Проблеми захисту інформації

[ виправити ] текст може містити помилки, будь ласка перевіряйте перш ніж використовувати.

скачати

Проблеми захисту інформації

Зміст
1. Адміністративна та економічний захист інформаційних ресурсів
1.1 Захист інформації і прав суб'єктів в галузі інформаційних процесів та інформатизації
1.1.1 Цілі захисту
1.1.2 Захист інформації
1.1.3 Права та обов'язки суб'єктів у сфері захисту інформації
1.1.4 Захист прав суб'єктів у сфері інформаційних процесів та інформатизації
1.1.5 Захист права на доступ до інформації
1.2 Методи і засоби захисту інформації в економічних інформаційних системах
1.3 Види загроз безпеки ЕІС
1.4 Ресурси ЕІС
2. Планування в середовищі інформаційної системи
Література

1. Адміністративна та економічний захист інформаційних ресурсів
1.1 Захист інформації і прав суб'єктів в галузі інформаційних процесів та інформатизації
1.1.1 Цілі захисту
Цілями захисту є:
запобігання витоку, розкрадання, втрати, спотворення, підробки інформації;
запобігання загрозам безпеки особистості, суспільства, держави;
запобігання несанкціонованих дій по знищенню, модифікації, спотворення, копіювання, блокування інформації;
запобігання інших форм незаконного втручання в інформаційні ресурси та інформаційні системи, забезпечення правового режиму документованої інформації як об'єкта власності;
захист конституційних прав громадян на збереження особистої таємниці та конфіденційності персональних даних, наявних в інформаційних системах;
збереження державної таємниці, конфіденційності документованої інформації відповідно до законодавства;
забезпечення прав суб'єктів в інформаційних процесах і при розробці, виробництві та застосуванні інформаційних систем, технологій та засобів їх забезпечення.
1.1.2 Захист інформації
1. Захисту підлягає будь-яка документована інформація, неправомірне поводження з якою може завдати шкоди її власнику, власнику, користувачеві й іншій особі.
Режим захисту інформації встановлюється:
щодо відомостей, віднесених до державної таємниці, - уповноваженими органами на підставі Закону Російської Федерації "Про державну таємницю";
щодо конфіденційної документованої інформації - власником інформаційних ресурсів або уповноваженою особою на підставі цього Закону;
у відношенні персональних даних - федеральним законом.
2. Органи державної влади та організації, відповідальні за формування та використання інформаційних ресурсів, що підлягають захисту, а також органи та організації, що розробляють і застосовують інформаційні системи та інформаційні технології для формування і використання інформаційних ресурсів з обмеженим доступом, керуються у своїй діяльності законодавством Російської Федерації.
3. Контроль за дотриманням вимог до захисту інформації та експлуатацією спеціальних програмно-технічних засобів захисту, а також забезпечення організаційних заходів захисту інформаційних систем, що обробляють інформацію з обмеженим доступом в недержавних структурах, здійснюються органами державної влади. Контроль здійснюється у порядку, затвердженому Кабінетом Міністрів України.
4. Організації, що обробляють інформацію з обмеженим доступом, яка є власністю держави, створюють спеціальні служби, що забезпечують захист інформації.
5. Власник інформаційних ресурсів або уповноважені ним особи мають право здійснювати контроль за виконанням вимог щодо захисту інформації та забороняти чи призупиняти обробку інформації у разі невиконання цих вимог.
6. Власник або власник документованої інформації має право звертатися до органів державної влади для оцінки правильності виконання норм і вимог щодо захисту його інформації в інформаційних системах. Відповідні органи визначає Уряд Російської Федерації. Ці органи дотримуються умови конфіденційності самої інформації та результатів перевірки.
1.1.3 Права та обов'язки суб'єктів у сфері захисту інформації
1. Власник документів, масиву документів, інформаційних систем або уповноважені ним особи відповідно до цього Закону встановлюють порядок надання користувачу інформації із зазначенням місця, часу, відповідальних посадових осіб, а також необхідних процедур та забезпечують умови доступу користувачів до інформації.
2. Власник документів, масиву документів, інформаційних систем забезпечує рівень захисту інформації відповідно до законодавства Російської Федерації.
3. Ризик, пов'язаний з використанням несертифікованих інформаційних систем та засобів їх забезпечення, лежить на власника (власника) цих систем та засобів.
Ризик, пов'язаний з використанням інформації, отриманої з несертифікованої системи, лежить на споживачі інформації.
4. Власник документів, масиву документів, інформаційних систем може звертатися в організації, що здійснюють сертифікацію засобів захисту інформаційних систем та інформаційних ресурсів, для проведення аналізу достатності заходів захисту його ресурсів та систем і отримання консультацій.
5. Власник документів, масиву документів, інформаційних систем зобов'язаний сповіщати власника інформаційних ресурсів і (або) інформаційних систем про всі факти порушення режиму захисту інформації.
1.1.4 Захист прав суб'єктів у сфері інформаційних процесів та інформатизації
1. Захист прав суб'єктів у сфері формування інформаційних ресурсів, користування інформаційними ресурсами, розробки, виробництва та застосування інформаційних систем, технологій та засобів їх забезпечення здійснюється з метою попередження правопорушень, припинення неправомірних дій, відновлення порушених прав та відшкодування заподіяної шкоди.
2. Захист прав суб'єктів у зазначеній сфері здійснюється судом, арбітражним судом, третейським судом з урахуванням специфіки правопорушень і нанесеного збитку.
3. За правопорушення при роботі з документованою інформацією органи державної влади, організації та їх посадові особи несуть відповідальність відповідно до законодавства Російської Федерації і суб'єктів Російської Федерації.
Для розгляду конфліктних ситуацій і захисту прав учасників у сфері формування і використання інформаційних ресурсів, створення і використання інформаційних систем, технологій та засобів їх забезпечення можуть створюватися тимчасові і постійні третейські суди.
Третейський суд розглядає конфлікти і суперечки сторін у порядку, встановленому законодавством про третейські суди.
4. Відповідальність за порушення міжнародних норм і правил у сфері формування і використання інформаційних ресурсів, створення і використання інформаційних систем, технологій та засобів їх забезпечення покладається на органи державної влади, організації і громадян відповідно до договорів, укладених ними з зарубіжними фірмами та іншими партнерами з урахуванням міжнародних договорів, ратифікованих Російською Федерацією.
1.1.5 Захист права на доступ до інформації
1. Відмова в доступі до відкритої інформації або надати їм завідомо недостовірної інформації можуть бути оскаржені в судовому порядку.
Невиконання або неналежне виконання зобов'язань за договором поставки, купівлі - продажу, за іншими формами обміну інформаційними ресурсами між організаціями розглядаються арбітражним судом.
У всіх випадках особи, яким відмовлено в доступі до інформації, та особи, які отримали недостовірну інформацію, мають право на відшкодування понесеного ними збитку.
2. Суд розглядає спори про необгрунтоване віднесення інформації до категорії інформації з обмеженим доступом, позови про відшкодування шкоди у випадках необгрунтованої відмови в наданні інформації користувачам або в результаті інших порушень прав користувачів.
3. Керівники, інші службовці органів державної влади, організацій, винні в незаконному обмеженні доступу до інформації та порушенні режиму захисту інформації, несуть відповідальність згідно з кримінальним, цивільним законодавством та законодавством про адміністративні правопорушення.
1.2 Методи і засоби захисту інформації в економічних інформаційних системах
При розробці АІТ виникає проблема щодо вирішення питання безпеки інформації, що становить комерційну таємницю, а також безпеки самих комп'ютерних інформаційних систем. Сучасні АІТ володіють наступними основними ознаками: Містять інформацію різного ступеня конфіденційності;
• при передачі даних мають криптографічний захист інформації різного ступеня конфіденційності;
• відображають ієрархічність повноважень суб'єктів, відкривають доступ до програм, до АРМ, файл-серверів, каналам зв'язку та інформації системи; необхідність оперативного зміни цих повноважень;
• організовують обробку інформації в діалоговому режимі, в режимі поділу часу між користувачами і в режимі реального часу;
• забезпечують управління потоками інформації як в локальних мережах, так і при передачі по каналах зв'язку на далекі відстані;
• реєструють і враховують спроби несанкціонованого доступу, події в системі та документах, що виводяться на друк;
• забезпечують цілісність програмного продукту та інформації в АІТ;
• встановлюють наявність засобів відновлення системи захисту інформації, а також обов'язковий облік магнітних носіїв;
• створюють умови для фізичної охорони засобів обчислювальної техніки і магнітних носіїв. Організаційні заходи та процедури, які використовуються для вирішення проблеми безпеки інформації, вирішуються на всіх етапах проектування і в процесі експлуатації АІТ. Істотне значення при проектуванні надається передпроектного обстеження об'єкту. На цій стадії проводяться наступні дії:
• встановлюється наявність конфіденційної інформації в розробляється АІТ, оцінюються рівень конфіденційності і обсяги такої інформації;
• визначаються режими обробки інформації (діалоговий, телеобробки і реального часу), складу комплексу технічних засобів, загальносистемні програмні засоби і т. д.;
• аналізується можливість використання наявних на ринку сертифікованих засобів захисту інформації;
• визначається ступінь участі персоналу, функціональних служб, наукових та допоміжних працівників об'єкта автоматизації в обробці інформації, характер їх взаємодії між собою і зі службою безпеки;
• вводяться заходи щодо забезпечення режиму секретності на стадії розробки системи.
Серед організаційних заходів щодо забезпечення безпеки інформації важливе місце належить охорони об'єкта, на якому розташована захищається АІТ (територія будівлі, приміщення, сховища інформаційних носіїв). При цьому встановлюються відповідні пости охорони, технічні засоби, що запобігають або істотно ускладнюють розкрадання коштів обчислювальної техніки, інформаційних носіїв, а також виключають несанкціонований доступ до АІТ та ліній зв'язку. Функціонування системи захисту інформації від несанкціонованого доступу як комплексу програмно-технічних засобів і організаційних (процедурних) рішень передбачає:
• облік, зберігання і видачу користувачам інформаційних носіїв, паролів, ключів;
• ведення службової інформації (генерація паролів, ключів, супровід правил розмежування доступу);
оперативний контроль за функціонуванням систем захисту секретної інформації;
• контроль відповідності загальносистемного програмного середовища еталону;
• приймання включаються до АІТ нових програмних засобів;
• контроль за ходом технологічного процесу обробки фінансово-кредитної інформації шляхом реєстрації аналізу дій користувачів;
• сигналізацію небезпечних подій і т. д.
Слід зазначити, що без належної організаційної підтримки програмно-технічних засобів захисту інформації від несанкціонованого доступу і точного виконання передбачених проектною документацією процедур в належній мірі не вирішити проблему забезпечення безпеки інформації, якими б досконалими ці програмно-технічні засоби не були.
Створення базової системи захисту інформації в АІТ грунтується на наступних принципах:
1. Комплексний підхід до побудови системи захисту при провідній ролі організаційних заходів. Він означає оптимальне поєднання програмних апаратних засобів та організаційних заходів захисту, підтверджене практикою створення вітчизняних і зарубіжних систем захисту.
2. Поділ і мінімізація повноважень з доступу до оброблюваної інформації і процедурам обробки. Користувачам надається мінімум суворо визначених повноважень, достатніх для успішного виконання ними своїх службових обов'язків, з точки зору автоматизованої обробки доступної їм конфіденційної інформації.
3. Повнота контролю та реєстрації спроб несанкціонованого доступу, то є необхідність точного встановлення ідентичності кожного користувача і протоколювання його дій для проведення можливого розслідування, а також неможливість здійснення будь-якої операції обробки інформації в АІТ без її попередньої реєстрації.
4. Забезпечення надійності системи захисту, тобто неможливість зниження її рівня при виникненні в системі збоїв, відмов, навмисних дій порушника або ненавмисних помилок користувачів і обслуговуючого персоналу.
5. Забезпечення контролю за функціонуванням системи захисту, тобто створення засобів і методів контролю працездатності механізмів захисту.
6. Прозорість системи захисту інформації для загального, прикладного програмного забезпечення і користувачів АІТ.
7. Економічна доцільність використання системи захисту. Він виражається в тому, що вартість розробки та експлуатації систем захисту інформації повинна бути менше вартості можливого збитку, що наноситься об'єкту у разі розробки та експлуатації АІТ без системи захисту інформації.
До основних засобів захисту, що використовуються для створення механізму захисту, відносяться наступні. Технічні засоби представляють електричні, електромеханічні та електронні пристрої. Вся сукупність зазначених коштів ділиться на апаратні і фізичні. Під апаратними технічними засобами прийнято розуміти пристрої, що вбудовуються безпосередньо в обчислювальну техніку, або пристрою, які сполучаються з подібною апаратурою за стандартним інтерфейсу.
Фізичними засобами є автономні пристрої та системи (замки на дверях, де розміщена апаратура, грати на вікнах, електронно-механічне обладнання охоронної сигналізації та ін.) Програмні засоби - це програмне забезпечення, спеціально призначене для виконання функцій захисту інформації. Організаційні засоби захисту являють собою організаційно-технічні та організаційно-правові заходи, здійснювані в процесі створення і експлуатації обчислювальної техніки, апаратури телекомунікацій.
Організаційні заходи охоплюють всі структурні елементи апаратури на всіх етапах її життєвого циклу (проектування комп'ютерної інформаційної системи банківської діяльності, монтаж і налагодження обладнання, випробування, експлуатація). Морально-етичні засоби захисту реалізуються у вигляді всіляких норм, які склалися традиційно або складаються в міру поширення обчислювальної техніки і засобів зв'язку в суспільстві. Подібні норми здебільшого не є обов'язковими як законодавчі заходи, однак недотримання їх веде зазвичай до втрати авторитету і престижу людини. Найбільш показовим прикладом таких норм є Кодекс професійної поведінки членів Асоціацій користувачів ЕОМ США.
Законодавчі засоби захисту визначаються законодавчими актами країни, що регламентують правила користування, обробки і передачі інформації обмеженого доступу і встановлюють міри відповідальності за порушення цих правил. Всі розглянуті засоби захисту розділені на формальні (виконують захисні функції строго по заздалегідь передбаченою процедурою без безпосередньої участі людини) «неформальні» (визначені цілеспрямованою діяльністю людини або регламентують цю діяльність). Для реалізації заходів безпеки використовуються різні механізми шифрування (криптографії). Криптографія - це наука про забезпечення секретності та / або автентичності (справжності) передаються.
Сутність криптографічних методів полягає в наступному. Готове до передачі повідомлення - будь то дані, мова або графічне зображення того чи іншого документа, зазвичай називається відкритим, або незахищеним, текстом (повідомленням). У процесі передачі такого повідомлення по незахищених каналах зв'язку, воно може бути легко перехоплено або відстежено підслуховим особою у вигляді навмисних або ненавмисних дій. Для запобігання несанкціонованого доступу до повідомлення воно зашифровується, перетворюючись в шифрограму, або закритий текст.
Санкціонований користувач, отримавши повідомлення, дешифрує або розкриває його за допомогою зворотного перетворення криптограми, внаслідок чого виходить вихідний відкритий текст. Метод перетворення в криптографічного системі визначається використовуваним спеціальним алгоритмом, дія якого визначається унікальним числом або бітової послідовністю, зазвичай званим шифрувальним ключем. Шифрування може бути симетричним і асиметричним. Перше грунтується на використанні одного і того ж секретного ключа для шифрування і дешифрування. Друге характеризується тим, що для шифрування використовується один загальнодоступний ключ, а для дешифрування - інший, є секретним, при цьому знання загальнодоступного ключа не дозволяє визначити секретний ключ.
Поряд з шифруванням впроваджуються наступні механізми безпеки:
цифрова (електронна) підпис;
контроль доступу;
забезпечення цілісності даних;
забезпечення аутентифікації;
постановка графіка;
управління маршрутизацією;
арбітраж або огляд.
Механізми цифрового підпису грунтуються на алгоритмах асиметричного шифрування і включають дві процедури: формування підпису відправником і її впізнання (вериф-кацію) одержувачем. Перша процедура забезпечує шифрування блоку даних або його доповнення криптографічного, контрольною сумою, причому в обох випадках використовується таємний ключ відправника. Друга процедура грунтується на використанні загальнодоступного ключа, знання якого досить для розпізнавання відправника.
Механізми контролю доступу здійснюють перевірку повноважень об'єктів АІТ (програм і користувачів) на доступ до ресурсів мережі. При доступі до ресурсу через з'єднання контроль виконується як у точці ініціації, так і в проміжних точках, а також в кінцевій точці.
Механізми забезпечення цілісності даних застосовуються до окремого блоку і до потоку даних. Цілісність блоку є необхідним, але не достатньою умовою цілісності потоку і забезпечується виконанням взаємозалежних процедур шифрування і дешифрування відправником та одержувачем. Відправник доповнює передається блок криптографічного сумою, а одержувач порівнює її з криптографічним значенням, відповідним прийнятому блоку. Розбіжність свідчить про спотворення інформації в блоке.Однако описаний механізм не дозволяє розкрити підміну блоку в цілому. Тому необхідний контроль цілісності потоку, який реалізується за допомогою шифрування з використанням ключів, змінюваних в залежності від попередніх блоків. Механізми постановки графіка, звані також механізмами заповнення тексту, використовуються для засекречування погода даних. Вони грунтуються на генерації об'єктами АІТ фіктивних блоків, їх шифруванні та організації передачі по каналах мережі. Тим самим нейтралізується можливість отримання інформації за допомогою спостереження за зовнішніми характеристиками потоків, що циркулюють по каналах зв'язку.
Механізми управління маршрутизацією забезпечують вибір маршрутів руху інформації з комунікаційної мережі таким чином, щоб виключити передачу секретних відомостей по скомпрометованим (небезпечним) фізично ненадійним каналах. Механізми арбітражу забезпечують підтвердження характеристик даних, переданих між об'єктами АІТ, третьою стороною (арбітром). Для цього вся інформація, що відправляється або одержувана об'єктами, проходить і через арбітра, що дозволяє йому згодом підтверджувати згадані характеристики. У АІТ при організації безпеки даних використовується комбінація декількох механізмів.

1.3 Види загроз безпеки ЕІС
Поряд з інтенсивним розвитком обчислювальних засобів та систем передачі інформації все більш актуальною стає проблема забезпечення її безпеки.
Заходи безпеки спрямовані на запобігання несанкціонованого отримання інформації, фізичного знищення або модифікації інформації, що захищається.
Зарубіжні публікації останніх років показують, що можливості зловживань інформацією, що передається по каналах зв'язку, розвивалися і удосконалювалися не менш інтенсивно, ніж засоби їх попередження.
У цьому випадку для захисту інформації потрібна не просто розробка приватних механізмів захисту, а організація комплексу заходів, тобто використання спеціальних засобів, методів та заходів з метою запобігання втрати інформації.
У цьому сенсі сьогодні народжується нова сучасна технологія - технологія захисту інформації в комп'ютерних інформаційних системах і в мережах передачі даних. Незважаючи на вживаються дорогі методи, функціонування комп'ютерних інформаційних систем виявило наявність слабких місць в захисті інформації.
Неминучим наслідком стали постійно збільшуються витрати і зусилля на захист інформації. Однак для того, щоб прийняті заходи виявилися ефективними, необхідно визначити, що таке погроза безпеки інформації, виявити можливі канали витоку інформації та шляхи несанкціонованого доступу до захищуваних даними. Під загрозою безпеки розуміється дія або подія, що може призвести до руйнування, спотворення чи несанкціонованого використання інформаційних ресурсів, включаючи збережену, передану і оброблювану інформацію, а також програмні і апаратні засоби. Загрози прийнято ділити на випадкові, чи ненавмисні, і умисні.
Джерелом перших можуть бути помилки в програмному забезпеченні, виходи з ладу апаратних засобів, неправильні дії користувачів або адміністрації і т. п. Умисні загрози переслідують мету нанесення шкоди користувачам АІТ і, у свою чергу, поділяються на активні і пасивні, Пасивні загрози, як правило , спрямовані на несанкціоноване використання інформаційних ресурсів, не надаючи при цьому впливу на їх функціонування. Пасивною загрозою є, наприклад, спроба отримання інформації, що циркулює в каналах зв'язку, за допомогою їх прослуховування.
Активні загрози мають на меті порушення нормального процесу функціонування системи за допомогою цілеспрямованого впливу на апаратні, програмні та інформаційні ресурси. До активних загроз відносяться, наприклад, руйнування або радіоелектронне придушення ліній зв'язку, виведення з ладу ПЕОМ або її операційної системи, спотворення відомостей в базах даних або в системній інформації і т. д.
Джерелами активних загроз можуть бути безпосередні дії зловмисників, програмні віруси і т. п. До основних загроз і безпеки інформації відносять:
розкриття конфіденційної інформації;
компрометація інформації;
несанкціоноване використання інформаційних ресурсів;
помилкове використання ресурсів;
несанкціонований обмін інформацією;
відмова від інформації;
відмова від обслуговування.
Засобами реалізації загрози розкриття конфіденційної інформації можуть бути несанкціонований доступ до баз даних, прослуховування каналів і т. п. У будь-якому випадку отримання інформації, що є надбанням деякого особи (групи осіб), іншими особами завдає її власникам суттєву шкоду.
Компрометація інформації, як правило, реалізується за допомогою внесення несанкціонованих змін в бази даних, в результаті чого її споживач вимушений або відмовитися від неї, або вживати додаткові зусилля для виявлення змін і відновлення істинних відомостей. У разі використання скомпрометованої інформації споживач наражається на небезпеку прийняття неправильних рішень з усіма витікаючими наслідками. Несанкціоноване використання інформаційних ресурсів, з одного боку, є засобом розкриття або компрометації інформації, а з іншого - має самостійне значення, оскільки, навіть не торкаючись користувацької або системної інформації, може завдати певної шкоди абонентам та адміністрації.
Цей збиток може варіювати в широких межах - від скорочення надходження фінансових коштів до повного виходу АІТ з ладу. Помилкове використання інформаційних ресурсів, будучи санкціонованим, тим не менш може призвести до руйнування, розкриття або компрометації вказаних ресурсів. Дана загроза частіше за все є наслідком помилок у програмному забезпеченні АІТ. Несанкціонований обмін інформацією між абонентами може призвести до отримання одним із них відомостей, доступ до яких йому заборонений, що за своїми наслідками рівносильно розкриттю змісту маркетингової інформації. Відмова від інформації полягає в невизнанні одержувачем або відправником інформації фактів її отримання або відправлення.
В умовах маркетингової діяльності це, зокрема, дозволяє одній зі сторін розривати укладені фінансові угоди «технічним» шляхом, формально не відмовляючись від них і завдаючи тим самим другій стороні значної шкоди. Відмова в обслуговуванні представляє собою дуже істотну і поширену загрозу, джерелом якої є сама АІТ. Подібна відмова особливо небезпечний у ситуаціях, коли затримка з наданням ресурсів абоненту може привести до тяжких для нього наслідків. Так, відсутність у користувача даних, необхідних для прийняття рішення, протягом періоду, коли це рішення ще може бути ефективно реалізовано, може стати причиною його нераціональних або навіть антимонопольних дій.
Основними типовими шляхами несанкціонованого доступу до інформації, сформульованими на основі аналізу зарубіжної друку, є:
• перехоплення електронних випромінювань;
• примусове електромагнітне опромінення (підсвічування) ліній зв'язку з метою отримання паразитної модуляції;
• застосування підслуховуючих пристроїв (закладок);
• дистанційне фотографування;
• перехоплення акустичних випромінювань і відновлення тексту принтера;
• розкрадання носіїв інформації та документальних відходів;
читання залишкової інформації в пам'яті системи після виконання санкціонованих запитів;
• копіювання носіїв інформації з подоланням заходів захисту;
маскування під зареєстрованого користувача;
• містифікація (маскування під запити системи);
• використання програмних пасток;
• використання недоліків мов програмування і операційних систем;
• включення до бібліотеки програм спеціальних блоків типу «Троянський кінь»,
• незаконне підключення до апаратури та ліній зв'язку;
• зловмисний виведення з ладу механізмів захисту;
• впровадження і використання комп'ютерних вірусів.
Необхідно відзначити, що особливу небезпеку в даний час становить проблема комп'ютерних вірусів, бо ефективного захисту проти них розробити не вдалося. Решта шляху несанкціонованого доступу піддаються надійної блокування при правильно розробленої і реалізованої на практиці системі забезпечення безпеки.
1.4 Ресурси ЕІС
Протягом всієї попередньої XX ст. історії розвитку людської цивілізації основним предметом праці залишалися матеріальні об'єкти. Діяльність за межами матеріального виробництва та обслуговування, як правило відносився до категорії непродуктивних витрат.
Економічна могутність держави вимірювалася його матеріальними ресурсами. В даний час йде боротьба за контроль над найбільш відомими з усіх, відомих до теперішнього часу ресурсів-національні інформаційні ресурси.
Термін інформаційні ресурси став широко використовуватися в науковій літературі після публікації відомої монографії Г. Р. Громова Національні інформації ресурси: проблеми промислової екслуатацию. зараз він ще не має однозначного тлумачення, незважаючи на те що це поняття є одним з ключових в проблемі інформатизації суспільства.
Активними інформаційними ресурсами є та частина національних ресурсів, яку становить інформація доступна для автоматизованого пошуку, зберігання та обробки. Є підстави припускати, що ставлення об'емаактівних інформаційних ресурсів до загального обсягу національних інформаційних ресурсів стає одним з істотних економічних показників характеризують ефективність використання цих найважливіших інформаційних ресурсів:

2. Планування в середовищі інформаційної системи
Відповідно до протяжністю в часі завдань управління розрізняють стратегічний інформаційний менеджмент (СІМ) та оперативний інформаційний менеджмент (ГІМ). Причому між цими рівнями існують відносини підпорядкованості, тобто цілі, що визначаються на стратегічному рівні, реалізуються на оперативному. При цьому глобальна стратегічна мета ІМ в інформаційних системах повинна полягати в забезпеченні можливо більшого внеску ІС в цілі підприємства по основній діяльності через використання інформаційних технологій; відповідно з цією метою виникають специфічні завдання і для організації власне інформаційного менеджменту.
Поняття «стратегічний» щодо ІМ передбачає, з одного боку, планомірне визначення довгострокових - на термін 3-5 років - цілей в усіх напрямках, а з іншого - вибір шляху досягнення поставленої мети і визначення набору завдань, вирішення яких веде до мети. Такі завдання вирішуються на рівні вищого керівництва організації. Вибрані рішення довгострокових завдань утворюють набори вихідних даних (завдання) для оперативного, тобто найбільш короткострокового, рівня.
Завдання оперативного інформаційного менеджменту орієнтуються на відповідні стратегічні завдання і цілі. На відміну від довгострокової стратегічної постановки задачі ГІМ плануються й існують на середньому або на короткому інтервалі (у сфері обробки інформації - це період часу до одного року); ці завдання найчастіше відчуваються і вирішуються на рівні керівництва службою обробки інформації організації.
Планування - головна задача ІМ на стратегічному рівні. Саме на рівні стратегічного інформаційного маркетингу виникає і повинна задовольнятися підвищена потреба в плануванні. Вона обумовлена ​​як необхідністю своєчасного усунення можливих перешкод, так і потребою виявлення максимальних шансів для підприємства, що створюються ІС та ІТ. Роздуми з приводу необхідності планування роботи інформаційної системи починаються вже при пошуку відповіді на питання, яку власне роль відіграє ІС на підприємстві.
Приймається, що інформаційна система має велике значення для підприємства, коли на її основі вирішуються завдання конкуренції на ринку, а також коли інформаційна інтенсивність технологічного процесу основної діяльності підприємства і підтримання продуктивності цього процесу висока. Це має місце, наприклад, для банків, бірж і страхових товариств, ряду державних установ та ін
Іншим важливим напрямом планування є визначення плану інвестицій в ІС. У минулому такий план складався (і в цьому ще часто складається) значною мірою випадково: наприклад, за накопичилася незадоволеним запитам користувачів або шляхом аналізу заявок на заміну або створення частин системи, які потребують інвестицій, а також з урахуванням фінансування зростаючого обсягу обслуговування.
Однак у стратегічному плані можуть бути цілеспрямовано виявлено пріоритетні напрямки при формуванні плану інвестицій. Тут потрібно, щоб у розпорядженні адміністрації були загальний вигляд і характер наявних на підприємстві інформаційних робіт. Цей загальний вигляд структури ІС виводиться з аналізу протікають на підприємстві процесів.
Шляхом взаємного зважування значень процесів знаходять або визначають порядок виділення інвестицій для відповідних елементів ІС. Наприклад, випуск основних виробів для серійного виробництва має найбільше значення, далі для включення в план інвестицій можуть розглядатися елементи ІС, орієнтовані на забезпечення конкуренції і на внутрішню раціоналізацію підприємства. Потім аналізується виникає при цьому ризик. Цей специфічний підхід до організації планування ІС на підприємстві доцільно доповнити загальними завданнями планування і контролю. До кола цих завдань належить облік зв'язків з іншими об'єктами на підприємстві.
При плануванні зв'язків ІС з іншими об'єктами підприємства особливе значення надається зв'язках із системою планування самого підприємства. Існує твердження, що планування ІВ може здійснюватися взагалі тільки у зв'язку з цією системою. Однак на деяких підприємствах (зокрема, знову створюваних і малих) сформованої системи виробничого планування взагалі не існує, так що на такому підприємстві план застосування інформаційної системи погоджувати просто ні з чим. Однак якщо передбачати планування використання ІС, то можна добитися вдосконалення виробничого планування на підприємстві та діяльності підприємства в цілому.
Відповідно до цього на стратегічному рівні слід визначити стиль, напрями і ступінь інтенсифікації системи планування і контролю. Це важливо саме на даному етапі, оскільки досить часто виявляється, що зміни не справлять необхідного ефекту через занадто тісних обмежень, накладених плануванням і контролем. Допомога у відповідному аналізі можуть надати відомі апробовані моделі розвитку ІС на підприємстві. Зокрема, в моделі Р, Л. Нолана (RL Nolan) визначено шість типових ступенів розвитку: ініціювання, поширення, управління, інтеграція. орієнтування даних, завершення або зрілість на яких ІС застосовуються з різною інтенсивністю. Зіставлення з еталонною моделлю робить цілком очевидними пріоритети рівнів планування і контролю як для фахівців з обробки інформації, так і для користувачів. Кожне підприємство може поступово знайти свою модель і визначити свою позицію при розробці для себе системи планування застосування ІС.
З стратегічного плану інвестицій в ІС має формуватися і відповідними засобами здійснюватися річне планування. Внаслідок рішення цього завдання спостерігається, як правило, значне загальне підвищення потреб у плануванні, узгодженнях і контролі. На рівні оперативного інформаційного менеджменту реалізація стратегічних планів може контролюватися, наприклад, за допомогою системи повідомлень (доповідей) встановленої форми

Література
1. Проекти нормативних документів, розроблені в НДДКР "Захист-БР" 2002.
2. Конявскій В.А. Управління захистом інформації на базі ЗЗІ НСД "Акорд", - М: Радіо і зв'язок, 1999. - С. 323.
3. Збірник наукових праць Всеросійського НДІ проблем обчислювальної техніки та інформатизації. - М.: РФК-Імідж Лаб, 2001. - 192 с.
4. Расторгуєв С.П. Інформаційна війна. - М.: Радіо і зв'язок, 1998. - 415 с.
5. Американські сценарії інформаційної війни / / Спец. вип. за матеріалами іноз. печ. - 1999. - № 6. -С. 75-76.
6.Введеніе на захист інформації автоматизованих системах: навч. Посібник / А. А. Малюк, С. В. Пазізін, Н.С.Погожін-3-е вид,-М.: Гаряча лінія телеком, 2001.-148с.
7.Сл.законов РФ про інформацію, інформатизації і захисту інформації.
Додати в блог або на сайт

Цей текст може містити помилки.

Програмування, комп'ютери, інформатика і кібернетика | Контрольна робота
74.1кб. | скачати


Схожі роботи:
Проблеми захисту інформації в Internet
Проблеми захисту інформації в комп`ютерних мережах
Організація захисту інформації
Необхідність захисту інформації
Теорія захисту інформації
Способи захисту інформації
Засоби захисту інформації
Апаратні засоби захисту інформації
Автоматизовані системи захисту інформації
© Усі права захищені
написати до нас