Яка система називається інформаційною. Державні інформаційні системи (ГІСи): практичні питання захисту інформації

10. Інформаційні системи

1. Інформаційні системи: визначення, ціль створення, структура.

2. Базові засади розробки ІВ

3. Класифікація інформаційних систем.

4. Системи класифікації та кодування економічної інформації.

Класи ІС: MR I, MRP II, ERP

1. Інформаційні системи: визначення, ціль створення, структура.

Інформація- це деякі відомості, знання про об'єкти та процеси реального світу. Економічна інформація відображається зазвичай у вигляді документів.

Документ - це матеріальний носій інформації, що має юридичну силу та оформлений у порядку.

Система - Це комплекс взаємозалежних засобів, які виступають як єдине ціле. Кожна система характеризується структурою, вхідними та вихідними потоками, метою та обмеженнями, законом функціонування.

Система охоплює комплекс взаємозалежних елементів, що діють як єдине ціле у досягненні поставленої мети.

Кожна система включає компоненти

1.Структура системи – це безліч елементів системи та взаємозв'язків між ними.

2. Функції кожного елемента системи

3. Вхід та вихід кожного елемента та системи в цілому.

4. Цілі та обмеження системи та її окремих елементів (досягнення зменшення витрат та збільшення прибутку)

Кожна система має властивості ділимості та цілісності.

ІС забезпечує збирання, зберігання, переробку інформації про об'єкт постачають працівників різного рангу інформацією для реалізації функцій управління.

ЕІС – це система, функціонування якої полягає у збиранні, зберіганні, обробці та поширенні інформації про діяльність будь-якого економічного об'єкта реального світу.

ЕІС призначені на вирішення завдань обробки даних автоматизації діловодства, виконання пошуку інформації та окремих завдань, заснованих на методах штучного інтелекту (з лекцій).

Інформаційна система (ІВ) - це програмно-апаратний комплекс, призначений для автоматизованого збору, зберігання, обробки та видачі інформації. Зазвичай ІС мають справу з великими обсягами інформації, що має досить складну структуру. Класичними прикладами інформаційних систем є банківські системи, системи продажу квитків на транспорті та ін.

ІС завжди спеціалізується на інформації з певної галузі реального світу: економіки, техніки, медицини тощо. Частина реального світу, що відображається в ІВ, називається предметною областю . Тому економічні ІВ - це ІВ, предметною областю яких є економіка. У цьому сенсі вона постає як інформаційна модель предметної галузі.

Будь-якій системі управління економічним об'єктом відповідає своя інформаційна система, яка називається економічною інформаційною системою.

Економічна інформаційна система (ЕІС) - це сукупності внутрішніх та зовнішніх потоків прямого та зворотного інформаційного зв'язку економічного об'єкта, методів, засобів, фахівців, що беруть участь у процесі обробки інформації та вироблення управлінських рішень.

Інформаційна система є системою інформаційного обслуговування працівників управлінських служб та виконує технологічні функції з накопичення, зберігання, передачі та обробки інформації. Вона складається, формується та функціонує в регламенті, визначеному методами та структурою управлінської діяльності, прийнятої на конкретному економічному об'єкті, реалізує цілі та завдання, що стоять перед ним.

Структура ІВ

Найбільш загальним поділом підсистем ЕІС є виділення забезпечує та функціональної частин. Функціональна частина є моделлю системи управління об'єктом. Стосовно систем управління ознакою структуризації можуть бути функції управління об'єктом, відповідно до яких ЕІС складається з функціональних підсистем. Забезпечувальна частина ЕІС складається з інформаційного, технічного, програмного, організаційного, правового та інших видів забезпечення.

Незалежно від ознак будь-яка ЕІС складається з функціональної та забезпечує частин. Функціональна частина визначається сукупністю розв'язуваних завдань, виділених за певними видами діяльності різних об'єктів господарювання (за функціями).

Забезпечуюча частина є комплексом взаємопов'язаних засобів певного виду, які забезпечують функціонування системи в цілому або її окремі елементи. До підсистем, що забезпечують: інформаційне забезпечення ІВ, технічне забезпечення ТО, математичне забезпечення МО, правове забезпечення Прав.О, програмне забезпечення ПЗ, організаційне забезпечення Орг.О, технологічне забезпечення Тех.О

ІО – сукупність єдиної системи класифікації та кодування інформації систем документації, що уніфікуються, схем інформаційних потоків, що циркулюють в організаціях, а також методологія побудови БД ІО підрозділяється на позамашинне та внутрішньомашинне.

Немашинна система документації, що уніфікується, а також систему класифікації та кодування облікової інформації.

Внутрішньомашинне - документи та масиви документів, що знаходяться в пам'яті ЕОМ у вигляді бібліотек, архівів, БД, баз знань.

ТО - комплекс технічних засобів, призначених для роботи ІВ, а також відповідна документація на ці засоби та технологічні процеси.

Тех.О – орієнтовано на обрану інформаційну технологію введення реєстрації передачі, обробки та видачі результативної інформації. (Централізована, розподілена, децентралізована)

ПЗ – входять: загальносистемні та спеціальні програмні продукти, а також технічна документація (ОС, оболонки, програми….)

Мат.О. – сукупність математичних методів, моделей, алгоритмів для реалізації цілей та завдань ІВ, а також функціонування комплексу технічних засобів.

Орг.О – сукупність методів і засобів, що регламентують взаємодію працівників з технічними засобами та між собою у процесі розробки та експлуатації ІВ.

Прав.О. – сукупність правових норм, що визначають створення юридичного статусу та функціонування ІВ, що регламентує порядок отримання перетворення та використання інформації. (З лекцій)

Структура інформації включає у сукупність такі поняття: інформаційний простір, предметна область, об'єкт, екземпляр об'єкта, властивості об'єкта, взаємодія об'єктів і властивості взаємодії. Описати предметну область – це означає перерахувати об'єкти і взаємозв'язку з-поміж них, а потім описати їх атрибутами і складовими одиницями інформації.

Структура економічної інформації досить складна і може включати різні комбінації інформаційних сукупностей, які мають певний зміст. Під інформаційною сукупністю розуміється група даних, що характеризують об'єкт, процес, операцію. За структурним складом інформаційні сукупності можна поділити на:

    реквізити,

    показники,

    Інформаційна система- Це система програмного, апаратного та організаційного забезпечення, що вирішує завдання інформаційного супроводу різних сфер діяльності людини. Таким чином, інформаційна система включає не тільки працюючі програмні додатки, а й комп'ютери, комунікаційне обладнання, бази даних, а також персонал, що обслуговує систему і взаємодіє з ним за певним регламентом.

    Існує досить багато способів класифікацій інформаційних систем, але кожен із них характеризує лише окремі її аспекти. Наприклад, інформаційні системи поділяють на автоматизовані системи, що функціонують під контролем та за участю людини; і автоматичні системипрацюють без втручання з боку людей. Великі інформаційні системи можуть включати як автоматизовані підсистеми, так і підсистеми, що працюють в автоматичному, а то і в повністю автономному режимі. Також, інформаційні системи класифікують за їх архітектурою, сферою застосування, регламентами використання тощо. У цьому розділі хочу зупинитися на класифікації інформаційних систем за призначенням та вимогам до режиму їх функціонування.

    Класифікація інформаційних систем

    Інформаційно-пошукові системи.Власне, з назви все зрозуміло: регулярний користувач такої системи має можливість здійснювати пошук та перегляд потрібної інформації. Приклад – це , такі як Google чи Яндекс.

    Системи обробки даних.Такі системи, крім інформаційно-пошукових функцій дозволяють змінювати дані, що знаходяться під їх керуванням. Тут можна виділити такі види інформаційних систем:

    1. Автоматизовані системи керування (АСУ)

      Досить широкий клас інформаційних систем, створюваних керувати великим підприємством. Системи управління можуть бути різного масштабу: від автоматизованої системи управління всім підприємством (АСУП), до управління окремими його технологічними процесами (АСУ ТП), фінансового управління або автоматизації бухгалтерського обліку. До складу систем управління рівня підприємства входять компоненти програмних комплексів класу ERP (Enterprise Resource Planning), які застосовуються для планування та інформаційного супроводу процесів управління з виробництва. Приклади ERP: вітчизняний продукт "1С Підприємство" та зарубіжний SAP ERP, компанії SAP AG (Німеччина).


    2. Диспетчерські системи

      Диспетчерські системи входять до складу систем управління та використовуються для віддаленого контролю за використанням виробничих активів (устаткування) підприємства та оперативного управління цими активами. Особливості таких систем у тому, що вони повинні забезпечувати режим централізованого моніторингу за всіма об'єктами, що спостерігаються, шляхом оперативного обміну з цими об'єктами інформацією та зведенням цієї інформації на центральних диспетчерських пристроях введення/виведення. На основі таких даних диспетчер приймає рішення щодо оперативного управління технологічними процесами, до яких залучені об'єкти диспетчеризації.


    3. Системи підтримки прийняття рішення чи експертні системи

      Експертні системи належать до класу систем штучного інтелекту. Вони працюють з базами знань та вміють на основі цих знань робити певні висновки. Системи підтримки прийняття рішень здатні на основі закладених у них математичних моделей імітувати реальні ситуації та прогнозувати їх розвиток. Такі системи також можуть бути частиною, оскільки є незамінним інструментом для вирішення завдань планування.


    4. Системи, що дозволяють організувати збирання, зберігання та візуалізацію просторових даних. Просторові дані – це об'єкти, що описуються як набором атрибутів, а й геометрією. У ГІС виділяють точкову геометрію, коли має значення лише місце розташування об'єкта (стовп, дерево), лінійну геометрію, коли також важлива протяжність і лінійна конфігурація об'єкта (різні шляхопроводи) і площу геометрію, що дозволяє уявити об'єкт у контексті ГІС повною мірою (ліси, озера , будови). Візуалізація просторових даних у ГІС найчастіше виконана як двомірних графічних карт. Карти зазвичай створюється і налаштовується для різних масштабом і, як наслідок, з різним ступенем деталізації, тому одні й самі об'єкти одному масштабі можуть бути представлені точками, але в іншому – площадними об'єктами. Деякі ГІС для зберігання даних використовують файли власних форматів, а деякі з цих цілей використовують . Геоінформаційні системи дозволяють не тільки редагувати і переглядати просторові дані, але й виконувати просторові запити до них, наприклад, вибрати всі об'єкти на певній території або відібрати всі об'єкти конкретного класу, що перетинаються. Ці можливості належать до засобів аналізу просторових даних ГІС. Найбільш відомими принаймні в Росії є ГІС, пропоновані компаніями ESRI (ArcGIS), Intergraph (Geomedia) та MapInfo Corporation (MapInfo).


    5. Системи автоматизованого проектування (САПР)

      Системи призначені для автоматизації процесів інженерного проектування. В англійській для позначення цих систем використовується абревіатура CAD (computer-aided design). За допомогою САПР створюють електронні версії різноманітних інженерної документації, представленої найчастіше кресленнями об'єктів проектування у двох або тривимірному поданні. Найбільш відомим представником САПР у Росії є програмний продукт AutoCAD компанії Autodesk.


    6. Системи управління базами даних (СУБД)

      Системи цього класу найчастіше виступають у ролі підсистем бази даних інших інформаційних систем. З їхньої назви все зрозуміло: вони використовуються для управління великими масивами структурованих даних, і в їх завдання входить додавання, видалення, редагування даних в інформаційному сховищі та обробці. бувають настільними (Microsoft Access), та розподіленими, здатними керувати обсягами даних великого підприємства (Microsoft SQL Server, Oracle).


    7. Системи керування вмістом ( , Content management system)

      Призначення цих інформаційних систем – надавати адміністратору можливість введення різної інформації через визначені форми користувача, розміщувати (публікувати) цю інформацію відповідно до заданих шаблонів та організовувати до неї доступ користувачів у вільному режимі або з попередньою реєстрацією. Достатньо багато створюється саме за допомогою CMS. Найбільш відомі з них WordPress, Joomla та Drupal. Найчастіше, користувачам таких систем навіть не потрібно – за них потрібну інтернет-сторінку самостійно створить CMS, а їм необхідно буде лише вибрати тип сторінки (новини, огляд, стаття тощо), ввести текст та натиснути щось на кшталт “Опублікувати” . Безумовно, цим функціональність більш менш серйозних інформаційних систем цього класу не обмежується. Найбільш відомою комерційною CMS вітчизняного виробництва є 1С-Бітрікс.


    8. Операційні системи (Operating System)

      представник системного програмного забезпечення (system software). Системне і прикладне (application software) програмне забезпечення (ПЗ) відрізняються один від одного способом використання апаратних ресурсів обчислювальної техніки: системне ПЗ використовує ресурси через вбудоване в ці ресурси допоміжне ПЗ (firmware), а прикладне ПЗ вже через програмні інтерфейси системного ПЗ. Операційні системи покликані керувати всіма та планувати використання його ресурсів прикладними програмами. Найбільш відомими представниками операційних систем є Microsoft Windows та системи класу UNIX та подібні до них, такі як Linux, Mac OS, Android та інші.


    9. Системи реального часу

      Системи реального часу, це такі системи, якість роботи яких визначається не тільки тим, що їх функції працюють коректно з точки зору закладеної в них логіки, але завершують свою роботу у встановлені часові межі. Система реального часу не може собі дозволити затримки реагування на передбачені зовнішні дії. Іншими словами, така система може перервати поточні обчислення, якщо вони не дозволяють адекватно обробляти сигнали, що надходять до неї як реальний час. Насправді цей аспект інформаційних систем відноситься до режимів функціонування, а не їх призначення, оскільки системою реального часу можуть бути , і різного роду , в тому числі . Диспетчерські системи, які у режимі реального часу відносять до класу SCADA систем (Supervisory Control And Data Acquisition), які мають обмінюватися даними з об'єктами диспетчеризації суворо відповідно до встановленими часовими обмеженнями.

    Якщо ця стаття допомогла вам зрозуміти, що таке інформаційна система, і вас цікавить, де можна замовити розробку та впровадження автоматизованих інформаційних систем під ваші вимоги, то наведений нижче сайт має допомогти вам.


    itconcord.ru – створення інформаційних систем для вашого бізнесу.

    Класифікація ІВ. Поняття проекту та проектування. Введення у методологію побудови інформаційних систем. Об'єкти та суб'єкти проектування ІС.

    Класифікація методів та засобів проектування ІС. Основні завдання курсу

    1.1. Поняття інформаційної системи
    Для визначення складу та структури систем і, зокрема, інформаційних, наведемо основні поняття (слайд 2) .

    Система- Сукупність взаємопов'язаних елементів, що утворює певну цілісність.

    Цілісність системи- Вияв якості емерджентності, що відбиває принципову незводність властивостей системи до суми властивостей окремих її елементів, й те водночас залежність властивостей кожного елемента від місця і функції усередині системи.

    Елемент системи –частина системи, має певне функціональне призначення. При цьому окремий елемент будь-якої системи (як і сама система) може бути елементом іншої системи. Складні елементи систем, що у свою чергу складаються з взаємопов'язаних більш простих елементів, називають підсистемами.

    Структура системи –склад, порядок та принципи взаємодії елементів системи, що визначають основні властивості системи. Структура - Це та частина властивостей, яка залишається в системі незмінною при зміні її стану.

    Архітектура системи –сукупність властивостей системи, суттєвих для організації взаємодії її складових.

    Системи значно відрізняються між собою як за складом, так і за цілями. Приклади систем, що складаються з різних елементів і спрямованих на реалізацію різних цілей, представлені на слайді 3 .


    Інформаційна система (ІВ)– це комплекс, що складається з інформаційного фонду, а також засобів, методів, що використовуються для зберігання, обробки та видачі інформації на користь досягнення поставленої мети (слайд 4) .

    Вочевидь, багато елементів системи (див. слайд 4 ) є необов'язковими. Наприклад, модель об'єкта може бути або ототожнюватися з базою даних (БД), яка часто інтерпретується як інформаційна модель предметної галузі- структурна (для випадку табличних, фактографічнихБД) або змістовна (для випадку документальних БД). Модель об'єкта та БД можуть бути відсутніми (а відповідно і процеси зберігання та пошуку даних), якщо система здійснює динамічне перетворення інформації та формування вихідних документів, без збереження вихідної, проміжної, результуючої інформації. Але зазначимо, що якщо і перетворення даних також відсутнє, то подібний об'єкт не є ІВ (він не виконує інформаційної діяльності), і отже він має бути віднесений до інших класів систем (наприклад, канал передачі інформації тощо). Процеси введення та збору даних також є необов'язковими, оскільки вся необхідна та достатнядля функціонування АІС інформація може перебувати в БД і складі моделі, тощо.

    Наведене визначення інформаційної системи пов'язане зі звичною, проте особливою формою цілеспрямованої діяльності людини - обробкою інформації, що забезпечує підвищення ефективності вирішення завдань її основної діяльності. Поняття «системності» тут є неявним і відображає істоту функціональності: склад і структура ІС визначається, виходячи з вимог до рівня ефективності обслуговування інформаційних потреб, насамперед у частині знаходження та опрацювання тих записів інформаційного фонду, які містять відомості, необхідні для ефективноговиконання та управління процесами у сфері основної діяльності. Таким чином, інформаційна система має такі властивості (слайд 4) :


    • будь-яка інформаційна система може бути піддана аналізу, побудована та керована на основі загальних принципів побудови систем;

    • інформаційна система є динамічною та розвивається;

    • при розбудові інформаційної системи необхідно використовувати системний підхід;

    • інформаційну систему, однак, слід сприймати як людино-машинну систему.

    Інформація як основний об'єкт обробки ІВ

    Оскільки основним об'єктом та продуктом функціонування ІВ є інформація, необхідно дати визначення понять «дані» та «інформація»;

    Конструктивність такого визначення полягає не так у тому, щоб декларувати, що контекстє і його треба використовувати (обробляти), скільки в тому, що система бередані (сигнали, величини і т.д.) з нескінченно великої множини даних навколишнього середовища. Отже, необхідно вибратилише ті, що відповідають контексту, тобто. необхідні та достатні для вирішення конкретного завдання. Очевидно, що дані в цьому випадку повинні мати, а точніше (внаслідок елементарності (атомарності) того, що називається «дане») повинні бути пов'язані з контекстом, який зазвичай задається у вигляді набору відмітних ознак, які, у свою чергу, також є деякий набір даних. Далі для деякої цільової обробки ці дані обробляються прикладною програмою (дані пов'язуються з методом обробки, що є однією з форм завдання контексту) і, в результаті, отриманий результат (теж дані) повинен бути пов'язаний зі способом його використання, що забезпечить дієвість інформації для « кінцевого користувача» насправді.

    Звідси випливає важливий висновок, який визначає не тільки відмінності ІС від СУБД, але й підходи до проектування систем автоматизованої обробки інформації: ІС, крім засобів перетворення даних, так чи інакше, має засоби зберігання та обробки контексту (при цьому контекст – це, звичайно, теж дані, але виконують роль метаданих – даних характері оброблюваних даних), зокрема, як самостійного об'єкта.
    Якби призначенням інформаційних систем було лише зберігання та пошук даних у масивах записів, то структура системи та бази даних була б простою. Причина складності у цьому, що будь-який об'єкт характеризується як параметрами-величинами, а й взаємозв'язками частин чи станів. Крім того, як зазначалося вище, сам по собі окремий елемент даних (величина) набуває сенсу (значення) тільки тоді, коли пов'язаний з природою значення (відповідно, іншими елементами даних), що дозволить його інтерпретувати.

    Тому фізичне розміщення даних (і, відповідно, визначення структури фізичного запису) має передувати опис логічної структури предметної області - побудова моделівідповідного фрагмента реального світу, що виділяє ті об'єкти, які будуть цікаві майбутнім користувачам, і представлені лише тими параметрами, які будуть значимі під час вирішення прикладних завдань. Така модель матиме дуже мало фізичної схожості з реальністю, але буде корисною як поданнякористувача про реальний світ. Причому це уявлення задаватиметься для неадекватною людиніжорсткого обчислювального середовища з числовим поданням інформації, але описуватися зручними для користувачазасобами.

    Такий підхід є компромісом: за рахунок попередньо визначеної множини абстракцій, загальних більшість завдань обробки даних, забезпечується можливість побудови надійнихпрограм обробки. Користувач, використовуючи обмежена безліч формальних, але досить знайомих понять, виділяючи сутності та зв'язку, описує об'єкти та зв'язки предметної області; програміст, використовуючи такі типові абстрактні поняття(як, наприклад, числа, множини, агрегати даних), визначає відповідні інформаційні структури. Система управління даними, використовуючи двійкові форми подання типізованихданих, забезпечує ефективні процедури зберігання та обробки даних.

    За будь-якого методу відображення предметної області в машинних базах даних (БД) в основі відображення лежить фіксація (кодування) понять та відносин між поняттями. Абстрактне поняття структуриНайближче знаходиться до так званої концептуальної моделі предметного середовища і часто лежить в основі останньої.

    Поняття структури використовується на всіх рівнях уявлення предметної галузі та реалізується як:


    • структура інформації– схематична форма (що забезпечує перехід до атрибутивної форми) подання складних композиційних об'єктів та зв'язків реальної предметної області (ПрО), що виділяються як актуально необхідні для вирішення прикладних завдань, у загальному випадку без урахування того, чи будуть для її вирішення використані засоби програмування та обчислювальні машини . Ефективність тут визначається рівнем абстрагування, а також повнотою та точністю представлення властивостей у вигляді обраної системи характеристик;

    • структура даних- атрибутивна форма подання властивостей та зв'язків ПрО, орієнтована на вираження опису даних засобами формальних мов (тобто враховує можливості та обмеження конкретних засобів з метою зведення описів до стандартних типів та регулярних зв'язків). Ефективність у разі пов'язується з процесом побудови програми («рішителя» прикладної завдання) і, у сенсі – з ефективністю роботи програміста;

    • структура записів- Доцільна (що враховує особливості фізичного середовища) реалізація способів зберігання даних та організації доступу до них як на рівні окремих записів, так і їх елементів. Ефективність у цьому випадку пов'язується з процесами обміну між пристроями оперативної та зовнішньої пам'яті та забезпечується надмірністю даних, що штучно вводиться для забезпечення функціональної ефективності окремих операцій (наприклад, пошуку по ключах).

    Основні компоненти ІС(слайд 6)

    Основною та визначальною складовою будь-якої інформаційної системи є функціонально взаємопов'язані комплекси даних та процедурїхня обробка. Зазначимо, що ці комплекси ні окремо, ні разом ще не створюють тієї цілісностіяка властива системам. Системні властивості виявляються, коли ІВ розглядається в динаміці взаємозв'язку з середовищем, тобто коли суттєвими стають фактори керованості та адаптивності до зовнішніх умов, що змінюються, стійкості в часі. Саме тому будь-яка система, крім функціональних компонент - основних з погляду призначення системи, необхідно включає організаційні і компоненти, призначенням яких є створення необхідних умов функціонування, й у тому числі формування суб'єктів управління. У свою чергу, ІС – це складова частина більшої системи, що забезпечує досягнення будь-якої конкретної мети в діяльності людини.


    Функціональні підсистемиреалізують та підтримують моделі, методи та алгоритми обробки інформації та формування керуючих впливів у рамках завдань предметної області, тобто склад та призначення функціональних підсистем залежить від предметної області особливостей використання ІВ. на (Слайді 6) перелічені деякі області, функціональність яких видається досить очевидною. Зазначимо лише, що підсистема інформаційної підтримкитак чи інакше є у складі будь-якої діяльності, оскільки саме вона визначає якість виконання науково-дослідних (у тому числі маркетингових) робіт, конструкторську та технологічну підготовку виробництва.

    склад забезпечують підсистемдосить стабільний і зазвичай мало залежить від предметної галузі використання ІВ. Зазначимо такі компоненти:


    • інформаційне забезпечення (інформаційний фонд), сукупність даних, визначальних як практично значиму (цільову) інформацію, а й методи її організації ( метаінформацію), а також форму подання;

    • технічне забезпечення- фізичні компоненти системи, такі як зовнішня пам'ять, технічні та обчислювальні засоби, що забезпечують безпосередньо обробку та взаємодію користувача з ІВ;

    • програмне забезпечення– сукупність програмних компонентів регулярного застосування, необхідних для вирішення функціональних завдань та програм, що дозволяють найбільш ефективно використовувати обчислювальну техніку, забезпечуючи користувачам найбільші зручності в роботі;

    • математичне забезпечення– сукупність методів, моделей та алгоритмів функціональної (цільової) обробки інформації, що використовуються в системі;

    • лінгвістичне забезпечення(ЛО) - це сукупність мовних засобів, що забезпечують гнучкість та багаторівневість подання та обробки інформації в АІС. Зазвичай ЛВ включає мови запитів та звітів, спеціальні мови визначення та управління даними, що забезпечують адекватність внутрішнього подання та узгодження внутрішнього та зовнішнього уявлень. ЛВ найбільше залежить від особливостей предметної області.
    Організаційні підсистемитакож відносяться до тих, хто забезпечує, але спрямовані в першу чергу на забезпечення ефективної роботи персоналу та системи в цілому, тому можуть бути виділені окремо. Зазначимо, що розробка ІВ має починатися саме з організаційного забезпечення: обґрунтування доцільності системи, економічних показників, що визначають її діяльність, складу функціональних підсистем, організаційної структури управління, технологічних схем перетворення інформації, порядку проведення робіт тощо.

    У РФ існує близько 100 державних інформаційних систем, вони поділяються на федеральні та регіональні. Організація, що з будь-якої з цих систем, зобов'язана виконувати вимоги до захисту даних, які у ній обробляються. Залежно від класифікації до різних інформаційних систем пред'являються різні вимоги, за недотримання яких застосовуються санкції — від штрафу до серйозніших заходів.

    Робота всіх інформаційних систем у РФ визначається Федеральним законом від 27.07.2006 № 149-ФЗ (ред. Від 21.07.2014) «Про інформацію, інформаційні технології та про захист інформації» (27 липня 2006 р.). У статті 14 цього закону дається докладний опис ДВС. До операторів державних ІВ, у яких ведеться обробка інформації обмеженого доступу (що не містить відомостей, що становлять державну таємницю), пред'являються вимоги, викладені у Наказі ФСТЕК Росії від 11 лютого 2013 р. № 17 «Про затвердження вимог щодо захисту інформації, яка не становить державної таємниці , що міститься у державних інформаційних системах».

    Нагадаємо, що оператор — громадянин або юридична особа, які здійснюють діяльність з експлуатації інформаційної системи, у тому числі щодо обробки інформації, що міститься в її базах даних.

    Якщо організація підключена до державної інформаційної системи, то наказ ФСТЕК № 17 зобов'язує атестувати систему, а захисту інформації повинні застосовуватися лише сертифіковані засоби захисту (мають діючі сертифікати ФСТЭК чи ФСБ).

    Непоодинокі випадки, коли оператор інформаційної системи помилково відносить її до ГІСів, у той час як вона такою не є. У результаті системі застосовуються надмірні заходи захисту. Наприклад, якщо помилково оператор інформаційної системи персональних даних класифікував її як державну, йому доведеться виконати жорсткіші вимоги до безпеки оброблюваної інформації, ніж вимагає закон. Тим часом, вимоги до захисту інформаційних систем персональних даних, які регулює наказ ФСТЕК № 21, менш жорсткі і не зобов'язують атестувати систему.

    На практиці не завжди зрозуміло, чи є система, до якої необхідно підключитися, державною, і, отже, які заходи щодо побудови захисту необхідно вжити. Проте план перевірок контролюючих органів зростає, планомірно зростають штрафи.

    Як відрізнити ГІС від неГІС

    Державна інформаційна система створюється, коли необхідно забезпечити:

    • реалізацію повноважень держорганів;
    • інформаційний обмін між державними органами;
    • досягнення інших встановлених федеральними законами цілей.

    Зрозуміти, що інформаційна система відноситься до державної, можна, використовуючи наступний алгоритм:

    1. Дізнатися, чи є законодавчий акт, який передбачає створення інформаційної системи.
    2. Перевірити наявність системи у Реєстрі федеральних державних інформаційних систем. Подібні реєстри існують лише на рівні суб'єктів Федерації.
    3. Звернути увагу призначення системи. Непрямою ознакою віднесення системи до ГІС буде опис повноважень, які вона реалізує. Наприклад, кожна адміністрація Республіки Башкортостан має свій статут, який зокрема описує повноваження органів місцевого самоврядування. ІС «Облік громадян, які потребують житлових приміщеннях біля Республіки Башкортостан» створена реалізації таких повноважень адміністрацій, як «прийняття та організація виконання планів і програм комплексного соціально-економічного розвитку муніципального району», і є ГИС.

    Якщо система передбачає обмін інформацією між держорганами, вона також із високою ймовірністю буде державною (наприклад, система міжвідомчого електронного документообігу).

    Це ГІС. Що робити?

    Наказ ФСТЕК 17 наказує проведення наступних заходів щодо захисту інформації до операторів ГІС:

    • формування вимог щодо захисту інформації, що міститься в інформаційній системі;
    • розроблення системи захисту інформації інформаційної системи;
    • впровадження системи захисту інформації інформаційної системи;
    • атестація інформаційної системи щодо вимог захисту інформації (далі — атестація ІСПДн) та введення її в дію;
    • забезпечення захисту інформації під час експлуатації атестованої інформаційної системи;
    • забезпечення захисту інформації під час виведення з експлуатації атестованої інформаційної системи або після ухвалення рішення про закінчення обробки інформації.

    Організації, які підключені до державних інформаційних систем, мають виконати такі дії:

    1. Провести класифікацію ІВ та визначити загрози безпеці.

    Класифікація ІС проводиться відповідно до пункту 14.2 17 наказу ФСТЕК.

    Загрози безпеки інформації визначаються за результатами

    • оцінки можливостей порушників;
    • аналізу можливих уразливостей інформаційної системи;
    • аналізу (або моделювання) можливих способів реалізації загроз безпеці інформації;
    • оцінки наслідків порушення властивостей безпеки інформації (конфіденційності, цілісності, доступності).

    2. Сформувати вимоги до системи обробки інформації.

    Вимоги до системи повинні містити:

    • мета та завдання забезпечення захисту інформації в інформаційній системі;
    • клас захищеності інформаційної системи;
    • перелік нормативних правових актів, методичних документів та національних стандартів, яким має відповідати інформаційна система;
    • перелік об'єктів захисту інформаційної системи;
    • вимоги до заходів та засобів захисту інформації, що застосовуються в інформаційній системі.

    3. Розробити систему захисту інформації інформаційної системи.

    Для цього необхідно провести:

    • проектування системи захисту інформації інформаційної системи;
    • розроблення експлуатаційної документації на систему захисту інформації інформаційної системи;
    • макетування та тестування системи захисту інформації інформаційної системи.

    4. Провести впровадження системи захисту інформації інформаційної системи, а саме:

    • встановлення та налаштування засобів захисту інформації в інформаційній системі;
    • розроблення документів, що визначають правила та процедури, що реалізуються оператором для забезпечення захисту інформації в інформаційній системі в ході її експлуатації (далі — організаційно-розпорядчі документи щодо захисту інформації);
    • впровадження організаційних заходів захисту інформації;
    • попередні випробування системи захисту інформації інформаційної системи;
    • дослідну експлуатацію системи захисту інформації інформаційної системи;
    • перевірку побудованої системи захисту на вразливість;
    • приймальні випробування системи захисту інформації інформаційної системи

    5. Атестувати ІСПДн:

    • провести атестаційні випробування;
    • отримати на руки атестат відповідності.

    Існує поширена думка, що для проходження перевірки контролюючих органів достатньо наявності організаційно-розпорядчих документів, тому оператори ДВС найчастіше нехтують впровадженням засобів захисту. Дійсно, Роскомнагляд приділяє пильну увагу саме документам та реалізації організаційно-розпорядчих заходів щодо захисту ПДН в організації. Однак у разі виникнення питань до перевірки можуть бути залучені фахівці з ФСТЕК та ФСБ. При цьому ФСТЕК дуже уважно дивиться на склад технічного захисту інформації та перевіряє правильність складання моделі загроз, а ФСБ перевіряє реалізацію вимог щодо використання засобів криптографічного захисту інформації.

    Олег Нечеухін, експерт із захисту інформаційних систем, «Контур-Безпека»



ПОХОДЖЕННЯ СТАТТІ