- •Оглавление
- •1. Системная парадигма. Системы и закономерности их функционирования и развития. Система и ее свойства (компоненты, связи, целостность, структура и функции, интегративные качества).
- •1 Свойство: Целостность и членимость.
- •2 Свойство: Связи.
- •3 Свойство: Организация.
- •4 Свойство: Интегративные качества.
- •2. Моделирование как основа экономического анализа и проектирования сложных систем. Виды моделирования.
- •3. Системы, представимые графами. Применение в экономическом анализе и проектировании информационного обеспечения.
- •4. Управление проектами
- •4. Случайные величины и их распределения. Идентификация случайных явлений. Оценки параметров. Проверка гипотез. Метод Монте-Карло. Регрессия.
- •5. Базовые вычислительные методы (решение линейных уравнений, линейное программирование, численные методы).
- •6. Исследование операций. Математические постановки задач и методы решения.
- •7. Метод принятия решений в условиях известных состояний природы
- •8. Принятие решений в условиях неопределенности. Критерии принятия решения в условиях неопределенности.
- •9. Разработка и принятие управленческих решений. Метод парных сравнений.
- •Метод парных сравнений
- •Примеp1:
- •10. Представление принятия решения с помощью «Дерева принятия решения»
- •11. Разработка и принятие управленческих решений. Метод анализа иерархии
- •13. Понятие компьютерного моделирования. Метод имитационного моделирования, его сущность и особенности, область применения.
- •14. Имитационное моделирование. Общая технологическая схема и оценки реализаций.
- •15. Дискретное (процессно-ориентированное) имитационное моделирование. Базовая концепция структуризации языка моделирования gpss.
- •16. Модели и методы системной динамики: парадигма, общая структурная схема, графические нотации (системные потоковые диаграммы), инструментальные среды, реализации.
- •17. Многоагентное моделирование: новая парадигма и инновационные инструменты компьютерного моделирования.
- •18. Искусственный интеллект, направление и доведенные до применений результаты.
- •19. Экспертные системы. Понятие и обеспечение применения.
- •2 Основных режима:
- •20. Нейрокомпьютинг. Понятие и основные особенности использования.
- •21. Системы поддержки принятия решений, эволюция, архитектура, основные элементы аналитической системы (хранилище данных, olap, DataMining).
- •22. Методы и технологии анализа данных и принятия решений. Оперативный анализ данных. Интеллектуальный анализ данных. Методы сценарного планирования. Управление знаниями.
- •23. Техника оперативного анализа данных (olap).
- •24. Задача анализа данных – построение ассоциативных правил, решения в управлении.
- •25. Задача анализа данных – кластерный анализ, решения в управлении
- •27. Глобальная компьютерная сеть Интернет. Технологии Веб.Основные модели и технологические решения для электронного бизнеса.
- •30. Языки и системы моделирования: назначение, классификация, технологические возможности современных коммерческих симуляторов.
- •31. Язык ProLog. Особенности, применение в решениях.
- •38. Прототипирование в разработке проекта информационной системы. Виды прототипов и технологический переход от прототипа к промышленной системе.
- •40. Понятие бизнес-процесса. Методологии и инструментальныесредства моделирования бизнес-процессов. Реинжиниринг бизнес-процесов.
- •41. Методологии и технологии автоматизированного проектирования.Применение объектно-ориентированного подхода к анализу и проектированию информационных систем.
- •42. Методологии и технологии автоматизированного проектирования.Создание интегрированных информационных систем с использованием технологии corba и технологии сом.
- •43. Понятие case. Основные функции, общая архитектура, преимущества использования при проектировании информационных систем.
- •44. Case-средства. Понятие и классификация по типам, категориям и уровням. Критерии выбора case-средств при проектировании информационных систем. Примеры.
- •45. Информационная безопасность: цели, типы угроз; принципы, основные функции и механизмы обеспечения безопасности и надежности функционирования информационных систем.
- •1. Методологические
- •2. Правовые
- •3. Реализационные
- •4. Организационные принципы
- •1. Функции защиты
- •2. Управление механизмами защиты
- •4. Источники угроз.
- •46. Управление информационными рисками при проектировании системы информационной безопасности.
- •1 Этап. Анализ рисков.
- •2 Этап. Выбор и реализация эффективных и экономичных защитных мер.
- •48. Управление информационными системами организации: референсные модели и передовые практики управления службой ис (Cobit, itil, itsm).
- •49. Управление службой информационных систем: задачи, функции, организационная структура.
- •51. ProjectExpert- инструмент моделирования финансово-хозяйственной деятельности компании.
- •52. Автоматизированные системы управления. Циркуляция информации в асу, нормативная и регистрационная модели, базовые системотехнические выводы.
- •53. Корпоративная информационная система. Основные концепции автоматизации управления. Анализ рынка программных продуктов.
- •54. Концепция erp- решений. Эволюция систем стандартов и соглашений.
- •Корпоративная информационная система как среда реализации функций управления.
- •55. Корпоративная информационная система как среда реализации функций управления. Интеграция в информационных системах. Информационная инфраструктура организации.
- •56. Аналитические информационные системы и их место в процессах управления и информационной инфраструктуре предприятия, системы бизнес-интеллекта.
- •59. Приоритетные и приоритетно-рандомизированные схемы ветвления в задачах календарного планирования.
- •60. Схема разузлования в расчете себестоимости и комплектации сложных изделий.
- •61. Управление в регулярном производстве: модель заготовительного участка.
- •62. Имитационное моделирование производственных, логистических, бизнес-процессов. Цифровое производство.
- •63. Имитационное моделирование цепей поставок.
- •Индустриальная динамика Форрестера
- •Динамика города:
- •2)Мировая динамика.
- •66. Многоагентное компьютерное моделирование и экономика поведения. Наиболее существенные приложения в управлении и социальных исследованиях.
1 Этап. Анализ рисков.
Шаг 1. Анализ информационной инфраструктуры предприятия и описание объекта защиты.
На этом этапе уточняется информационная структура организации и определяется степень детальности ее рассмотрения. Работа выполняется на концептуальном уровне и включает следующие моменты:
описание объекта защиты, выбор анализируемых объектов и идентификация активов.
четко определяются и обосновываются цели защиты, в категориях целостности, доступности, конфиденциальности,
определяется "среда безопасности", периметр безопасности, т.е. ограничивается область безопасности ВС (невозможно безопасность обеспечить повсеместно),
Для выполнения этой работы надо хорошо познакомиться с основными направлениями деятельности компании, учитывать специфику конкретных информационных систем, определить какие данные имеют отношение к этой деятельности, какая часть данных наиболее важная, составить модель предметной области. Проанализировать процесс управления информацией, содержание данных, выделить категории пользователей. Необходимо структурировать информацию на группы по пользователям, процессам, информационным объектам и потокам, по уровням управления.
Необходимо учитывать ценность информации. Классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, а также способы доступа к ним. На этом этапе можно составить формальную модель управления доступом. Все это важно для оценки последствий нарушений информационной безопасности. При анализе необходимо учитывать не только информационную систему, но и поддерживающую инфраструктуру, персонал, нематериальные ценности, в том числе репутацию компании.
Далее необходимо структурировать систему на функционально полные компоненты (основные и вспомогательные сервисы).
Выделяют основные сервисы. Например, для банка - основные сервисы: банковская система, система автоматизации офиса, бухгалтерская система банка и т.д. Чтобы система могла функционировать, выделяют вспомогательные сервисы (обеспечивающая часть ВС) - серверы БД, почтовые сервисы, ОС и оборудование. Основной принцип информационной безопасности: защите подлежат все сервисы: основные и вспомогательные, и коммуникационные пути между ними.
Описание объекта защиты предполагает процедуру идентификации активов. Существуют:
Аппаратные активы: компьютеры, периферийное оборудование, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование;
Программные активы: ОС, ППО, инструментальные средства, программы управления сетью и отдельными системами;
Информационные активы: данные, которые хранятся, обрабатываются и передаются по сети.
Шаг 1 - подготовительный этап, напрямую не связанный с рисками. Риск есть там, где есть угрозы.
Шаг 2. Идентификация угроз.
На этом шаге выполняется анализ угроз и их последствий, определение слабых мест в защите (оценка наиболее вероятных опасностей). Необходимо выявлять не только сами угрозы, но и источники их возникновения.
После идентификации угроз необходимо определить вектор характеристик:
вероятность осуществления угрозы,
размер потенциального ущерба. Оценивать надо не только непосредственные расходы на замену оборудования или восстановление информации, но и учитывать ценность информации (например, следствием реализации угрозы может быть подрыв репутации, ослабление позиций на рынке, а при корректировке зарплаты - развал организации, перерасход бюджетных или корпоративных средств и т.п.).
Основные модели и методы оценки уязвимости:
эмпирический,
теоретический,
теоретико-эмпирический,
экспертные оценки (включая деловые игры, ситуационные модели поведения потенциального нарушителя и др.).
Сущность эмпирического подхода лучше всего демонстрирует подход фирмы IBM (см. Приложение 2): на основе длительного сбора информации о реальных проявлениях угроз, эмпирическим путем устанавливается зависимость между потенциально возможным ущербом и коэффициентами, характеризующими частоту проявления соответствующей угрозы и значения размера ущерба. Теоретический подход основывается на использовании основных положений теории вероятности, математической статистики, вероятностно-автоматном и имитационном моделировании.
Анализ рисков должен дать объективную оценку многих факторов: подверженность и вероятность появления нарушения работы, ущерб от коммерческих потерь, снижение коэффициента готовности системы, общественные отношения, юридические проблемы и др.
Исходные данные для оценки риска могут быть получены точные (например, в денежном отношении), могут быть использованы условные единицы (например, введены категории ущерба (допустимый, существенный, материальный, или по трехбальной шкале: 1- низкий, 2- средний, 3 - высокий).
Шаг 3. Оценка риска
Когда накоплены исходные данные, можно переходить к обработке информации, собственно к оценке риска, который включает:
выбор методологии оценки рисков,
оценку рисков
Цель оценки - ответ на вопрос: приемлемы ли существующие риски, если нет, то какие защитные средства экономически выгодно использовать. Оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и с расходами на реализацию системы безопасности.
Важно выбрать разумную методологию оценки рисков. Можно использовать простой метод [8]: умножение вероятности осуществления угрозы на предполагаемый ущерб.
Для недопустимо высоких рисков необходимо строить защитные механизмы (реализовывать защитные меры).