Автор работы: Пользователь скрыл имя, 24 Февраля 2012 в 19:19, контрольная работа
Існує багато причин негативного ставлення людей до нововведень.
Негативні моменти впровадження нових інформаційних систем і технологій вте, що ставлення до них змінюється в залежності від рівня знанькористувача в області прикладних задач інформаційних технологій і відпотенційних можливостей скорочення невиробничих організацій. Дужечасто персонал не утворений, не стимульований, не готовий.
d. узгодження й затвердження регламенту виконання (процесу, плану заходів);
e. звітність про виконання;
f. контроль виконання (процедурний контроль);
g. аналіз причин відхилень і регулювання (повернення до a, b або c).
Глибина й ступінь деталізації циклів залежить від рівнів управління. Природно, що найбільш повний управлінський цикл реалізується в процесах стратегічного рівня. Ось, наприклад, які варіанти деталізації зустрічаються найчастіше:
1. Збір інформації:
a. Визначення складу збираної інформації;
b. Визначення форм звітності.
2. Прийняття рішення:
a. Аналіз альтернатив;
b. Підготовка варіантів рішення;
c. Ухвалення рішення;
d. Прийняття критеріїв оцінки.
3. Реалізація:
a. Планування;
b. Організація;
c. Мотивація;
d. Координація.
4. Облік і Контроль виконання:
a. Облік результатів;
b. Порівняння за прийнятими критеріями.
5. Аналіз:
a. Аналіз додаткової інформації;
b. Діагностика можливих причин відхилень;
6. Регулювання:
a. Регулювання на рівні реалізації (повернення до п.3);
b. Регулювання на рівні прийняття рішення (повернення до п. 1, 2).
Відповідно й вимоги до інформації й старанності підготовки рішень тут пред'являються особливі.
Прикладом циклу організаційного управління може слугувати класичний цикл Шухардта –Дьомінга – PDCA (рис. 7)
Рисунок 7 - Цикл PDCA
У цьому циклі, важливо те, що дії треба оцінювати стосовно того, що сплановано, а не стосовно того, що зроблено або вийшло. Планується й контролюється результат і процедура процесу, а рішення приймаються на основі його детального вивчення й аналізу. Отже тут важливою є точна процедурна інформація.
Що ж стосується "технологічних" циклів то тут важко ввести будь-яку типізацію. Тут можна знову ж таки звернутись до стандартів менеджменту якості або стандартів CALS (Continuous Acquisition and LifeCycle Support – "безперервний збір даних і підтримка життєвого циклу"), які "стандартизують" поняття "життєвого циклу продукції" (life cycle). Слід зазначити, що концепція CALS, що виникла в США існує менше десяти років, а її європейський аналог - PLM (Product Lifecycle Management – "управління життєвим циклом виробів") і того менше. Їх місія - забезпечити потреби індустріального виробництва, і насамперед науковомісткого й високотехнологічного машинобудування. Особливістю технологій CALS/PLM, що інтенсивно розвиваються в останні роки, є синтез предметних дисциплін й ІТ. Головні цілі цього синтезу такі: створення електронного опису виробу, що містить необхідні дані по його виробництву й супроводу на всіх наступних етапах життєвого циклу (експлуатація й обслуговування, ремонт, модернізація, логістичний супровід, утилізація); створення наскрізної технології обробки інформації учасниками життєвого циклу виробу на всіх його етапах, що забезпечує максимум повторного використання електронних даних при передачі даних між компонентами інформаційних систем (величезну роль у цьому відіграють системи CALS-стандартів); створення технології інформаційної взаємодії учасників життєвого циклу виробів, як основи для проведення спільних робіт.
На рисунку 8 представлено життєвий цикл продукції відповідно до стандарту ISO 9000:2000.
Рис. 8 Життєвий цикл продукції відповідно до стандарту ISO 9000:2000
Наведений на рис. 8 перелік стосується верхнього рівня управління і прийнятний для будь-якої продукції, інформаційних продуктів і послуг, у тому числі. На більш низьких рівнях, як точний склад, так і порядок реалізації підпроцесів "життєвого циклу" обумовлений галузевою специфікою. Зокрема, можна звернутись до розглянутої раніше моделі життєвого циклу інформаційного ресурсу (рис. 6).
Нині провідними гравцями на інформаційному ринку інтенсивно опрацьовується концепція Управління життєвим циклом інформації (Information Lifecycle Management, ILM).
Концепція ILM заснована на оцінці рівня значимості для підприємства тієї чи іншої інформації на кожному етапі її існування. Значимість визначається правилами й процедурами компанії: співробітники, державні регулювальні органи, замовники й партнери, які впливають на бізнес-правила, будучи авторами корпоративної інформації різних типів. Інформаційні системи управляють інформацією на основі цих правил, супроводжуючи її на всьому її життєвому шляху.
Однак ILM - це не набір технологій, а інтегрований комплекс організаційних й апаратно-програмних рішень.
За твердженням аналітиків, реалізація концепції Information Lifecycle Management дозволить інтегрувати процеси обробки інформації протягом усього її життєвого циклу, істотно зменшити вартість володіння, збільшивши продуктивність і гарантувавши необхідний рівень обслуговування.
Концепція ILM є результатом еволюції технологій, і невипадково, різні вендори мають різні точки зору на ILM. Більш докладно з концепцією та найбільш відомими ILM-рішеннями ми познайомимось пізніше, оскільки концепція ILM також є предметом окремої теми у рамках цього курсу.
Отже, повноцінна технологія управління життєвим циклом інформації повинна:
мати у своєму розпорядженні дані про логічну організацію інформаційних об'єктів;
мати у своєму розпорядженні дані про архітектуру прикладних даних корпоративної бази;
мати у своєму розпорядженні дані про організаційну структуру (джерела даних), інфраструктуру підприємства і його телекомунікації (для цього існує ще один різновид ILM - Infrastructure Lifecycle Management);
мати у своєму розпорядженні дані про мобільність і шляхи міграції інформаційних об'єктів при виконанні бізнес-процесів;
забезпечувати механізми захисту даних, заснованих на логічній організації даних про вироби й фізичній ізоляції відповідних сегментів даних;
ураховувати обмеження ІТ-інструментів на організацію зберігання даних.
3
Современные информационные технологии.
Информационная безопасность.
К.т.н. НАУ Чунарьова А.В., Чунарьов А.В.
УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
СУЧАСНИХ ІКСМ НА БАЗІ МІЖНАРОДНИХ
СТАНДАРТІВ ISO
Вступ
Сучасний етап розвитку інформаційної безпеки потребує комплексного підходу до розробки та впровадження методів і засобів захисту ресурсів інформаційно-комунікаційних систем та мереж (ІКСМ), як на технічному, так і на організаційному рівні, тобто реалізації комплексного процесу. Комплексний процес організації безпеки в першу чергу повинен включати заходи управління інформаційною безпекою. Зазначений процес забезпечує механізми та методи, які дозволяють реалізувати комплексну політику інформаційної безпеки організації ІКСМ. Інформаційна безпека – реалізація процесу захисту інформації від широкого діапазону загроз, що здійснюється з метою забезпечення ефективності та надійності функціонування ІКСМ.
Постановка задачі
Міжнародні стандарти серії ISO (ISO/IEC 17799, ISO 27001) є основоположними в сфері управління інформаційною безпекою. Вони представляють собою модель системи менеджменту, яка визначає загальну організацію процесів, класифікацію даних, системи доступу, напрямки планування та удосконалення системи безпеки, відповідальність співробітників і оцінку ризику.
Метою даною статті є аналіз сучасних заходів управління інформаційної безпеки ІКСМ на базі міжнародних стандартів ISO. Виділення переваг застосування системи управління інформаційної безпеки на базі міжнародних стандартів серії ISO.
Основна ідея стандарту – забезпечення надійного захисту інформаційних ресурсів ІКСМ та забезпечити організацію ефективного доступу до даних й процесу їх обробки згідно визначених послуг. Створити систему менеджменту інформаційної безпеки, мета якої скорочення матеріальних втрат, зв'язаних з порушенням безперервності функціонування.
Заходи управління інформаційної безпеки
Сучасні ІКСМ уразливі до ряду мережних загроз, які можуть бути результатом реалізації несанкціонованого доступу, а також розкриття, викривлення або модифікації інформації. Щоб захистити сучасні інформаційні ресурси та послуги від загроз, необхідно застосовувати відповідні заходи управління безпекою.
Під управлінням інформаційної безпеки будемо розуміти циклічний процес, що включає: постановку задачі захисту інформації; збір та аналіз даних про стан інформаційної безпеки в ІКСМ; оцінку інформаційних ризиків; планування заходів з обробки ризиків; реалізацію і впровадження відповідних механізмів контролю; розподіл ролей і відповідальності; політику безпеки; навчання та мотивацію персоналу, оперативну роботу по здійсненню захисних заходів; моніторинг (аудит) функціонування механізмів контролю, оцінку їх ефективності та надійності. Процес впровадження системи управління інформаційної безпеки включає оцінку поточного стану інформаційного забезпечення захисту інформації ІКСМ, формування комплексу заходів щодо забезпечення оптимального рівня на основі оцінки ризиків.
Після ідентифікації вимог безпеки, варто вибирати й застосовувати заходи управління, таким чином, щоб забезпечувати впевненість у зменшені ризиків. Засоби управління можуть бути обрані із стандартів або з безлічі інших документів та заходів управління визначених для даного класу систем, або можуть бути розроблені, щоб задовольнити потреби компанії відповідно до обраної політики безпеки.
Згідно з міжнародним стандартом ISO 27001, система управління інформаційною безпекою – це «частина загальної системи управління організації, яка заснована на оцінці ризиків, яка створює, реалізує, експлуатує, здійснює моніторинг, перегляд, супровід і вдосконалення загальної інформаційної безпеки».
У відповідності з вимогами ISO/IEC 27001 система управління інформаційної безпеки повинна містити такі етапи [1,2] :
1 етап - планування - фаза створення, створення переліку інформації, оцінки ризиків і вибору заходів та механізмів захисту;
2 етап - дія - етап реалізації та впровадження відповідних заходів;
3 етап - перевірка - фаза оцінки ефективності та надійності функціонування створеної системи. Проведення внутрішнього аудиту системи, виявлення недоліків.
4 етап - удосконалення - виконання коригувальних дій по покращенню функціонуванню системи;
При створенні системи управління інформаційної безпеки потрібно керуватися відповідними заходами. Заходи управління варто вибирати, ґрунтуючись на відношенні вартості реалізації послуг та впровадження систем безпеки й зниження ризиків і можливих втрат, якщо відбудеться порушення безпеки ІКСМ.
Деякі із заходів управління в стандартах та нормативних документах, можуть розглядатися, як керівні принципи для управління інформаційною безпекою й можуть бути застосовні для організацій політики безпеки. Розглянемо заходи управління інформаційної безпеки із законодавчої точки зору та узагальнені для сучасних ІКСМ [3].
Якщо розглядати заходи управління із законодавчої точки зору, то вони включають:
1. – захист даних і таємність особистої інформації;
2. – охорону інформаційних ресурсів організації;
3. – права на інтелектуальну власність.
Заходи управління сучасних ІКСМ включають :
документи, що стосується політики інформаційної безпеки ;
розподіл обов'язків, пов'язаних з інформаційною безпекою;
структура підрозділів й навчання, пов'язані з інформаційною безпекою ;
повідомлення про інциденти, пов'язаних з безпекою ;
управління безперервністю.
Слід зазначити, що: хоча всі заходи управління в стандартах та нормативних документах є важливими, але застосування якого-небудь засобу управління повинне відповідати ризикам та можливим загрозам даної ІКСМ.
В загальному випадку система управління безпекою повинна включати (рис.1) :
аутентифікацію (користувачів, даних, додатків, послуг, тощо);
авторизацію (авторизований перелік цін, ключових торговельних документів, партнерів, користувачів, керівництва);
аудит інформаційних ресурсів та послуг.
Рис.1 Базова система управління інформаційної безпеки
Переваги застосування системи управління інформаційної безпеки на базі міжнародних стандартів серії ISO:
Забезпечення безперервності.
Від якості застосовуваних новітніх технологій захисту інформації залежить не тільки збереження в конфіденційних інформації, а й взагалі існування конкретних інформаційних і телекомунікаційних сервісів, послуг та програм.
Мінімізація ризиків.
Впровадження системи управління інформаційної безпеки дозволить зменшити інформаційні ризики, розкрадання і неправильне використання обладнання, пошкодження та порушення роботи інформаційної системи організації за рахунок розмежування фізичного доступу та впровадження механізму моніторингу (аудиту) стану інформаційної безпеки. Оцінка та мінімізація ризиків дозволить ідентифікувати загрози інформаційним ресурсам та послугам, оцінити їх уразливість й імовірність виникнення загроз, а також можливий руйнівний вплив при реалізації несанкціонованих доступу.
Зниження витрат на інформаційну безпеку.
Застосування передових технологій зі створення, моніторингу та поліпшення інформаційної безпеки дозволяє знизити витратну частину бюджету, що зачіпає забезпечення інформаційної безпеки.
Забезпечення цілісності, конфіденційності та доступності критичних інформаційних ресурсів ІКСМ.
Забезпечення комплексного та централізованого контролю рівня захисту інформації.
На основі проведеного аналізу сучасних заходів управління інформаційної безпеки ІКСМ на базі міжнародних стандартів ISO виділено, що управління безпекою ІКСМ є важливим аспектом забезпечення безпеки властивостей інформаційних ресурсів та послуг в мережах передачі даних. Для досягнення й підтримки безпеки в інформаційно-комунікаційних системах та мережах, потрібен визначений діапазон засобів та заходів управління. В роботі виділено ряд переваг застосування системи управління інформаційної безпеки на базі міжнародних стандартів серії ISO в сучасних ІКСМ
Информация о работе Людський фактор в управлінні інформаційними ресурсами