- •Учебно-методический копмлекс дисциплины Информационные технологии в управлении
- •Рецензент
- •Рабочая программа дисциплины информационные технологии в управлении
- •Организационно-методический раздел
- •Распределение часов дисциплины по темам и видам работ для очной формы обучения
- •Содержание учебной дисциплины
- •Тема 1. Информационное обеспечение процессов управления и принятия решений
- •Тема 2. Информационные технологии и системы: развитие и классификация
- •Тема 3. Информационные технологии автоматизации офиса. Технологии обработки информатизации
- •Тема 4. Базы данных и системы управления базами данных
- •Тема 5. Системы поддержки принятия управленческих решений. Экспертные системы
- •Тема 6. Сетевые технологии в управлении. Распределенная обработка информации
- •Тема 7. Электронная коммерция
- •Тема 9. Защита информации и информационная безопасность
- •Тема 10. Экономическая эффективность информационных систем и технологий
- •Темы докладов
- •Вопросы к экзамену
- •Темы практических занятий Практическое занятие №1
- •Практическое занятие №2
- •Практическое занятие №3
- •Практическое занятие №4
- •Раздел 9. Защита информации 226
- •Раздел 10. Экономическая эффективность информационных технологий 246
- •Введение
- •Раздел 1. Информационное обеспечение процессов управления и принятия решений
- •1.1. Коллекция понятия «информация»
- •1. Определение информации через понятия «сведения», «сообщения», «известия», «сигнал», «данные», «знания»:
- •2. Определение информации через степень упорядоченности системы:
- •3. Философские определения информации, как дефиниции, содержащей термин «отражение»:
- •4. Определения информации, через утверждение о том, что информация – алгоритм, план, инструкция:
- •5. Определения информации, через содержание, свойства объектов:
- •6. Определения информации, через аппарат теории динамических систем:
- •1.2. Принципы регулирования и управления системами
- •1.3. Информация и процесс управления
- •Раздел 2. Информационные технологии и системы: развитие и классификация
- •2.1. Автоматизированные информационные системы и их классификация
- •2.2. Автоматизированные информационные технологии, их развитие и классификация
- •Раздел 3. Информационная технология автоматизации офиса. Технология обработки информации
- •3.1. Информационная технология автоматизации офиса
- •3.2. Основные компоненты информационной технологи автоматизации офиса
- •3.3. Технология обработки текстовой информации
- •3.4. Технология обработки табличной информации
- •Раздел 4. Базы данных и системы управления базами данных
- •4.1. Информационная технология обработки данных
- •4.2. Банки данных, их особенности, этапы разработки
- •4.3. Базы данных. Модели данных
- •4.4. Субд и ее функции
- •4.5. Интегрированные технологии в распределенных системах
- •Раздел 5. Системы поддержки принятия управленческих решений. Экспертные системы
- •5.1. Основные компоненты ит поддержки принятия решения
- •5.2. Информационные технологии экспертных систем
- •5.3. Основные компоненты экспертных систем
- •5.4. Модели знаний
- •6.4. Требования, предъявляемые к вычислительным сетям
- •7.1. Пластиковая карта
- •Временной период
- •7.2. Мобильная коммерция
- •Раздел 8. Проектирование автоматизированных информационных технологий управления
- •Понятие консалтинга
- •Цели разработки консалтинговых проектов
- •Этапы разработки консалтинговых проектов
- •Внутреннее строение автоматизированных информационных технологий управления
- •Понятие платформы как комплекса аппаратных и программных средств
- •Понятие программного продукта
- •Жизненный цикл программного продукта
- •Приобретение программного продукта
- •Раздел 9. Защита информации
- •9.1. Основные понятия информационной безопасности
- •9.2. Экономические последствия несанкционированного доступа к информации
- •Оценка вероятности атаки
- •Оценка рисков предприятия
- •Раздел 10. Экономическая эффективность информационных технологий
- •10.1. Основы оценки эффективности ит
- •10.2. Подходы оценки проектов по внедрению ит
- •10.3. Методика и критерии оценки экономической эффективности ит
- •Промежуточный тест (Информационные технологии в управлении)
- •Итоговый тест (Информационные технологии в управлении)
- •Вопрос 15
- •Рекомендуемая литература
9.2. Экономические последствия несанкционированного доступа к информации
1. Раскрытие коммерческой информации может привести к серьезным прямым убыткам на рынке.
2. Известие о краже большого объема информации обычно серьезно влияет на репутацию фирмы, приводя косвенно к потерям в объемах торговых операций.
3. Фирмы-конкуренты могут воспользоваться кражей информации, если та осталась незамеченной, для того чтобы полностью разорить фирму, навязывая ей фиктивные либо заведомо убыточные сделки.
4. Подмена информации как на этапе передачи, так и на этапе хранения в фирме может привести к серьезным убыткам.
5. Многократные успешные атаки на фирму, предоставляющую какой-либо вид информационных услуг, снижают доверие к фирме у клиентов, что сказывается на объеме доходов.
Ущерб от совершенной атаки может выражаться в форме:
прямых финансовых потерь;
упущенной выгоды;
морального ущерба.
Ущерб от атаки может быть вычислен количественно или оценен на качественном уровне с последующим присвоением каждому уровню некоторой количественной характеристики. Во втором случае величина ущерба оценивается неотрицательным числом, например, следующим образом:
Таблица 9.1.
Предполагаемая величина ущерба
Величина ущерба |
Описание |
0 |
Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме |
1 |
Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты |
2 |
Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально |
3 |
Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов |
4 |
Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы |
5 |
Фирма прекращает существование |
Вероятность атаки также представляется неотрицательным числом, например, в соответствии со следующей таблицей
Таблица 9.2.
Оценка вероятности атаки
Вероятность |
Средняя частота появления |
0 |
Данный вид атаки отсутствует |
1 |
Реже, чем 1 раз в год |
2 |
Около 1 раза в год |
3 |
Около 1 раза в месяц |
4 |
Около 1 раза в неделю |
5 |
Практически ежедневно |
Оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.
На следующем этапе составляется таблица рисков предприятия:
Таблица 9.3.
Оценка рисков предприятия
Описание атаки |
Ущерб |
Вероятность |
Риск (Ущерб х Вероятность) |
Спам (переполнение почтового ящика) |
1 |
4 |
4 |
Копирование жесткого диска |
3 |
1 |
3 |
Из центрального офиса |
…
|
…
|
... |
…
|
…
|
…
|
... |
Итого |
9 |
… |
... |
На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например, значением 7.
Сначала проверяется каждая строка таблицы на непревышение риска этого значения. Если такое превышение имеет место, значит данная строка - это одна из первоочередных целей разработки политики безопасности.
Затем производится сравнение удвоенного значения (7х2=14) с интегральным риском (ячейка «Итого»). Если интегральный риск превышает допустимое значение, значит в системе имеется множество мелких недостатков в системе безопасности, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк таблицы рисков выбираются те, которые дают самый значительный вклад в значение интегрального риска, и производится попытка их уменьшить или устранить полностью.
На самом ответственном этапе производится собственно разработка политики безопасности предприятия, которая обеспечит надлежащие уровни как отдельных рисков, так и интегрального риска. При ее разработке необходимо, однако, учитывать объективные проблемы, которые могут встать на пути реализации политики безопасности. Такими проблемами могут стать законы страны и международного сообщества, внутренние требования корпорации, этические нормы общества.
После описания всех технических и административных мер, планируемых к реализации, производится расчет экономической стоимости данной программы. В том случае, когда финансовые вложения в программу безопасности являются неприемлемыми или просто экономически невыгодными по сравнению с потенциальным ущербом от атак, производится возврат на уровень, где задавалось значение максимально допустимого риска (7 в нашем примере) и увеличение его на один или два пункта.
В целом, выбор мероприятий защиты информации производится исходя из желаемого выполнения двух условий:
с одной стороны, затраты на проведение мероприятий защиты информации не должны превышать ценности защищаемой информации для предприятия (ущерба от ее раскрытия/потери);
с другой стороны, затраты на проведение успешной атаки на информацию должны превышать ценность этой информации для злоумышленника.
Завершается разработка политики безопасности ее утверждением у руководства фирмы и детальным документированием. За этим должна следовать активная реализация всех указанных в плане компонентов. Перерасчет таблицы рисков и, как следствие, модификация политики безопасности фирмы, как правило, производятся раз в два года.