Информационные технологии в профессиональной деятельности

(«Экономика и бух. учет», СПО, 80 часов)

Раздел 1. Информационные системы управления экономической деятельностью (5 семестр –40 ч.)

1. Информационные ресурсы
2. Информационные системы
3. Информационные технологии
4. Информационная безопасность
5. Автоматизированные информационные системы бухгалтерского учета
6. Организация ведения бухгалтерского учета в программе «1С: Предприятие»
7. Подготовка деловой документации в MS Word
8. Создание мультимедийного продукта в MS Power Point (реклама предприятия)

Раздел 2. Программное обеспечение профессиональной деятельности (6 семестр - 40 ч.)

1. Решение задач экономического характера в MS Excel
2. Базы данных (СУБД MS Access)

 

Самостоятельная работа по теме «Информационные ресурсы»

1. Составить конспект по темам: «Информатизация общества, информационный рынок и его регулирование», «Компьютерные сети. Интернет».
2. Составить таблицу «Программное обеспечение ПК».

Выполнить следующие задания:

3. Привести примеры информационных услуг, оказываемых за плату и безвозмездно.
4. Привести примеры известных вам вертикальных и горизонтальных порталов.
5. Используя возможности Интернета, создать базу информационных ресурсов по теме, которая наиболее вам интересна. Какие информационные услуги вы сможете оказывать после создания такой базы?

 

Практическая работа по теме «Информационные ресурсы»:

• Составьте таблицу ссылок на сайты библиотек региона, в котором вы живете, используя Интернет.
• Подберите коллекцию работ любимого художника, используя электронную экспозицию на сайте музея Третьяковской галереи (http://www.tretyakovgallery.ru/).
• Осуществите перевод любых фраз в онлайн-режиме, используя сайт компьютерного переводчика Promt (http://www.promt.ru/).

 

Самостоятельная работа по теме «Информационные системы»

Выполнить задания:

1. Привести примеры разомкнутой и замкнутой информационной системы.
2. Дать собственную, отличную от приведенной, классификацию информационных систем в виде блок-схемы.

Самостоятельная работа по теме «Информационные технологии»

Выполнить задания:

1. Перечислить и охарактеризовать технические средства для информационных технологий.
2. Используя Интернет, справочники, рекламу, собрать информацию об информационных технологиях, применяемых в выбранной вами области.
3. Дать классификацию информационных технологий.

 

Самостоятельная работа по теме «Информационная безопасность»

Выполнить задания:

1. Найти в Интернете законы, указы, постановления об авторском праве на программный продукт.
2. Найти в Интернете названия справочников, журналов, газет и т.п., в которых можно найти информацию о программных продуктах, о компьютерах, об информационных системах.
3. Привести примеры преднамеренных и случайных информационных угроз.
4. Перечислить методы защиты информации от преднамеренных информационных угроз, от случайных информационных угроз.

Ответить на вопросы:

5. Какие внешние и внутренние информационные угрозы следует учесть при разработке мер информационной безопасности в России?
6. В чем состоит основная цель информационной безопасности при решении прикладных задач пользователя, при решении управленческих задач, при оказании информационных услуг, в коммерческой деятельности, в банковской деятельности?

 

Самостоятельная работа по теме

«Автоматизированные информационные системы бухгалтерского учета»

Выполнить задания:

1. Перечислить особенности развития банковских информационных систем.
2. Составить конспект по темам:

·        «Место автоматизированных информационных систем в экономике страны»,

·        «Бухгалтерские системы учета» ответить на вопросы:

1)   В чем заключается особенность автоматизации бухгалтерского учета?

2)   Дайте характеристику основным классам бухгалтерских программ.

3)   Перечислите российские программы автоматизации бухгалтерского учета.

4)   Какова общая методика работы с бухгалтерской программой?

5)   Перечислите достоинства и недостатки различных бухгалтерских программ.

6)   Каковы критерии выбора системы автоматизации бухгалтерского учета?

·        «Компьютерные справочные правовые системы» ответить на вопросы:

1)   Что включает в себя понятие «СПС»?

2)   Перечислите причины популярности СПС.

3)   Какие достоинства и ограничения СПС вы знаете?

4)   Охарактеризуйте наиболее известные российские СПС.

5)   Каковы общие правила организации поиска документов в СПС?

6)   Перечислите принципы выбора СПС.

 

 

Практическая работа по теме «Создание мультимедийного продукта в MS PowerPoint»

 

Задание. Подготовить презентацию по теме «Реклама предприятия», где должны быть использованы следующие возможности PowerPoint:

1)     Работа с текстом.

2)     Работа с объектами WordArt.

3)     Использование графических образов (иллюстрации).

4)     Эффекты построения и анимации, дизайн презентации.

 

Самостоятельная работа по разделу

«Программное обеспечение профессиональной деятельности»

1.Разработать структуру БД, в которой бы хранились подробные сведения о ваших друзьях и знакомых. Какой тип логической организации данных соответствует данной предметной области? Какие задачи можно решать с помощью этой БД? Как часто придется ее обновлять?

2.Разработать структуру БД «Каталог библиотеки» в расчете на реляционную СУБД и на иерархическую СУБД.

 

Основные источники:

Михеева Е.В. «Информационные технологии в профессиональной деятельности». Учеб. пособие для сред. проф. образования – 4-е изд., стер. М.: Издательский центр «Академия», 2006.

Михеева Е.В. «Практикум по информационным технологиям в профессиональной деятельности». Учеб. пособие для сред. проф. образования – 3-е изд., стер. М.: Издательский центр «Академия», 2005

Макарова Н.В. «Информатика и ИКТ». Учебник . 11 класс. Базовый уровень. – СПб.: Питер, 2008.

Макарова Н.В. Информатика. 10-11 класс. – СПб.: Питер, 2005.

Гейн А.Г., Ивашина М.В., Брюхова О.В. и т.д. «Человек и информация». – Екатеринбург: Центр «Учебная книга», 2007.

Электронные книги и лекции:

Гохберг Г.С., Зафиевский А.В., Короткин А.А. «Информационные технологии». Учебник для студентов сред. проф. образования - 4-е изд., стер. М.: Издательский центр «Академия», 2008.

Ильина О.П. «Информационные технологии бухгалтерского учета». – СПб.: Питер, 2001.

Хубаев Г.Н. «Информатика: учебное пособие». – Ростов н/Д; Издательский центр «МарТ», Феникс, 2010.

Романова Ю.Д. «Информатика и информационные технологии»: учебное пособие. – М.: Эксмо, 2008.

Избачков Ю.С., Петров В.Н. «Информационные системы». – Спб.: Питер, 2005.

Фуфаев Э.В. «Базы данных» Учебник для студентов сред. проф. образования - 4-е изд., стер. М.: Издательский центр «Академия», 2008.

Курс лекций по дисциплине «Информационные системы и технологии в менеджменте».

Лекция 1: Основные понятия технологии проектирования информационных систем (ИС).

Лекция 2: Организация разработки ИС.

Курс лекций по информационной безопасности.

Лекция № 1. Информационные ресурсы

Ресурсы – источники чего-либо, средства, запасы, возможности, которые используются при необходимости.

Экономические ресурсы – все виды ресурсов, используемых в процессе производства товаров и услуг (нередко называют производственными ресурсами).

Виды экономических ресурсов:

Природные – земля, недра, вода, лес и т.д.: возобновляемые (пресная вода, лес, почва, рыба) и невозобновляемые (минеральное сырье) - объекты, процессы, природные условия, используемые обществом для удовлетворения потребностей.

 Трудовые – люди, обладающие общеобразовательными и профессиональными знаниями для работы в обществе.

Финансовые – денежные средства, находящиеся в распоряжении государственной или коммерческой структуры.

Материальные – совокупность предметов труда, предназначенных для использования в процессе производства общественного продукта: сырье, материалы, полуфабрикаты, детали и т.д.

Энергетические – носители энергии: уголь, нефть, нефтепродукты, газ, гидроэнергия, электроэнергия и т.д.

Информационные (1 место) – это отдельные документы или массивы документов, а также документы и массивы документов в информационных системах: библиотеках, архивах, фондах, банках данных и т.д. (ФЗ «Об информации, информатизации и защите информации»).

Информационные ресурсы – знания, подготовленные людьми для социального использования в обществе и зафиксированные на материальном носителе.

Наиболее важные общие свойства экономических ресурсов:

1. Ресурсы переплетаются и взаимодействуют.
2. Ресурсы мобильны (подвижны), т.к. могут перемещаться в пространстве (внутри страны, между странами), хотя степень их мобильности различна.
3. Ресурсы взаимозаменяемы.
4. Ресурсы имеют цену.

Сравните ресурсы

Ресурсы	Объем	Длительность использования	Направления использования	Форма представления	Факторы, влияющие на ресурс	Правовое регулирование
Природные	Ограничен	Исчерпаем	Добыча и переработка	Вещественная	Экологическая обстановка	Законы об охране окружающей среды
Трудовые	Ограничен	Постоянно (пока существует человечество)	Производство товаров, услуг и других ресурсов	Люди, обладающие необходимыми знаниями, умениями и навыками	Возможность получения образования, социальная политика, демография, кадровая политика отдельных предприятий и отрасли производства в целом	Кодекс законов о труде (КЗОТ)
Финансовые	Ограничен	Постоянно (пока существует человечество)	Обеспечение производства	Материальная, денежная, интеллектуальная	Ценовая политика	Законы, правила и нормы, регулирующие финансовую деятельность
Материальные	Возрастает	Постоянно (пока существует человечество)	Обеспечение производства общественного продукта	Вещественная	Развитие предметов труда, уровень развития производства, промышленности	Законы, регулирующие производство общественного продукта
Энергетические	Ограничен	Исчерпаем	Добыча и переработка, обеспечение производства энергии	Вещественная	Уровень развития энергетики, экологическая обстановка	Законы, регулирующие деятельность в сфере энергетики. Законы об охране окружающей среды
Информационные	Возрастает	Постоянно (пока существует человечество)	Управление и развитие производства	Нематериальная (научные знания, технологии, информационные системы, СМИ и т.д.)	Возможность получения образования, социальная политика, уровень развития информационной инфраструктуры	Законы об информационных системах, защите информации, об авторском праве и интеллектуальной собственности

Функции информационных ресурсов:

1. Обучающая (педагогическая) – ресурсы используют в целях образования и самообразования;
2. Креативная (творческая) – ресурсы способствуют развитию творческого потенциала и мышления;
3. Научная – ресурсы способствуют развитию науки и появлению нового научного знания;
4. Инновационная (стимулирующая) – ресурсы способствуют появлению новых видов деятельности, обеспечивают становление и развитие бизнеса, обновление технологий, сфер экономики;
5. Управленческая – ресурсы способствуют принятию компетентных управленческих решений на всех уровнях управления;
6. Коммуникативная – ресурсы способствуют созданию и развитию социального, делового, профессионального и иного взаимодействия;
7. Социальная – ресурсы обеспечивают информацией о разных сторонах жизни и деятельности человека и общества.

Рынок информационных ресурсов представлен большим количеством секторов, из которых основными являются наука (научные разработки), образование (образовательные услуги), средства массовой информации, хранение информации (архивы, библиотеки, информационные сети).

Информационный ресурс имеет цену. Стоимость информации увеличивается вследствие расширения круга использующих ее лиц, потребление информационных ресурсов характеризуется растущей, а не убывающей доходностью.

Основа любого информационного ресурса – информация, которая обладает следующими свойствами:

- неосязаема, т.е. нематериальна;

- не убывает в ходе использования, т.е. неисчерпаема;

- постоянно возрастает;

- неотчуждаема, т.е. приобретение информации одним субъектом не уменьшает возможности ее приобретения другим;

- может находиться сразу у нескольких пользователей;

- изменчива по составу и структуре;

- имеет высокую чувствительность к фактору времени;

- подвержена в значительной степени моральному износу;

- сложна для вычленения активной и пассивной части ресурса;

- имеет высокую скорость распространения;

- вовлечена в производственную и иную деятельность и коммуникации;

- в процессе потребления не уничтожается, а сохраняется и даже увеличивается.

Именно перечисленные свойства информации отличают информационный ресурс от других экономических ресурсов.

Информационные ресурсы являются основой для создания информационных продуктов.

Информационный продукт – это совокупность данных, сформированная производителем для ее распространения в материальной или в нематериальной форме.

Информационный продукт распространяется с помощью услуг.

Информационная услуга – это получение и предоставление в распоряжение пользователя информационных продуктов.

Структура информационных ресурсов

Документ является основным носителем информации – любой материальный объект, который фиксирует или подтверждает какие-либо знаний.

По широте распространения: опубликованные или неопубликованные.

По уровню обобщения информации: первичные или вторичные.

По целевому назначению: официальные, справочные, научные, производственные, учебные, научно-популярные, массово-политические, литературно-художественные, рекламные.

Электронные информационные ресурсы

Качественный поиск информации сегодня невозможен без поиска электронных информационных ресурсов, в основе которых электронный документ.

Электронный документ – документ на машиночитаемом носителе, для использования которого необходим ПК.

Успешную работу с электронными документами обеспечивают:

База данных – совокупность связанных данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования, независимая от прикладных программ.

Банк данных – автоматизированная информационная система централизованного хранения и коллективного использования данных. В состав входят одна и несколько БД, справочник БД, СУБД, библиотеки запросов и прикладных программ.

Web-сайт – совокупность Web-страниц с повторяющимся дизайном, объединенных по смыслу, навигационно и физически находящихся на одном Web-сервере.

Web-страница – самостоятельная часть Web-сайта; документ, снабженный уникальным адресом (URL), просмотр с помощью программы браузера.

Web-портал – web-сайт, выполняющий роль отправной точки для своей аудитории. Порталы бывают вертикальными – узкой тематической направленности, предоставляющими различные сервисы для определенной целевой аудитории, и горизонтальными – общего характера, предлагающими набор сервисов, обслуживающих различные темы.

Электронные издания (локальные и сетевые) – электронный документ, прошедший редакционно-издательскую обработку, предназначенный для распространения в неизменном виде и имеющий выходные сведения.

Развитие информационных ресурсов сдерживается следующими факторами:

7)               незавершенное законодательное и нормативное обеспечение производства и использования информационных ресурсов;

8)               недостаточное развитие информационной инфраструктуры общества, а также средств связи и телекоммуникаций;

9)               дефицит высококвалифицированных специалистов в области информационных технологий;

10)            низкая информационная культура пользователей.

Лекция № 2. Информационные системы (ИС).

 

Система – любой объект, который одновременно рассматривается и как единое целое, и как совокупность более мелких разнородных объектов, объединенных для достижения поставленных целей.

Информационная система (ИС) – коммуникационная система по сбору, передаче, переработке информации об объекте, снабжающую работника любой профессии информацией для реализации функции управления.

Информационная система обладает свойствами:

 - делимость – систему можно представлять из различных самостоятельных составных частей – подсистем (возможность выделения подсистем упрощает анализ, разработку, внедрение и эксплуатацию ИС);

- целостность указывает на согласованность функционирования подсистем в системе в целом.

Поколения информационных систем:

1 поколение (1960-1970 гг.) строилось на базе центральных ЭВМ по принципу «одно предприятие – один центр обработки», а в качестве стандартной среды выполнения приложений служила операционная система фирмы IBM – MVX.

2 поколение (1970-1980 гг.) характеризуется частичной децентрализацией ИС, когда мини-компьютеры, соединенные с центральной ЭВМ, стали использоваться в офисах и отделениях организаций.

3 поколение (1980-1990 гг.) определяется появлением вычислительных сетей, объединяющих разрозненные ИС в единую систему.

4 поколение (1990 г. – до н.в.) характеризуется иерархической структурой, в которой центральная обработка и единое управление ресурсами ИС сочетается с распределенной обработкой информации. В качестве центральной вычислительной системы может быть использован суперкомпьютер. Наиболее рациональным решением представляется модель ИС, организованная по принципу: центральный сервер системы – локальные серверы – станции-клиенты.

 

Классификация информационных систем

По уровню автоматизации:

Ручные ИС, характеризуются выполнением всех операций по переработке информации человеком.

Автоматизированные ИС, часть функций управления или обработки данных осуществляется автоматически, а часть человеком.

Автоматические ИС, все функции управления и обработки информации выполняются техническими средствами без участия человека.

По назначению:

Информационно-управляющие системы – это системы для сбора и обработки информации, необходимой для управления организацией, предприятием, отраслью.

Системы поддержки принятия решений – предназначены для накопления и анализа данных, необходимых для принятия решений в различных сферах деятельности людей.

Информационно-поисковые системы – это системы, основное назначение которых поиск информации, содержащейся в различных БД, различных вычислительных системах, разнесенных на значительные расстояния.

Информационно-справочные системы – автоматизированные системы, работающие в интерактивном режиме и обеспечивающие пользователей справочной информацией.

Системы обработки данных – класс информационных систем, основной функцией которых являются обработка и архивация больших объемов данных.

По структуре аппаратных средств:

Однопроцессорные ИС строятся на базе одного процессора компьютера.

Многопроцессорные ИС используют ресурсы нескольких процессоров.

Многомашинные системы (сосредоточенные системы, системы с удаленным доступом и вычислительные сети) представляют собой вычислительные комплексы.

По режиму работы:

Однопрограммные.

Мультипрограммные режимы вычислительной системы.

По характеру обслуживания пользователей:

Пакетный режим обработки – это обработка данных или выполнение заданий, накопленных заранее таким образом, что пользователь не может влиять на обработку, пока она продолжается (может вестись как в однопрограммном, так и в мультипрограммном режимах).

Режим индивидуального пользования – все ресурсы системы предоставляются в распоряжение одного пользователя.

Режим коллективного пользования – возможен одновременный доступ нескольких независимых пользователей к ресурсам вычислительной системы. Коллективное пользование в режиме запрос – ответ предполагает, что система обслуживает запрос каждого пользователя без прерываний.

 

По характеру взаимодействия с пользователями:

В диалоговом режиме человек взаимодействует с системой обработки информации при этом человек и система обмениваются информацией в темпе, соизмеримом с темпом обработки информации человеком.

Интерактивный режим – режим взаимодействия человека и процесса обработки информации, выражающийся в разного рода воздействиях на этот процесс, предусмотренных механизмом управления конкретной системы и вызывающих ответную реакцию процесса.

Режим реального времени – обеспечивается взаимодействие системы обработки информации с внешними процессами, в темпе, соизмеримом со скоростью протекания этих процессов.

 

По сфере применения:

Научные исследования – автоматизация деятельности научных работников, анализ статистической информации, управление экспериментом.

ИС автоматизированного проектирования применяют для автоматизации труда инженеров-проектировщиков и разработчиков новой техники (технологии).

Такие ИС осуществляют:

- разработку новых изделий и технологий в производственной сфере;

- инженерные расчеты (определение технических параметров изделий, расходных норм: трудовых, материальных и др.);

- разработку графической документации (чертежей, схем, планировок);

- моделирование проектируемых объектов;

- создание управляющих программ для станков.

ИС организационного управления предназначены для автоматизации функций административного (управленческого) персонала. Существуют ИС управления, как промышленными предприятиями, так и непромышленными объектами (банки, биржи, страховые компании, гостиницы и т.д.).

ИС управления технологическими процессами предназначены для автоматизации различных технологических процессов (гибкие производственные процессы, металлургия, энергетика и т.п.).

 

Качество ИС характеризуется:

7)      достоверностью данных – свойством данных не содержать скрытых ошибок;

8)      целостностью данных – свойством данных сохранять свое информационное содержание;

9)      безопасностью данных – защищенностью данных от несанкционированного доступа к ним.

 

Структура и состав ИС

Функциональные компоненты – система функций управления – полный набор (комплекс) взаимосвязанных во времени и пространстве работ по управлению, необходимых для достижения поставленных перед предприятием целей.

Алгоритм информационного управления

 

           

Состав функциональных компонентов ИС

 

Функциональная ИС промышленного предприятия

Компоненты системы обработки данных

Информационное обеспечение – совокупность методов и средств по размещению и организации информации, включающих в себя:

системы классификации и кодирования;

унифицированные системы документации;

рационализацию оборота документов и форм документов;

методы создания внутримашинной информационной базы информационной системы.

От качества информационного обеспечения зависит достоверность и качество принимаемых управленческих решений.

Программное обеспечение – совокупность программных средств создания и эксплуатации АИТ средствами вычислительной техники. Различают базовые (общесистемные) и прикладные (специальные) программные продукты.

Базовые программные продукты:

1)автоматизация взаимодействия человека и компьютера;

2)организация типовых процедур АИТ;

3)контроль и диагностика функционирования технических средств НИТ.

Прикладные программные продукты:

1)автоматизация решения функциональных задач информационных систем;

2)универсальные средства: текстовые редакторы, ЭТ, СУБД;

3)специализированные средства: бизнес-процессы (функциональные подсистемы) объектов различной природы: экономические, инженерные, технические и т.п.

Техническое обеспечение – комплекс технических средств, применяемых для функционирования НИТ. Включает в себя устройства, реализующие типовые операции обработки данных:

вне ЭВМ – периферийные устройства сбора, регистрации, первичной обработки информации, оргтехника различного назначения, средства телекоммуникации и связи;

на ЭВМ – устройства различных классов.

Правовое обеспечение – правовые нормы, регламентирующие создание и функционирование ИС:

1)нормативные акты договорных взаимоотношений между заказчиком и разработчиком ИС;

2)правовое регулирование отклонений;

3)условия предания юридической силы документам, полученным на компьютере;

4)обязанности и ответственность персонала за своевременность и точность обработки информации;

5)правила пользования информацией;

6)порядок разрешения споров по поводу её достоверности и др.

Лингвистическое обеспечение – языковые средства, используемые на различных стадиях создания и эксплуатации НИТ для повышения эффективности разработки и обеспечения общения человека и ЭВМ.

Логистика – управление материальными потоками (заготовка материалов и комплектующих изделий), управление производством, управление сбытом готовой продукции. Все компоненты логистики тесно интегрированы с финансовой бухгалтерией и функционируют на единой информационной базе.

Основные комплексы задач логистики:

- управление продажами (сбыт) готовой продукции через оптовую, мелкооптовую и розничную торговлю;

- управление материальными потоками, включая материально-техническое обеспечение производственной деятельности предприятия и управление запасами.

 

Организационные единицы управления ИС

Организационные единицы управления ИС – структурные подразделения, управленческий персонал (пользователи), выполняющие функции управления с использованием средств информационных технологий ИС.

Организационная структура управления оказывает существенное влияние на выбор информационных технологий.

Организационная структура управления – совокупность звеньев управления, находящихся во взаимосвязи и соподчиненности и обеспечивающих функционирование и развитие организации как единого целого.

Для реализации функций управления организационными единицами выполняется постановка задач, устанавливается состав входной и выходной информации, проектируются информационные технологии, разрабатывается пользовательский интерфейс.

Управленческий персонал несет ответственность за ввод первичных данных в ИС, анализ и выбор альтернативных управленческих решений, выдачу управляющего воздействия на объект управления.

Внедрение ИС изменяет технологию управления, освобождает пользователей от рутинных, достаточно простых, но трудоемких ручных процедур обработки информации.

Развитые ИС обеспечивают накопление информации для целей анализа и создания системы поддержки решений.

ИС изменяет организационную структуру, состав функций управления и связанные с ними информационные потоки, форму представления и качественные характеристики информации (оперативность, достоверность, точность, полнота информации для управленческих решений).

 

Любая ИС может действовать по правилам разомкнутой или замкнутой схемы управления.

Разомкнутая ИС

Получаемая потребителем информация используется произвольно. От потребителя никакая информация в ИС не поступает. В случае, когда цель функционирования системы не определяется потребителем, т.е. с его стороны отсутствует управляющее воздействие, говорят о работе системы в автономном разомкнутом режиме.

Пример: Компьютеризированная справочная библиотечная система каталогов.

 

Замкнутая ИС

Существует тесная связь между потребителем и функционированием системы. В этом случае ИС ориентирована на конкретного потребителя, на его цель. По каналу обратной связи передается реакция потребителя на полученную им информацию. Эта информация поступает в аппаратно-программную часть, где происходит ее обработка совместно с данными, поступившими из других источников. Результирующая информация вновь отправляется потребителю и т.д.

Пример: Система, установленная в железнодорожных кассах.

Лекция № 3. Информационные технологии (ИТ).

 

Информационная технология – это последовательность операций по преобразованию информации выбранными методами, средствами и ресурсами в целях создания качественно новой информации (информационного продукта) в ходе реализации конкретной функции управления (при решении конкретной прикладной задачи пользователя).

Информационные технологии (ИТ) определяют способы, методы и средства сбора, регистрации, передачи, хранения, обработки и выдачи (распространения или публикации) информации в ИС. ИТ отвечают на вопрос «Как, при помощи чего?»

Информационный продукт

Данные, первичная информация

 

Цель ИТ – производство информации для ее последующего анализа и принятия на его основе решения по выполнению какого-либо действия.

Основное техническое средство реализации ИТ – ПК, коммуникационные технологии, которые обеспечивают передачу информации разными средствами (телефон, телеграф, телекоммуникации, факс и др.).

Основные принципы ИТ:

- интерактивный (диалоговый) режим работы с ПК;

- интеграция с другими программными продуктами;

- гибкость процесса изменения как данных, так и постановок задач.

Инструментарий ИТ – это совокупность программных продуктов, установленных на компьютере, технология работы в которых позволяет достичь поставленную пользователем цель (ПО ИТ – базовое и прикладное).

Применение технических и программных средств компьютера в ИТ автоматизирует выполнение операций по преобразованию информации.

Автоматизация – процесс передачи выполнения некоторых функций человека машине.

Обязательными этапами автоматизации являются моделирование, алгоритмизация и программирование.

Возникновение автоматизированных систем управления (АСУ) – закономерный результат развития экономики, науки и техники, необходимое средство совершенствования управления во всех областях человеческой деятельности.

Автоматизация современных систем производства и управления является одним из главнейших факторов социально-экономического развития общества.

Автоматизированные ИТ (АИТ) реализуются в различных по назначению и уровню АСУ:

- экспертных системах (ЭС);

- системах автоматизированного проектирования (САПР);

- АРМ; Автоматизированное рабочее место – программно-технический комплекс, предназначенный для автоматизации деятельности определенного вида.

- АСУТП (технологическими процессами), АСУП (предприятием), ОАСУ (отраслевых АСУ) и др.

Характерные особенности новых ИТ:

1)      организация независимого доступа множества пользователей к информации;

2)      обработка информации в темпе ее поступления, т.е. создание автоматизированных ИС реального времени (АИС РВ);

3)      устранение пространственных барьеров доступа к информации путем создания локальных, региональных и глобальных вычислительных сетей (ЛВС, РВС и ГВС);

4)      возможность обработки на компьютере информации различного вида (видеоинформации, аудиоинформации и т.д.);

5)      организация сбора, обработки и хранения информации непосредственно в местах ее возникновения, что приводит к децентрализации преобразования информации, созданию распределенных АИС (РАИС).

АИТ уменьшают число рутинных операций по преобразованию информации, выполняемых человеком, поднимая значение таких операций, как понимание и интерпретация информации.

Автоматизация управления приводит к изменению структуры трудовых ресурсов общества и необходимости повышения доли высококвалифицированных специалистов во всех профессиональных группах.

ИТ является процессом, состоящим из четко регламентированных правил выполнения операций и действий над данными, хранящимися на ПК.

Основная цель – получить необходимую для пользователя информацию.

ИС – среда, составляющими элементами которой являются работники, компьютеры, компьютерные сети, программные продукты, БД, различного рода технические и программные средства связи. Основная цель – хранение, обработка и передача информации.

Реализация функций ИС невозможна без знания ориентированной на нее ИТ. ИТ может существовать и вне сферы ИС.

ИС служит для поддержки принятия решений человеком, который для получения необходимой информации должен владеть и умело применять ИТ.

История развития ИТ.

Первый этап (до второй половины 19 в.) – ручная ИТ; инструментарий: перо, чернильница, бух. книга. Коммуникации осуществляются ручным способом, с помощью почтовой пересылки писем, пакетов, депеш.

Второй этап (с конца 19 века) – механическая ИТ; инструментарий: пишущая машинка, телефон, фонограф, почта.

Третий этап (40-60-е годы 20 века) – электрическая ИТ; инструментарий: большие ЭВМ и соответствующее ПО, электрические пишущие машинки, копировальные аппараты, портативные магнитофоны.

Четвертый этап (с начала 70-х годов) – электронная ИТ; инструментарий: большие ЭВМ и на их базе АСУ, оснащенные широким спектром базовых и специализированных программных комплексов.

Пятый этап (с середины 80-х годов) – компьютерная ИТ; инструментарий: ПК с большим количеством программных продуктов различного назначения, телекоммуникационная связь, компьютерные сети, изменяются технические средства.

Лекция № 4. Информационная безопасность.

Список литературы

1.       Ясенев В.Н. Информационная безопасность в экономических системах (2006)

2.       Корнеев И.К., Степанов Е.А. Защита информации в офисе: Учебник (2010)

3.       Мельников В.П. Информационная безопасность и защита информации (2008)

4.       Скиба В.Ю. Руководство по защите от внутренних угроз информационной безопасности (2008)

5.       Цирлов В.Л. Основы информационной безопасности автоматизированных систем (2008)

6.       Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей (2008)

7.       Щербаков А.Ю. Современная компьютерная безопасность: Теоретические основы. Практические аспекты (2009)

Нормативно-правовые акты в области информац.безопасности в РФ

1.       Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

2.       Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (с изменениями от 25 ноября, 27 декабря 2009 г.)

3.       Федеральный закон от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи" (с изменениями от 8 ноября 2007 г.)

4.       Федеральный закон от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне" (с изменениями от 2 февраля, 18 декабря 2006 г., 24 июля 2007 г.)

5.       Доктрина информационной безопасности Российской Федерации
(утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895)

6.       Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"

7.       Приказ Министерства информационных технологий и связи РФ от 9 января 2008 г. N 1 "Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации"

8.       Приказ ФТС РФ 1062 от 30.10.06 «Об обеспечении безопасности информации при информационном взаимодействии таможенных органов с участниками внешнеэкономической деятельности и сетями общего пользования»

Введение

В современном мире информация становится стратегическим ресурсом, одним из основных богатств экономически развитого государства. Быстрое совершенствование информатизации в России, проникновение ее во все сферы жизненно важных интересов личности, общества и государства вызвали помимо несомненных преимуществ и появление ряда существенных проблем. Одной из них стала необходимость защиты информации.

Распространение компьютерных систем, объединение их в коммуникационные сети усиливает возможности электронного проникновения в них. Проблема компьютерной преступности во всех странах мира, вызывает необходимость привлечения все большего внимания и сил общественности для организации борьбы с данным видом преступлений. Особенно широкий размах получили преступления в автоматизированных банковских системах и в электронной коммерции. По зарубежным данным, потери в банках в результате компьютерных преступлений ежегодно составляют многие миллиарды долларов. Хотя уровень внедрения новейших информационных технологий в практику в России не столь значителен, компьютерные преступления с каждым днем дают о себе знать все более и более.

Каждый сбой работы компьютерной сети это не только "моральный" ущерб для работников предприятия и сетевых администраторов. По мере развития технологий электронных платежей, "безбумажного" документооборота и других, серьезный сбой локальных сетей может просто парализовать работу целых корпораций и банков, что приводит к ощутимым материальным потерям. Не случайно, что защита данных в компьютерных сетях становится одной из самых острых проблем на сегодняшний день.

Одной из основных причин данной проблемы является недостаточная образованность в области безопасности.

Основные понятия

Современное общество называется информационным. В нем большинство работающих занято производством, хранением, переработкой и реализацией информации, т.е. творческим трудом, направленным на развитие интеллекта и получение знаний. Создается единое, не разделенное национальными границами информационное сообщество людей.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют хакером.

Информационная безопасность (ИБ) – невозможность нанесения вреда свойствам объекта безопасности, обуславливаемым информацией и информационной инфраструктурой (защищенность от угроз).

Информационная безопасность включает:

ü  состояние защищенности информационного пространства, обеспечивающее его формирование и развитие в интересах граждан, организаций и государства;

ü  состояние инфраструктуры, при котором информация используется строго по назначению и не оказывает негативного воздействия на систему при ее использовании;

ü  состояние информации, при котором исключается или существенно затрудняется нарушение таких  ее свойств, как конфиденциальность, целостность и доступность;

ü  экономическую составляющую (структуры управления в экономической сфере, включая системы сбора, накопления и обработки информации в интересах управления производственными структурами, системы общеэкономического анализа и прогнозирования хозяйственного развития, системы управления и координации в промышленности и на транспорте, системы управления энергосистем, централизованного снабжения, системы принятия решения и координации действий в чрезвычайных ситуациях, информационные и телекоммуникационные системы);

ü  финансовую составляющую (информационные сети и базы данных банков и банковских объединений, системы финансового обмена и финансовых расчетов).

Понятие информационной безопасности в узком смысле этого слова подразумевает:

• надежность работы компьютера;
• сохранность ценных данных;
• защиту информации от внесения в нее изменений неуполномоченными лицами;
• сохранение тайны переписки в электронной связи.

Основные цели обеспечения информационной безопасности общества:

- защита национальных интересов;

- обеспечение человека и общества достоверной и полной информацией;

- правовая защита человека и общества при получении, распространении и использовании информации.

Основными задачами системы ИБ являются:

• своевременное выявление и устранение угроз безопасности и ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба его интересам;
• создание механизма и условий оперативного реагирования на угрозы безопасности и проявлению негативных тенденций в функционировании предприятия;
• эффективное пресечение посягательств на ресурсы и угроз персоналу на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
• создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение целей организации.

Объектом информационной безопасности может быть коммерческое предприятие. К объектам информационной безопасности на предприятии относят:

v  информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде информационных массивов и баз данных;

v  средства и системы информатизации - средства вычислительной и организационной техники, сети и системы, общесистемное и прикладное программное обеспечение, автоматизированные системы управления предприятиями, системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а также их информативные физические поля.

Объекты, которым следует обеспечить информационную безопасность:

- информационные ресурсы;

- система создания, распространения и использования информационных ресурсов;

- информационная инфраструктура общества (информационные коммуникации, сети связи, центры анализа и обработки информации, системы и средства защиты информации);

- средства массовой информации;

- права человека и государства на получение, распространение и использование информации;

- защита интеллектуальной собственности и конфиденциальной информации.

Система обеспечения безопасности информации включает подсистемы:

v  компьютерную безопасность (комплекс технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности, связанных с ним ресурсов);

v  безопасность данных (защита данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашении);

v  безопасное ПО (общесистемные и прикладные программы и средства, осуществляющие безопасную обработку данных и безопасно использующие ресурсы системы);

v  безопасность коммуникаций (принятие мер по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в ответ на телекоммуникационный запрос).

Политика безопасности включает в себя анализ возможных угроз и выбор соответствующих мер противодействия, являющихся совокупностью тех норм, правил поведения, которыми пользуется конкретная организация при обработке информации и ее защите.

Угроза безопасности информации - события или действия, которые могут привести к искажению, неразрешенному использованию или к разрушению информационных ресурсов управления системы, а также программных и аппаратных средств.

Защита информации (ЗИ) - комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности: целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.

Основные предметные направления ЗИ - охрана государственной, коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной собственности.

Система защиты информации представляет организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

Понятие и виды информационных угроз

Под угрозой безопасности информации (информационной угрозой) понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

Если ценность информации теряется при ее хранении и/или распространении, то реализуется угроза нарушения конфиденциальности информации.

Если информация изменяется или уничтожается с потерей ее ценности, то реализуется угроза целостности информации.

Если информация вовремя не поступает легальному пользователю, то ценность ее уменьшается и со временем полностью обесценивается, тем самым проявляется угроза оперативности использования или доступности информации.

Информационные угрозы могут быть обусловлены:

• естественными факторами (пожар, наводнение, и др.);
• человеческими факторами.

Человеческие факторы подразделяются на:

• угрозы, носящие случайный, неумышленный характер. Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации;
• угрозы, обусловленные умышленными, преднамеренными действиями людей. Это угрозы, связанные с несанкционированным доступом к ресурсам АИС.

Умышленные угрозы преследуют цель нанесения ущерба пользователям АИС и, в свою очередь, подразделяются на активные и пассивные.

• Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование (прослушивание).
• Активные угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.

Умышленные угрозы также подразделяются на внутренние, возникающие внутри организаций, и внешние.

• Под внутренними угрозами понимаются - угрозы безопасности информации инсайдером (исполнителем) которых является внутренний по отношению к ресурсам организации субъект (инсайдер). К ним относят утечки информации, неавторизованный доступ.
• Под внешними угрозами понимаются - угрозы безопасности информации инициатором (исполнителем) которых является внешний по отношению к ресурсам организации субъект (удаленный хакер, злоумышленник). К ним относят программные вирусы, хакерские атаки, спам, фишинг и прочее вредоносное и нежелательное программное обеспечение.

Утечка конфиденциальной информации – это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы.

Применительно к практике с учетом физической природы образования каналы утечки информации можно разделить на следующие группы:

·         визуально-оптические;

·         акустические (включая и акустико-преобразовательные);

·         электромагнитные (включая магнитные и электрические);

·         материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного вида – твердые, жидкие, газообразные).

К факторам утечки могут, например, относиться:

·         недостаточное знание работниками предприятия правил защиты информации и непонимание (или недопонимание) необходимости их тщательного соблюдения;

·         использование неаттестованных технических средств обработки конфиденциальной информации;

·         слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами.

Несанкционированный доступ (НСД) - это наиболее распространенный вид информационных угроз заключается в получении пользователем доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности.

Уничтожение компьютерной информации – это стирание ее в памяти ЭВМ, удаление с физических носителей, а также несанкционированные изменения составляющих ее данных, кардинально меняющие содержание (например, введение ложной информации, добавление, изменение, удаление записей).

Блокирование компьютерной информации – это искусственное затруднение доступа пользователей к компьютерной информации, не связанное с ее уничтожением. Другими словами, это совершение с информацией действий, результатом которых является невозможность получения или использование ее по назначению при полной сохранности самой информации.

Компрометация информации, как правило, реализуется посредством внесения несанкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими последствиями.

Модификация компьютерной информации – это внесение в нее любых изменений, кроме связанных с адаптацией программы для ЭВМ или базы данных.

Копирование компьютерной информации – изготовление и устойчивое запечатление второго и последующих экземпляров базы данных, файлов в любой материальной форме, а также их запись на машинный носитель, в память ЭВМ.

Основными типовыми путями несанкционированного доступа к информации, являются:

·         перехват электронных излучений;

·         принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции;

·         применение подслушивающих устройств (закладок);

·         дистанционное фотографирование;

·         перехват акустических излучений и восстановление текста принтера;

·         хищение носителей информации и документальных отходов;

·         чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

·         копирование носителей информации с преодолением мер защиты;

·         маскировка под зарегистрированного пользователя;

·         мистификация (маскировка под запросы системы);

·         использование программных ловушек;

·         использование недостатков языков программирования и операционных систем;

·         включение в библиотеки программ специальных блоков типа "Троянский конь";

·         незаконное подключение к аппаратуре и линиям связи;

·         злоумышленный вывод из строя механизмов защиты;

·         внедрение и использование компьютерных вирусов.

Необходимо отметить, что особую опасность в настоящее время представляет проблема компьютерных вирусов, ибо эффективной защиты против них разработать не удалось. Остальные пути несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности

Способы воздействия угроз на информационные объекты подразделяются на:

– информационные;

– программно-математические;

– физические;

– радиоэлектронные;

– организационно-правовые.

Проявления возможного ущерба могут быть самыми различными:

·         моральный и материальный ущерб деловой репутации организации;

·         моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;

·         материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;

·         материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;

·         материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;

·         моральный и материальный ущерб от дезорганизации в работе всего предприятия.

Непосредственный вред от реализованной угрозы, называется воздействием угрозы.

Знание возможных угроз, а также уязвимых мест защиты, необходимо, чтобы выбрать наиболее экономичные средства обеспечения безопасности.

Самыми частыми и опасными, с точки зрения размеров ущерба, являются не угрозы даже, а непреднамеренные ошибки пользователей, операторов, системных администраторов и других, обслуживающих информационные системы лиц. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками – максимальная автоматизация и строгий контроль за правильностью совершаемых действий.

На втором месте по размерам ущерба стоят кражи и подлоги. Весьма опасны так называемые обиженные сотрудники - нынешние и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику. С этой целью они могут:

·         повредить оборудование;

·         "встроить" логическую бомбу;

·         ввести данные или изменить их;

Взаимодействие автоматизированной информационной системы (АИС) предприятия через Internet со смежными АИС банков, страховых компаний, налоговых органов и пр. может сделать организацию более уязвимой с точки зрения информационной безопасности.

Угрозы безопасности можно классифицировать по следующим признакам:

1. По цели реализации угрозы. Реализация той или иной угрозы безопасности может преследовать следующие цели:

– нарушение конфиденциальной информации;

– нарушение целостности информации;

– нарушение (частичное или полное) работоспособности.

2. По принципу воздействия на объект:

– с использованием доступа субъекта системы (пользователя, процесса) к объекту (файлам данных, каналу связи и т.д.);

– с использованием скрытых каналов.

Под скрытым каналом понимается путь передачи информации, позволяющий двум взаимодействующим процессам обмениваться информацией таким способом, который нарушает системную политику безопасности.

3. По характеру воздействия на объект.

По этому критерию различают активное и пассивное воздействие.

4. По причине появления используемой ошибки защиты.

– неадекватностью политики безопасности реальной системе

– ошибками административного управления

– ошибками в алгоритмах программ, в связях между ними и т.д., которые возникают на этапе проектирования программы или комплекса программ и благодаря которым их можно использовать совсем не так, как описано в документации

– ошибками реализации алгоритмов программ (ошибки кодирования), связей между ними и т.д., которые возникают на этапе реализации или отладки и которые также могут служить источником недокументированных свойств.

5. По способу воздействия на объект атаки (при активном воздействии):

– непосредственное воздействие на объект атаки (в том числе с использованием привилегий),

– воздействие на систему разрешений (в том числе захват привилегий).

6. По объекту атаки (т.е. компонент системы, который подвергается воздействию со стороны злоумышленника)

– АИС в целом

– объекты системы – данные или программы в оперативной памяти или на внешних носителя

- субъекты системы – процессы и подпроцессы с участием пользователей

- каналы передачи данных

7. По используемым средствам атаки.

- стандартное программное обеспечение

- специально разработанные программы

  8. По состоянию объекта атаки.

– хранения

– передачи

– обработки

Вредоносные программы

Фишинг – это особый (современный) вид компьютерного мошенничества. Фишинг-атаки организуются так: киберпреступники создают подложный сайт, который выглядит в точности так же, как сайт нужного учреждения, производящего финансовые расчеты через интернет. Затем мошенники пытаются обманным путем добиться, чтобы пользователь посетил фальшивый сайт и ввел на нем свои конфиденциальные данные – например, регистрационное имя, пароль или PIN-код. Используя их, злоумышленники крадут деньги со счетов попавшихся на удочку пользователей. Как правило, для привлечения пользователей на подложный сайт используется массовая рассылка электронных сообщений, которые выглядят так, как будто они отправлены учреждением, но при этом содержат ссылку на подложный сайт. Пройдя по ссылке, вы попадаете на поддельный сайт, где вам предлагается ввести ваши учетные данные.

 Для защиты от фишинговых атак:

1. Относитесь внимательно к сообщениям, в которых вас просят указать ваши личные данные. Вероятность того, что ваш банк может запросить подобные данные по электронной почте, чрезвычайно мала.
2. Не заполняйте полученные по электронной почте анкеты, предполагающие ввод личных данных. Подобную информацию безопасно вводить только на защищенных сайтах. Убедитесь, что его адрес начинается с "https://" и найдите пиктограмму, похожую на запертый висячий замок, в правом нижнем углу окна браузера.
3. Если у вас остались сомнения, а вам необходимо провести операцию, требующую раскрытия ваших личных данных, воспользуйтесь телефоном. Связывайтесь с банком по телефону всякий раз, когда ситуация покажется вам подозрительной.
4. Не проходите по ссылкам в электронных письмах в формате HTML: киберпреступники могут спрятать адрес подложного сайта в ссылке, которая выглядит как настоящий электронный адрес банка. Вместо этого наберите адрес вручную или скопируйте ссылку в адресную строку браузера.
5. Убедитесь, что ваше антивирусное решение способно блокировать переход на фишинговые сайты или установите интернет-обозреватель, оснащенный фишинг-фильтром.
6. Регулярно проверяйте состояние своих банковских счетов и просматривайте банковские выписки, чтобы убедиться в отсутствии "лишних" операций.
7. Следите за тем, чтобы у вас всегда были последние обновления безопасности

Спам – это анонимные не запрошенные массовые рассылки электронной почты, т.е. электронный эквивалент бумажной рекламной корреспонденции, засоряющей обычные почтовые ящики. Спам чаще всего используется для рекламы товаров и услуг. Спамеры рассылают большое количество рекламных сообщений и наживаются на тех, кто на них отвечает. Кроме того, злоумышленники используют спам для проведения фишинговых атак и распространения вредоносных программ. 

Компьютерные вирусы имеют множество разновидно­стей и характеристик:

o   boot-вирусы (прописывающие себя в за­грузочный сектор накопителя информации),

o   макро/скрипт-вирусы, поли­морфные вирусы (каждая новая копия такого вредителя имеет иную цепочку кода, что затрудняет его детектирова­ние антивирусами),

o   черви (самораз­множение в них реализовано по прин­ципу деления, то есть распространение всевозможными способами и каналами: эксплуатация уязвимостей операционной системы/системных служб/прикладного ПО, копирование тела червя посредством сервисов LAN/ Internet, заражение съемных носите­лей (Autorun-червь на «флешках»)

o   трояны - эти про­граммы маскируются под доверенные приложения - на самом же деле они имеют враждебные функции. Троянские программы не могут распространяться сами по себе, и этим они отличаются от вирусов и червей.

o   backdoor - программы для скрытого и несанкционированного удален­ного управления системой, которые позволяют производить практиче­ски все программные манипуляции, доступные локальному пользовате­лю: ввод с клавиатуры, перемеще­ние курсора, просмотр содержимого окон и экрана, доступ к периферий­ному оборудованию.

o   spyware - основной целью указанных видов является сбор лич­ной или системной информации и получение явной либо опосредован­ной материальной выгоды.

o   руткиты - предназначены для сокрытия деятельности злоумышленника или вредоносного ПО посредством пере­хвата и подмены результата программ­ных и системных запросов.

o   боты/зомби - Эта категория относится скорее к способу взаимодействия, использования вредоносного ПО и управления им. Часто трояны и backdoor подключаются к собственной сети для получения дальнейших ко­манд, таких как загрузка новых вер­сий, рассылка спама или исполнение различных нелегальных действий.

Несмотря на видовые различия, весь этот «зоопарк» зачастую рабо­тает сообща: черви снабжаются «бэкдорами» и объединяются в сети, трояны крадут пароли и уста­навливают spyware и т. д.

Классификация компьютерных преступлений

В зависимости от способа воздействия на компьютерную систему специалисты выделяют четыре вида компьютерных преступлений:

1.       Физические злоупотребления, которые включают в себя разрушение оборудования; уничтожение данных или программ; ввод ложных данных, кражу информации, записанной на различных носителях.

2.       Операционные злоупотребления, представляющие собой: мошенничество (выдача себя за другое лицо или использование прав другого лица); несанкционированное использование различных устройств.

3.       Программные злоупотребления, которые включают в себя: различные способы изменения системы математического обеспечения ("логическая бомба" - введение в программу команды компьютеру проделать в определенный момент какое-либо несанкционированное действие; "троянский конь" - включение в обычную программу своего задания).

4.       Электронные злоупотребления, которые включают в себя схемные и аппаратные изменения, приводящие к тому же результату, что и изменение программы.

 Все способы совершения компьютерных преступлений можно объединить в три основные группы: методы перехвата, методы несанкционированного доступа и методы манипуляции.

1.       Методы перехвата.

Непосредственный перехват - осуществляется либо прямо через внешние коммуникационные  каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного подслушивания являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи.

Электромагнитный перехват. Перехват информации осуществляется за счет излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т.д. Может осуществляться преступником, находящимся на достаточном удалении от объекта перехвата.

2.       Методы несанкционированного доступа.

Классификация этих методов предложена Ю.М.Батуриным (15). Поэтому считаем возможным далее по тексту настоящей работы использовать его лексический перевод оригиналов названий способов с английского языка, которые наиболее часто применяются в международной юридической практике.

"За дураком". Этот способ часто используется преступниками для проникновения в запретные зоны - электронные системы. Преступник (из числа внутренних пользователей) путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру (обычно используются так называемые "шнурки" - шлейф, изготовленные кустарным способом, либо внутренняя электронная проводка) в тот момент времени, когда сотрудник, отвечающий за работу средства компьютерной техники, кратковременно покидает свое рабочее место, оставляя терминал или персональный компьютер в активном режиме, производит неправомерный доступ к компьютерной информации.

"За хвост". Этот способ съема компьютерной информации заключается в следующем. Преступник подключается к линии связи законного пользователя (с использованием средств компьютерной связи) и терпеливо дожидается сигнала, обозначающего конец работы, перехватывает его "на себя", а потом законный пользователь заканчивает активный режим, осуществляет доступ к системе. Этот способ технологически можно сравнить с работой двух и более неблокированных телефонных аппаратов, соединенных параллельно и работающих на одном абонентском номере: когда телефон "А" находится в активном режиме, на другом телефоне "Б" поднимается трубка, когда разговор по телефону "А" закончен и трубка положена - продолжается разговор с телефона "Б".

"Компьютерный абордаж". Данный способ совершения компьютерного преступления осуществляется преступником путем случайного подбора (или заранее добытого) абонентского номера компьютерной системы потерпевшей стороны. Преступником производится подбор кода доступа к компьютерной системе жертвы (если таковой вообще имеется) или используется заранее добытый код. Иногда для этих целей преступником используется специально созданная самодельная либо заводская (в основном, зарубежного производства) программа автоматического поиска пароля, добываемая преступником различными путями.

Стоит обратить внимание на то, что существует множество программ-"взломщиков", называемых на профессиональном языке НАСК-ТООLS (инструмент взлома). Эти программы работают по принципу простого перебора символов. Но они становятся малоэффективными в компьютерных системах, обладающих программой-"сторожем" компьютерных портов, ведущей автоматический протокол обращений к компьютеру и отключающей абонента, если пароль не верен. Поэтому в последнее время преступниками стал активно использоваться метод "интеллектуального перебора", основанный на подборе предполагаемого пароля, исходя из заранее определенных тематических групп его принадлежности.

№	Тематические группы паролей	% частоты выбора пароля человеком	% раскрываемости пароля
1	Имена, фамилии и производные	22,2	54,5
2	Интересы (хобби, спорт, музыка)	9,5	29,2
3	Даты рождения, знаки зодиака свои и близких; их комбинация с первой группой	11,8	54,5
4	Адрес жительства, место рождения	4,7	55,0
5	Номера телефонов	3,5	66,6
6	Последовательность клавиш ПК, повтор символа	16,1	72,3
7	Номера документов (паспорт, пропуск, удостоверение и т.д.)	3,5	100,0
8	Прочие	30,7	5,7

"Неспешный выбор". Отличительной особенностью данного способа совершения преступления является то, что преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите. Однажды обнаружив их, он может, не спеша исследовать содержащуюся в системе информацию, скопировать ее на свой физический носитель и, возвращаясь к ней много раз, выбрать наиболее оптимальный предмет посягательства. Обычно такой способ используется преступником в отношении тех, кто не уделяет должного внимания регламенту проверки своей системы, предусмотренной методикой защиты компьютерной системы.

"Брешь". В отличие от "неспешного выбора", при данном способе преступником осуществляется конкретизация уязвимых мест в защите: определяются участки, имеющие ошибку или неудачную логику программного строения. Выявленные таким образом "бреши" могут использоваться преступником многократно, пока не будут обнаружены. Появление этого способа обусловлено тем, что программисты иногда допускают ошибки при разработке программных средств, которые не всегда удается обнаружить в процессе отладки программного продукта. Например, методика качественного программирования предполагает: когда программа Х требует использования программы V - должна выдаваться только информация, необходимая для вызова V, а не она сама. Для этих целей применяются программы группировки данных. Составление последних является довольно скучным и утомительным, поэтому программисты иногда сознательно нарушают методику программирования и делают различные упрощения, указывая, например, индекс места нахождения нужных данных в рамках более общего списка команд программы. Именно это и создаст возможности для последующего нахождения подобных "брешей".

"Люк". Данный способ является логическим продолжением предыдущего. В этом случае в найденной "бреши" программа разрывается и туда дополнительно преступник вводит одну или несколько команд. Такой "люк" открывается по мере необходимости, а включенные команды автоматически выполняются.

Следует обратить внимание на то, что при этом всегда преступником осуществляется преднамеренная модификация (изменение) определенной компьютерной информации.

"Маскарад". Данный способ состоит в том, что  преступник проникает в компьютерную систему, выдавая себя за законного пользователя. Система защиты средств компьютерной техники, которые не обладают функциями аутентичной идентификации пользователя (например, по биометрическим параметрам: отпечаткам пальцев, рисунку сетчатки глаза, голосу и т.п.) оказываются не защищенными от этого способа. Самый простейший путь к проникновению в такие системы - получить коды и другие идентифицирующие шифры законных пользователей. Это можно сделать посредством приобретения списка пользователей со всей необходимой информацией путем подкупа, коррумпирования, вымогательства или иных противоправных деяний в отношении лиц, имеющих доступ к указанному документу; обнаружения такого документа в организациях, где не налажен должный контроль за их хранением; отбора информации из канала связи и т.д. Так, например, задержанный в декабре 1995 года сотрудниками московского РУОПа преступник похищал наличные денежные средства из банкоматов банка "Столичный" с использованием обычной электронной кредитной карточки путем подбора цифровой комбинации кода доступа в компьютерную систему управления счетами клиентов банка. Общая сумма хищения составила 400 млн. руб.

"Мистификация". Иногда по аналогии с ошибочными телефонными звонками, случается так, что пользователь с терминала или персонального компьютера подключается к чьей-либо системе, будучи абсолютно уверенным в том, что он работает с нужным ему абонентом. Этим фактом и пользуется преступник, формируя правдоподобные ответы на запросы владельца информационной системы, к которой произошло фактическое подключение, и поддерживая это заблуждение в течении некоторого периода времени, получая при этом требуемую информацию, например коды доступа или отклик на пароль.

"Аварийный". В этом способе преступником используется тот факт, что в любом компьютерном центре имеется особая программа, применяемая как системный инструмент в случае возникновения сбоев или других отклонений в работе ЭВМ (аварийный или контрольный отладчик). Принцип работы данной программы заключается в том, что она позволяет достаточно быстро обойти все имеющиеся средства защиты информации и компьютерной системы с целью получения аварийного доступа к наиболее ценным данным. Такие программы являются универсальным "ключом" в руках преступника.

"Склад без стен". Несанкционированный доступ к компьютерной информации в этом случае осуществляется преступником путем использования системной поломки, в результате которой возникает частичное или полное нарушение нормального режима функционирования систем защиты данных. Например, если нарушается система иерархичного либо категорийного доступа к информации, у преступника появляется возможность получить доступ к той категории информации, в получении которой ему ранее было отказано.

"Подмена данных". Наиболее простой и поэтому очень часто применяемый способ совершения преступления. Действия преступников в этом случае направлены на изменение или введение новых данных, которое осуществляется, как правило, при вводе/выводе информации. В частности, данный способ совершения преступления применяется для приписывания счета "чужой" истории, т.е. модификации данных в автоматизированной системе банковских операций, приводящей к появлению в системе сумм, которые реально на данный счет не зачислялись. Например, по данным зарубежной печати, одно туристическое агентство в Великобритании было разорено конкурентами. Преступники, использовав несанкционированный доступ в автоматизированную компьютерную систему продажи авиабилетов, совершили финансовую сделку - путем подмены данных они произвели закупку билетов на самолеты на всю сумму денежных средств, находящихся на счетах туристического агентства.

Особую опасность представляет несанкционированный доступ в компьютерные системы финансовых учреждений с целью хищения финансовых средств.

Методики несанкционированного доступа сводится к двум разновидностям:

"Взлом" изнутри:  преступник имеет физический доступ к терминалу, с которого доступна интересующая его информация и может определенное время работать на нем без постороннего  контроля.

"Взлом"  извне: преступник не имеет непосредственного доступа к компьютерной системе, но имеет возможность каким-либо способом (обычно посредством удаленного доступа через сети) проникнуть в защищенную систему для внедрения специальных программ, произведения манипуляций с обрабатываемой или хранящейся в системе информацией, или осуществления других противозаконных действий.

В данной категории преступлений выделяют также:

а) преступления, совершаемые в отношении компьютерной информации, находящейся в компьютерных сетях, в том числе сети Интернет;

б) преступления, совершаемые в отношении компьютерной информации, находящейся в ЭВМ, не являющихся компьютером в классическом понимании этого слова (пейджер, сотовый телефон, кассовый аппарат и т.п.).

Отмечается тенденция к переходу от разовых преступлений по проникновению в системы со своих или соседних рабочих мест к совершению сетевых компьютерных преступлений путем "взлома" защитных систем организаций.

Хищение информации. Правонарушения, связанные с хищением информации, могут принимать различные формы в зависимости от характера системы, в отношении которой осуществляется несанкционированный доступ. Информация, являющаяся объектом преступного посягательства, может быть отнесена к одному из четырех типов:

1.            персональные данные;

2.            корпоративная информация, составляющая коммерческую тайну;

3.            объекты интеллектуальной собственности и материалы, защищенные авторским правом;

4.            глобальная информация, имеющая значение для развития отраслей промышленности, экономики отдельных регионов и государств.

Похищаются сведения о новейших научно-технических разработках, планах компании по маркетингу своей продукции и заключаемых сделках.

Типичным злоупотреблением, посягающим на объекты авторских прав, являются преступления, связанные с несанкционированным размножением компьютерных программ.

Предметом хищения может быть также другая экономически важная информация, в частности, реквизиты банковских счетов и номера кредитных карточек.

Хищение услуг. К данной группе правонарушений относится получение несанкционированного доступа к какой-то системе, чтобы бесплатно воспользоваться предоставляемыми ею услугами.

Примером преступления данной категории является фоун-фрейкинг - использование компьютера для проникновения в коммутационную телефонную систему с целью незаконного пользования услугами по предоставлению междугородной телефонной связи.

Сюда же можно отнести использование ресурсов систем - объектов несанкционированного доступа для решения задач, требующих сложных расчетов, например, для определения закодированных паролей, которые они похищают с других узлов.

Уивинг - одно из наиболее распространенных преступлений этого вида, связанное с кражей услуг, происходит в процессе "запутывания следов". Злоумышленник проходит через многочисленные системы и многочисленные телекоммуникационные сети - Интернет, системы сотовой и наземной телефонной связи, чтобы скрыть свое подлинное имя и местонахождение. При такой ситуации причиной проникновения в данный компьютер является намерение использовать его как средство для атаки на другие системы.

Повреждение системы. Данная группа объединяет преступления, совершаемые с целью разрушить или изменить данные, являющиеся важными для владельца или многих пользователей системы - объекта несанкционированного доступа.

Объектом подобных атак могут стать компьютеры, соединенные с Интернетом. Маршрутизаторы - компьютеры, определяющие путь, по которому пакеты информации перемещаются по Интернету - аналогичны телефонным коммутаторам и поэтому являются объектами для опытных хакеров, которые хотят нарушить или даже изменить маршрут "трафика" в сети.

Использование вирусов. Применение данного средства повреждения компьютерных систем доступно в настоящее время не только профессиональным программистам, но и людям, обладающим лишь поверхностными познаниями в этой сфере. Во многом это обусловлено доступностью самих вредоносных программ и наличием простой технологии их создания.

Особую опасность представляют злоупотребления, связанные с распространением вирусов через Интернет.

Методы манипуляции.

Сущность методов манипуляции состоит в подмене данных, которая осуществляется, как правило, при вводе/выводе данных. Это простейший и поэтому очень часто применяемый способ.

Вариантом подмены данных является подмена кода.

Рассмотрим некоторые конкретные методы:

Манипуляция с пультом управления. Манипуляция с пультом управления относится к злоупотреблению механическими элементами управления ЭВМ. Характеристика манипуляции с вычислительной техникой заключается в том, что в результате механического воздействия на технические средства машины создаются возможности манипуляции данными.

Некоторые из таких нарушений связаны с компьютерами телефонных сетей.

"Троянский конь"- способ, состоящий в тайном введении в чужую программу таких команд, которые позволяют осуществлять иные, не планировавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность.

Действия такого рода часто совершаются сотрудниками, которые стремятся отомстить за несправедливое, по их мнению, отношение к себе, либо оказать воздействие на администрацию предприятия с корыстной целью.

"Логическая бомба" - тайное встраивание в программу набора команд, который должен сработать лишь однажды, но при определенных условиях.

"Временная бомба" - разновидность логической бомбы, которая срабатывает при достижении определенного момента времени.

"Асинхронная атака" - состоит в смешивании команд двух или нескольких пользователей, чьи команды компьютерная система выполняет одновременно.

"Моделирование" используется как для анализа процессов, в которые преступники хотят вмешаться, так и для планирования методов совершения преступления.

Реверсивная модель. Существо метода заключается в следующем. Создается модель конкретной системы. В нее вводятся реальные исходные данные и учитываются планируемые действия. Затем, исходя из полученных правильных результатов, подбираются правдоподобные желательные результаты. Затем модель прогоняется назад, к исходной точке, и становится ясно, какие манипуляции с входными данными нужно проводить. В принципе, прокручивание модели "вперед-назад" может проходить не один раз, чтобы через несколько итераций добиться желаемого. После этого остается только осуществить задуманное.

"Воздушный змей". В простейшем случае требуется открыть в двух банках по небольшому счету. Далее, деньги переводятся из одного банка в другой и обратно с постепенно повышающимися суммами. Хитрость заключается в том, чтобы до того, как в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, приходило бы извещение о переводе в тот банк, так, чтобы общая сумма покрывала требование о первом переводе. Этот цикл повторяется большое число раз до тех пор, пока на счете не оказывается приличная сумма (фактически, она постоянно "перескакивает" с одного счета на другой, увеличивая свои размеры). Тогда деньги быстро снимаются, и владелец счетов скрывается. Этот способ требует очень точного расчета, но для двух банков его можно сделать и без компьютера. На практике, в такую игру включают большое число банков: так сумма накапливается быстрее и число поручений о переводе не достигает подозрительной частоты. Но управлять этим процессом можно только с помощью компьютера.

Манипулирование данными осуществляется также и самими руководителями коммерческих структур с целью нанесения ущерба государству.

Как правило, компьютерные преступления совершаются с помощью различных комбинаций вышеописанных способов.

Уголовно-правовой контроль над компьютерной преступностью в России

В целях борьбы с компьютерной преступностью российским законодательством (глава 28 УК РФ) предусмотрена уголовная ответственность за неправомерный доступ к компьютерной информации (ст. 272 УК РФ); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ).

Современные исследователи выделяют следующие методологические, организационные и реализационные принципы информационной (в том числе компьютерной) безопасности.

Принцип законности. Состоит в следовании действующему законодательству в области обеспечения информационной безопасности.

Принцип неопределенности. Возникает вследствие неясности поведения субъекта, т.е. кто, когда, где и каким образом может нарушить безопасность объекта защиты.

Принцип невозможности создания идеальной системы защиты. Следует из принципа неопределенности и ограниченности ресурсов указанных средств.

Принципы минимального риска и минимального ущерба. Вытекают из невозможности создания идеальной системы защиты. В соответствии с ним необходимо учитывать конкретные условия существования объекта защиты для любого момента времени.

Принцип безопасного времени. Предполагает учет абсолютного времени, т.е. в течение которого необходимо сохранение объектов защиты; и относительного времени, т.е. промежутка времени от момента выявления злоумышленных действий до достижения цели злоумышленником.

Принцип «защиты всех ото всех». Предполагает организацию защитных мероприятий против всех форм угроз объектам защиты, что является следствием принципа неопределенности.

Принципы персональной ответственности. Предполагает персональную ответственность каждого сотрудника предприятия, учреждения и организации за соблюдение режима безопасности в рамках своих полномочий, функциональных обязанностей и действующих инструкций.

Принцип ограничения полномочий. Предполагает ограничение полномочий субъекта на ознакомление с информацией, к которой не требуется доступа для нормального выполнения им своих функциональных обязанностей, а также введение запрета доступа к объектам и зонам, пребывание в которых не требуется по роду деятельности.

Принцип взаимодействия и сотрудничества. Во внутреннем проявлении предполагает культивирование доверительных отношений между сотрудниками, отвечающими за безопасность (в том числе информационную), и персоналом. Во внешнем проявлении – налаживание сотрудничества со всеми заинтересованными организациями и лицами (например, правоохранительными органами).

Принцип комплексности и индивидуальности. Подразумевает невозможность обеспечения безопасности объекта защиты каким-либо одним мероприятием, а лишь совокупностью комплексных, взаимосвязанных и дублирующих друг друга мероприятий, реализуемых с индивидуальной привязкой к конкретным условиям.

Принцип последовательных рубежей безопасности. Предполагает как можно более раннее оповещение о состоявшемся посягательстве на безопасность того или иного объекта защиты или ином неблагоприятном происшествии с целью увеличения вероятности того, что заблаговременный сигнал тревоги средств защиты обеспечит сотрудникам, ответственным за безопасность, возможность вовремя определить причину тревоги и организовать эффективные мероприятия по противодействию.

Принципы равнопрочности и равномощности рубежей защиты. Равнопрочность подразумевает отсутствие незащищенных участков в рубежах защиты. Равномощность предполагает относительно одинаковую величину защищенности рубежей защиты  в соответствии со степенью угроз объекту защиты.

·         Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий. Он означает оптимальное сочетание программных аппаратных средств и организационных мер защиты, подтвержденное практикой создания отечественных и зарубежных систем защиты.

·         Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки. Пользователям предоставляется минимум строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации.

·         Полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ЭИС без ее предварительной регистрации.

·         Обеспечение надежности системы защиты, т.е. невозможность снижения ее уровня при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.

·         Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

·         Экономическая целесообразность использования систем защиты. Она выражается в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИС без системы защиты информации.

Методы обеспечения защиты информации

Методами обеспечения защиты информации на предприятии являются следующие:

Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.).

Управление доступом – метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы предприятия. Управление доступом включает следующие функции защиты:

·         идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

·         аутентификацию (установления подлинности) объекта или субъекта по предъявленному им идентификатору;

·         проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

·         регистрацию обращений к защищаемым ресурсам;

·         реагирование (сигнализация, отключение, задержка работ, отказ в запросе при попытках несанкционированных действий).

Маскировка – метод защиты информации в автоматизированной информационной системе предприятия путем ее криптографического закрытия.

Регламентация – метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.

Принуждение – метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной и уголовной ответственности.

Побуждение – метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.

Указанные выше методы обеспечения информационной безопасности реализуются с помощью следующих основных средств: физических, аппаратных, программных, аппаратно-программных, криптографических, организационных, законодательных и морально-этических.

Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем.

Аппаратные средства защиты – это электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т.д.

Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля.

Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Данное обстоятельство делает их одновременно и самыми уязвимыми элементами защиты информационной системы предприятия.

Аппаратно-программные средства защиты – средства, в которых программные (микропрограммные) и аппаратные части полностью взаимосвязаны и неразделимы.

Криптографические средства – средства защиты с помощью преобразования информации (шифрование).

Организационные средства – организационно-технические и организационно-правовые мероприятия по регламентации поведения персонала.

Законодательные средства – правовые акты страны, которые регламентируют правила использования, обработки и передачи информации ограниченного доступа и которые устанавливают меры ответственности за нарушение этих правил.

Морально-этические средства – нормы, традиции в обществе, например: Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ в США.

Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и «неформальные» (определяемые целенаправленной деятельностью человека либо регламентирующие эту деятельность).

Для реализации мер безопасности используются различные механизмы шифрования (криптографии).

Криптография – это наука об обеспечении секретности или аутентичности (подлинности) передаваемых сообщений.

Шифрование производится программными и аппаратными средствами.

Защита информации методом криптографического преобразования заключается в приведении ее к неявному виду путем преобразования составных частей информации с помощью специальных алгоритмов либо аппаратных средств и кодов ключей. Ключ – это изменяемая часть криптографической системы, хранящаяся в тайне и определяющая, какое шифрующее преобразование из возможных выполняется в данном случае. Для преобразования используется некоторый алгоритм или устройство, реализующее заданный алгоритм. Само же управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа.

Шифрование может быть симметричным и ассиметричным. Первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один общедоступный ключ, а для дешифрования – другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.

 

Основные результаты тестирования современных антивирусов

По данным на сентябрь 2010 построен следующий рейтинг (в скобках – процент обнаруженных вирусов):

Kaspersky Internet Security 2011 (100%)  

DrWeb Security Space 6.0 (99%)

Online Solutions Security Suite 1.5 (97%) 

Outpost Security Suite Pro 2010 (97%)
Norton Internet Security 2010 (91%)         

Avast! Internet Security 5.0 (91%)
Comodo Internet Security 4.1 (89%)         

Avira Premium Security Suite 10.0 (88%)
BitDefender Internet Security 2011 (86%) 

ZoneAlarm Internet Security Suite 2010 (86%)

Eset Smart Security 4.2 (76%)                   

Panda Internet Security 2011 (70%)
G DATA Internet Security 2011 (70%)      

McAfee Internet Security 2010 (63%)

AVG Internet Security 9.0 (59%)               

F-Secure Internet Security 2010 (57%)
VBA32 Personal 3.12 (55%)                       

Trend Micro Internet Security 2010 (50%)
PC Tools Internet Security 2010 (49%)

Microsoft Security Essentials 1.0 (29%)

Лекция №5. Автоматизированные информационные системы (АИС).

Общие сведения

Появление компьютеров позволило в значительной мере авто­матизировать информационную деятельность, что привело к со­зданию автоматизированных информационных систем (АИС).

Можно определить автоматизированную информационную сис­тему как базирующийся на компьютерных технологиях комплекс аппаратных, программных, информационных, организационных и человеческих ресурсов, предназначенный для создания и под­держки информационной модели какой-либо части реального мира (называемой предметной областью АИС) с целью удовлетворе­ния информационных потребностей пользователей.

Не следует думать, что любая автоматизированная информа­ционная система носит всеохватывающий характер. Напротив, она может входить в качестве составной части в более сложную систе­му, такую, как система автоматизации проектирования (САПР) или система управления производством. Размер и функции АИС определяются предметной областью, для которой она спроекти­рована, и если, например, предметная область охватывает лишь документооборот предприятия, то незачем искать в информаци­онной системе сведения о зарплате.

Структура АИС

В состав любой автоматизированной системы входят следую­щие подсистемы: техническая, программная, информационная, организационная, а также персонал.

Техническое и программное обеспечение. Техническое обеспе­чение включает в себя компьютеры, внешние устройства и сред­ства телекоммуникации и в этом отношении не отличается от любой компьютерной системы.

Программное обеспечение включает системное программное обеспечение, типовое прикладное программное обеспечение и специализированное прикладное программное обеспечение.

В свою очередь, в состав системного программного обеспече­ния входят операционная система, различные операционные обо­лочки пользователя, служебные программы системного админист­ратора, сетевое программное обеспечение и т.д. Используемая операционная система в значительной мере определяет требова­ния к остальным программным составляющим, и очень часто со­вокупность аппаратных средств вместе с используемой операци­онной системой называется аппаратно-программной платформой АИС (или просто платформой).

Типовое прикладное программное обеспечение представляет собой определяемые спецификой предметной области програм­мы, которые не разрабатываются специально для конкретной информационной системы, а предназначены для решения широ­кого класса задач того же типа, хотя они могут настраиваться на конкретный случай использования именно в данной системе. В ка­честве примера могут быть названы такие программные продукты, как офисные программы, системы управления базами данных об­щего назначения, Web-серверы, программы распознавания тек­ста, типовые системы текстового поиска и т.д. Эти программы могут быть как коммерческими, так и некоммерческими. Часто наиболее важные прикладные программы общего назначения (на­пример, системы управления базами данных) также включают в состав платформы АИС.

К категории типового прикладного программного обеспече­ния следует отнести также инструментальные средства, применя­емые для проектирования АИС, хотя в процессе ее эксплуатации они, как правило, не используются.

Специализированное прикладное программное обеспечение создается для конкретной информационной системы и учитывает ее особенности. Оно может быть либо комплексом программ, раз­работанных в какой-нибудь инструментальной среде, либо пред­ставлять собой совокупность настроек типовых программных па­кетов.

Информационное обеспечение. Обрабатываемые данные играют центральную роль в информационной системе. Вместе с тем наряду с информацией, непосредственно подлежащей сбору, хранению, обработке и т.д., важную роль играют сведения, описывающие эту информацию, называемые обычно метаданными, т.е. данными о данных, а также языковые средства, используемые для описания данных и метаданных (лингвистическое обеспечение). Наличие раз­витой системы метаданных является главным признаком, отлича­ющим информационную систему от простых информационных тех­нологий. Разумеется, сведения, описывающие обрабатываемые дан­ные, присутствуют в любой информационной технологии, однако особенностью метаданных АИС является то, что они хранятся в самой системе, являясь ее неотъемлемой частью.

Подлежащая хранению и обработке информация обычно группируется в соответствии с типовыми структурами, кото­рые называются моделями данных. Сформированная таким обра­зом информация называется базой данных. Еще раз подчеркнем, что база данных содержит полное описание содержащейся в ней информации, включая описание собственной структуры. Про­граммные средства общего назначения, предназначенные для работы с базой данных, называются системой управления базой данных (СУБД). Из числа систем, предназначенных для созда­ния АИС предприятий (корпоративных АИС) назовем Oracle, DB2, MS SQL Server.

Организационное обеспечение. Организационная составляющая является важным элементом информационной системы, хотя очень часто ей уделяется недостаточное внимание. Она включает в себя в первую очередь проектную и эксплуатационную документацию, а также типовые процедуры работы с АИС. Сюда же следует отне­сти систему подготовки обслуживающего персонала и конечных пользователей к эксплуатации АИС. Можно сказать, что органи­зационная подсистема является связующим звеном между инфор­мационной системой и ее пользователями.

Обслуживающий персонал. Последним по счету (но не по важ­ности) компонентом информационной системы являются люди, которые обеспечивают ее функционирование. Обычно их делят на разработчиков, администраторов и операторов. Разработчики создают и модифи­цируют систему, администраторы устанавливают режим функци­онирования системы и организуют устранение аварийных ситуа­ций, операторы же осуществляют неспецифическое взаимодей­ствие с системой (выполняют резервное копирование данных, устанавливают бумагу в принтер и т.д.).

Классификация АИС

Информационные системы классифицируются по разным при­знакам. Рассмотрим наиболее часто используемые способы клас­сификации.

Классификация по масштабу. По масштабу информационные системы подразделяются на следующие типы: одиночные, груп­повые и корпоративные.

Одиночные информационные системы, или автоматизирован­ные рабочие места (АРМ), реализуются, как правило, на отдель­ном персональном компьютере. Такая система может содержать несколько простых приложений, связанных общей тематикой и информацией, и рассчитана на работу одного пользователя или нескольких пользователей, разделяющих по времени одно рабо­чее место.

Групповые информационные системы (системы масштаба под­разделения) ориентированы на коллективное использование ин­формации членами одного или нескольких родственных отделов предприятия и чаще всего строятся на базе локальной вычисли­тельной сети. При разработке таких систем используются серверы баз данных (SQL-серверы), позволяющие эффективно использо­вать совместные данные.

Корпоративные информационные системы (системы масшта­ба предприятия) являются развитием групповых систем и могут поддерживать территориально разнесенные узлы или сети. Для таких систем характерна сложная архитектура с несколькими серверами.

Для групповых и корпоративных систем существенно повыша­ются требования к надежности функционирования и сохранности данных, что, в частности, требует обязательного наличия одного или нескольких администраторов среди обслуживающего персонала.

Классификация по сфере применения. По сфере применения ин­формационные системы обычно подразделяются на четыре группы:

• системы обработки транзакций;

• системы поддержки принятия решений;

• информационные-справочные системы;

• офисные информационные системы.

Системы обработки транзакций (Online Transaction Processing — OLTP) предназначены для поддержания адекватного отображе­ния предметной области в информационной системе в любой момент времени.

Для них характерен регулярный поток довольно простых под­лежащих обработке работ, например заказов, платежей, запросов от большого числа пользователей. Основными требованиями к ним являются:

• высокая производительность обработки;

•  непротиворечивость и согласованность хранимой информа­ции в любой момент времени;

•  защита от несанкционированного доступа, программных и аппаратных сбоев.

Системы поддержки принятия решений (аналитические систе­мы) представляют собой другой тип информационных систем, которые ориентированы на выполнение более сложных запросов, требующих статистической обработки исторических (накопленных за некоторый промежуток времени) данных в различных разре­зах: временных, географических и т.п., моделирования процес­сов предметной области, прогнозирования развития тех или иных явлений. Аналитические системы также часто включают средства обработки информации на основе методов искусственного интел­лекта, средства графического представления данных. Эти системы оперируют большими объемами исторических данных, позволяя выделить из них содержательную информацию: получить знания из данных.

Обширный класс информационных-справочных систем осно­ван на текстовых и гипертекстовых документах и мультимедиа. Наи­большее развитие такие информационные системы получили в сети Интернет.

Класс офисных информационных систем нацелен на перевод бумажных документов в электронный вид, автоматизацию дело­производства и управление документооборотом.

Приведенная классификация по сфере применения в доста­точной степени условна. Крупные информационные системы очень часто обладают признаками всех перечисленных выше классов. Кроме того, корпоративные информационные системы масштаба предприятия обычно состоят из ряда подсистем, относящихся к различным сферам применения.

Классификация по функциональному назначению. Еще одним способом классификации информационных систем является их классификация в зависимости от предметной области. Этот спо­соб, конечно, не может быть исчерпывающим, поскольку коли­чество предметных областей не ограничено. Тем не менее, он по­зволяет достаточно точно охарактеризовать ту или иную систему. Например, в сфере управления предприятием можно выделить следующие информационные системы:

• бухгалтерского учета;

• управления складскими ресурсами, поставками и закупками;

• управления маркетингом;

• документооборота;

• оперативного управления;

• предоставления оперативной и сводной информации и др.

Классификация по виду поддерживаемых информационных ре­сурсов. Здесь обычно выделяются два больших класса: документо-графические и фактографические системы.

В документографических системах основной информацией яв­ляются документы на естественных языках либо другие целостные информационные объекты (аудиозаписи, видеофильмы и т.п.). Основной функцией таких систем является поиск объекта или объектов, удовлетворяющих заданным условиям, в связи с чем класс документографических систем фактически совпадает с ин­формационными-поисковыми.

В фактографических же системах информация хранится в струк­турированном виде на основе той или иной модели данных, вслед­ствие чего такие системы называют системами с базами данных.

Другие виды классификации. Конечно же, приведенные спосо­бы классификации не исчерпывают всех возможностей классифи­кации. Приведем еще несколько свойств информационных сис­тем, которые могут быть положены в основу той или иной клас­сификации:

• объем информационных ресурсов и состав системного персо­нала, а также возможное количество пользователей;

• среда хранения и динамика информационных ресурсов;

• архитектура и способы доступа к системе;

• ограничения доступа к системе;

• программно-аппаратная платформа.

Список характеристик АИС можно было бы продолжить, од­нако уже приведенного достаточно, чтобы продемонстрировать большое многообразие информационных систем.

 

Самостоятельно законспектировать обучающимся главу 11 «Бухгалтерские системы учета» и главу 12 «Компьютерные справочные системы» в учебнике Е.В. Михеевой «Информационные технологии в профессиональной деятельности».

 

Раздел 2. Программное обеспечение профессиональной деятельности.

 

Базы данных.

Базы данных (БД) – данные, хранящиеся в запоминающих устройствах, структурированные таки образом, чтобы их могли использовать различные программы.

Система управления базами данных (СУБД) – средства создания и управления этими данными.

Банк данных – несколько баз данных, относящихся к одной области, и средства работы с ними; это ИС коллективного многоцелевого использования, обеспечивающая хранение данных, их обновление и выдачу по запросам пользователей.

Банки данных хранят сведения из самых разных областей человеческой деятельности: это библиотечное и банковское дело, образование и медицина, управление предприятием и государством, право, экология, транспорт, туризм и др. Интернет – гигантский банк данных.

БД может входить в банк данных, а может использоваться автономно. БД может содержать информацию любого типа. Данные в одной БД обычно относятся к какой-либо одной предметной области.

Существуют два уровня организации БД:

Физическая организация БД – это способ представления, размещения и хранения данных на носителе.

Логическая организация БД – модель структуры всей совокупности данных, способ объединения данных в записи.

Наиболее распространенные способы логической организации данных в БД:

Табличный (реляционный).

Пример: Данные о сотрудниках учреждения

№	ФИО	Год рождения	Факультет	Кафедра	Должность
25	Илюшин И.И.	1978	Экономический	БУ и А	Ассистент
26	Ипатов С.С.	1959	Технологический	ТММ	Профессор
27	Кедров К.К.	1964	Архитектурный	ПГС	Доцент

Наиболее распространены: dBASE, Lotus, FoxPro, Clipper, Paradox, Access, Ребус и др.

Древовидный (иерархический). Данные о структуре управления, системы управления файлами – Norton Commander, Far Manager, Диспетчер файлов и пр.

      Сетевой (графовый). Данные о курсах, читаемых для студентов разных специальностей. Используются в АСУ и системах управления корпоративными бизнес-процессами.

Каждый способ имеет свои преимущества и недостатки. Выбор способа представления данных зависит от особенностей предметной области и тех задач, которые предполагается решать с помощью этих данных.

СУБД обычно поддерживает одну из моделей организации данных, т.е. с их помощью можно создать БД определенного типа.

Основные функции СУБД:

- создание БД;

- редактирование БД;

- реструктурирование БД;

- поиск, выборка и сортировка записей.

В состав СУБД входят:

- управляющие программы, обеспечивающие взаимосвязь с ОС, обработку команд пользователя, очередность их выполнения, контроль завершения операций и пр.;

- обрабатывающие программы – трансляторы, редакторы отладчики;

- сервисные программы, обеспечивающие для пользователя удобный интерфейс;

- прикладные программы, выполняющие обработку найденных системой данных, вычисления, формирование выходных документов по заданной форме и пр.

При создании и ведении БД необходимо учитывать следующие требования:

- адекватность информации состоянию предметной области;

- надежность функционирования;

- быстродействие и производительность;

- простота и удобство использования;

- непротиворечивость данных;

- защита информации от случайных искажений, уничтожения и несанкционированного доступа;

- возможность расширения.

Пользователь БД может обратиться к ней с запросом. Запрос к базе данных – это сообщение, содержащее условие (простое или сложное) на поиск данных и указание о том, что необходимо проделать с найденными данными.