- •Частный институт управления и предпринимательства
- •А 42 Корпоративные информационные системы: Основы построения. Учебное пособие / а. И. Аксенов, а.Ф. Кривец – Мн.: Част. Ин-т упр. И пред., 2010. – с.
- •Содержание
- •1. Основные понятия корпоративных информационных систем
- •1.1. Компьютерные информационные технологии в управлении экономическим объектом.
- •1.2. Информационные системы.
- •1.3. Классификация информационных систем
- •1.4. Виды обеспечения информационных систем
- •1.5. Корпоративная информационная система (кис). Принципы организации кис
- •1.6. Структура корпоративной информационной системы
- •1.7. Корпоративные информационные технологии
- •1.8. Требования к кис
- •2. Информационные ресурсы кис
- •2.1. Источники информации в кис
- •2.2. Информационные модели объекта управления
- •2.3. Информационные массивы и потоки
- •2.4. Информационное обеспечение кис
- •2.5. Информационные ресурсы и их роль в управлении экономикой
- •2.6. Информационные ресурсы Республики Беларусь
- •2.7. Государственные программы информатизации Республики Беларусь
- •3. Техническое и системное программное обеспечение кис
- •3.1. Технические средства кис и их классификация
- •3.2. Технические средства автоматизации производственных процессов
- •3.3. Системное программное обеспечение
- •3.4. Операционная среда
- •4. Сетевые технологии в корпоративных информационных системах
- •4.1. Компьютерные сети
- •4.2. Классификация компьютерных сетей
- •4.4. Понятие "открытой" системы. Модель osi.
- •4.5. Уровни модели osi [3]
- •4.7. Глобальная сеть Internet.
- •4.8. Адресация компьютеров в сетях [3,4]
- •4.9. Сервисы сети Internet [3,4]
- •4.10. Корпоративные сети и их характеристика
- •4.11. Телекоммуникационные и Internet/Intranet-технологии в корпоративных информационных системах
- •4.12. Администрирование компьютерных сетей.
- •Почтовый сервер (Mail server) – сервер, обеспечивающий прием и передачу электронных писем пользователей, а также их маршрутизацию.
- •4.13. Перспективы развития телекоммуникационных технологий [4]
- •5. Корпоративные базы данных
- •5.1. Организация данных в корпоративных информационных системах.
- •Корпоративные базы данных и требования, предъявляемые к ним
- •Характеристика интеграционных решений корпоративных баз данных
- •5. 5.Системы управления базами данных и технологии доступа к данным в кис
- •6. Прикладное программное обеспечение кис
- •6.1. Программные средства моделирования экономических процессов [3,11]
- •6.2. Программное обеспечение кис.
- •II. Концепция внедрения ит в виде систем, таких как mrp, erp, crm.
- •6.4. Электронный бизнес, его классификация.
- •6.6. Корпоративные информационные системы в предметной области [4]
- •6.7. Пакеты ппо кис предметных областей, состояние рынка и перспективы его развития [4].
- •7. Системы искусственного интеллекта (ии)
- •7.1. Понятие систем ии, направления использования и развития [3,4]
- •7.2.Математические модели исследования ии.
- •7.3. Использование ии в экономике. Управление знаниями [4]
- •7.4. Понятие и назначение экспертной системы [3,4]
- •7.5. Структура и функции экспертной системы [4]
- •7.6. Режимы работы и классификация эс [3,4]
- •7.7. Понятие системы поддержки принятия решений [3,4]
- •7.8. Средства создания систем ии [4]
- •8. Обеспечение безопасности корпоративных информационных систем
- •8.1. Информационная безопасность, безопасная система
- •8.2. Критерии оценки информационной безопасности и классы безопасности информационных систем [4]
- •8.3. Политика информационной безопасности [3]
- •8.4. Классификация угроз информационной безопасности [3]
- •8.5. Понятие компьютерной преступности [4]
- •8.6. Программно-техническое обеспечение безопасности информационных систем [3,4]
- •8.7. Обеспечение безопасности в компьютерных сетях [4]
- •8.8. Организационно-экономическое обеспечение безопасности информационных систем [4]
- •8.9. Структура и функции системы информационной безопасности [4]
- •8.10. Методы защиты информации [4]
- •8.11. Правовое обеспечение безопасности информационных систем [3,4]
- •8.12. Нормативные акты Республики Беларусь об информатизации и защите информации
- •9. Проектирование корпоративных информационных систем
- •9.2. Модели жизненного цикла кис [4]
- •9.3. Каноническое и индустриальное проектирование кис
- •9.4. Этапы проектирования кис [4]
- •9.5. Формирование требований к кис. Проблемы взаимодействия потребителя и проектировщика кис. Разработка концепции кис
- •Техническое задание
- •9.7. Технический проект
- •9.9. Реинжиниринг бизнес-процессов [3,4]
- •9.10. Участники реинжиниринга бизнес-процессов [3,4]
- •9.11. Этапы реинжиниринга [4]
- •9.12. Моделирование бизнес-процессов [4]
- •9.13. Информационные технологии и реинжиниринг бизнес-процессов [4]
- •9.14. Примеры реализации реинжиниринга бизнес-процессов в предметной области [3].
- •9.15. Обзор систем автоматизированного проектирования кис [4]
- •9.16.Оценка эффективности внедрения информационных систем [4]
- •Литература
8.2. Критерии оценки информационной безопасности и классы безопасности информационных систем [4]
Безопасность информационной системы обеспечивается комплексом технологических и административных мер, которые применяются к данным, программам и аппаратным средствам с целью обеспечить доступность, целостность и конфиденциальность ресурсов.
Первые критерии оценки безопасности компьютерных систем – «Критерии оценки безопасности компьютерных систем» (TCSEC – Trusted Computer System Evalution Criteria) были разработаны в США в 1988г. В них были выделены общие требования к обеспечению безопасности обрабатываемой информации и определен перечень показателей защищенности. Было выделено шесть основных требований, из них четыре относятся к управлению доступом к информации, а два – к предоставленным гарантиям.
По качеству управления доступом к информации выделяются следующие классы безопасности компьютерных систем:
класс D (подсистема безопасности) – присваивается тем системам, которые не прошли испытаний на более высокий уровень защищенности, а также системам, которые для своей защиты используют лишь отдельные функции безопасности;
класс С1 (избирательная защита) – средства защиты данного класса отвечают требованиям избирательного управления доступом. При этом обеспечивается разделение пользователей и данных. Каждый субъект идентифицируется и аутентифицируется в этом классе и ему задается перечень возможных типов доступа;
класс С2 (управляемый доступ) – требования данного класса такие же, что и в классе С1, но при этом добавляются требования уникальной идентификации субъектов доступа, защиты и регистрации событий;
класс В1 (меточная защита) – метки конфиденциальности присваиваются всем субъектам и объектам системы, которые содержат конфиденциальную информацию. Доступ к объектам внутри системы разрешается только тем субъектам, чья метка отвечает определенному критерию относительно метки объекта;
класс В2 (структурированная защита) – требования данного класса включают в себя требования класса В1 и наличие требований хорошо определенной и документированной формальной модели политики безопасности и управления информационными потоками (контроль скрытых каналов) и предъявление дополнительного требования к защите механизмов аутентификации;
класс ВЗ (область безопасности) – в оборудовании систем данного класса реализована концепция монитора ссылок. Все взаимодействия субъектов с объектами должны контролироваться этим монитором. Действия должны выполняться в рамках областей безопасности, которые имеют иерархическую структуру и защищены друг от друга с помощью специальных механизмов. Механизм регистрации событий безопасности оповещает администратора и пользователя о нарушении безопасности;
класс А1 (верифицированная разработка) – для проверки спецификаций системы применяются методы формальной верификации – анализа спецификаций на предмет неполноты или противоречивости.
Аналогичные критерии оценки безопасности информационных технологий разработаны европейскими государствами (Францией, Германией, Нидерландами и Великобританией) – «Критерии оценки безопасности информационных технологий» (ITSEC- Information Technology Security Evaluation Criteria). В них определяются семь возможных уровней гарантированности корректности – от ЕО до Е6. Уровень ЕО обозначает отсутствие гарантированности – аналог уровня D в TCSEC. Основной чертой «Европейских Критериев» является отсутствие априорных требований к условиям, в которых должна работать информационная система. Здесь выделяют десять классов. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности TCSEC.
В 1992 г. Гостехкомиссия при Президенте России опубликовала «Руководящие документы», посвященные проблеме защиты от несанкционированного доступа к информации, обрабатываемой средствами вычислительной техники и автоматизированными системами.
Средства вычислительной техники по уровню защищенности от несанкционированного доступа разбиваются на семь классов защищенности. Самый низкий класс – седьмой, самый высокий – первый. В свою очередь классы подразделяют на четыре группы, отличающиеся качественным уровнем защиты.
Автоматизированные системы по уровню защищенности от несанкционированного доступа делят на девять классов. Классы подразделяют на три группы, отличающиеся особенностями обработки информации в автоматизированных системах. В пределах каждой группы соблюдают иерархию требований к защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархию классов защищенности автоматизированных систем. В Республике Беларусь придерживаются той же концепции, что и в России.