Лекции по "Реинжинирингу"

 

4.

проблемой ИБ занимаются давно. В 1983 году Министерство обороны США выпустило  книгу в оранжевой обложке с названием «Критерии оценки надежности компьютерных систем». Позже она получила название «Ст-ты TCSEC».

Критерий был разработан в США  в 1988 году, в нем выделены общие требования к обеспечению безопасности обрабатываемой информации, определен перечень показателей защищенности. Было введено 6 основных требований: из них 4 относятся к управлению доступом к информации и 2 к предоставлению гарантий.

К управлению доступом к информации выделяются следующие классы безопасности компьютерных систем:

1. класс D (подсистема безопасности) присваивается тем системам, которые не прошли испытание на более высоком уровне защиты, а также системам, которые для своей защиты используют лишь отдельные функции безопасности.
2. класс С1 (избирательная защита). Средства защиты отвечают требованиям избирательного уровня. При этом обеспечивается разделение и аутентификация в том классе, где используется. При этом ему задается перечень допустимых типов доступа.
3. класс С2 (управляемый доступ). Свойства С1. при этом добавляются требования уникальной идентификации субъектов доступа, защиты и регистрации событий.
4. Класс В1(меточная защита). Метки конфиденциальности присваиваются всем субъектам и объектам системы, которые содействуют конфиденциальности информации. Доступ к объектам внутри системы разрешается только тем субъектам, чья метка отвечает определенному критерию относительно метки объекта.
5. Класс В2 (структурированная защита). Свойства как и у В1, кроме этого имеются хорошо определенная и документированная модель политики безопасности.
6. Класс А1 (верифицированная разработка). Для проверки спецификаций применяются методы формирования верификации, т.е. постоянно осуществляется анализ системы на предмет неполноты и противоречивости.

 

5.

Основным программно-аппаратным комплексами по защите информации являются комплексы серии Аккорд. В них выделяют:

1. электрически замок «Соболь». Функции: идентификация пользователей, защита ОС, проверка целостности и регистрация несанкционированных действий. Работает с такими системами, как MS  DOS и со всеми разновидностями и версиями Windows.
2. персональные средства криптографической защиты информации семейства «Шипка». Функции: шифрование передаваемых операций, идентификация подписи и аутентификация пользователя.

 Самые распространенные подсистемы этого семейства – это Аккорд РАУ (подсистема распределения, аудита и управления, позволяет объединить автоматизированные рабочие места, администраторов безопасности и пользовательских терминалов), Аккорд XR (модуль доверительной загрузки, позволяет защищать все ПК, входящие в состав локальной сети одновременно и функционирующие под управлением ОС Windows XP Professional). Кроме того для защиты используют клиент-банк, который позволяет создавать защитную среду для передачи электронных документов.

В настоящее время используется практически на всех средних и крупных предприятиях, и включен в состав, как правило, 1:С Бухгалтерии.

БАССК создает защитную среду для  выполнения специальных задач (Smart Line, Smart Card – средства доступа к защищенной среде).

Крипто-КОН используется для формирования электронной подписи, которая передается по каналам связи. В РБ используется в автоматизированной системе межбанковских расчетов.

Электронная подпись представляет собой функцию, зависящую от электронного ключа, который получает, как правило, руководитель предприятия и бухгалтер от содержания самого документа (количество гласных, согласных, знаков препинания, интервалов между словами, межстрочных интервалов).

 

6.

Компьютерные сети сами своим существованием создают дополнительные трудности. Для защиты информации, передаваемой в компьютерных сетях, используют специализированные протоколы.

Название протокола	Функциональное назначение
SSL
SET
SHTTP
SWAN
SMIME

Кроме этого используется оперативное  ПО – это:

1. Doctor Web для Windows
2. Doctor Web для почтовых серверов, работающих с ОС UNIX
3. Антиспам Doctor Web (для фильтрации поступаемой информации).
4. Антивирус и антиспам Doctor Web для почтовых серверов.

Механизмы контроля целостности данных, которые используются в сетевых  технологиях, позволяет осуществить проверку целостности как отдельного сообщения, так и потока сообщений для проверки целостности потока сообщений используются порядковые мономера, временные штампы, криптографическое связывание, при котором результат шифрования очередного сообщения зависит от предыдущего. При общении в режиме установления изменения используются временные штампы, которые обеспечивают огр. форму защиты от дублирования.

Механизмы управления маршрутизацией.

Маршруты могут выбираться статистически или динамически. Система, зафиксировав атаки на определенном маршруте, может отказаться от его использования. На выбор маршрута оказывает влияние метка безопасности.

Механизм нотаризации. Для заверения  таких коммуникационных характеристик  как целостность, время, личность отправителя и пользователя. Обычно эти механизмы опираются на механизм электронной подписи.

Механизмы аутентификации. Аутентификация может достигаться за счет использования  пароля, личных карточек, криптографических  методов. Бывает:

1. односторонняя (клиент обычно доказывает свою подлинность серверу).
2. двухсторонняя (взаимное доказательство).

Брандмауэры с пакетными фильтрами. Они принимают решение о том, пропускать пакет или отбросить, просматривая в заголовках пакетов  все IP-адреса или номера ТСР-портов.

IP-адреса или номера ТСР-портов – это, соответственно, с сетевых и транспортных уровней.

Пакетные фильтры кроме этого  используют информацию прикладного  уровня, т.к. все стандартные сервисы  протокола TCP-IP ассоциируются и определенным номером порта.

 

7.

развитие процессов информатизации общества на основе современных информационных технологий и телекоммуникаций усиливается. Новый вид общественных отношений  требует адекватного правового  регулирования. Основным правовым актом, регулирующим информационные общественные отношения является закон РБ «Об информатизации».

Закон от 05.09.1995г.	Закон от 22.10.2008г.

Сферой действия данного закона являются отношения, возникшие при  формировании и использовании информационных ресурсов на основе сбора, регистрации и хранения, обработки, накопления, поиска, распределения и предоставления потребителю документированной информации; при создании и использовании информационных технологий и средств их обеспечения; при защите информации прав субъектов, которые участвуют в информационных процессах.

Действие закона распространяется на отношения, которые возникают  в связи с созданием и использованием документированной информации.

Под документированной информацией следует понимать зафиксированную на материальном носителе информацию.

Обязательным условием для включения  информации в информационные ресурсы является ее документирование. Порядок документирования регламентируется такими нормативными актами как ГОСТ 6.10.4-84 «Унифицированные системы документации». Юридическую силу имеют документы на машинном носителе, которые созданы средствами вычислительной техники ГОСТ 6.38-90 «Система организационно-распорядительной документации и требования к оформлению документов». Согласно этим требованиям документ должен содержать 31 реквизит. Эти реквизиты позволяли идентифицировать документ. Документ, содержащий информацию, обр-ую ИС приобретал силу после его удостоверения должностным лицом в установленном порядке. С принятием закона «Об электронном документе и электронной подписи» от 10.1.200г. документ можно подписывать электронной подписью. В ст.11 этого закона и ст.22 отмечены цели защиты информации:

1. предотвращение утечки, хищения, утраты, искажения, подделки, несанкционированных действий по уничтожению, модификации, копированию, блокированию иных форм незаконного вмешательства в ИС,
2. сохранение полноты, точности, целостности документируемой информации, возможности управления процессом обработки и использования в соответствии с условиями, установленными собственником ИС.
3. защита прав субъекта в сфере информатизации.
4. обеспечение прав юридических и физических лиц.
5. сохранение секретности и конфиденциальности документируемой информации.

 

Тема 6:

Реинжинеринг  бизнес-процессов.

Вопросы:

1. Понятие реинжинеринга и его участники
2. Этапы реинжинеринга бизнес-процессов.
3. Роль ИТ в процессе реинжинеринга.

 

1.

в 80-е годы возникли новые формы  корпоративного метода и организации  производства. развитие ИТ в конце 80-х  годов 20 века привело к созданию аналитических систем нового поколения, которые обеспечили проведение комплексного анализа и оптимизацию структуры как5 крупных, так и мелких объектов хозяйствования. Опыт показал, что использование скрытых резервов внутри организации способны увеличить доходы  этих объектов в десятикратном размере. В связи с этим приобрело популярность понятие реинжинеринг бизнес-процессов. Автор данного термина – Хаммер. Он рассмотрел реинжинеринг бизнес-процессов как революцию в бизнесе, которая знаменует отход от базисных принципов.

Реинжинеринг  бизнес-процессов – процесс переосмысления и радикального перепроектирования с целью улучшения в несколько порядков различных показателей, характеризующих данный процесс.

Участниками реинжинеринга являются:

1. лидер проекта (в РБ – антикризисный директор) – член бывшего руководства объекта хозяйствования, который возглавляет организацию и процесс реинжинеринга, берет на себя основную ответственность и риск, который связан с проектом. Его основная задача – формирование представления о будущем обновленном объекте, а также обеспечение должностной мотивации от участников этого процесса.
2. лидеры процессов (владельцы процессов) – менеджеры, которые отвечают за обновляемыми процессами. Владелец процесса а время реинжинеринга несет ответственность за тот участок процесса, на котором он назначен.
3. руководящий комитет наблюдателей – группа представителей общ. руководства, которая определяет общую стратегию реинжинеринга и осуществляет контроль за выполнением работ по проекту. Его наличие целесообразно на больших объектах хозяйствования и на которых одновременно выполняется несколько процессов. Как правило, в него входят владельцы процессов, которые планируют общую стратегию по реинжинерингу, определяют приоритеты выполняемых проектов, решают конкретные проблемы.
4. специалисты, котрые отвечают за развитие методик и инструментарии, котрые поддерживают реинжинеринг, координируют выполнение различных проектов в рамках единого объекта хозяйствования. Они выполняют функции оперативного руководителя. Они должны владеть современными методами проведения раинжинеринга и современными инструментариями. Как правило, они привлекают специалистов со стороны для формирования команды по реинжинерингу, организуют оперативное взаимодействие владельцев отдельных процессов. Если есть необходимость, осуществляет координацию разработок.
5. команда по реинжинерингу – группа специалистов, которая непосредственно выполняет проект.

Все участники, как правило, занимаются моделированием бизнеса. Для выполнения конкретных работ по проекту могут  быть привлечены следующие ресурсы  и группы:

1. эксперт по методам (отвечает за исполняемую методологию, оказывает помощь тем, кто конкретно выполняет работу по проекту).
2. группа обеспечения качества (гарантирует надежность структуры, достаточность документации для новой организации бизнеса).
3. группа документирования (планирует обучение новыми способами ведения бизнеса, обеспечивает документирование и описание процессов).
4. координирующая или группа координато<span class="dash041e_0431_044b_0447_043d_044b_0439__Char" sty