Тема 2. Подходы и методы моделирования при проектировании информационных систем и технологий управления

Модель - подобный оригинальному объекту объект, систему или понятие (идею) в форме, отличной от формы реального существования.

Модель служит средством получения информации, помогающей в объяснении, понимании или совершенствовании.

Модель какого - либо объекта может быть точной копией оригинала (выполненной из другого материала и в другом масштабе), отображающей некоторые его характерные свойства в физической форме, но и представляется в смысловой вербальной, эмоциональной абстрактной формах.

Математические модели (абстракции, выполненные формальным языком математики) используют при экспериментальном прогнозировании поведения моделирующих объектов.

На математических моделях выполняют контролируемые эксперименты в случаях, когда наблюдения на реальных объектах, практически, невозможно или нежелательно из-за сложностей или опасностей, возникающих во время экспериментов.

Модель - источник информации при проектировании и управлении.

Реальный объект (управленческая деятельность, АИС, ИТП и технологии управления) à построение модели объекта (формирования описания КФЗ) à исследование на модели свойств реального объекта à построение алгоритмов решения управленческих задач (КФЗ) àАИС, АРМ (реализация ИТП и технологии управления) à контроль и оценивание эффективности.

Информационные технологии представляются концептуальным, логическим и физическим уровнями (соответственно, моделями).

Состав моделей БИТУ:

1. Модели предметной области, общего управления и решаемых задач.

. Модели организации ИТП.

. Модель управления данными.

. Модель представления знаний.

Сущность разработки математических моделей состоит в том, что на основе системного анализа выделяются существенные элементы СУ, её свойства и связи, соответственно, процессы, реализуемые этими элементами в рамках выполнения целевой функции, заданной надсистемой; производится определение общей концептуальной модели СУ, детализируемой математическими описаниями элементов, свойств, динамики процессов и их структур (связей) - устанавливаются связи между параметрами процесса, выявляются его граничные и начальные условия; собственно, КМ СУ переходит в полную ММ через формализацию процессов в виде системы математических соотношений (частных ММ), наиболее полно характеризующих агрегированное свойство или процесс у изучаемого объекта (информационно-технологического - автоматизированного - процесса управления).

Математическое описание составляется на основе материальных, энергетических и информационных балансов, а также физических законов, определяющих переходные, или какие-либо иные специфические особенности отдельно агрегированного процесса.

В систему математического описания в общем случае могут входить: алгебраические уравнения, обыкновенные дифференциальные уравнения и в частных производных, эмпирические формулы, логические условия и др.

При моделировании систем, реализующих сложные технологии (процессы) возможны следующие случаи:

1. Моделируемая система достаточно хорошо изучена, что позволяет записать аналитические соотношения, которые и будут служить моделью (законы Кирхгофа, уравнения кинетики, уравнения энергетического и материального балансов и т.п.). Предполагается, что все коэффициенты аналитических соотношений известны.

. Математическая модель известна с точностью до неизвестных параметров, для вычисления которых проводится необходимое число экспериментов.

. Известно, что моделью может служить одно из функций. Необходимо провести эксперимент для дискриминации моделей и определить неизвестные параметры адекватной модели.

. Аналитический вид модели не известен вообще.

В трёх последних случаях эффективными являются статистические методы моделирования, представляющие собой совокупность методов многомерной статистики и имитационного моделирования.

Методы многомерной статистики (методы регрессионного, дисперсионного, ковариационного, факторного, компонентного и других анализов) базируются на наблюдении за функционированием моделируемой системы и обработке результатов наблюдений.

При этом, на ряду, с пассивным наблюдением за системой иногда имеется возможность проводить планирование входных возмущений системы. Тогда эффективно применение методов и идей математической теории планирования эксперимента.

 

Тема 3. Методические принципы защиты информации (обеспечения качества) в информационных технологиях управления

 

В проблеме качества информации (информационного обеспечения) в управлении определим следующие аспекты:

· Оценивания (стандартизации) требований к качеству информации)

· Обеспечение качества информации при помощи систем защиты.

Сущность первой проблемы: в общем случае отсутствует формальные или рациональные методы объективного обоснования необходимого достаточного набора оценочных показателей и требований к значениям качества информации.

Обстоятельства: многообразие свойств информации, сложность, размеры и организационная (социальная) природа информационных систем, широкий диапазон и динамика пользовательских требований.

Чтобы информация эффективно выполняла свою роль в предметной деятельности, необходимо оценивать её по совокупности пользовательских показателей.

Качество информации должно быть измеримо.

Необходимы показатели с набором атрибутов (способ измерения, мера измерения, шкала и единица измерения).

Существует два способа измерений:

1. Объективный

. Субъективный

Мера измерения представляет собой атрибут, характеризующий природу показателя: численный или лингвистический.

Шкала измерения определяет логические, арифметические или статистические операции, возможные со значением показателя. Известны четыре шкалы измерений различных свойств и характеристик:

1. Наименований.

. Порядка.

. Интервалов.

. Отношений.

Атрибут «единица измерения» не требует специальных пояснений.

Оценка качества информации представляет собой процедуру соотнесения результатов измерения с информационными потребностями пользователя и его представлениями о качестве. Это означает необходимость наличия требований к области допустимых значений каждого из множества оценочных показателей качества.

Качество информации характеризуется системой (множеством) показателей, отражающих информационные групповые и индивидуальные потребности и условия её обработки.

Качество бывает промежуточным, имеет временную характеристику и т.д.

Система оценки качества:

Показатели качества

. Объективные

· Технические

· Экономические

· Логические

. Субъективные

· Первого рода

ü Полнота

ü Достоверность

ü Релевантность

ü Своевременность

ü Толерантность

· Второго рода.

ü Важность.

Объективный способ измерения - инструментальное или расчётное измерение свойства информации (продукции) с возможностью непосредственного и оперативного присваивания чисел результатам измерений в соответствии со шкалой отношений.

Объективные показатели определяют объективное качество информационного обеспечения и являются инвариантом для принятия решений в предметной деятельности, определении архитектуры информационной системы и информационной технологии.

Во множестве объективных показателей выделяют подмножества технических, логических и экономических показателей.

Технические показатели позволяют измерять и оценивать качество информационной технологии (обладающий набором измеримых свойств, на который осуществляются целевые воздействия по добавлению потребительской ценности).

Для технических показателей характерны измеримость, известные области допустимых значений, большая практика оценивания. Свойства информации и характеристики информационных процессов описываются и измеряются обычно физическими или электрическими скалярными показателями с высоким уровнем понятий абстракции для неподготовленного пользователя.

Экономические показатели позволяют измерять и оценивать качество информации как продукцию информационной технологии, изготовляемую для других субъектов экономики (обладающий потребительской ценностью и стоимость, себестоимостью и пр.)

Во множестве пользовательских показателей отображены синтаксические, семантические и прагматические аспекты информации и технологий.

Количество информации. В вероятностно - статистической теории связи (именно эта теория положила начало теории информации) информация определяется как противоположность неопределённости; могущая уменьшать неопределённость (энтропию). Исходя из этого, количество информации - это степень уменьшенной, снятой неопределённости в результате передачи элементарного сообщения (бита).

Субъективные показатели качества первого рода - это производные от объективных оценок.

Ко второму роду - показатели, обусловленные социальной природой информационных систем.

Субъективность в оценках. Способность информации отвечать определённым показательским требованиям описывается специфическими свойствами и характеристиками.

Эта специфика состоит в возможности непосредственного восприятия и оперирования пользователем свойствами и характеристиками. Измерение и оценка субъективного качества информационного обеспечения (информации как продукта) производится непосредственно пользователем и без применения каких либо приспособлений, инструментов или вычислительных методов.

Полнота информации (достаточность качества). В общем случае в социально-технических системах полнота информации - показатель, характеризующий меру достаточности оцениваемой информации для решения предметных задач.

Виды субъективных показателей.

. Достоверность (адекватность) - соответствие текущему состоянию объектов, к котором относится информация.

В общем случае адекватность информации определяется двумя факторами:

· Объективностью генерирования (съёма, определения, установления) информации о значимой для предметной деятельности действительности.

· Продолжительностью интервала времени между моментом генерирования и моментом оценивания адекватности.

2. Релевантность - показатель качества информации, который характеризует её соответствие потребностям решаемой задачи. Релевантность информации также может быть представлена в единицах времени: например, время, необходимое на вычисление или усвоение информации.

Измерение релевантности осуществляется по шкале отношений.

3. Своевременность - показатель, характеризующий время, в течении которого информация, удовлетворяющая всем другим требованиям, имеет полезность для решения предметных задач организации.

По сути, своевременность - это нормированный показатель допустимого времени информационной процедуры (процесса).

4. Толерантность - показатель, характеризующий удобство формы представления для восприятия и использования информации.

Для оценок толерантности возможно использование лингвистических переменных. Измерение толерантности осуществляется по шкале порядка.

Достоверность информации выступает как зависимость (функционал) от объективности генерирования, способов и добросовестности источника информации, сроков старения информации.

Информация из детерминированных источников (справки, данные информационных массивов, заключения экспертизы), независимо от способа генерации может иметь ошибки в сообщениях, но рассматриваются как случайные явления с низкой вероятностью.

Недобросовестность генерирования информации или добросовестное заблуждение характерны для ситуативных (случайных) источников. Событие обладает высокой вероятностью включения ошибок.

Проблема обеспечения качества информации при помощи системы защиты.

Сущность проблемы - возрастание роли информации в конкурентной борьбе при использовании преимуществ информации и повышение её уязвимости; обоснование рациональных систем защиты информации.

Факторы: увеличение объёмов информации, хранимой и используемой для принятия решений; сосредоточение управленческой информации в БД; социальная природа информационных систем - наличие поведенческой неопределенности и антагонистических интересов групп пользователей; усложнение информационных систем и увеличение доли автоматизации; глобализация сетей и информационных сред.

«Информационная безопасность рассматривается в следующих значениях»:

1. Состояние (качество) определённого объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства.)

. Деятельность, направленная на обеспечение защищённого состояния объекта (в этом значении термин «защита информации»).

Безопасность информации (данных) - состояние защищённости информации, при котором обеспечены её конфиденциальность, доступность и целостность.

Информационная безопасность - защита конфиденциальности, целостности и доступности информации.

. Конфиденциальность - обеспечение доступа информации к информации только авторизованным пользователям.

. Целостность - обеспечение достоверности и полноты информации и методов её обработки.

. Доступность - обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии.

Информационная безопасность - защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений.

Неприемлемый ущерб - ущерб, которым нельзя пренебречь.

Другие категории безопасности:

. Неотказуемость или аппелируемость - невозможность отказа от авторства.

. Подотчётность - обеспечение идентификации субъекта доступа и регистрации его действий.

. Достоверность - свойство соответствия предусмотренному поведению или результату.

. Подлинность - свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Системный подход к описанию информационной безопасности. Составляющее:

1. Законодательная, нормативно-правовая и научная база

. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.

. Организационно-технические и режимные меры и методы (политика информационной безопасности).

. Программно - технические способы и средства обеспечения информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ).

Для построения и эффективной эксплуатации СОИБ необходимо:

1. Выявить требования защиты информации, специфические для данного объекта защиты

. Учесть требования национального и международного законодательства

. Использовать наработанные практики построения подобных СОИБ

. Определить подразделения, ответственные за реализацию и поддержку СОИБ

. Распределить между подразделениями области ответственности в осуществлении требования СОИБ.

. На базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие политику информационной безопасности объекта защиты.

. Реализовать требования политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации.

. Реализовать систему менеджмента информационной безопасности

. Используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Нормативные документы в области информационной безопасности:

. Акты федерального законодательства

Международные договоры РФ.

Конституция РФ.

. Законы федерального уровня

. Указы президента РФ.

. Постановления правительства РФ.

. Нормативные правовые акты федеральных министерств и ведомств.

. Нормативные правовые акты субъектов РФ, органов местного самоуправления.

Нормативно - методические документы:

1. Методические документы государственных органов России:

· Доктрина информационной безопасности РФ.

· Руководящие документы ФСТЭК

· Приказы ФСБ.

. Стандарты информационной безопасности, из которых выделяют:

· Международные стандарты

· Государственные стандарты

· Рекомендации по стандартизации

· Методические указания

Классификация средств защиты информации:

1. Средства защиты от несанкционированного доступа (НСД)

. Средства авторизации

. Мандатное управление доступом

. Избирательное управление доступом

. Управление доступом на основе ролей

. Журналирование (аудит)

Системы анализа и моделирования информационных потоков.

. Системы мониторинга сетей:

· Системы обнаружения и предотвращения вторжений

. Анализаторы протоколов

. Антивирусные средства

. Межсетевые экраны

. Криптографические средства

· Цифрование,

· Цифровая подпись

. Системы резервного копирования

. Системы бесперебойного питания

· Источники бесперебойного питания

· Резервные нагрузки

· Генераторы напряжения

. Системы аутентификации

· Пароль сертификат

· Биометрия

. Средства предотвращения взлома корпусов и краж оборудования

. Система контроля доступа в помещении

. Инструментальные средства анализа систем защиты

· Мониторинговый программный продукт

Информационный риск определяется объективными или субъективными методами, оперирующих логической структурой самого понятия и оценками возможных исходов с учётом защищённости, стоимости информации ИС и социально - экономических последствий для системы управления и её надсистемы.

Система принципов обеспечения безопасности информации. Методы:

1. Препятствия. Средства:

· Физические

· Технические

· Формальные

. Управления доступом. Средства:

· Аппаратные

· Технические

· Формальные

. Маскировка. Средства:

· Программные

· Формальные

. Регламентация. Средства:

· Организационные

· Неформальные

. Принуждение. Средства:

· Законодательные

· Неформальные

. Побуждение. Средства:

· Морально-этические

· неформальные

Принципы и направленность мероприятий защиты:

1. профилактики - развития ИС и БИТ при проектировании СПО защиты и прочих компонентов системы защиты информации

. предупреждения - прогнозирования угроз, ранжирование информации, контроль работы ИС по выявлению угроз, страхованию.

. Реагирования - локализации угроз и факторов, обнаружение и локализация отказов КСА, ПО, информационной асимметрии.

. Ликвидация последствий - восстановление информации и компонентов ИС, обобщение опыта.