5.6 Описание бизнес-процесса.

Оценка защищенности информационных ресурсов и управление защитой информации

Рис. 5.6.1 Бизнес-процесс приема на работу.

Заключение

Информация всегда играла в жизни человека очень большую роль, но с середины 20-го века в результате социального прогресса и прорыва в развитии науки и техники роль информации неизмеримо возросла. Теперь, с усовершенствованием информационных технологий, можно не выходя из дома, а, только имея подключение к сети Интернет, совершать покупки, биржевые сделки и управлять персоналом организации.

Использование информационных технологий, сети Интернет и всех видов сетевой организации, большого числа компьютерных программ не только не позволяет оперативно получать информацию и принимать управленческие решения, но и вызывает множество коренных организационных изменений, выражающихся в сокращении бюрократического аппарата, пересмотре традиционных взглядов на роль и механизм эффективной связи корпораций, открытии безграничных возможностей финансовых рынков, инвестировании, интеграции персонала. С Интернетом связаны диффузионизм знаний, их доступность в любой точке планеты, увеличение темпов роста производительности физического и умственного труда. Экономический и управленческий потенциал организации во все большей степени зависит от способности управляющих контролировать информацию, манипулировать ею, защищать ее и нацеливать ресурсы персонала в конструктивное русло.

Электронный бизнес – абсолютно другая форма деловых отношений, оказала серьезное воздействие на внутреннюю организацию и методы деятельности фирмы. Фирмы стали широко применять делегирование отдельных функций и даже частей бизнес-процесса сторонним организациям и лицам, более компетентным в отдельных вопросах, чем они сами. Во многих развитых странах из центрального офиса осуществляется контроль за множеством мелких предприятий, разбросанных по всему миру, тем самым, создавая гибкую производственно-сбытовую сеть, используя возможности глобальной сети – электронную почту, телеконференцию и другие возможности.

Ахиллесова пята информационной безопасности множества организаций – компьютер, с использованием которого злоумышленники, имея доступ в глобальную сеть Интернет, совершают хулиганские, а чаще всего преступные действия, связанные с уничтожением, несанкционированным съемом с целью реализации или другими побуждениями информации и многое другое.

Угрозы, исходящие из различных источников, будучи неподконтрольными со стороны предприятия, могут оказывать дестабилизирующее воздействие на его деятельность. Например, бездействие в сфере защиты информации может привести к нарушению коммерческих интересов организации, вплоть до нанесения ему невосполнимых экономических потерь; снижения деловой активности или способности организации выступать в качестве конкурирующей стороны на товарных рынках; лишение предприятия научно-технического приоритета в соответствующих областях его деятельности; потеря деловой репутации и т.д.

Защита информации – это защищенность информационных систем, информационных ресурсов хозяйствующего субъекта, а также объектов его интеллектуальной собственности от внешних и внутренних угроз, затрудняющих эффективное использование информации и, в некоторых случаях приводящих к экономическому ущербу.

Выживаемость организации прямопропорционально зависит от качества защиты ее конфиденциальной информации. Поэтому руководство организации должно всеми силами противостоять различного рода угрозам, производить анализ риска организации.

Выживаемость организации с экономической точки зрения можно определить как финансовую устойчивость, т.е. состояние счетов организации, гарантирующее ее постоянную платежеспособность. Кризисное финансовое состояние означает вероятность банкротства организации.

Цель анализа риска состоит в выборе такой политики предприятия, которая позволит ему построить и реализовать оптимальный вариант собственной службы безопасности, т.е. обособленные подразделения для осуществления охранно-сыскной деятельности в интересах собственной безопасности.

В государственных структурах эти функции выполняют специальные службы. В области защиты информации, например, Государственная техническая комиссия при Президенте РФ (ГТК), ФАПСИ (Федеральное агентство правительственной связи и информации при Президенте РФ), ФСБ и т.д. В США – Совет по защите важнейших объектов инфраструктур, ФБР.

Организация, чтобы защитить свою конфиденциальную информацию должна иметь либо собственную службу безопасности или пользоваться услугами других предприятий, оказывающих безопасность различных видов деятельности; организация не должна экономить на технических средствах обнаружения и противодействия подслушивания, защиты технических средств обработки информации, коммуникаций и безопасности виртуального пространства. В противном случае организация рискует получить материальный, крупный материальный ущерб, вплоть до состояния банкротства.

«По оценкам экспертов, в странах «семерки» средний ущерб от одного компьютерного преступления (значительную часть их составляют злоупотребления в кредитно-финансовой сфере) достигает $450 тыс., а ежегодные потери в США и Западной Европе – соответственно $100 млрд. и $35 млрд. Несут убытки и российские коммерческие структуры, недооценивающие вопросы компьютерной (информационной) безопасности».

Вышеприведенные факты должны заставить задуматься руководство организаций в отношении всех аспектов противодействия угрозам информационной безопасности. Необходимо выделять необходимые денежные средства на обеспечение защиты телекоммуникаций, инженерных сетей; следить за выполнением своих обязанностей подчиненными (нередко они сами становятся авторами опасных деяний), привлекать в качестве специалистов по информационной защите организации только проверенных лиц; поддерживать заработную плату сотрудникам службы безопасности на достойном уровне (во избежание перехода сотрудников в организации конкурентов). Это далеко не полный список рекомендаций, которые могли бы уменьшить вероятность угроз, но, к сожалению, не упразднить их. На протяжении всей истории одни тратили свою жизнь, силы и интеллект на создание новой техники, а другие – на противоправное их использование. Не стал исключением и компьютер.

Данная курсовая работа при осуществлении практических задач управления может помочь ее автору при составлении специальных инструкций для персонала, имеющих отношение к конфиденциальной информации организации, а также при проведении первичного анализа риска организации, определения различного рода угроз информационной безопасности и способов их минимизации или предотвращения.

Список литературы

Калачанов В.Д., Кобко Л.И., Рыжко А.Л. «Основы применения программного инструментария для создания систем информационного менеджмента» – М., МАИ 2006.

«Гражданский кодекс Российской Федерации». – М., ИнтерГросс. 2006. – 384с.

ФЗ-№24 от 20 февраля 1995 г. «Об информации, информатизации и защите информации».

Белоус Ю., Витновская С., Цуканов И. Ведомости СПб.: 2006 - №62 (1589), 10 04. с. Б8.

Гусев В.С., Демин В.А., Соколицин А.С., Степашин С.В., Федотов А.В., Шульц В.Л. «Экономика и организация безопасности хозяйствующих субъектов», 2-е изд. – СПб.: Питер, 2004. – 288 с.

Мильнер Б. З. «Теория организации: Учебник». – 4-ое издание, перераб. и доп. – М.: ИНФРА-М, 2004. – 648 с.

Смирнов Э. А. «Основы теории организации: Учебное пособие для ВУЗов». – М.: Аудит, ЮНИТИ, 1998. – 375 с.

Форбс. Апрель № 04 (25). – М. с. 90 -107.

Приложение 1

Табл. 1 Интерес руководителей к деловой информации

№ п/п Деловая информация

п/п

Деловая информация

1

2

3

4

5

6

7

8

9

10

11

Надежность деловых партнеров

Источники деловой информации

Цены, ценообразование

Хозяйственные договоры и споры, арбитраж

Банки

Инвестиционные компании

Внешнеэкономическая деятельность

Состояние кредитного рынка

Состояние фондового рынка, рынка ценных бумаг

Предприятия, фирмы (адреса, показатели работы)

Состояние рынка недвижимости

12

13

14

15

16

17

18

19

20

21

22

Коммерческое предложение

Состояние товарного рынка, рынка услуг

Иностранное участие в российской экономике

Законодательство

Выставки и ярмарки

Предпринимательские объединения, ассоциации

Результаты маркетинговых исследований

Причины преобразований, санаций, ликвидации фирм

Рекламные агентства

Аудиторские фирмы

Страховые компании, пенсионные фонды

Приложение 2

Табл. 2 Анализ рисков угроз с использованием коэффициентов

Частота проявления Коэффициент
Более одного раза в день 10
Один раз в день 9
в три дня 8
в неделю 7
в две недели 6
в месяц 5
в четыре месяца 4
в год 3
в три года 2
Менее одного раза в три года 1

Приложение 3

Табл. 3 Виды компьютерных преступлений (по данным американских спецслужб)

№ п/п Виды преступлений
1 Хищение секретной информации из баз данных с целью ее последующей перепродажи либо внесения в информационные файлы изменений, искажающих смысл документов
2 Вымогательство и компьютерный терроризм: под угрозой уничтожения базы данных преступник требует выкуп
3 Распространение порнографии
4 Использование компьютерной связи в целях торговли наркотиками и подпольного игорного бизнеса
5 Мошенничество с частными коммуникационными линиями: несанкционированное подключение к компьютерным линиям связи и использование ими за счет владельца
6 Распространение через Интернет заведомо ложной информации, способной вызвать массовую панику
7 Мошенничество через Интернет: махинации с краденной собственностью, биржевые спекуляции, жульничество на инвестиционном рынке и т.п.
8 Хищения в системе финансовых учреждений
9 Незаконное копирование и сбыт программного обеспечения для ЭВМ
10 Мошенничество с кредитными карточками
11 Кражи комплектующих блоков ПЭВМ
12 Перехват и использование в криминальных целях беспроводных линий связи: радиосвязи, сотовой, спутниковой связи
13 Распространение компьютерных вирусов

Дополнительное задание

Два бизнес-процесса

Логическая и концептуальная модели базы данных

Диаграмма классов

1 Бизнес-процессы

1.1 Бизнес-процесс кредитования:

Оценка защищенности информационных ресурсов и управление защитой информации

1.2 Бизнес-процесс обработка и оформление заказа:

Оценка защищенности информационных ресурсов и управление защитой информации

2 Логическая и концептуальная модели базы данных

2.1 Логическая модель - отражает логические связи между элементами данных вне зависимости от их содержания и среды хранения. (рис 2.1.1)

Логическая модель данных может быть реляционной, иерархической или сетевой. Пользователям выделяются подмножества этой логической модели, называемые внешними моделями (в некоторых источниках их также называют подсхемами), отражающие их представления о предметной области. Внешняя модель соответствует представлениям, которые пользователи получают на основе логической модели, в то время как концептуальные требования отражают представления, которые пользователи первоначально желали иметь и которые легли в основу разработки концептуальной модели. Логическая модель отображается в физическую память, такую, как диск, лента или какой-либо другой носитель информации.

Оценка защищенности информационных ресурсов и управление защитой информации

Рис. 2.1.1 Логическая модель БД по сотрудникам

2.2 Концептуальная модель - представляет объекты и их взаимосвязи без указания способов их физического хранения. (рис. 2.2.1)

Таким образом, концептуальная модель является, по существу, моделью предметной области. При проектировании концептуальной модели все усилия разработчика должны быть направлены в основном на структуризацию данных и выявление взаимосвязей между ними без рассмотрения особенностей реализации и вопросов эффективности обработки. Проектирование концептуальной модели основано на анализе решаемых на этом предприятии задач по обработке данных. Концептуальная модель включает описания объектов и их взаимосвязей, представляющих интерес в рассматриваемой предметной области и выявляемых в результате анализа данных. Здесь имеются в виду данные, используемые как в уже разработанных прикладных программах, так и в тех, которые только будут реализованы.

Концептуальная модель транслируется затем в модель данных, совместимую с выбранной СУБД. Возможно, что отраженные в концептуальной модели взаимосвязи между объектами окажутся впоследствии нереализуемыми средствами выбранной СУБД. Это потребует изменения концептуальной модели.

Оценка защищенности информационных ресурсов и управление защитой информации

Рис. 2.2.1 Концептуальная модель

3 Диаграмма классов

Статическая структурная диаграмма, описывающая структуру системы, она демонстрирует классы системы, их атрибуты, методы и зависимости между классами.

Оценка защищенности информационных ресурсов и управление защитой информации

Рис. 3.1 Диаграмма классов.

Примечания и зам


Информация о работе «Оценка защищенности информационных ресурсов и управление защитой информации»
Раздел: Информатика, программирование
Количество знаков с пробелами: 76940
Количество таблиц: 6
Количество изображений: 10

Похожие работы

Скачать
214673
1
8

... Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. М.: Госстандарт СССР. ГОСТ 31078-2002. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. СТБ ИСО/МЭК 9126-2003. Информационные технологии. Оценка программной продукции. Характеристики качества и руководства по их применению. СТБ ИСО/МЭК ТО ...

Скачать
62272
1
7

... для блокировки загрузки с FDD; Интерфейс для блокировки загрузки с CD-ROM; Программное обеспечение формирования списков контролируемых программ; Документация. 2. Система защиты информации "Secret Net 4.0" Рис. 2.1. Назначение: Программно-аппаратный комплекс для обеспечения информационной безопасности в локальной вычислительной сети, рабочие ...

Скачать
43162
0
0

... защищенности КИС. Формирование целевой модели ТСО. По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность, методы лучшей практики, типы СЗИ и СКЗИ, квалификация сотрудников компании и т. п.). Кроме того, рассматриваются капитальные расходы и трудозатраты, необходимые для ...

Скачать
49469
0
2

... соответствия установленной категории для этих технических средств; ·  монтаж средств активной защиты в случае, когда по результатам специальных или объектовых исследований технических средств не выполняются нормы защиты информации для установленной категории этих технических средств; ·  организация охраны и физической защиты объекта информатизации и отдельных технических средств; ·  разработка ...

0 комментариев


Наверх