Стариков В.И. Информационные системы

Подождите немного. Документ загружается.

закрытие учетных периодов (например, открытие и закрытие операционного дня,

проведение заключительных оборотов при закрытии финансового года).

В ИБС БИСквит реализовано учетное ядро, которое позволяет осуществлять

бухгалтерский учет операций в полном соответствии с требованиями Банка России

(Положение 205-П). В системе имеется возможность работать со счетами,

документами и проводками по всем 5 категориям учета.

Функциональность учетного ядра ИБС БИСквит не ограничивается

поддержкой стандартных требований ЦБ. Возможности ядра позволяют

пользователям самостоятельно создавать новые области учета и определять для них

необходимые свойства. Данная функциональность используется, например, для

ведения отдельной области налогового учета. Это позволяет также настраивать в

системе планы счетов других государств.

Служба финансовых инструментов обеспечивает поддержку различных

форм краткосрочного и долгосрочного инвестирования, торговля которыми

осуществляется на финансовых рынках. К ним относятся денежные средства в

различных валютах, ценные бумаги, производные инструменты (форварды,

фьючерсы, свопы, опционы и т.д.).

В процессе настройки бизнес-логики важное значение принадлежит настройке

операций, которая выполняется с помощью службы стандартных транзакций

путем определения множества шаблонов их выполнения и производится в

соответствии с типом операции (индивидуальная или групповая), видом транзакции

(определяется обрабатывающей выполнение операции процедурой) и атрибутами

настройки – основными и дополнительными. Описание сценария выполнения

операции определяется конкретным видом банковского продукта, а его

интерпретация задает конкретный экземпляр продукта.

Служба начислений определяет порядок и размер начисления и взимания

платежей по процентам и комиссиям.

Служба расписаний обеспечивает вычисление времени выполнения события

на основании заданной периодичности или временного ряда, хранение информации

о ранее произошедших и плановых событиях, ведение журнала регистрации

событий, ведение расписания плановых операций, инициирование выполнения

операций в связи с наступлением срока плановой операции, указанного в

расписании.

Служба сообщений обеспечивает интерфейс экспорта-импорта информации

на основе внутрисистемных и поддерживаемых ИБС внешних стандартов обмена

информацией.

Для хранения и расчета отчетных и аналитических данных с помощью службы

OLAP применяется технология оперативной аналитической обработки данных на

основе использования многомерной аналитической БД (OLAP-технология).

Принципы реализации технологии OLAP:

 Работа всех входящих в систему модулей основывается на единой

информационной базе и единой технологии обработки данных. Внутри единой БД

выделены транзакционная (OLTP) и аналитическая (OLAP) составляющие, при этом

существует возможность физического выделения OLAP-базы. При проектировании

аналитической составляющей хранимые данные представляются в виде

многомерного куба, имеющего два общих измерения - элементы организационной

структуры банка и произвольные периоды отчетности. Зафиксировав значения по

двум общим измерениям, в свою очередь, получим многомерный куб, содержащий

отчетную и аналитическую информацию по выбранному для анализа объекту за

указанный период времени.

 Выборка информации для расчета агрегированных показателей или их

динамических статистических рядов осуществляется в процессе формирования

отчета непосредственно из единой базы данных, что гарантирует их целостность,

непротиворечивость и актуальность. При этом возможно одновременное

использование информации из OLAP- и OLTP- ее составляющих.

 Схема базы данных ориентирована на возможность формирования отчетной и

аналитической информации в режиме "on-line" с учетом требования сохранять

приемлемые размеры и быстродействие при значительном увеличении объемов

хранимой информации.

 Механизмы расширения схемы данных, структуризации и группировки

данных являются универсальными и позволяют агрегировать информацию в

соответствии с требованиями выбранной экономической модели.

 Изменения формул и результатов расчетов протоколируются.

 Структура и вид отчетных и аналитических форм могут быть

модифицированы или расширены штатными средствами службы.

 Описание организационной структуры банка и соответствующее

структурирование выполняемых финансовых операций дает возможность

анализировать эффективность работы в разрезе центров ответственности (центров

прибыли).

Служба пользователей реализует ряд функций, наиболее важными из

которых являются управление правами пользователей, аудит действий

пользователей путем ведения журнала истории изменений, хранение данных о

структуре банка и глобальных пользовательских настройках.

Архитектура ИБС БИСквит обеспечивает возможность многоуровневой

настройки системы (рис. 5.4).

Рис.5.4. Уровни настройки бизнес-процессов

Единое информационное пространство на основе ИБС БИСквит (рис.

5.5)обеспечивает интеграцию операционной, учетной и аналитической

информации; реализацию единой технологии обработки информации; поддержку

унифицированной технологии реализации банковских продуктов. Преимущества

предлагаемого решения состоят в более простой реализации новых

функциональных возможностей, унификации схемы сопровождения и достижения в

итоге более экономичной структуры операционных затрат.

Рис.5.5. Информационное пространство на основе ИБС.

Контрольные вопросы.

1. Дайте определение информационного хранилища данных и его

назначения.

2. Приведите основные понятии и структуру виртуального

информационного хранилища данных.

3. Дайте определение ГИС.

4. Перечислите основные процедуры ГИС общего назначения.

5. Охарактеризуйте принципы анализа данных в ГИС.

6. Назовите основные принципы построения ИБС.

7. Приведите основные элементы архитектуры ИБС.

8. Перечислите принципы реализации технологии OLAP.

6. БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ

Анализ состояния дел в области обеспечения информационной безопасности

ИС показывает, что в большинстве ведущих зарубежных стран сложилась вполне

сформировавшаяся концепция и архитектура обеспечения информационной

безопасности ИС, основу которой составляют:

•достаточно четко очерченная система концептуальных взглядов на проблему

обеспечения информационной безопасности ИС;

•весьма развитый арсенал технических средств защиты, производимых на

собственной промышленной базе;

•значительное число фирм, включающих в свой состав ведущих ученых и

специалистов в области информационной безопасности ИС и специализирующихся

на решении вопросов информационной безопасности;

•наличие значительного практического опыта с обеспечением защиты ноу-хау

в вопросах практического обеспечения информационной безопасности ИС.

Под информационной безопасностью принято понимать степень

защищенности ИР и поддерживающей инфраструктуры от случайных или

преднамеренных воздействий естественного или искусственного характера,

чреватых нанесением ущерба владельцам или пользователям ИР и

поддерживающей инфраструктуры. Однако информационная безопасность не

сводится исключительно к защите ИР Субъект информационных отношений может

пострадать непосредственно от процесса информатизации.

С этой точки зрения под информационной безопасностью следует понимать

свойство процесса информатизации, характеризующее состояние защищенности

личности, общества и государства от возможных негативных последствий

информатизации. Кроме того, субъект информационных отношений может понести

убытки не только от недостаточной степени защищенности ИР, но и от

повреждения ИС, вызвавшего задержку в функционировании критических систем

или перерыв в обслуживании клиентов в коммерческих структурах. Таким образом

информационная безопасность должна иметь двунаправленный характер:

 необходимо гарантировать непрерывность и корректность

функционирования ИС, обеспечивающих безопасность людей и экологической

обстановки;

 необходимо обеспечивать защиту ИР, обрабатываемых в этих системах.

Требования по обеспечению информационной безопасности в различных

информационных системах могут существенно отличаться, однако они всегда

направлены на достижение трех основных свойств:

1) целостности — информация, на основе которой принимаются решения,

должна быть достоверной и точной, защищенной от искажения, уничтожения и

(или) несанкционированной модификации (изменения содержания);

2) доступности (готовности) — информация и соответствующие

автоматизированные службы должны быть доступны, готовы к работе всегда, когда

в них возникает необходимость;

3) конфиденциальности — информация ограниченного пользования должна

быть доступна только тому, кому она предназначена.

Важное звено мероприятий по реализации политики безопасности ИТ — это

сертификация продуктов и аттестация систем информационных технологий на

соответствие требованиям безопасности информации.

Для создания эффективной системы обеспечения информационной

безопасности необходимо достаточно корректно построить иерархическую систему

показателей эффективности, точно соответствующих целям и задачам формируемой

системы. На сегодня существует два способа выбора показателей (критериев)

защищенности информации:

1) определение минимального набора необходимых для защиты

информации функций, соответствующего конкретному классу защищенности в

соответствии с принятыми стандартами;

2) определение профиля защиты, в котором учитываются особенности

решения задач защиты информации в организации (в соответствий с

международными стандартами ИСО 15408, ИСО 17799, германским стандартом

BSI).

Более гибкий применительно к построению современных систем защиты

информации — второй способ, что подтверждается мировой практикой. Он связан с

необходимостью объединения в единой системе множества технических средств и

программ, используемых в открытых вычислительных системах или сетях. Термин

«открытые» следует понимать таким образом, что соответствующая определенным

стандартам вычислительная система будет открыта для взаимосвязи с любой другой

системой, которая соответствует тем же стандартам. Это, в частности, относится и к

механизмам защиты информации от несанкционированного доступа (НСД).

В начале 1990-х годов ИСО и МЭК стали создавать международные стандарты

по критериям оценки безопасности информационных технологий для общего

использования, названные Common Criteria for Information Technology Security

Evaluation или просто Common Criteria и 8 июня 1999 г. был утвержден

Международный стандарт ИСО/МЭК 15408 под названием «Общие критерии

оценки безопасности информационных технологий» (ОК). Использование методик

данного стандарта позволяет специалистам определить для заказчика те критерии,

которые могут быть использованы в качестве основы для выработки оценок

защитных свойств продуктов и систем информационной технологии. Кроме того,

эти методики позволяют проводить наиболее полное сравнение результатов оценки

защитных свойств корпоративных информационных систем (КИС) с помощью

общего перечня (набора) требований для функций защиты продуктов и систем, а

также методов точных измерений, проводимых во время получения оценок защиты.

Основываясь на этих требованиях, в процессе выработки оценки уровня защиты

устанавливается уровень доверия.

ОК используются для задания требований безопасности продуктов или систем

ИТ и в качестве методической базы при оценке степени выполнения требований

безопасности. Оценка должна проводиться в рамках утвержденной схемы оценки.

Методика оценки действует в рамках административных и правовых ограничений,

которые также определяются схемой оценки. На рис. 6.1 показаны основные

элементы процесса оценки безопасности и их взаимосвязь.

Схема оценки включает стандарты и правила административного

регулирования, которым должны отвечать условия оценки и следовать

специалисты, осуществляющие оценку. Процедура сертификации представляет

независимую экспертизу результатов оценки, завершаемую заключением о

пригодности продукта или системы и выдачей сертификата. Информация о

сертификате обычно является открытой. Стандарты предоставляют заказчикам

методы выбора требований безопасности в соответствии с назначением их

продуктов или систем ИТ.

Рис. 6.1. Основные элементы процесса оценки безопасности и их взаимосвязь

Требования заказчика (запросы потребителя) формируются на основании

результатов проведенного анализа риска, выбранной политики безопасности

организации и с помощью иерархической шкалы гарантийных требований.

Разработчики могут использовать механизмы, предлагаемые в ОК, для создания

продукта или системы ИТ, комплекс средств обеспечения безопасности которых

реализует предъявляемые к ним функциональные требования и уровень гарантии

безопасности. ОК можно использовать также для определения круга специалистов и

их действий, необходимых для подготовки обоснования и проведения оценки. ОК

определяют также содержание и форму такого обоснования.

Эксперты, проводящие оценку, должны использовать ОК при составлении

заключения о соответствии объекта оценки предъявляемым к нему требованиям

безопасности. ОК дают общее описание процесса экспертизы, но не определяют

процедуру ее осуществления.

Международный стандарт ИСО 17799 «Управление информационной

безопасностью». Стандарт определяет общую организацию, классификацию

данных, системы доступа, направления планирования, ответственность

сотрудников, использование оценки рисков и т.д. в контексте информационной

безопасности. По сути стандарт определяет систему менеджмента, и в этом смысле

не является техническим стандартом. Официальное Руководство по применению

стандарта содержит рекомендации, позволяющие организации самостоятельно

определить необходимые требования по обеспечению информационной

безопасности в каждом конкретном случае.

Стандарт содержит более 100 элементов управления информационной

безопасностью, сгруппированных следующим образом:

1. ПОЛИТИКА В ОБЛАСТИ БЕЗОПАСНОСТИ. Назначение: обеспечение

управления и поддержки политики в области информационной безопасности со

стороны руководства предприятия.

2. ОРГАНИЗАЦИЯ СИСТЕМЫ БЕЗОПАСНОСТИ. Назначение: создание

организационной структуры, которая будет внедрять и обеспечивать

работоспособность системы информационной безопасности организации.

3. КЛАССИФИКАЦИЯ РЕСУРСОВ И УПРАВЛЕНИЕ. Назначение: поддержка

адекватной информационной безопасности организации путем возложения

персональной ответственности, а также классификации информационных ресурсов

по необходимости и приоритету защиты.

4. БЕЗОПАСНОСТЬ И ПЕРСОНАЛ. Назначение: уменьшение риска

человеческих ошибок, хищений и неправильного использования оборудования, в

том числе путем эффективного обучения и внедрения механизма отслеживания

инцидентов.

5. ФИЗИЧЕСКАЯ И ВНЕШНЯЯ БЕЗОПАСНОСТЬ. Назначение:

предотвращение несанкционированного доступа, повреждения и нарушения работы

информационной системы.

6. МЕНЕДЖМЕНТ КОМПЬЮТЕРОВ И СЕТЕЙ. Назначение: обеспечение

безопасного функционирования компьютеров и сетей.

7. УПРАВЛЕНИЕ ДОСТУПОМ К СИСТЕМЕ. Назначение: управление

доступом к деловой информации, предотвращение несанкционированного доступа

и обнаружение несанкционированной деятельности.

8. РАЗРАБОТКА И ОБСЛУЖИВАНИЕ СИСТЕМЫ. Назначение: обеспечение

выполнения требований безопасности при создании или развитии информационной

системы организации, поддержка безопасности приложений и данных.

9. ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОСТИ РАБОТЫ. Назначение: подготовка

планов действий в случае чрезвычайных обстоятельств и для обеспечения

непрерывности работы организации.

10. СООТВЕТСТВИЕ ЗАКОНОДАТЕЛЬСТВУ. Назначение: обеспечение

выполнения требований законодательства, включая законы об авторских правах и

защите данных и нормативных актов.

Такая структура позволяет выбрать те средства управления, которые имеют

отношение к конкретной организации или сфере ответственности внутри

организации. Выделено также десять так называемых ключевых элементов

управления, являющихся фундаментальными:

1) политика по информационной безопасности;

2) распределение ответственности за информационную безопасность;

3) образование и тренинг по информационной безопасности;

4) отчетность по инцидентам с безопасностью;

5) защита от вирусов;

6) обеспечение непрерывности работы;

7) контроль копирования лицензируемого программного обеспечения;

8) защита архивной документации организации;

9) защита персональных данных;

10) выполнение политики по информационной безопасности.

Контрольные вопросы

1. Дайте определение информационной безопасности.

2. Перечислите основные положения концепциии обеспечения

информационной безопасности ИС.

3. Каковы гарантийные требования информационной безопасности?

4. Что определяет международный стандарт ИСО 17799 «Управление

информационной безопасностью» и какова его структура?

5. Назовите десять ключевых элементов управления информационной

безопасностью.

7. ОСНОВНЫЕ ТЕРМИНЫ И ИХ ОПРЕДЕЛЕНИЕ В ОБЛАСТИ

ИНФОРМАЦИННЫХ ТЕХНОЛОГИЙ

7.1.Общие термины

Информационная технология (information technology) — технология

информационного процесса — совокупность методов, способов, приемов и средств,

реализующих информационный процесс в соответствии с заданными требованиями.

Информационная технология может быть представлена как определенная

последовательность управляющих воздействий технологических процессов различных

видов (ввод, вывод, представление, обработка, запись, поиск, сбор, хранение,

актуализация, предоставление, тиражирование, обмен, передача, защита информации) и

реализующих их средств, а также как научное описание этих процессов и способов их

реализации.

Информация (information) — сведения о фактах, событиях, явлениях, процессах,

понятия или команды.

Информация воспринимается от окружающей среды, выдается в нее,

преобразуется или сохраняется внутри некоторой системы и передается с помощью

носителей какой-либо физической природы в виде графических, звуковых и

световых сигналов, энергетических и нервных импульсов.

Информационный процесс (information process) — совокупность процессов

получения, накопления, обработки и передачи информации.

Функция (function) информационной технологии — совокупность действий,

направленных на реализацию определенной части информационного процесса.

Функции могут реализоваться человеком, полуавтоматическими,

автоматическими и другими средствами.

Информационное пространство (information space) — совокупность

информационных ресурсов, информационных систем и коммуникационной среды.

Информационный ресурс (information resource) — совокупность информации,

содержащейся в различных источниках.

Информационная система (information system) — организованная совокупность

информационных технологий, объектов и отношений между ними, образующая

единое целое.

Информационная система может включать в качестве объектов персонал,

информационные, материально-технические и другие ресурсы, необходимые для

реализации конкретного информационного процесса.

Коммуникационная среда (communication environment) — совокупность способов

и средств, обеспечивающих передачу (обмен) информации.

Информационный продукт (information product) — информация, полученная в

результате реализации информационной технологии.

Входная информация (initial information) — информация, получаемая из

окружающей среды.

Внутренняя информация (internal information) — информация, сохраняемая в

некоторой системе.

Выходная информация (output information) — информация, выдаваемая в

окружающую среду.

Документированная информация (document information) — информация,

оформленная в установленном порядке и закрепленная на материальном носителе,

обеспечивающем ее передачу во времени и пространстве.

Информационный массив (information array) — совокупность документированной

информации, упорядоченной по определенным признакам.

Информационный ресурс (information resource) — комплекс данных (результатов

измерения), информации (результатов фильтрации и реструктуризации данных),

знаний (результатов реструктуризации информации с выделением

фактографической и процедурной частей) для разрешения управленческой

проблемной ситуации (ПС), выступающий как субститут финансовым,

энергетическим, трудовым, временным ресурсам объекта управления,

7.2.Основные виды технологических процессов, составляющих

информационную технологию

Ввод информации (information input) — совокупность действий по

непосредственной передаче информации от объектов окружающей среды

информационной системе.

Вывод информации (information output) — совокупность действий по

непосредственной передаче информации объектам окружающей среды от

информационной системы.

Представление информации (information representation) — совокупность действий

по преобразованию информации, обеспечивающих возможность ее восприятия

пользователем или последующим процессом.

Обработка информации (information processing) — совокупность действий по

изменению состояния информации с целью придания ей требуемых свойств.

Запись информации (information writing) — совокупность действий по переносу

информации на материальные носители.

Поиск информации (information retrieval) — совокупность действий по отбору

(нахождению) информации по заданным признакам.

Сбор информации (information collection) — совокупность действий по

получению информации из различных источников и определению ее состояния, в

том числе идентификация информации, группирование по определенным

признакам и представление ее в требуемом виде.

Хранение информации (information storage) — совокупность действий по

поддержанию состояния информации и носителей, обеспечивающего доступность

информации в течение заданного времени.

Актуализация информации (information actualization) — совокупность действий

по обновлению, расширению, восстановлению, переструктурированию

информации с целью обеспечения эффективности ее использования.

Предоставление информации (information allocation) — совокупность действий по

обеспечению доступа к информационным ресурсам.

Тиражирование информации (information edition) — совокупность действий по

переносу информации на материальные носители, обеспечивающие ее точное

отображение в требуемом количестве экземпляров.

Обмен информацией; коммуникация (information communication) — совокупность

действий по обеспечению информационного взаимодействия объектов.

Передача информации (information transmission) — совокупность действий по

пересылке информации от источника к приемнику, не зависящая от вида

информации и режимов ее обработки.

Защита информации (information protection) — совокупность действий по

обеспечению сохранности информационных ресурсов от внутренних и внешних

угроз.

7.3.Основные средства информационной технологии.

Ор

ганизационные средства информационной технологии (organize means) —

совокупность организационно-методических и научно-технических документов,

содержащих описание и регламентацию технологических процессов, реализующих

информационный процесс.

Инструментальные средства информационной технологии (instrument means) —

совокупность технических, программных и языковых средств, обеспечивающих

реализацию информационного процесса.

Технические средства информационной технологии (technical means) —

совокупность механических, электрических, электронных и иных приспособлений,

обеспечивающих реализацию информационного процесса.

Программные средства информационной технологии (software) — совокупность

алгоритмов и программ, используемых при реализации информационного процесса с

помощью вычислительной техники.

Языковые средства информационной технологии (language means) — наборы

символов, соглашений и правил, которые используются для организации

взаимодействия человека со средствами, реализующими информационный процесс

и описания таких процессов.