Вариант 2. Принтер устанавливается на рабочее место кладовщика на удаленном складе. Локальной сети на складе нет и сбой принтера приводит к остановке работы по выписке накладных. Цену такого простоя мы определим в $10 в час.
Расчет ССВ сервиса печати для принтеров А и Б в расчете на месяц приведен в таблице 1. Выражения в каждой клетке таблицы приводят затраты на принтер к месячной базе (срок службы – 60 месяцев). Как видно из таблицы, при цене часа простоя $3 по критерию ССВ предпочтителен принтер А, при цене часа простоя $10 – принтер Б. Предположения примера вполне реалистичны, так что ССВ реальных принтеров т. н. начального уровня не будет существенно отличаться от приведенной.
Вариант 1 | Вариант 2 | |
Принтер А | 300/60+100*0,1+2*3 = 16 | 300/60+100*0,1+2*10=35 |
Принтер Б | 500/60+100*0,08+1*3 = 19,33 | 500/60+100*0,08+1*10=26,33 |
Литература Семь нот менеджмента (сборник), М.: , 1998 Berg T., Kirwin W., Redman. B., TCO: a Critical Tool for Measuring IT, Gartner Advisory Strategic Analysis Report, 12.10.1998. М. Кухаренко, Расходное место, «Эксперт-Алгоритм», №2, 21.06.99. www. dell. ru, Исследование общей стоимости владения (проект TCO). Microsoft, В реальных решениях заказчиков общая стоимость владения Microsoft SQL Server в 3,7 раза ниже, чем Oracle, www. citforum. ru, 1999. Rene Bonvanie, Look Carefully at Cost-of-Ownership Studies, www. , 2001. Rene Bonvanie, IBM’s Old Song about DB2 Is Still Off-Key, www. , 2001. IBM is low-cost database leader, analyst firms say, www. , 2001 Дэвид Легард, Современная технология выбирает сетевые компьютеры, Computerworld, #39, 1996 Эйприл Джекобс, Так ли уж дешевы сетевые компьютеры?, Computerworld, #45, 1996 Г. Кокинс, А. Страттон, Д. Хелблинг, Учебник по методологии функционального учета затрат, М.: ВИП «Анатех», 2000, 92 с. Erraguntla M., Bendjamin P., Mayer R. J., de Witt, P. S., Using SmartABC for Integrating Activity Based Costing with Activity Modeling, KBSI, 1998, www. Р. Фостер, Обновление производства: атакующие выигрывают, М: Прогресс, 1986., 286 с. , Управление производственными процессами в стандарте MRP II, ICL-КПО, 2001, www. cfin. ru
Глава 19. Обеспечение безопасности и надежности функционирования ИС 19.1. Источники и характеристика основных угроз безопасности
Понятие безопасности системы вообще и экономической системы в частности интуитивно достаточно ясно. Проблемы с обеспечением безопасности некоторого бизнес-процесса, конкретного объекта или человека возникают регулярно и решаются, по крайней мере, на уровне здравого смысла.
В то же время достаточно четко сформулировать понятие безопасности некоторой системы не просто. Ставить же задачу обеспечения безопасности функционирования какой-либо системы, не определив само понятие безопасности, неправильно, так как отсутствие ясного понимания цели проекта обычно ведет к нерациональному использованию ресурсов и, возможно, к срыву всего проекта. Поэтому на государственном уровне сформулированы и законодательно оформлены документы, определяющие концепцию национальной безопасности и концепцию экономической безопасности России.
В этих документах, а также во многих научных работах понятие безопасности связывается с защитой некоторых активов от угроз. Угрозы классифицируются в зависимости от возможности нанесения ущерба защищаемым активам. В качестве основных обычно рассматриваются угрозы, которые связаны с умышленными действиями или непреднамеренными действиями людей. Помимо угроз, связанных с деятельностью человека, существуют и рассматриваются угрозы, связанные с объективными процессами, происходящими в природе, такими, как стихийные бедствия, физические процессы, влияющие на распространение радиоволн и т. п.
Безопасность ИС можно определить как состояние защищенности ИС от угроз ее нормальному функционированию. Под защищенностью понимается наличие средств ИС и методов их применения, обеспечивающих снижение или ликвидацию негативных последствий, связанных с реализацией угроз. Изложенный подход к определению понятия безопасность ИС предполагает, что перечень и содержание угроз достаточно хорошо определены и достаточно стабильны во времени.
Некоторые сферы экономической деятельности, например, электронный бизнес, характеризуются высокой динамикой. Достаточно часто обновляется программное обеспечение, в том числе и программное обеспечение ИС, идет непрерывный поиск и внедрение новых аппаратных средств и методов взаимодействия с бизнес-партнерами и конечными пользователями, например, платежные системы, ориентированы на мобильные коммуникаторы. В этом случае возможен несколько иной подход к определению безопасности.
Безопасность ИС можно определить как свойство системы адаптироваться к агрессивным проявлениям среды, в которой функционирует система, обеспечивающее поддержку на экономически оправданном уровне характеристики качества системы. В сформулированном определении основной акцент делается не на перечне и содержании угроз, нейтрализация которых обеспечивается, а на особую характеристику качества системы. При этом основной критерий качества ИС является экономическим, т. е. оценка средств и методов обеспечения безопасности осуществляется на основе учета затрат на реализацию механизмов безопасности и потенциальных выгод от недопущения ущерба, связанного с целенаправленным или случайным агрессивным проявлением среды.
Уверенность в безопасности ИС может быть достигнута в результате согласованных действий, предпринимаемых в процессе разработки, оценки и эксплуатации объекта оценки. Функциональное назначение оценки безопасности ИС – получение определенной степени уверенности в том, насколько система удовлетворяет предъявляемым к ним требованиям. Результаты оценки должны помочь потребителю установить, достаточен ли уровень безопасности системы для предполагаемых применений этой системы, и являются ли приемлемыми остаточные риски.
Для того, чтобы обеспечить определенный уровень безопасности ИС необходимо понять природу возникающих угроз, основные методы, обеспечивающие снижение уровня уязвимости системы или технологии, и стоимость соответствующих решений, соотнесенную с уровнем безопасности, который обеспечивается решением.
Недостаточный уровень осознания лицами, принимающими решения, природы угроз и назначения и характеристик методов обеспечения безопасности приводит к широкому распространению различных заблуждений.
Независимо от принятого подхода к определению безопасности классификация угроз и их источников представляет самостоятельный интерес. Представленная классификация отражает накопленный опыт использования ИС, особенно в открытых системах и, в частности, Интернет.
Классификация по цели реализации угрозы:
Нарушение конфиденциальности информации, т. е. использование информации, хранящейся в ИС, лицами или процессами, которые не были определены владельцами информации;
Нарушение целостности информации; т. е. модификация или уничтожение информации для ее обесценивания путем утраты соответствия с состоянием моделируемых сущностей реального мира;
Полное или частичное работоспособности ИС за счет вывода из строя или некорректного изменение режимов работы компонентов ИС, включая их модификацию или подмену.
По характеру воздействия на ИС целесообразно выделить два варианта:
активное воздействие, т. е. выполнение пользователем ИС каких-либо действий, выходящих за рамки его обязанностей, предусматривающих взаимодействие с ИС, или действия внешнего по отношению к ИС пользователя или процесса, нацеленных на достижение одной или нескольких перечисленных выше целей;
пассивное воздействие, т. е. наблюдение пользователем значений каких-либо параметров ИС или побочных эффектов с целью получения конфиденциальной информации на основе анализа собранных данных.
Проблема обеспечения безопасности ИС является комплексной и включает характеристики нескольких независимых измерений:
физическое;
технологическое;
логическое (процедурное);
человеческое.
Характеристика физического измерения показывает насколько эффективно обеспечена физическая защита элементов, образующих техническую основу информационной среды электронного бизнеса. Компьютеры, маршрутизаторы, линии связи должны быть физически недоступны для потенциальных носителей деструктивных воздействий. Экраны мониторов, электромагнитные излучения аппаратуры не должны быть источником конфиденциальной информации.
Характеристика технологического измерения показывает, насколько эффективно обеспечена программно-аппаратная реализация процедур обеспечивающих требуемый уровень безопасности: аутентификация пользователей, разграничение доступа, обеспечение целостности информационной инфраструктуры и т. п. В основном средствам и методам, характерным для данного измерения безопасности ИС посвящен материал этой главы.
Характеристика логического (процедурного) измерения показывает, насколько адекватны логические основы заложенных в систему механизмов безопасности. Если неправильно определены блоки критически важной информации, то она становится уязвимой не из-за недостатков программно-аппаратного комплекса, а из-за ошибок проектирования системы.
Характеристика человеческого измерения показывает насколько адекватно поведение людей, отвечающих за безопасность системы. Методики измерения этой характеристики должны быть выбраны из арсенала гуманитарных наук. В любой автоматизированной системе, и в частности в ИС, предназначенной для обеспечения экономической деятельности, есть люди обладающие критически важной информацией и отвечающие за безопасность системы. Различные мотивы (алчность, неудовлетворенность чем-либо, тщеславие и т. п.) могут привести к добровольной передаче этой информации злоумышленнику, либо в непринятии необходимых мер для эффективного противодействия деструктивному воздействию на систему.
Представленные четыре измерения в некотором смысле ортогональны друг другу. Меры, улучшающие характеристики некоторого измерения, не всегда приводят к повышению безопасности системы в целом. Характеристики различных измерений должны быть сбалансированы.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 |
