10. Информационные системы

1. Информационные системы: определение, цель создания, структура.

2. Базовые принципы разработки ИС

3. Классификация информационных систем.

4. Системы классификации и кодирования экономической информации.

Классы ИС: MR I, MRP II, ERP

1. Информационные системы: определение, цель создания, структура.

Информация - это некоторые сведения, знания об объектах и процессах реального мира. Экономическая информация отображается, как правило, в виде документов.

Документ - это материальный носитель информации, имеющий юридическую силу и оформленный в установленном порядке.

Система - это комплекс взаимосвязанных средств, выступающих как единое целое. Каждая система характеризуется структурой, входными и выходными потоками, целью и ограничениями, законом функционирования.

Система охватывает комплекс взаимосвязанных элементов, действующих как единое целое в достижении поставленных целей.

Каждая система включает в себя компоненты

1.Структура системы – это множество элементов системы и взаимосвязей между ними.

2. Функции каждого элемента системы

3. Вход и выход каждого элемента и системы в целом.

4. Цели и ограничения системы и ее отдельных элементов (достижения уменьшение затрат и увеличение прибыли)

Каждая система обладает свойствами делимости и целостности.

ИС обеспечивает сбор, хранения, переработку информации об объекте снабжающих работников различного ранга информацией для реализации функций управления.

ЭИС – это система, функционирование которой заключается в сборе, хранении, обработки и распространении информации о деятельности какого либо экономического объекта реального мира.

ЭИС предназначены для решения задач обработки данных автоматизации делопроизводства, выполнения поиска информации и отдельных задач, основанных на методах искусственного интеллекта (из лекций).

Информационная система (ИС) - это программно-аппаратный комплекс, предназначенный для автоматизированного сбора, хранения, обработки и выдачи информации. Обычно ИС имеют дело с большими объемами информации, которая имеет достаточно сложную структуру. Классическими примерами информационных систем являются банковские системы, системы продажи билетов на транспорте и др.

ИС всегда специализируется на информации из определенной области реального мира: экономики, техники, медицины и т.д. Часть реального мира, отображаемая в ИС, называется предметной областью . Поэтому экономические ИС - это ИС, предметной областью которых является экономика. В этом смысле она выступает как информационная модель предметной области.

Любой системе управления экономическим объектом соответствует своя информационная система, называемая экономической информационной системой.

Экономическая информационная система (ЭИС) - это совокупности внутренних и внешних потоков прямой и обратной информационной связи экономического объекта, методов, средств, специалистов, участвующих в процессе обработки информации и выработке управленческих решений.

Информационная система является системой информационного обслуживания работников управленческих служб и выполняет технологические функции по накоплению, хранению, передаче и обработке информации. Она складывается, формируется и функционирует в регламенте, определенном методами и структурой управленческой деятельности, принятой на конкретном экономическом объекте, реализует цели и задачи, стоящие перед ним.

Структура ИС

Наиболее общим разделением подсистем ЭИС является выделение обеспечивающей и функциональной частей. Функциональная часть фактически является моделью системы управления объектом. Применительно к системам управления признаком структуризации могут служить функции управления объектом, в соответствии с которыми ЭИС состоит из функциональных подсистем. Обеспечивающая часть ЭИС состоит из информационного, технического, программного, организационного, правового и других видов обеспечения.

Независимо от признаков любая ЭИС состоит из функциональной и обеспечивающей частей. Функциональная часть определяется совокупностью решаемых задач, выделенных по определенным видам деятельности различных хозяйствующих объектов (по функциям).

Обеспечивающая часть представляет собой комплекс взаимосвязанных средств определенного вида, которые обеспечивают функционирование системы в целом или ее отдельные элементы. К обеспечивающим подсистемам относится: информационное обеспечение ИО, техническое обеспечение ТО, математическое обеспечение МО, правовое обеспечение Прав.О, программное обеспечение ПО, организационное обеспечение Орг.О, технологическое обеспечение Тех.О

ИО – совокупность единой системы классификации и кодирования информации унифицируемых систем документации, схем информационных потоков, циркулирующих в организациях, а также методология построения БД ИО подразделяется на внемашинное и внутримашинное.

Внемашинное унифицируемая система документации, а также систему классификации т кодирования учетной информации.

Внутримашинное – документы и массивы документов, находящиеся в памяти ЭВМ в виде библиотек, архивов, БД, баз знаний.

ТО – комплекс технических средств, предназначенных для работы ИС, а также соответствующая документация на эти средства и технологические процессы.

Тех.О – ориентирванно на выбранную информационную технологию ввода регистрации передачи, обработки и выдачи результативной информации. (централизованная, распределенная, децентрализованная)

ПО – входят: общесистемные и специальные программные продукты, а также техническая документация (ОС, оболочки, программы….)

Мат.О. – совокупность математических методов, моделей, алгоритмов для реализации целей и задач ИС, а также функционирования комплекса технических средств.

Орг.О – совокупность методов и средств, регламентирующих взаимодействие работников с техническими средствами и между собой в процессе разработки и эксплуатации ИС.

Прав.О. – совокупность правовых норм, определяющих создание юридический статус и функционирование ИС, регламентирующий порядок получения преобразования и использования информации. (из лекций)

Структура информации включает в свою совокупность следующие понятия: информационное пространство, предметная область, объект, экземпляр объекта, свойства объекта, взаимодействие объектов и свойства взаимодействия. Описать предметную область – это значит перечислить объекты и взаимосвязи между ними, а за тем описать их атрибутами и составными единицами информации.

Структура экономической информации достаточно сложна и может включать различные комбинации информационных совокупностей, обладающих определенным содержанием. Под информационной совокупностью понимается группа данных, характеризующих объект, процесс, операцию. По структурному составу информационные совокупности можно разделить на:

реквизиты,

показатели,

Информационная система – это система программного, аппаратного и организационного обеспечения, решающая задачи информационного сопровождения различных сфер деятельности человека. Таким образом, информационная система включает в себя не только работающие программные приложения, но и компьютеры, коммуникационное оборудования, базы данных, а также персонал, обслуживающий систему и взаимодействующий с ним по определенному регламенту.

Существует достаточно много способов классификаций информационных систем, но каждый из них характеризует лишь отдельные ее аспекты. К примеру, информационные системы разделяют на автоматизированные системы , функционирующие под контролем и с участием человека; и автоматические системы , работающие без вмешательства со стороны людей. Крупные информационные системы могут включать в себя как автоматизированные подсистемы, так и подсистемы, работающие в автоматическом, а то и в полностью автономном режиме. Также, информационные системы классифицируют по их архитектуре, сфере применения, регламентам использования и т.д. В этом разделе я хочу остановиться на классификации информационных систем по назначению и требованиям к режиму их функционирования.

Классификация информационных систем

Информационно поисковые системы. Собственно, из названия все понятно: регулярный пользователь такой системы имеет возможность осуществлять поиск и просмотр нужной ему информации. Пример – это , такие как Google или Яндекс.

Системы обработки данных. Такие системы, помимо информационно поисковых функций позволяют изменять данные, находящиеся под их управлением. Здесь уже можно выделить следующие виды информационных систем:

1. Автоматизированные системы управления (АСУ)

   Довольно широкий класс информационных систем, создаваемых для управления крупным предприятием. Системы управления могут быть разного масштаба: от автоматизированной систему управления всем предприятием (АСУП), до управления отдельными его технологическими процессами (АСУ ТП), финансового управления или автоматизации бухгалтерского учета. В состав систем управления уровня предприятия входят компоненты программных комплексов класса ERP (Enterprise Resource Planning), применяемые для планирования и информационного сопровождения процессов управления на производстве. Примеры ERP: отечественный продукт “1С Предприятие” и зарубежный SAP ERP, компании SAP AG (Германия).



2. Диспетчерские системы

   Диспетчерские системы входят в состав систем управления и используются для удаленного контроля над использованием производственных активов (оборудования) предприятия и оперативного управления этим активами. Особенности таких систем в том, что они должны обеспечивать режим централизованного мониторинга за всеми наблюдаемыми объектами, путем оперативного обмена с этими объектами информацией и сведением этой информации на центральных диспетчерских устройствах ввода/вывода. На основе таких данных диспетчер принимает решения, касающиеся оперативного управления технологическими процессами, в которые вовлечены объекты диспетчеризации.



3. Системы поддержки принятия решения или экспертные системы

   Экспертные системы относятся к классу систем искусственного интеллекта. Они работают с базами знаний и умеют на основе этих знаний делать определенные выводы. Системы поддержки принятия решений способны на основе заложенных в них математических моделей имитировать реальные ситуации и прогнозировать их развитие. Такие системы также могут быть частью , поскольку являются незаменимым инструментом для решения задач планирования.




4. Системы, позволяющие организовать сбор, хранение и визуализацию пространственных данных. Пространственные данные – это объекты, описываемые не только набором атрибутов, но и геометрией. В ГИС выделяют точечную геометрию, когда имеет значение только местоположение объекта (столб, дерево), линейную геометрию, когда также важна протяженность и линейная конфигурация объекта (различные путепроводы) и площадную геометрию, позволяющую представить объект в контексте ГИС в полной мере (леса, озера, строения). Визуализация пространственных данных в ГИС чаще всего выполнена в виде двухмерных графических карт. Карты обычно создается и настраивается для различных масштабом и, как следствие, с различной степенью детализации, поэтому одни и те же объекты на одном масштабе могут быть представлены точками, а на другом – площадными объектами. Некоторые ГИС для хранения данных используют файлы собственных форматов, а некоторые для этих целей используют . Геоинформационные системы позволяют не только редактировать и просматривать пространственные данные, но и выполнять пространственные запросы к ним, например, выбрать все объекты на определенной территории или отобрать все пересекающиеся объекты конкретного класса. Эти возможности относят к средствам анализа пространственных данных ГИС. Наиболее известными, по крайней мере, в России, являются ГИС, предлагаемые компаниями ESRI (ArcGIS), Intergraph (Geomedia) и MapInfo Corporation (MapInfo).



5. Системы автоматизированного проектирования (САПР)

   Системы, предназначенные для автоматизации процессов инженерного проектирования. В английском языке для обозначения этих систем используется аббревиатура CAD (computer-aided design). С помощью САПР создают электронные версии различного рода инженерной документации, представленной чаще всего чертежами объектов проектирования в двух или трехмерном представлении. Наиболее известным представителем САПР в России является программный продукт AutoCAD компании Autodesk.



6. Системы управления базами данных (СУБД)

   Системы данного класса чаще всего выступают в роли подсистем базы данных других информационных системы. Из их названия все понятно: они используются для управления большими массивами структурированных данных, и в их задачи входит добавление, удаление, редактировании данных в информационном хранилище и обработка . бывают настольными (Microsoft Access), и распределенными, способными управлять объемами данных крупного предприятия (Microsoft SQL Server, Oracle).



7. Системы управления содержимым ( , Content management system)

   Назначение этих информационных систем – предоставлять администратору возможность ввода различной информации через предопределенные пользовательские формы, размещать (публиковать) эту информацию в соответствии с заданными шаблонами и организовывать к ней доступ пользователей в свободном режиме или с предварительной регистрацией. Достаточно много создается именно с помощью CMS. Наиболее известные из них WordPress, Joomla и Drupal. Зачастую, пользователям таких систем даже не нужно – за них нужную интернет страницу самостоятельно создаст CMS, а им необходимо будет только выбрать тип страницы (новости, обзор, статья и т.д.), ввести текст и нажать что-то типа “Опубликовать”. Безусловно, этим функциональность более или менее серьезных информационных систем этого класса не ограничивается. Наиболее известной коммерческой CMS отечественного производства является 1С-Битрикс.



8. Операционные системы (Operating System)

   Представитель системного программного обеспечения (system software). Системное и прикладное (application software) программное обеспечение (ПО) отличаются друг от друга способом использования аппаратных ресурсов вычислительной техники: системное ПО использует ресурсы через встроенное в эти самые ресурсы вспомогательное ПО (firmware), а прикладное ПО уже через программные интерфейсы системного ПО. Операционные системы призваны управлять всеми и планировать использование его ресурсов прикладными программами. Наиболее известными представителями операционных систем являются Microsoft Windows и системы класса UNIX и им подобные, такие как Linux, Mac OS, Android и другие.



9. Системы реального времени

   Системы реального времени, это такие системы, качество работы которых определяется не только тем, что их функции работают корректно с точки зрения заложенной в них логики, но завершают свою работу в установленные временные рамки. Система реального времени не может себе позволить задержки реагирования на предусмотренные внешние воздействия. Другими словами, такая система может прервать текущие вычисления, если они не позволяют адекватно обрабатывать сигналы, поступающие к ней в режиме реального времени. На самом деле этот аспект информационных систем относится уже к режимам функционирования, а не их назначению, поскольку системой реального времени могут быть , и различного рода , в том числе . Диспетчерские системы, работающие в режиме реального времени относят к классу SCADA систем (Supervisory Control And Data Acquisition), которые обязаны обмениваться данными с объектами диспетчеризации строго в соответствии с установленными временными ограничениями.

Если данная статья помогла вам понять, что такое информационная система, и вас интересует, где можно заказать разработку и внедрение автоматизированных информационных систем под ваши требования, то приведенный ниже сайт должен помочь вам этом.


itconcord.ru - создание информационных систем для вашего бизнеса.

Классификация ИС. Понятие проекта и проектирования. Введение в методологию построения информационных систем. Объекты и субъекты проектирования ИС.

Классификация методов и средств проектирования ИС. Основные задачи курса

1.1. Понятие информационной системы
Для определения состава и структуры систем и, в частности, информационных, приведем основные понятия (слайд 2) .

Система – совокупность взаимосвязанных элементов, образующая определенную целостность.

Целостность системы – проявление свойства эмерджентности , отражающего принципиальную несводимость свойств системы к сумме свойств отдельных ее элементов, и в то же время зависимость свойств каждого элемента от его места и функции внутри системы.

Элемент системы – часть системы, имеющая определенное функциональное назначение. При этом отдельный элемент какой-либо системы (как и сама система) может также быть элементом другой системы. Сложные элементы систем, в свою очередь состоящие из взаимосвязанных более простых элементов, называют подсистемами .

Структура системы – состав, порядок и принципы взаимодействия элементов системы, определяющие основные свойства системы. Структура – это та часть свойств, которая остается в системе неизменной при изменении ее состояния.

Архитектура системы – совокупность свойств системы, существенных для организации взаимодействия ее составляющих.

Системы значительно отличаются между собой как по составу, так и по целям. Примеры систем, состоящих из разных элементов и направленных на реализацию разных целей, представлены на слайде 3 .


Информационная система (ИС) – это комплекс, состоящий из информационного фонда, а также средств, методов, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели (слайд 4) .

Очевидно, многие элементы системы (см. слайд 4 ) являются необязательными. Например, модель объекта может отсутствовать либо отождествляться с базой данных (БД), которая часто интерпретируется как информационная модель предметной области - структурная (для случая табличных, фактографических БД) или содержательная (для случая документальных БД ). Модель объекта и БД могут отсутствовать (а соответственно и процессы хранения и поиска данных), если система осуществляет динамическое преобразование информации и формирование выходных документов, без сохранения исходной, промежуточной, результирующей информации. Но отметим, что если и преобразование данных также отсутствует , то подобный объект не является ИС (он не выполняет информационной деятельности ), и следовательно он должен быть отнесен к другим классам систем (например, канал передачи информации и т. п.). Процессы ввода и сбора данных также являются необязательными, поскольку вся необходимая и достаточная для функционирования АИС информация может уже находиться в БД и составе модели, и т. д.

Приведенное определение информационной системы связано с привычной, но, тем не менее, особой формой целенаправленной деятельности человека - обработкой информации, обеспечивающей повышение эффективности решения задач его основной деятельности. Понятие «системности» здесь присутствует неявно и отражает существо функциональности : состав и структура ИС определяется, исходя из требований к уровню эффективности обслуживания информационных потребностей , прежде всего в части нахождения и обработки тех записей информационного фонда, которые содержат сведения, нужные для эффективного выполнения и управления процессами в сфере основной деятельности. Таким образом, информационная система имеет следующие свойства (слайд 4) :


• 
  любая информационная система может быть подвергнута анализу, построена и управляема на основе общих принципов построения систем;
• 
  информационная система является динамичной и развивающейся;
• 
  при построении информационной системы необходимо использовать системный подход;
• 
  информационную систему, так или иначе, следует воспринимать как человеко-машинную систему.

Информация как основной объект обработки ИС

Поскольку основным объектом и продуктом функционирования ИС является информация, необходимо дать определение понятий «данные» и «информация»;

Конструктивность такого определения состоит не столько в том, чтобы декларировать, что контекст есть и его надо использовать (обрабатывать), сколько в том, что система берет данные (сигналы, величины и т.д.) из бесконечно большого множества данных окружающей среды. Следовательно, необходимо выбрать только те, которые соответствуют контексту, т.е. необходимы и достаточны для решения конкретной задачи . Очевидно, что данные в этом случае должны обладать, а точнее (вследствие элементарности (атомарности) того, что называется «данное») должны быть связаны с контекстом, который обычно задается в виде набора отличительных признаков, которые, в свою очередь, также представляют собой некоторый набор данных. Далее для некоторой целевой обработки эти данные обрабатываются прикладной программой (данные связываются с методом обработки, являющимся одной из форм задания контекста) и, в итоге, полученный результат (тоже данные) должен быть связан со способом его использования, что и обеспечит действенность информации для «конечного пользователя» в реальности.

Отсюда следует важный вывод, который предопределяет не только отличия ИС от СУБД, но и подходы к проектированию систем автоматизированной обработки информации: ИС, помимо средств преобразования данных, так или иначе, имеет средства хранения и обработки контекста (при этом контекст – это, естественно, тоже данные, но выполняющие роль метаданных – данных о характере обрабатываемых данных), в том числе, как самостоятельного объекта.
Если бы назначением информационных систем было только хранение и поиск данных в массивах записей, то структура системы и базы данных была бы простой. Причина сложности в том, что практически любой объект характеризуется не только параметрами-величинами, но и взаимосвязями частей или состояний. Кроме того, как отмечалось выше, сам по себе отдельный элемент данных (величина) приобретает смысл (значение) только тогда, когда связан с природой значения (соответственно, другими элементами данных), что и позволит его интерпретировать.

Поэтому физическому размещению данных (и, соответственно, определению структуры физической записи) должно предшествовать описание логической структуры предметной области – построение модели соответствующего фрагмента реального мира, выделяющей только те объекты, которые будут интересны будущим пользователям, и представленные только теми параметрами, которые будут значимы при решении прикладных задач. Такая модель будет иметь очень мало физического сходства с реальностью, но будет полезна как представление пользователя о реальном мире . Причем это представление будет задаваться для неадекватной человеку жесткой вычислительной среды с числовым представлением информации, но описываться удобными для пользователя средствами.

Такой подход является компромиссом: за счет предварительно определяемого множества абстракций , общих для большинства задач обработки данных, обеспечивается возможность построения надежных программ обработки. Пользователь, используя ограниченное множество формальных, но достаточно знакомых понятий , выделяя сущности и связи, описывает объекты и связи предметной области; программист, используя такие типовые абстрактные понятия (как, например, числа, множества, агрегаты данных), определяет соответствующие информационные структуры. Система управления данными, используя двоичные формы представления типизированных данных, обеспечивает эффективные процедуры хранения и обработки данных.

При любом методе отображения предметной области в машинных базах данных (БД) в основе отображения лежит фиксация (кодирование) понятий и отношений между понятиями. Абстрактное понятие структуры ближе всего находится к так называемой концептуальной модели предметной среды и часто лежит в основе последней.

Понятие структуры используется на всех уровнях представления предметной области и реализуется как:


• 
  структура информации – схематичная форма (обеспечивающая переход к атрибутивная форме) представления сложных композиционных объектов и связей реальной предметной области (ПрО), выделяемых как актуально необходимые для решения прикладных задач, в общем случае без учета того, будут ли для ее решения использованы средства программирования и вычислительные машины. Эффективность здесь определяется уровнем абстрагирования, а также полнотой и точностью представления свойств посредством выбранной системы характеристик;
• 
  структура данных - атрибутивная форма представления свойств и связей ПрО, ориентированная на выражение описания данных средствами формальных языков (т. е. учитывающая возможности и ограничения конкретных средств с целью сведения описаний к стандартным типам и регулярным связям). Эффективность в этом случае связывается с процессом построения программы («решателя» прикладной задачи) и, в каком-то смысле – с эффективностью работы программиста;
• 
  структура записей – целесообразная (учитывающая особенности физической среды) реализация способов хранения данных и организации доступа к ним как на уровне отдельных записей, так и их элементов. Эффективность в этом случае связывается с процессами обмена между устройствами оперативной и внешней памяти и обеспечивается избыточностью данных, искусственно вводимой для обеспечения функциональной эффективности отдельных операций (например, поиска по ключам).

Основные компоненты ИС (слайд 6)

Основной и определяющей составляющей любой информационной системы являются функционально взаимосвязанные комплексы данных и процедур их обработки. Отметим, что эти комплексы ни по отдельности, ни вместе еще не создают той целостности , которая свойственна системам. Системные свойства проявляются, когда ИС рассматривается в динамике взаимосвязи со средой, т. е. когда существенными становятся факторы управляемости и адаптивности к изменяющимся внешним условиям, устойчивости во времени. Именно поэтому любая система, помимо функциональных компонент - основных с точки зрения назначения системы, необходимо включает организационные и обеспечивающие компоненты, назначением которых является создание необходимых условий для функционирования, и в том числе формирование субъектов управления. В свою очередь, ИС – это составная часть некоторой большей системы, обеспечивающая достижение какой-либо конкретной цели в деятельности человека.


Функциональные подсистемы реализуют и поддерживают модели, методы и алгоритмы обработки информации и формирования управляющих воздействий в рамках задач предметной области, т. е. состав и назначение функциональных подсистем зависит от предметной области особенностей использования ИС. На (слайде 6) перечислены некоторые области, функциональность которых кажется достаточно очевидной. Отметим только, что подсистема информационной поддержки так или иначе есть в составе любой деятельности, так как именно она определяет качество выполнения научно-исследовательских (в том числе маркетинговых) работ, конструкторскую и технологическую подготовку производства.

Состав обеспечивающих подсистем достаточно стабилен и обычно мало зависит от предметной области использования ИС. Отметим следующие компоненты:

• 
  информационное обеспечение (информационный фонд) , совокупность данных, определяющих не только практически значимую (целевую) информацию, но и способы ее организации (метаинформацию ), а также форму представления;
• 
  техническое обеспечение - физические компоненты системы, такие как внешняя память, технические и вычислительные средства, обеспечивающие непосредственно обработку и взаимодействие пользователя с ИС;
• 
  программное обеспечение – совокупность программных компонент регулярного применения, необходимых для решения функциональных задач и программ, позволяющих наиболее эффективно использовать вычислительную технику, обеспечивая пользователям наибольшие удобства в работе;
• 
  математическое обеспечение – совокупность методов, моделей и алгоритмов функциональной (целевой) обработки информации, используемых в системе;
• 
  лингвистическое обеспечение (ЛО) – это совокупность языковых средств, обеспечивающих гибкость и многоуровневость представления и обработки информации в АИС. Обычно ЛО включает языки запросов и отчетов, специальные языки определения и управления данными, обеспечивающие адекватность внутреннего представления и согласование внутреннего и внешнего представлений. ЛО в наибольшей степени зависит от особенностей предметной области.
Организационные подсистемы также относятся к обеспечивающим, но направлены в первую очередь на обеспечение эффективной работы персонала и системы в целом, поэтому могут быть выделены отдельно. Отметим, что разработка ИС должна начинаться именно с организационного обеспечения: обоснования целесообразности системы, экономических показателей, определяющих ее деятельность, состава функциональных подсистем, организационной структуры управления, технологических схем преобразования информации, порядка проведения работ и т. д.

В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные. Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.

Работа всех информационных систем в РФ определяется Федеральным законом от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). В статье 14 этого закона дается подробное описание ГИСов. К операторам государственных ИС, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные в Приказе ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Напомним, что оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).

Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите. Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон. Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.

На практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять. Тем не менее план проверок контролирующих органов растет, планомерно увеличиваются штрафы.

Как отличить ГИС от неГИС

Государственная информационная система создается, когда необходимо обеспечить:

• реализацию полномочий госорганов;
• информационный обмен между госорганами;
• достижение иных установленных федеральными законами целей.

Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

1. Узнать, есть ли законодательный акт, предписывающий создание информационной системы.
2. Проверить наличие системы в Реестре федеральных государственных информационных систем . Подобные реестры существуют на уровне субъектов Федерации.
3. Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует. Например, каждая администрация Республики Башкортостан имеет свой устав, который в том числе описывает полномочия органов местного самоуправления. ИС «Учет граждан, нуждающихся в жилых помещениях на территории Республики Башкортостан» создана для реализации таких полномочий администраций, как «принятие и организация выполнения планов и программ комплексного социально-экономического развития муниципального района», и является ГИС.

Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).

Это ГИС. Что делать?

Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

• формирование требований к защите информации, содержащейся в информационной системе;
• разработка системы защиты информации информационной системы;
• внедрение системы защиты информации информационной системы;
• аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;
• обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
• обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

1. Провести классификацию ИС и определить угрозы безопасности.

Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

Угрозы безопасности информации определяются по результатам

• оценки возможностей нарушителей;
• анализа возможных уязвимостей информационной системы;
• анализа (или моделирования) возможных способов реализации угроз безопасности информации;
• оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

2. Сформировать требования к системе обработки информации.

Требования к системе должны содержать:

• цель и задачи обеспечения защиты информации в информационной системе;
• класс защищенности информационной системы;
• перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
• перечень объектов защиты информационной системы;
• требования к мерам и средствам защиты информации, применяемым в информационной системе.

3. Разработать систему защиты информации информационной системы.

Для этого необходимо провести:

• проектирование системы защиты информации информационной системы;
• разработку эксплуатационной документации на систему защиты информации информационной системы;
• макетирование и тестирование системы защиты информации информационной системы.

4. Провести внедрение системы защиты информации информационной системы, а именно:

• установку и настройку средств защиты информации в информационной системе;
• разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
• внедрение организационных мер защиты информации;
• предварительные испытания системы защиты информации информационной системы;
• опытную эксплуатацию системы защиты информации информационной системы;
• проверку построенной системы защиты информации на уязвимость;
• приемочные испытания системы защиты информации информационной системы.

5. Аттестовать ИСПДн:

• провести аттестационные испытания;
• получить на руки аттестат соответствия.

Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому операторы ГИС зачастую пренебрегают внедрением средств защиты. Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ. При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

Олег Нечеухин , эксперт по защите информационных систем, «Контур-Безопасность»