Информационные системы

Преимущества  для руководства:

      Workflow позволяет принимать решения  в нужный момент и представляет  достаточную информацию, чтобы руководство  могло эффективно вмешиваться  в процесс. Workflow дает возможность  менеджерам действовать оперативнее, быстрее и компетентнее.

        С помощью Workflow можно сделать  более эффективной функцию контроля, существенно приблизив ее к  промышленному аналогу. 

Преимущества  для аналитика:

      Автоматизация процедур на базе Workflow предоставляет в распоряжение организационных аналитиков всю необходимую статистику для анализа рабочих нагрузок, затрат, периодов пиковой нагрузки и многих других аспектов деятельности компании.

      Workflow позволяет моделировать процедуры  и возможные сценарии их выполнения с беспрецедентной степенью детализации и точности, а доступ к данным о выполнении процессов требует минимальных затрат.

Поддержка основных функций  управления средствами Workflow.

      Идеология систем автоматизации деловых процедур основывается на утверждении, что большинство деловых процессов в аппарате управления обладает следующими характеристиками: деловой процесс состоит из конечного набора задач, выполняемых предписанным образом; в деловой процесс вовлечено множество людей с различной степенью ответственности; деловые процессы заключаются в изучении, создании, обработке и передаче информации в различных представлениях, а не только в форме документов; деловой процесс имеет некоторую цель, возможно, не очевидную всем его участникам.

Управляющая и управляемая подсистемы.

      Система управления может быть разделена  на управляющую и управляемую  подсистемы.

      Управляющая подсистема занимается выработкой управленческих решений.

      Управляемая подсистема является исполнителем этих решений. Важный показатель эффективности взаимодействия управляющей и управляемой подсистем - обратная связь. Обратная связь - это информация о результатах управленческого воздействия. Управляющая подсистема получает ее от управляемой в виде разнообразных отчетов (документированных и устных).

Такая информация помогает оценить полученные результаты и служит основой для  выработки новых решений, корректирующих или развивающих предыдущие.

Организация процесса производства.

      Организация процесса производства приводит к формированию некоторых структур (организационной, производственной, структуры взаимоотношений и т. п.). Эти структуры вытекают из сущности и содержания деловых процессов. Они закладываются в модель делового процесса на этапе внедрения системы автоматизации, что проявляется в построении карты делового процесса, описывающего жесткую маршрутизацию, а также в назначении ролей, определении групп участников процесса и т. д. Таким образом, действующая система автоматизации деловых процессов поддерживает заданный способ функционирования аппарата управления.

Задачи  информационной технологии Workflow:

      Предприятие может выжить и эффективно функционировать  только в том случае, если будет  чутко реагировать на преобразования внешней и внутренней среды. Эти  изменения отражаются на организации  деловых процессов внутри предприятия. Изменения вносятся по ходу дела непосредственными пользователями системы, делая ее весьма чувствительной к разнообразным нововведениям.

      Система автоматизации передает работы исполнителям, согласно описанным характеристикам, соблюдая сроки передачи, вид маршрутизации и другие заданные условия. Исполнитель, получив задание, приступает к его выполнению. При этом он может сформировать новые работы, как части выполняемой, если ему даны такие полномочия, и привлечь, таким образом, к исполнению работы дополнительных участников. При необходимости уточнения задания или оперативного согласования можно воспользоваться функцией системы аналогичной электронной почте, передав соответствующий запрос.

При переходе работы от одного участника к другому к ней могут добавляться новые данные. Система автоматизации делового процесса обеспечивает передачу такой информации в режиме реального времени, поддерживая оперативную обратную связь между инициатором работы и ее исполнителем. При этом устраняется возможность потери необходимых данных, значительно сокращается время их передачи по сравнению с бумажной технологией организации работ.

Новые решения вновь оформляются в  виде работ, запускающих новую итерацию работы системы.

 

3. Защита информации  в электронных платежных системах.

Защита  информации в платежных  системах.

      Успешное  развитие современных информационных служб центров авторизации платежных  карт (ЦАПК) требует тщательно разработанной  программы развития и интеграции всех составляющих их инженерной инфраструктуры: информационных технологий, телекоммуникаций и защиты информации. Для организации защиты информации информационных технологий ЦАПК необходимо использовать комплексный подход, а именно: создание защищенной среды для обработки информации, которая объединит разнообразные (правовые, организационные, программно-технические) средства для отражения любой угрозы.

Организация защиты информации Центров  авторизации карт платежных систем (visa, europay).

      Цель  информационной защиты - обеспечение  надежной, корректной и безопасной работы всех компонентов ЦАПК, что подразумевает создание надежных и удобных механизмов регламента деятельности служб, пользователей и обслуживающего персонала, соблюдение дисциплины доступа к ресурсам информационной системы.

      Для реализации защиты информации предлагается разработать концепцию комплексной системы защиты информации, поэтапно выполнять комплекс мер по её внедрению.

      Развитие  информационных технологий требует  значительных финансовых вложений в  программно-аппаратные средства. Учитывая, что в базах центров авторизации платежных карт содержится информация, полная или частичная потеря которой неизбежно приведет к значительным, а в ряде случаев невосполнимым финансовым потерям, которые могут быть выше, чем средства, потраченные на создание информационных служб, необходимо обеспечить надежную защиту всех компонентов центров авторизации.

      Для создания системы защиты информации предлагается использовать комплексный  подход, а именно: создание "Единого  пространства информационной безопасности", как комплекса взаимосвязанных и постоянно взаимодействующих технических, организационных и нормативно-правовых подсистем. Необходимым условием функционирования таких подсистем есть создание политики безопасности. Согласно международным рекомендациям за безопасность работы всех служб центров авторизации должны отвечать сотрудники службы безопасности.

      Специалисты по информационной безопасности обязаны:

• обеспечить точный и полный контроль над предоставлением  привилегий доступа на базе инструкций для каждого информационного ресурса и в соответствии с применяемой внутренней политикой безопасности, директивами и стандартами;

• быть информированными обо всех изменениях, связанных со статусом сотрудников, увольнением, переходом, или изменением должностных обязанностей;

• постоянно  проводить мониторинг действий пользователей  с привилегиями высокого уровня

• удалять  привилегии немедленно, как только они больше не требуются;

• ежедневно  проводить мониторинг попыток доступа, для выявления критичных для  безопасности событий, типа попыток несанкционированного доступа, которые могут угрожать целостности, конфиденциальности, или работоспособности системы;

• докладывать  обо всех попытках несанкционированного доступа к общим информационным ресурсам для проведения расследования и принятия мер;

• организовать доступ так, чтобы каждый пользователь системы был определен уникальной идентификационной последовательностью (USERID), созданной только для этого  пользователя;

• требовать  для каждого процесса доступа  к критичным информационным ресурсам аутентификацию пользователя (идентичность пользователя определяется, используя введенный пароль, биометрический процесс или комбинационный процесс);

• собирать, защищать, проводить аудит всей доступной  журнально-протокольной информации.

      Таким образом, на всех стадиях внедрения  информационных технологий комплексно решается вопрос защиты информации, предоставляется  подход для юридического решения  споров между пользователями информационных технологий, разделение обязанностей между подразделениями, четко определяются границы ответственности между должностными лицами.

      Для создания защиты информации информационных технологий ЦАПК необходимо использовать комплексный подход, а именно: создание защищенной среды для обработки  информации, которая объединит разнообразные (правовые, организационные, программно-технические) средства для отражения любой угрозы.

      Основными особенностями информационных сетей (ИС) ЦАПК является неоднородность их компонентов, включая используемые операционные системы и прикладные программы. Программно-аппаратные средства для систем авторизации, клиринговых систем и систем мониторинга служат сервера баз данных (ORACLE и т.п.). Многочисленные приложения на рабочих станциях в основном работают в операционной среде WINDOWS, но могут использоваться другие операционные системы (OS/2 и т.д.), терминалы, для файловых серверов могут применяться ОС WINDOWS-NT/2000, LINUX. В качестве средств маршрутизации и коммутации чаще всего используются продукты CISCO, однако могут быть использованы продукты других фирм.

      Взаимодействие  служб ЦАПК осуществляется на базе TCP/IP протокола, используя сети компаний провайдеров телекоммуникационных услуг или выделенные каналы связи. Подключение банкоматов осуществляется на базе протоколов TCP/IP и Х.25, используя сети компаний провайдеров телекоммуникационных услуг или выделенные каналы связи. Взаимодействие с сетью POS-терминалов реализуется через коммутируемые каналы связи. Территориальная распределенность компонентов информационной сети, включая информационные ресурсы, необходимость взаимодействия с глобальными платежными системами VISA, EUROPAY и т.д. затрудняет организацию централизованного управления и мониторинга всех средств сети передачи данных.

Основные  виды угроз безопасности.

      Основными видами угроз безопасности АС и информации (угроз интересам субъектов информационных отношений) являются:

• сбои и отказы оборудования (технических  средств) АС;

• последствия  ошибок проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);

• ошибки эксплуатации (пользователей, операторов и другого персонала);

• преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников и т.п.);

стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.).

Классификация угроз безопасности.

      Все множество потенциальных угроз  по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные).

      Естественные  угрозы - это угрозы, вызванные воздействиями  на АС и ее элементы объективных  физических процессов или стихийных  природных явлений, независящих  от человека.

      Искусственные угрозы - это угрозы АС, вызванные  деятельностью человека. Среди них, исходя из мотивации действий, можно  выделить:

• непреднамеренные (неумышленные, случайные) угрозы, вызванные  ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

• преднамеренные (умышленные) угрозы, связанные с  корыстными устремлениями людей (злоумышленников).