Унифицированная система банковской документации
§ платежная документация по безналичным расчетам через банки;
§ документация по кредитным операциям банков;
§ документация по контролю расходования средств на оплату труда и выплаты социально-трудовых ресурсов;
§ документация по операциям банков, связанная с международными расчетами;
§ выходная документация банков;
§ документация по депозитарным операциям банков;
§ платежная документация по безналичным расчетам через банки — внутрибанковские формы документов;
§ документация по эмиссионно-кассовым и бюджетным операциям банков внутрибанковские формы документов;
§ документация по контролю за расходованием средств на оплату труда и выплаты социально-трудовых льгот (на потребление) — внутрибанковские формы документов;
§ выходная документация банков — внутрибанковские формы документов;
§ документация по денежному обращению — внутрибанковские формы документов;
§ документация по кредитным операциям банков — внутрибанковские формы документов;
§ бухгалтерская документация — внутрибанковские формы документов.
49. Общероссийские классификаторы технико-экономической и социальной информации.
Общероссийские классификаторы технико-экономической и социальной информации
Для реализации государственной политики в области развития единой системы классификации и кодирования Правительство Российской Федерации утвердило ряд постановлений, в которых описана ответственность федеральных органов исполнительной власти за введение общероссийских классификаторов технико-экономической и социальной информации.
|
|
|
Постановлением Правительства РФ от 1 ноября 1999 года № 1212 было утверждено Положение «О проведении работ по развитию единой системы классификации и кодирования технико-экономической и социальной информации», в котором были определены общероссийские классификаторы технико — экономической и социальной информации. Данное Положение утратило силу в связи с изданием Постановления Правительства РФ от 10 ноября 2003 года № 677 «Об общероссийских классификаторах технико-экономической и социальной информации в социально-экономической области».
Ниже приведён актуальный перечень общероссийских классификаторов технико-экономической и социальной информации и федеральных органов ответственных за их введение.
50. Государственная система документационного обеспечения управления.
ГСДОУ была принята в 1988 году как совокупность принципов и правил, устанавливающих единые требования к документационному обеспечению управленческой деятельности и к работе с документами. Основная цель ГСДОУ – «упорядочение документооборота, сокращение количества и повышение качества документов, создание условий для эффективного применения прогрессивных технических средств и технологий сбора, обработки и анализа информации, совершенствование работы аппарата управления».
|
|
|
ГСДОУ состоит из четырех тематических разделов.
1. Документирование управленческой деятельности – включает положения, определяющие:
• состав управленческих документов;
• порядок проведения унификации и стандартизации управленческих документов;
• оформление реквизитов управленческих документов, в том числе и машиночитаемых;
• общие требования к составлению текстов управленческих документов.
2. Организация работы с документами (управление документацией) – устанавливает принципы и порядок:
• документооборота организации;
• построения информационно-поисковой системы (ИПС) по документам;
• контроля исполнения документов;
• подготовки документов к передаче в ведомственный архив на хранение.
3. Механизация и автоматизация работы с документами.
4. Организация службы документационного обеспечения управления.
Основные цели ГСДОУ состоят в упорядочении документооборота организации, в сокращении количества и повышении качества документов, а также в создании благоприятных условий для применения современных технических средств и технологий обработки информации. Тем самым должно достигаться совершенствование аппарата управления.
|
|
|
На практике положения ГСДОУ внедряются посредством стандартов, инструкций, положений, методик, рекомендаций по различным аспектам, а также путем унификации формы и состава документов управления.
51. Основные требования к документам.
Текстовые документы подразделяют на документы, содержащие, в основном, сплошной текст (технические условия, паспорта, расчеты, пояснительные записки, инструкции и т.п.), и документы, содержащие текст, разбитый на графы (спецификации, ведомости, таблицы и т.п.).
Текстовые документы выполняют на формах, установленных соответствующими стандартами Единой системы конструкторской документации (ЕСКД) и Системы проектной документации для строительства (СПДС).
Требования, специфические для некоторых видов текстовых документов (например эксплуатационных документов), приведены в соответствующих стандартах.
Подлинники текстовых документов выполняют одним из следующих способов:
|
|
|
- машинописным, при этом следует выполнять требования ГОСТ 13.1.002. Шрифт пишущей машинки должен быть четким, высотой не менее 2,5 мм, лента только черного цвета (полужирная);
- рукописным - чертежным шрифтом по ГОСТ 2.304 с высотой букв и цифр не менее 2,5 мм. Цифры и буквы необходимо писать четко черной тушью;
- с применением печатающих и графических устройств вывода ЭВМ (ГОСТ 2.004).
- на магнитных носителях данных (ГОСТ 28388).
Копии текстовых документов выполняют одним из следующих способов:
- типографским - в соответствии с требованиями, предъявляемыми к изданиям, изготовляемым типографским способом;
- ксерокопированием - при этом рекомендуется размножать способом двустороннего копирования;
- светокопированием;
- микрофильмированием;
- на магнитных носителях данных.
Вписывать в текстовые документы, изготовленные машинописным способом, отдельные слова, формулы, условные знаки (рукописным способом), а также выполнять иллюстрации следует черными чернилами, пастой или тушью.
Расстояние от рамки формы до границ текста в начале и в конце строк - не менее 3 мм.
Расстояние от верхней или нижней строки текста до верхней или нижней рамки должно быть не менее 10 мм.
Абзацы в тексте начинают отступом, равным пяти ударам пишущей машинки (15 - 17 мм).
Пример выполнения текстового документа приведен в приложении А.
Опечатки, описки и графические неточности, обнаруженные в процессе выполнения документа, допускается исправлять подчисткой или закрашиванием белой краской и нанесением на том же месте исправленного текста (графика) машинописным способом или черными чернилами, пастой или тушью рукописным способом.
Повреждения листов текстовых документов, помарки и следы не полностью удаленного прежнего текста (графика) не допускаются.
После внесения исправлений документ должен удовлетворять требованиям микрофильмирования, установленным ГОСТ 13.1.002.
Для размещения утверждающих и согласующих подписей к текстовым документам рекомендуется составлять титульный лист и (или) лист утверждения в соответствии с разделом (Требования к оформлению титульного листа и листа утверждений) настоящего стандарта.
Обязательность и особенности выполнения титульных листов оговорены в стандартах ЕСКД и СПДС на правила выполнения соответствующих документов.
К текстовым документам рекомендуется выпускать лист регистрации изменений в соответствии с ГОСТ 2.503 и ГОСТ 21.101.
52. Инструктивные и нормативные документы по использованию технических средств.
В состав инструктивных и нормативных документов по использованию технических средств включаются следующие виды:
• инструктивные документы, определяющие порядок работы с конкретными техническими устройствами;
• нормативные документы, определяющие общие требования по обеспечению безопасной работы с техническими средствами.
Инструктивные документы по своему составу весьма многообразны и должны входить в комплект поставки соответствующего оборудования.
Нормативные документы являются составной частью законодательства и подлежат неукоснительному изучению и исполнению техническим и управленческим персоналом.
53. Инструктивные и нормативно-методические документы по организации работы управленческого и технического персонала.
Инструктивные и нормативно-методические документы по организации работы управленческого и технического персонала регламентируют деятельность в рамках конкретной технологии поддержки управленческой деятельности и разрабатываются непосредственно ее разработчиками или руководителем подразделения в виде соответствующих должностных инструкций и технологических карт.
54. Понятие информационной безопасности.
Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В Законе РФ "Об участии в международном информационном обмене" (закон утратил силу, в настоящее время действует "Об информации, информационных технологиях и о защите информации") информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником и какое психологическое воздействие она оказывает на людей. Поэтому термин "информационная безопасность" будет использоваться в узком смысле, так, как это принято, например, в англоязычной литературе.
Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктурыот случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанестинеприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации иподдерживающей инфраструктуры. (Чуть дальше мы поясним, что следует понимать под поддерживающей инфраструктурой.)
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
Из этого положения можно вывести два важных следствия:
Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".
Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).
55. Система защиты информации.
56. Основные угрозы безопасности информации и нормального функционирования ИС.
Таким образом, компьютерный вирус можно рассматривать как своеобразный «генератор троянских программ». Программы, зараженные вирусом, называют вирусоносителями. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения .EXE, .COM, .SYS, .ВАТ. Редко заражаются текстовые файлы. После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И наконец, не забывает возвратить управление той программе, из которой он был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заражается все программное обеспечение. При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести: прекращение работы или неправильная работа ранее успешно функционировавших программ; замедление работы компьютера; невозможность загрузки операционной системы; исчезновение файлов и каталогов или искажение их содержимого; изменение даты и времени модификации файлов; изменение размеров файлов; неожиданное значительное увеличение количества файлов на диске; существенное уменьшение размера свободной оперативной памяти; вывод на экран непредусмотренных сообщений или изображений; подача непредусмотренных звуковых сигналов; частые зависания и сбои в работе компьютера. Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера. Итак, если не предпринимать мер по защите от вирусов, то последствия заражения компьютера могут быть очень серьезными. 1.3 Классификация компьютерных вирусов Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на компьютерный вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю. «Первичное заражение происходит в процессе наступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как носители информации (дискеты, оптические диски, флэш-память и т.п.), так и каналы вычислительных сетей. Вирусы, использующие для размножения сетевые средства, сетевые протоколы, управляющие команды компьютерных сетей и электронной почты, принято называть сетевыми. Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на магнитных носителях. Физическая структура компьютерного вируса достаточно проста.
Рассмотренный контроль может быть выполнен с помощью специальной программы, которая работает с базой данных «подозрительных» слов и сообщений и формирует список файлов для дальнейшего анализа. После проведенного анализа новые программы рекомендуется несколько дней эксплуатировать в карантинном режиме. При этом целесообразно использовать ускорение календаря, т.е. изменять текущую дату при повторных запусках программы. Это позволяет обнаружить вирусы, срабатывающие в определенные дни недели (пятница, 13-е число месяца, воскресенье и т.д.). Профилактика. Для профилактики заражения необходимо организовать раздельное хранение (на разных магнитных носителях) вновь поступающих и ранее эксплуатировавшихся программ, минимизацию периодов доступности дискет для записи, разделение общих магнитных носителей между конкретными пользователями. Ревизия. Анализ вновь полученных программ специальными средствами (детекторами), контроль целостности перед считыванием информации, а также периодический контроль состояния системных файлов. Карантин. Каждая новая программа проверяется на известные типы вирусов в течение определенного промежутка времени. Программы-доктора не только обнаруживают, но и «лечат» зараженные файлы или диски, удаляя из зараженных программ тело вируса. Программы-доктора служат для обнаружения и уничтожения большого количества разнообразных вирусов. Значительное распространение в России получили программы такого типа, как MS A ivirus, or o U ili es, Avas , Doc or Web и др. Российским лидером в области разработки антивирусных программ является «Лаборатория Касперского». «Лаборатория Касперского» предлагает для обеспечения информационной безопасности: антивирусные программы, программы защиты электронной почты, системы контроля целостности данных и др. Антивирусные программы «Лаборатории Касперского» отслеживают потенциальные источники проникновения компьютерных вирусов, поэтому они используются на PC, серверах, Web-серверах, почтовых серверах, межсетевых экранах. Пользователи программы обеспечиваются круглосуточной технической поддержкой, ежедневными обновлениями антивирусной базы данных. Кроме «Лаборатории Касперского» на российском рынке есть еще популярная антивирусная программа Dг.Web. В Dг.Web реализован принципиально иной подход, чем в других антивирусных программах: в программу встроен модуль эвристического анализатора, который позволяет обезвреживать не только уже известные и занесенные в базу данных вирусы, но и но вые, еще неизвестные вирусы. Периодически проводимые специализированными организациями испытания наиболее популярных антивирусных средств показывают, что они способны обнаруживать до 99,8% известных вирусов. Сегментация. Предполагает разбиение магнитного диска на ряд логических томов (разделов), часть из которых имеет статус READ O LY (только чтение). В данных разделах хранятся выполняемые программы и системные файлы. Базы данных должны храниться в других секторах, отдельно от выполняемых программ. Важным профилактическим средством в борьбе с файловыми вирусами является исключение значительной части загрузочных модулей и сферы их досягаемости.
Менеджерам следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организации и их сотрудников. В настоящее время борьба с информационными инфекциями представляет значительные трудности, так как помимо невнимательности руководителей существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых – порча БД и ПО компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них. Вредоносные программы классифицируются следующим образом: логические бомбы; троянский конь; компьютерный вирус; червь; захватчик паролей. Приведенная классификация наиболее опасных вредоносных программ безопасности ИС не охватывает всех возможных угроз этого типа. И так как существует огромное количество угроз, было бы целесообразнее остановить свое внимание на одном из самых распространенных видов вредоносных программ, как компьютерный вирус. 1.2 Характеристика компьютерных вирусов и признаки вирусного заражения На сегодняшний день известно около 45 ООО вирусов, и их число продолжает увеличиваться. Источниками вирусной грозы является электронная почта, подавляющее большинство вирусов проникает с помощью посланий через e-maiL Следом за ней идет информация, которая скачивается с web-сайтов. Часть вирусов переносится накопителями информации (дискеты, CK-RkM KVK-RkM). По данным исследования компании Syma ec, в первом полугодии 2005 г. зарегистрировано 11 тыс. новых модификаций вирусов. Количество угроз, с которыми сталкиваются пользователи, возрастает с каждым годом, а сами вредоносные программы становятся все более сложными. Связано это с тем, что хакерский бизнес приносит большие прибыли. Время между обнаружением уязвимости компьютеров до выпуска соответствующей защиты в среднем составляет около двух месяцев. Все это время компьютер практически беззащитен. Разрабатываются все более изощренные, трудноуловимые программы, которые научились отключать антивирусную защиту, сетевые экраны и прочие меры обеспечения безопасности. Большое распространение получают модульные, вредоносные программы, которые после заражения системы загружают дополнительные модули с расширенной функциональностью. Тогда они могут делать с компьютером пользователя; все, что угодно, например, рассылать с него спам, т.е. осуществлять рассылку нежелательных электронных писем. Среди новых угроз называется установка рекламного ПО «adware» и «фишинг». «Adware» открывает окна и отображает рекламные сообщения на web-сайтах. А «фишингом» эксперты называют попытки получить конфиденциальные, в основном, финансовые сведения, например, номер и пин-код кредитных карт. Итак, что же такое компьютерный вирус? Формального определения этого понятия до сих пор нет. Многочисленные попытки дать «современное» определение вируса не привели к успеху. Поэтому ограничимся рассмотрением некоторых свойств компьютерных вирусов, которые позволяют говорить о них как о некотором определенном классе программ.
В обоих случаях последствия будут сходными и в равной мере губительными для спровоцировавших катастрофу информационных систем. Иерархия целенаправленных действий Можно утверждать, что для нормально функционирующих информационных систем конечным итогом успешного осуществления целенаправленного действия любым из составляющих их операторов будет повышение вероятности воспроизведения кодирующей этот оператор информации. Достигается это, как правило, путем множества соподчиненных целенаправленных действий, выполняемых разными операторами, так что конечная цель деятельности каждого оператора далеко не всегда очевидна. Кроме того, соподчиненность информации разных уровней организации также не всегда однонаправлена, и не всегда простейший анализ здесь поможет вскрыть истинную иерархию. Так, например, "поведенческие реакции" или "таксисы" одноклеточных организмов подчинены цели воспроизведения генетической информации, их кодирующей, а у социальных многоклеточных животных функция размножения подчинена цели воспроизведения информации, кодирующей их сложные поведенческие реакции
57. Причины и условия, создающие предпосылки и возможность неправомерного овладения конфиденциальной информацией.
58. Принципы создания систем информационной безопасности.
Основные принципы построения систем защиты АС
Защита информации в АС должна основываться на следующих основных принципах:
· системности;
· комплексности;
· непрерывности защиты;
· разумной достаточности;
· гибкости управления и применения;
· открытости алгоритмов и механизмов защиты;
· простоты применения защитных мер и средств.
Принцип системности
Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности АС.
При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
Принцип комплексности
В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционных систем (ОС) в силу того, что ОС - это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.
Принцип непрерывности защиты
Защита информации - это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.
Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.
Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.
Разумная достаточность
Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Гибкость системы защиты
Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.
Принцип простоты применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).
59. Основные признаки систем информационной безопасности.
Независимо от качества информации, доступной в рамках информационной системы, критически важными остаются информационные гарантии системы.
Понятно, что лица принимающие решения (ЛПР), действующие на основе ложной или искаженной информации, скорее всего, принимают худшие решения, чем те, которые действуют на основе достоверной и надежной информации (даже если некоторое количество пунктов информации являются ложными).
Исследования показывают, что даже малый объем неправильной информации может серьезно влиять на качество понимания ситуации и снижать возможность получения высококачественных решений. Возможно, одинаково важно, что пользователи должны доверять данным и информации в системах, обеспечивающих их, и верить в способность системы обеспечивать их необходимой информацией.
Пользователи, которые не доверяют качеству информации, открытой или закрытой в их информационных системах, действуют более осторожно (формируют и выбирают действия, которые хотя и являются рискованными, будут реализовываться, даже если доступная информация является некорректной, запоздалой, непоследовательной и т.д.). И, следовательно, более медленно (ожидают подтверждения прежде, чем действовать, дольше размышляют и т.д.).
Известны шесть основных признаков информационной гарантии: своевременность, секретность, доступность, целостность, подлинность и безотказность. Взятые вместе эти атрибуты определяют систему, которой пользователи могут доверять.
Секретность означает, что никто кроме уполномоченных пользователей не имеет доступа, и доступ каждого пользователя соответствует его роли и обязанностям. В идеальной системе никто кроме зарегистрированных пользователей не имеет какой-либо возможности войти в систему. Когда этого нельзя избежать (например, когда требуются коммуникации на длинные расстояния), система должна быть разработана так, чтобы самой отклонять неправомочных пользователей и обнаруживать с высокой степенью уверенности попытки проникновения через систему.
Доступность означает, что все зарегистрированные пользователи имеют доступ в любое время. Это необходимо, если поток информации должен быть разделен (т.е. использоваться совместно) и если пользовательское сообщество должно испытывать доверие к конфиденциальному использованию информации в системе. Ненадежная система (либо в самой системе снижается надежность, либо в ней есть связи, которые приводят к неудаче) не только уменьшает пользовательскую готовность ее использовать, но и предоставляет посторонним больше возможностей для проникновения в нее.
Высоконадежная система, с другой стороны, открывает пользователям возможность испытывать доверие к ней и планировать использовать ее возможности, являются ли они базами данных, изображениями, информационными потоками или представлениями знания. Ясно, что предпочтительна плавная деградация как при выходе системы из строя, так и для среднего времени между отказами (исходя из пользовательского представления перспективы) и для среднего времени восстановления как важнейших характеристик.
Целостность - согласованность системы и ее содержания. В секретной системе выявляются неправомочные пользователи, пытающиеся получить доступ к целостной системе, и определяется, имеют ли посторонние пользователи возможность фальсифицировать содержание - удалять записи, вводить ложную информацию или данные и т.д. Идеальная система как сама должна быть непроницаема для фальсификации, так и отдельные мониторы должны препятствовать фальсификации и содержать контрмеры для предотвращения вмешательства.
Подлинность относится к степени, в которой данные, информация и знания являются заслуживающими доверия и надежными для представления зарегистрированным пользователям. Информационные системы предназначены для того, чтобы принимать информацию от разнообразных источников. Во многих случаях существуют авторитетные действующие лица (автоматизированные рабочие места или люди в системе), которые ответственны за качество и достоверность их входных сведений. Эти сведения подлинны, если поступают именно от этих уполномоченных источников. Заметим, что подлинность не имеет дела с качеством информации (она может быть неполной, некорректной, устаревшей и т.д.), а только с уместностью, правомочностью ее источника(ов).
Безотказность означает что, история каждого раздела информации в информационной системе может быть прослежена «назад» к его происхождению, через заданную родословную и с помощью некоторых технических средств. Безотказность важна для информационной гарантии, потому что она обеспечивает карту пути, с помощью которой пользователи получают доверие к их данным. Если посвященное лицо, будучи подкуплено, будет стремиться искажать информацию, которая находится вне области его полномочий, оно хотело бы быть способным маскировать или не признавать эти действия в рамках системы.
Точно так же, если посторонний проникает в систему и использует рабочую станцию, чтобы искажать пункты информации вне области этой станции, неспособность к непризнанию (безотказности) действий в пределах системы не позволила бы информационному персоналу проследить происшествие назад до виновной рабочей станции. В сущности, эта способность предотвращать сокрытие ваших следов.
Измерение степени безопасности информационной системы становится и важнейшим требованием, и ареной, где необходимо выполнить гораздо больше работы. Многие проверки проводятся без должной атаки на информационную систему часто потому, что те, кто организуют и направляют проверки, сосредоточены на учебных целях, которые при некачественном обслуживании приводили бы к тому, что информационная система была бы скомпрометирована. Нежелание показать, что известно о наиболее вероятных типах атак - также фактор, ограничивающий проверку применений. Информационные системы часто проверяются в моментальном режиме, с творческой группой хорошо осведомленных людей, которым дано право свободного распоряжения, чтобы атаковать систему в пределах избранных рамок времени. Систематические обзоры всех измерений информационных гарантий являются исключительно редкими.
Другие желаемые качества информационных систем
Информационные системы имеют также множество параметров, которые, не будучи связанными тесно ни с одним из рассмотренных качеств информации в них или информационными гарантиями, делают их более желательными. Эти другие качества могут и должны быть оговорены.
Легкость и удобство использования - важное качество информационной системы. Желательно, чтобы ее использование было чисто интуитивным. Таковым было качество, которое с самого начала сделало успешными технологии типа «указать-и-щелкнуть».
Удобство использования может быть оценено в терминах времени обучения, требуемого для достижения некоторого измеримого уровня мастерства. Оно также может быть измерено в единицах времени, требуемого для исполнения определенных функций обученным или опытным оператором. Оно может быть сравнено с выполнением задания без системы.
Удобство использования также связано с процентом возможностей системы, которые фактически используются. В случаях, когда пользователи при работе используют только малую часть возможностей системы, инвестиции в ее другие возможности были потрачены впустую.
Системы, которые являются удобными, также помогают пользователям бороться со стрессом и усталостью. Системы управления будут часто использоваться при затяжном кризисе или в военных действиях. Поэтому человеческие жизни будут под угрозой и операторы под значительным напряжением, возможно даже под прямой угрозой нападения. Те же операторы будут также много работать, если миссия является гуманитарной помощью, мирными действиями или войной. Лучшие системы докажут легкость их использования в самых трудных условиях.
Различия в культуре пользователей также проверят удобство системы в эксплуатации.
Американская доктрина нового столетия предполагает в большинстве военных миссий действия коалиций. Возможно, персонал вооруженных сил будет работать рядом с гражданским персоналом (США или иностранным), с неправительственными организациями и должностными лицами международных организаций. Эти люди часто имеют организационную культуру, которая сильно отличается от военной. Поэтому более желательны системы, которые могут использоваться разными людьми, с небольшой общей культурной базой и средним образованием.
Системы управления также должны быть устойчивыми от ошибок. Они должны работать в разных окружающих средах (физических, культурных и в обстановке угрозы) и при широком разнообразии целей. Во многих случаях эта устойчивость хорошо обеспечивается избыточностью. Старые «трубопроводные» системы уступают место сетям частично из-за свойственной им избыточности (и поэтому устойчивости от ошибок). Избыточность также способствует гарантии, что информационная система деградирует плавно, когда она подвергается нападениям или в процессе экспериментов.
Самые «дружелюбные» информационные системы также объединяются, коррелируют и агрегируют совокупные данные или информацию от множества источников, чтобы делать их более полезными для людей и облегчить объединенные действия. Это определенные средства, которые облегчают разделение тематики данных, базы данных, изображения, информацию и существующие знания. В то же время они должны также позволить сотрудничество по месту, времени, функции и уровню управления (эшелону). Все взаимодействие при сотрудничестве, кроме случаев общения лицом к лицу, проходит через информационную область. Поэтому идеальная система - это система, которая выполняет этот процесс быстрее и лучше.
Также важно доверие к системе. Поскольку оно зависит от информационных гарантий, доверие к системе, фактически, определяется ее безусловным восприятием. Оно может быть оценено с помощью интервью или мнений пользователей. Идеальная система порождает большое доверие у пользователей: они верят, что она их эффективно поддерживает.
Наконец, скорость информационной системы очень существенна во многих приложениях к управлению. Задержка с передачей данных, изображений или информации приводит к повышению риска. Действия противника, которые не становятся немедленно известны управляющему (командующему), могут быть опасны для собственных сил и для выполнения миссии. Задержка может также иметь место у лица, принимающего решение, при выборе менее рискованных вариантов. Задержка приводит к увеличению неопределенности на момент, когда должны быть приняты решения. Она в общем случае означает, что командующий должен подстраховать свое решение и не предпринимать рискованные действия «вслепую». Акцент на скорость информационной системы - одно из следствий века информации.
Дата добавления: 2018-09-22; просмотров: 786; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!