Шпаргалка по "Информационным технологиям"

Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с действующим законодательством.За правонарушения при работе с документированной информацией органы государственной власти, организации и должностные лица несут ответственность в соответствии с действующим законодательством.

49.Примеры  реализации реинжиниринга  бизнес-процессов  в предметной области.

BPR (бизнеспроцессреинжениринг), технология совершенствования деятельности предприятий разных форм деятельности. Цель BPR состоит в том, чтобы улучшить деятельность предприятия. Эти инициативы BPR — улучшение, модернизация и ускорение производственной деятельности — подразумевают также перестройку информационных систем. Два вида опасностей: 1)изменение процесса без изменения поддерживающих его приложений; 2)осуществление новой технологии, которая не ведет напрямую к улучшению делового процесса. Специалисты считают, что главное для BPR – уделить первостепенное внимание реализации новых деловых процессов и наметить план изменений в поэтапном, содержательном проекте, управляемом с четким пониманием задач и при полной поддержке руководства. Как только  сформируются деловые модели "как есть" и "как будет", можно будет оценить приложение и систему управления базой данных, чтобы решить, следует ли компоновать/ модифицировать имеющуюся систему или покупать новую.

Для определения  качества созданной модели с точки  зрения эффективности бизнес-процесса, необходима система метрики, т. е. качество следует оценивать количественно.

BPwin предоставляет  аналитику два инструмента для  оценки модели - стоимостный анализ, основанный на работах (Activity Based Costing, ABC), и свойства, определяемые пользователем (User Defined Properties, UDP. ABC применяется для того, чтобы понять происхождение затрат и облегчить выбор нужной модели работ при реорганизации деятельности предприятия (Business Process Reengineering, BPR).

ABC может проводиться только тогда, когда модель работы последовательная (следует синтаксическим правилам IDEF0), корректная (отражает бизнес), полная (охватывает всю рассматриваемую область) и стабильная (проходит цикл экспертизы без изменений), другими словами, когда создание модели работы закончено.

С помощью методологии функционального моделирования IDEF0, можно провести систематический анализ регулярно выполняемых бизнес-процессов. IDEF0 предполагает построение модели AS-IS (как есть), анализ и выявление недостатков существующего бизнес-процесса и построение модели TO-BE (как должно быть). 
 

42. Программно-техническое (ПТе) обеспечение защиты информационной безопасности

ПТя подсистема защиты объектов включает: физические ср-ва(Фс), аппаратные(Ас), программные(Пс), аппаратно-программные(А-П), криптографические методы(Км) защиты инф-и.

1.физические, которые могут быть представлены в виде автономных устройств (замки, решетки и т.д.);

2.аппаратные, которые реализуются в виде электрических, электромеханических и электронных устройств (наиболее известные аппаратные средства – это схемы контроля информации по четности, схемы защиты полей памяти по ключу и т.д.);3.программные средства – это программное обеспечение, которое предназначено для выполнения функции защиты информации;

ПСЗ предназначены  для выполнения логических и интеллект-х  функций З-ты. ПСЗ инф-и являются наиб. распростр-м видом З-ы, чему способствуют такие их +е св-ва, как универс-ть, гибкость, простота реализации, возм-ти изменения и развития. С помощью ПСЗ реш-ся след-е задачи инф-й без-ти:  1.контроль входа в систему с помощью перс-х идентификаторов (имя, код, пароль и т. п.);  2.защита файлов от вирусов;

А-ПСЗ связаны  с совместным использ-м П и  А СЗ. Эти СЗ широко использ-ся при  реализации биометрических методов аутентификации (Ау) польз-й автоматиз-х инф-х систем.

КМЗ предст. соб. М-ды З. криптографического преобразования (преобр-е данных шифрованием).

Основные сервисы  подсистемы безопасности: 1) Идентификация  пользователя, 2) аутентификация, 3) управление доступом, 4) конфиденциальность данных, 5) контроль целостности данных, 6) доказательства принадлежности, 7) физическая защита инфраструктуры.

Поскольку современные  корпоративные информационные системы  базируются на использовании сетей, то актуальным является применение различных сетевых протоколов защиты: SSL, SET, IPSec, SWAN, SMIME.

SSL – криптографический протокол, обеспечивающий защищенность и целостность передачи данных по сети Интернет. Протокол SET– протокол защищенных электронных транзакций) предназначен для защиты электронных платежей в Интернет, производимых с помощью платежных карточек. IPSec– набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. Протокол SWAN – поддерживает шифрование на уровне IP, что обеспечивает низкоуровневую и более надежную защиту, чем высокоуровневые протоколы типа SSL. SMIME– это протокол, который обеспечивает шифрование сообщений электронной почты.

Наиболее уязвимый уровень с точки зрения защиты - это сетевой уровень. На нем формируется  вся маршрутизирующая информация, отправитель и получатель фигурируют явно, осуществляется управление потоком. Протоколами сетевого уровня обрабатываются пакеты на всех маршрутизаторах, шлюзах и других промежуточных узлах. Почти все специфические сетевые нарушения осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориентация отдельных сообщений или потока в целом, маскировка под другой узел и т.д.). Защита от всех подобных угроз осуществляется с помощью средств криптозащиты.

50. Обзор систем автоматизированного проектирования КИС.

В области автоматизированного  проектирования КИС за последнее  десятилетие сформировалось новое направление — CASE. Содержание этого понятия обычно определяется перечнем задач, решаемых с помощью САSЕ, а также совокупностью применяемых методов и средств. CASE-технология представляет собой совокупность методов анализа, проектирования, разработки и сопровождения АИС, поддерживаемую комплексом взаимосвязанных средств автоматизации. САSЕ — это инструментарий для системных аналитиков, разработчиков и программистов, позволяющий автоматизировать процесс проектирования, разработки и сопровождения АС. В большинстве САSЕ-систем применяются методы структурного анализа и проектирования. Для описания модели проектируемой АИС используются графы, диаграммы, таблицы и схемы. САSЕ-технологии успешно применяются для построения практически всех типов АИС, создания моделей систем, помогающих решать задачи стратегического планирования, управления финансами, определения политики фирм, обучения персонала. САSЕ-технологии обладают следующими достоинствами: улучшают качество создаваемых АИС (АИТ) за счет средств автоматического контроля; позволяют за короткое время создавать прототип будущей АИС (АИТ), что дает возможность на ранних этапах оценить ожидаемый результат; ускоряют процесс проектирования и разработки системы; освобождают разработчика от рутинной работы, позволяя ему целиком сосредоточиться на творческой части разработки; поддерживают развитие и сопровождение разработки АИС (АИТ); поддерживают технологии повторного использования компонентов разработки.

CASE-средства предназначены для автоматизированного проектирования реляционных баз данных. Широко распространены CASE-системы Erwin,  Design/IDEF, Power Designer. Их графические средства моделирования предметной области дают возможность наглядно изучать концептуальную модель данных и перестраивать ее соответственно поставленным целям и имеющимся ограничениям.  
 
 

43. Организационно-экономическое  обеспечение инф-й  безопасности

Методы:препятствие,управление доступом(идентификация пользователей,аутентификация объекта,проверка полномочий,реагирование при несанкционир.доступе),маскировка(криптографическое закрытие),регламентация,принуждение,побуждение.

1) организационные средства – это организационно-технические и организационно-правовые мероприятия, которые осуществляются в процессе создания и эксплуатации аппаратуры телекоммуникации для обеспечения защиты информации;

2) законодательные средства определяются законодательными актами той страны, где они функционируют, регламентируют правила использования, обработки и передачи информации ограниченного доступа и устанавливают меры ответственности за нарушение этих правил;

3) морально-этические средства защиты выражаются в виде норм, которые сложились традиционно по мере внедрения вычислительной техники и средств связи.

Организационно-экономические(О-Эе) методы(М) защиты (З) инф-и включ-т  след-е механизмы:– стандартизация М и ср-в Зы инф-и;– сертификации комп-х систем и сетей по требованиям инф-й безоп-ти;– лицензирование деят-ти в сфере Зы инф-и;– страх-е инф-х рисков, связанных с функц-м комп-х систем и сетей;– контроля за действием персонала в защищенных инф-х системах.

ОМЗ инф-и делятся  на организационно-административные(О-А) и организационно-технические(О-Т) МЗ. О-А регламентируют процессы создания и эксплуатации автоматизир-х инф-х систем(АвИС), и взаимодействие польз-й и систем т.о., что несанкц-й доступ к информации становится невозможным, либо существенно затрудняется. ОМЗ инф-и охватывают все компоненты АвИС на всех этапах их жизненного цикла: проектирования систем, строительства зданий, эксплуатации и модернизации систем.

О-А мероприятия  Зы инф-и:–спец-е защищенные помещения для размещения ЭВМ и средств связи и хранения носителей информации;– спец-е ЭВМ для обработки конфиденц-й инф-и;

–хранение конфид-й  инф-и на спец-х промаркированных магнитных носителях;– организация спец-го делопроизводства для конфиденциальной информации;– установление запрета на использ-е открытых каналов связи для передачи конф-й инф-и;– постоянный контроль за соблюдением установленных требований по защите информации.

О-ТМЗ инф-и  обеспечивается осуществлением следующих  мероприятий:

– огранич-м доступа постор-х лиц в корпус оборудования с пом-ю мех-х запорных устройств или замков;– отключением ЭВМ от локальной вычисл-й сети или сети удаленною доступа при обработке на ней конфид-й инф-и;– установкой клавиатуры на мягкие прокладки для снижения утечки инф-и по акустическому каналу;– использованием бесперебойных источников питания  для поддержание работы компа после исчезновения напряжения в электросети.

Структура и  функции сист-ы инф-й безоп-ти (СИБ)

СИБ явл-ся сост-й  частью общей сист. нац-й безоп-ти страны и предс-т соб. совокупность органов госуд. власти и управления и предпр-й, осущ-х деят-ть по обесп-ю инф-й безоп-ти. В систему входят: – органы гос. власти и упр-я; – гос. и межведомственные комиссии и советы; – структурные и межотраслевые подразделения по защите инф-и органов гос. власти и управления, и структурные подразделения предприятий, проводящих работы со сведениями, нах-ся в гос. тайне; – научно-исслед-е, проектные и конструкт-е орг-и, выпол-е работы по обесп-ю инф-й безопасности; – учебные заведения, осущ-е (пере)подготовку кадров для работы в системе обеспечения инф-й безоп-ти.

ЭМЗ инф-и закл-ся в применении финанс-х(Ф) опер-й для  обесп-я эффект-й политики в обл. Зы объектов инф-й безоп-ти. Особ. роль принадл. страхованию. Страх-е инф-х рес-в предусм-т Зу комп-в автоматиз-й инф-й системы от традиц-х имущ-х рисков, и от рисков, связ-х с технич-ми и технологич-ми нарушениями функц-я сист-ы обработки и передачи данных.

В соответствии со статьей 24 Закона Республики Беларусь "Об информатизации", технические и программные средства защиты информационных ресурсов подлежат обязательной сертификации в национальной системе сертификации Республики Беларусь соответствующим органом сертификации.

48. Стандарты и методики  реинжиниринга бизнес-процессов

Для проведения реинжиниринга используются специальные инструментальные средства: 1) Средства построения диаграмм – продукты создания образа бизнес-процесса: пирамиды эффективности, модель балансовых ведомостей; 2) Средства описания бизнес-процессов графическими методами: SA/SD – структурный анализ/структурный дизайн – одна из самых известных методик описания бизнес-процессов, основанная на методе функциональной декомпозиции, IDEF – стандарт описания бизнес-процессов; включает специальные обозначения для описания готовых работ и моделей бизнеса; 3) Средства имитационного моделирования – методы и модели, позволяющие описать функционирование системы в реальных условиях; 4) Oracle Design, Oracle Developer – моделирование через БД; 5) Экспертные системы (Gensym) 
 
 
 
 

44.Правовое  обеспечение безопасности  информационных технологий. Нормативные акты Республики Беларусь об информатизации и защите информации.

Для обеспеч-я  комплексн. подхода к проблеме программно-технич. обеспеч-е защиты объектов информац. безоп-сти д. быть дополнено соотв. прав. обеспеч-м. Закон РБ "Об инф-ции". Сферой д-я настоящ. законов явл-ся отн-я, возникающие при: – формир-и и использ-и информ. рес-сов на осн. созд-я, сбора, обработки, накопл-я, хран-я, поиска, распростр-я и предоставл-я документир. инф-и; – защите инф-и, прав субъектов, участвующих в информ. пр-ссах и инф-ции.