- •Задачи дисциплины.
- •Построение информационной модели предприятия
- •Стандарты idef.
- •Создание модели процессов в bpwin
- •Уровень контекстной диаграммы. Принцип построения.
- •Диаграмма дерева узлов и feo.
- •Каркас диаграммы.
- •Слияние и расщепление модели.
- •Проведение экспертизы.
- •Созание отчетов в bpwin
- •Стоимостной анализ
- •Дополнение созданной модели процессов моделями dfd (idef 3)
- •Технология создания и внедрения ис
- •Системный проект создания ит (или создание проекта ит на системном уровне)
- •Организационно-методические аспекты разработки и внедрения ит
- •Защита информации
Защита информации
Защита информации в корпоративной информационной системе представляет собой актуальную и очень большую проблему. Существует 8 специальностей по подготовке специалистов, призванных создавать средства обеспечения безопасности. Наша задача – понимание проблем и режимов обеспечения информационной безопасности.
Под информационной безопасностью (ИБ) понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб владельцам и пользователям информации и поддерживающей инфраструктуре.
Защита информации – комплекс мероприятий, направленных на обеспечение информационной безопасности.
Понятие ИБ распространяется на традиционные способы организационно-технического управления и обостряется при комплексном переходе к безбумажным технологиям, потому что доступ к информации становится трудноконтролируемым, большие объемы информации становятся легкоуязвимыми и, в том числе, с учетом удаленного доступа.
Характерно, что в организационно-технических системах, особенно специалистам по управлению, для целей необходимо обеспечить исходно противоречивый режим работы, т.е. с одной стороны, предоставлять как можно более детальную и оперативную информацию, а с другой стороны – гарантировать отсутствие вреда от доступа к такой информации. Это противоречие балансируется, например, внешним по отношению к данному подразделению требованием к предоставлению прозрачной информации о своей деятельности таким образом, что конечный уровень ИБ предприятия будет определяться уже не техническими (компьютерными) мерами, а организационными мерами, обеспечивающими конфиденциальность информации на уровне субъектов- носителей этой информации.
Основные компоненты рассмотренной ИБ заключаются в доступности, конфиденциальности и целостности информации.
Доступность и конфиденциальность регулируются мерами, в техническом смысле, разграничения доступа и администрирования данных, которые поддерживаются в рамках распространенных ИС. Меры администрирования: идентификация и аутентификация.
Идентификация – код доступа и соответствующее подтверждение. Т.е. система технически обеспечивается средствами, подтверждающими лицо, требующее доступ к информационным ресурсам.
Аутентификация – это разграничение по группам, в рамках которых устанавливаются свои режимы и уровни доступа к информации. Это схема разделения на администратора системы и категории «пользователь».
Третья проблема – обеспечение целостности информации – включает в себя как проблему устойчивого функционирования программно-технических средств и проблему защиты от сбоев в процессе осуществления транзакции. Вторая часть этой проблемы – это защита от потерь и искажений в стандартном деловом процессе (всегда существует возможность, что в распределенной информационной структуре предприятия некоторая несогласованность может возникнуть из-за, например, искажения последовательности работ). В этом смысле эта часть обеспечения целостности решается за счет организации специальной процедуры внесения изменений в конструкцию (выпуск извещений) и специальными технологиями подписи и утверждения технических документов.
Отдельно необходимо рассматривать ИБ корпоративной среды с точки зрения использования вредоносного программного обеспечения – вирусы, которых отличают разрушительный характер воздействия, и класс программ «шпионских» (Spylog – «логика шпионов»), способные целенаправленно либо извлекать информацию, либо искажать эту информацию. В частности, для защиты от подобных программ создаются специальные программные мониторы, отслеживающие поведение несанкционированных программ – программы – брандмауэры.
Проблема защиты информации является многоплановой и многоуровневой. Многоплановость – разные варианты поведения. Многоуровневость заключается в том, что на верхнем уровне – это законодательный уровень; на нижнем – это сугубо технический и технологический уровень, связанный, в том числе, с методами кодирования, шифрования и тому подобными технологиями; средний уровень – административно-технический, когда административно рассматриваются вопросы доступности и конфиденциальности, а обеспечивается такое решение техническими мерами.
В целом, набор планов и уровней безопасности называют политикой безопасности данного предприятия. В ИС предусматриваются профили функционирования системы в соответствии с принятой политикой безопасности.