідності. Проте ті, кому доводилося на практиці займатися питаннями захисту даних і забезпечення інформаційної безпеки в автоматизованих системах, відзначають наступну особливість - реальний інтерес до проблеми захисту інформації, що проявляється менеджерами верхнього рівня, і загальний ентузіазм досить швидко змінялися на різке неприйняття на рівні підрозділів, що відповідають за працездатність ІС організації.
Як правило, приводяться наступні аргументи проти проведення робіт і вживання заходів по забезпеченню інформаційної безпеки:
поява додаткових обмежень для кінцевих користувачів і фахівців підрозділів забезпечення утрудняють використання і експлуатацію інформаційної системи і мереж організації;
необхідність значних додаткових матеріальних витрат на проведення таких робіт, на розширення штату фахівців, що займаються проблемою інформаційної безпеки, на їх навчання.
Економія на інформаційній безпеці може виражатися в різних формах, крайніми з яких є: прийняття тільки найзагальніших організаційних заходів забезпечення безпеки інформації в ІС, використання тільки простих додаткових засобів захисту інформації (СЗІ).
У першому випадку, як правило, розробляються численні інструкції, накази і положення, покликані в критичну хвилину перекласти відповідальність з людей, що видають ці документи, на конкретних виконавців. Природно, що вимоги таких документів (за відсутності відповідної технічної підтримки) утрудняють повсякденну діяльність співробітників організації і, як показує досвід, не виконуються.
У другому випадку отримуються і встановлюються додаткові засоби захисту. Застосування СЗІ без відповідної організаційної підтримки і планового навчання також неефективно у зв'язку з тим, що без встановлених жорстких правил обробки інформації в ІС і доступу до даних використання будь-яких СЗІ тільки підсилює існуючий безлад.
Як показує досвід практичної роботи, для ефективного захисту автоматизованої системи організації необхідно вирішити ряд організаційних завдань:
створити спеціальний підрозділ, що забезпечує розробку правил експлуатації корпоративної інформаційної системи, що визначає повноваження користувачів по доступу до ресурсів цієї системи і що здійснює адміністративну підтримку засобів захисту (правильну настройку, контроль і оперативне реагування на сигнали, що поступають, про порушення встановлених правил доступу, аналіз журналів реєстрації подій безпеки і т. п.);
розробити технологію забезпечення інформаційної безпеки, що передбачає порядок взаємодії підрозділів організації із питань безпеки при експлуатації автоматизованої системи і модернізації її програмних і апаратних засобів;
упровадити технологію захисту інформації і КІС шляхом розробки і затвердження необхідних нормативно-методичних і організаційно-розпорядливих документів (концепцій, положень, інструкцій і т. п.), а також організувати навчання всіх співробітників, що є адміністраторами і користувачами КІС.
При створенні підрозділу інформаційної безпеки треба враховувати, що для експлуатації простих засобів захисту потрібен мінімальний штат співробітників, що здійснюють підтримку функціонування СЗІ. В той же час розробка і впровадження технології забезпечення інформаційної безпеки вимагає значно більшого часу, великих трудовитрат і залучення кваліфікованих фахівців, потреба в яких після її впровадження в експлуатацію відпадає. Крім того, розробка і впровадження такої технології повинні проводитися в стислі терміни, щоб не відстати від розвитку самої корпоративної інформаційної системи організації.
Застосування додаткових засобів захисту інформації зачіпає інтереси багатьох структурних підрозділів організації - не стільки тих, в яких працюють кінцеві користувачі інформаційної системи, скільки підрозділів, що відповідають за розробку, впровадження і супровід прикладних завдань, за обслуговування і експлуатацію засобів обчислювальної техніки.
Для мінімізації витрат на розробку і ефективне впровадження технології забезпечення інформаційної безпеки доцільно привертати сторонніх фахівців, що мають досвід в проведенні подібного роду робіт. При цьому, у будь-якому випадку, відповідальність за розробку, впровадження і ефективність роботи захисних систем несе вище керівництво компанії!
Технологія інформаційної безпеки, що розробляється, повинна забезпечувати:
диференційований підхід до захисту різних АРМ і підсистем (рівень захищеності повинен визначатися з позицій розумної достатності з урахуванням важливості оброблюваної інформації і вирішуваних задач);
максимальну уніфікацію засобів захисту інформації з однаковими вимогами до безпеки;
реалізацію дозвільної системи доступу до ресурсів ІС;
мінімізацію, формалізацію (у ідеалі - автоматизацію) реальної здійснимості рутинних операцій і узгодженість дій різних підрозділів по реалізації вимог розроблених положень і інструкцій, не створюючи великих незручностей при рішенні співробітниками своїх основних завдань;
облік динаміки розвитку автоматизованої системи, регламентацію не тільки стаціонарного процесу експлуатації захищених підсистем, але і процесів їх модернізації, пов'язаних з численними змінами апаратно-програмної конфігурації АРМ;
мінімізацію необхідного числа фахівців відділу, що займаються захистом інформації.
Треба абсолютно чітко розуміти, що дотримання необхідних вимог по захисту інформації, перешкоджаючих здійсненню несанкціонованих змін в системі, неминуче приводить до ускладнення процедури правомочної модифікації ІС. У цьому полягає одна з суперечностей, що найбільш гостро виявляються, між забезпеченням безпеки і розвитком і вдосконаленням автоматизованої системи. Технологія забезпечення інформаційної безпеки повинна бути достатньо гнучкою і передбачати особливі випадки екстреного внесення змін в програмно-апаратні засоби тієї, що захищається ІС.