Проблемы безопасности информации предприятия и пути их решения

      Качество  информации. Этот показатель является важным, но неоднозначным. Одна и та же информация имеет различные значения (ценность) для одного и того же человека, но в разное время или для нескольких людей. Вообще информация со временем не сохраняет, как правило, свою ценность, хотя есть знания как бы постоянной значимости (например, фундаментальные законы природы, дни рождения и т.д.). [12]

     Приняты три подхода (критерия) к оценке качества информации: по снижению состояния  неопределенности, по достижению цели и по приращению тезауруса.

      Статистическая  теория информации исходит из того, что информация принимается как мера уменьшения неопределенности после получения сообщения. Следовательно, получение сообщения эквивалентно получению дополнительного знания, которое меняет ранее созданную картину. Очевидно, что чем менее вероятна априорная информация о сути полученного сообщения, тем большие изменения она вызовет. Здесь важно отметить, что передаваемая информация – сообщение должна быть передана в коде, который понимается принимающей стороной. Знание кода позволит правильно принять и интерпретировать информацию даже при некотором искажении информации в канале связи.

      Для систем с ясно выраженной целью ценность информации можно выразить через  приращение вероятности достижения цели.

     Сообщение является формой передачи знания –  упорядоченного отражения объектов и процессов в понятиях, суждениях  и образах понятий. Чтобы воспринять и усвоить сообщение, необходимо обладать определенным запасом знаний, который в системе представляется в виде тезауруса – систематизированного словаря понятий с указанием смысловых связей между ними.

     Следовательно, под ценностью информации понимается мера расширения, развития тезауруса воспринимаемой стороной при приеме и интерпретации сообщения. [25]

      Выделяя из общего потока актуально полезную информацию, способствующую принятию решений и достижению поставленных целей, посредством когнитивного (смыслового) фильтра специалиста, оценивающего информацию, предприниматель устанавливает границы возможностей по реализации своей предпринимательской идеи.

      Сегодня в дополнение к высокой производительности машин электронное распространение знаний обеспечивает высочайшую гибкость, программную перестраиваемость производства, возможность эффективного изготовления малых серий и оперативного выполнения сложных индивидуальных заказов. [7]

      Исходные  данные, поступающие в систему  из различных источников, как правило, фильтруется. В частности, могут осуществляться следующие этапы преобразования:

• проверка корректности (внутренняя непротиворечивость данных, безопасность внесения данной записи для системы в целом);
• реформатирование (приведение к общему формату в соответствие с принципом интегрированности данных и информации);
• фильтрация и агрегирование данных;
• исключение дублированных данных;
• датирование данных (обязательное внесение метки данных в соответствии с принципом историчности).

      Для экономии времени пользователя обеспечивается многоуровневое хранение информации. При этом сохраняются как некоторые детальные, так и агрегированные данные. Ввиду сложности многоуровневой структуры информационного хранилища необходимо поддерживать его целостность, т.е. соответствие данных вышележащих уровней нижележащим, а также детальных данных – данным оперативным и других внешних систем.

      Однако, мало собрать информацию и организовать ее хранение, важно уметь пользоваться ею. История учит, что на базе одной и той же информации могут делаться различные, не исключено, что и противоположные, выводы.

      Основными потенциальными пользователями информационных хранилищ являются среднее и высшее звено управления организацией, системные аналитики. Зачастую это неординарно мыслящие люди, многие из которых достаточно эрудированны в области компьютерных технологий, современных аналитических методов. Только небольшая часть их аналитических потребностей может быть предварительно сформулирована, регламентирована и документирована. Поэтому особое место в их работе отводится вопросам анализа, в том числе математической поддержке подготовки принятия решений.⁵

     Современные информационные системы поддерживают интерпретацию информации как совокупности бизнес-объектов. Это чрезвычайно  удобно для непрофессиональных пользователей ЭВМ, так как подобные средства позволяют аналитику, тем более менеджеру воспринимать модель данных в виде списка знакомых и естественных для него объектов, таких, как “клиенты”, “договоры”, “оплата труда” и др. В то же время более квалифицированный пользователь имеет возможность, описав с помощью встроенного механизма формирования запросов новые функции и представления, сохранить их для использования коллегами.

_________________________

⁵Герасименко В.А. Защита информации в автоматизированных системах обработки данных. - В 2-х кн. - М.: Энергоатом-издат, 2004.

     Представление информации – один из наиболее существенных факторов всей концепции: как известно, “встречают по одежке”. Высшее руководство предприятия зачастую видит только этот компонент информационных систем. [14]

     Доставка  информации из внешних и внутренних источников может осуществляться по выделенным каналам, по глобальным электронным  сетям коммерческого или общего назначения, по корпоративным и локальным  компьютерным сетям. Для работы с бумажными документами отрабатываются технологии формирования электронных копий в рамках электронного архива. Предусматриваются методы анализа неструктурированной и слабо структурированной информации, включая ее поиск и доставку по запросам пользователя. [6]

     При распределенной архитектуре предприятия  и его информационных ресурсов должна предусматриваться возможность  получения информации из различных  территориально разрозненных источников.

      В информационной работе весомое место  принадлежит контролю за информацией, точнее, контролю за воплощением в жизнь тех интересов, запросов, требований, задач и т.д., которые выражены и закреплены в информации. [17]

      Можно назвать такие направления контроля информации: контроль за аутентичностью понимания содержания информации; контроль за соответствующим (по принадлежности, назначению и т.п.) движением информации; контроль за превращением содержания информации в социальную практику: конкретные поступки, действия, преобразования; контроль за соответствием отчетной информации директивной.

      Руководители  государственных органов, специальные  контрольные подразделения   последних      должны    придавать     контролю    информации    непрерывный характер, внимательно следить за передатчиками, приемниками и каналами связи информации, четко представлять     контролируемые    параметры     информации  и критические точки в ее реализации, уметь не только своевременно улавливать, но и предупреждать возможные отклонения, неувязки или ошибки в информационной работе. Особо важно, чтобы в центре контроля находились обратные связи в информационных потоках. [4,23]

      Еще один показатель качества информации — своевременность. О важности его никто не спорит. Своевременность информации существенно зависит от скорости переработки и передачи всевозможных данных. А без вмешательства ЭВМ здесь явно не обойтись. [7]

      В обществе в целом и на отдельном  предприятии, в частности, всегда существовала и в каждый данный момент существует определенная информационная система, охватывающая саму информацию (ее совокупный массив), формы, методы и средства ее обработки и людей, включенных в информационные процессы. Поэтому когда говорится о создании и совершенствовании информационной системы (или систем)  управления, то имеется в виду не просто система, функционирование которой связано с формированием, регистрацией, сбором, обработкой и хранением информации, отражающей состояние определенных объектов (и субъектов) в их динамике, а качественно и принципиально новое явление.

      Проблема не сводится к простому внедрению в управление новейшей вычислительной техники, создания сетей и программ ЭВМ, как это полагали многие ученые и практики в 60-х годах. Она гораздо объемнее, сложнее, глубже и труднее в разрешении. Применение микроэлектроники, информатики, микропроцессоров, роботов и других современных обслуживающих средств открывает возможности перевода всей работы с информацией на новые научные и технические уровни, создания рациональных и эффективных информационных технологий. [4]

      Как удачно подметил Г.Л. Смолян, "автоматизация  есть новая, интеллектуальная "технология", охватывающая все в принципе возможные  объекты управления — операции, ресурсы, оценки. Переход к этой новой "технологии", использующей компьютеры, в историческом плане, по-видимому, является куда более революционным, чем появление поточного производству, конвейерных линий и систем автоматического регулирования". Нетрадиционность проблемы состоит в том, что посредством ее решения закладываются предпосылки, основа того будущего общества, которое обозначено понятием "информационного". Без соотнесения сути этого (предполагаемого) общества и информационной системы государственного управления нельзя понять и сформулировать концепции последней.⁶

     На  предприятиях в компьютерном виде накапливается и сохраняется информация о проектах, выполняемых данным предприятием; о деталях, блоках, узлах, компонентах, используемых в проектах; о поставщиках и складах, где размещаются детали; о служащих и отделах, которые являются исполнителями проектов. В таких базах данных могут быть записаны любые информационные массивы, и по аналогии базы данных можно считать электронными библиотеками. Такие электронные библиотеки обеспечивают совершенно новые информационные возможности: возможности выбирать факты и фрагменты текста, а не книги (журналы) целиком. В машине нет “полок”, поэтому возможно прямо заглянуть внутрь книги и вывести на экран дисплея (монитора) только ту часть книги, которая интересна пользователю. [19]

      Одно  из оснований можно обозначить как комплексный подход в реализации взаимодействия человека и машины в информационной работе. Ведь смысл информационного обеспечения управления организацией, в конечном счете, заключается в органическом соединении научных знаний, научной методологии и методики с новейшими техническими средствами во всех проявлениях информационной работы. Логично, что информационные преобразования сегодняшних дней выдвигают на первый план человека, от

____________________________

⁶Герасименко В.А. Защита информации в автоматизированных системах обработки данных. - В 2-х кн. - М.: Энергоатом-издат, 2004. 

развитости  и действий которого зависит успех  в использовании новых возможностей. 
 

1.3. Необходимость защиты информации в организации 

     Интерес к вопросам безопасности информации не случаен. Корпоративные системы электронного документооборота, бухгалтерского учета и управления базами данных получили широкое распространение в развитых странах уже в первой половине 70-х гг. [12]

     С развитием компьютерных технологий, по мере снижения их стоимости, роста возможностей и доступности компьютеров, все больше компаний переходят на автоматизированные системы учета. В результате увеличиваются как объем информации, хранящейся на различных электронных носителях, так и ее ценность (которая, в первую очередь, определяется суммой возможных убытков при потере данных или их попадании к конкуренту). И тут-то выясняется, что электронные средства хранения даже более уязвимы, чем бумажные; размещаемые на них данные можно и уничтожить, и скопировать, и незаметно видоизменить. Последнее, кстати, представляет наибольшую опасность для компаний. [24]

     То, что в 60-е годы называлось компьютерной безопасностью, а в 70-е - безопасностью  данных, сейчас более правильно именуется  информационной безопасностью. Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных. [4]

     Информационной  безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.