В IDEF0 реализованы три базовых принципа моделирования процессов:
– принцип функциональной декомпозиции;
– принцип ограничения сложности;
– принцип контекста.
Принцип функциональной декомпозиции представляет собой способ моделирования типовой ситуации, когда любое действие, операция, функция могут быть разбиты (декомпозированы) на более простые действия, операции, функции. Другими словами, сложная бизнес-функция может быть представлена в виде совокупности элементарных функций.
Принцип ограничения сложности. При работе с IDEF0 диаграммами существенным является условие их разборчивости и удобочитаемости. Суть принципа ограничения сложности состоит в том, что количество блоков на диаграмме должно быть не менее двух и не более шести. Практика показывает, что соблюдение этого принципа приводит к тому, что функциональные процессы, представленные в виде IDEF0 модели, хорошо структурированы, понятны и легко поддаются анализу.
Принцип контекстной диаграммы. Моделирование делового процесса начинается с построения контекстной диаграммы, на которой отображается только один блок - главная бизнес-функция моделируемой системы. Если речь идет о моделировании целого предприятия или даже крупного подразделения, главная бизнес-функция не может быть сформулирована как, например, “продавать продукцию”. Главная бизнес-функция системы - это “миссия” системы, ее значение в окружающем мире. Нельзя правильно сформулировать главную функцию предприятия, не имея представления о его стратегии.
Одно и то же предприятие может быть описано по-разному, в зависимости от того, с какой точки зрения его рассматривают: директор предприятия и налоговой инспектор видят организацию совершенно по-разному. Поэтому при определении главной бизнес-функции необходимо всегда иметь ввиду цель моделирования и точку зрения на модель.
Контекстная диаграмма играет еще одну роль в функциональной модели. Она “фиксирует” границы моделируемой бизнес-системы, определяя то, как моделируемая система взаимодействует со своим окружением. Это достигается за счет описания дуг, соединенных с блоком, представляющим главную бизнес-функцию.
Применение IDEF0
После ознакомления с базовыми понятиями и принципами функционального моделирования деловых процессов естественным является вопрос: как это помогает повышать эффективность и качество деятельности предприятия.
Построение модели КАК ЕСТЬ. Обследование предприятия является обязательной частью любого проекта создания или развития корпоративной информационной системы. Построение функциональной модели КАК ЕСТЬ позволяет четко зафиксировать, какие деловые процессы осуществляются на предприятии, какие информационные объекты используются при выполнении деловых процессов и отдельных операций. Функциональная модель КАК ЕСТЬ является отправной точкой для анализа потребностей предприятия, выявления проблем и “узких” мест и разработки проекта совершенствования деловых процессов.
Бизнес- правила. Модель деловых процессов позволяет выявить и точно определить бизнес- правила, используемые в деятельности предприятия.
Очень часто бизнес- правила на предприятии не записаны в инструкции: они как бы есть, но и их как бы нет. В результате попытки изменить что-либо в деятельности предприятия или подразделения могут закончиться неудачей только лишь потому, что эти изменения противоречат сложившимся бизнес- правилам.
Информационные объекты. Функциональная модель позволяет идентифицировать все информационные объекты, которыми оперирует предприятие в своей деятельности. В отличие от информационных моделей (Data Flow Diagrams, IDEF1X) функциональная модель IDEF0 отражает, как именно используются информационные объекты в рамках деловых процессов.Построение модели КАК БУДЕТ. Создание и внедрение корпоративной информационной системы приводит к изменению условий выполнения отдельных операций, структуры деловых процессов и предприятия в целом. Это приводит к необходимости изменения системы бизнес- правил, используемых на предприятии, модификации должностных инструкций сотрудников. Функциональная модель КАК БУДЕТ позволяет уже на стадии проектирования будущей информационной системы определить эти изменения. Применение функциональной модели КАК БУДЕТ позволяет не только сократить сроки внедрения информационной системы, но также снизить риски, связанные с невосприимчивостью персонала к информационным технологиям.
Распределение ресурсов. Функциональная модель позволяет четко определить распределение ресурсов между операциями делового процесса, что дает возможность оценить эффективность использования ресурсов.
Особенно эта задача актуальна при создании новых деловых процессов на предприятии. Например, компания, которая специализируется на разработке заказного программного обеспечения, приняла решение создать собственную службу сбыта. Функциональная модель делового процесса по продаже программного обеспечения позволит руководству компании четко определить, какие ресурсы необходимо выделить для того, чтобы обеспечить функционирование службы сбыта, сколько сотрудников необходимо привлечь для работы в новой службе, какие функциональные обязанности эти сотрудники должны выполнять и т.д.
36.Угрозы информационной безопасности можно разделить на два класса:
конструктивный, когда основной целью несанкционированного доступа является получение копии конфиденциальной информации, т.е. можно говорить о разведывательном характере воздействия
деструктивный,, когданесанкционированный доступ приводит к потере (изменению) данных или прекращению сервиса.
В общем случае источники угроз определить нелегко. Они могут варьироваться от неавторизованных вторжений злоумышленников до компьютерных вирусов, при этом весьма существенной угрозой безопасности являются человеческие ошибки. Нужно заниматься проблемами физической безопасности и принимать меры по снижению негативного воздействия на безопасность ошибок человека, но в то же время необходимо уделить самое серьезное внимание решению задач сетевой безопасности по предотвращению атак на информационную систему как извне, так и изнутри
37. Под угрозой информационной безопасности понимается возможность осуществления действия, направленного против объекта защиты, проявляющаяся в опасности искажений и потерь информации.
Необходимо учитывать, что источники угроз безопасности могут находиться как внутри информационной системы - внутренние источники, - так и вне ее - внешние источники. Такое деление вполне оправдано потому, что для одной и той же угрозы (например, кражи) методы противодействия для внешних и внутренних источников будут разными. Знание возможных угроз, а также уязвимых мест информационной системы необходимо для того, чтобы выбирать наиболее эффективные средства обеспечения безопасности.
По статистическим данным в 2006 году средний ущерб каждой компании, в которой была зафиксирована утечка конфиденциальных данных составил 355 тыс долларов. Банковские системы по всему миру ежегодно теряют около 130 млрд. долларов.
Самыми частыми и опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки приводят к прямому ущербу (неправильно введенные данные, ошибка в программе, вызвавшая остановку или разрушение системы). Иногда они создают слабые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования).
Согласно данным Национального института стандартов и технологий США (NIST), 55% случаев нарушения безопасности информационной системы - следствие непреднамеренных ошибок (рис. 1). Работа в сети Интернет делает этот фактор достаточно актуальным, причем источником ущерба могут быть действия как отдельных пользователей и организации, так и общие действия сети Интернет, что особенно опасно.
 |
Рис.1 Источники нарушения безопасности
На втором месте по размерам ущерба располагаются кражи и подлоги, в большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Наличие мощного информационного канала связи с глобальными сетями при отсутствии должного контроля за его работой может дополнительно способствовать такой деятельности.
Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.
Преднамеренные попытки получения несанкционированного доступа через внешние коммуникации занимают в настоящее время около 10% всех возможных нарушений. Хотя эта величина кажется не столь значительной, опыт работы в Интернет показывает, что почти каждый Интернет-сервер по нескольку раз в день подвергается попыткам проникновения.
39. Правовое обеспечение безопасности информационных систем.
Меры законодательного уровня очень важны для обеспечения ИБ. К этому уровню можно отнести весь комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Большинство людей не совершают противоправных действий потому, что это осуждается и/или наказывается обществом, и потому, что так поступать не принято.
Правовые отношения в области безопасности ИС регулируются законом «Об информатизации» от 6 сентября 1995 г. N 3850-XII. Настоящий Закон регулирует правоотношения, возникающие в процессе формирования и использования документированной информации и информационных ресурсов; создания информационных технологий, автоматизированных или автоматических информационных систем и сетей (в дальнейшем - информационные системы и сети); определяет порядок защиты информационного ресурса, а также прав и обязанностей субъектов, принимающих участие в процессах информатизации.
Одним из основных принципов информатизации является защита прав собственности на объекты права собственности в сфере информатизации.
Вопросам информационной безопасности посвящена ГЛАВА V. «Защита информационных ресурсов и прав субъектов информати3ации».
Глава V состоит из 6 статей: 22-27.
Статья 22. Цели защиты
Целями защиты являются:
предотвращение утечки, хищения, утраты, искажения, подделки, несанкционированных действий по уничтожению, модификации, копированию, блокированию документированной информации и иных форм незаконного вмешательства в информационные системы; сохранение полноты, точности, целостности документированной информации, возможности управления процессом обработки и пользования в соответствии с условиями, установленными собственником этой информации или уполномоченным им лицом;
обеспечение прав физических и юридических лиц на сохранение конфиденциальности документированной информации о них, накапливаемой в информационных системах;
защита прав субъектов в сфере информатизации;
сохранение секретности, конфиденциальности документированной информации в соответствии с правилами, определенными настоящим Законом и иными законодательными актами.
Статья 23. Права н обязанности субъектов по защите информационных ресурсов
Собственник информационной системы или уполномоченные им лица обязаны обеспечить уровень защиты документированной информации в соответствии с требованиями настоящего Закона и иных актов законодательства.
Информационные ресурсы, имеющие государственное значение, должны обрабатываться только в системах, обеспеченных защитой, необходимый уровень которой подтвержден сертификатом соответствия. Защита другой документированной информации устанавливается в порядке, предусмотренном ее собственником или собственником информационной системы.
Собственник или владелец информационной системы обязаны сообщать собственнику информационных ресурсов обо всех фактах нарушения защиты информации.
Статья 24. Сертификация технических и программных средств по защите информационных ресурсов
Технические и программные средства по защите информационных ресурсов подлежат обязательной сертификации в национальной системе сертификации Республики Беларусь органом сертификации.
Юридические лица, занимающиеся созданием средств по защите информационных ресурсов, осуществляют свою деятельность в этой сфере на основании разрешения органа, уполномоченного Президентом Республики Беларусь.
Статья 25. Предупреждение правонарушений в сфере информатизации.
Предупреждение действий, влекущих за собой нарушение прав и интересов, субъектов правоотношений в сфере информатизации, установленных настоящим Законом и иным законодательством Республики Беларусь, осуществляется органами государственной власти и управления, юридическими и физическими лицами, принимающими участие в информационном процессе.
Владельцы информационных ресурсов и систем, создатели средств программно-технической и криптографической защиты документированной информации при решении вопросов защиты руководствуются настоящим Законом и нормативными актами специально уполномоченного государственного органа по защите информации.
Статья 26. Ответственность за правонарушения в сфере информатизации.
3а правонарушения в сфере информатизации юридические и физические лица несут ответственность в соответствии с законодательством Республики Беларусь.
Статья 27. Защита прав субъектов правоотношений в сфере информатизации
Защита прав и интересов юридических и физических лиц, государства в сфере информатизации осуществляется судом, хозяйственным судом с учетом специфики правонарушений и причиненного ущерба.