Проблемы защиты информации
Содержание
1. Административная и экономическаязащита информационных ресурсов
1.1 Защита информации и правсубъектов в области информационных процессов и информатизации
1.1.1 Целизащиты
1.1.2 Защитаинформации
1.1.3 Права иобязанности субъектов в области защиты информации
1.1.4 Защитаправ субъектов в сфере информационных процессов и информатизации
1.1.5 Защитаправа на доступ к информации
1.2 Методы и средства защиты информации в экономическихинформационных системах
1.3 Виды угроз безопасности ЭИС
1.4 Ресурсы ЭИС
2. Планированиев среде информационной системы
Литература
1. Административнаяи экономическая защита информационных ресурсов
1.1 Защита информации и прав субъектов в областиинформационных процессов и информатизации
1.1.1 Цели защиты
Целями защиты являются:
предотвращение утечки, хищения, утраты, искажения, подделки информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, модификации,искажению, копированию, блокированию информации;
предотвращение других форм незаконного вмешательства в информационные ресурсыи информационные системы, обеспечение правового режима документированнойинформации как объекта собственности;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальностиперсональных данных, имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности документированнойинформации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке, производствеи применении информационных систем, технологий и средств их обеспечения.
/>
1.1.2 Защита информации
1. Защите подлежит любая документированная информация, неправомерное обращениес которой может нанести ущерб ее собственнику, владельцу, пользователю и иномулицу.
Режим защиты информации устанавливается:
в отношении сведений, отнесенных к государственной тайне, — уполномоченнымиорганами на основании Закона Российской Федерации «О государственнойтайне»;
в отношении конфиденциальной документированной информации — собственникоминформационных ресурсов или уполномоченным лицом на основании настоящегоФедерального закона;
в отношении персональных данных — федеральным законом.
2. Органы государственной власти и организации, ответственные за формированиеи использование информационных ресурсов, подлежащих защите, а также органы иорганизации, разрабатывающие и применяющие информационные системы и информационныетехнологии для формирования и использования информационных ресурсов сограниченным доступом, руководствуются в своей деятельности законодательством РоссийскойФедерации.
3. Контроль за соблюдением требований к защите информации и эксплуатациейспециальных программно-технических средств защиты, а также обеспечение организационныхмер защиты информационных систем, обрабатывающих информацию с ограниченным доступомв негосударственных структурах, осуществляются органами государственной власти.Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.
4. Организации, обрабатывающие информацию с ограниченным доступом, котораяявляется собственностью государства, создают специальные службы, обеспечивающиезащиту информации.
5. Собственник информационных ресурсов или уполномоченные им лица имеютправо осуществлять контроль за выполнением требований по защите информации и запрещатьили приостанавливать обработку информации в случае невыполнения этихтребований.
6. Собственник или владелец документированной информации вправе обращатьсяв органы государственной власти для оценки правильности выполнения норм итребований по защите его информации в информационных системах. Соответствующиеорганы определяет Правительство Российской Федерации. Эти органы соблюдают условияконфиденциальности самой информации и результатов проверки.
/>
1.1.3 Права и обязанности субъектов в области защитыинформации
1. Собственник документов, массива документов, информационных систем или уполномоченныеим лица в соответствии с настоящим Федеральным законом устанавливают порядокпредоставления пользователю информации с указанием места, времени, ответственныхдолжностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователейк информации.
2. Владелец документов, массива документов, информационных систем обеспечиваетуровень защиты информации в соответствии с законодательством РоссийскойФедерации.
3. Риск, связанный с использованием несертифицированных информационныхсистем и средств их обеспечения, лежит на собственнике (владельце) этих системи средств.
Риск, связанный с использованием информации, полученной из несертифицированнойсистемы, лежит на потребителе информации.
4. Собственник документов, массива документов, информационных систем можетобращаться в организации, осуществляющие сертификацию средств защитыинформационных систем и информационных ресурсов, для проведения анализа достаточностимер защиты его ресурсов и систем и получения консультаций.
5. Владелец документов, массива документов, информационных систем обязан оповещатьсобственника информационных ресурсов и (или) информационных систем о всехфактах нарушения режима защиты информации.
/>
1.1.4 Защита прав субъектов в сфере информационных процессови информатизации
1. Защита прав субъектов в сфере формирования информационных ресурсов, пользованияинформационными ресурсами, разработки, производства и применения информационныхсистем, технологий и средств их обеспечения осуществляется в целях предупрежденияправонарушений, пресечения неправомерных действий, восстановления нарушенных прави возмещения причиненного ущерба.
2. Защита прав субъектов в указанной сфере осуществляется судом, арбитражнымсудом, третейским судом с учетом специфики правонарушений и нанесенного ущерба.
3. За правонарушения при работе с документированной информацией органыгосударственной власти, организации и их должностные лица несут ответственностьв соответствии с законодательством Российской Федерации и субъектов РоссийскойФедерации.
Для рассмотрения конфликтных ситуаций и зашиты прав участников в сфереформирования и использования информационных ресурсов, создания и использованияинформационных систем, технологий и средств их обеспечения могут создаватьсявременные и постоянные третейские суды.
Третейский суд рассматривает конфликты и споры сторон в порядке, установленномзаконодательством о третейских судах.
4. Ответственность за нарушения международных норм и правил в областиформирования и использования информационных ресурсов, создания и использованияинформационных систем, технологий и средств их обеспечения возлагается наорганы государственной власти, организации и граждан в соответствии с договорами,заключенными ими с зарубежными фирмами и другими партнерами с учетом международныхдоговоров, ратифицированных Российской Федерацией.
/>
1.1.5 Защита права на доступ к информации
1. Отказ в доступе к открытой информации или предоставление пользователямзаведомо недостоверной информации могут быть обжалованы в судебном порядке.
Неисполнение или ненадлежащее исполнение обязательств по договору поставки,купли — продажи, по другим формам обмена информационными ресурсами междуорганизациями рассматриваются арбитражным судом.
Во всех случаях лица, которым отказано в доступе к информации, и лица, получившиенедостоверную информацию, имеют право на возмещение понесенного ими ущерба.
2. Суд рассматривает споры о необоснованном отнесении информации к категорииинформации с ограниченным доступом, иски о возмещении ущерба в случаяхнеобоснованного отказа в предоставлении информации пользователям или врезультате других нарушений прав пользователей.
3. Руководители, другие служащие органов государственной власти, организаций,виновные в незаконном ограничении доступа к информации и нарушении режимазащиты информации, несут ответственность в соответствии с уголовным, гражданскимзаконодательством и законодательством об административных правонарушениях.
1.2 Методы и средства защитыинформации в экономических информационных системах
При разработке АИТ возникает проблема по решению вопроса безопасностиинформации, составляющей коммерческую тайну, а также безопасности самихкомпьютерных информационных систем. Современные АИТ обладают следующимиосновными признаками: Содержат информацию различной степени конфиденциальности;
• при передаче данных имеют криптографическую защиту информации различнойстепени конфиденциальности;
• отражают иерархичность полномочий субъектов, открывают доступ кпрограммам, к АРМ, файл-серверам, каналам связи и информации системы;необходимость оперативного изменения этих полномочий;
• организуют обработку информации в диалоговом режиме, в режимеразделения времени между пользователями и в режиме реального времени;
• обеспечивают управление потоками информации как в локальных сетях, таки при передаче по каналам связи на далекие расстояния;
• регистрируют и учитывают попытки несанкционированного доступа, событияв системе и документах, выводимых на печать;
• обеспечивают целостность программного продукта и информации в АИТ;
• устанавливают наличие средств восстановления системы защиты информации,а также обязательный учет магнитных носителей;
• создают условия для физической охраны средств вычислительной техники имагнитных носителей. Организационные мероприятия и процедуры, используемые длярешения проблемы безопасности информации, решаются на всех этапахпроектирования и в процессе эксплуатации АИТ. Существенное значение припроектировании придается предпроектному обследованию объекта. На этой стадиипроводятся следующие действия:
• устанавливается наличие конфиденциальной информации в разрабатываемойАИТ, оцениваются уровень конфиденциальности и объёмы такой информации;
• определяются режимы обработки информации (диалоговый, телеобработки иреального времени), состав комплекса технических средств, общесистемныепрограммные средства и т. д.;
• анализируется возможность использования имеющихся на рынкесертифицированных средств защиты информации;
• определяется степень участия персонала, функциональных служб, научных ивспомогательных работников объекта автоматизации в обработке информации,характер их взаимодействия между собой и со службой безопасности;
• вводятся мероприятия по обеспечению режима секретности на стадииразработки системы.
Среди организационных мероприятий по обеспечению безопасности информацииважное место принадлежит охране объекта, на котором расположена защищаемая АИТ(территория здания, помещения, хранилища информационных носителей). При этомустанавливаются соответствующие посты охраны, технические средства,предотвращающие или существенно затрудняющие хищение средств вычислительнойтехники, информационных носителей, а также исключающие несанкционированныйдоступ к АИТ и линиям связи. Функционирование системы защиты информации отнесанкционированного доступа как комплекса программно-технических средств и организационных(процедурных) решений предусматривает:
• учет, хранение и выдачу пользователям информационных носителей,паролей, ключей;
• ведение служебной информации (генерация паролей, ключей, сопровождениеправил разграничения доступа);
• оперативный контроль за функционированием систем защиты секретнойинформации;
• контроль соответствия общесистемной программной среды эталону;
• приемку включаемых в АИТ новых программных средств;
• контроль за ходом технологического процесса обработки финансово-кредитнойинформации путём регистрации анализа действий пользователей;
• сигнализацию опасных событий и т. д.
Следует отметить, что без надлежащей организационной поддержкипрограммно-технических средств защиты информации от несанкционированногодоступа и точного выполнения предусмотренных проектной документацией процедур вдолжной мере не решить проблему обеспечения безопасности информации, какими бысовершенными эти программно-технические средства ни были.
Создание базовой системы защиты информации в АИТ основывается наследующих принципах:
1. Комплексный подход к построению системы защиты при ведущей ролиорганизационных мероприятий. Он означает оптимальное сочетание программныхаппаратных средств и организационных мер защиты, подтвержденное практикойсоздания отечественных и зарубежных систем защиты.
2. Разделение и минимизация полномочий по доступу к обрабатываемойинформации и процедурам обработки. Пользователям предоставляется минимумстрого определённых полномочий, достаточных для успешного выполнения ими своихслужебных обязанностей, с точки зрения автоматизированной обработки доступнойим конфиденциальной информации.
3. Полнота контроля и регистрации попыток несанкционированного доступа,то есть необходимость точного установления идентичности каждого пользователя ипротоколирования его действий для проведения возможного расследования, а такженевозможность совершения любой операции обработки информации в АИТ без еёпредварительной регистрации.
4. Обеспечение надежности системы защиты, то есть невозможностьснижения её уровня при возникновении в системе сбоев, отказов, преднамеренныхдействий нарушителя или непреднамеренных ошибок пользователей и обслуживающегоперсонала.
5. Обеспечение контроля за функционированием системы защиты, тоесть создание средств и методов контроля работоспособности механизмов защиты.
6. Прозрачность системы защиты информации для общего, прикладногопрограммного обеспечения и пользователей АИТ.
7. Экономическая целесообразность использования системы защиты. Онвыражается в том, что стоимость разработки и эксплуатации систем защитыинформации должна быть меньше стоимости возможного ущерба, наносимого объекту вслучае разработки и эксплуатации АИТ без системы защиты информации.
К основным средствам защиты, используемым для создания механизма защиты,относятся следующие. Технические средства представляют электрические,электромеханические и электронные устройства. Вся совокупность указанныхсредств делится на аппаратные и физические. Под аппаратными техническимисредствами принято понимать устройства, встраиваемые непосредственно ввычислительную технику, или устройства, которые сопрягаются с подобнойаппаратурой по стандартному интерфейсу.
Физическими средствами являются автономные устройства и системы (замки надверях, где размещена аппаратура, решетки на окнах, электронно-механическоеоборудование охранной сигнализации и др.). Программные средства — этопрограммное обеспечение, специально предназначенное для выполнения функцийзащиты информации. Организационные средства защиты представляют собойорганизационно-технические и организационно-правовые мероприятия,осуществляемые в процессе создания и эксплуатации вычислительной техники,аппаратуры телекоммуникаций.
Организационные мероприятия охватывают все структурные элементыаппаратуры на всех этапах её жизненного цикла (проектирование компьютернойинформационной системы банковской деятельности, монтаж и наладка оборудования,испытание, эксплуатация). Морально-этические средства защиты реализуются в видевсевозможных норм, которые сложились традиционно или складываются по мерераспространения вычислительной техники и средств связи в обществе. Подобныенормы большей частью не являются обязательными как законодательные меры, однаконесоблюдение их ведет обычно к потере авторитета и престижа человека. Наиболеепоказательным примером таких норм является Кодекс профессионального поведениячленов Ассоциаций пользователей ЭВМ США.
Законодательные средства защиты определяются законодательными актамистраны, регламентирующими правила пользования, обработки и передачи информацииограниченного доступа и устанавливающими меры ответственности за нарушение этихправил. Все рассмотренные средства защиты разделены на формальные (выполняющиезащитные функции строго по заранее предусмотренной процедуре без непосредственногоучастия человека) «неформальные» (определяемые целенаправленной деятельностьючеловека либо регламентирующие эту деятельность). Для реализации мербезопасности используются различные механизмы шифрования (криптографии).Криптография — это наука об обеспечении секретности и/или аутентичности(подлинности) передаваемых сообщений.
Сущность криптографических методов заключается в следующем. Готовое кпередаче сообщение — будь то данные, речь либо графическое изображениетого или иного документа, обычно называется открытым, или незащищенным, текстом(сообщением). В процессе передачи такого сообщения по незащищенным каналамсвязи оно может быть легко перехвачено или отслежено подслушивающим лицомпосредством умышленных или неумышленных действий. Для предотвращениянесанкционированного доступа к сообщению оно зашифровывается, преобразуясь вшифрограмму, или закрытый текст.
Санкционированный пользователь, получив сообщение, дешифрует илираскрывает его посредством обратного преобразования криптограммы, вследствиечего получается исходный открытый текст. Метод преобразования вкриптографической системе определяется используемым специальным алгоритмом,действие которого определяется уникальным числом или битовойпоследовательностью, обычно называемым шифрующим ключом. Шифрование может бытьсимметричным и асимметричным. Первое основывается на использовании одного итого же секретного ключа для шифрования и дешифрования. Второе характеризуетсятем, что для шифрования используется один общедоступный ключ, а длядешифрования — другой, являющийся секретным, при этом знаниеобщедоступного ключа не позволяет определить секретный ключ.
Наряду с шифрованием внедряются следующие механизмы безопасности:
• цифровая (электронная) подпись;
• контроль доступа;
• обеспечение целостности данных;
• обеспечение аутентификации;
• постановка графика;
• управление маршрутизацией;
• арбитраж или освидетельствование.
Механизмы цифровой подписи основываются на алгоритмах асимметричногошифрования и включают две процедуры: формирование подписи отправителем и еёопознавание (верифи- кацию) получателем. Первая процедура обеспечиваетшифрование блока данных либо его дополнение криптографической, контрольнойсуммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедураосновывается на использовании общедоступного ключа, знания которого достаточнодля опознавания отправителя.
Механизмы контроля доступа осуществляют проверку полномочий объектов АИТ(программ и пользователей) на доступ к ресурсам сети. При доступе к ресурсучерез соединение контроль выполняется как в точке инициации, так и впромежуточных точках, а также в конечной точке.
Механизмы обеспечения целостности данных применяются к отдельному блоку ик потоку данных. Целостность блока является необходимым, но не достаточнымусловием целостности потока и обеспечивается выполнением взаимосвязанныхпроцедур шифрования и дешифрования отправителем и получателем. Отправительдополняет передаваемый блок криптографической суммой, а получатель сравниваетеё с криптографическим значением, соответствующим принятому блоку. Несовпадениесвидетельствует об искажении информации в блоке.Однако описанный механизм непозволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостностипотока, который реализуется посредством шифрования с использованием ключей,изменяемых в зависимости от предшествующих блоков. Механизмы постановкиграфика, называемые также механизмами заполнения текста, используются длязасекречивания погода данных. Они основываются на генерации объектами АИТфиктивных блоков, их шифровании и организации передачи по каналам сети. Темсамым нейтрализуется возможность получения информации посредством наблюдения завнешними характеристиками потоков, циркулирующих по каналам связи.
Механизмы управления маршрутизацией обеспечивают выбор маршрутов движенияинформации по коммуникационной сети таким образом, чтобы исключить передачусекретных сведений по скомпрометированным (небезопасным) физически ненадежнымканалам. Механизмы арбитража обеспечивают подтверждение характеристик данных,передаваемых между объектами АИТ, третьей стороной (арбитром). Для этого всяинформация, отправляемая или получаемая объектами, проходит и через арбитра,что позволяет ему впоследствии подтверждать упомянутые характеристики. В АИТпри организации безопасности данных используется комбинация несколькихмеханизмов.
1.3Виды угрозбезопасности ЭИС
Наряду с интенсивным развитием вычислительных средств и систем передачиинформации все более актуальной становится проблема обеспечения еёбезопасности.
Меры безопасности направлены на предотвращение несанкционированногополучения информации, физического уничтожения или модификации защищаемойинформации.
Зарубежные публикации последних лет показывают, что возможностизлоупотреблений информацией, передаваемой по каналам связи, развивались исовершенствовались не менее интенсивно, чем средства их предупреждения.
В этом случае для защиты информации требуется не просто разработкачастных механизмов защиты, а организация комплекса мер, то есть использованиеспециальных средств, методов и мероприятий с целью предотвращения потериинформации.
В этом смысле сегодня рождается новая современная технология —технология защиты информации в компьютерных информационных системах и в сетяхпередачи данных. Несмотря на предпринимаемые дорогостоящие методы,функционирование компьютерных информационных систем выявило наличие слабых меств защите информации.
Неизбежным следствием стали постоянно увеличивающиеся расходы и усилия назащиту информации. Однако для того, чтобы принятые меры оказались эффективными,необходимо определить, что такое угроза безопасности информации, выявитьвозможные каналы утечки информации и пути несанкционированного доступа кзащищаемым данным. Под угрозой безопасности понимается действие или событие,которое может привести к разрушению, искажению или несанкционированномуиспользованию информационных ресурсов, включая хранимую, передаваемую иобрабатываемую информацию, а также программные и аппаратные средства. Угрозыпринято делить на случайные, или непреднамеренные, и умышленные.
Источником первых могут быть ошибки в программном обеспечении, выходы изстроя аппаратных средств, неправильные действия пользователей или администрациии т. п. Умышленные угрозы преследуют цель нанесения ущербапользователям АИТ и, в свою очередь, подразделяются на активные и пассивные,Пассивные угрозы, как правило, направлены на несанкционированное использованиеинформационных ресурсов, не оказывая при этом влияния на их функционирование.Пассивной угрозой является, например, попытка получения информации,циркулирующей в каналах связи, посредством их прослушивания.
Активные угрозы имеют целью нарушение нормального процессафункционирования системы посредством целенаправленного воздействия нааппаратные, программные и информационные ресурсы. К активным угрозам относятся,например, разрушение или радиоэлектронное подавление линий связи, вывод изстроя ПЭВМ или её операционной системы, искажение сведений в базах данных либов системной информации и т. д.
Источниками активных угроз могут быть непосредственные действиязлоумышленников, программные вирусы и т. п. К основным угрозам ибезопасности информации относят:
• раскрытие конфиденциальной информации;
• компрометация информации;
• несанкционированное использование информационных ресурсов;
• ошибочное использование ресурсов;
• несанкционированный обмен информацией;
• отказ от информации;
• отказ от обслуживания.
Средствами реализации угрозы раскрытия конфиденциальной информации могутбыть несанкционированный доступ к базам данных, прослушивание каналови т. п. В любом случае получение информации, являющейся достояниемнекоторого лица (группы лиц), другими лицами наносит её владельцам существенныйущерб.
Компрометация информации, как правило, реализуется посредством внесениянесанкционированных изменений в базы данных, в результате чего её потребительвынужден либо отказаться от неё, либо предпринимать дополнительные усилия длявыявления изменений и восстановления истинных сведений. В случае использованияскомпрометированной информации потребитель подвергается опасности принятияневерных решений со всеми вытекающими последствиями. Несанкционированноеиспользование информационных ресурсов, с одной стороны, является средствомраскрытия или компрометации информации, а с другой — имеет самостоятельноезначение, поскольку, даже не касаясь пользовательской или системной информации,может нанести определённый ущерб абонентам и администрации.
Этот ущерб может варьировать в широких пределах — от сокращенияпоступления финансовых средств до полного выхода АИТ из строя. Ошибочноеиспользование информационных ресурсов, будучи санкционированным, тем не менееможет привести к разрушению, раскрытию или компрометации указанных ресурсов.Данная угроза чаще всего является следствием ошибок в программном обеспеченииАИТ. Несанкционированный обмен информацией между абонентами может привести кполучению одним из них сведений, доступ к которым ему запрещен, что по своимпоследствиям равносильно раскрытию содержания маркетинговой информации. Отказот информации состоит в непризнании получателем или отправителем информациифактов её получения или отправки.
В условиях маркетинговой деятельности это, в частности, позволяет однойиз сторон расторгать заключенные финансовые соглашения «техническим» путём,формально не отказываясь от них и нанося тем самым второй стороне значительныйущерб. Отказ в обслуживании представляет собой весьма существенную ираспространенную угрозу, источником которой является сама АИТ. Подобный отказособенно опасен в ситуациях, когда задержка с предоставлением ресурсов абонентуможет привести к тяжелым для него последствиям. Так, отсутствие у пользователяданных, необходимых для принятия решения, в течение периода, когда это решениеещё может быть эффективно реализовано, может стать причиной его нерациональныхили даже антимонопольных действий.
Основными типовыми путями несанкционированного доступа к информации,сформулированными на основе анализа зарубежной печати, являются:
• перехват электронных излучений;
• принудительное электромагнитное облучение (подсветка) линийсвязи с целью получения паразитной модуляции;
• применение подслушивающих устройств (закладок);
• дистанционное фотографирование;
• перехват акустических излучений и восстановление текстапринтера;
• хищение носителей информации и документальных отходов;
• чтение остаточной информации в памяти системы послевыполнения санкционированных запросов;
• копирование носителей информации с преодолением мер защиты;
• маскировка под зарегистрированного пользователя;
• мистификация (маскировка под запросы системы);
• использование программных ловушек;
• использование недостатков языков программирования иоперационных систем;
• включение в библиотеки программ специальных блоков типа«Троянский конь»,
• незаконное подключение к аппаратуре и линиям связи;
• злоумышленный вывод из строя механизмов защиты;
• внедрение и использование компьютерных вирусов.
Необходимо отметить, что особую опасность в настоящее время представляетпроблема компьютерных вирусов, ибо эффективной защиты против них разработать неудалось. Остальные пути несанкционированного доступа поддаются надежнойблокировке при правильно разработанной и реализуемой на практике системеобеспечения безопасности.
1.4 Ресурсы ЭИС
В течение всей предшествующей XX в. истории развития человеческойцивилизации основным предметом труда оставались материальные объекты.Деятельность за пределами материального производства и обслуживания, какправило относилось к категории непроизводительных затрат.
Экономическая мощь государства измерялась его материальными ресурсами. Внастоящее время идет борьба за контроль над наиболее известными из всех,известных до настоящего времени ресурсов-национальные информационные ресурсы.
Термин информационные ресурсы стал широко использоваться в научнойлитературе после публикации известной монографии Г. Р. Громова Национальныеинформации ресурсы: проблемы промышленной экслуатации. сейчас он ещё неимеет однозначного толкования, несмотря на то что это понятие является одним изключевых в проблеме информатизации общества.
Активными информационными ресурсами является та часть национальныхресурсов, которую составляет информация доступная для автоматизированногопоиска, хранения и обработки. Есть основания предполагать, что отношениеобъемаактивных информационных ресурсов к общему объёму национальныхинформационных ресурсов становится одним из существенных экономическихпоказателей характеризующих эффективность использования этих важнейшихинформационных ресурсов:
2. Планирование всреде информационной системы
Всоответствии с протяженностью во времени задач управления различаютстратегический информационный менеджмент (СИМ) и оперативный информационныйменеджмент (ОИМ). Причем между этими уровнями существуют отношенияподчиненности, т.е. цели, определяемые на стратегическом уровне, реализуются наоперативном. При этом глобальная стратегическая цель ИМ в информационныхсистемах должна состоять в обеспечении возможно большего вклада ИС в целипредприятия по основной деятельности через использование информационныхтехнологий; в соответствии с этой целью возникают специфические задачи и дляорганизации собственно информационного менеджмента.
Понятие«стратегический» в отношении ИМ предполагает, с одной стороны, планомерноеопределение долгосрочных – на срок 3-5 лет – целей по всем направлениям, а сдругой – выбор пути достижения поставленной цели и определение набора задач,решение которых ведет к цели. Такие задачи решаются на уровне высшегоруководства организации. Выбранные решения долгосрочных задач образуют наборыисходных данных (задания) для оперативного, т.е. наиболее краткосрочного,уровня.
Задачиоперативного информационного менеджмента ориентируются на соответствующиестратегические задачи и цели. В отличие от долгосрочной стратегическойпостановки задачи ОИМ планируются и существуют на среднем или на короткоминтервале (в сфере обработки информации – это период времени до одного года);эти задачи чаще всего ощущаются и решаются на уровне руководства службойобработки информации организации.
Планирование– главная задача ИМ на стратегическом уровне. Именно на уровне стратегическогоинформационного маркетинга возникает и должна удовлетворяться повышеннаяпотребность в планировании. Она обусловлена как необходимостью своевременногоустранения возможных препятствий, так и потребностью выявления максимальныхшансов для предприятия, создаваемых ИС и ИТ. Размышления по поводунеобходимости планирования работы информационной системы начинаются уже припоиске ответа на вопрос, какую собственно роль играет ИС на предприятии.
Принимается,что информационная система имеет большое значение для предприятия, когда на ееоснове решаются задачи конкуренции на рынке, а также когда информационнаяинтенсивность технологического процесса основной деятельности предприятия иподдержания производительности этого процесса высока. Это имеет место,например, для банков, бирж и страховых обществ, ряда государственных учрежденийи др.
Другим важнымнаправлением планирования является определение плана инвестиций в ИС. В прошломтакой план составлялся (и в настоящем еще часто составляется) в значительноймере случайно: например, по накопившимся неудовлетворенным запросампользователей или путем анализа заявок на замену или создание частей системы,требующих инвестиций, а также с учетом финансирования растущего объемаобслуживания.
Однако встратегическом плане могут быть целенаправленно выявлены приоритетныенаправления при формировании плана инвестиций. Здесь требуется, чтобы враспоряжении администрации были общий вид и характер имеющихся на предприятииинформационных работ. Этот общий вид структуры ИС выводится из анализапротекающих на предприятии процессов.
Путемвзаимного взвешивания значений процессов находят или определяют порядоквыделения инвестиций для соответствующих элементов ИС. Например, выпускосновных изделий для серийного производства имеет наибольшее значение; далеедля включения в план инвестиций могут рассматриваться элементы ИС,ориентированные на обеспечение конкуренции и на внутреннюю рационализациюпредприятия. Затем анализируется возникающий при этом риск. Этот специфическийподход к организации планирования ИС на предприятии целесообразно дополнитьобщими задачами планирования и контроля. К кругу этих задач принадлежит учетсвязей с другими объектами на предприятии.
Припланировании связей ИС с другими объектами предприятия особое значениепридается связям с системой планирования самого предприятия. Частоутверждается, что планирование ИС может осуществляться вообще только в связи сэтой системой. Однако на некоторых предприятиях (в частности, вновь создаваемыхи малых) сложившейся системы производственного планирования вообще несуществует, так что на таком предприятии план применения информационной системысогласовывать просто не с чем. Однако если предусматривать планированиеиспользования ИС, то можно добиться совершенствования производственногопланирования на предприятии и деятельности предприятия в целом.
Всоответствии с этим на стратегическом уровне следует определить стиль,направления и степень интенсификации системы планирования и контроля. Это важноименно на данном этапе, поскольку достаточно часто оказывается, что измененияне произведут необходимого эффекта из-за слишком тесных ограничений, наложенныхпланированием и контролем. Помощь в соответствующем анализе могут оказатьизвестные апробированные модели развития ИС на предприятии. В частности, вмодели Р, Л. Нолана (R.L. Nolan) определены шесть типовых ступеней развития:инициирование, распространение, управление, интеграция. ориентирование данных,завершение или зрелость на которых ИС применяются с различной интенсивностью.Сопоставление с эталонной моделью делает вполне очевидными приоритеты уровнейпланирования и контроля как для специалистов по обработке информации, так и дляпользователей. Каждое предприятие может постепенно найти свою модель иопределить свою позицию при разработке для себя системы планирования примененияИС.
Изстратегического плана инвестиций в ИС должно формироваться и подходящимисредствами осуществляться годовое планирование. Вследствие решения этой задачинаблюдается, как правило, значительное общее повышение потребностей впланировании, согласованиях и контроле. На уровне оперативного информационногоменеджмента реализация стратегических планов может контролироваться, например,с помощью системы сообщений (докладов) установленной формы
Литература
1. Проекты нормативных документов,разработанные в НИОКР «Защита-БР» 2002.
2. Конявский В.А. Управлениезащитой информации на базе СЗИ НСД «Аккорд»,- М: Радио и связь, 1999.- С. 323.
3. Сборник научных трудовВсероссийского НИИ проблем вычислительной техники и информатизации. — М.:РФК-Имидж Лаб, 2001. — 192 с.
4. Расторгуев С.П. Информационнаявойна. — М.: Радио и связь, 1998. — 415 с.
5. Американские сценарииинформационной войны // Спец. вып. по материалам иностр. печ. — 1999. -№ 6. -С.75-76.
6.Введение в защиту информацииавтоматизированных системах: учеб. Пособие/ А.А.Малюк, С.В.Пазизин,Н.С.Погожин-3-е изд, -М.: Горячая линия телеком,2001.-148с.
7.Сл.законов РФ об информации,информатизации и защите информации.