• повышение качества информации, её оперативности, актуальности, точности, детальности, объективности, в том числе за счёт сокращения ошибок;

• Углубление анализа, повышение качества аналитических отчётов, получение принципиально новых аналитических возможностей;

• совершенствование работы аппарата управления;

• улучшение организации производства;

• сокращение сроков решения отдельных задач (подготовку документов, отчетов) и принятия управленческих решений;

• повышение качества обслуживания клиента;

• повышение эффективности маркетинговых компаний;

• снижение дебиторской задолженности за счёт автоматического отслеживания выставленных счетов, сроков платежей, погашения задолженности;

• сокращение запасов на складах при автоматизации складского учёта;

• усиление контроля, предотвращение хищений, злоупотреблений;

• эффект снижения влияния кадровой «текучки» на производственные показатели. Например, информация о клиентах остаётся в информационной базе, а не «уходит» вместе с менеджером;

• повышение коллективизма, улучшение деловой обстановки в результате открытости информации;

• повышение качества труда за счёт сокращения рутинных операций;

• повышение квалификации сотрудников при внедрении новых технологий.

Эффективность АИС оценивают при ее проектировании (плановую) и в процессе эксплуатации (фактическую)

Рекомендуемая литература

1. Нетесова О. Новые технологии в цифрах. Методы оценки эффективности автоматизированных информационных систем. – Бухгалтер и компьютер, №7, 2004.

2. Семенов М.И, Трубилин И.Т., Лойко В.И., Барановская Т.П. Автоматизированные информационные технологии в экономике. – М.: Финансы и статистика, 2000. – П. 7.4.6.

3. Автоматизация управления предприятием /Баронов В. В. и др. –М.: ИНФРА-М, 2000. – С. 141-152.

4. Подольский В.И., Дик В.В., Уринцев А.И. Информационные системы бухгалтерского учета /Под ред. В.И. Подольского. – М.: Аудит, ЮНИТИ, 1998. – П. 2.10.

5. Автоматизированные системы обработки экономической информации /Под ред. В.С. Рожнова. – М.: Финансы и статистика, 1986. – П. 5.3.

Дополнительная литература

1. Автоматизированные системы обработки экономической информации /Под ред. В.С. Рожнова. – М.: Финансы и статистика, 1986. – Гл. 3.

2. Рожнов В.С., Косарев В.П. Машинная обработка экономической информации. – М.: Финансы и статистика, 1983. – Гл. 10.

3. Егорова А.С. Организация машинной обработки экономической информации в сельском хозяйстве. – М.: Финансы и статистика, 1983. – П. 3.7.

Вопросы для самопроверки:

1. Какие затраты необходимы для создания АИС?

2. Что такое эффективность АИС?

3. Назовите прямые показатели эффективности АИС? Как их рассчитывают?

4. Что такое косвенные показатели эффективности АИС?

5. Назовите косвенные показатели эффективности АИС.

6. Когда оценивают эффективность АИС?

7. Информационная безопасность аис

7.1. Необходимость обеспечения информационной безопасности информационной системы и виды угроз

Информационная безопасность ИС является обязательной. При автоматизации степень защищенности является одной из характеристик информационной системы.

Под безопасностью информационной системы понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования.

Утрата документов, баз данных, может вызвать не только остановку работы предприятия, но и невозможность ее возобновления в дальнейшем, а несанкционированный доступ к информации – ослабление позиций предприятия по сравнению с конкурентами.

Многие информационные системы, например, банков, военных и государственных организаций, где утечка и утрата информации недопустима, должны быть защищены очень надежно.

Необходимость защиты информации возрастает при широком использовании средств автоматизации и электронных носителей информации. Информация в электронном виде более подвержена различным угрозам. Ее легче скопировать, уничтожить, исказить, чем информацию на бумажных носителях. К обычным видам угроз (пожар, стихийное бедствие, хищение) добавляются многие другие.

Объектами защиты в информационной системе являются не только информационные ресурсы. Для обеспечения нормальной работы АИС и защиты информации необходимо защищать и другие компоненты информационной системы: технические средства, программы, сети.

Под угрозой безопасности информации понимают события или действия, которые могут привести к искажению, несанкционированному использованию, разрушению информационных ресурсов, а также программных и технических средств.

Случайные угрозы – возникают независимо от воли и желания людей. Их источником могут быть неисправности технических средств, ошибки персонала, ошибки в программном обеспечении.

Умышленные, преднамеренные угрозы преследуют цель нанесения ущерба управляемой системе или пользователям.

Виды умышленных угроз:

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов информационной системы, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, копирование данных, прослушивание линий связи.

Активные угрозы имеют целью нарушение нормального функционирования информационной системы. К ним относятся, например, вывод из строя компьютера или программного обеспечения, искажение и уничтожение информации в базах данных, нарушение работы линий связи.

Угрозы подразделяются на внутренние и внешние.

Внутренние – возникают внутри организации, исходят чаще всего от персонала.

Внешние – возникают извне. Это могут быть злонамеренные действия конкурентов, промышленный шпионаж.

Особое значение приобрела угроза от вредоносных программ и вирусов. Практически каждый пользователь сталкивается с вирусами, с различными нарушениями в работе программных средств, вызываемыми ими, другими последствиями. С развитием компьютерных сетей значение этой угрозы возрастает. Существуют вирусы (черви), распространяющиеся по электронной почте, рассылающие сами себя по всем имеющимся в системе адресам.

Вредоносные программы бывают и других типов. Логические бомбы используются в основном для разрушения или искажения информации. Внедренные злоумышленниками, они начинают действовать при наступлении определенных условий.

Троянский конь – программа, выполняющая в дополнение к основным действиям дополнительные, не описанные в документации. Представляет собой дополнительный блок команд, вставленный в исходную безвредную программу.

Захватчик паролей – программы, предназначенные для воровства паролей.

Основными угрозами безопасности информации являются:

неправильные действия пользователя. Это могут быть неправильно введенные данные, команды, ошибки администрирования. Они могут привести к уничтожению, разрушению, искажению информации;

неисправности, сбои технических и программных средств, аварии нарушают нормальную работу информационной системы, могут приводить к потерям информации;

вирусы и вредоносные программы представляют серьезную угрозу, но при правильном применении средств защиты угроза может быть сведена к минимуму;

кражи технических средств и носителей информации;

несанкционированный доступ к ресурсам может привести как к нарушению нормальной работы информационной системы, утрате информации, так и к несанкционированному использованию информации с целью нанесения ущерба, обогащения. Такой доступ может быть осуществлен путем входа в систему под чужим именем, прослушивания линий связи, регистрации излучений от технических средств и другими способами.

Реализация угроз ИС приводит к различным видам прямых или косвенных потерь. Материальный ущерб может возникать при утрате имущества, необходимости ремонтных работ, расходов на восстановление информации и др. Потери могут выражаться в ущемлении интересов, утраты клиентов, ухудшении положения на рынке.

2. Методы и средства защиты АИС

Защита информации предусматривает комплекс мероприятий, направленных на обеспечение информационной безопасности.

Рис. 4. Методы и средства обеспечения безопасности информации

Препятствие – физическое преграждение пути злоумышленнику к аппаратуре, носителям информации. Используются физические средства защиты – замки, решетки на окнах, охрана помещений.

Управление доступом – регулирование использования ресурсов информационной системы. Включает в себя:

идентификацию пользователей, персонала и ресурсов системы (присвоение каждому субъекту и объекту персонального имени);

регистрацию, опознание субъекта или объекта путем ввода пароля, другими методами опознания;

ограничение прав при использовании ресурсов системы;

ведение журнала, протоколирование обращений к системе;

реагирование (сигнализация, отключение, отказ) при попытках несанкционированных действий.

Используется при доступе к аппаратным и программным средствам, при входе в сеть.

Для повышения надежности парольной защиты пароль не должен быть слишком коротким, его следует периодически менять, число неудачных попыток входа в систему должно быть ограничено.

Шифрование – криптографический метод. Распространены программы для шифрования информации (Secret Disk), шифрующие информацию на дисках компьютера. Шифрование – является единственным надежным методом при передаче информации на большие расстояния. В качестве шифровального ключа может использоваться набор команд, устройство, программа. В системах ассиметричного шифрования (с открытым ключом) ключ для зашифровывания отличен от ключа для расшифровывания, и может быть несекретен. Разновидность метода – электронная цифровая подпись, подтверждающая подлинность передаваемых сообщений и документов.

Противодействие атакам вредоносных программ должно осуществляться с помощью антивирусных программ, регулярно тестирующих все компьютерные диски, особенно съемные. Так как компьютерные вирусы постоянно меняются, появляются новые, то и антивирусные программ должны регулярно обновляться. Также необходимо использование только лицензионного программного обеспечения, нельзя использовать «взломанные», пиратские программы (см. тему 4).

Регламентация – создание условий обработки, хранения и передачи информации для максимальной защиты. Особенно важно резервное копирование информации – в случае потери информации будет возможность воспользоваться копией. Копировать информацию нужно на другой носитель, а не на тот же компьютерный диск, где хранится рабочая информация.

Также необходимо ограничение доступа в помещения, хранение носителей информации в закрытых металлических шкафах, учет носителей информации, предотвращение их выноса, хищения, несанкционированного копирования.

Принуждение – метод защиты, побуждающий пользователей и персонал соблюдать правила обработки, передачи и использования информации под угрозой материальной, административной или уголовной ответственности.

Побуждение персонала соблюдать правила защиты информации, не нарушать установленные порядки осуществляется морально-этическими средствами.

При разработке и реализации системы защиты ИС выделяют три стадии:

1. Выработка требований:

- выявление и анализ уязвимых элементов;

- выявление или прогнозирование угроз, которым могут подвергнуться уязвимые элементы ИС;

- анализ риска.

2. Определение способов защиты и разработка плана защиты. Принимаются решения:

- какие угрозы должны быть устранены и в какой мере;

- какие ресурсы ИС должны быть защищены и в какой степени;

- с помощью каких средств должна быть реализована защита;

- каковы должны быть стоимость реализации защиты и затраты на эксплуатацию ИС с учетом защиты от потенциальных угроз.

3. Построение системы информационной безопасности. Оценка надежности системы.