Информационные системы в экономики

1. Опишите пример использования технологии клиент-сервер на вашем предприятии: решаемые задачи, схема обработки, эффект от использования.

Характер  взаимодействия компьютеров в локальной  сети принято связывать с их функциональным назначением. Как и в случае прямого соединения, в рамках локальных сетей используется понятие клиент и сервер. Технология клиент-сервер — это особый способ взаимодействия компьютеров в локальной сети, при котором один из компьютеров (сервер) предоставляет свои ресурсы другому компьютеру (клиенту). В соответствии с этим различают одноранговые сети и серверные сети.

При одноранговой архитектуре в сети отсутствуют  выделенные серверы, каждая рабочая  станция может выполнять функции  клиента и сервера. В этом случае рабочая станция выделяет часть своих ресурсов в общее пользование всем рабочим станциям сети. Как правило, одноранговые сети создаются на базе одинаковых по мощности компьютеров. Одноранговые сети являются достаточно простыми в наладке и эксплуатации. В том случае, когда сеть состоит из небольшого числа компьютеров и ее основной функцией является обмен информацией между рабочими станциями, одноранговая архитектура является наиболее приемлемым решением.

Наличие распределенных данных и возможность изменения  своих серверных ресурсов каждой рабочей станцией усложняет защиту информации от несанкционированного доступа, что является одним из недостатков одноранговых сетей. Понимая это, разработчики начинают уделять особое внимание вопросам защиты информации в одноранговых сетях.

Другим недостатком одноранговых сетей является их более низкая производительность. Это объясняется тем, что сетевые ресурсы сосредоточены на рабочих станциях, которым приходится одновременно выполнять функции клиентов и серверов.

В серверных  сетях осуществляется четкое разделение функций между компьютерами: одни их них постоянно являются клиентами, а другие — серверами. Учитывая многообразие услуг, предоставляемых компьютерными сетями, существует несколько типов серверов, а именно: сетевой сервер, файловый сервер, сервер печати, почтовый сервер и др.

Сетевой сервер представляет собой специализированный компьютер, ориентированный на выполнение основного объема вычислительных работ  и функций по управлению компьютерной сетью. Этот сервер содержит ядро сетевой  операционной системы, под управлением которой осуществляется работа всей локальной сети. Сетевой сервер обладает достаточно высоким быстродействием и большим объемом памяти. При подобной сетевой организации функции рабочих станций сводятся к вводу-выводу информации и обмену ею с сетевым сервером.

Термин файловый сервер относится к компьютеру, основной функцией которого является хранение, управление и передача файлов данных. Он не обрабатывает и не изменяет сохраняемые  и передаваемые им файлы. Сервер может "не знать", является ли файл текстовым документом, графическим изображением или электронной таблицей. В общем случае на файловом сервере может даже отсутствовать клавиатура и монитор. Все изменения в файлах данных осуществляются с клиентских рабочих станций. Для этого клиенты считывают файлы данных с файлового сервера, осуществляют необходимые изменения данных и возвращают их обратно на файловый сервер. Подобная организация наиболее эффективна при работе большого количества пользователей с общей базой данных. В рамках больших сетей может одновременно использоваться несколько файловых серверов.

Сервер печати (принт-сервер) представляет собой печатающее устройство, которое с помощью  сетевого адаптера подключается к передающей среде. Подобное сетевое печатающее устройство является самостоятельным и работает независимо от других сетевых устройств. Сервер печати обслуживает заявки на печать от всех серверов и рабочих станций. В качестве серверов печати используются специальные высокопроизводительные принтеры.

При высокой  интенсивности обмена данными с глобальными сетями в рамках локальных сетей выделяются почтовые серверы, с помощью которых обрабатываются сообщения электронной почты. Для эффективного взаимодействия с сетью Internet могут использоваться Web-серверы.

2. Опишите, как реализована система автоматизированного документооборота на вашем предприятии: решаемые задачи, эффект от внедрения.

Сегодня применение системы автоматизации  документооборота - важный фактор, способствующий повышению эффективности труда  лиц, которые принимают решения и контролируют их исполнение, т.е. руководителей организации. В документах сосредоточено более 80% информационных ресурсов предприятий, а документооборот является ключевой технологией управления: управленческие решения оформляются, доводятся до исполнителей, а затем контролируются в форме документов.

До недавнего времени автоматизация  работы с документами рассматривалась  в первую очередь как инструмент повышения эффективности делопроизводственных служб, занятых составлением, перемещением, учетом и хранением бумажных документов.

Однако в последнее десятилетие  заметный прогресс в области офисной  автоматизации привел к тому, что  авторы могут сами с помощью персональных компьютеров составлять документы, а нажатия нескольких клавиш достаточно для отправки любого числа копий документа адресатам независимо от их местонахождения.

Современные текстовые процессоры позволяют создавать документы  трех типов.

Во-первых, это печатные документы, которые создаются и распечатываются  на одном рабочем месте или в одной рабочей группе. Дальнейшее движение документа происходит только в бумажной форме. Состав допустимых средств оформления в данном случае определяется только техническими возможностями печатающего устройства.

Второй тип - электронные документы  в формате текстового процессора, например Microsoft Word. Такие документы передаются заказчику в виде файлов. Электронный документ, как правило, не является окончательным. В большинстве случаев заказчик может его дорабатывать, редактировать, форматировать, распечатывать или использовать его компоненты для подготовки своих документов (книг, журналов, сборников статей и т. п.). Набор разрешенных средств в данном случае, как правило, минимален и определяется заказчиком.

В настоящий момент законодатель под  электронным документом понимает - документ, в котором информация представлена в электронно-цифровой форме.

Третий тип - Web-документы. Предполагается, что в этом качестве они останутся  навсегда, и их преобразование в  печатные документы не планируется. В Web-документах большую роль играет управление цветом.

Для этой категории документов наиболее широк выбор средств форматирования и оформления.

3. Опишите, какие могут существовать  угрозы информационной безопасности  предприятия и какие могли  бы использоваться меры борьбы с этими угрозами.

Главными  целями деятельности по обеспечению  информационной безопасности, как уже  отмечалось, являются ликвидация угроз  объектам информационной безопасности и минимизация возможного ущерба, который может быть нанесен вследствие реализации данных угроз. Основные направления деятельности по обеспечению информационной безопасности на предприятии, используемые для осуществления этой деятельности силы, средства, способы и методы подробно рассмотрены в последующих главах учебника. В настоящей статье изложены сущность и основные виды угроз информационной безопасности. 
 
Угроза — одно из ключевых понятий в сфере обеспечения информационной безопасности. 
 
Угроза объекту информационной безопасности есть совокупность факторов и условий, возникающих в процессе взаимодействия различных объектов (их элементов) и способных оказывать негативное воздействие на конкретный объект информационной безопасности. Негативные воздействия различаются по характеру наносимого вреда, а именно: по степени изменения свойств объекта безопасности и возможности ликвидации последствий проявления угрозы. 
 
К наиболее важным свойствам угрозы относятся избирательность, предсказуемость и вредоносность. Избирательность характеризует нацеленность угрозы на нанесение вреда тем или иным конкретным свойствам объекта безопасности. Предсказуемость характеризует наличие признаков возникновения угрозы, позволяющих заранее прогнозировать возможность появления угрозы и определять конкретные объекты безопасности, на которые она будет направлена. Вредоносность характеризует возможность нанесения вреда различной тяжести объекту безопасности. Вред, как правило, может быть оценен стоимостью затрат на ликвидацию последствий проявления угрозы либо на предотвращение ее появления. 
 
Необходимо выделить два наиболее важных типа угроз: 
 
1. намерение нанести вред, которое появляется в виде объявленного мотива деятельности субъекта; 
2. возможность нанесения вреда – существование достаточных для этого условий и факторов. 
 
Особенность первого типа угроз заключается в неопределенности возможных последствий, неясности вопроса о наличии у угрожающего субъекта сил и средств, достаточных для осуществления намерения. 
 
Возможность нанесения вреда заключается в существовании достаточных для этого условий и факторов. Особенность угроз данного типа состоит в том, что оценка потенциала совокупности факторов, которые могут послужить превращению этих возможностей и условий во вред, может быть осуществлена только собственно субъектами угроз. 
 
Между угрозой и опасностью нанесения вреда всегда существует устойчивая причинно-следственная связь. 
 
Угроза всегда порождает опасность. Опасность также можно представить как состояние, в котором находится объект безопасности вследствие возникновения угрозы этому объекту. Главное отличие между ними заключается в том, что опасность является свойством объекта информационной безопасности и характеризует его способность противостоять проявлению угроз, а угроза – свойством объекта взаимодействия или находящихся во взаимодействии элементов объекта безопасности, выступающих в качестве источника угроз. Понятие угрозы имеет причинно-следственную связь не только с понятием опасности, но и с возможным вредом как последствием негативного изменения условий существования объекта. Возможный вред определяет величину опасности. 
 
Классификация угроз. Ущерб информационной безопасности предприятия. 
 
Существует несколько видов классификации угроз информационной безопасности объекта; угрозы делят: 
 
- по источнику (его местонахождению) – на внутренние (возникают непосредственно на объекте и обусловлены взаимодействием между его элементами или субъектами) и внешние (возникают вследствие его взаимодействия с внешними объектами); 
- по вероятности реализации – на потенциальные и реальные; 
- по размерам наносимого ущерба - на общие (наносят вред объекту безопасности в целом, оказывая существенное негативное воздействия на условия его деятельности), локальные (затрагивают условия существования отдельных элементов объекта безопасности) и частные (наносят вред отдельным свойствам элементов объекта или отдельным направлениям его деятельности); 
- по природе происхождения - на случайные (не связанные с действиями персонала, состоянием и функционированием объекта информационной безопасности, такие как отказы, сбои и ошибки в работе средств автоматизации, стихийные бедствия и другие чрезвычайные обстоятельства) и преднамеренные (обусловлены злоумышленными действиями людей); 
- по предпосылкам возникновения – на объективные (вызваны недостатком системы информационной безопасности объекта, например, несовершенством разработанных нормативно-методических и организационно-плановых документов, отсутствием подготовленных специалистов по защите информации и т.п.) и субъективные (обусловлены деятельностью персонала объекта безопасности, например, ошибками в работе, низким уровнем подготовки в вопросах защиты информации, злоумышленными действиями или намерениями посторонних лиц); 
- по видам объектов безопасности – на угрозы собственно информации (обусловлены попытками получения защищаемой информации различными способами и методами независимо от ее местонахождения), угрозы персоналу объекта (связаны с уменьшением влияния персонала на ситуацию в сфере обеспечения информационной безопасности, с попытками получения конфиденциальной информации от допущенного к ней персонала), угрозы деятельности по обеспечению информационной безопасности (направлены на снижение эффективности или нейтрализацию усилий, предпринимаемых руководством и персоналом объекта безопасности для исключения утечки защищаемых сведений, утраты или хищения носителей, ослабление системы защиты информации). 
 
При рассмотрении угроз информационной безопасности объекта особое внимание необходимо уделить классификации подлежащих защите объектов информационной безопасности предприятия. В соответствии с приведенной ранее классификацией угроз по виду объекта воздействия они подразделяются на угрозы собственно информации, угрозы персоналу объекта и угрозы деятельности по обеспечению информационной безопасности объекта. При более детальном рассмотрении угрозы собственно информации можно подразделить на угрозы носителям конфиденциальной информации, местам их размещения (расположения), каналам передачи (системам информационного обмена), а также собственно информации, хранящейся в документированном (электронном) виде на различных носителях. 
 
Таким образом, можно сделать вывод о том, что действие угроз информационной безопасности объекта направлено на создание возможных каналов утечки защищаемой информации (предпосылок к ее утечке) и непосредственно на утечку информации. Одно из ключевых понятий в оценке эффективности проявления угроз объекту информационной безопасности — ущерб, наносимый этому объекту (предприятию) в результате воздействия угроз. 
 
По своей сути любой ущерб, его определение и оценка имеют ярко выраженную экономическую основу. Не является исключением и ущерб, наносимый информационной безопасности объекта (предприятия). 
 
С позиции экономического подхода общий ущерб информационной безопасности предприятия складывается из двух составных частей: прямого и косвенного ущерба. 
 
Прямой ущерб информационной безопасности предприятия возникает вследствие утечки конфиденциальной информации. Косвенный ущерб — потери, которые несет предприятие в связи с ограничениями на распространение информации, в установленном порядке отнесенной к категории конфиденциальной. 
 
Описание ущерба, наносимого предприятию в результате утечки конфиденциальной информации, основывается на его количественных и качественных показателях, которые базируются на одном из принципов засекречивания информации (отнесения ее к категории конфиденциальной) — принципе обоснованности. Он заключается в установлении (путем экспертных оценок) целесообразности засекречивания конкретных сведений (отнесения содержащейся в них информации к категории конфиденциальной), а также вероятных последствий этих действий, с учетом решаемых предприятием задач и поставленных целей. 
 
Введение ограничений на распространение информации (в связи с ее засекречиванием или отнесением к категории конфиденциальной) приводит и к позитивным, и к негативным последствиям. К основным позитивным последствиям следует отнести предотвращение возможного прямого ущерба информационной безопасности предприятия из-за утечки защищаемой информации. Негативные последствия связаны с наличием (вероятным возрастанием) косвенного ущерба или издержек в виде затрат на защиту информации и величины упущенной выгоды, которая может быть получена при ее открытом распространении. 
 
Общий ущерб безопасности предприятия от утечки конфиденциальной информации определяют следующим образом. 
 
Проводят классификацию всех имеющихся на предприятии сведений по степени их важности. С этой целью методом экспертной оценки с привлечением специалистов структурных подразделений предприятия, участвующих в выполнении работ по различным направлениям его деятельности, разрабатывают единую шкалу сведений, содержащих конфиденциальную информацию — так называемый рейтинг важности информации. В рейтинге отражаются все сведения, включенные в перечни информации, подлежащей защите. 
 
Методической основой для разработки такого рейтинга служит метод экспертного анализа в совокупности с методом объективного количественного оценивания. На основе рейтинга важности информации сопоставляют (соотносят) включенные в него сведения с количественными показателями возможного ущерба, определяемого расчетным или экспертным путем.

4. Опишите систему документооборота на вашем предприятии и дайте оценку степени ее автоматизации.

А. Афанасьев, АО Весть

Практически на всех предприятиях, особенно на предприятиях государственного подчинения, существуют общие отделы. Их название варьируется - это может быть отдел общего делопроизводства, общий отдел, управление делами и т.д., но самое главное - суть данного подразделения остается одинаковой на всех предприятиях независимо от названия и заключается она в организации потоков документов на данном предприятии (приказов, распоряжений, поручений, писем и т.д.). Рассмотрим основные виды документов, атрибутику документов, потоки документов и работы, используемые в работе данных подразделений. Кроме центрального документооборота крупного предприятия, существуют специализированные документооборот (в подразделениях предприятия, в отделах специализированного делопроизводства и т.д.).

Основные  принципы организации канцелярской работы

В данном разделе  перечислены основные принципы организации  устойчивого и управляемого документооборота для организации. Все они изложены в литературе и известны практически  любому руководящему работнику, но как показывает практика они достаточно часто нарушаются. 
Основным принципом документооборота является то, что ни у кого не существует локальных архивов документов. Любой входящий документ, не попавший в общий архив документов, является потенциальным клиентом на неисполнение. В организации есть соответствующая служба, а именно канцелярия, которая отвечает за прохождение документов. Документы не учтенные в канцелярии теряются чаше всего. 
В организации должен существовать только один канал поступления входящих документов. Даже если прием документов построен по распределенной схеме (см. "Методы связей с внешним миром"), то это сделано только для повышения скорости обработки документов. Все такие подразделения мгновенно предоставляют информацию в канцелярию (желательно в режиме on-line связи с канцелярией). Можно рассматривать, что такие удаленные пункты регистрации документов являются подразделениями канцелярии. 
Для полноты картины документооборота на предприятии система документооборот не должна заканчиваться на ответственных исполнителях, т.е. система автоматизации документооборота организации не должна замыкаться только на канцелярии, а должна иметь продолжение в системах управления документооборотом подразделений организации. 

Типы  документов, классификация и их взаимосвязи

Рассмотрим  основные типы документов, используемые в работе предприятия с их характеристиками. Типов документов, используемых в  работе предприятия, достаточно много (на отдельных предприятиях их число  доходит до 500-600). В то же время, с точки зрения канцелярии основных видов документов бывает весьма небольшое количество, а именно всего на всего 3 вида:

• Входящие. Это документы, которые поступили на предприятие от внешних партнеров. Большинство входящих документов должны порождать соответствующие исходящие, причем в заранее установленные сроки. Сроки устанавливаются или нормативными актами, предписывающими то или иное время ответа на соответствующий входящий документ, или сроком исполнения, указанным непосредственно во входящем документе.
• Исходящие. Большинство исходящих документов являются ответом организации на соответствующие входящие документы. Некоторая часть исходящих документов готовиться на основе внутренних документов предприятия. Небольшое число исходящих документов может требовать поступления входящих документов (например запросы в сторонние организации типа: "Прошу дать справку по вопросу ... в срок до ...").
• Внутренние. Данные документы используются для организации работы предприятия. Через канцелярию проходят не все внутренние документы, а только переписка наиболее крупных структурных подразделений предприятия (особенно если они территориально разнесены) и приказы руководства предприятия. Так же через канцелярию проходят внутренние документы, порождающие исходящие. В частности, по общим правилам делопроизводства единственный способ отправить запрос, письмо или материалы во внешнюю организацию это направить внутренний документ в канцелярию, где его преобразуют в исходящий и отправят в стороннюю организацию.

Документы каждого из этих видов могут быть достаточны разнообразны. Это могут быть письма, распоряжения, циркулярные указания и т.д. Обычно под типом документа на предприятии понимается именно эти деления, причем еще более детализованные (допустим, если письма, то чему посвященные - жалобы, предложения, пожелания и т.д.). С точки зрения канцелярии данное деление достаточно неинтересно, хотя во внутренней полной системе делопроизводство оно безусловно необходимо. Далее здесь будет рассматриваться только канцелярские виды документов - входящие, внутренние и исходящие. 
Прежде всего все документы, проходящие через общий отдел обладают уникальным регистрационным номером (возможно свои алгоритмы построения номеров для каждого из типов документов). Мало того, любая бумага не имеющая регистрационного номера - это просто бумага, а не документ. Документом ее делает именно наличие на ней регистрационного номера.