Інформаційні системи як об'єкти захисту 6.2.1 Загальні відомості про інформаційні системи

Визначення інформаційної системи

Інформаційна система [information system] — взаємозв'язана сукупність засобів, методів і персоналу, що використовуються для зберігання, оброблення й видавання інформації в інтересах досягне­ння поставленої мети.

Сучасне розуміння інформаційної системи передбачає використа­ння як основного технічного засобу перероблення інформації ком­п'ютерної техніки. Крім того, технічне втілення інформаційної си­стеми саме по собі нічого не буде значити, як що не врахована роль людини, для якої призначена вироблена інформація і без якої немо­жливе її одержання й подання [34].

Необхідно також; розуміти різницю між; комп'ютерами й інфор­маційними системами. Комп'ютери, оснащені спеціалізованими про­грамними засобами, є технічною базою й інструментом для інфор-

Розділ 6 Інформаційні системи та технології як об'єкти безпеки

маційних систем. Необхідними складовими інформаційної системи є також; персонал, що взаємодіє з комп'ютерами й телекомунікаціями.

Виходячи з попередніх міркувань можна дати наступне суча­сне визначення інформаційної системи як системи інформаційного обслуговування, що являє собою організаційно-упорядковану суку­пність інформаційних ресурсів, технічних засобів і технологій, що реалізують інформаційні процеси в традиційному або автоматизова­ному режимі для задоволення інформаційних потреб користувачів.

Робота інформаційної системи полягає в обслуговуванні двох зу­стрічних потоків інформації: уведення нової інформації і видавання поточної інформації на запит.

Оскільки головне завдання інформаційної системи — обслугову­вання клієнтів, то вона побудована таким чином, щоб відповідь на будь-яке питання видавалася швидко і була достатньо повною. Це забезпечується наявністю стандартних процедур пошуку інформації і тим, що дані системи розташовані в певному порядку.

У галузі створення інформаційних систем вирішують декілька основних завдань:

• аналіз і прогнозування потоків різноманітної інформації, що переміщуються в суспільстві;

• дослідження способів подання і зберігання інформації, створення спеціальних мов для формального опису інформації різної природи, розробка спеціальних прийомів стиснення і кодування інформації, анотування об'ємних документів та їхнє реферування;

• побудова різноманітних процедур і технічних засобів для їхньої реалізації, за допомогою яких можна автоматизувати процес добування інформації з документів, які не призначені для обчислювальних машин, а орієнтовані на сприйняття їх людиною;

• створення інформаційно-пошукових систем, які здатні сприймати запити до інформаційних сховищ, сформульованих на природній (людській) мові, а також; на спеціальних мовах запитів для систем такого типу;

• створення мереж; зберігання, обробки і передавання інформації, до складу яких входять інформаційні банки даних, термінали, центри оброблення та засоби зв'язку.

Типові процеси в інформаційній системі

Процеси, що забезпечують роботу інформаційної системи будь-якого призначення, умовно можна представити у вигляді схеми

Частина, II Основи безпеки інформаційних технологій

печення.

Інформаційне забезпечення

Призначення підсистеми інформаційного забезпечення полягає у своєчасному формуванні й видачі вірогідної інформації для прийня­ття управлінських рішень.

Інформаційне забезпечення [dataware] — сукупність єдиної системи класифікації й кодування інформації, уніфікованих систем документації, схем інформаційних потоків, що циркулюють в орга­нізації, а також; методологія побудови баз даних.

Уніфіковані системи документів створюються на державному, га­лузевому й регіональному рівнях. Головна мета — це забезпечити відповідність різних сфер суспільного виробництва. Розроблені стан­дарти, де встановлюються вимоги:

• до уніфікованих систем документів;

• до уніфікованих форм документів різних рівнів управління;

• до складу й структури реквізитів й показників;

• до порядку впровадження, ведення й реєстрації уніфікованих форм документів.

Проте, незважаючи на існування уніфікованих форм докумен­тів, при обстеженні більшості організацій постійно виявляється ці­лий комплекс типових недоліків:

• надзвичайно великий обсяг документів для ручного оброблення;

• одні й ті ж показники часто дублюються в різних документах;

• робота з великою кількістю документів відволікає спеціалістів виконання безпосередніх завдань;

• наявні показники, які створюються, але не використовуються, і т.ін.

Тому усунення вказаних недоліків є одним із завдань, що стоять при створенні інформаційного забезпечення.

Схеми інформаційних потоків [data stream, data flow] відобра­жають маршрути руху інформації та її обсяги, місця виникнення первинної інформації й використання результатної інформації. За рахунок аналізу структури подібних схем можна виробити заходи з удосконалення всієї системи.

Побудова схем інформаційних потоків, які дозволяють виявити обсяги інформації й провести її детальний аналіз, забезпечує:

• виключення інформації, що дублюється або не використовується;

• класифікацію і раціональне подання інформації.

Розділ 6 Інформаційні системи та технології як об'єкти безпеки

При цьому докладно повинні розглядатися питання взаємозв'яз­ку руху інформації по рівнях управління. Слід також; виявити, які показники необхідні для прийняття управлінських рішень, а які ні. До кожного виконавця повинна поступати тільки та інформація, яка використовується.

Методологія побудови баз даних базується на теоретичних осно­вах їх проектування. Для розуміння концепції методології можна привести основні ідеї у вигляді двох етапів, що практиці реалізую­ться послідовно.

1-й етап — обстеження всіх функціональних підрозділів фірми з метою:

• зрозуміти специфіку й структуру її діяльності;

• побудувати схему інформаційних потоків;

• провести аналіз існуючої системи документообігу;

• визначити інформаційні об'єкти та відповідний склад реквізитів (параметрів, характеристик), що описують їхні властивості й призначення.

2-й етап — побудова концептуальної інформаційно-логічної мо­делі для обстеженої на 1-му етапі сфери діяльності. У цій моделі повинні бути встановлені та оптимізовані всі зв'язки між; об'єктами та їхніми реквізитами. Інформаційно-логічна модель є фундаментом, на якому буде створена база даних.

Для створення інформаційного забезпечення необхідно:

• чітке розуміння мети, завдань, функцій всієї системи керування організацією;

• виявлення руху інформації від моменту виникнення і до її використання на різних рівнях керування, представленої для аналізу у вигляді схем інформаційних потоків;

• удосконалення системи документообігу;

• наявність і використання системи класифікації й кодування;

• володіння методологією створення концептуальних інформаційно-логічних моделей, що відображають взаємозв'язок інформації;

• створення масивів інформації на машинних носіях, що потребує наявності сучасного технічного забезпечення.

Технічне забезпечення

Технічне забезпечення [hardware] — комплекс технічних засо­бів, призначених для роботи інформаційної системи, а також; відпо-

Частина, II Основи безпеки інформаційних технологій

відна документація на ці засоби й технологічні процеси. Комплекс технічних засобів складають:

• комп'ютери будь-яких моделей;

• засоби збирання, нагромадження, оброблення, передавання й виведення інформації;

• засоби передавання даних і лінії зв 'язку;

• оргтехніка і пристрої автоматичного знімання інформації;

• експлуатаційні матеріали і т.ін.

Документацією оформляється попередній вибір технічних засо­бів, організація їх експлуатації, технологічний процес оброблення да­них, технологічне оснащення. Документацію можна умовно розділи­ти на три групи:

• загальносистемну, що включає державні та галузеві стандарти з технічного забезпечення;

• спеціалізовану, що містить комплекс методик із усіх етапів розробки технічного забезпечення;

• нормативно-довідкову, що використовується для виконання розрахунків із технічного забезпечення.

До теперішнього часу склалися дві основні форми технічного за­безпечення (форми використання технічних засобів): централізована та частково або повністю децентралізована.

Централізоване технічне забезпечення базується на вико­ристання в інформаційній системі великих ЕОМ та обчислювальних центрів.

Децентралізоване технічне забезпечення передбачає реалі­зацію функціональних підсистем на персональних комп'ютерах без­посередньо на робочих місцях.

Перспективним підходом слід рахувати, очевидно, частково де­централізований підхід — організацію технічного забезпечення на основі розподіленим мереж;, що складаються з персональних комп'ю­терів і великої ЕОМ для зберігання баз дани, загальних для будь-яких функціональних підсистем.

Математичне і програмне забезпечення

Математичне і програмне забезпечення — сукупність ма­тематичних методів, моделей, алгоритмів і програм для реалізації мети та завдань інформаційної системи, а також; нормального фун­кціонування комплексу технічних засобів.

Розділ 6 Інформаційні системи та технології як об'єкти безпеки

До засобів математичного забезпечення [mathematical support] відносяться:

• засоби моделювання процесів управління;

• типові завдання управління;

• методи математичного програмування, математичної статистики, теорії масового обслуговування і т.ін.

До складу програмного забезпечення входять загальноси-стемні та спеціальні програмні продукти, а також; технічна доку­ментація.

До загальносистемного програмного забезпечення [general-system software] відносяться комплекси програм, орієнтовані на ко­ристувачів і призначені для виконання типових завдань оброблення інформації. Вони служать для розширення функціональних можли­востей комп'ютерів, контролю й керування процесом оброблення да­них.

Спеціальне (прикладне) програмне забезпечення [appli­cation (special) software] представляє собою сукупність програм, роз­роблених при створенні конкретної інформаційної системи. До його складу входять пакети прикладних програм, що реалізують моде­лі різного ступеню адекватності, що відображають функціонування реального об'єкта.

Технічна документація [engineering data, paperwork] на роз­робку програмних засобів повинна містити опис завдань, завдання на алгоритмізацію, математичну модель завдання, контрольні при­клади.

Організаційне забезпечення

Організаційне забезпечення [organization support] — суку­пність методів і засобів, які регламентують взаємодію персоналу з технічними засобами й між; собою в процесі розробки та експлуата­ції інформаційної системи.

Організаційне забезпечення реалізує наступні функції:

• аналіз існуючої системи управління організацією, де буде використовуватися інформаційна система, і виявлення завдань, що підлягають автоматизації;

• підготовку завдань до виконання на комп'ютері, включаючи технічне завдання на проектування інформаційної системи й техніко-економічне обґрунтування її ефективності;

Частина, II Основи безпеки інформаційних технологій

• розробку управлінських рішень відносно складу та структури організації, методології виконання завдань, спрямованих на підвищення ефективності системи управління.

Організаційне забезпечення створюється за результатами перед-проектного обстеження на першому етапі побудови баз даних.

Правове забезпечення

Правове забезпечення [legal support] — сукупність правових норм, що визначають створення, правовий статус і функціонування інформаційних систем, регламентують порядок одержання, перетво­рення та використання інформації.

Головною метою правового забезпечення є зміцнення законності.

До складу правового забезпечення входять закони, укази, поста­нови державних органів влади, накази, інструкції й інші нормативні документи міністерств, відомств, організацій, місцевих органів вла­ди. У правовому забезпеченні можна виділити загальну частину, що регулює функціонування будь-якої інформаційної системи, і локаль­ну частину, що регулює функціонування конкретної системи.

Право забезпечення етапів розробки інформаційної системи включає нормативні акти, зв'язані з договірними відносинами розро­бника й замовника й правовим регулюванням відхилень від договору.

Правове забезпечення етапів функціонування інформаційної си­стеми включає:

• статус інформаційної системи;

• права, обов'язки й відповідальність персоналу; правові положення окремих видів процесу керування;

• порядок створення й використання інформації і т.ін.