Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ

Наприклад, загальний перелік відомостей, що складає ко­мерційну таємницю (конфіденційна інформація), належить до нульового (вихідного) рівня ієрархії структури. На першому рів­ня ця інформація розділяється на три групи, кожна з яких від­повідає темам: «про організацію», «про внутрішню діяльність організації», «про зовнішню діяльність організації». На другому рівні ці теми конкретизуються тематичними питаннями:

• структура, методи управління, фінанси, плани та програми,
проблеми та шляхи їх вирішення, безпека;

• якість продукції, собівартість продукції, характеристики про­
дукції, можливості виробництва, технології, дослідні роботи;

• принципи, концепція і стратегія маркетингу, канали придбан­
ня та збуту, партнери, конкуренти, переговори та угоди.
Захист структурованої інформації принципово відрізня­
ється від захисту інформації взагалі. Він є конкретним, бо ясно,
що (який інформаційний елемент) необхідно захищати, насам­
перед виходячи з його цінності, хто або що є носіями цього еле­
мента. Для елемента інформації можна виявити можливі загрози
його безпеці та визначити які способи та засоби доцільно засто­
сувати для забезпечення безпеки даного елемента інформації.

6.2. ІНФОРМАЦІЙНІ СИСТЕМИ ЯК ОБ'ЄКТИ ЗАХИСТУ 6.2.1. Загальні відомості про інформаційні системи

Визначення інформаційної системи

Інформаційна система [information system] — взаємопов'я­зана сукупність засобів, методів і персоналу, що використову­ються для зберігання, оброблення й видавання інформації в ін­тересах досягнення поставленої мети.

Сучасне розуміння інформаційної системи передбачає вико­ристання як основного технічного засобу перероблення інфор­мації комп'ютерної техніки. Крім того, технічне втілення інфор­маційної системи саме по собі нічого не буде означати, як що не врахована роль людини, для якої призначена вироблена інфор­мація і без якої неможливе її одержання й подання [34].

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

Необхідно також розуміти різницю між комп'ютерами й ін­формаційними системами. Комп'ютери, оснащені спеціалізова­ними програмними засобами, є технічною базою й інструментом для інформаційних систем. Необхідними складовими інформа­ційної системи є також персонал, що взаємодіє з комп'ютерами й телекомунікаціями.

Виходячи з попередніх міркувань, можна дати наступне су­часне визначення інформаційної системи як системи інформа­ційного обслуговування, що являє собою організаційно-упоряд­ковану сукупність інформаційних ресурсів, технічних засобів і технологій, що реалізують інформаційні процеси в традиційно­му або автоматизованому режимі для задоволення інформацій­них потреб користувачів.

Робота інформаційної системи полягає в обслуговуванні двох зустрічних потоків інформації: уведення нової інформації і видавання поточної інформації на запит.

Оскільки головне завдання інформаційної системи — обслу­говування клієнтів, то вона побудована таким чином, щоб від­повідь на будь-яке питання видавалася швидко і була достатньо повною. Це забезпечується наявністю стандартних процедур по­шуку інформації і тим, що дані системи розташовані в певному порядку.

У галузі створення інформаційних систем вирішують декіль­ка основних завдань:

• аналіз і прогнозування потоків різноманітної інформації, що
переміщуються в суспільстві;

• дослідження способів подання і зберігання інформації, ство­
рення спеціальних мов для формального опису інформації
різної природи, розробка спеціальних прийомів стиснення
і кодування інформації, анотування об'ємних документів та
їхнє реферування;

• побудова різноманітних процедур і технічних засобів для
їхньої реалізації, за допомогою яких можна автоматизувати
процес добування інформації з документів, які не призначені
для обчислювальних машин, а орієнтовані на сприйняття їх
людиною;

• створення інформаційно-пошукових систем, які здатні спри­
ймати запити до інформаційних сховищ, сформульованих на
природній (людській) мові, а також на спеціальних мовах за­
питів для систем такого типу;

• створення мереж зберігання, оброблення і передавання ін­
формації, до складу яких входять інформаційні банки даних,
термінали, центри оброблення та засоби зв'язку.

Типові процеси в інформаційній системі

Процеси, що забезпечують роботу інформаційної системи будь-якого призначення, умовно можна представити у вигляді схеми (рис. 6.7), що складається з блоків:

• введення інформації із зовнішніх або внутрішніх джерел;

• оброблення вхідної інформації й подання її у зручному виг­
ляді;

• виведення інформації для представлення її у зручному виг­
ляді;

• зворотній зв'язок — інформація перероблена людьми даної
організації для корекції вхідної інформації.
Інформаційна система має наступні типові властивості:

• будь-яка інформаційна система може бути піддана аналізу,
побудована й керована на основі загальних принципів побу­
дови систем;

Розділ 6. Інформаційні системи та технологи як об'єкта інформаційноїбезпеки

• інформаційна система є динамічною і такою, що розвива­
ється;

• при побудові інформаційної системи необхідно використо­
вувати системний підхід;

• вихідною продукцією інформаційної системи є інформація, на
основі якої приймаються рішення;

• інформаційну систему слід сприйматияклюдино-комп'ютерну
систему оброблення інформації.

На теперішній час склалася думка про інформаційну систему як про систему, що реалізується за допомогою комп'ютерної тех­ніки. Хоча у загальному випадку інформаційну систему можна ро­зуміти і у некомп'ютерному варіанті.

Що.б розібратися в роботі інформаційної системи, необхідно зрозуміти суть проблем, які вона вирішує, а також організацій­ні процеси, в яких вона задіяна. Так, наприклад, для визначення можливостей можливості комп'ютерної інформаційної системи для підтримки прийняття рішень слід враховувати:

• структурованість вирішуваних завдань управління;

• рівень ієрархії управління організацією, на якому рішення по­
винне бути прийнятим;

• належність завдання до цієї чи іншої сфери діяльності;

• вид інформаційної технології, що використовується.
Технологія роботи в комп'ютерній інформаційній системі є

доступною для розуміння спеціалістами некомп'ютерної галузі і може бути успішно використана для контролю процесів про­фесійної діяльності і управління ними.

6.2.2. Структура інформаційної системи

Підсистеми забезпечення інформаційної системи

Структуруінформаційноїсистеми складає сукупність окремих її частин, що називаються підсистемами.

Підсистема [subsystem] — це частина системи, виділена за будь-якою ознакою.

Загальну структуру інформаційної системи можна розгляда­ти як сукупність підсистем незалежно від сфери застосування. У цьому випадку говорять про структурну ознаку класифікації, а підсистеми називають забезпечуючими. Таким чином, структу­ра будь-якої інформаційної підсистеми може бути представлена сукупністю забезпечуючих підсистем (рис. 6.8).

Серед забезпечуючих підсистем звичайно виділяють інфор­маційне, технічне, математичне, програмне, організаційне й пра­вове забезпечення.

Інформаційне забезпечення

Призначення підсистеми інформаційного забезпечення по­лягає у своєчасному формуванні й видачі вірогідної інформації для прийняття управлінських рішень.

Інформаційне забезпечення [dataware] — сукупність єдиної системи класифікації й кодування інформації, уніфікованих сис­тем документації, схем інформаційних потоків, що циркулюють в організації, а також методологія побудови баз даних.

Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки

Уніфіковані системи документів створюються на державно­му, галузевому й регіональному рівнях. Головна мета — це за­безпечити відповідність різних сфер суспільного виробництва. Розроблені стандарти, де встановлюються вимоги:

• до уніфікованих систем документів;

• до уніфікованих форм документів різних рівнів управління;

• до складу й структури реквізитів й показників;

• до порядку впровадження, ведення й реєстрації уніфікованих
форм документів.

Проте, незважаючи на існування уніфікованих форм доку­ментів, при обстеженні більшості організацій постійно вияв­ляється цілий комплекс типових недоліків:

• надзвичайно великий обсяг документів для ручного оброб­
лення;

• одні й ті ж показники часто дублюються в різних докумен­
тах;

• робота з великою кількістю документів відволікає спеціалістів
виконання безпосередніх завдань;

• наявні показники, які створюються, але не використовують­
ся, і т.ін.

Тому усунення вказаних недоліків є одним із завдань, що сто­ять при створенні інформаційного забезпечення.

Схеми інформаційних потоків [data stream, data flow] відобра­жають маршрути руху інформації та її обсяги, місця виникнення первинної інформації й використання результатної інформації. За рахунок аналізу структури подібних схем можна виробити захо­ди з удосконалення всієї системи.

Побудова схем інформаційних потоків, які дозволяють вияви­ти обсяги інформації й провести її детальний аналіз, забезпечує:

• виключення інформації, що дублюється або не використо­
вується;

• класифікацію і раціональне подання інформації.

При цьому докладно повинні розглядатися питання взаємо-звязку руху інформації по рівнях управління. Слід також вия­вити, які показники необхідні для прийняття управлінських рі-

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

шень, а які ні. До кожного виконавця повинна поступати тільки та інформація, яка використовується.

Методологія побудови баз даних базується на теоретичних основах їх проектування. Для розуміння концепції методології можна привести основні ідеї у вигляді двох етапів, що практиці реалізуються послідовно.

1-й етап — обстеження всіх функціональних підрозділів фір­ми з метою:

• зрозуміти специфіку й структуру її діяльності;

• побудувати схему інформаційних потоків;

• провести аналіз існуючої системи документообігу;

• визначити інформаційні об'єкти та відповідний склад рекві­
зитів (параметрів, характеристик), що описують їхні власти­
вості й призначення.

2-й етап — побудова концептуальної інформаційно-логічної моделі для обстеженої на 1-му етапі сфери діяльності. У цій мо­делі повинні бути встановлені та оптимізовані всі зв'язки між об'єктами та їхніми реквізитами. Інформаційно-логічна модель є фундаментом, на якому буде створена база даних.

Для створення інформаційного забезпечення необхідно:

• чітке розуміння мети, завдань, функцій всієї системи управ­
ління організацією;

• виявлення руху інформації від моменту виникнення і до її
використання на різних рівнях керування, представленої для
аналізу у вигляді схем інформаційних потоків;

• удосконалення системи документообігу;

• наявність і використання системи класифікації й кодування;

• володіння методологією створення концептуальних інфор­
маційно-логічних моделей, що відображають взаємозв'язок
інформації;

• створення масивів інформації на машинних носіях, що пот­
ребує наявності сучасного технічного забезпечення.

Технічне забезпечення

Технічне забезпечення [hardware] — комплекс технічних за­собів, призначених для роботи інформаційної системи, а також відповідна документація на ці засоби й технологічні процеси.

Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки

Комплекс технічних засобів складають:

• комп'ютери будь-яких моделей;

• засоби збирання, нагромадження, оброблення, передавання й
виведення інформації;

• засоби передавання даних і лінії з в 'язку;

• оргтехніка і пристрої автоматичного знімання інформації;

• експлуатаційні матеріали і т.ін.

Документацією оформляється попередній вибір технічних за­собів,організація їх експлуатації,технологічний процес оброблен­ня даних, технологічне оснащення. Документацію можна умовно розділити на три групи:

• загальносистемну, що включає державні.та галузеві стан­
дарти з технічного забезпечення;

• спеціалізовану, що містить комплекс методик із усіх етапів
розробки технічного забезпечення;

• нормативно-довідкову, що використовується для виконання
розрахунків із технічного забезпечення.

До теперішнього часу склалися дві основні форми технічно­го забезпечення (форми використання технічних засобів): цент­ралізована та частково або повністю децентралізована.

Централізоване технічне забезпечення базується на вико­ристання в інформаційній системі великих ЕОМ та обчислюваль­них центрів.

Децентралізоване технічне забезпечення передбачає реалі­зацію функціональних підсистем на персональних комп'ютерах безпосередньо на робочих місцях.

Перспективним підходом слід рахувати, очевидно, частково децентралізований підхід — організацію технічного забезпечення на основі розподіленим мереж, що складаються з персональних комп'ютерів і великої ЕОМ для зберігання баз дани, загальних для будь-яких функціональних підсистем.

Математичне і програмне забезпечення

Математичне і програмне забезпечення — сукупність мате­матичних методів, моделей, алгоритмів і програм для реалізації

Поиск по сайту: