«М.Н. Исаков ИНФОРМАЦИОННЫЙ МЕНЕДЖМЕНТ Учебное пособие ТОМСК – 2005 Корректор: Воронина М.А. Исаков М.Н. Информационный менеджмент: Учебное пособие. Томск: Томский межвузовский центр дистанционного образования, 2005. 208 ...»

Это прежде всего экономические законы, учитывающие специфику сферы. Дело в том, что в части регулирования правоотношений в сфере материального производства (реального сектора экономики) постоянно обсуждаются законы прямого действия, имеющие явный протекционистский смысл. Молодая же российская сфера информатизации до сих пор практически не ощущает внимание государства.

В сфере информатизации существуют уникальные особенности, обусловленные прежде всего свойствами основного предмета деятельности и объекта правовой охраны – информации. Она существенно отличается как от предметов материального производства, так и от финансового бизнеса – информация не является чем-то предметным [15, 16].

В связи с этим серьезные юридические дискуссии вызывает даже само определение понятия информация. Можно принять, что информация отражает отношения объектов в материальных процессах и потому информационные потоки могут рассматриваться как сугубо материальные и вполне объективно измеримые. Из такого понимания корректно выводится смысл производных терминов: хранение информации, хищение информации.

Определенные нюансы имеются и в понимании сущности вычислительных систем и информационных технологий. Упрощенная трактовка понятий компьютер и программа нуждается в существенных уточнениях. Это тем более важно, поскольку развитие компьютеров и их программ проходит таким образом, что реализуемые ими алгоритмы становятся все более интеллектуальными. Их реализация в виде программной и аппаратной частей информационно-вычислительного комплекса становится все более неформализуемой, внутренние процессы работы с информацией могут в значительной степени стать нечеткими.

С позиций права первостепенное значение имеет ясность в вопросах отношений собственности, являющихся юридическим выражением правоотношений. В сфере информатизации также должен быть отражен этот аспект, прежде всего применительно к информации как таковой. Таким образом, формируется адекватная правовая основа, которая характеризуется как информационное право [16].

Информация проходит типовые этапы жизненного цикла, характерные для любого другого продукта: возникновение (создание, производство), хранение (накопление, преобразование) и поиск (получение, передача, использование).

На всех этих этапах для работы с информацией используются специальные средства – как технические, так и программные или другие, создание которых также должно обеспечиваться правовой охраной, нормы которой должны быть согласованы с требованиями к информации и условиям работы с ней. Аналогично следует рассматривать и средства, и проблемы права в сфере защиты информации и информационных систем.

Сводный перечень общественных отношений, подлежащих регулированию в информационной сфере, удобно представить по этапам жизненного цикла информации. В соответствии с этим можно рассматривать и информационное законодательство – совокупность норм права, регулирующих общественные отношения. Эти нормы называют информационно-правовыми.

Они могут иметь вид актов (законов, указов) прямого действия или системообразующих, т.е. общих основ, создающих базу для всестороннего регулирования всей гаммы отношений в той или иной области системой конкретных законов и подзаконных актов (постановлений, инструкций и т.п.).

Совокупность информационно-правовых норм будет полной, если все элементы общественных отношений будут обеспечены соответствующими правовыми актами. Если все акты согласованы между собой и со смежными областями права, то будет образовано единое правовое поле, на котором эффективно решаются все правовые проблемы действующих субъектов права. Пока это не достигнуто.

Российское законодательство пока еще далеко от совершенства, многие реальные ситуации оказываются необеспеченными в правовом отношении. Тем не менее, такое законодательство уже существует и контуры системы правовых норм в информационной сфере вполне определились.

Информационное законодательство строится по «вертикали» и по «горизонтали». Вертикальная структура определяется общими принципами «верховенства закона», лежащими в организации законодательных актов страны. Система законов является иерархической, нормы более высокого уровня обладают большей юридической силой и являются определяющими для актов более низких уровней права.

Горизонтальная проработка информационно-правовых актов предполагает согласование норм, регулирующих отношения в смежных областях права.

Кроме того, в состав информационно-правовой сферы входят нормы других правовых областей как полноправные составляющие, естественно, в соответствующей их части.

10.1.2 Законодательство по вопросам информатизации Законодательство об интеллектуальной собственности регулирует отношения, охватывающие первичную информацию и ее источники, т.е. на этапе возникновения или производства информации. Основой данного раздела законодательства являются конституционные нормы о праве каждого на информацию, на гарантии свободы творчества и охраны интеллектуальной собственности силой закона. В состав данного раздела входят: законодательство об авторском праве и смежных правах, патентное законодательство и законодательство о «ноу-хау».

Этот закон регулирует отношения, возникающие в связи с созданием и использованием произведений творческой деятельности. Закон определяет произведения, которые к объектам авторского права не относятся: это, в частности, официальные документы; сообщения о событиях и фактах, имеющие официальный характер. Авторское право не распространяется на идеи, методы, процессы, системы, способы, концепции, принципы, открытия, факты. К объектам авторского права относятся так называемые первичные произведения, среди которых – программы для ЭВМ, а также произведения, называемые вторичными, в числе которых – базы данных.

';

Авторское право возникает в силу факта создания объекта.

Для возникновения и осуществления авторского права не требуется регистрации произведения, иного специального оформления или соблюдения каких-либо формальностей. Закон регулирует авторские права также в случаях, когда произведение создано коллективом авторов.

В отношении его произведения автору принадлежат личные неимущественные права (право авторства, право на имя, право на обнародование произведения, право на защиту своей репутации) и имущественные права (исключительное право на использование произведения в любой форме и любым способом, в частности право на воспроизведение, распространение, публичный показ, перевод, переработку).

Личные неимущественные права принадлежат автору независимо от его имущественных прав и сохраняются за ним в случае уступки исключительных прав на использование произведения. Обладатель исключительных авторских прав для оповещения о них вправе использовать знак охраны авторского права:

это латинская буква «С» в окружности ©; имя (наименование) обладателя исключительных авторских прав; год первого опубликования.

За нарушение авторских и смежных прав наступает гражданская, уголовная и административная ответственность. Как правило, авторское право действует в течение всей жизни автора и 50 лет после его смерти. Права авторства, на имя и на защиту репутации автора охраняются бессрочно.

Специальный закон регулирует отношения вокруг программ для ЭВМ и баз данных; Закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных».

Согласно Закону в качестве объектов авторского права программы для ЭВМ охраняются как первичные произведения, а базы данных – как вторичные произведения. Значение этих продуктов интеллектуальной деятельности столь велико, что для их правовой охраны создан этот специальный закон. Он конкретизирует и дополняет нормы авторского права с учетом специфики сферы деятельности и особенностей данных продуктов.

Вместе с тем Закон определяет, что правовой охране не подлежат идеи и принципы, лежащие в основе программы для ЭВМ, базы данных или какого-либо их элемента, в том числе идеи и принципы организации интерфейса и алгоритма, а также языки программирования.

Авторское право на программы для ЭВМ возникает в силу их создания со всеми его атрибутами. Особое значение в этой сфере имеет принципиальное отделение авторского права от права собственности на материальный носитель программы или базы данных. При этом передача прав на материальный носитель не влечет за собой прав на программу или базу данных.

Использование программ или баз данных третьими лицами осуществляется, как правило, на основании договора с правообладателем. В противном случае автор может обратиться в суд, арбитражный или третейский, за защитой своих законных прав.

Выпуск под своим именем чужой программы для ЭВМ или базы данных либо незаконное воспроизведение или распространение таких произведений влечет за собой уголовную ответственность. В Уголовном кодексе Российской Федерации, вступившем в силу с 1 января 1997 г., введен специальный раздел «Преступления в сфере компьютерной информации», содержащий три статьи – 272, 273 и 274. Эти статьи не исчерпывают всех ситуаций, которые могут возникнуть в этой сфере, но начало процессу повышения ответственности действующих в ней субъектов положено уже тем, что вполне определенно и недвусмысленно некоторые деяния отнесены к уголовным преступлениям.

Патентное законодательство регулирует отношения, возникающие в связи с созданием, правовой охраной и использованием изобретений, полезных моделей и промышленных образцов (объектов промышленной собственности). Его основой в нашей стране является Патентный закон Российской Федерации.

В частности, установлено, что не признаются патентоспособными алгоритмы, программы для вычислительных машин, законы природы, природные явления и абстрактные идеи.

Создатели изделий, подпадающих под действие Закона, – физические лица признаются их авторами. Право авторства является неотчуждаемым личным правом и охраняется бессрочно. Авторами не признаются лица, не внесшие личного вклада в создание изделия. Присвоение авторства, принуждение к соавторству, незаконное разглашение сведений об объекте промышленной собственности влекут за собой уголовную ответственность.

Все фирмы ревниво оберегают свои «ноу-хау», пресекая в судебном порядке попытки их заимствования, а также добиваясь соблюдения конкурентами правил, законов и норм работы на рынке. Законодательства о «ноу-хау» в Российской Федерации пока нет. В этой сфере существуют только Закон «О государственной тайне», проект закона «О коммерческой тайне» и начата разработка закона «О служебной тайне». Как видно, правовая база регулирования отношений в этой сфере явно недостаточна.

Законодательство об информационных ресурсах. Информационные ресурсы (ИР) создаются не только в государственных структурах и ведомствах, но также на предприятиях, органами местного самоуправления и частными лицами. Каждый создатель таких ресурсов хотел бы обеспечить их правовую охрану. Однако информация, собранная и обработанная в таких ресурсах, должна иметь правовую основу. На стадии накопления и преобразования информации и формирования информационных ресурсов действует соответствующий раздел информационного права, включающий несколько направлений:

- общие вопросы законодательства об ИР;

- правовая информация;

- персональные данные;

- библиотечное дело;

- статистическая информация;

- международный обмен информацией;

Основой этого раздела является системообразующий Федеральный закон «Об информации, информатизации и защите информации» (его значение не исчерпывается только этим разделом информационного права). Он аналогичен по своему значению основам законодательства в данной сфере.

В соответствии с Законом информационные ресурсы – это отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Как видно, Закон относит к ИР только документированную информацию, т.е. только такую, вид и форма которой позволяют ее идентифицировать. При этом не ясно, каким образом входит в ресурс ИС; этот момент приобретает особое значение при количественной и качественной оценке имеющихся или создаваемых ИР. Информационные ресурсы являются объектами отношений физических, юридических лиц и государства, в совокупности они составляют ИР страны и защищаются законом наряду с другими ресурсами.

Правовой режим информационных ресурсов определяется нормами, устанавливающими:

- порядок документирования информации;

- право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в ИС;

- категорию информации по уровню доступа к ней;

- порядок правовой защиты информации.

Информационные ресурсы могут быть государственными и негосударственными и представлять собой элемент имущества.

Отношения по поводу права собственности на ИР регулируются гражданским законодательством России. Государство принимает на себя все обязанности по правовому регулированию и правовой охране всех ИР и по созданию условий для создания и развития ИР.

При формировании любых ИР особое место занимают данные о гражданах – персональные данные. Эти данные относятся к конфиденциальной информации. Сбор, хранение, использование и распространение информации о частной жизни, составляющей личную тайну, без согласия соответствующих лиц не допускается иначе как в порядке, определенном законом. Любая деятельность по сбору таких данных подлежит обязательному лицензированию. Все субъекты, занимающиеся такой деятельностью, несут ответственность за соблюдение режима правовой защиты персональных данных, включенных в создаваемые ими ИР.

Правовой режим создаваемых информационных ресурсов в виде баз данных в их специальной части регулируется также Законом Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных».

Поиск, получение и применение информации. Закон «Об информации, информатизации и защите информации» устанавливает, что все пользователи – граждане, физические лица, органы государственной власти – обладают равными правами на доступ к государственным информационным ресурсам и не обязаны обосновывать перед владельцем ИР необходимость получения запрашиваемой информации. Более того, все владельцы ИР обязаны обеспечивать обусловленный режим доступа к информации из ИР.

Государственные информационные ресурсы являются открытыми и общедоступными. Ограничение доступа к той или иной их части определяется законом. Информация ограниченного доступа подразделяется на информацию, отнесенную к государственной тайне и конфиденциальную. Запрещено относить к информации с ограниченным доступом документы, содержащие сведения о деятельности различных органов власти и должностных лиц, их правовые акты и материалы, сведения о чрезвычайных ситуациях, экологической обстановке, использовании средств бюджета и др. Отнесение информации к государственной тайне регулируется Законом РФ «О государственной тайне».

Информация, полученная гражданами или организациями на законных основаниях из ИР, может использоваться ими для создания производной информации, в том числе и для коммерческих целей, но с обязательной ссылкой на источник первичной информации. При этом порядок получения информации, а также условия ее получения (за плату или бесплатно) регулируются положением о соответствующих государственных ИР.

Возможно, что часть услуг по предоставлению информации из государственных информационных ресурсов должна быть оплачена пользователем полностью или частично. Перечень таких услуг определяется правительством Российской Федерации.

Граждане и организации имеют право на доступ к информации о них, на ее уточнение и контроль полноты, имеют право знать, кто и в каких целях использует эту информацию о них.

Владелец соответствующих ИР обязан предоставлять такую информацию по требованию тех лиц, которых она касается. Субъекты, предоставляющие в установленном порядке информацию для комплектования ИР, имеют право бесплатно пользоваться этой информацией. В связи с этим следует подчеркнуть, что владелец информационных ресурсов берет на себя определенные обязанности и несет ответственность за соблюдение и обеспечение правового режима и возможностей доступа к подведомственным ИР.

Защита информации и информационных систем. Структурной основой современных ИР являются информационные системы. Закон определяет: информационная система – организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующая информационные процессы, т.е. процессы сбора, обработки, накопления, хранения, поиска и распространения информации. Таким образом, закон выделяет в качестве компонентов информационных ресурсов информационные системы, информационные технологии и собственно информацию в виде документов.

Государственные и негосударственные организации, а также граждане имеют равные права на разработку и производство ИС, ИТ и средств их обеспечения. Эти работы составляют специальную отрасль экономической деятельности, развитие которой определяется государственной политикой информатизации.

Информационные системы, информационные технологии и средства их обеспечения могут быть объектами собственности физических или юридических лиц и государства [17].

Собственником признается субъект, на средства которого эти объекты произведены, приобретены или получены в порядке наследования, дарения или иным законным способом. Эти объекты включаются в состав имущества субъекта, собственник определяет условия их использования, они могут выступать и в качестве товара и предназначаться для продажи. При этом следует подчеркнуть, что право авторства и право собственности могут принадлежать разным лицам.

ИС, банки и базы данных, предназначенные для информационного обслуживания граждан, подлежат обязательной сертификации. Они должны быть надлежащим образом защищены.

Организации, выполняющие работы в области защиты информации, получают лицензию на этот вид деятельности.

Защита прав субъектов в сфере формирования ИР, использования ИР, разработки, производства и применения ИС, ИТ и средств их обеспечения осуществляется в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба.

Непосредственно целями защиты являются:

- предотвращение утечки, хищения, утраты, искажения, подделки информации;

- предотвращение угроз в адрес личности, общества, государства;

- предотвращение несанкционированных действий по отношению к информации, ИС, ИР и правовому режиму работы с документированной информацией как с объектом собственности;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных;

- сохранение государственной тайны;

- обеспечение прав субъектов в информационных процессах.

Владелец документов, массивов документов, информационных систем обеспечивает уровень их защиты. Риск, связанный с использованием несертифицированных ИС и средств их обеспечения, лежит на собственнике этих систем и средств;

риск, связанный с использованием информации, полученной из несертифицированной ИС, лежит на потребителе информации.

10.1.3 Правонарушения в сфере информатизации На почве стремления извлечь выгоду из владения информацией или неправомерного получения информации совершаются множественные правонарушения. В этом плане сфера информатизации имеет существенную специфику, обусловленную нематериальной сущностью информации.

При этом совершаются не только нарушения тех или иных законов, что тоже имеет место, но готовятся и делаются весьма тонкие и изысканные ходы. В процессе разбирательства как со стороны нарушителей, так и со стороны правообладателей широко применяются специфические категории сферы информатизации и информационных технологий, требующие соответствующей предметной квалификации юристов – участников процесса. Попытки совершения различных правонарушений предпринимаются через «дыры в законах», в том числе и в сфере информатизации.

Таким образом, в сфере информатизации имеют место все типовые формы посягательства на защищаемый объект: хищение, искажение, подделка, уничтожение и т.д. из самых разных побуждений.

Достаточно много судебных процессов, в основе которых лежит посягательство одних фирм на продукты других. При этом неявно предполагается, что в основе оригинальных «фирменных» продуктов, в конце концов, лежит то или иное «ноухау», имеющее автора. И хотя иск может не содержать прямо требования защиты авторских прав, косвенно это обстоятельство в таких делах всегда присутствует. Однако доказать авторство на современном уровне переплетения работ и результатов очень непросто.

Глобальным и весьма масштабным видом правонарушений в сфере информатизации и информационного бизнеса является так называемое пиратство. По этому поводу постоянно приводятся примеры правонарушений, отмечаемых в самых разных частях света. В России компьютерное пиратство является весьма распространенным правонарушением.

Тема компьютерного пиратства всегда была разменной монетой в политико-экономической игре. Известны многочисленные претензии к России, хотя не менее высокий уровень пиратства в других странах (Китай – 96%, Индонезия – 93%) не мешает иностранным компаниям и правительствам активно взаимодействовать с ними. А Ирландия, которая является второй в Западной Европе страной по уровню распространения нелегальных программ (65% при среднем уровне по региону 39%), – излюбленное место для размещения заводов американских компьютерных компаний. Масштабы подобных явлений можно оценить лишь по их внешним проявлениям, например по анализу структуры потребления.

10.2 Технологическая защищенность Развивающиеся информационные технологии выдвигают требование, чтобы локальные, региональные и глобальные информационные системы были технологически едиными и совместимыми, а создаваемые на их основе информационные ресурсы – по возможности долго живущими или даже вечными.

Особенно это актуально и необходимо при построении информационного общества.

Все сложные информационные системы создаются в среде согласованных, наукоемких технологий и реализуют их в своей работе. Однако именно технологическая направленность многих отечественных ИС бывает недостаточно четко и последовательно выдержана, что и приводит к несовместимости операций или решений. Естественно, этими недостатками страдают в большей степени системы малых фирм, новых предприятий и тому подобных структур, в которых нет глубоких традиций и технологической культуры, свойственных предприятиям сферы высоких технологий.

Основой ИС являются базовые программные и технические средства: операционные системы, сервисные средства, компьютеры, периферийные устройства, сетевые средства и т.д. Их функционирование определяет некоторые технологические требования к системе. Без специального нормативного обеспечения технологического характера невозможно простое соединение сложного оборудования и сложных программных комплексов в еще более сложные формирования.

Такое обеспечение существует на разных уровнях. Это международные стандарты различных организаций и объединений. В каждой стране, в том числе и в России, существуют государственные стандарты технологического характера. В соответствии со спецификой применения средств информатизации в различных сферах создаются отраслевые или корпоративные стандарты. Наконец, на каждом отдельном предприятии в соответствии с его особенностями разрабатываются стандарты предприятия по созданию и применению информационных технологий.

Организацию технологической защищенности информационных систем необходимо специально рассмотреть как элемент комплексной защищенности информационных ресурсов.

10.2.1 Международные стандарты Качество продукции – необходимое условие успеха любого бизнеса. Потребитель всегда хочет быть уверенным, что получаемый им продукт является качественным. Однако и производитель тоже хочет, чтобы его товар был качественным и он мог этим товаром гордиться. Проблема гарантий качества давно занимает деловых людей во всем мире.

Любая деятельность в сфере информатизации должна быть обеспечена гарантиями качества ее продуктов: услуг, программ, машин, элементов, комплексов и т.д. Так, на предприятииизготовителе должны постоянно удовлетворяться определенные условия производства, выполнение которых исключало бы изготовление некачественной продукции. В связи с этим на производстве создаются системы управления качеством продукции, в основе которых лежат разнообразные стандарты качества, начиная с международных и кончая внутренними стандартами предприятия. Соответствие систем качества требованиям определенного уровня подтверждается сертификатом той организации, которая имеет лицензию на сертификацию соответствующего уровня.

В свою очередь, потребитель продукции тоже должен руководствоваться требованиями тех же самых стандартов, что и изготовитель, только в части, касающейся эксплуатации и применения получаемых им изделий, для того чтобы со своей стороны гарантировать качество продукта на этой стадии. Так создалась база для широкого развития системы стандартов. С расширением и углублением международного разделения труда такие стандарты возникли как инструмент международных организаций и международного права.

Для осуществления развития системы международных стандартов и сертификации фирм на их основе возникли соответствующие международные организации, в частности International Standardization Organization (ISO), стандарты которой широко применяются в практике европейских стран. Это стандарты серии ISO 9000 [18].

За последние годы в состав серии ISO 9000 введены новые стандарты, а также созданы стандарты серии ISO 10000. При этом были пересмотрены стандарты прежней серии ISO :1986 – «Качество. Словарь», а также первые стандарты серии ISO 9000. Новые версии всех этих стандартов приняты, сведены воедино и официально изданы в 1994 г. Все стандарты, входящие в серии 8402:1994, 9000 и 10000, получили официальное определение «семейство ISO 9000». Под индексом ISO приняты и введены три стандарта в качестве регулирующих норм в части проверки систем управления. (Часть1 – «Проверка»; Часть 2 – «Квалификационные критерии для экспертоваудиторов по проверке систем качества»; Часть 3 – «Управление программой проверок».) Появляется все больше современной сложной и наукоемкой продукции, для которой информационная поддержка становится важнейшим компонентом, независимо от природы основного физического или иного (финансового, социального и др.) процесса, лежащего в основе этой продукции. Поэтому проблема непрерывности осуществления и постоянной адекватности и живучести ее информационного обеспечения должна рассматриваться и обеспечиваться, как минимум, наряду с обеспечением и развитием основных функциональных или, как их обычно называют, технических характеристик продукции.

Решение этой проблемы в каждом конкретном варианте может быть оригинальным, однако со временем были выработаны типовые подходы. В качестве примера можно привести одну широко известную методологию, направленную на эффективное создание, обмен, управление и использование электронных данных, поддерживающих жизненный цикл любого изделия с помощью международных стандартов и передовых технологий, – так называемая CALS-технология (Computer Aided Lifecycles Support) [19].

Это не просто технология, это новая система взглядов на проблему автоматизации проектирования и сопровождения всех этапов жизненного цикла изделия, возникшая в связи с тем, что совместимость как по вертикали, так и по горизонтали стала жизненно необходима для многих систем.

При этом обеспечивается закрепление функций, прав и ответственности работников по отношению к каждой единице информации во всех документах, а также совместимость данных, документов и т.д. по всем показателям. Одним из подходов было стремление к обеспечению возможности совместного использования информации и созданию так называемых виртуальных предприятий. В качестве основы методологии – перевод всей документации по продукции и по всему предприятию в электронный вид. Это очень важная, но, как правило, настолько объемная работа, что ее последовательное и полное проведение часто по разным причинам откладывается до лучших времен, хотя без нее создание ИС действительно на вечные времена просто невозможно.

Как бы то ни было, работа такая проводится, ее масштабы расширяются, и системы документооборота создаются; при этом весьма продуктивным является применение методологии SADT.

После этого формируется электронная версия информационных потоков, где также обеспечиваются все требования совместимости информационные, структурные, технологические и т.д.

Затем создается система с интегрированными данными совместного применения. Последняя стадия рассматривается пока как еще достаточно отдаленная перспектива, поэтому основной осязаемый рубеж CALS-технологии сейчас – это формирование электронного потока информации.

CALS – непрерывно изменяющееся понятие, в настоящее время оно отражает переориентацию этих технологий на гражданские сферы в направлении информационных магистралей и электронной коммерции. Так, эта концепция перешла и в гражданские сферы и стала универсальной нормативной основой для любой отрасли, использующей информационные технологии в своей деятельности.

В [19] приводятся впечатляющие примеры построения комплексных систем на основе CALS-технологии из мировой практики. Комплексная реализация CALS-технологии предполагает:

- реорганизацию предпринимательской деятельности;

- параллельное проектирование продукции;

- электронный обмен данными;

- интегрированную логистическую поддержку;

- многопользовательскую базу данных;

- международные стандарты.

Обязательно нужно иметь в виду, что не следует считать CALS-технологией просто реализацию какого-либо набора международных стандартов, совокупности программноаппаратных инструментов для интеграции предприятий, стандартного набора правил организации деятельности предприятий, компьютеризированной системы создания документации, даже электронного обмена данными. Все это должно осуществляться вместе и комплексно.

Реализация CALS позволяет предпринимателям и менеджерам увеличить производительность труда своих сотрудников, сократить временные и материальные затраты и повысить качество. Это обеспечивается за счет общего совершенствования операций с информацией на всех стадиях жизненного цикла продукции: обработки, использования, пересмотра и добавления новой информации, анализа результатов работы, корректировок, просмотра и утверждения документов, распространения информации, анализа причин возникновения ошибок и т.д.

Поэтому на любом предприятии CALS даст эффект, хотя бы благодаря тому, что среда создается один раз, а используется многократно и к тому же более быстро и адекватно реагирует на изменения окружения, в котором предприятие существует.

Она опирается на систему международных стандартов ISO и входит в них. В стандарте ISO 9004 введено понятие «жизненный цикл изделия», которое рассматривается в качестве основы для построения системы сопровождения. CALS-технология на основе этого стандарта также включена в систему стандартов ISO в виде стандартов STEP (STandard, Exchange, Product) под индексом ISO 10303 и P_LIB (Product Library) под индексом ISO 13584.

ISO 10303 – это международный стандарт для компьютерного представления данных о продукте и обмена данными. Он дает нейтральный механизм описания данных о продукте на всех стадиях его жизненного цикла, не зависящий от конкретной системы. ISO 13584 представляет информацию о библиотеке изделия вместе с необходимыми механизмами и определениями, обеспечивающими обмен, использование и корректировку данных библиотеки, причем имеется в виду обмен между различными компьютерными системами, которые используются на различных этапах жизни продукта.

По своему существу CALS-стандарты включают в себя следующие три группы требований: функциональные стандарты, информационные стандарты, стандарты технического обмена, контролирующие носители информации и процессы обмена данными между передающими и принимающими системами.

В CALS широко используется способ функционального моделирования, называемый IDEF0. IDEF (Integrated DEFinition) – подмножество самой известной и широко используемой методологии SADT (Structured Analysis and Design Technique). Он принят в качестве Федерального стандарта обработки информации США, используется Министерством обороны Великобритании, НАТО и множеством самых разных корпораций и предприятий, осуществляющих в свой практике функциональное моделирование.

Таким образом, формирование комплексов технологий, не зависящих от конкретной среды, но сохраняющих за счет базовых принципов, заложенных в эти технологии, совместимость описания изделия на всех этапах его жизненного цикла в разных средах, позволяет существенно повысить уровень технологической защищенности информационных систем. Наиболее эффективно таким путем обеспечивается технологическая защищенность особо сложных систем и комплексов.

10.3 Техническая защищенность 10.3.1 Организация защиты информационных систем Информационная безопасность. Информационная система, как сложная структура, уязвима в смысле возможности нарушения ее работы. Эти нарушения могут иметь как случайный, так и преднамеренный характер, могут вызываться как внешними, так и внутренними причинами. В соответствии с этим на всех этапах жизни системы необходимо принимать специальные меры по обеспечению ее надежного функционирования и защищенности.

Нарушения, вызванные внутренними причинами, устраняются методами обеспечения надежности. Специфическим воздействием на ИС являются так называемые компьютерные вирусы. Они вносятся в систему извне и в специфической форме проявляются при ее работе как внутренняя неисправность.

Особую заботу должна вызывать хранящаяся в системе информация, утрата которой может причинить владельцу значительный ущерб. К тому же информация может быть еще и предметом посягательств, которые необходимо пресекать. В этом плане информационные системы имеют существенную специфику. Защищенность информационных систем позволяет обеспечить секретность данных и операций с ними. Для обеспечения защищенности информационных систем созданы специальные технические и программные средства.

Отдельный вопрос – обеспечение в компьютерных системах и технологиях права личности на неприкосновенность персональной информации. Кроме того, коммерческая, служебная и государственная информация также нуждается в защите. Поэтому особую важность приобретает защищенность информационных ресурсов. Для этого должны быть решены вопросы организации и контроля доступа к ресурсам по всем их компонентам. Злонамеренное проникновение в систему и несанкционированный доступ должны быть своевременно выявлены и пресечены. Для этого в системе анализируются пути несанкционированного доступа и заранее формируются средства его пресечения.

В связи с коллективным использованием глобальных ИР особо актуальна проблема защищенности глобальных ИС. Поэтому для любой страны защита ее стратегических интересов требует активного и целенаправленного участия в глобальных процессах информатизации.

Злонамеренные действия в ИС приобретают признаки преступления, появилась так называемая компьютерная преступность. В настоящее время выявлены основные типы преступлений в сфере информатики и способы их совершения. Как оказалось, криминологические аспекты компьютерных правонарушений имеют существенную специфику как в части их совершения, так и особенно в части их раскрытия.

Управление доступом. Особенности доступа к информации в системах передачи данных и в ИС являются внешней характеристикой таких систем. Естественно, доступ к ресурсам не может быть неконтролируемым или неуправляемым. Решение проблемы всесторонней защищенности информационных ресурсов в ИС обеспечивает системный подход в силу своей многогранности.

Кроме достаточно известной задачи защищенности данных особую важность приобретает комплексная задача управления доступом к ресурсам системы и контроля за их применением.

Ресурсы системы при этом следует понимать в самом широком смысле. Возможности управления доступом к ресурсам закладываются на этапе проектирования системы и реализуются на последующих этапах ее жизненного цикла. В простейшем случае управление доступом может служить для определения того, разрешено или нет тому или иному пользователю иметь доступ к некоторому элементу сети, системы или базы данных. Различают управление доступом трех видов [20]:

- централизованное управление – установление полномочий производится администрацией организации или фирмывладельца ИС. Ввод и контроль полномочий осуществляются представителем службы безопасности с соответствующего объекта управления;

- иерархическое децентрализованное управление – центральная организация, осуществляющая установление полномочий, передает некоторые свои полномочия подчиненным организациям, сохраняя при этом за собой право отменить или пересмотреть решение подчиненного уровня;

- индивидуальное управление – иерархия управления доступом и распределения полномочий в этом случае не формируется; владелец информации, создавая свои информационные структуры, сам управляет доступом к ней и может передавать свои права вплоть до прав собственности.

В больших системах все формы могут использоваться совместно в тех или иных частях системы; они реализуются при подготовке информации, при выполнении обработки информации и при завершении работ.

При подготовке ИС к работам управление доступом предполагает выполнение следующих функций:

- уточнение задач, распределение функций элементов ИС и персонала;

- контроль ввода адресных таблиц в элементы ИС;

- ввод таблиц полномочий элементов, пользователей, процессов и т.д.;

- выбор значений, распределение и рассылка ключей шифрования;

- проверка работы систем шифрования и контроля полномочий.

При выполнении обработки информации управление доступом включает такие функции:

- контроль соблюдения полномочий, обнаружение и блокировку несанкционированного доступа;

- контроль шифрования данных и применения ключей;

- регистрацию и документирование информации о попытках и фактах несанкционированного доступа с указанием места, даты, времени и других данных о событиях;

- регистрацию, документирование и контроль всех обращений к защищаемой информации с указанием всех данных о событиях;

- выбор, распределение, рассылку и синхронизацию применения новых ключей шифрования;

- изменение полномочий элементов, процессов и пользователей;

- организационные мероприятия по защите системы.

Соответствующие средства обеспечения управления этими процессами и функциями имеются в том или ином виде во всех современных операционных системах, причем, как правило, возможности возрастают с ростом мощности ЭВМ. По этой причине не без оснований считается, что в централизованных системах управление доступом обеспечено лучше, чем в децентрализованных.

Шифрование и дешифрование данных. Одной из основных мер защиты данных в системе является их шифрование, т.е.

такое преобразование, которое исключает их использование в соответствии с их смыслом и содержанием. Алгоритмы шифрования (дешифрования) представляют собой инструмент, с помощью которого такая защита возможна, поэтому они всегда секретны.

Шифрование может осуществляться при передаче информации по каналам передачи данных, при сохранении информации в базах данных, при обращении к базам данных с соответствующими запросами, на стадии интерпретации результатов обработки информации и т.д. На всех этих этапах и стадиях существуют специфические особенности применения шифров [20].

Во всех странах деятельность по оказанию услуг шифрования, т.е. по созданию средств шифрования и защите систем, лицензируется государством, жестко регламентируется в законодательном порядке.

Наука криптография, занимающаяся шифрованием, секретной не является. Однако конкретные алгоритмы и в особенности реализующие их устройства засекречиваются, что и обеспечивает защиту системы. За оказание таких услуг фирмызаказчики готовы платить немалые деньги, поэтому фирмыизготовители шифровальной аппаратуры заинтересованы в расширении своего бизнеса.

В то же время государство заинтересовано в сохранении прозрачности информационных потоков с тем, чтобы снизить риск сокрытия преступлений и других правонарушений: шифровальные технологии не должны препятствовать расследованию преступлений. Эти интересы в некотором роде противоречат друг другу.

Создание или выбор средств шифрования национальными правительствами тоже становится серьезной проблемой. В этом деле нельзя просто доверять даже очень солидным фирмам или специалистам. Системы шифрования подвергаются испытаниям, в которых предпринимается попытка расшифровки построенных с помощью проверяемой системы кодов независимыми специалистами или фирмами.

Защищенность информационных сетей. В нашей стране за последнее десятилетие создано множество информационных систем и сетей на основе зарубежных технических средств и программных продуктов. Относительно этих систем возникает совершенно обоснованное опасение о возможности существования в них так называемых «недекларированных возможностей», т.е. скрытых от пользователя свойств, которые позволяют управлять этими средствами независимо от пользователя.

В подобных случаях возникают естественные опасения, что в таких системах их поставщиком или изготовителем могут быть заложены некие скрытые возможности, обеспечивающие внешний контроль всех процессов и данных, обращающихся в системе. С помощью таких средств возможен также вывод из строя систем целиком или по частям по командам извне.

Как следствие, такие системы вызывают определенные опасения при применении в особо ответственных объектах и структурах. Технические элементы, устанавливаемые в особо ответственных системах, тщательно и глубоко исследуются, программные элементы тестируются в специализированных организациях, однако определенные сомнения могут оставаться и после таких испытаний.

Для того чтобы снять у пользователя и потребителя эти опасения, производители технических и программных средств представляют свои изделия на официальную сертификацию. С этой целью компания-поставщик представляет детальную документацию на изделия и сами изделия с тем, чтобы на этом основании можно было уверенно выявить во всей полноте функции, выполняемые данным изделием.

По представлению американской компании Oracle ее известная СУБД Oracle 8 успешно прошла такие сертификационные испытания в России, которая стала третьей после США и Великобритании страной, сертифицировавшей сервер баз данных Oracle 8 на соответствие требованиям безопасности по классу систем, пригодных для хранения документов, которые содержат государственную тайну. Об этом свидетельствует врученный фирме сертификат №168 Гостехкомиссии РФ. Сертификат удостоверяет, что испытанный в согласованном порядке сервер баз данных Oracle 8 на аппаратной платформе производства компании HP с операционной системой UNIX соответствует высшему на сегодняшний день классу систем безопасности – 1в.

Это событие уникально, во-первых, потому что Oracle первая и единственная пока СУБД иностранного производства, сертифицированная по столь высокому классу безопасности; вовторых, сам процесс сертификации оказался беспрецедентным.

Он обошелся Oracle в общей сложности в 1 млн. долл. Длилась сертификация полтора года, за это время состоялось около тыс. штатных и 5 тыс. специализированных испытаний. Для сертификации компанией были предоставлены исходные тексты, а также всевозможные спецификации практически все технологические компоненты Oracle 8. Затраты на сертификацию оправдываются, для этого достаточно одного-двух крупных заказов.

10.3.2 Построение рациональной защиты Необходимо отметить, что защита системы не может быть абсолютной. Она и не должна строиться как абсолютная. Это потребовало бы существенного увеличения затрат на ее создание и эксплуатацию, а также неизбежно привело бы к снижению производительности системы по основным производственным функциям. Защита должна строиться как рациональная, т.е. с оптимальными по некоторому критерию характеристиками, что всегда составляет предмет самостоятельного исследования.

Информационные системы являются сложными и комплексными, поэтому выбор даже рациональной степени защищенности является сложной проблемой. Решение этой проблемы может быть найдено с использованием, например, методов оптимизации. Возможны и упрощенные подходы с учетом конкретных особенностей задачи.

Решение задачи рациональной защищенности базы данных предприятия может достигаться, например, за счет введения системы паролей, использования криптографических методов защиты информации, установления собственных командных процессоров, загрузчиков, создания и загрузки резидентных программ, перехватывающих прерывания и обрабатывающих команду от пользователя с последующей ее блокировкой, если команда окажется запрещенной для данной системы. Возможно также использование установки собственной главной загрузочной записи (MBR) на жестком диске.

Применительно к условиям охраны данных от активных попыток их похищения или порчи с учетом анализа особенностей задачи определяется следующий перечень мер по обеспечению защиты информации:

- аутентификация пользователя по паролю и, возможно, по ключевой дискете или аппаратному ключу;

- разграничение доступа к логическим дискам;

- прозрачное шифрование логических дисков;

- шифрование файлов с данными;

- разрешение запусков только строго определенных для каждого пользователя программ;

- реакция на несанкционированный доступ;

- регистрация всех попыток несанкционированного доступа в систему и входа/выхода пользователя в систему;

- создание многоуровневой организации работы пользователя с расширением предоставляемых возможностей при переходе на более высокий уровень;

- предоставление пользователю минимума необходимых ему функций.

Наиболее эффективны системы защиты, разработка которых ведется параллельно с разработкой защищаемой информационной структуры. При создании систем защиты принято придерживаться следующих принципов:

1) постоянно действующий запрет доступа; в механизме защиты системы в нормальных условиях доступ к данным должен быть запрещен, запрет доступа при отсутствии особых указаний обеспечивает высокую степень надежности механизма защиты;

2) простота механизма защиты; это качество необходимо для уменьшения числа возможных неучтенных путей доступа;

3) перекрытие всех возможных каналов утечки, для чего должны всегда и гарантированно проверяться полномочия любого обращения к любому объекту в структуре данных; этот принцип является основой системы защиты. Задача управления доступом должна решаться на общесистемном уровне, при этом необходимо обеспечивать надежное определение источника любого обращения к данным;

4) независимость эффективности защиты от квалификации потенциальных нарушителей;

5) разделение полномочий в сфере защиты и доступа, т.е.

применение нескольких разных ключей защиты;

6) предоставление минимальных полномочий;

7) максимальная обособленность механизма защиты; для исключения передачи пользователями сведений о системе защиты друг другу рекомендуется при проектировании зашиты минимизировать число общих для нескольких пользователей параметров и характеристик механизма защиты;

8) психологическая привлекательность защиты, для чего тоже важно добиваться, чтобы защита была по возможности простой в эксплуатации.

При построении систем защиты, основанных на некоторых из вышеперечисленных принципов, возникают серьезные препятствия, связанные с большими затратами на их реализацию. В связи с этим защита должна быть не абсолютной, а только рациональной, т.е. изначально должна предполагаться в допустимой степени возможность злонамеренного проникновения в базу данных.

Активность посягательств, классификация похитителей, характеристики потока посягательств, ущерб от потери или порчи каждого из элементов информационной структуры, набор вариантов способов защиты, их прочность и стоимость одного сеанса защиты тем или иным способом – все эти данные нужно задать либо определить тем или иным путем.

Оценка возможных суммарных затрат, связанных с функционированием системы защиты базы данных, включает суммарную стоимость работы всех способов защиты во всех возможных их наборах применительно ко всем областям базы данных и сумму возможных потерь, возникающих при проникновении похитителей через все способы защиты в различных их сочетаниях ко всем областям базы данных.

Поиск решения может осуществляться различными методами, например можно отыскивать решение на множестве вариантов комбинаций степеней защиты, т.е. путем перебора их возможных наборов по множеству областей базы данных вложенными циклами по вариантам допустимых способов защиты. Таким путем будут определены индексы защит для каждой из защищаемых областей базы данных, что даст для каждой области один определенный метод или совокупность нескольких методов защиты.

Такой подход позволяет подобрать самый дешевый из допустимых способов защиты для каждой из областей, при котором общая сумма затрат, связанных с функционированием защиты, и потерь, возникающих при несанкционированном доступе, будет минимальной.

Контрольные вопросы 1. Что входит в информационные ресурсы?

2. Что представляют собой информационные ресурсы?

3. Чем отличается информация от предметов материального производства?

4. Что имеет первостепенное значение с позиций права в защите информации?

5. Что представляет собой информационное законодательство?

6. Для каких целей предназначено законодательство об интеллектуальной собственности?

7. Что является основой законодательства об интеллектуальной собственности?

8. На что не распространяется авторское право, что относится к нему и в силу чего оно возникает?

9. Какие системы защиты информации в ИС наиболее эффективны?

10. Какие формы посягательства на защищаемый объект имеют место в сфере информатизации?

11. Что обеспечивает защиту ИС?

12. Где существуют специфические особенности применения шифров?

13. Что подлежит обязательной сертификации и защите?

14. Как может осуществляться шифрование информации?

15. Что такое пиратство?

16. Что является условием успеха любого бизнеса?

17. Что представляют собой алгоритмы шифрования (дешифрования) данных?

18. Какие существуют меры защиты данных в ИС?

19. Какие требования включают CALS-стандарты?

20. На что направлена широко известная CALS-технология?

11 ЗАДАНИЯ ПО КОНТРОЛЬНЫМ РАБОТАМ

11.1 Первая контрольная работа по теме «Стратегическое планирование ИС»

Ниже приведены варианты заданий (глава 4 учебного пособия):

1. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению приложений.

При этом описание того или иного приложения охватывает следующие вопросы:

1) функциональное описание (постановку задач и функции программ);

2) структуры данных;

3) ввод и выдачу данных;

4) каркас данных;

5) связи с другими приложениями;

6) вид применения или обработки;

7) пользователей (их круг и частота обращений) и получаемый ими эффект;

8) историю развития; констатацию того, является ли данный продукт собственным или «чужим»;

9) критику и предложения со стороны пользователей, а также впечатления самого аналитика.

2. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению данных.

В отношении данных должны исследоваться следующие аспекты (преимущественно организационные):

1) объем и качество, т.е. сущность или состав данных и связей;

2) уровень разрозненности или, напротив, степень интегрирования имеющихся данных относительно технологии банков и баз данных;

3) полнота и актуальность структур данных с позиций пользователя;

4) специфика установленных банков данных в структуре управления (концептуальная модель, специфика языков банков данных, перечень данных, функции системы защиты данных, места сечения) и/или других программных средств управления данными;

5) организационные и технологические пути доступа к данным;

6) защищенность данных (объем и качество мероприятий по сохранению полноты и корректности данных);

7) мероприятия по защите данных (политические, правовые, организационные, а также технические и технологические мероприятия).

3. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению кадровых ресурсов работников сферы ОИ.

При оценке работников сферы ОИ как ресурса может быть получено первое представление об организации (структура и руководство) на основе, например, анализа структурных схем.

Число сотрудников в отдельных подразделениях, а также описание их должностных обязанностей дают информацию о центре тяжести в деятельности организации.

В рамках каждого детального рассмотрения следует провести анализ следующих отдельных позиций:

1) число сотрудников (в среднем на область деятельности);

поле деятельности для каждого из сотрудников сферы ОИ;

2) качество руководства сферой ОИ;

3) производительность и загрузка работников сферы ОИ;

4) квалификация и образование работников сферы ОИ (в особенности их коммуникабельность при работе с пользователями);

5) средства и уровень мотивации работников сферы ОИ;

6) производственный климат в подразделениях сферы ОИ;

7) возрастная структура (возраст и стаж работы, а также опыт работы в сфере ОИ).

4. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению ресурсов технических средств.

В отношении технических средств целесообразно проанализировать следующие важные аспекты:

1) типы, технические характеристики и мощность центральных и децентрализованных ЭВМ;

2) число, технические характеристики и емкость главных накопителей и высокопроизводительных принтеров;

3) число, «интеллектуальность» и ориентированность (приспособленность к применению) дисплеев и принтеров на рабочем месте;

4) число и характеристики остальных устройств ввода – вывода;

5) внутренние вычислительные сети и их компоненты;

6) внешние телекоммуникационные связи;

7) места установки технических средств;

8) доступность и характерное время ответа (при нормальной и пиковой загрузке) центральных и периферийных ЭВМ;

9) загрузка центральных и периферийных ЭВМ (загрузка процессоров, использование памяти накопителей);

10) «история развития» (доля прироста, развитие производительности и емкости) центральных и децентрализованных технических средств;

11) возможности расширения технических средств;

12) данные по изготовителям и поставщикам (в особенности надежность и оценка пользователями этих средств);

13) данные по приобретению/аренде/лизингу или по продолжительности связей с поставщиками в сфере технических средств;

14) данные по техническому обслуживанию и сервису.

5. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению ресурсов имеющихся информационных систем и программных средств.

Для формирования документации на имеющиеся в наличии ИС и соответствующие им ПС целесообразно раздельное их описание для центральных и децентрализованных ЭВМ.

Для обеих категорий необходимо характеризовать следующие компоненты программных средств:

1) операционные системы (ОС), расширения ОС, системы теледоступа;

2) системы управления банками данных;

3) сетевые программные средства и средства теледоступа, системы управления и коммуникации ПЭВМ;

4) программные средства управления вычислительным центром;

5) вспомогательные программы (управление ленточными и дисковыми накопителями, настройки систем, контроль исполнения и т.п.);

6) инструменты конечного пользователя;

7) развитие окружения ИС (инструменты и языки анализа, дизайна и программирования, а также трансляторы с языков);

8) системы сохранения и защиты данных;

9) используемые внешние программные средства;

10) данные по изготовителям и поставщикам ПС (особенно их надежность и удовлетворенность пользователей этими средствами);

11) данные по приобретению/аренде/лизингу и длительности связей с поставщиками ПС;

12) данные по возможности расширения программных средств;

13) данные по техническому обслуживанию и сервису.

Особое внимание должно быть уделено программам, которые установлены на децентрализованных ЭВМ, и сетевым программам, которые поддерживают коммуникации с центральной ЭВМ. На практике при анализе ПС очень часто выявляется несовместимость по ПС децентрализованных ЭВМ между собой или с центральной ЭВМ.

6. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению бюджета сферы обработки информации (ОИ).

В отношении бюджета ОИ в практике СПИС провести исследование следующих аспектов:

1) анализ общего развития расходов на ОИ раздельно для технических и программных средств, расходов на техническое обслуживание, на персонал, а также прочих расходов;

2) развитие затрат на ОИ в сравнении с общими затратами;

3) планирование затрат на ОИ в будущем;

4) системы расчета затрат на ОИ (приведенных к конечному пользователю):

- приведенные затраты на ОИ по каждой сфере деятельности;

- сопоставление фактических вычислительных затрат на ОИ и потребного процессорного времени;

- другие подобные грубые сравнения для установления справедливости распределения затрат;

- соотнесение затрат на ОИ с достигаемой производительностью.

7. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по организации и управлению в сфере информатизации.

На этом шаге необходимо проверить на эффективность и сбалансированность существующую организацию, т.е. структуру и качество управления в области ИС. При этом должны исследоваться следующие аспекты:

1) эффективность существующей организации ОИ;

2) сотрудничество с пользователями (связи, заказы на развитие, сервис для пользователей и их обучение, вид и объем сервисных услуг);

3) организационное расчленение области СИ (развитие и эксплуатация ИС и обеспечение пользователей);

4) планирование и администрирование данных;

5) развитие применения ИС (образ действий, методы и инструменты для анализа, дизайна, программирования, тестирования и технического обслуживания, выдача приоритетов для развития ИС);

6) концепция приобретения, внедрения и обслуживания компонентов технических и программных средств; мероприятия по обучению работников сферы ОИ;

7) объем и качество документации;

8) вид и объем кратко-, средне- и долгосрочного планирования и контроля в области ОИ;

9) вид распределения ресурсов ПС по конечным пользователям;

10) объем и качество защищенности, в том числе от катастроф.

8. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по организации и управлению в сфере информационных технологий.

В рамках условий, которые касаются ИТ, планируемых в будущем к применению, должны быть определены принципиальные позиции в отношении каждой подлежащей применению ИТ по таким вопросам:

1) политика ориентации на продукцию одного изготовителя или на смешанные (от разных изготовителей) технические и программные средства;

2) собственные разработки в качестве основы развития или привлечение сторонних разработок.

9. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по организации и управлению в сфере документации по анализу ИС.

Документация по анализу ИС на предприятии содержит:

1) общий обзор имеющихся ИС и их ресурсов: раздельное представление всех систем с одинаковой степенью детализации, а также интегрированное или агрегированное представление и результаты их сравнения;

2) общий обзор использования ресурсов ИС: центры тяжести их деятельности, а также связанные и свободные мощности;

3) описание сильных и слабых сторон ИС и предложения по их улучшению: имеющиеся в наличии ИС и их ресурсы, развитие и обслуживание ИС, эксплуатация ИС и обслуживание пользователей, а также планирование и организация ИС;

4) каталог идей и намерений для будущих стратегий в области ИС.

10. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по организации и функционированию ИС.

1) общий обзор использования ресурсов (потребные мощности и затраты) для предусмотренной концепции создания ИС, специфицированный по годам для отдельных ИС и ресурсов, а также сгруппированный по годам и видам ресурсов;

2) характеристику стандартов и исходных данных в области применения методов и инструментов при планировании, развитии, обслуживании и эксплуатации ИС, а также в области работы с пользователями;

3) сводный бюджет затрат на ОИ и (при возможности) финансовый план.

11. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению приложений.

При этом описание того или иного приложения охватывает следующие вопросы:

1) функциональное описание (постановку задач и функции программ);

2) структуры данных;

3) ввод и выдачу данных;

4) каркас данных;

5) связи с другими приложениями;

6) вид применения или обработки;

7) пользователей (их круг и частота обращений) и получаемый ими эффект;

8) историю развития; констатацию того, является ли данный продукт собственным или «чужим»;

9) критику и предложения со стороны пользователей, а также впечатления самого аналитика.

12. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению данных.

В отношении данных должны исследоваться следующие аспекты (преимущественно организационные):

1) объем и качество, т.е. сущность или состав данных и связей;

2) уровень разрозненности или, напротив, степень интегрирования имеющихся данных относительно технологии банков и баз данных;

3) полнота и актуальность структур данных с позиций пользователя;

4) специфика установленных банков данных в структуре управления (концептуальная модель, специфика языков банков данных, перечень данных, функции системы защиты данных, места сечения) и/или других программных средств управления данными;

5) организационные и технологические пути доступа к данным;

6) защищенность данных (объем и качество мероприятий по сохранению полноты и корректности данных);

7) мероприятия по защите данных (политические, правовые, организационные, а также технические и технологические мероприятия).

13. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению кадровых ресурсов работников сферы ОИ.

При оценке работников сферы обработки информации (ОИ) как ресурса может быть получено первое представление об организации (структура и руководство) на основе, например, анализа структурных схем. Число сотрудников в отдельных подразделениях, а также описание их должностных обязанностей дают информацию о центре тяжести в деятельности организации.

В рамках каждого детального рассмотрения следует провести анализ следующих отдельных позиций:

1) число сотрудников (в среднем на область деятельности);

поле деятельности для каждого из сотрудников сферы ОИ;

2) качество руководства сферой ОИ;

3) производительность и загрузка работников сферы ОИ;

4) квалификация и образование работников сферы ОИ (в особенности их коммуникабельность при работе с пользователями);

5) средства и уровень мотивации работников сферы ОИ;

6) производственный климат в подразделениях сферы ОИ;

7) возрастная структура (возраст и стаж работы, а также опыт работы в сфере ОИ).

14. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению ресурсов технических средств.

В отношении технических средств целесообразно проанализировать следующие важные аспекты:

1) типы, технические характеристики и мощность центральных и децентрализованных ЭВМ;

2) число, технические характеристики и емкость главных накопителей и высокопроизводительных принтеров;

3) число, «интеллектуальность» и ориентированность (приспособленность к применению) дисплеев и принтеров на рабочем месте;

4) число и характеристики остальных устройств ввода – вывода;

5) внутренние вычислительные сети и их компоненты;

6) внешние телекоммуникационные связи;

7) места установки технических средств;

8) доступность и характерное время ответа (при нормальной и пиковой загрузке) центральных и периферийных ЭВМ;

9) загрузка центральных и периферийных ЭВМ (загрузка процессоров, использование памяти накопителей);

10) «история развития» (доля прироста, развитие производительности и емкости) центральных и децентрализованных технических средств;

11) возможности расширения технических средств;

12) данные по изготовителям и поставщикам (в особенности надежность и оценка пользователями этих средств);

13) данные по приобретению/аренде/лизингу или по продолжительности связей с поставщиками в сфере технических средств;

14) данные по техническому обслуживанию и сервису.

15. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению ресурсов имеющихся информационных систем и программных средств.

Для формирования документации на имеющиеся в наличии ИС и соответствующие им ПС целесообразно раздельное их описание для центральных и децентрализованных ЭВМ.

Для обеих категорий необходимо характеризовать следующие компоненты программных средств:

1) операционные системы (ОС), расширения ОС, системы теледоступа;

2) системы управления банками данных;

3) сетевые программные средства и средства теледоступа, системы управления и коммуникации ПЭВМ;

4) программные средства управления вычислительным центром;

5) вспомогательные программы (управление ленточными и дисковыми накопителями, настройки систем, контроль исполнения и т.п.);

6) инструменты конечного пользователя;

7) развитие окружения ИС (инструменты и языки анализа, дизайна и программирования, а также трансляторы с языков);

8) системы сохранения и защиты данных;

9) используемые внешние программные средства;

10) данные по изготовителям и поставщикам ПС (особенно их надежность и удовлетворенность пользователей этими средствами);

11) данные по приобретению/аренде/лизингу и длительности связей с поставщиками ПС;

12) данные по возможности расширения программных средств;

13) данные по техническому обслуживанию и сервису.

Особое внимание должно быть уделено программам, которые установлены на децентрализованных ЭВМ, и сетевым программам, которые поддерживают коммуникации с центральной ЭВМ. На практике при анализе ПС очень часто выявляется несовместимость по ПС децентрализованных ЭВМ между собой или с центральной ЭВМ.

16. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению бюджета сферы обработки информации (ОИ).

В отношении бюджета ОИ в практике СПИС провести исследование следующих аспектов:

1) анализ общего развития расходов на ОИ раздельно для технических и программных средств, расходов на техническое обслуживание, на персонал, а также прочих расходов;

2) развитие затрат на ОИ в сравнении с общими затратами;

3) планирование затрат на ОИ в будущем;

4) системы расчета затрат на ОИ (приведенных к конечному пользователю):

- приведенные затраты на ОИ по каждой сфере деятельности;

- сопоставление фактических вычислительных затрат на ОИ и потребного процессорного времени;

- другие подобные грубые сравнения для установления справедливости распределения затрат;

- соотнесение затрат на ОИ с достигаемой производительностью.

17. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по организации и управлению в сфере информатизации.

На этом шаге необходимо проверить на эффективность и сбалансированность существующую организацию, т.е. структуру и качество управления в области ИС. При этом должны исследоваться следующие аспекты:

1) эффективность существующей организации ОИ;

2) сотрудничество с пользователями (связи, заказы на развитие, сервис для пользователей и их обучение, вид и объем сервисных услуг);

3) организационное расчленение области СИ (развитие и эксплуатация ИС и обеспечение пользователей);

4) планирование и администрирование данных;

5) развитие применения ИС (образ действий, методы и инструменты для анализа, дизайна, программирования, тестирования и технического обслуживания, выдача приоритетов для развития ИС);

6) концепция приобретения, внедрения и обслуживания компонентов технических и программных средств; мероприятия по обучению работников сферы ОИ;

7) объем и качество документации;

8) вид и объем кратко-, средне- и долгосрочного планирования и контроля в области ОИ;

9) вид распределения ресурсов ПС по конечным пользователям;

10) объем и качество защищенности, в том числе от катастроф.

18. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по организации и управлению в сфере информационных технологий.

В рамках условий, которые касаются ИТ, планируемых в будущем к применению, должны быть определены принципиальные позиции в отношении каждой подлежащей применению ИТ по таким вопросам:

1) политика ориентации на продукцию одного изготовителя или на смешанные (от разных изготовителей) технические и программные средства;

2) собственные разработки в качестве основы развития или привлечение сторонних разработок.

19. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по организации и управлению в сфере документации по анализу ИС.

Документация по анализу ИС на предприятии содержит:

1) общий обзор имеющихся ИС и их ресурсов: раздельное представление всех систем с одинаковой степенью детализации, а также интегрированное или агрегированное представление и результаты их сравнения;

2) общий обзор использования ресурсов ИС: центры тяжести их деятельности, а также связанные и свободные мощности;

3) описание сильных и слабых сторон ИС и предложения по их улучшению: имеющиеся в наличии ИС и их ресурсы, развитие и обслуживание ИС, эксплуатация ИС и обслуживание пользователей, а также планирование и организация ИС;

4) каталог идей и намерений для будущих стратегий в области ИС.

20. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по организации и функционированию ИС.

1) общий обзор использования ресурсов (потребные мощности и затраты) для предусмотренной концепции создания ИС, специфицированный по годам для отдельных ИС и ресурсов, а также сгруппированный по годам и видам ресурсов;

2) характеристику стандартов и исходных данных в области применения методов и инструментов при планировании, развитии, обслуживании и эксплуатации ИС, а также в области работы с пользователями;

3) сводный бюджет затрат на ОИ и (при возможности) финансовый план.

21. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению приложений.

При этом описание того или иного приложения охватывает следующие вопросы:

1) функциональное описание (постановку задач и функции программ);

2) структуры данных;

3) ввод и выдачу данных;

4) каркас данных;

5) связи с другими приложениями;

6) вид применения или обработки;

7) пользователей (их круг и частота обращений) и получаемый ими эффект;

8) историю развития; констатацию того, является ли данный продукт собственным или «чужим»;

9) критику и предложения со стороны пользователей, а также впечатления самого аналитика.

22. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению данных.

В отношении данных должны исследоваться следующие аспекты (преимущественно организационные):

1) объем и качество, т.е. сущность или состав данных и связей;

2) уровень разрозненности или, напротив, степень интегрирования имеющихся данных относительно технологии банков и баз данных;

3) полнота и актуальность структур данных с позиций пользователя;

4) специфика установленных банков данных в структуре управления (концептуальная модель, специфика языков банков данных, перечень данных, функции системы защиты данных, места сечения) и/или других программных средств управления данными;

5) организационные и технологические пути доступа к данным;

6) защищенность данных (объем и качество мероприятий по сохранению полноты и корректности данных);

7) мероприятия по защите данных (политические, правовые, организационные, а также технические и технологические мероприятия).

23. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению кадровых ресурсов работников сферы ОИ.

При оценке работников сферы ОИ как ресурса может быть получено первое представление об организации (структура и руководство) на основе, например, анализа структурных схем.

Число сотрудников в отдельных подразделениях, а также описание их должностных обязанностей дают информацию о центре тяжести в деятельности организации.

В рамках каждого детального рассмотрения следует провести анализ следующих отдельных позиций:

1) число сотрудников (в среднем на область деятельности);

поле деятельности для каждого из сотрудников сферы ОИ;

2) качество руководства сферой ОИ;

3) производительность и загрузка работников сферы ОИ;

4) квалификация и образование работников сферы ОИ (в особенности их коммуникабельность при работе с пользователями);

5) средства и уровень мотивации работников сферы ОИ;

6) производственный климат в подразделениях сферы ОИ;

7) возрастная структура (возраст и стаж работы, а также опыт работы в сфере ОИ).

24. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению ресурсов технических средств.

В отношении технических средств целесообразно проанализировать следующие важные аспекты:

1) типы, технические характеристики и мощность центральных и децентрализованных ЭВМ;

2) число, технические характеристики и емкость главных накопителей и высокопроизводительных принтеров;

3) число, «интеллектуальность» и ориентированность (приспособленность к применению) дисплеев и принтеров на рабочем месте;

4) число и характеристики остальных устройств ввода – вывода;

5) внутренние вычислительные сети и их компоненты;

6) внешние телекоммуникационные связи;

7) места установки технических средств;

8) доступность и характерное время ответа (при нормальной и пиковой загрузке) центральных и периферийных ЭВМ;

9) загрузка центральных и периферийных ЭВМ (загрузка процессоров, использование памяти накопителей);

10) «история развития» (доля прироста, развитие производительности и емкости) центральных и децентрализованных технических средств;

11) возможности расширения технических средств;

12) данные по изготовителям и поставщикам (в особенности надежность и оценка пользователями этих средств);

13) данные по приобретению/аренде/лизингу или по продолжительности связей с поставщиками в сфере технических средств;

14) данные по техническому обслуживанию и сервису.

25. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению ресурсов имеющихся информационных систем и программных средств.

Для формирования документации на имеющиеся в наличии ИС и соответствующие им ПС целесообразно раздельное их описание для центральных и децентрализованных ЭВМ.

Для обеих категорий необходимо характеризовать следующие компоненты программных средств:

1) операционные системы (ОС), расширения ОС, системы теледоступа;

2) системы управления банками данных;

3) сетевые программные средства и средства теледоступа, системы управления и коммуникации ПЭВМ;

4) программные средства управления вычислительным центром;

5) вспомогательные программы (управление ленточными и дисковыми накопителями, настройки систем, контроль исполнения и т.п.);

6) инструменты конечного пользователя;

7) развитие окружения ИС (инструменты и языки анализа, дизайна и программирования, а также трансляторы с языков);

8) системы сохранения и защиты данных;

9) используемые внешние программные средства;

10) данные по изготовителям и поставщикам ПС (особенно их надежность и удовлетворенность пользователей этими средствами);

11) данные по приобретению/аренде/лизингу и длительности связей с поставщиками ПС;

12) данные по возможности расширения программных средств;

13) данные по техническому обслуживанию и сервису.

Особое внимание должно быть уделено программам, которые установлены на децентрализованных ЭВМ, и сетевым программам, которые поддерживают коммуникации с центральной ЭВМ. На практике при анализе ПС очень часто выявляется несовместимость по ПС децентрализованных ЭВМ между собой или с центральной ЭВМ.

26. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по распределению бюджета сферы обработки информации (ОИ).

В отношении бюджета ОИ в практике СПИС провести исследование следующих аспектов:

1) анализ общего развития расходов на ОИ раздельно для технических и программных средств, расходов на техническое обслуживание, на персонал, а также прочих расходов;

2) развитие затрат на ОИ в сравнении с общими затратами;

3) планирование затрат на ОИ в будущем;

4) системы расчета затрат на ОИ (приведенных к конечному пользователю):

- приведенные затраты на ОИ по каждой сфере деятельности;

- сопоставление фактических вычислительных затрат на ОИ и потребного процессорного времени;

- другие подобные грубые сравнения для установления справедливости распределения затрат;

- соотнесение затрат на ОИ с достигаемой производительностью.

27. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по организации и управлению в сфере информатизации.

На этом шаге необходимо проверить на эффективность и сбалансированность существующую организацию, т.е. структуру и качество управления в области ИС. При этом должны исследоваться следующие аспекты:

1) эффективность существующей организации ОИ;

2) сотрудничество с пользователями (связи, заказы на развитие, сервис для пользователей и их обучение, вид и объем сервисных услуг);

3) организационное расчленение области СИ (развитие и эксплуатация ИС и обеспечение пользователей);

4) планирование и администрирование данных;

5) развитие применения ИС (образ действий, методы и инструменты для анализа, дизайна, программирования, тестирования и технического обслуживания, выдача приоритетов для развития ИС);

6) концепция приобретения, внедрения и обслуживания компонентов технических и программных средств; мероприятия по обучению работников сферы ОИ;

7) объем и качество документации;

8) вид и объем кратко-, средне- и долгосрочного планирования и контроля в области ОИ;

9) вид распределения ресурсов ПС по конечным пользователям;

10) объем и качество защищенности, в том числе от катастроф.

28. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по организации и управлению в сфере информационных технологий.

В рамках условий, которые касаются ИТ, планируемых в будущем к применению, должны быть определены принципиальные позиции в отношении каждой подлежащей применению ИТ по таким вопросам:

1) политика ориентации на продукцию одного изготовителя или на смешанные (от разных изготовителей) технические и программные средства;

2) собственные разработки в качестве основы развития или привлечение сторонних разработок.

29. Проведите в рамках СПИС обследование внутренней ситуации на известном Вам предприятии по организации и управлению в сфере документации по анализу ИС.

Документация по анализу ИС на предприятии содержит:

1) общий обзор имеющихся ИС и их ресурсов: раздельное представление всех систем с одинаковой степенью детализации, а также интегрированное или агрегированное представление и результаты их сравнения;

2) общий обзор использования ресурсов ИС: центры тяжести их деятельности, а также связанные и свободные мощности;

3) описание сильных и слабых сторон ИС и предложения по их улучшению: имеющиеся в наличии ИС и их ресурсы, развитие и обслуживание ИС, эксплуатация ИС и обслуживание пользователей, а также планирование и организация ИС;

4) каталог идей и намерений для будущих стратегий в области ИС.