Оценка эффективности корпоративной информационной системы

Локальная политика безопасности

Любое средство защиты, реализующее какойлибо сервис информационной безопасности, требует для своей работы локальной политики безопасности (ЛПБ) -- точного описания настроек для корректной реализации правил аутентификации пользователей, управления доступом, защиты трафика и др. При традиционном подходе администратору приходится отдельно настраивать каждое средство защиты или реплицировать какието простейшие настройки на большое число узлов с последующей их корректировкой. Очевидно, что это неизбежно приводит к большому числу ошибок администрирования и, как следствие, существенному снижению уровня защищенности КИС.

22. Угрозы информационной безопасности и их классификация. Компьютерная преступность

Угроза информационной безопасности -- совокупность условий и факторов, создающих потенциальную (но реализуемую фактически) опасность, связанную с утечкой информации, несанкционированными или преднамеренными воздействиями на нее.

Классификация угроз ИБ должна учитывать структуру и фазы проведения атаки на ИС, определять такие атрибуты как источники и цели атаки, их дополнительные характеристики, многоуровневую типизацию. Модель сетевых процессов должна строиться на базе разработанной классификации.

Источником угроз информационной безопасности является в первую очередь злоумышленник, который добивается определенных вредоносных целей:

* получить доступ к защищаемой информации, то есть скопировать ее в какомлибо виде к себе на локальный компьютер;

* модифицировать защищаемую информацию определенным образом (по условию, заданному злоумышленником, то есть совершить навязывание информации операторам ИС);

* уничтожить защищаемую информацию;

* изменить штатное поведение ИС, добавив свою собственную функциональность или изменив реакцию на действия легитимного пользователя.

Опираясь на знания об этих целях, крупные классы угроз ИБ можно представить следующим перечнем:

* несанкционированный доступ и копирование информации;

* информационный подлог (навязывание ложной информации);

* нарушение исходной функциональности (программ и аппаратнопрограммных средств).

Компьютерная преступность (преступление с использованием компьютера) представляет собой любое незаконное, неэтичное или неразрешенное поведение, затрагивающее автоматизированную обработку данных или передачу данных. При этом, компьютерная информация является предметом или средством совершения преступления. Структура и динамика компьютерной преступности в разных странах существенно отличается друг от друга. В юридическом понятии, компьютерных преступлений, как преступлений специфических не существует.

23. Методы и средства защиты информации

Защита информации от компьютерных вирусов (защита информации в информационных системах) предполагает средства защиты информации в сети, а точнее программно аппаратные средства защиты информации, которые предотвращают несанкционированное выполнение вредоносных программ, пытающихся завладеть данными и выслать их злоумышленнику, либо уничтожить информацию базы данных, но защита информации от компьютерных вирусов неспособна в полной мере отразить атаку хакера или человека, именуемого компьютерным пиратом.

Задача защиты информации и защиты информации от компьютерных вирусов заключается в том, чтобы усложнить или сделать невозможным проникновение, как вирсов, так и хакера к секретным данным, ради чего взломщики в своих противоправных действиях ищут наиболее достоверный источник секретных данных. А так как хакеры пытаются получить максимум достоверных секретных данных с минимальными затратами, то задачи защиты информации стремление запутать злоумышленника: служба защиты информации предоставляет ему неверные данные, защита компьютерной информации пытается максимально изолировать базу данных от внешнего несанкционированного вмешательства и т.д.

Защита компьютерной информации для взломщика - это те мероприятия по защите информации, которые необходимо обойти для получения доступа к сведениям. Архитектура защиты компьютерной информации строится таким образом, чтобы злоумышленник столкнулся с множеством уровней защиты информации: защита сервера посредством разграничения доступа и системы аутентификации (диплом «защита информации») пользователей и защита компьютера самого пользователя, который работает с секретными данными. Защита компьютера и защита сервера одновременно позволяют организовать схему защиты компьютерной информации таким образом, чтобы взломщику было невозможно проникнуть в систему, пользуясь столь ненадежным средством защиты информации в сети, как человеческий фактор. То есть, даже обходя защиту компьютера пользователя базы данных и переходя на другой уровень защиты информации, хакер должен будет правильно воспользоваться данной привилегией, иначе защита сервера отклонит любые его запросы на получение данных и попытка обойти защиту компьютерной информации окажется тщетной.

24. Жизненный цикл КИС. Модели жизненного цикла КИС

Жизненный цикл ИС включает стадии анализа, проектирования, разработки, тестирования и интеграции, внедрения, сопровождения и развития ИС. На рисунке приведены также перечень основных этапов для каждой стадии ЖЦ и процессы, выполняемые на протяжении всего ЖЦ процессы управления и интегральные процессы. Эти процессы в той или иной степени присутствуют на каждом из этапов.

Процессы организации и управления проектом: планирование, управление, контроль

Анализ Проектирование Разработка Интеграция и тестирование Внедрение Сопровождение

*Обследование и создание моделей деятельности организации

*Анализ (моделей) существующих ИС

*Анализ моделей и формирование требований к ИС

*разработка плана создания ИС *Концептуальное проектирование

*Разработка архитектуры ИС

*Проектирование общей модели данных

*Формирование требований к приложениям *Разработка, прототипирование и тестирование приложений

*Разработка интеграционных тестов

*Разработка пользовательской документации *Интеграция и тестирование приложений в составе системы

*Оптимизация приложений и баз данных

*Подготовка эксплуатационной документации

*Тестирование системы *Обучение пользователей

*Развертывание системы на месте эксплуатации

*Инсталляция баз данных

*Эксплуатация

*Проведение ПСИ *Регистрация, диагностика и локализация ошибок

*Внесение изменений и тестирование

*Управление режимами работы ИС

Интегральные процессы: управление конфигурацией, документирование, проверки, интеграция

Характер выполняемых процессов и организация работ в представленной модели ЖЦ основаны на подходе информационного инжиниринга и отличаются от классической каскадной модели ЖЦ, несмотря на внешнюю схожесть. При традиционной обработке данных разработка велась строго последовательно.

25. Реинжиниринг бизнеспроцессов. Участники бизнеспроцессов. Этапы реинжиниринга. Моделирование бизнеспроцессов. Роль информационных технологий в реинжиниринге бизнеспроцессов

Реинжиниринг бизнеспроцессов -- это фундаментальное переосмысление и радикальное перепроектирование бизнеспроцессов предприятий для достижения резких, скачкообразных улучшений в основных актуальных показателях их деятельности: стоимость, качество, услуги и темпы (термин «реинжиниринг бизнеспроцессов» ввел М. Хаммер в 1990 г. в статье «Реинжиниринг: не автоматизируйте - уничтожайте»).

Реинжиниринг бизнеспроцессов в целом можно разделить на пять этапов.

Первый этап можно назвать предплановой подготовкой компании. Прежде чем выбрать конкретную стратегию изменений, главному руководству нужно определить, насколько необходимы изменения и в какой степени они своевременны.

Вторым этапом реинжиниринга является стратегическое планирование. Высшее руководство определяет основные цели реинжиниринга и назначает руководящий комитет, для которого отбирает основные объекты инновации и перепроектирования. Эта группа играет ключевую роль как "организатор процесса".

Третий этап реинжиниринга это перепроектирование процессов. Перепроектирование процессов состоит из трех фаз: картографирование процессов, оценки потребителя и посредника и предвидения процессов

* Подготовка отчета по Этапу 4.

* Завершение реинжиниринга.

* Оценка проделанной работы.

* Подготовка заключительного отчета по реинжинирингу бизнеспроцессов.

Участники

Первое место занимает лидер проекта реинжиниринга -- один из высших менеджеров фирмы, который возглавляет реинжиниринговую деятельность. Помимо организационных обязанностей, он отвечает за идеологическое обоснование проекта реинжиниринга, создание общего духа новаторства, энтузиазма и ответственности. Лидер должен обладать высокой внутренней энергией.

Второй участник -- управляющий комитет, состоящий из членов высшего руководства фирмы, лидера реинжиниринга, менеджеров процессов. Осуществляет функции наблюдения, согласования целей и стратегии реинжиниринга, согласования интересов различных рабочих команд и решения конфликтных ситуаций между ними. В случае отсутствия комитета его функции выполняет лидер реинжиниринга.

Особое место занимает менеджер, осуществляющий оперативное руководство реинжинирингом бизнеса в целом. Часто он выполняет формальную роль помощника лидера реинжиниринга. Функции, им выполняемые, -- разработка методик и инструментов реинжиниринга, обучение и координация владельцев процессов, помощь в организации рабочих команд.

Рабочая команда реинжиниринга -- группа работников фирмы (методисты, администраторы, сотрудники по обеспечению качества изделий, документирования, координации), а также внешние участники (консультанты, разработчики). Все они и осуществляют непосредственную работу по реинжинирингу конкретного процесса.

26. Проектирование КИС. Подходы к проектированию КИС. Проблемы взаимодействия потребителя и проектировщика КИС

Проектирование ИС охватывает три основные области:

* проектирование объектов данных, которые будут реализованы в базе данных;

* проектирование программ, экранных форм, отчетов, которые будут обеспечивать выполнение запросов к данным;

* учет конкретной среды или технологии, а именно: топологии сети, конфигурации аппаратных средств, используемой архитектуры (файлсервер или клиентсервер), параллельной обработки, распределенной обработки данных и т.п.

Проектирование информац. систем всегда начинается с определения цели проекта. В общем виде цель проекта можно определить как решение ряда взаимосвязанных задач, включающих в себя обеспечение на момент запуска системы и в течение всего времени ее эксплуатации:

* требуемой функциональности системы и уровня ее адаптивности к изменяющимся условиям функционирования;

* требуемой пропускной способности системы;

* требуемого времени реакции системы на запрос;

* безотказной работы системы;

* необходимого уровня безопасности;

* простоты эксплуатации и поддержки системы.

Согласно совр. методологии, процесс создания ИС представляет собой процесс построения и последовательного преобразования ряда согласованных моделей на всех этапах жизненного цикла (ЖЦ) ИС. На каждом этапе ЖЦ создаются специфичные для него модели организации, требований к ИС, проекта ИС, требований к приложениям и т.д. Модели формируются рабочими группами команды проекта, сохраняются и накапливаются в репозитории проекта. Создание моделей, их контроль, преобразование и предоставление в коллективное пользование осуществляется с использованием специальных программных инструментов CASEсредств.

Процесс создания ИС делится на ряд этапов, ограниченных некоторыми временными рамками и заканчивающихся выпуском конкретного продукта (моделей, программных продуктов, документации и пр.).

Обычно выделяют следующие этапы создания ИС: формирование требований к системе, проектирование, реализация, тестирование, ввод в действие, эксплуатация и сопровождение

Начальным этапом процесса создания ИС является моделирование бизнеспроцессов, протекающих в организации и реализующих ее цели и задачи. Модель организации, описанная в терминах бизнеспроцессов и бизнесфункций, позволяет сформулировать основные требования к ИС. Это фундаментальное положение методологии обеспечивает объективность в выработке требований к проектированию системы. Множество моделей описания требований к ИС затем преобразуется в систему моделей, описывающих концептуальный проект ИС. Формируются модели архитектуры ИС, требований к программному обеспечению (ПО) и информационному обеспечению (ИО). Затем формируется архитектура ПО и ИО, выделяются корпоративные БД и отдельные приложения, формируются модели требований к приложениям и проводится их разработка, тестирование и интеграция.

Целью начальных этапов создания ИС, выполняемых на стадии анализа деятельности организации, является формирование требований к ИС, корректно и точно отражающих цели и задачи организациизаказчика. Чтобы специфицировать процесс создания ИС, отвечающей потребностям организации, нужно выяснить и четко сформулировать, в чем заключаются эти потребности. Для этого необходимо определить требования заказчиков к ИС и отобразить их на языке моделей в требования к разработке проекта ИС так, чтобы обеспечить соответствие целям и задачам организации.

26.Этапы проектирования КИС. Требования пользователей и разработчиков КИС

Согласно современной методологии, процесс создания ИС представляет собой процесс построения и последовательного преобразования ряда согласованных моделей на всех этапах жизненного цикла (ЖЦ) ИС. На каждом этапе ЖЦ создаются специфичные для него модели организации, требований к ИС, проекта ИС, требований к приложениям и т.д. Модели формируются рабочими группами команды проекта, сохраняются и накапливаются в репозитории проекта. Создание моделей, их контроль, преобразование и предоставление в коллективное пользование осуществляется с использованием специальных программных инструментов CASEсредств.

Процесс создания ИС делится на ряд этапов (стадий), ограниченных некоторыми временными рамками и заканчивающихся выпуском конкретного продукта (моделей, программных продуктов, документации и пр.).

Обычно выделяют следующие этапы создания ИС: формирование требований к системе, проектирование, реализация, тестирование, ввод в действие, эксплуатация и сопровождение

Начальным этапом процесса создания ИС является моделирование бизнеспроцессов, протекающих в организации и реализующих ее цели и задачи. Модель организации, описанная в терминах бизнеспроцессов и бизнесфункций, позволяет сформулировать основные требования к ИС. Это фундаментальное положение методологии обеспечивает объективность в выработке требований к проектированию системы. Множество моделей описания требований к ИС затем преобразуется в систему моделей, описывающих концептуальный проект ИС. Формируются модели архитектуры ИС, требований к программному обеспечению (ПО) и информационному обеспечению (ИО). Затем формируется архитектура ПО и ИО, выделяются корпоративные БД и отдельные приложения, формируются модели требований к приложениям и проводится их разработка, тестирование и интеграция.

Параллельно с проектированием схемы базы данных выполняется проектирование процессов, чтобы получить спецификации (описания) всех модулей ИС. Оба эти процесса проектирования тесно связаны, поскольку часть бизнеслогики обычно реализуется в базе данных (ограничения, триггеры, хранимые процедуры). Главная цель проектирования процессов заключается в отображении функций, полученных на этапе анализа, в модули информационной системы. При проектировании модулей определяют интерфейсы программ: разметку меню, вид окон, горячие клавиши и связанные с ними вызовы.

Требования к корпоративным информационным системам.

1. Системность;

2. Комплексность;

3. Модульность;

4. Открытость;

5. Адаптивность;

6. Надежность;

7. Безопасность;

8. Масштабируемость;

9. Мобильность;

10. Простота в изучении;

11. Поддержка внедрения и сопровождения со стороны разработчика

27. Оценка эффективности корпоративной информационной системы

Внедрение КИС приводит обычно к серьезным последствиям для всей структуры управления компанией. Поэтому оценивать эффективность внедрения системы без оценки эффективности изменения работы компании невозможно.

Оценка тех или иных изменений при внедрении системы принципиально зависит от общих результатов изменений (реинжиниринга), сопутствующего внедрению системы. Чтобы оценить результаты реинжиниринга необходимо провести полноценный консалтинговый проект, включающий в себя оценку (моделирование) ситуации "как есть", оценку возможных при внедрении системы изменений "как будет", моделирование результирующей ситуации "как будет" и, наконец, сравнение обеих моделей и выявление результатов изменений с последующей финансовой оценкой.

Такой проект весьма длителен и дорогостоящ, а главное, крайне субъективен. По первым параметрам он сравним, если не превышает по длительности и стоимости, сам проект внедрения. Типичными параметрами длительности такого проекта являются 612 месяцев, к тому же оценка результатов внедрения вещь весьма зыбкая. Опять же требуются очень высококвалифицированные специалисты по ИС и управлению бизнеспроцессами для оценки возможных последствий внедрения, так что провести подобный проект "своими силами" практически невозможно.

Поэтому затраты на оценку "эффективности внедрения" путем проведения "детального анализа" последствий реинжиниринга при внедрении КИС, оказываются в своем большинстве "непроизводительным" расходом средств. Тем не менее вопрос об "эффективности внедрения" остается, так как любые крупные затраты требуют обоснования.

Обычно оценка результативности внедрения проводится по "средним отраслевым результатам". Типичными "средними" показателями считаются следующие:

* 1525% увеличение производительности;

* 1020 % уменьшение складских запасов;

* 2050% сокращение сроков выполнения заказов.

Одним из основных вопросов при внедрении ERPсистем является вопрос об окупаемости инвестиций (ROI Return of Investments). Нужно помнить, что максимальная выгода от внедрения любой новой системы заключается в большей доступности квалифицированного персонала и, в свою очередь способствует:

* освобождению наиболее ценных сотрудников от исполнения неэффективных задач;

* повышению производительности разработчиков;

* ускорению разработки критичных деловых приложений;

* общему прогрессу и возрастающей отдаче от этих приложений.

Возможна и качественная оценка при точном "целеуказании" внедрения. То есть внедрение производится не из стремления получить неопределенноглобальный результат, а из локальных задач, связанных с заменой тех или иных участков учета или управления. Оценить последствия такого внедрения гораздо легче, да и проект внедрения существенно более управляем и реалистичен. "Локальность внедрения" очень распространенная ситуация на Западе.

Размещено на Allbest.ru