|
Реферат: Информационная безопасность в бизнесе (Менеджмент)
Введение
Руководители компаний должны осознать важность информационной
безопасности, научиться прогнозировать тенденции в этой области и управлять
ими.
Сегодняшний бизнес не может существовать без информационных
технологий. Известно, что около 70% мирового совокупного национального
продукта зависят тем или иным образом от информации, хранящейся в
информационных системах. Повсеместное внедрение компьютеров создало не
только известные удобства, но и проблемы, наиболее серьезной из которых
является проблема информационной безопасности.
Наряду с элементами управления для компьютеров и компьютерных сетей
стандарт уделяет большое внимание вопросам разработки политики
безопасности, работе с персоналом (прием на работу, обучение, увольнение с
работы), обеспечению непрерывности производственного процесса, юридическим
требованиям.
Несомненно, данная тема курсовой работы очень актуальна в современных
условиях.
Объект курсовой работы: информационная безопасность профессиональной
деятельности организации.
Предмет исследования: обеспечение информационной безопасности.
В курсовой работе планируется создать проект управленческого решения
по организации информационной безопасности на базе реально существующей
организации.
Глава 1. Информационная безопасность профессиональной деятельности
Обеспечение информационной безопасности является сравнительно новой
областью профессиональной деятельности специалистов. Основными целями такой
деятельности являются:
- обеспечение защищенности от внешних и внутренних угроз в сфере
формирования, распространения и использования информационных
ресурсов;
- предотвращение нарушений прав граждан и организаций на сохранение
конфиденциальности и секретности информации;
- обеспечение условий, препятствующих преднамеренному искажению или
сокрытию информации при отсутствии для этого законных оснований.
Заказчиками специалистов в данной области являются:
- федеральные органы государственной власти и управления РФ;
- органы государственной власти субъектов РФ;
- государственные учреждения, организации и предприятия;
- оборонная промышленность;
- органы местного самоуправления;
- учреждения, организации и предприятия негосударственной формы
собственности.
Появление в свободной, хотя и нелегальной продаже базы данных клиентов
компании сотовой связи МТС вновь и вновь вынуждает обращаться к проблеме
компьютерной безопасности. Похоже, эта тема неисчерпаема. Ее актуальность
тем больше, чем выше уровень компьютеризации коммерческих фирм и
некоммерческих организаций. Высокие технологии, играя революционную роль в
развитии бизнеса и практически всех других сторон современного общества,
делают их пользователей весьма уязвимыми с точки зрения информационной, а в
конечном счете экономической безопасности.
Это проблема не только России, но большинства стран мира, в первую
очередь западных, хотя там и действуют законы, ограничивающие доступ к
персональной информации и предъявляющие жесткие требования к ее хранению.
На рынках предлагают различные системы защиты компьютерных сетей. Но как
защититься от собственной “пятой колонны” - недобросовестных, нелояльных,
или просто безалаберных сотрудников, имеющих доступ к закрытой информации?
Скандальная утечка клиентской базы данных МТС не могла, видимо, произойти
без сговора, либо преступной халатности служащих компании.
Такое впечатление, что многие, если не большинство предпринимателей
просто не осознают всей серьезности проблемы. Даже в странах развитой
рыночной экономики, согласно некоторым исследованиям, 80% компаний не имеют
продуманной, спланированной системы защиты хранилищ, операционных баз
данных. Что же говорить о нас, привыкших полагаться на знаменитое “авось”.
Поэтому не бесполезно обратиться к теме опасностей, которыми грозят
утечки конфиденциальной информации, поговорить о мерах по снижению таких
рисков. В этом нам поможет публикация в “Legal Times” (October 21, 2002) -
издании, посвященном правовым вопросам (Марк М. Мартин, Эван Вагнер,
“Уязвимость и защита информации”). Авторы перечисляют наиболее типичные
виды и способы информационных угроз. Какие именно?
- Рассекречивание и кража коммерческой тайны. Тут все более или менее
понятно. Классический, уходящий в древнюю историю, экономический шпионаж.
Если раньше секреты хранились в потайных местах, в массивных сейфах, под
надежной физической и (позднее) электронной защитой, то сегодня многие
служащие имеют доступ к офисным базам данных, нередко содержащим весьма
чувствительную информацию, например, те же данные о клиентах.
- Распространение компрометирующих материалов. Здесь авторы имеют в
виду умышленное или случайное использование сотрудниками в электронной
переписке таких сведений, которые бросают тень на репутацию фирмы. К
примеру, название компании отражено в домене корреспондента, допускающего в
своих письмах диффамацию, оскорбления, короче все, что может
скомпрометировать организацию.
- Посягательство на интеллектуальную собственность. Важно не забывать,
что любой интеллектуальный продукт, производимый в организации, принадлежит
организации и не может использоваться сотрудниками (в том числе
генераторами и авторами интеллектуальных ценностей) иначе как в интересах
организации. Между тем, в России по этому поводу часто возникают конфликты
между организациями и служащими, претендующими на созданный ими
интеллектуальный продукт и использующими его в личных интересах, в ущерб
организации. Это нередко происходит из-за расплывчатой правовой ситуации на
предприятии, когда в трудовом контракте нет четко прописанных норм и
правил, очерчивающих права и обязанности служащих.
- Распространение (часто неумышленное) внутренней информации, не
секретной, но могущей быть полезной для конкурентов. Например, о новых
вакансиях в связи с расширением бизнеса, о командировках и переговорах.
- Посещения сайтов конкурентов. Сейчас все больше компаний используют
на своих открытых сайтах программы (в частности, предназначенные для CRM),
которые позволяют распознавать посетителей и детально отслеживать их
маршруты, фиксировать время, длительность просмотра ими страниц сайта.
Понятно, что если ваш заход на сайт конкурента в подробностях известен его
оператору, то последнему не трудно сделать вывод, что именно вас
интересует. Это не призыв отказаться от важнейшего канала конкурентной
информации. Сайты конкурентов были и остаются ценным источником для анализа
и прогноза. Но, посещая сайты, надо помнить, что вы оставляете следы и за
вами тоже наблюдают.
- Злоупотребление офисными коммуникациями в личных целях
(прослушивание, просмотр музыкального и прочего контента, не имеющего
отношения к работе, загрузка офисного компьютера) не несет прямой угрозы
для информационной безопасности, но создает дополнительные нагрузки на
корпоративную сеть, снижает эффективность, мешает работе коллег.
- И, наконец, внешние угрозы - несанкционированные вторжения и т.п.
Это тема отдельного серьезного разговора.
Как защититься от внутренних угроз? 100% гарантии от ущерба, который
могут нанести собственные работники, просто не существует. Это человеческий
фактор, который не поддается полному и безусловному контролю. Вместе с тем,
упомянутые выше авторы дают полезный совет - разрабатывать и внедрять
внутри компании четко сформулированную коммуникационную (или
информационную) политику. Такая политика должна провести четкую границу
между дозволенным и недозволенным в использовании офисных коммуникаций.
Переход границы ведет к наказанию. Должны быть система мониторинга, кто и
как использует компьютерные сети. Правила, принятые в компании, должны
соответствовать как национальному, так и международно-признанным нормам
защиты государственных и коммерческих тайн, персональной, приватной
информации.
Глава 2. Обеспечение информационной безопасности
профессиональной деятельности в ООО «Ласпи»
2.1. Краткая характеристика ООО «Ласпи»
ООО «Ласпи» было создано в 1995 году как представительство чешской
компании в России. Фирма занимается поставкой чешского оборудования и
расходных материалов для производства различных бетонных изделий (начиная с
тротуарной плитки и заканчивая заборами, вазонами и т.п.). Оборудование
отличается высоким качеством и приемлемой стоимостью. Заказчиками,
обращающимися в Самарский офис, являются организации из различных городов
России и СНГ (Казань, Уфа, Ижевск, Москва, Нижний Новгород и т.д.).
Естественно, такая широкомасштабная деятельность требует особого отношения
к информационной безопасности внутри фирмы.
На сегодняшний день информационная безопасность оставляет желать
лучшего. Различная документация (техническая, экономическая) находится в
открытом доступе, что позволяет практически любому сотруднику фирмы
(начиная с учредителя и заканчивая водителем) беспрепятственно с ней
ознакомиться.
Особо важная документация хранится в сейфе. Ключи от сейфа есть только
у директора и у его секретаря. Но здесь существенную роль играет так
называемый человеческий фактор. Нередко ключи забываются в кабинете на
столе и сейф может быть вскрыт даже уборщицей.
Экономическая документация (отчеты, накладные, счета, счета-фактуры и
т.п.) разложены по папкам и полкам в шкафу, который не запирается.
Сотрудники не подписывают при устройстве на работу никаких соглашений
о неразглашении сведений, которые относятся к коммерческой тайне, что не
запрещает им распространять подобную информацию.
Набор сотрудников производится посредством собеседования, состоящего
из двух этапов: 1. общение с непосредственным начальником (на котором
выявляются умения и способности потенциального работника) 2. общение с
учредителем (носит более личностный характер и выводом подобного диалога
может быть либо «сработаемся», либо «не сработаемся»).
Все это требует более пристального внимания со стороны руководства и
грамотной программы по обеспечению информационной безопасности фирмы,
потому что сегодня у ООО «Ласпи» появилось достаточно много конкурентов,
которые вряд ли упустят возможность воспользоваться, например, клиентской
базой или базой поставщиков фирмы.
2.2. Проект управленческого решения по обеспечению информационной
безопасности профессиональной деятельности ООО «Ласпи».
Важно место в системе организационных, административных, правовых и
других мер, позволяющих качественно решать задачи информационного
обеспечения научно-производственной и коммерческой деятельности, физической
сохранности материальных носителей закрытых сведений, предотвращения их
утечки, сохранения коммерческой тайны занимает разрешительная система
доступа исполнителей к классифицированным документам и сведениям.
С учетом Закона РСФСР "О предприятиях и предпринимательской
деятельности" руководитель предприятия (фирмы) вне зависимости от форм
собственности может устанавливать специальные правила доступа к сведениям,
оставляющим коммерческую тайну, и ее носителям, тем самым обеспечивая их
сохранность.
В системе мер безопасности существенное значение имеет оптимальное
распределение производственных, коммерческих и финансово-кредитных
сведений, оставляющих тайну предприятия, между конкретными исполнителями
соответствующих работ и документов. При распределении информации, с одной
стороны, необходимо обеспечить предоставление конкретному сотруднику для
качественного и своевременного выполнения порученных ему работ полного
объема данных, а с другой стороны, исключить ознакомление исполнителя с
излишними, не нужными ему для работы классифицированными сведениями.
В целях обеспечения правомерного и обоснованного доступа исполнителя к
сведениям, составляющим коммерческую тайну фирмы, рекомендуется
разрабатывать и внедрять на предприятиях соответствующую разрешительную
систему.
Под доступом понимается получение письменного разрешения руководителя
фирмы (или, с его санкции, других руководящих лиц) на выдачу тому или иному
сотруднику конкретных (или в полном объеме) закрытых сведений с учетом его
служебных обязанностей (должностных полномочий).
Оформление доступа к КТ может производиться в соответствии с
утвержденным директором Положением о разрешительной системе доступа, где
юридически закрепляются полномочия должностных лиц предприятия по
распределению информации и пользовании ею. Руководитель организации может
разрешить пользование любой охраняемой информацией любому работнику данного
предприятия или лицу, прибывшему на объект из другой организации для
решения каких-либо вопросов, если в отношении этих сведений не установлены
ограничения на ознакомление со стороны производственно-коммерческих
партнеров по совместному производству и т.п. Так, в ООО «Ласпи»
рекомендуется ограничить доступ к информации, являющейся коммерческой
тайной (договора с поставщиками и клиентами, итоговые отчеты о сделках),
следующими сотрудниками:
1. учредитель фирмы.
2. директор фирмы.
3. секретарь директора.
Санкцию на доступ к информации другим сотрудникам могут давать только
учредитель и директор фирмы.
Доступ к информации о текущих сделках с клиентами должны иметь все
перечисленные выше сотрудники и менеджеры, которые ведут эти сделки.
Исходная информация о закупочных ценах на оборудование должна быть так
же ограничена. Доступ к ней имеют только учредитель, директор фирмы,
которые остальным сотрудникам предоставляют только уже проработанные цены
(с различными «накрутками»), а так же секретарь, который ведет весь
документооборот в организации.
Эффективная работа разрешительной системы возможна только при
соблюдении определенных правил:
1. Разрешительная система в качестве обязательного для выполнения правила
включает в себя дифференцированный подход к разрешению доступа,
учитывающий важность классифицированных сведений, в отношении которых
решается вопрос о доступе.
2. Необходимо документальное отражение выданного разрешения на право
пользования теми или иными защищаемыми сведениями. Это означает, что
руководитель, давший разрешения на право пользования, должен его в
обязательном порядке зафиксировать в письменном виде на
соответствующем документе или в действующей на предприятии учетной
форме. Никакие устные указания и просьбы о доступе кого бы то ни было
(за исключением руководителя предприятия) не имеют юридической силы.
Это требование относится и к руководителям всех уровней, работающих с
классифицированной информацией и ее носителями. Таким образом, только
письменное разрешение руководителя (в рамках полномочий) является
разрешением для выдачи тому или иному лицу охраняемых сведений.
3. Следует строго соблюдать принцип контроля. Каждое разрешение должно
иметь дату его оформления и выдачи.
Широкое распространение имеет такой традиционный вид разрешения как
резолюция руководителя на самом классифицированном документе. Такое
разрешение должно содержать перечень фамилий сотрудников, обязанных
ознакомиться с документами или их исполнить, срок исполнения, другие
указания, подпись руководителя и дату. Руководитель может при необходимости
предусмотреть ограничения в доступе конкретных сотрудников к определенным
сведениям.
Резолюция, как вид разрешения, применяется главным образом для
оперативного доведения до заинтересованных лиц закрытой информации,
содержащихся в документах и изделиях, поступаемых извне и создаваемых на
предприятии.
Руководитель предприятия может дать разрешение на доступ в
распорядительных документах: приказах, указаниях, распоряжениях по
предприятию. В них должны содержать фамилии, должности лиц, конкретные
классификационные документы и изделия, к которым они могут быть допущены
(ознакомлены).
Другой вид разрешений - по фамильные списки лиц, имеющих право
знакомиться и производить какие-либо действия с классифицированными
документами и изделиями. По фамильные списки утверждаются директором
предприятия или в соответствии с действующей разрешительной системой
руководителями, занимающими, как правило, должности не ниже руководителей
соответствующих подразделений.
По фамильные списки лиц могут использоваться при организации доступа к
классифицированным документам и изделиям, имеющим особо важное значение для
предприятия, при оформлении доступа в режимные помещения, на различного
рода закрытые мероприятия (конференции, совещания, выставки, заседания
научно-технических советов и т.п.). В по фамильных списках могут быть
определены конкретные руководители, которые допускаются руководителем ко
всем закрытым документам и изделиям без соответствующих письменных
разрешений. В них указывается Ф.И.О. исполнителя работ, отдел, занимаемая
должность, категория документов и изделий, к которым он допущен. На
практике применим и вариант должностных списков, в которых указывается:
должность исполнителя, объем документов (категории документов) и типы
изделий, которыми необходимо пользоваться работникам предприятий,
занимающим соответствующую списку должность. Следует отметить, что для
предприятий с небольшим объемом классифицированных документов и изделий
может оказаться достаточным использование таких видов разрешения, как
резолюция руководителя на самом документе, по фамильные списки, должностные
списки.
В организационном плане по фамильные списки должны готовиться
заинтересованными руководителями структурных подразделений. Перечень
сотрудников, вошедших в список, визируется начальником СБ и утверждается
руководителем предприятия, который может делегировать права утверждения
другим лицам из числа дирекции.
Разрешительная система должна отвечать следующим требованиям:
распространяться на все виды классифицированных документов и изделий,
имеющихся на предприятии, независимо от их место нахождения и создания;
определять порядок доступа всех категорий сотрудников, получивших право
работать с КТ, а также специалистов, временно прибывших на предприятие и
имеющих отношение к совместным закрытым заказам;
устанавливать простой и надежный порядок оформления разрешений на доступ к
охраняемым документам и изделиям, позволяющий незамедлительно реагировать
на изменения в области информации на предприятии;
четко разграничивать права руководителей различных должностных уровней в
оформлении доступа соответствующих категорий исполнителей;
исключать возможность бесконтрольной и несанкционированной выдачи
документов и изделий кому бы то ни было;
не разрешать лицам, работающим с классифицированной информацией и
объектами, вносить изменения в четные данные, а также подменять учетные
документы.
При разработке разрешительной системы особое внимание должно быть
уделено выделению главных, особо ценных для предприятия сведений, что
позволит обеспечить к ним строго ограниченный доступ. При наличии
совместных работ с другими предприятиями (организациями), иностранными
фирмами или их отдельными представителями, необходимо предусмотреть порядок
доступа этих категорий к коммерческой тайне предприятия. Целесообразно
определить порядок взаимодействия с представителями обслуживающих
государственных организаций: технадзором, санэпидемстанцией и др.
В Положение о разрешительной системе фирмы необходимо указать, что
передача классифицированных документов и изделий от исполнителя к
исполнителю возможна только в пределах структурного подразделения и с
разрешения его руководителя. Передача, возврат таких документов изделий
производится по установленному на фирме порядку и только в течение рабочего
времени данного дня.
Вся классифицированная документация и изделия, поступившие на
предприятие и разработанные на нем, принимаются и учитываются руководством
среднего звена и секретарем. После регистрации документация передается на
рассмотрение руководителю предприятия под расписку.
В Положение о разрешительной системе фирмы необходимо указать, что
закрытые совещания по служебным вопросам проводятся только с разрешения
руководителя фирмы или его заместителей. Особые требования могут
распространяться на заседания ученых советов, совещания по рассмотрению
результатов НИОКР и финансово-коммерческой деятельности и т.п. На такие
мероприятия рекомендуется в обязательном порядке оформлять разрешительные
списки и включать в них лишь тех сотрудников предприятия, которые имеют
непосредственное отношение к планируемым мероприятиям и участие в которых
вызывается служебной необходимостью.
Как уже отмечалось выше, сотрудники других фирм могут участвовать в
закрытых совещаниях только с персонального разрешения руководства фирмы.
Готовит списки, как правило, ответственный за организацию совещания в
контакте с заинтересованными руководителями структурных подразделений.
Список является основанием для организации контроля за допуском на данное
совещание. Перед началом совещания присутствующие предупреждаются, что
обсуждаемая информация носит закрытый характер и не подлежит
распространению за пределы установленной фирмой сферы обращения, и выдает
инструкции по порядку ведения записей.
Важно подчеркнуть, что установление на фирме определенного порядка
обращения с закрытой информацией и изделиями существенным образом повышает
надежность защиты коммерческой тайны, снижает вероятность разглашения,
утраты носителей этих сведений.
Для обеспечения сохранности документации предлагается закупить
соответствующую мебель, которая позволяет надежно запирать документы. Так
же необходимо каждый день, перед уходом, опечатывать шкафы.
Ключи от сейфа и шкафов должны сдаваться службе безопасности под
роспись. Так же рекомендуется приобрести специальный тубус для хранения
ключей и так же его опечатывать.
Особое внимание следует уделить безопасности компьютерной информации.
В ООО «Ласпи» сегодня создано несколько баз данных: клиенты фирмы (с
указанием не только их рабочих адресов и телефонов, но и домашних, а также
сведений носящих личный характер); база данных, содержащая цены и
характеристику поставляемого оборудования; база данных сотрудников
организации. Так же в компьютере хранятся различные договора, соглашения и
т.п.
В любом случае, попадание этой информации в руки конкурентов крайне
нежелательно. Для предотвращения такого развития событий рекомендуется
создание паролей для доступа в каждую базу данных (а программные средства
позволяют это реализовать). При загрузке компьютера так же рекомендуется
ставить двухуровневую защиту (при загрузке BIOS и при загрузке OS
Windows’2000, которая не позволяет беспарольный доступ к содержимому
винчестера, в отличие от предыдущих версий этой операционной системы).
Естественно, пароли так же должны быть доступны только тем сотрудникам
фирмы, которые непосредственно работают с этими базами данных (секретарь,
руководители, программисты).
В случае возникновения каких-либо проблем, связанных с компьютером и
необходимости обращения в постороннюю фирму, необходимо полностью
контролировать процесс ремонта техники. Так как именно в такой момент,
когда сняты все пароли, когда программист «со стороны» имеет свободный и
беспрепятственный доступ к содержимому жесткого диска, возможно изъятие им
информации и дальнейшее ее использование в различных целях.
Необходимо постоянно обновлять антивирусные программы с целью
препятствования попадания и распространения вирусов в компьютерах.
Рекомендуется приобрести в фирму специальную аппаратуру для
уничтожения бумажной информации.
Особое внимание необходимо уделить вопросам приема новых сотрудников
на работу. Сегодня во многих организациях практикуется ужесточенный подход
к этому процессу, что связано с желанием сохранить информацию внутри фирмы
и не дать ей выйти за ее пределы из-за «человеческого фактора».
Если в большинстве случаев прием на работу осуществляется в два этапа
(они кратко изложены выше), то здесь предлагается четыре этапа.
1. Беседа с начальником отдела кадров. Начальник отдела кадров
знакомится с кандидатом, его резюме, задает вопросы по профессиональной
деятельности, делая предварительные пометки. Этот этап носит
профессиональный характер. Затем начальник отдела кадров анализирует
полученную информацию от кандидатов и передает ее руководителю.
2. Руководить знакомиться с резюме кандидатов и заметками о них
начальника отдела кадров, выбирая наиболее подходящих и приглашает к себе
на собеседование. Собеседование носит личностный характер и предполагает
нестандартные вопросы (например, что человек любит есть, какое у него хобби
и т.п.) Таким образом руководитель получает информацию для принятия
решения о том, насколько для него подходит этот человек, прогнозирует
возможные проблемы, с которыми он может столкнуться при общении с этим
кандидатом.
3. Тестирование. Здесь уже определяется уровень интеллекта сотрудника,
составляется его психологический портрет на основе различных тестов. Но
сначала необходимо определить, каким хотят видеть нового сотрудника его
руководитель и коллеги.
4. Служба безопасности. Здесь предлагаются два этапа: а) проверка
кандидатов в различных инстанциях (привлекался ли к суду, отбывал ли срок в
местах лишения свободы, стоит ли на учете в наркологическом диспансере,
соответствуют ли действительности сведения, которые он предоставил о
предыдущих местах работы); б) проверка на специальной аппаратуре, которую
чаще всего называют «детектором лжи». На втором этапе определяется,
насколько сотрудник лоялен к фирме, какие у него реакции на провокационные
вопросы (например, что он будет делать, если узнает, что кто-то из его
коллег берет документы домой) и т.д.
И только после того, как кандидат прошел все эти четыре стадии, можно
принимать решение – брать ли его на работу или нет.
После того, как вынесено положительное решение, сотруднику
устанавливается испытательный срок (по законодательству РФ он может
варьироваться от 1 месяца до трех, но рекомендуется не меньше 2 месяцев, а
лучше 3). В течение испытательного срока руководство и служба безопасности
должны присматриваться к новому сотруднику, наблюдать за его деятельностью.
Кроме того, сразу же при приеме на работу необходимо наряду с
заключением трудового договора, подписание соглашения о неразглашении
коммерческой тайны. Рекомендуемые пункты этого соглашения:
1. Не распространять информацию о клиентах и поставщиках среди тех,
кто не является сотрудником фирмы.
2. Не распространять какую-либо информацию о сделках (ее
участниках, суммах).
3. Не распространять информацию о заработной плате сотрудников
фирмы.
4. Не выносить за пределы офиса какую-либо документацию без
письменного разрешения руководства.
5. Не распространять информацию о специфике и особенностях работы
фирмы.
6. Не распространять информацию о продукции фирмы.
7. Не пересылать по электронной почте компьютерные файлы без
разрешения на то руководства фирмы.
8. Не копировать какую-либо информацию (в печатном или электронном
виде) без письменного разрешения руководства.
Это не полный перечень того, что может быть включено в соглашение.
Заключение
Сегодня вопрос об организации информационной безопасности волнует
организации любого уровня – начиная с крупных корпораций, и заканчивая
предпринимателями без образования юридического лица. Конкуренция в
современных рыночных отношениях далеко от совершенства и часто ведется не
самыми легальными способами. Процветает промышленный шпионаж. Но нередки и
случае непреднамеренного распространения информации, относящейся к
коммерческой тайне организации. Как правило, здесь играет роль халатность
сотрудников, непонимание ими обстановки, иными словами, «человеческий
фактор».
В курсовой работе представлен проект управленческого решения по организации
информационной безопасности в ООО «Ласпи». Проект затрагивает три основные
сферы организации безопасности: 1. документационная сфера (доступ к
материалам, представленным на бумажных носителях, с разграничением этого
доступа); 2.компьютерная безопасность; 3. безопасность в плане приема на
работу новых сотрудников.
Следует учитывать, что хоть данный проект и разработан под конкретную
организацию, его положения могут использоваться и для организации
безопасности в других фирмах, относящихся к разряду средних.
Реферат на тему: Информационная инфраструктура организации
Содержание
Введение 2
Информационная инфраструктура 3
Информационно-аналитическая система (ИАС) как часть программной поддержки
информационной структуры организации 4
Проект ИАС института 8
Заключение 12
Литература 14
Введение
В настоящее время управление любой деятельностью невозможно без
анализа большого объема информации и ее обработки с помощью компьютеров.
Использование вычислительной техники в различных областях деятельности
человека прошло большой путь, который определялся не только развитием
собственно техники и, но и развитием принципов и методов обработки
информации как с точки зрения областей применения, так и с точки зрения
широты использования.
С созданием в 80-х годах персональных компьютеров произошло не только
увеличение компьютеризированных рабочих мест, а, что более важно, изменение
требований к программному обеспечению, которое использовалось в сфере
управления и других. Программное обеспечение теперь не должно требовать
специально подготовленного оператора и должно быть понятно специалисту в
предметной области, который пользуется компьютером, как инструментом.
Кроме того, информация, с которой мы работаем теперь, распределяется
между различными компьютерами и для доступа к «чужим» данным используются
локальные сети, которые пришли на смену многотерминальным системам.
Еще одним немаловажным, а в последнее время, быть может, наиболее
важным аспектом использования персональных компьютеров стало развитие
глобальных сетей и их использование не в режиме почты, а работа в режиме
реального времени. Благодаря развитию телекоммуникаций и средств связи
становиться возможным доступ к огромным накопленным за столетия знаниям с
использованием современных информационно-поисковых систем. Этот аспект
деятельности чрезвычайно важен в научной и учебной работе, повышении
квалификации. О возможностях и пропускной способности глобальных сетей
говорит тот факт, что во многих компьютерных играх предусмотрена игра по
Internet.
Информационная инфраструктура
Информационная инфраструктура (ИИ) – это организация взаимодействия
информационных потоков (при этом несущественно какой носитель).
Создание ИИ, использующей компьютерные технологии подразумевает
комплекс мероприятий который включает в себя:
- организационные мероприятия (определение структуры документов и
маршрутов их движения, определение ответственности за виды
проводимых мероприятий, определение правил организации
разработки программ и структуры базы данных, способы
финансирования и другие);
- технические мероприятия (приобретение, установка и техническое
обеспечение эксплуатации оборудования, создание кабельной
системы);
- определение системного программного обеспечения которое будет
использоваться в организации и создание LAN как программно-
технического комплекса (установка системного программного
обеспечения, организация маршрутизации между подсетями,
администрирование сети и работа с пользователями сети);
- обучение сотрудников организации;
- использование при работе с документами стандартного
программного обеспечения, организация почтовой службы,
организация доступа к Internet;
- проектирование и разработку программных продуктов и создание
информационно-аналитической системы (ИАС);
- обеспечение безопасности информации;
- работу службы эксплуатации и внедрения;
- наполнение базы данных;
Обеспечением создания ИИ, использующей компьютерные технологии должны
обеспечивать следующие службы (отделы или лаборатории):
1. Техническая служба. Функции – работы по монтажу LAN, установка
оборудования, ремонт и замена оборудования.
2. Служба эксплуатации и внедрения. Функции – работа с Заказчиком
приложений ИАС по постановке задачи, установка приложений ИАС, подготовка
заданий для группы разработки программного обеспечения, обучение персонала.
3. Группа разработки программного обеспечения.
Информационно-аналитическая система (ИАС) как часть программной
поддержки информационной структуры организации
ИАС – это часть программной поддержки информационной инфраструктуры
организации, обеспечивающая специальные задачи управления.
При разработке любых программных продуктов существует проблема
устаревания программы на момент ее создания и как следствие этого
необходимость модификации ее сразу после окончания разработки. Поэтому
важными становятся два требования к разрабатываемым в настоящее время
программным продуктам и ИАС в частности. Первое – система должна быть
открыта, а не являться “вещью в себе”, изменения в которую могут внести
только люди, ее разработавшие. Второе – технологии, которые используются во
время разработки должны быть по крайней мере современными, а еще лучше
учитывать тенденции развития программного обеспечения. Этот пункт
относиться как к механизмам, которые реализуются разработчиками
программного продукта, так и к тем средствам, которые используются во время
разработки.
Во-вторых, популярностью в настоящее время пользуются программные
продукты которые либо несут в себе средства модификации программ, либо
являются настолько простыми и универсальными, что не требуется их
доработка. Разработка сред со своими собственными средствами и языками
модификации данных является несколько усложненным и невыгодным при
использовании поскольку сомнительно, что собственный язык будет настолько
лучше уже существующих, чтобы имело смысл его изучать и использовать в
качестве стандартного на данном предприятии. Кроме того, проблема
“запаздывания” разработки, очевидно, в этом случае увеличивается.
В-третьих, при разработке ИАС должен соблюдаться модульный принцип
организации приложений и данных поскольку в этом случае могут производиться
дополнения и изменения с меньшими затратами и гарантировано отсутствие
изменений в частях, которые не затрагиваются при модификации других частей.
Таким образом:
1. ИАС - это открытая, модульная система, использующая архитектуру
клиент-сервер с реализацией правил бизнес логики как COM объектов сервера
транзакций.
2. Уточнение свойств объектов, которыми оперирует ИАС может быть
произведено пользователем на описательном уровне. Для этого могут быть
написаны компоненты системы, использующие Wizard технологию.
3. Модули, реализующие новые объекты и функции системы должны
создаваться в основном на уровне сервисов и объектов сервера.
4. Рабочие места специалистов (АРМы) должны компоноваться как
контейнеры, содержащие модули (экранные формы и процедуры обработки
отчетов) работы с отдельными объектами ИАС и, возможно, создаваться на
уровне описаний того, что включает в себя данный АРМ.
5. Должны использоваться готовые программные продукты, поддерживающие
работу с базами данных. Например, генератор отчетов Crystal Report или MS
Excel.
6. Существуют компоненты ИАС, которые обладают подобной структурой и
используют одинаковые методы обработки данных для всех предприятий и
учреждений (“структурный инвариант ИАС”), например, бухгалтерия (АРМ
главного бухгалтера), которая вследствие того, что принципы ведения
бухгалтерского учета едины для любых организаций (принцип двойных проводок
и журнально-ордерная система отчетности). Например, организационную
структуру учреждения или персонал организации. Другим типом задач
(“функциональным инвариантом ИАС”) являются компоненты ИАС, которые
выполняют одинаковые функции, но исходя из различных соображений и
используя, быть может, различные исходные данные. К функциональным
инвариантам можно отнести задачу расчета заработной платы. Функциональные
инварианты должны быть реализованы как библиотека COM объектов. Важным в
данном случае является то, что интерфейсы COM объектов такой библиотеки
могут быть определены один раз и в дальнейшем не меняться.
Очевидно, что для описания специфики деятельности предприятия и
уточнения содержания компонент-инвариантов потребуются дополнительные
данные и функции их обработки. К уточняющим компонентам можно отнести,
например, ученые степени сотрудников института. Как правило, уточняющие
данные связаны с основными как многие к одному. Обеспечение связности
данных производится на уровне объектов базы (связи и триггера). Удаление
или перенос в архив основных данных должны производится вместе со всеми
уточняющими записями. При этом работа с записями одной уточняющей таблицы
реализуется на уровне хранимых процедур SQL сервера, а COM объект сервера
транзакций обеспечивает последовательный вызов хранимых процедур для
каждого объекта. Добавление, изменение и удаление уточняющих компонент не
может привести, таким образом, к изменению структуры ИАС в целом, а только
изменить содержание некоторых отчетов.
Кроме вышеперечисленных есть модули, реализующие частные задачи и
взаимодействующие с инвариантами системы и дополнительными модулями. Если
рассматривать учет материальных ценностей и проекты организации, то задачи
обработки заявок и получения материалов являясь дополнительным сервисом
связывает эти инварианты. Дополнительными модулями являются, модули,
обеспечивающие функции статистической и другой обработки информации
хранящейся в одной базе данных и экспорт уже обработанного в другую базу.
Примером такой задачи будет “оплата за обучение в вузе”, которая связывает
оплату каждого студента и кассу института, как часть АРМа главного
бухгалтера. Другим примером является экспорт данных о выпускниках ВУЗа в
базу выпускников всех учебных заведений России. Очевидно, что
дополнительные модули могут не содержать никаких данных. В этом случае их
реализация может заключаться в программировании COM объектов сервера
транзакций и добавлением его вызова в программе клиента. Если для работы
дополнительного модуля требуется хранение какой-то информации, таблицы
могут создаваться в другой базе данных.
Поскольку любая ИАС содержит большое количество разнообразных данных,
а одним из основных принципов реляционных баз данных является то, что в
системе не должно быть дублирования данных, вопрос связей между
компонентами один из основных. Некоторые связи являются атрибутами
структуры данных отдельных компонент. Например, ссылка на сотрудника в
таблице отпусков. Другие – это отдельные таблицы, реализующие отношения
многие ко многим. Например, таблица назначений на должности, которая
содержит две ссылки: на человека и на должность. Таблицы связей в этом
случае могут содержать дополнительные данные, которые уточняют
характеристики конкретной связи между экземплярами двух и более объектов (в
случае люди – должности такой характеристикой может быть размер ставки,
т.е. 0.5, 1, 1.25). Такие таблицы являются основой для определения правил
бизнес логики ИАС. Некоторые связи между данными системы могут быть
временными и содержать только две ссылки. Назовем такой вид связи
объединением. Очевидно, процесс создания таблиц связи, установления связей
между записями и удаления связи можно автоматизировать поскольку
необходимой для этого информацией являются только имена таблиц, которые
необходимо связать, и полей этих таблиц, которые будут ключами связи и тех,
в которых будет находиться содержательная информация (характеристики
записей). Для определения конкретной связи достаточно двух списков в
клиентском приложении, содержащих характеристики связываемых записей, и
собственно механизма установления и удаления связи.
Таким образом в информационно-аналитической системе (ИАС) предприятия
или учреждения должны быть компоненты различной степени уникальности
(имеется ввиду возможность их использования без изменений или с небольшими
изменениями другой организацией). Различные части ИАС имеют различный
“вес”. Одни должны быть обязательно в любой системе; другие могут быть, а
могут и не быть; третьи, описывающие временные связи, возникают в системе и
исчезают из нее во время ее эксплуатации. Кроме того, некоторые объекты
могут быть созданы только как часть других объектов.
Проект ИАС института
Любой программный комплекс на этапе анализа должен рассматриваться с
четырех точек зрения:
- объектов, существующих в системе;
- функциональных зависимостей между объектами;
- рабочих мест, отражающих структуру организации и являющихся
контейнерами модулей обработки объектов.
- уровней доступа к данным и их модификации;
Схема задач и компонент ИАС отражает 1, частично 2-й и 3
вышеперечисленные аспекты.
На этапе проектирования программистами и специалистами института
должны быть точно и полностью определены основные потоки данных системы,
правила связывания и обработки данных, АРМы на которых будет вводиться и
изменяться информация. Кроме того, необходимо определить группы
пользователей и права их доступа.
При проектировании этой системы к ее архитектуре предъявлялись
следующие требования:
- использование архитектуры клиент-сервер;
- организация АРМов специалистов и руководителей как контейнеров,
содержащих унифицированные модули клиентских приложений;
- каждый отдельный модуль приложения клиента должен обеспечивать
работу с каким-либо объектом сферы управления институтом.
Таким образом, рабочие места в процессе разработки и сдачи в
эксплуатацию могут расширяться за счет новых компонент без потери
работоспособности уже существующих.
Такой подход к архитектуре системы позволяет в дальнейшем производить
изменения и развитие системы независимыми разработчиками. Таким образом не
так остро стоит вопрос: «а будет ли система работать без людей ее
создававших?»
Следует отметить, что в структуре компонент и задач ИАС не описаны
рабочие места, однако, из вышеизложенного следует, что если объект
присутствует в системе, его клиентский модуль может быть легко включен в
любой АРМ, или на его основе создан новый АРМ (рис. 1).
Рисунок 1. Структура задач и компонент ИАС
Заключение
Использование информационной технологии (ИТ) относится к наиболее
противоречивым внутрифирменным проблемам. Руководство предприятий часто
отказывается их решать, так как не чувствует себя достаточно компетентным.
Решения обычно возлагаются на руководителей информационных служб или
специализированные внешние организации. Хозяйственные риски, связанные с
ИТ, постоянно растут, и неясно, до каких пор руководство предприятий будет
недооценивать этот важный стратегический ресурс. Правда, в последнее время
высший менеджмент стал внимательнее относиться к ИТ. Именно от него должны
исходить решающие инициативы по изменению ситуации в данной сфере.
Использование систем автоматизации деловых процессов позволяет
говорить о следующих преимуществах внедрения новой технологии организации
управленческой деятельности по сравнению с традиционными:
- обеспечивается высокая эффективность принятия решений;
- рационализируются и интегрируются информационные процессы, в том
числе совершенствуется организация документооборота предприятия;
- поддерживается оперативная настройка системы автоматизации на
изменения порядка работы, складывающегося на предприятии;
- устраняется дублирование функций;
- повышается эффективность работы в целом;
- снижаются расходы на информационное сопровождение функционирования
предприятия.
Перечисленные достоинства технологии, а также ее успешное внедрение и
использование на многих предприятиях (как за рубежом, так и в России) дает
возможность говорить о ней как о современной эффективной технологии
организации управленческих процессов, обладающей большим будущим.
Таким образом, возможно, что для многих российских предприятий
наилучшей стратегией внедрения ИТ может стать одна из следующих:
Использовать какую–либо развивающуюся российскую систему, получая
соответствующие скидки на обновленные версии и подготавливая управленческий
персонал к ее возрастающим функциональным возможностям. В этом случае
остается надеяться, что грань в подходах, лежащих в основе построения
отечественных и зарубежных систем, со временем сотрется.
Внедрить относительно недорогую российскую учетную систему, что
позволит достичь полного соответствия российскому законодательству, и со
временем интегрировать ее с системой управления предприятием типа ERP.
Следует отметить, что по этому пути пытались пойти некоторые поставщики ERP-
систем на нашем рынке, предпочтя доработке собственной системы ее
интеграцию с качественными российскими продуктами.
Литература
1. Мишенин А.И. Теория информации. – М.: Финансы и статистика, 1999
2. Жеребин В.М., Мальцев В.Н., Савалов М.С. Экономические
информационные системы. – М.: Наука, 1998
3. Введение в информационный бизнес: Учеб. пособие / под ред.
Тихомирова В.П. – М.: Финансы и статистика, 1996
-----------------------
Оплата за обучение
Бюджет института
Расчетный счет
Подотчетные
средства
Посещение занятий
Нагрузка
Расписание
Учебные планы
Читатели и взятые книги
Учет книжного фонда
Библиотека
Учебный отдел
Отпуска
Тарификация
Назначения и
перемещения
Должности и ставки
Удержания
Начисления
Учет материальных ценностей
Зарплата
Стипендия
Операции и
проводки
Бухгалтерия
Штатное
расписание
Сотрудники
Распределение и дипломы
Контингент
Отдел кадров
Абитуриент
Стандартная
статистика
Документооборот
Социально-экономическая служба
Приемная комиссия
Отдел делопроизводства и контроля
| |
