 |
Классификация информационных систем
|
|
|
|
Классификация информационных систем по степени автоматизации:
1. Ручные информационные системы характеризуются отсутствием современных технических средств переработки информации и выполнением всех операций человеком. Например, о деятельности менеджера в фирме, где отсутствуют компьютеры, можно говорить, что он работает с ручной ИС;
2. Автоматизированные информационные системы (АИС) — наиболее популярный класс ИС. Предполагают участие в процессе накопления, обработки информации баз данных, программного обеспечения, людей и технических средств;
3. Автоматические информационные системы выполняют все операции по переработке информации без участия человека, различные роботы. Примером автоматических информационных систем являются некоторые поисковые машины Интернет, например Google, где сбор информации о сайтах осуществляется автоматически поисковым роботом и человеческий фактор не влияет на ранжирование результатов поиска.
Обычно термином ИС в наше время называют автоматизированные информационные системы.
Классификация информационных систем по характеру использования информации:
1. Информационно-поисковые системы — система для накопления, обработки, поиска и выдачи интересующей пользователя информации;
2. Информационно-аналитические системы — класс информационных систем, предназначенных для аналитической обработки данных с использованием баз знаний и экспертных систем;
3. Информационно-решающие системы — системы, осуществляющие накопления, обработки и переработку информации с использованием прикладного программного обеспечения:
- управляющие информационные системы с использованием баз данных и прикладных пакетов программ,
|
|
|
- советующие экспертные информационные системы, использующие прикладные базы знаний;
4. Ситуационные центры (информационно-аналитические комплексы).
Классификация информационных систем по архитектуре:
1. Локальные ИС (работающие на одном электронном устройстве, не взаимодействующем с сервером или другими устройствами);
2. Клиент-серверные ИС (работающие в локальной или глобальной сети с единым сервером);
3. Распределенные ИС (децентрализованные системы в гетерогенной многосерверной сети).
Классификация информационных систем по сфере применения:
1. Информационные системы организационного управления — обеспечение автоматизации функций управленческого персонала;
2. Информационные системы управления техническими процессами — обеспечение управления механизмами, технологическими режимами на автоматизированном производстве;
3. Автоматизированные системы научных исследований — программно-аппаратные комплексы, предназначенные для научных исследований и испытаний;
4. Информационные системы автоматизированного проектирования — программно-технические системы, предназначенные для выполнения проектных работ с применением математических методов;
5. Автоматизированные обучающие системы — комплексы программно-технических, учебно-методической литературы и электронные учебники, обеспечивающих учебную деятельность;
6. Интегрированные информационные системы - обеспечение автоматизации большинства функций предприятия;
7. Экономическая информационная система - обеспечение автоматизации сбора, хранения, обработки и выдачи необходимой информации, предназначенной для выполнения функций управления.
8. Медицинская информационная система — информационная система, предназначенная для использования в лечебном или лечебно-профилактическом учреждении.
9. Географическая информационная система — информационная система, обеспечивающая сбор, хранение, обработку, доступ, отображение и распространение пространственно – координированных данных (пространственных данных)
|
|
|
Классификация информационных систем по признаку структурированности решаемых задач:
1. Модельные информационные системы позволяют установить диалог с моделью в процессе ее исследования (предоставляя при этом недостающую для принятия решения информацию), а также обеспечивает широкий спектр математических, статистических, финансовых и других моделей, использование которых облегчает выработку стратегии и объективную оценку альтернатив решения. Пользователь может получить недостающую ему для принятия решения информацию путем;
2. Использование экспертных информационных систем связано с обработкой знаний для выработки и оценки возможных альтернатив принятия решения пользователем. Реализуется на двух уровня.
Существуют три основных принципа ИБ:
· доступность;
· конфиденциальность;
· целостность.
Причины потери информации
n Сбои в работе оборудования
n Инфицирование компьютерными вирусами
n Неправильное хранение архивных данных
n Несанкционированный доступ
n Некорректная работа
Несанкционированный доступ
n Хакеры – особый вид ITспециалистов, занимающихся взломом паролей, воровством и порчей информации.
n Основной инструмент – программа взломщик, делящая на 2 компонента: программа доступа к удаленным компьютерам по телефонным сетям и словарь вероятных кодов и паролей.
Стратегии безопасности информации
n Шифрование информации
n Установка системы паролей
Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал.
Ограниченность вредоносного воздействия означает, что:
· организация остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается заметно сниженной;
· активам организации наносится незначительный ущерб;
· организация несет незначительные финансовые потери;
· персоналу наносится незначительный вред.
|
|
|
Потенциальный ущерб для компании оценивается как умеренный, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал. Серьезность вредоносного воздействия означает, что:
· компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной;
· активам организации причиняется значительный ущерб;
· компания несет значительные финансовые потери;
· персоналу наносится значительный вред, не создающий угрозы жизни или здоровью.
Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть:
· компания теряет способность выполнять все или некоторые из своих основных функций;
· активам организации причиняется крупный ущерб;
· организация несет крупные финансовые потери;
· персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью.
Категорировать необходимо и пользовательскую, и системную информацию, представленную как в электронной форме, так и в виде "твердой" копии. Открытая информация может не иметь категории конфиденциальности. Например, сведения, содержащиеся на общедоступном web-сервере организации, не имеют категории конфиденциальности, а их доступность и целостность оцениваются как умеренные.
При категорировании информационной системы принимаются во внимание категории хранимой, обрабатываемой и передаваемой средствами ИС информации, а также ценность активов самой ИС, т.е. берется максимум категорий по всем видам информации и активов. Для получения интегральной оценки следует взять максимум категорий по основным аспектам информационной безопасности.
Базовые требования безопасности к информации и ИС:
· Организация должна разработать, документировать и обнародовать официальную политику безопасности и формальные процедуры, направленные на выполнение приведенных ниже требований, и обеспечить эффективную реализацию политики и процедур.
|
|
|
· В компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активам и персоналу. Эти угрозы являются следствием эксплуатации ИС и осуществляемых при этом обработки, хранения и передачи данных.
· Применительно к закупке систем и сервисов в компании необходимо:
o выделить достаточный объем ресурсов для адекватной защиты ИС;
o при разработке систем учитывать требования ИБ;
o ограничивать использование и установку программного обеспечения;
o обеспечить выделение внешними поставщиками услуг достаточных ресурсов для защиты информации, приложений и/или сервисов.
В области сертификации, аккредитации и оценки безопасности в организации следует проводить:
o постоянный мониторинг регуляторов безопасности, чтобы иметь доверие к их эффективности;
o периодическую оценку регуляторов безопасности, применяемых в ИС, чтобы контролировать их эффективность;
o разработку и претворение в жизнь плана действий по устранению недостатков и уменьшению или устранению уязвимостей в ИС;
o авторизацию введения в эксплуатацию ИС и установление соединений с другими информационными системами.
В области кадровой безопасности необходимо:
o обеспечить надежность (доверенность) должностных лиц, занимающих ответственные посты, а также соответствие этих лиц предъявляемым к данным должностям требованиям безопасности;
o обеспечить защиту информации и информационной системы при проведении дисциплинарных акций, таких как увольнение или перемещение сотрудников;
o применять соответствующие официальные санкции к нарушителям политики и процедур безопасности.
Организация должна обеспечить информирование и обучение сотрудников:
o чтобы руководители и пользователи ИС знали о рисках, связанных с их деятельностью, и о соответствующих законах, нормативных актах, руководящих документах, стандартах, инструкциях и т.п.;
o чтобы персонал имел должную практическую подготовку для выполнения обязанностей, связанных с информационной безопасностью.
Необходимым условием выполнения требований безопасности являются выбор и реализация соответствующих регуляторов безопасности, то есть выработка и применение экономически оправданных контрмер и средств защиты. Регуляторы безопасности подразделяются на административные, процедурные и программно-технические и служат для обеспечения доступности, конфиденциальности и целостности информационной системы и обрабатываемых, хранимых и передаваемых ею данных.
|
|
|
Выбор регуляторов безопасности осуществляется на основе результатов категорирования данных и информационной системы. Кроме того, следует учесть, какие регуляторы безопасности уже реализованы и для каких имеются конкретные планы реализации, а также требуемую степень доверия к эффективности действующих регуляторов.
Адекватный выбор регуляторов безопасности можно упростить, если производить его из предопределенных базовых наборов, ассоциированных с требуемым уровнем ИБ. Применяя трехуровневую шкалу, используют три базовых набора, соответственно, для минимального (низкого, базового), умеренного и высокого уровня информационной безопасности.
Минимальные требования доверия для регуляторов безопасности предъявляются к определенным процессам и действиям. Специалисты, разрабатывающие и реализующие регуляторы, определяют и применяют (выполняют) эти процессы и действия для повышения степени уверенности в том, что регуляторы реализованы корректно, функционируют в соответствии со спецификациями и дают ожидаемые результаты с точки зрения выполнения предъявляемых к ИС требований информационной безопасности.
На минимальном уровне информационной безопасности необходимо, чтобы регуляторы безопасности были задействованы и удовлетворяли явно заданным в их определении функциональным требованиям.
На умеренном уровне информационной безопасности дополнительно должны выполняться следующие условия. Специалисты, разрабатывающие (реализующие) регуляторы, предоставляют описание их функциональных свойств, достаточно детальное, чтобы было возможно выполнять анализ и тестирование регуляторов. Как неотъемлемая составная часть регуляторов разработчиками документируются и предоставляются распределение обязанностей и конкретные действия, благодаря которым после завершения разработки (реализации) регуляторы должны удовлетворять предъявляемым к ним функциональным требованиям. Технология, по которой разрабатываются регуляторы, должна поддерживать высокую степень уверенности в их полноте, непротиворечивости и корректности.
На высоком уровне информационной безопасности, кроме всего вышеуказанного, необходимо предоставить описание проекта и реализации регуляторов, включая функциональные интерфейсы между их компонентами. От разработчиков требуются свидетельства того, что после завершения разработки (реализации) выполнение предъявляемых к регуляторам требований будет непрерывным и непротиворечивым в масштабах всей информационной системы, и будет поддерживаться возможность повышения эффективности регуляторов.
Обеспечение информационной безопасности — сложный, многоаспектный процесс, требующий принятия множества решений, анализа множества факторов и требований, порой противоречивых. Наличие категорий и минимальных требований безопасности, а также предопределенного каталога регуляторов безопасности, способно служить базой для системного подхода к обеспечению ИБ, подхода, требующего разумных трудовых и материальных затрат и способного дать практически приемлемые результаты для большинства организаций.
|
|
|
