Учебное пособие 2212
.pdf
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В СТРОИТЕЛЬНЫХ, СОЦИАЛЬНЫХ И ЭКОНОМИЧЕСКИХ СИСТЕМАХ
принято выделять следующие его виды и ти- |
ме – производные финансовые инструменты. |
||||||||||||
пы: |
|
|
|
|
|
Уровень доходности инвестиционного порт- |
|||||||
1. По объекту инвестирования. |
|
|
феля может существенно варьироваться - от |
||||||||||
Портфель |
реальных инвестиционных |
5-7% годовых при формировании консерва- |
|||||||||||
проектов - инвестиционный портфель, фор- |
тивного портфеля, до 20% годовых при фор- |
||||||||||||
мирующийся за счет объектов реального ин- |
мировании |
агрессивного |
инвестиционного |
||||||||||
вестирования всех видов. |
|
|
портфеля. |
|
|
|
|
|
|
||||
Портфель ценных бумаг (фондовый |
3. По достижению целей инвестирова- |
||||||||||||
портфель) - инвестиционный портфель, фор- |
ния. |
|
|
|
|
|
|
||||||
мирующийся в чистом виде в основном ин- |
Сбалансированный - |
портфель, |
харак- |
||||||||||
|
|
|
|
|
|
|
|||||||
ституциональными |
инвесторами |
за |
счет |
теризующийся |
полной |
реализацией |
целей |
||||||
его формирования путем отбора инвестици- |
|||||||||||||
вложений в различные виды ценных бумаг. |
|||||||||||||
онных проектов или финансовых инструмен- |
|||||||||||||
Специализированный портфель - порт- |
|||||||||||||
тов инвестирования, наиболее |
полно |
отве- |
|||||||||||
фель, ориентированный на вложение средств |
|||||||||||||
чающих этим целям. |
|
|
|
|
|||||||||
в специальные |
финансовые инструменты |
|
|
|
|
||||||||
Несбалансированный портфель - порт- |
|||||||||||||
|
|
|
|
|
|
||||||||
(фьючерсы и опционы). |
|
|
фель, характеризующийся |
несоответствием |
|||||||||
|
|
|
|
|
|
||||||||
Смешанный портфель - это совокуп- |
входящих в его состав инвестиционных про- |
||||||||||||
ный инвестиционный портфель компании, |
ектов или финансовых инструментов инве- |
||||||||||||
формирующийся на базе ряда или всех воз- |
стирования поставленным целям его форми- |
||||||||||||
можных объектов инвестирования, включая |
рования. |
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||||
объекты реального и финансового инвести- |
Разбалансированный |
- разновидность |
|||||||||||
несбалансированного |
|
инвестиционного |
|||||||||||
рования [5]. |
|
|
|
|
|
|
|||||||
|
|
|
|
|
портфеля, который представлял ранее опти- |
||||||||
2. По соотношению риска и дохода. |
|||||||||||||
мизированный сбалансированный портфель, |
|||||||||||||
Консервативный |
инвестиционный |
||||||||||||
уже не удовлетворяющий инвестора в связи |
|||||||||||||
портфель. Такой портфель имеет целью по- |
|||||||||||||
с существенным изменением внешних усло- |
|||||||||||||
|
|
|
|
|
|
||||||||
лучение стабильного |
гарантированного до- |
вий инвестиционной деятельности или внут- |
|||||||||||
|
|
|
|
|
|
||||||||
хода в сочетании со стабильностью входя- |
ренних факторов. |
|
|
|
|
||||||||
щих в него финансовых активов. В такого |
4. По возможности изменять первона- |
||||||||||||
рода портфель |
обычно включают |
государ- |
чальный общий объем портфеля. |
|
|||||||||
ственные облигации и облигации крупных и |
Пополняемый портфель позволяет уве- |
||||||||||||
|
|
|
|
|
|
|
|||||||
надежных эмитентов, |
в меньшем объеме в |
личивать денежное выражение портфеля от- |
|||||||||||
носительно |
|
первоначально |
вложенных |
||||||||||
портфель входят акции; умеренный инвести- |
|
||||||||||||
средств. |
|
|
|
|
|
|
|||||||
ционный портфель предполагает включение |
|
|
|
|
|
|
|||||||
Для отзываемого портфеля допускается |
|||||||||||||
в него активов с оптимальным соотношени- |
|||||||||||||
возможность |
изымать |
часть |
денежных |
||||||||||
ем уровня рисков и доходности. Чаще всего, |
|||||||||||||
средств, первоначально вложенных в порт- |
|||||||||||||
|
|
|
|
|
|
||||||||
здесь выбор падает на ценные бумаги круп- |
фель. |
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
||
ных и средних эмитентов, существующих на |
В постоянном портфеле первоначально |
||||||||||||
рынке длительное время, также можно |
вложенный объем средств сохраняется на |
||||||||||||
включить в него производные финансовые |
протяжении |
всего периода существования |
|||||||||||
инструменты (не более 10% объема портфе- |
портфеля. |
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||||
ля) [2]. |
|
|
|
|
|
5. По приоритетности целей формиро- |
|||||||
|
|
|
|
|
вания. |
|
|
|
|
|
|
||
Агрессивный |
инвестиционный |
порт- |
|
|
|
|
|
|
|||||
Портфель |
роста |
- |
инвестиционный |
||||||||||
фель, в который, как правило, входят ценные |
|||||||||||||
портфель, формирующийся в |
основном за |
||||||||||||
бумаги с высоким уровнем риска. В большей |
|||||||||||||
счет объектов инвестирования, |
обеспечива- |
||||||||||||
степени туда входят акции, в меньшем объе- |
|||||||||||||
ющих достижение высоких темпов роста ка- |
|||||||||||||
|
|
|
|
|
|
||||||||
50
ВЫПУСК № 3-4 (17-18), 2019 |
|
|
|
|
ISSN 2618-7167 |
|||
питала при соответствующих им высоких |
совой стоимости совокупности акций, вхо- |
|||||||
уровнях риска. |
|
|
дящей в портфель, и определяют виды порт- |
|||||
|
Портфель дохода - инвестиционный |
фелей, входящие в эту группу. Состоит он |
||||||
портфель, формирующийся в основном за |
преимущественно из акций. В зависимости |
|||||||
счет объектов инвестирования, обеспечива- |
от соотношения ожидаемого роста капитала |
|||||||
ющих достижение высоких темпов роста до- |
и риска можно выделить среди портфелей |
|||||||
хода при достаточно высоком уровне риска. |
роста еще и подвиды портфелей: агрессивно- |
|||||||
|
Портфель роста и дохода - смешанный |
го, консервативного, умеренного и умеренно |
||||||
вариант. |
|
|
консервативного роста и портфель долго- |
|||||
|
Эти типы портфелей рассмотрим по- |
срочного роста [4]. |
|
|
||||
дробнее [1]. |
|
|
Портфель агрессивного роста. Его ос- |
|||||
|
Портфель роста формируется из акций |
новная цель: достижение максимального |
||||||
компаний, курсовая стоимость которых рас- |
прироста капитала при согласии инвестора |
|||||||
тет. Цель данного типа портфеля - рост ка- |
на очень высокий риск. Это обеспечивается |
|||||||
питальной стоимости портфеля вместе с по- |
проведением высокорискованных и спекуля- |
|||||||
лучением дивидендов. Но так как дивиденд- |
тивных операций, не рекомендуемых при |
|||||||
ные выплаты производятся в небольшом |
остальных стратегиях [6]. |
|||||||
размере, поэтому именно темпы роста кур- |
|
|
|
|
|
|||
|
|
|
|
|
|
|
Таблица 1 |
|
|
Компаративный анализ различных типов и видов инвестиционных портфелей |
|||||||
|
Вид портфеля |
Тип инвестора |
|
Цели |
Степень |
|
Тип ценных бумаг |
|
|
инвестирования |
риска |
|
|
||||
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
Консервативный |
Достижение до- |
|
|
Портфель состоит |
|
|
|
Консервативный |
|
|
преимущественно из |
|
|||
|
инвестор (надеж- |
ходности выше, |
|
|
|
|||
|
(надежный, но |
|
|
государственных ценных |
|
|||
|
ность инвестиций |
чем по банковским |
Низкая |
|
|
|||
|
приносит мало |
|
бумаг, акций и облигаций |
|
||||
|
ценит выше |
вкладам, защита от |
|
|
|
|||
|
дохода) |
|
|
крупных и стабильных |
|
|||
|
доходности) |
инфляции |
|
|
|
|||
|
|
|
|
компаний |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Умеренный инве- |
|
|
|
|
|
|
|
Умеренный (ха- |
стор (пытается со- |
|
|
|
|
Небольшую долю в порт- |
|
|
блюсти разумный |
Долговременное |
|
|
феле занимают государ- |
|
||
|
рактеризуется |
|
|
|
||||
|
баланс между |
инвестирование с |
|
|
ственные ценные бумаги, |
|
||
|
средней степенью |
Средняя |
|
|
||||
|
риском и доходно- |
целью увеличения |
|
подавляющую – ценные |
|
|||
|
доходности при |
|
|
|
||||
|
стью, проявляет |
капитала |
|
|
бумаги крупных и средних |
|
||
|
умеренном риске) |
|
|
|
||||
|
осторожную ини- |
|
|
|
|
стабильных компаний |
|
|
|
|
|
|
|
|
|
||
|
|
циативу) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Агрессивный инве- |
|
|
|
|
Портфель состоит в основ- |
|
|
Агрессивный |
стор (классический |
|
|
|
|
|
|
|
|
|
|
|
ном из высокодоходных, |
|
||
|
(рискованный, но |
спекулянт, готов |
Возможность |
|
|
|
||
|
|
|
«неоцененных» рынком |
|
||||
|
способен прино- |
идти на риск ради |
быстрого роста |
Высокая |
|
|
||
|
|
акций небольших, но пер- |
|
|||||
|
сить большие |
высокой доходно- |
вложенных средств |
|
|
спективных компаний, |
|
|
|
доходности) |
сти, быстрый на |
|
|
|
|
|
|
|
|
|
|
|
венчурных компаний и т.д. |
|
||
|
|
принятие решений) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Таким образом, разновидностей портфелей много, и каждый конкретный владелец придерживается собственной стратегии инвестирования, учитывая состояние рынка ценных бумаг и пересматривая состав портфеля. Для каждого типа портфелей раз-
работаны свои специфические методы управления.
Следует отметить, что в реальной практике преобладают смешанные портфели, отражающие весь спектр разнообразных целей инвестирования в условиях рынка.
51
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В СТРОИТЕЛЬНЫХ, СОЦИАЛЬНЫХ И ЭКОНОМИЧЕСКИХ СИСТЕМАХ
Библиографический список |
но – практической интернет – конференции. |
||||||||
1. Давнис В.В., Добрина М.В. Эконо- |
Воронеж, 27 – 28 апреля 2017. |
|
|
||||||
4. Добрина М.В. Формирование опти- |
|||||||||
метрический подход к алгоритмическому |
|||||||||
мального |
инвестиционного |
портфеля |
Мар- |
||||||
формированию |
портфеля ценных бумаг. |
||||||||
ковица. Статья в |
Научном |
вестнике |
Воро- |
||||||
Научный журнал «Современная экономика: |
|||||||||
нежского |
государственного |
технического |
|||||||
проблемы и решения». Воронежский госу- |
|||||||||
университета. Серия: Экономика и предпри- |
|||||||||
дарственный университет. Выпуск № 12 (96). |
|||||||||
нимательство, 2016. –С. 21-30. |
|
|
|||||||
Воронеж, 2017. |
Статья входит в перечень |
|
|
||||||
5. Добрина |
М.В. Оптимизация |
инве- |
|||||||
ВАК. |
|
||||||||
|
стиционного портфеля с |
применением Mi- |
|||||||
2. Давнис В.В., Добрина М.В. Модели |
|||||||||
crosoft Excel. Статья в Научном вестнике Во- |
|||||||||
доходности финансовых активов и их при- |
|||||||||
ронежского государственного |
технического |
||||||||
менение в моделях портфельного инвестиро- |
|||||||||
университета. Серия: Информационные тех- |
|||||||||
вания. Материалы XII международной науч- |
|||||||||
нологии в строительных, социальных и эко- |
|||||||||
но – практической конференции «Экономи- |
|||||||||
номических системах, 2017. –С.135-139. |
|||||||||
ческое прогнозирование: модели и методы». |
|||||||||
6. Добрина |
М.В. |
Проблема выбора |
|||||||
Воронежский государственный университет, |
|||||||||
портфеля ценных бумаг. Статья в Научном |
|||||||||
2016. –С. 197-200. |
|||||||||
вестнике |
Воронежского |
государственного |
|||||||
3. Добрина М.В. Алгоритмы управле- |
|||||||||
технического университета. Серия: Эконо- |
|||||||||
ния портфелем в режиме онлайн. Электрон- |
|||||||||
мика в инвестиционно – строительном ком- |
|||||||||
ный бизнес: проблемы, развитие и перспек- |
|||||||||
плексе и ЖКХ, 2018. –С. 162-165. |
|
||||||||
тивы. Материалы XIV Всероссийской науч- |
|
||||||||
|
|
|
|
|
|
|
|||
УДК 681.3; 004.7. |
|
|
|
|
|
|
|
||
Воронежский государственный университет |
Voronezh State University |
|
|
|
|
||||
Студент Е.М. Паршина |
|
Student E.M. Parshina |
|
|
|
|
|
||
E-mail: parshinapb@mail.ru |
E-mail: parshinapb@mail.ru |
|
|
|
|
||||
Россия, г. Воронеж |
|
Russia, Voronezh |
|
|
|
|
|
||
Е.М. Паршина
ERP-СИСТЕМЫ. АНАЛИЗ ОЦЕНКИ РИСКОВ ПРИ ИСПОЛЬЗОВАНИИ ERP-СИСТЕМ
Аннотация: проводится оценка риска и анализ активов в корпоративной сети с внедренной ERP-системой
Ключевые слова: ERP-система, информационная сеть, корпоративная сеть, риск, оценка риска, анализ активов информационной системы
E.M. Parshina
ERP SYSTEMS. RISK ASSESSMENT ANALYSIS WHEN USING ERP SYSTEMS
Abstract: risk assessment and analysis of assets in a corporate network with an implemented ERP-system are carried out
Keywords: ERP system, information network, corporate network, risk, risk assessment, analysis of information system assets
ERP - системы1 оптимизируют ресурсы предприятия посредством пакета прикладного программного обеспечения, обеспечивающего общую модель данных и процессов для всех видов деятельности. Благодаря это-
© Паршина Е.М., 2019
му, управление информационной безопасностью имеет большое значение для ERP - системы. Важной частью процесса есть оценка рисков информационной безопасности.
Оценка риска приводит к пониманию возможных опасных событий, их причин и последствий, вероятности их появления и
52
ВЫПУСК № 3-4 (17-18), 2019 |
ISSN 2618-7167 |
|
принятие решений. На текущий момент для |
Любая, хорошо продуманная, методика |
|
оценки рисков информационной безопасно- |
оценки рисков информационной безопасно- |
|
сти используют различные подходы, методы |
сти предусматривает такие этапы, как: |
|
и средства. При расчете риска можно ис- |
оценка угроз; |
|
пользовать качественные, количественные и |
||
оценка уязвимостей; |
||
смешанные подходы, самыми распростра- |
||
оценка вероятности реализации угроз |
||
ненными из которых являются [3]: |
||
(возможного ущерба). |
||
|
двухфакторная модель оценки;
трехфакторная модель оценки;
оценка на основе карт линейного упорядочения альтернатив и парных сравнений;
оценка на основе теории игр.
Модель процесса оценки риска ИБ в ERP-системе можно представить в виде следующей схемы, показанной на рисунке 1. Данная модель отражает взаимосвязь основных концептов процесса оценки рисков ИБ в ERP-системе.
Рис. 1. Модель оценки риска ИБ в ERP-системе |
|
|
||
Данная методика и этапы аналогичны |
Защита информации в ERP-системах |
|||
для любых предприятий (организаций), и не |
необходима для того, чтобы минимизировать |
|||
зависит от сферы их деятельности, масшта- |
финансовые потери, сохранить или даже |
|||
бов, уровня организационной зрелости. Од- |
улучшить имидж организации. Соответ- |
|||
нако все перечисленные этапы решают кон- |
ственно, необходимо определить величину |
|||
кретные задачи и имеют специфические осо- |
возможного ущерба и вероятности реализа- |
|||
бенности. |
ции угроз (таблица 1). |
|
|
|
Данная модель, может быть использо- |
После того, как определили величину |
|||
вана лицом, принимающим решения: |
ущерба и вероятность реализации угроз, |
|||
- при разработке алгоритма оценки |
определяется величина |
риска |
(таблица 2) |
|
риска ИБ в ERP-системе; |
[2]. Риски |
вычисляются |
путем |
комбини- |
- при проведении оценки рисков ИБ. |
рования возможного ущерба, который выра- |
|||
До применения каких-либо шагов по |
жает вероятные последствия нарушения без- |
|||
оценке рисков, следует определить критерии |
опасности активов, и вероятности реализа- |
|||
для их оценки. |
ции угроз. |
Данное комбинирование чаще |
||
53
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В СТРОИТЕЛЬНЫХ, СОЦИАЛЬНЫХ И ЭКОНОМИЧЕСКИХ СИСТЕМАХ
всего осуществляют при помощи матрицы, |
После определения критериев, которые |
где в строках размещаются возможные зна- |
будут использоваться для оценки рисков, |
чения ущерба, а в столбцах – вероятности |
необходимо идентифицировать угрозы и, со- |
реализации угрозы, на пересечение – вели- |
ответственно, риски. |
чина риска.
|
|
|
|
|
|
|
|
|
Таблица 1 |
|||
|
|
|
|
|
Оценка уровня вероятности реализации угроз |
|||||||
|
Вероят- |
Статистика |
|
Затраты на реализацию |
|
Возможность |
|
|
||||
|
ность |
инцидентов |
|
|
обнаружения |
|
|
|||||
|
|
|
|
|
|
|
|
|||||
|
|
Происходит |
|
Затраты: менее 10 тыс. руб. |
|
|
|
|
|
|||
|
|
|
Невысокая квалификация злоумышленника. |
Источник и угрозу |
|
|||||||
|
Высокая (B) |
каждую неде- |
|
|
||||||||
|
|
Средства для осуществления угрозы |
|
легко вычислить. |
|
|||||||
|
|
лю |
|
|
|
|||||||
|
|
|
общедоступны. |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
Затраты: от 10 тыс. до 100 тыс. руб. |
Источник и угроза |
|
||||||
|
|
|
|
|
можно вычисляет- |
|
||||||
|
|
Происходит |
|
Средняя квалификация злоумышленника. |
|
|
||||||
|
Средняя (С) |
|
|
ся, но для этого |
|
|||||||
|
каждый месяц |
|
Средства для осуществления угрозы можно |
|
|
|||||||
|
|
|
|
требуются серьез- |
|
|||||||
|
|
|
|
приобрести или создать за разумный срок. |
|
|
||||||
|
|
|
|
|
ные затраты. |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
Затраты: более 100 тыс. руб. |
Источник и угрозу |
|
||||||
|
|
Происходит |
|
Высокая квалификация злоумышленника. |
|
|||||||
|
Низкая (H) |
|
|
|
сложно |
|
|
|||||
|
каждый год |
|
Средства для осуществления угрозы на дан- |
|
|
|
|
|||||
|
|
|
|
определить. |
|
|
||||||
|
|
|
|
ный момент не доступны. |
|
|
|
|||||
|
|
|
|
|
|
|
|
|
||||
|
В качестве наиболее реальных источ- |
ты оценки рисков используются для опреде- |
||||||||||
ников угроз могут выступать[3]: |
ления |
экономической |
целесообразности и |
|||||||||
|
• разработчики систем, |
|
приоритетности проведения мероприятий по |
|||||||||
|
|
обработке рисков. |
|
|
|
|
|
|||||
|
• администраторы датацентров, на пло- |
|
|
|
|
|
||||||
|
Процедура оценки рисков ERP-систем |
|||||||||||
|
щадке которых размещается веб-ресурс, |
|||||||||||
|
OR должна учитывать следующую совокуп- |
|||||||||||
|
• администраторы компаний- |
|||||||||||
|
ность параметром[4]: |
|
|
|
|
|
||||||
|
организаторов акций, |
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
||||
|
• внешние злоумышленники (хакеры), |
|
ОR={A, TR, MP, DR}, |
|
(1) |
|
||||||
|
• недобросовестные участники акций. |
где А – множество используемых активов, |
||||||||||
|
|
|
|
|
||||||||
|
Следующий этап – оценка риска. Необ- |
TR-множество угроз, MP-множество меха- |
||||||||||
ходимо оценить вероятность и последствия |
низмов, используемых для защиты в ERP- |
|||||||||||
угрозы и соответственно определить значе- |
системе, DR– множество, характеризующее |
|||||||||||
ние риска (таблица 2). |
|
допустимость риска от угрозы. |
|
|
|
|||||||
|
После проведения оценки рисков тре- |
Активы (объекты) ERP-системы: |
|
|
||||||||
буется их ранжировать по |
значениям, и |
|
Ai A | i {1,2,..,m} |
|
(2) |
|
||||||
определять, какому риску уделить внимание |
|
, |
|
|||||||||
|
|
|
|
|
|
|||||||
в первую очередь, а какому - в последнюю. |
m - число активов, участвующих в оценки |
|||||||||||
Этап оценки риска повторяется до тех пор, |
||||||||||||
рисков ИБ ERP-системы, |
являются частью |
|||||||||||
пока уровень остаточного риска, сниженного |
||||||||||||
общей |
информационной |
инфраструктуры |
||||||||||
|
|
|
|
|
||||||||
в результате внедрения контрмер, не будет |
предприятия, в которую предприятие напря- |
|
приемлемым. |
||
мую вкладывает. |
||
Таким образом, полученные результа- |
||
|
54
ВЫПУСК № 3-4 (17-18), 2019 ISSN 2618-7167
|
|
|
|
Таблица 2 |
|
|
|
Пример оценки рисков |
|||
|
Оценка |
|
Оценка |
|
|
|
|
послед- |
|
|
|
Угроза |
вероят- |
Комментарии к оценке |
|
Риск |
|
ствий |
|
||||
|
ности |
|
|
|
|
|
|
ущерба |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Внесение логиче- |
С |
Средняя квалификация. Автора закладки |
В |
|
В |
ской закладки |
|
можно вычислить из-за ограниченного кру- |
|
|
|
|
|
га программистов. |
|
|
|
Ошибки в про- |
Н |
Опытная команда программистов, повтор- |
В |
|
С |
граммировании |
|
ные инциденты с данной командой проис- |
|
|
|
(коде). |
|
ходят не чаще одного раза в год |
|
|
|
|
|
|
|
|
|
Анализ и перехват |
В |
Доступны свободно-распространяемые |
В |
|
В |
трафика сервера c |
|
средства перехвата трафика. Выявить |
|
|
|
целью подсчета ре- |
|
наличие перехвата трафика непросто |
|
|
|
гистраций и пере- |
|
|
|
|
|
хвата в нужный |
|
|
|
|
|
момент |
|
|
|
|
|
Внесение в таблицу |
В |
Средняя квалификация. Источник действия |
В |
|
В |
базы данных ис- |
|
может быть и не вычислен. |
|
|
|
пользуемых сайтом. |
|
|
|
|
|
|
|
|
|
|
|
Взлом сайта. |
С |
Средняя квалификация. Вычисление зло- |
В |
|
В |
Например, получе- |
|
умышленника затруднительно. |
|
|
|
ние прав админи- |
|
|
|
|
|
стратора. |
|
|
|
|
|
|
|
|
|
|
|
Проведение DDoS. |
В |
Низкая квалификация. Финансовые затраты |
С |
|
В |
|
|
минимальны (300 USD за 24 часа атаки по |
|
|
|
|
|
данным из открытых источников |
|
|
|
|
|
информации). |
|
|
|
|
|
|
|
|
|
|
Каждый актив можно отнести к одному |
деляется его стоимостью. А в связи с тем, |
|||||||||
из 8 типов: А1 - информация/данные цирку- |
что зачастую невозможно определить точ- |
||||||||||
лирующие в ERP-систем; |
А2 |
- аппаратное |
ную стоимость актива и предприятия в це- |
||||||||
обеспечение ERP-системы; А3 - приложения |
лом, то предлагается ценность актива C(Aji) |
||||||||||
уровня |
представления |
в |
ERP-системе |
оценивать нормированной величиной в диа- |
|||||||
(например, GUI, мобильные клиенты ERP); |
пазоне от 0 до 1, которая будет показывать |
||||||||||
А4 - оборудование для обеспечения связи; |
отношение цены актива Cost(Aji) к величине |
||||||||||
А5 - система управления базами данных; А6 - |
капитала всего предприятия Cost: |
|
|||||||||
программное обеспечение и процессы серве- |
|
Сost(Aij ) |
|
|
|||||||
ра; |
А7 - |
8 пользователи |
и клиенты ERP- |
С(Aij ) |
|
(3) |
|||||
|
|||||||||||
системы; А - |
репутация и уровень доверия к |
|
Cost |
|
|||||||
ERP-системе. |
|
|
|
|
Каждая угроза ИБ |
|
|||||
|
Таким образом, множество A представ- |
|
|||||||||
|
|
|
|
|
|||||||
ляет собой объединение всех подмножеств, |
TRk TR|k {1,2,..,n} |
(4) |
|||||||||
описывающих |
различные |
типы |
активов. |
где n – количество рассматриваемых |
при |
||||||
Универсальной методики |
оценки |
активов |
|||||||||
оценке риска угроз, из множества угроз без- |
|||||||||||
нет, поэтому в данном случае будем прово- |
|||||||||||
опасности ERP-систем TR, описывается сле- |
|||||||||||
дить |
оценку |
ценности актива |
экспертным |
||||||||
дующим параметром |
|
||||||||||
путем. Как правило, ценность актива опре- |
|
||||||||||
|
|
|
|
||||||||
55
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В СТРОИТЕЛЬНЫХ, СОЦИАЛЬНЫХ И ЭКОНОМИЧЕСКИХ СИСТЕМАХ
TRk (v, p, d ) |
(5) |
где v – частота возникновения данной угрозы за фиксированный промежуток времени, p – вероятность успешной реализации угрозы, d
– коэффициент разрушительности угрозы. Каждый из перечисленных выше параметров предлагается нормировать и оценивать в диапазоне значений
v, p, d 0,1 |
(6) |
Значение вероятности успешной реали-
зации угрозы в ERP-системе тесно связано с наличием в ERP-системе различных механизмов и функций безопасности, которые в соответствии с моделью безопасности с полным перекрытием должны в идеальном случае перекрывать все возможные угрозы активам и объектам исследуемой системы. В этом случае связь между угрозами и механизмами защиты ERP-системы будет описываться матрицей отношений RM:TR×MP:
|
0, если механизм MP не перекрывает угрозу TR |
RM (rmTR,M P) |
(7) |
PM P,если механизм MP перекрываает угрозу TR с вероятностью PM P
А так как для противодействия одной угрозе может быть использовано несколько механизмов защиты, имеющих различную вероятность отражения одного и того же типа угроз, то с учетом формулы 7, предлагается вероятность успешной реализации угрозы - p в ERP-системе рассчитывать по следующей формуле:
p 1 max( PMP1, PMP2 ,....PMPl ) . |
(8) |
В свою очередь каждая угроза может воздействовать не на всю ERP-систему, а на один или несколько определенных активов, следовательно, при оценке рисков от каждой конкретной угрозы, необходимо составить матрицу бинарных отношений между угрозами и активами ERP-системы RMA:TR×А:
|
1, если для актива А существует угроза TR |
|
RMА (rmaTR, A ) |
|
(9) |
0, если для актива А не существует угроза TR |
|
|
В этом случае, ущерб u(TRk ) от каждой угрозы
TRk | k 1,...,| TR |
будет рассчитываться по следующей формуле:
m |
|
u(TRk ) (С(Aij )rmaTRk,Ai ) . |
(10) |
i 1
Таким образом, риск Rk от каждой угрозы будет зависеть от характеристик самой угрозы и ценности активов, на которые данная угроза направлена, и будет рассчитываться по формуле:
|
( |
, ) = |
|
|
|
( ), |
(11) |
|
|
|
|
|
|
|
A, уровень B, уровень C, уровень D} [5]. Общий риск рассчитывается по форму-
ле 12 и классифицируется по аналогии с частным риском по каждой угрозе в соответствии с правилами таблицы:
TR |
|
R R k |
(12) |
k 1
Данная модель и методика и ее этапы могут применяться при оценке рисков информационной безопасности ERP-систем. Они могут быть применены для любых организаций, независимо от сферы их деятельности, масштабов, уровня организационной зрелости.
Каждый рассчитанный риск от реализации угрозы классифицируется в соответствии с качественной шкалой DR={уровень
Библиографический список
1. Аткина В.С. Применение карты рисков для оценки деструктивного воздействия
56
ВЫПУСК № 3-4 (17-18), 2019 |
|
ISSN 2618-7167 |
|||
существенной |
среды |
на |
информационную |
сти // Вопросы кибербезопасности. 2014. №4 |
|
систему |
// Безопасность |
информационных |
(7). С.49-54. |
||
технологий. 2013. №4. С.21 – 26. |
4. Mikova S.Y., Oladko V.S. The risk as- |
||||
2. СТО БР ИББС -1.0-2014. Обеспече- |
sessment of the Implementation of network at- |
||||
ние информационной безопасности органи- |
tacks on information infrastructure on the ex- |
||||
заций банковской системы Российской Фе- |
ample of tourism enterprises//Sochi Journal of |
||||
дерации. Общие положения [электронный |
Economy.2016. Vol. 39 , Issue 1, pp.42-51/. |
||||
ресурс].: |
URL: |
http://www.cbr.ru/credit/ |
5. Плетнев П.В., Белов В.М. Сравни- |
||
Gubzi_docs/st-10-10.pdf. |
|
тельный анализ существующих методов |
|||
3. Миков |
Д.А. |
Анализ методов и |
оценки рисков информационной безопасно- |
||
средств, используемых на различных этапах |
сти // Ползуновский вестник.2018. №3/1. С. |
||||
оценки рисков информационной безопасно- |
221 – 223. |
||||
УДК 004.415.2 |
|
|
|
|
|
Воронежский государственный технический университет |
Voronezh state technical university |
||||
Начальник отдела АИС Е.В. Колыхалова, тел.: 7(473)207-22-20 |
Head of the Department AIS E.V. Kolyhalova, Ph.:7(473)207-22-20 |
||||
Студентка К.А. Андреева бИС-171, |
|
Student K. A. Andreeva bIS-171, |
|||
E-mail: kandreeva952@gmail.com |
|
E-mail: kandreeva952@gmail.com |
|||
Россия, г. Воронеж |
|
|
|
Russia, Voronezh |
|
|
|
|
|
Е.В. Колыхалова, |
К.А. Андреева |
АНАЛИЗ ЖИЗНЕННОГО ЦИКЛА ПРОДУКТА С УЧЕТОМ БУДУЩИХ ИЗМЕНЕНИЙ
Аннотация: Проводится общий анализ жизненного цикла программного продукта, при котором определяется важность будущих изменений, а также возможные причины перепроектирования
Ключевые слова: жизненный цикл, программный продукт, международный стандарт, анализ, проектирование, паттерны, система, программное обеспечение, объекты, классы, перепроектирование, кодирование, тестирование, документирование, эксплуатация, сопровождение
E.V. Kolyhalova, K.A. Andreeva
PRODUCT LIFE CYCLE ANALYSIS FOR FUTURE CHANGES
Abstract: A General analysis of the life cycle of the software product, which determines the importance of future changes, as well as possible causes of redesign
Keywords: Life cycle, software product, international standard, analysis, design, patterns, system, software, objects, classes, redesign, coding, testing, documentation, operation, maintenance
При2 проектировании любой информа- |
ISO/IEC 12207, который разработан на осно- |
||
ционной системы необходимо учитывать ее |
ве предыдущих мировых стандартов и опи- |
||
дальнейшее развитие, если же этого не де- |
сывает стадии жизненного цикла программ- |
||
лать, то написанный в результате программ- |
ного продукта. Основными его характери- |
||
ный продукт, может быть не рентабелен и |
стиками являются единая терминология по |
||
вытеснен с рынка более оптимизированной |
разработке и внедрению программного про- |
||
системой. Введем такое понятие как жизнен- |
дукта, четкое разграничение между жизнен- |
||
ный цикл программного продукта. Он отра- |
ным циклом и моделью жизненного цикла. |
||
жает различные состояния, начиная с момен- |
[1] |
||
та возникновения необходимости в про- |
Единый стандарт включает в себя не |
||
граммном продукте и до его полного вывода |
только набор программных продуктов, но и |
||
из эксплуатации. Понятие жизненного цикла |
соответствующую документацию для всех |
||
определено в международном стандарте |
программ и непрерывного процесса сопро- |
||
|
|
вождения. Введение единого стандарта |
|
© Колыхалова Е.В., Андреева К.А., 2019 |
|||
необходимо для того, чтобы сформировать |
|||
57
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В СТРОИТЕЛЬНЫХ, СОЦИАЛЬНЫХ И ЭКОНОМИЧЕСКИХ СИСТЕМАХ
конкретное понимание жизненного цикла всеми участникам процесса его разработки. Общий вид жизненного цикла программного продукта представлен на рисунке 1.
Определение проекта
Анализ
Разработка
Детальное проектирование, кодирование
Реализация проекта
Тестирование, документирование
Эксплуатация
Сопровождение, поддержка
Рис. 1. Общий вид жизненного цикла программного продукта
Анализ информационной системы играет большую роль, позволяет выбрать оптимальный вариант реализации проекта. Этот этап в полной мере характеризует потребности аудитории и описывает требования заказчика, а впоследствии дает возмож-
ность сравнить с ресурсами предприятия. При проектировании следует построить модель сущность - связь для наглядного отображения системы.
Разработка проекта - период времени, когда был произведен анализ предметной области и на его основе ведутся переговоры с заказчиком и подписываются проектные контракты.
Детальное проектирование и кодирование – этап, на котором происходит непосредственное создание информационной системы. Объектно-ориентированное проектирование – парадигма объектно - ориентированного программирования, которая позволяет разложить систему на объекты и классы, это и является ее основной задачей. Причем стоит учитывать зависимость объектов, развитие системы, ее гибкость и производительность в будущем. [2]
Наиболее распространенным подходом к проектированию является использование паттернов. Паттерн проектирования - это наглядное описание взаимодействия объектов и классов, предназначенных для решения поставленной задачи. Паттерн не привязан ни к какому языку программирования, он лишь помогает спроектировать систему. Благодаря применению паттернов проектирования возможна разработка системы таким образом, чтобы ее последующие модификации требовали значительного сокращения финансовых и временных затрат, а значит наиболее быстрое удовлетворение изменившихся потребностей заказчика.
В частности, бывают случаи, когда проведенный анализ системы некорректен, следовательно, система спроектирована не точно и не отвечает заявленным требованиям заказчика. В таких случаях приходится перепроектировать систему, поэтому необходимо обращать внимание на следующие аспекты:
1. Программная платформа. Совре-
менные программы должны быть ориентированы и обладать таким свойством как кроссплатформенность. Это необходимо, чтобы программный продукт мог без труда работать с разными операционными системами. Если же программа ориентирована для
58
ВЫПУСК № 3-4 (17-18), 2019 |
|
|
|
|
ISSN 2618-7167 |
||
конкретной платформы, то велика вероят- |
нию. |
|
|
|
|||
ность, что ее понадобится изменять, дораба- |
Руководство пользователя – детальное |
||||||
тывать для возможности использования с |
описание технологии работы разработанного |
||||||
другой операционной системой. |
|
программного обеспечения конечным поль- |
|||||
2. Создаваемые классы. Часто требу- |
зователем. |
|
|
|
|||
ется изменить класс, но этот класс тесно свя- |
Описание применения - это общая ха- |
||||||
зан с другими классами. С такой системой |
рактеристика |
программного продукта для |
|||||
сложно работать, изменение одного класса |
сфер его применения. |
|
|||||
приведет к изменению в других. Такая зави- |
Руководство программиста - техниче- |
||||||
симость в системе называется монолитной. |
ская документация для разработчиков и спе- |
||||||
Заданное имя класса должно быть привязано |
циалистов, которые будут сопровождать |
||||||
к конкретной реализации. |
|
программный продукт. [4] |
|
||||
3. Алгоритм. При создании алгоритма |
После завершения стадий документи- |
||||||
будущего программного продукта важно по- |
рования и тестирования программное обес- |
||||||
нимать, что он будет модернизироваться, а, |
печение переходит на этап эксплуатации. С |
||||||
следовательно, и будет меняться, поэтому |
течением времени может возникнуть по- |
||||||
такие алгоритмы следует изолировать. [2] |
требность в обновлении программных ком- |
||||||
Чаще паттернов используются такое |
понентов или добавлении новых функций, |
||||||
понятие как каркас приложения. Каркас при- |
тогда этот этап будет называться сопровож- |
||||||
ложения - это набор классов, взаимодей- |
дение и поддержка продукта. |
|
|||||
ствующих друг с другом. Он определяет об- |
Таким образом, любая система в про- |
||||||
щую архитектурную структуру, где разгра- |
цессе работы претерпевает изменения. |
||||||
ничивает на методы и объекты. Основное |
Большинство из них следует учитывать на |
||||||
назначение каркаса в повторном использова- |
этапе проектирования, это необходимо для |
||||||
нии дизайна, а не кода. Они разрабатывают- |
того, чтобы она могла быстро развиваться, |
||||||
ся под конкретную предметную область, по- |
работать без «ошибок и сбоев». |
|
|||||
этому они должны легко модифицироваться. |
Библиографический список: |
||||||
На этапе |
кодирования |
программист |
|||||
|
|
|
|
||||
«переводит» алгоритм, разработанный для |
1. ГОСТ |
Р |
ИСО/МЭК |
12207-2010. |
|||
конкретного программного модуля, на опре- |
Информационная технология. Системная и |
||||||
деленный язык программирования. |
программная инженерия. Процессы жиз- |
||||||
Созданный программный продукт под- |
ненного цикла программных средств. |
||||||
лежит обязательному этапу – тестированию. |
2. Э. Гамма. Приемы объектно - ориен- |
||||||
На этом шаге производиться проверка про- |
тированного проектирования. Паттерны про- |
||||||
граммного продукта, с заранее подготовлен- |
ектирования / Гамма Э., Хэлм Р., Джонс Р., |
||||||
ными исходными данными, для которых из- |
Влиссидес Дж. / СПБ : Питер, 2004.-366 с.:ил |
||||||
вестен результат. Тестирование подразделя- |
3. Инюшкина О.Г., Кормышев В.М. |
||||||
ется на автономное и комплексное. При про- |
Исследование систем управления при проек- |
||||||
ведении первого вида тестирования - прохо- |
тировании информационных систем: учеб- |
||||||
дят проверку только определенные про- |
ное пособие. / О.Г. Инюшкина, В.М. Кор- |
||||||
граммные модули. Комплексное тестирова- |
мышев. Екатеринбург: «Форт-Диалог Ис- |
||||||
ние представляет из себя проверку всего |
еть», 2013. 370 с. |
|
|
||||
программного продукта. [3] |
|
4. ГОСТ Р ИСО/МЭК ТО 9294-93. |
|||||
Любое написанное приложение должно |
Информационная |
технология. |
Руководство |
||||
сопровождаться |
технической документаци- |
по управлению документированием про- |
|||||
ей. В соответствии со стандартом ISO-9294, |
граммного обеспечения |
|
|||||
она обычно классифицируется |
по назначе- |
|
|
|
|
||
59