gasu.gov.ru – ГАСУ Управление Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 30 августа 2023 года; проверки требуют 4 правки.
Понятие информационной системы
Понятие информационной системы интерпретируют по-разному, в зависимости от контекста.
Классификации информационных систем
По степени распределённости отличают:
Распределённые ИС, в свою очередь, разделяют на:
В файл-серверных ИС база данных находится на файловом сервере, а СУБД и клиентские приложения находятся на рабочих станциях.
В свою очередь, клиент-серверные ИС разделяют на двухзвенные и многозвенные.
В двухзвенных (англ. ) ИС всего два типа «звеньев»: сервер базы данных, на котором находятся БД и СУБД (back-end), и рабочие станции, на которых находятся клиентские приложения (front-end). Клиентские приложения обращаются к СУБД напрямую.
В многозвенных (англ. ) ИС добавляются промежуточные «звенья»: серверы приложений (application servers). Пользовательские клиентские приложения не обращаются к СУБД напрямую, они взаимодействуют с промежуточными звеньями. Типичный пример применения трёхзвенной архитектуры — современные веб-приложения, использующие базы данных. В таких приложениях помимо звена СУБД и клиентского звена, выполняющегося в веб-браузере, имеется как минимум одно промежуточное звено — веб-сервер с соответствующим серверным программным обеспечением.
Классификация по степени автоматизации
По степени автоматизации ИС делятся на:
Классификация по характеру обработки данных
По характеру обработки данных ИС делятся на:
Классификация по сфере применения
Поскольку ИС создаются для удовлетворения информационных потребностей в рамках конкретной предметной области, то каждой предметной области (сфере применения) соответствует свой тип ИС. Перечислять все эти типы не имеет смысла, так как количество предметных областей велико, но можно указать в качестве примера следующие типы ИС:
Классификация по охвату задач (масштабности)
К таким информационным система относятся:
Что такое компьютерная информационная система
Время на прочтение
Этой статьей я открываю цикл, посвященный взаимодействию между заказчиками (пользователями) и программистами при внедрении программного обеспечения и автоматизации работы. О том, насколько сложно найти общий язык и реализовать успешный проект, думаю, известно практически всем. Скорей всего, и вы можете рассказать печальную историю о том, как “не получилось”. А, может, и не одну.
На собственном опыте я понял одну из важнейших причин неудач — отсутствие взаимопонимания. А в его истоках лежит непонимание людьми базовой терминологии. А потому именно с этого я и начну цикл.
В последующих статьях я поясню, как правильное понимание термина “компьютерная информационная система” почти всегда помогает на практике при внедрении программных продуктов. А после — расскажу о собственном опыте и приведу примеры реализации проектов.
К написанию этой статьи я шел очень долго, а материалы для нее я уже не первый месяц использую в процессе консультирования своих клиентов. Одна из самых больших проблем в любой сфере деятельности, где используется специфическая терминология, – это договор о понятиях. Часто люди используют слова, вообще не понимая их значения. И трактуют их каким-то своим особенным образом. Результат – отсутствие взаимопонимания, претензии и недовольство результатом. Особенно сложно пояснять основополагающие базовые понятия. Но в сферах бизнеса и IT технологий без этого не обойтись.
Одна из самых распространенных проблем при внедрении IT-систем – очень высокий процент провалов. Внедрение тормозится из-за отсутствия взаимопонимания с программистами, нередко уже готовые программные решения оказываются «пылящимися в коробке», так как они оказались совсем не тем, что ожидал пользователь.
Попытки пояснить и классифицировать компьютерные информационные системы привели к появлению огромного числа сложных и малопонятных терминов. Их пытаются делить на классы и подклассы, описывать странными для широкого круга людей терминами, что приводит к еще большей путанице.
Сложности взаимопонимания с IT-специалистами
Пользователи часто вообще не понимают, кто такие программисты и чего от них требовать. Я и сам в свое время, когда делал первые шаги в IT, с не понимал, что такое компьютерные информационные системы, какую роль в них играют программисты, когда и зачем они нужны.
Примеру: Если вы обращаетесь к врачам или, например, в строительную компанию, вы точно понимаете, что за специалист перед вами, как к нему обращаться, что рассказывать, какого результата ожидать. В IT-сфере до сих пор нет жестко устоявшейся и понятной на уровне обывателя терминологии.
Одна из самых больших проблем в IT – отсутствие общей( именно общей) теоретической базы. Я написал уже много тематических статей, предназначенных для широкого круга читателей. Например, «Что такое CRM» или «Иерархия IT-систем и выбор программного обеспечения для организации труда». Все они призваны в числе прочего помогать мне самому находить общий язык с клиентами. Но и здесь я столкнулся с непониманием. Люди не осознают в принципе, что такое IT система. И объяснить это «на ходу» бывает крайне сложно.
Справочники, учебники и статьи в интернете практически не дают информации на уровне пользователя. Например, определение в Википедии выглядит так:
Компьютерная информационная система (ИС) — система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д.), которые обеспечивают и распространяют информацию (ISO/IEC 2382:2015). Предназначена для своевременного обеспечения надлежащих людей надлежащей информацией, то есть для удовлетворения конкретных информационных потребностей в рамках определённой предметной области, при этом результатом функционирования компьютерных информационных систем является информационная продукция — документы, информационные массивы, базы данных и информационные услуги.
Осмыслить и понять это определение без глубоких знаний в теме практически невозможно, да и вникать в него, по большому счету, бессмысленно. И люди в большинстве своем так и не понимают: что является компьютерной информационной системой, а что – нет. Какие качества обязательны, а какие вторичны. Вопросов очень много. И если вы не будете понимать явления в его сути, вы так и будете понимать его как некую “магию”, шаманство.
В этой статье я попытаюсь дать определение IT-систем, понятное широкому кругу читателей, на основе собственного опыта и знаний. Конечно, я буду рад любой критике и дополнениям, так как тема – очень объемна и фундаментальна. А существующая на сегодняшний момент информация – сложна для восприятия и несколько противоречива.
Что такое компьютерные информационные системы?
Когда я читал различные определения IT систем, я долго не мог понять, почему они такие разные? Где-то можно встретить нечто громоздкое и всеобъемлющее, как в той же Википедии. А где-то краткие определения, «выхватывающие» какие-то отдельные аспекты и полностью на них основанные.
Как я вижу, суть проблемы в том, что люди не пытаются создать определение, которое стало бы фундаментальным обоснованием. Скорее, прослеживается стремление пояснить их собственное видение. И это я даже не говорю о ситуациях, когда описания и определения связаны с продажей какого-то программного обеспечения.
Чтобы понять, что же это такое, давайте вспомним, как появляется на свет новый программный продукт:
Этап 1. Идея. Просто на уровне «а давайте сделаем что-то, что будет делать вот такие вещи»
Этап 2. Построение модели.
Этап 3. Кодинг. Алгоритм воплощается в реальность в виде программного кода, которым смогут пользоваться люди.
И потому на самом общем уровне любую IT-систему (программный продукт, компьютерную информационную систему) можно определить кратко:
Идея, выраженная посредством языка программирования.
Почему именно “выраженная”, но не “реализованная”? Потому что компьютерного кода недостаточно для того чтобы идея заработала, получила материальную основу. Для того чтобы появилась материальная основа, необходимо чтобы человек реализовал ее.
Пример: Мы написали компьютерную программу, но чтобы она заработала необходим компьютер который будет ее запускать, монитор который будет при необходимости выводить эту информацию в виде понятном для человека. В конце концов нужен человек который будет запускать ее когда надо, проверять её работу, обслуживать.
На основе этого базового обоснования можно уже детализировать другие особенности, развить и выразить всю проблематику, связанную с информационными системами. Но здесь я считаю, что важна именно суть: появилась идея, которую можно выразить посредством языка программирования. Было найдено и воплощено в жизнь решение.
Чем поможет понимания особенностей IT систем?
Чтобы правильно выбирать программное обеспечение и понимать, какие дополнительные действия потребуются, стоит отталкиваться от определения «идеи, выраженной в программном коде».
И тогда, первый этап выбора будет основан на идее. Важно понимать, какую именно идею воплощали разработчики. Что они хотели и сумели реализовать. Какие основные принципы они воплощали в жизнь.
Если вы не сумеете понять идею, т.е. предназначения программного обеспечения, то ваши мысли о том, как вы будете использовать программу, не будут совпадать с идеями разработчиков. В итоге вы купите ненужный продукт.
Но чтобы идея компьютерной информационной системы совпала с вашей, необходимо, чтобы у вас была также собственная идея. Да, она будет выражена на пользовательском уровне. Но она должна быть.
Например, если вы хотите добавить на сайт калькулятор ОСАГО, нет смысла интересоваться просто калькулятором или какой-то системой расчетов других функций. Ваша идея – ОСАГО. Значит, нужно искать, кто из разработчиков также воплощал расчеты по ОСАГО. Иначе доработки выбранного продукта потребуют очень больших усилий либо вообще продукт окажется неподходящим для вашей идеи.
Для крупных компьютерных информационных систем крайне важно составить список ваших идей. И убедиться, что у разработчиков выбранного программного продукта в момент его реализации также присутствовал необходимый вам перечень идей, и, как следствие, решений.
Второй важный параметр: соответствие идеи ее реализации. Нередко разработчики в процессе воплощения идеи по самым разным причинам, начиная от ошибок и заканчивая организационными решениями уходят от изначальной идеи. И продукт, который должен был воплощать в себе одну идею, реализует ее лишь частично либо не реализует вообще. Это обязательно нужно проверять при помощи тестирования, консультаций со специалистами или какими-то другими способами (отзывы знакомых и прочее).
И третья проблема: идея, которую вам продают, может совпадать с вашей, но не совпадать с идеей, которую вложили в программную систему разработчики. Дело в том, что в коммерческих продуктах (а они в наше время почти все такие) заключается не столько в том, чтобы вы получили нужный инструмент, сколько в том, чтобы продать вам программный продукт. Т.е. при постановке задач разработчикам основная идея заключалась именно в продаже продукта, а не в его качественной работе и соответствии всем вашим потребностям.
Далее «в игру» вступают маркетологи, вы как вам кажется, что вы покупаете как раз ту «идею», которая вам необходима. А на самом деле, вы покупателе продукт, выполненный с другими идеями (продажи). А ваши потребности при реализации будут на уровне идеи только на втором месте. Продукт будет красивым, удобным, особенно на уровне демоверсий. Но в нем может не оказаться важных для воплощения именно вашей идеи инструментов.
Это как покупка квартиры с косметическим ремонтом «чтобы продать» — все очень красиво и качественно, а «баги» выявляются после покупки. К сожалению, в обществе капиталистическом, ориентированном на получение прибыли, такое встречается повсеместно. И частично воплощается даже в самых лучших системах.
Маркетинг и программный продукт
Почему пользователи так редко воспринимают программные системы как «воплощенные идеи»? Я считаю, что здесь проблема заключается в маркетинге. Чаще всего IT-системы подаются разработчиками и воспринимаются пользователями, как материальный товар. Причина такого подхода очевидна – товар продать намного проще, чем идею.
Человеку сложно воспринимать и, тем более, покупать идеи. Их невозможно «пощупать», и продавец редко может пояснить, почему именно такая идея лучше других. Другое дело – IT система как нечто материальное. Здесь сразу речь идет о непосредственной пользе и преимуществах с точки зрения покупателя. Все можно увидеть, оценить, выбрать.
Маркетологи стремятся показать выгоды с точки зрения покупателя. Тем более, что у любой программы есть определенная цена. В результате у покупателей складывается несколько искаженное представление об компьютерных информационных системах: они считают, что осуществляют покупку готового продукта. Такого же, как сапоги или автомобиль. И часто недоумевают, и разочаровываются, когда понимают, что это не так. Оказывается, для реализации компьютерной информационной системы понадобятся какие-то доработки, настройки, работа программистов и т.д.
Идея и выбор программной системы
Первое, где поможет понимание особенностей компьютерных информационных систем, это правильный выбор программного продукта.
Основные критерии выбора:
Таким образом, для выбора программной системы вам нужно четко сформулировать вашу собственную идею: что должна выполнять компьютерная информационная система, какие параметры действительно важны (соответствуют вашей основной идее), что – второстепенно (без этого можно обойтись). Все функции программных, которые в ваш перечень не входят, придется изучать отдельно. Иногда они становятся приятным дополнением. Но чаще – ненужными возможностями, за которые вам придется заплатить.
Из всех существующих программных продуктов вас заинтересуют только те, где в описании указана нужная вам идея. В идеале именно ваша идея должна декларироваться как основная, а другой функционал, если он есть, как дополнительные возможности.
Далее следует изучить качество реализации. Для этого используются отзывы других пользователей, тестовые бесплатные версии и т.д. Помните, что реализация далеко не всегда соответствует изначальной идее и описанию.
Нередко при покупке программного обеспечения используется ошибочная тактика. Покупатель изучает, реализованы ли нужные ему функции, не обращая внимания как раз на основную идею разработчиков, даже если она явно прописана в названии и описании программного продукта. В результате они получают нужный функционал, но зачастую в «обрезанном» виде. Систему приходится очень сильно дорабатывать, а это – значительные затраты времени и средств. А иногда это вообще невозможно. При этом в составе продукта покупатель получает множество ненужных ему возможностей, которые он также вынуждено оплачивает.
Например, если вам нужен сайт-визитка, нет никакого смысла покупать дорогостоящий «движок» интернет-магазина. И наоборот, если вам нужен магазин, попытка воспользоваться бесплатной CMS чаще всего ведет к значительным затратам при адаптации этого кода под интернет-магазин.
С одной стороны, даже под бесплатные «блоговые» CMS существуют готовые надстройки для создания интернет-магазина. С другой стороны, это не основная идея выбранного вами продукта. А потому функционал в ней ограничен. И как только вам понадобится интеграция с учетной системой, какой-то обмен данными с CRM и другие функции автоматизированной торговой площадки, вы столкнетесь со сложностями, потеряете время. Да и затраты на доработки часто оказываются выше, чем в случае покупки готового интернет-магазина с уже реализованными возможностями автоматизации.
Очень важно, чтобы выбранный вами программный продукт максимально соответствовал вашей идее.
Как найти общий язык с разработчиком
Понимание сути компьютерные информационных систем помогает правильно выбрать разработчика для создания или доработок программного продукта. Людям, которые далеки от компьютерных информационных технологий, часто кажется, что все программисты одинаковы и с ними сложно найти общий язык.
На самом деле, чтобы добиться взаимопонимания с разработчиком, нужно:
Как видите, при правильном понимании термина «компьютерные информационные системы» коммуникация со специалистами также оказывается не столь сложной, как это описывают многочисленные мифы об «айтишниках».
Подробнее о том, как на практике применять такое определение компьютерной информационной системы, читайте в следующей статье.
Типы информационных систем и их уровни защищённости
Здравствуйте, сегодня я хочу рассказать о правовых аспектах информационной безопасности в России, именно правовых аспектах, потому что все типы ИС и уровни/классы защищённости приведены из официальных источников. В последнее время власти страны уделяют большое внимание сфере ИТ, информационная безопасность не осталась в стороне, появляется множество новых нормативно-правовых актов и вносятся изменения в существующие НПА, регулирующих ИБ. Данная тема очень обширная поэтому я хочу рассказать о классификации информационных систем, уровнях/классах защищенности каждой из типов ИС.
В России выделяют 4 типов информационных систем:
В этой статье я хочу рассказать о 3 информационный системах, а именно ИСПДн, ГИС, АС.
Информационная система персональных данных
«Информационная система персональных данных – это информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств». Такое определение ИСПДн дает Федеральная служба по техническому и экспортному контролю РФ я считаю, что данное определение достаточно понятно и полно описывает понятие ИСПДн и не вижу смысла останавливаться и разбирать каждое слово в нем, лучше перейдём к более интересной части, а именно к определению уровня защищенности данного типа ИС.
В ИСПДн выделяют 4 уровня защищенности персональных данных. Для определения уровня защищенности используется определенный алгоритм, о котором я сейчас расскажу. Этапы определения уровня защищенности персональных данных в информационной системе персональных данных:
1. Определение вида персональных данных циркулирующих в данной ИС
В ИСПДн выделяют 4 вида персональных данных.
С первым шагом в классификации ИСПДн мы разобрались, переходим ко второму.
2. Определение субъекта ПД
С этим пунктом всё на много проще тут выделяют два типа субъектов:
Теперь разберёмся что такое оператор персональных данных. Если говорить простым языком, то любой работодатель будет являться оператором персональных данных. Если в ИС хранятся и обрабатываются персональные данные сотрудников данного работодателя, то это относится к 1 типу субъекта, если в ИС хранятся и обрабатываются данные людей, которые обращаются в какую-либо фирму или предприятие, то эти субъекты относятся ко второму типу, то есть не являются сотрудниками оператора ПД.
3. Количество субъектов
Количество субъектов в ИСПДн является 3 этапом в определении уровня защищенности.
Тут еще легче, чем в первых двух.
4. Определение типа актуальных угроз. Здесь выделяют 3 типа угроз
1 тип – не декларированные возможности в системном ПО.
2 тип – не декларированные возможности в прикладном ПО.
3 тип – отсутствие не декларированных возможностей.
Теперь я считаю, целесообразно будет рассказать, что же это за такиене декларированные возможности, а это достаточно простое для пониманияпонятие. Н ДВ – функционал незадекларированный производителем, совсем простым языком это так называемые бекдоры, то есть некая часть программы, через которую можно получить несанкционированный доступ к данным или к управления приложением.
Сейчас у вас может сложиться впечатление о том, что вы прочитали кучубесполезной информации, которую сложно понять, прочитав 1 раз. Поэтому, что бы не заставлять вас перечитывать все по несколько раз, предлагаю посмотреть мою mindmap, в которой все очень просто и понятно.
Определение УЗ ИСПДн
Теперь можно поговорить и о самих уровнях защищенности. Уровень защищённости персональных данных – это комплексный показатель, характеризующий выполнение неких требований направленных на нейтрализацию угроз безопасности информации. Как я уже говорил в ИСПДн выделяют 4 уровня защищённости, где самый высокий (то есть требующий наибольшей защиты) 1 уровень защищённости, ну а самый низкий 4 уровень.
Самым простым и понятным способом определения уровня защищённости является таблица, которую я привел ниже.
Таблица определения уровня защищённости ИСПДн.
Государственные информационные системы
Государственные информационные системы – это федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов, ФЗ 149. Данные информационные системы создаются для пользования государственных органов. В ГИС выделяют 3 класса (К) защищенности информации: 1 класс (1К), 2 класс (2К), 3 класс (3К), где 1 класс требует наибольшей защиты, 2 класс средней защиты, 3 класс наименьшей защиты. Для определения класса защищённости рассматривают всего 2 параметра.
Масштаб ГИС разделяется на 3 уровня:
2) Уровень значимости
Уровень значимости определяется исходя из степени ущерба от нарушения конфиденциальности, целостности, доступности. Выделяют 3 степени ущерба, которые определяются обладателем информации, оператором или экспертом.
ВысокаяВысокая степень ущерба наступает в результате нарушение конфиденциальности, целостности, доступности информации и влечет за собой один или несколько вариантов развития событий, а именно
Средняя Средняя степень ущерба наступает в результате нарушения конфиденциальности, целостности, доступности информации и влечет за собой один или несколько вариантов развития событий, а именно:
НизкаяНизкая степень ущерба наступает в результате нарушения конфиденциальности, целостности, доступности информации и влечет за собой один или несколько вариантов развития событий, а именно:
Для тех кто не знает поясню о конфиденциальности, целостности, доступности. К ЦД являются тремя основополагающими свойствами безопасности информации.
Конфиденциальность – это состояние информации, при котором доступ к информации есть только у тех лиц, которые имеют на это легальное право. Целостность – это свойство информации быть изменённой легально. Доступность – это свойство информации быть доступной и готовой к использованию по запросу в любой момент времени.
Информация имеет высокий уровень значимости(УЗ1), если хотя бы для одного из свойств безопасности информации (КЦД) определена высокая степень ущерба.
Информация имеет средний уровень значимости(УЗ2), если хотя бы для одного из свойств безопасности информации (КЦД) определена средняя степень ущерба.
Информация имеет низкий уровень значимости(УЗ3), если хотя бы для одного из свойств безопасности информации (КЦД) определена низкая степень ущерба. Повторюсь степень ущерба определяется самим обладателем информации, оператором информации или экспертным методом.
Так же приведу mindmap и таблицу по определению класса защищённости ГИС.
Определение класса защищённости ГИС
Автоматизированная система
Автоматизированная система – это система состоящая из персонала и комплекса средств автоматизации его действий, реализующая информационную технологию выполнения установленных функций.
Класс защищённости автоматизированных систем определяется исходя из 4 параметров:
Определение класса защищённости АС
Классы защищённости автоматизированных систем
В автоматизированных системах выделяют 3 группы защищённости и 9 классов защищённости: 1А, 1Б, 1В, 1Г, 1Д, 2А, 2Б, 3А, 3Б. Сейчас я расскажу обо всех класса и группах.
Группа
Многопользовательские автоматизированные системы, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации автоматизированной системы. К перовой группе относятся классы 1А, 1Б, 1В, 1Г, 1Д.
Автоматизированные системы, в которых циркулирует информация, составляющая государственную тайну: 1А, 1Б, 1В.1В – в случае обработки секретной информации с грифом не выше “Секретно”.1Б – в случае обработки секретной информации с грифом не выше “Совершенно секретно”.1А – в случае обработки секретной информации с грифом “Особая важность”.1Г – автоматизированные системы, в которых циркулирует служебная тайна.1Д – автоматизированные системы, в которых циркулируют персональные данные.
Автоматизированные системы, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации автоматизированной системы, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности. Ко второй группе относятся классы: 2А – информация составляющая государственную тайну, 2Б – информация составляющая конфиденциальную информацию.
Автоматизированные системы, в которых работает один пользователь, допущенный ко всей информации автоматизированной системы, размещенной на носителях одного уровня конфиденциальности. К третьей группе относятся классы: 3А – информация составляющая государственную тайну, 3Б – информация составляющая конфиденциальную информацию.
В этой статье я рассказал о 3 типах информационных систем и о их классах/уровнях защищенности, данная информация будет полезна для людей, которые хотят стать хорошим специалистом по информационной безопасности, потому что нельзя построить хорошую систему защиты информации, без проведения аудита безопасности, а определение типа информационной системы и уровня/класса её защищённости является один из первых шагов по проведению аудита.