Ключевые показатели оценки сервисов информационной системы

Показатель	Описание
Среднее время отклика сервиса	Среднее время отклика, проходящее после запуска сервиса. Измеряется в определенном промежутке времени по категории обслуживания и по размещению сервиса
Нагрузка на систему	Измеряется загрузка системы, вы­званная данным сервисом
Достоверность	Вероятность ошибки в возвращае­мой информации в расчете на знак
Целостность	Сколько раз сервис замечался неце­лостным (проверка целостности оп­ределяет, действительно ли сообще­ние было изменено)
Недоставленные сообщения	Процент недоставленных сообщений
Безопасность	Количество обнаруженных потенци­альных атак/угроз (например, отказ в запуске)
Доступность	Процент времени, в которое сервис или приложение было доступно
Уязвимость	Количество найденных уязвимостей сервиса
Ошибки авторизации	Количество сбоев или нарушений авторизации
Ошибки аутентификации	Количество сбоев или нарушений аутентификации
Соблюдение политик	Частота нарушений политик за вре­менной период
Количество ошибок сервиса	Количество ошибок сервиса во вре­менном периоде
Многократность использования сервиса	Количество повторного использова­ния сервисов в комплексе бизнес-процессов
Количество успешных запусков сервиса	Количество успешных запусков сер­виса

Обратимся к инструментальным средствам измерения значе­ний ключевых показателей сервисов.

После определения ключевых показателей сервисов необхо­димо обеспечить их измерение. Способы измерения показателей зависят от используемого программного обеспечения. Табл. 5.3 характеризует возможности измерения ряда ключевых показателей для сервисно-ориентированных информационных систем, постро­енных на платформах Oracle SOA Suite и Tibco. Решения ORACLE и TIBCO включают в себя целый ряд программных продуктов, ука­занных в табл. 5.3.

Таблица 5.3

Инструментальные средства измерения ключевых показателей
на основе продуктов Oracle и Tibco

Программный модуль	Возможность измерения
Показатель: Количество успешных запусков сервиса
Продукт: Oracle SOA Suite
Enterprise Manager SOA Management Pack	Enterprise Manager – инструмент, который может измерить значение этого показателя в случае, если ус­тановлен Enterprise Manager SOA Management Pack
WSM (Web Service Management)	Число в поле Number of Successes – общее количество успешных запус­ков. Далее можно идентифициро­вать причину ошибки (например, ошибка авторизации или ошибка бизнес-функции)
ESB (Enterprise Service Bus)	ESB Console показывает количество сообщений, успешно доставленных до назначенной системы
BPEL	Изучив показатели датчиков в про­цессах BPEL, возможно измерить число успешно запущенных серви­сов
BAM	Данные, собранные датчиками в BPEL-процессах, могут быть пока­заны в BAM. В ВАМ имеется бога­тый функционал демонстрации трендов
Продукт: TIBCO
	Policy Manager (WSM)	Применение «out-of-the-box policy temp­late» к сервису в настройках Policy Mana­ger активирует сбор по­казателя количество успешных за­пусков

Окончание табл. 5.3

Программный модуль	Возможность измерения
Enterprise Messaging Service	Данные по этому показателю можно получить с помощью ути­литы «EMS Admin utility»
Business Factor (BAM)	TIBCO Administrator (при исполь­зовании TIBCO Hawk) показывает количество успешных запусков по каждому сервису
iProcess (BPM)	Утилита iProcess Insight автомати­чески собирает статистику по этому показателю, которую можно про­смотреть по каждому бизнес-про­цессу
Показатель: Среднее время отклика сервиса
Продукт: Oracle SOA Suite
Enterprise Manager SOA Management Pack	Этот показатель может быть изме­рен при использовании тестов SOAP. Тесты могут быть запущены из разных участков системы
WSM	Данные по показателю собираются для каждого сервиса при активации соответствующих политик
ESB	Вкладка Instance в ESB Console по­казы­вает время отклика для каж­дого сервиса
BPEL	Изучив показатели датчиков в про­цессах BPEL, возможно измерить среднее время отклика сервисов
BAM	Данные по этому показателю соби­раются датчиками в BPEL-процес­сах. Они могут быть показаны в BAM
Продукт: TIBCO
Policy Manager (WSM)	Необходима индивидуальная на­стройка для измерения этого пока­зателя. Для его отображения необ­ходимо создание специального ин­терфейса
Business Works (ESB)	Данные по показателю предостав­ляются программным модулем «TIBCO Admini­strator»
iProcess (BPM)	Программный модуль «TIBCO Hawk» собирает данные по этому показателю. Для его отображения необходимо создание специального интерфейса

Модель безусловной оптимизации выбора варианта
сервисной поддержки комплекса бизнес-процессов

 

Предлагаемая модель представляет собой модель безусловной оптимизации в том смысле, что ее критерий содержит как резуль­таты информационной поддержки комплекса бизнес-процессов, так и затраты на эту поддержку. Модель основывается на экспертных оценках зависимости основного финансового результата деятель­ности хозяйствующего субъекта (прибыли) от информатизации комплекса бизнес-процессов и качества их информационной под­держки. Модель предполагает максимизацию экономической при­были предприятия за год:

В модели принято бюджетное ограничение

В модели также присутствуют ранее приведенные ограниче­ния (5.3), (5.4) и (5.5).

В дополнение к ранее введенным обозначениям используются следующие: – допустимая среднегодовая стоимость владения сервисной поддержки комплекса бизнес-процессов; – базовая ве­ли­чина прибыли хозяйствующего субъекта за год; – коэффици­ент эластичности прироста прибыли предприятии по качеству s -го бизнес-процесса; – удельный вес m -го показателя в суммарной оценке качества s -го бизнес-процесса, .

Распределение инвестиций по бизнес-процессам было бы три­виальной задачей, если бы каждый бизнес-процесс имел свои сер­висы, не присутствующие в других бизнес-процессах. Тогда надо было бы отдать предпочтение наиболее эффективному бизнес-про­цессу, доведя качество его информационной поддержки до макси­мума, за ним следующему по эффективности и т. д.

Но поскольку одни и те же сервисы присутствуют в разных бизнес-процессах, то возникает нетривиальная комбинаторная за­дача, решение которой возможно на основе предлагаемой модели.

Пример программной реализации модели условной оптимиза­ции

 

Для расчетов по рассмотренным моделям требуются про­граммные средства решения задач линейного программирования с двоичными переменными. К числу этих программных средств от­носятся WinQSB, Lindo, MatLab и др. В нашем примере было вы­брано программное средство WinQSB, свободно распространяемое через Интернет. Это программное средство характеризуется воз­можностью решения задач достаточно большой размерности (рис. 5.4).

 

Количество переменных

Количество ограничений

Рис 5.4. Размерность задач линейного программирования
с двоичными пере­менными в пакете WinQSB

	Количество переменные

Перед нами стоит задача выбора вариантов реализации серви­сов для трех бизнес-процессов кредитного отдела.

Бизнес-процесс 1 «Оценка кредитного предложения»: (Logging (сервис 1) ® Request Agreement (сервис 2) ® Score Agreement (сервис 3) ® Close Agreement (сервис 6)).

Бизнес-процесс 2 «Активация кредитного предложения»: (Logging (сервис 1) ® Request Agreement (сервис 2) ® Decide Agreement (сервис 4) ® Activate Agreement(сервис 5) – Close Agreement (сервис 6)).

Бизнес-процесс 3 «Проверка кредитного предложения»: (Logging (сервис 1) ® Request Agreement (сервис 2) ® Validation (сервис 7) ® Printing (сервис 8)).

В приведенном примере комплекса бизнес-процессов сервисы Logging, Request Agreement, Close Agreement используются по­вторно в трех бизнес-процессах. Так как данные сервисы оплачи­ваются однократно в сервисно-ориентированной информационной системе, то обеспечивается экономия средств по сравнению с тра­диционной информационной системой. В качестве ограничений модели были выбраны оперативность, безопасность и достовер­ность сервисов.

Размерность задачи зависит от количества видов сервисов, возможных вариантов их осуществления, количества бизнес-про­цессов, в которых эти сервисы используются, и числа ограничений на качество сервисов. В нашем примере фигурируют три бизнес-процесса, восемь видов сервисов и два варианта осуществления ка­ждого из них. Таким образом, число переменных составило 42, а число ограничений – 85. Представление исходных данных
в модели в пакете WinQSB для нашего примера показано на
рис. 5.5.

 

Рис 5.5. Представление исходных данных модели в пакете WinQSB

Сокращение среднегодовой стоимости сервисной поддержки комлекса бизнес-процессов за счет оптимизации оказывается тем больше, чем больше бизнес-процессов в комплексе и типовых сер­висов в них.

5.3. Оценка информационной защищенности и проектирование системы информационной безопасности

 

5.3.1. Защита информации

По мере возрастания зависимости пользователей от под­держки со стороны ИС становятся все более актуальны вопросы защиты информации, информационной безопасности.

В основе проектирования системы зашиты информации должна быть положена концепция безопасности системы защиты. Концепция безопасности – это подход к проектированию системы защиты, основанный на анализе возможных угроз и выборе соот­ветствующих методов и механизмов противодействия.

Угрозы информационной безопасности могут возникнуть на всех этапах технологического цикла обработки информации, свя­зывающего субъект и объект управления. Такими этапами и соот­ветствующими типами преобразования информации являются: по­лучение первичной информации, ее передача, ввод в ИС, хранение в базе данных, вычислительная обработка в соответствии с алго­ритмами решения функциональных задач, выдача результатной информации конечным пользователям для принятия управленче­ских решений или автоматическое преобразование результатной информации в управляющие воздействия. Угрозы информационной безопасности могут исходить как от пользователей ИС, так и от по­сторонних лиц, так называемых «хакеров».

Классификация возможных угроз информационной безопас­ности и их последствий представлены на рис. 5.6.

Требования к обеспечению информационной безопаснизсти слогаются в ГОСТ Р ИСО/МЭК 27001–2006 «Информационная тех­нология. Методы и средства обеспечения безопасности. Требо­ва­ния».

 

 

 

Рис. 5.6. Классификация возможных угроз информационной безопасности
и последствий их осуществления

Методы и средства информатизационной безопасности пред­ставлены как в составе типовых КИС, так и в виде специальных прогрвммных средств.

Так, в типовых КИС my SAP ERP защита информации преду­смотрена на трех уровнях:

· на уровне бизнес-приложений;

· на уровне баз данных;

· на уровне сетевых коммуникаций.

Примером специального программного средства, повышаю­щего защищенность информационных систем, является антивирус­ный программный продукт Kaspersky Business Spase Security, раз­работанный «Лабораторией Касперского».

Рассмотрим основные методы и механизмы защиты инфор­ма­ции.

Для обеспечения защиты хранящейся и обрабатываемой ин­формации от несанкционированного доступа используются не­сколько методов и механизмов противодействия. К их числу отно­сятся: законодательные акты, меры физической защиты, управле­ние доступом и криптографические методы.

Важным методом защиты является управление доступом ко всем ресурсам ИС со стороны обслуживающего персонала инфор­мационных подразделений и конечных пользователей. Управление доступом включает в себя идентификацию пользователей, персо­нала (присвоение логинов), идентификацию ресурсов системы, а также аутентификацию (установление подлинности). Наиболее распространенным методом аутентификации пользователей и пер­сонала является использование разнообразных па-ролей.

Проникновение в ИС программ-вредителей чаще всего ассо­циируется с вирусами, т. е. программами, заражающими другие программы, присоединяясь к ним. Известные методы борьбы с ними – это антивирусные программы. Помимо вирусов к програм­мам-вредителям относятся так называемые логические бомбы, тро­янские кони, червяки, бактерии и т. д. Противодействие этим про­граммам-вредителям требует применения соответствующих про­граммных средств, отличающихся от традиционных антивирусных программ.

В качестве методов защиты при передачи информации по ка­налам связи, а также в качестве защиты от несанкционированного доступа могут использоваться криптографические методы. Разли­чают криптографические методы с закрытым (секретным) и откры­тым ключом. В методе с закрытым ключом один и тот же ключ ис­пользуется как для шифрования, так и для дешифрования информации. Этот метод может применяться не только для защиты при передачи информации, но и для защиты при ее хранении.

Суть криптографических методов с открытым ключом состоит в том, что ключ шифрования отличается от ключа дешифрования. Ключ шифрования не секретен (открытый ключ), а для дешифрова­ния требуется секретный (закрытый) ключ.

Считается, что криптографические методы с открытым клю­чом больше подходят для защиты передаваемой информации, чем для защиты хранимой информации. Криптографические методы с открытым ключом используются в цифровых подписях. Универ­сальным методом управления защитой информации является реги­страция и анализ всех случаев доступа к ИС и характера работы в среде этой системы.

Безопасность на уровне сетевых коммуникаций предусматри­вает защиту доступа к локальной сети и защиту взаимодействий в сети Интернет. В основе этой защиты лежит использование множест­венных экранов и прокси-серверов.

Для восстановления искаженной или уничтоженной информа­ции необходимо регулярное копирование информации и наличие резервных компонентов ИС.

Комплексный показатель информационной защищенности может быть представлен в следующем виде:

(5.7)

(5.8)

где R – комплексный обобщенный показатель оценки каче­ства инфраструктуры защиты информации (обобщенный коэффи­циент защищенности, показывающий уровень отражения атак по всей совокупности возможных угроз);

r_i – i -й частный показатель оценки качества инфраструктуры защиты информации (частный коэффициент защищенности, пока­зывающий, какая часть атак угрозы i -го вида отражается), 0 ≤ r_i ≤ 1;

N – множество видов угроз, т. е. множество частных показате­лей оценки качества инфраструктуры защиты информации, своди­мых в обобщенный показатель;

К _i – весовой коэффициент i -го частного показателя качества в аддитивной свертке.

Величины К _i. для " i Î N характеризуют структуру угроз, т. е. состав угроз и относительную интенсивность атак со стороны каж­дой угрозы.

Комплексный показатель информационной защищенности требуемого уровня предлагается определять на основании данных табл. 5.4 [24].

Таблица 5.4

Характеристика значений комплексного показателя
информационной защищенности

Значение комплексного показателя информацион­ной защищенности (R)	Характеристика состояния системы информационной безопасности
0,00–0,50 Слабая защита	Блокируется незначительная часть угроз. Потери очень значительны. Фирма за короткий период (до года) теряет положение на рынке. Для восстанов­ления положения требуются крупные финансовые займы
0,51–0,75 Средняя защита	Неотраженные информационные угрозы приводят к значительным потерям на рынке и в прибыли. Фирма теряет существенную часть клиентов
0,76–0,87 Повышенная защита	Блокируется значительная часть угроз. Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положе­ние на рынке и количество клиентов изменяются незначительно
0,88–0,95 Сильная защита	Ущерб от реализации угроз не затрагивает положе­ния фирмы на рынке и не приводит к нарушению финансовых операций
0,96–0,98 Очень сильная защита	Раскрытие информации принесет незначительный экономический ущерб фирме
0,99–1 Особая защита	Отражаются практически все информационные уг­розы

 

5.3.2. Оценка информационной защищенности бизнес-процесса

В условиях процессного подхода к управлению основной се­мантической единицей, применительно к которой следует рассмат­ривать уровни информационной защищенности, информационных угроз и риска нарушения информационной безопасности, является бизнес-процесс.

По аналогии с обобщенным коэффициентом защищенности (5.7) можно предложить следующую оценку коэффициента защи­щенности бизнес-процесса.

Коэффициент защищенности бизнес-процесса показывает, ка­кая часть атак отражается по всей совокупности угроз осуществ­ляемого бизнес-процесса.

Количественно коэффициент защищенности a -го бизнес-про­цесса может быть рассчитан в соответствии с формулой:

(5.9)

, (5.10)

где K_ia – удельный вес количества атак со стороны угрозы i -гo вида на бизнес-процесс.

Весовой коэффициент K_ia можно представить как сумму весо­вых коэффициентов, относящихся к отдельным бизнес-операциям бизнес-процесса:

(5.11)

где K_ib – удельный вес количества атак со стороны угрозы i -й уг­розы на b -ю бизнес-oпepацию, входящую в состав бизнес-процесса;

В – множество бизнес-операций в бизнес-процессе.

Подставляя (5.11) в (5.9) и в (5.10),получаем:

(5.12)

(5.13)

Величина K_ib зависит от трех факторов:

· интенсивности потока атак со стороны угрозы i -гo вида на b -ю бизнес-операцию (l _ib);

· времени выполнения b-й бизнес-операции (t_b);

· вероятности вхождения b -й бизнес-операциии в бизнес-про­цесс при отдельной его реализации (р_b).

На основании статистических данных величина K_ib может быть вычислена по формуле

(5.14)

Величины l _ib для должны быть получены за достаточно большой интервал времени с тем, чтобы угрозы всех видов могли проявить себя с должной степенью репрезентативности.

При отсутствии статистических данных значения весовых ко­эффициентов K_ib могут быть определены экспертным путем.

Сучетом выражения (5.14) коэффициент защищенности биз­нес-процесса может быть представлен выражением:

(5.15)

Для анализа бизнес-процесса с позиции его информационной защищенности целесообразно применение модельного подхода. На рис. 5.7 представлена модель бизнес-процесса выполнения за­каза клиента предприятием торговли. Для представления модели использован метод описания бизнес-процессов IDEF3, поддержи­ваемый рядом известных CASE-средств, например BPWin.

Бизнес-операции (действия) бизнес-процесса представлены прямоугольниками, размеченными весовыми коэффициентами уг­роз i -го вида K_ib.

На модели (рис. 5.7) показано ветвление бизнес-процесса в зависимости от наличия с вероятностью р или отсутствия с веро­ятностью (1 – р) необходимого для клиента товара на складе.

 

 

Рис. 5.7. Бизнес-процесс с указанием весовых коэффициентов угроз

 

 

Таблица 5.5

 

Пример расчета коэффициента защищенности бизнес-процесса

 

Наименование угрозы	Значение коэффи­циента за­щищен­но­сти ri	Удельный вес угрозы по операциям (Кiab)	Удельный вес уг­розы Kia
1.Офор­мить дого­вор	2. Про­ве­рить нали­чие на складе	3. Зарезер­вировать товар	4. Прио­брести то­вар	5. Прихо­довать то­вар	6. Отгру­зить товар
1.Несанкцио­нирован­ный доступ наруши­телей	0,7	0,1				0,2	0,4	0,7
2. Сбои технических и программных средств Обработки информа­ции	0,9	0,05	0,08	0,02	0,05	0,07	0,03	0,3
Коэффициент защищенности бизнес-процесса Ra = 0,76

 

Ветвление приводит к возможному изменению состава биз­нес-операций при реализации бизнес-процесса.

Пример расчета коэффициента защищенности бизнес-про­цесса в соответствии с формулой (5.12), состоящего из шести опе­раций, подверженных атакам со стороны двух видов угроз, пред­ставлен в табл. 5.5.

Если рассчитанный коэффициент защищенности оказался ниже требуемого уровня, то для повышения защищенности бизнес-процесса требуется привлечение дополнительных финансовых ре­сурсов. При этом следует повышать защищенность наиболее «сла­бых звеньев» (операций) бизнес-процесса согласно величинам К_ib.

Для соответствующих бизнес-операций частные коэффици­енты защищенности r_ib должны быть выше коэффициентов защи­щенности среднего уровня r_i.

Тогда

. (5.16)

Зависимость величины r_i от затрат на нее повышение x_i на ка­чественном уровне представлен на рис. 5.10.

 

r_i

 

 

Δ r_i

 

x_i

Δ x_i

Рис. 5.10. Зависимость величины коэффициента защищенности
от за­трат на его повышение

 

Можно предложить, что в окрестностях исходной величины x_i зависимость r_i от x_i линейна. Тогда повышение коэффициента за­щищенности на величину D r_i можно определить по формуле

(5.17)

где удельное (в расчете на единицу затрат) повышение ко­эффициента защищенности

Модель оптимального распределения дополнительных затрат D C между операциями бизнес-процесса для повышения коэффици­ента его защищенности не ниже допустимого уровня в этом случае может быть представлена следующим образом в виде задачи ли­нейного программирования:

(5.18)

(5.19)

(5.20)

где – величина дополнительных затрат на повышение защищен­ности b-й операции бизнес-процесса.

Можно поставить взаимно обратную задачу в соответствии со следующей моделью, в которой ограничены денежные ресурсы ве­личиной ∆С ^{до п} .

(5.21)

(5.22)

(5.23)

В конечном итоге риск (вероятность) нарушение информаци­онной безопасности бизнес-процесса зависит не только от уровня информационной защищенности, но и от вероятности атаки на биз­нес-процесс во время его осуществления.

Если поток атак обладает свойствами стационарности, ординарно­сти и отсутствием последействия, то его можно считать распреде­ленным по закону Пуассона.

В этом случае вероятность m -кратной атаки на бизнес-процесс составляет, как известно, величину

(5.24)

где (5.25)

(5.26)

Как следует из формулы (5.24), вероятность однократной атаки существенно больше вероятности двукратной атаки, которая, в свою очередь, существенно больше трехкратной и т. д.

Наличие усредненного значения коэффициента защищенности позволяет сопоставлять его с вероятностями атак, независимо от их вида.

При этом риск (вероятность) нарушения бизнес-процесса Р_н при однократной атаке составляет величину

P_н = P_a (1)(1 – R_a), (5.27)

где P_a (1) – вероятность однократной атаки.

 

5.3.3. Проектирование системы информационной безопасности

 

Проектирование системы информационной безопасности яв­ляется составной частью работы по созданию и информатизации системы и осуществляется специализированным предприятием-ис­полнителем на условиях аутсорсинга с привлечением сотрудников службы безопасности предприятия-заказчика (администратора сис­темы по информационной безопасности и др.). В качестве техноло­гии проектирования предпочтение отдается применению типовых сертифицированных проектных решений и индивидуальной дора­ботки системы с использованием технологий канонического и ав­томатизированного проектирования.

Порядок проектирования системы информационной безопас­ности предлагает ГОСТ Р 51583-2000 «Порядок создания автомати­зированных систем в защищенном исполнении».

Распределение работ по стадиям проектирования системы ин­формационной безопасности представлено на рис. 5.8.

 

Рис. 5.8. Распределение работ по стадиям проектирования системы информационной безопасности

Опытная эксплуатация

Предпроектная стадия начинается с обследования информа­ционной системы предприятия. Предметом анализа является ин­формация, характеризующаяся определенным уровнем секретности и подвергающаяся возможным атакам со стороны существующих угроз в процессах ее обработки. Этот анализ должен выполняться применительно как к информационной инфраструктуре в целом, так и к отдельным компонентам базы данных, передаваемой ин­формации, а также информации, используемой в бизнес-процессах при процессном подходе к управлению.

Техническое проектирование начинается с разработки кон­цепции информационной безопасности. В развитие принятой кон­цепции анализируется возможность использования типовых средств защиты информации, а также разрабатываются дополни­тельные методы и механизмы защиты информации, отвечающие условиям предприятия-заказчика.

Важным этапом стадии технического проектирования явля­ется построение математической модели, выбора варианта системы информационной безопасности. В качестве математического аппа­рата построения модели могут быть использованы модели: опти­мального программирования, аппарат теории игр и др. Во всех слу­чаях итоговыми показателями решения задачи выбора варианта системы информационной безопасности являются: комплексный показатель информационной защищенности, соответствующие ему стоимостные затраты на защиту информации, частные показатели информационной защищенности отдельных информационных ком­понентов, соответствующие этим показателям стоимостные за­траты, показатели информационной защищенности бизнес-процес­сов и соответствующие стоимостные затраты.

В техническом проекте должны быть предложены методы об­наружения ошибок в информации, возникающих в результате ее искажения под влиянием атак, требуется также разработать поря­док резервирования информации для ее восстановления в случае обнаружения ошибок.

Рабочее проектирование предусматривает разработку про­граммного обеспечения системы информационной безопасности, сопроводительных документов (руководство пользователей, руко­водство администратора системы информационной безопасности, тестовой документации, описания архитектуры системы). Заканчи­вается стадия рабочего проектирования тщательным тестированием системы информационной безопасности.

Заключительная стадия – ввод в действие и сопровождение – включает в себя обучение обслуживающего персонала информаци­онной системы предприятия и включенной в нее системы инфор­мационной безопасности, а также конечных пользователей. После этапа опытной эксплуатации системы и устранения обнаруженных неполадок в ее работе осуществляется приемка-сдача системы в со­ответствии с ТЗ, утвержденным в итоге выполнения предпроектной стадии. По завершении стадии ввода проводят аттестацию внедре­ния системы защиты информации. После утверждения акта при­емки-сдачи наступает этап постоянной эксплуатации системы, включающий в себя мониторинг ее функционирования и сопровож­дение со стороны предприятия-разработчика.

В заключение отметим, что с учетом рассмотренных особен­ностей, структуры и возможностей процессного подхода инфра­структура защиты информации должна обеспечивать:

· ориентацию всех процессов защиты на главный конечный ре­зультат – обеспечение необходимого уровня защиты информации в управлении бизнес-процессами;

· построение моделей бизнес-процессов с разметкой парамет­ров информационной безопасности;

· выявление, локализацию и устранение последствий реализа­ции всех возможных видов угроз;

· интеграцию функций защиты в единый автоматизирован­ный процесс;

· осуществление ресурсосберегающего управления защитой информации;

· регламентацию процессов защиты по приоритету, срочно­сти, рискам и т. д.;

· адаптацию политики безопасности к организационной струк­туре и информационной инфраструктуре предприятия;

· реализацию планово-предупредительной деятельности по обеспечению защиты информации бизнес-процессов;

· определение и разграничение ответственности участников бизнес-процессов за предотвращение конкретных видов угроз;

· возможность точного определения результатов функциониро­вания системы защиты информации (учет и отчет­ность по каждому виду угроз, сбор статистики, мониторинг теку­щего состояния, оценка рисков и т. д.);

· возможность развития и оптимизации процессов защиты на основе количественных оценок;

· управление информационными рисками применительно к бизнес-процессам.

 

 

5.4. Примеры типовых информационных систем

 

Основным признаком классификации типовых информацион­ных систем является их функциональность. По этому признаку ин­формационные системы подразделяются на локальные, малые, средние и крупные интегрированные системы. Примеры типовых информационных систем различных классов представлены в табл. 5.6.

Таблица 5.6

Примеры типовых информационных систем

Классы систем	Примеры систем (разработчики)	Соотношение за­трат: лицензия, внедрение/ обо­рудование	Стоимость, долл.	Время вне­дрения, мес.
Локаль­ные	1С:Бухгалтерия (1С) БЭСТ (Интеллект-Сервис) Альт-Финансы (Альт) Альт-Инвест (Альт) Project Expert (PRO-Invest) Система бюджети­рования «Красный директор» (Бизнес-Микро)	1/0.5/2	5–50	3-4
Малые интегри­рован­ные сис­темы	Бизнес Про Галактика (Галак­тика) БОСС-корпорация (Ай Ти) Бизнес Про (PBS)	1/1/1	50–30	4.9
Средние интегри­рован­ные сис­темы	Axapta (Microsoft) 1C:Предприятие (1С) SyteLine (Symix)	1/2/1	200–500	9-12
Крупные интегри­рован­ные сис­темы	SAP/R3 (SAPAG) Baan (Baan) Oracle application (Oracle)	4/1–5/1	500 000–1 000 000	12 и более

Дадим краткую характеристику нескольких информационных систем, представляющих различные классы типовых систем.

 

5.4.1. Типовая корпоративная информационная система
«Бизнес Про»

 

Типовая КИС «Бизнес Про» (разработчик «Professional Business Systems» Ltd, Санкт-Петербург) обладает достаточно широкой функциональностью для комплексной автоматизации задач управ­ления. Схема функциональной части КИС «Бизнес Про» представлена на рис. 5.9.

 

Рис. 5.9. Структура функциональной части КИС «Бизнес Про»

Как следует из этой схемы, функциональная часть системы содержит модули управления взаимоотношениями с клиентами (Customer Relationship Management, CRM) и управления цепочками поставок (Supply Chain Management, SCM) и поэтому может быть отнесена к классу систем ERP II.

Система предназначена как для управления оптовой, так и розничной торговлей, а также производством продукции с даль­нейшей поставкой «на заказ» и «на склад».

В качестве СУБД в системе используется SQL-сервер Borland Interbase.

Встроенным языком является язык типа Borland Delphi Lan­guage.

Обеспечивающая часть КИС «Бизнес Про» характеризуется масштабируемостью, универсальностью и открытостью.

Масштабируемость системы обеспечивает возможность ее исполь­зования на предприятии с разветвленной компьютерной сетью от нескольких десятков до сотен рабочих мест. «Бизнес Про» позволяет формировать единую распределенную базу данных предприятия, имеющего подразделения, не связанные друг с другом локальной компьютерной сетью.

Автоматизация предприятий, имеющих территориально уда­ленные подразделения – это очень сильная сторона «Бизнес Про».

Адаптивность системы позволяет осуществлять ее настройку в соответствии с требованиями конкретного предприятия. Бизнес Про поставляется с открытым серверным кодом. Используя модуль «Конструктор», Вы можете легко модифицировать базовые окна или создать новые, добавляя нужную вам функциональность. На­ряду со встроенными средствами программирования «Бизнес Про» имеет собственные средства для разработки приложений (интер­фейс API BusinessPro), что позволяет создавать новые модули для реализации функций, не включенных в базовую конфигурацию.

 

5.4.2. Типовая корпоративная информационная
система «Галактика»

 

К числу типовых систем, которые разработаны за последнее время отечественными специалистами, относится система «Галак­тика» (корпорация «Галактика»).

Система представляет собой многопользовательский сетевой комплекс полной автоматизации фирмы. Обеспечение гибкой на­стройки на специфику конкретной фирмы позволяет использовать систему на различных производственных предприятиях, в торговых фирмах и в сфере государственной службы. «Галактика» предна­значена для малых и средних по численности предприятий (рис. 5.10). Наиболее разработаны в системе модули бухгалтерского учета, управления финансами и кадрами, оперативного управления материально-техническим снабжением и сбытом. Управление про­изводством, с