Joomla Software solutions Template

Payday loan

Управленски и информационни системи

Въведение

Описаната ситуация в  казуса се отнася най – вече до възможностите за синтезиране на информационните потоци  в едно направление, така че информацията да бъде полезна на обществото.

Както е известно,  днес информацията заема ключово място в „потребителската кошница” на критичните за всеки бизнес или дейност активи, демонстрирайки уникалната тенденция на постоянно покачваща се с времето себестойност.

В най – общ вид, под информация се разбира съвкупност от сведения, определящи степента на нашата осведоменост за един или други събития, факти и връзките между тях. Информацията е  също резултат от отражение на обективната действителност. Тя  е обозначение на  съдържанието, получено от външния свят в процеса на нашето приспособяване към него. (Търкаланов, 2003: 16-17).

Информацията е отражение на определени свойства на обектите и процесите в действителността от даден обект или субект. Обектите и субектите, които могат да формират у себе си представи за околната среда, биват - Получатели на информация и Източници на информация.  Получателите увеличават познанията си за реалния свят. Източниците изпращат в околното пространство сигнали, които се разглеждат като носители на информация. Приема се, че сигналът може да достигне до получателя посредством някаква материална среда, наречена канал за връзка. (Николов, 2007: 11-12) Отражението на свойствата на обектите от субекта може да се материализира чрез създаване на нови реални обекти, наречени информа­ционни обекти. Информационният обект се различава от своя първообраз. Това се дължи на факта, че при отражението се отчитат само определени свойства на възприемания обект.

В случая, с проекта за въвеждане на електронно правосъдие се прави опит, информацията, свързана с правната действителност да бъде предоставена в електронен вид.

Така описан и подготвен, проектът има за цел да улесни потребяването на правна /юридическа/ информация, но предвид факта, че става въпрос за електронни услуги, следва да се разгледат  някои силни и слаби страни на решението по проекта, както и рисковете пред внедряването му.

1. Кои са силните и слабите страни на предложеното решение?

Известно е, че информацията е неразривно свързана с управлението. Информацията в развитите страни все по-определено се превръща в нов мощен фактор на социално-икономическото развитие. Характерна особеност на третата промишлена революция, започнала след 1965г., е че обработката на информация става важна производствена задача. Налага се нов подход, характеризиращ се с това, че информацията се разглежда като един от най-важните ресурси за дейността на предприятието (фирмата), наред с останалите традиционни ресурси (материални, финансови, човешки, енергийни). Това предполага използването на аналогични методи и технологии за нейното планиране, натрупване, съхраняване и потребление.

Днешното публично  управление все повече се основава на модерни начини за обработка на информацията, на прилагането на нови информационни технологии. Същевременно информацията предоставя възможност на  публичните управленски органи да опознаят същността на процесите и явленията и на тази основа да изработват и вземат обосновани решения. Съвременните тенденции в развитието на обработката на информацията се изразяват в преминаването от практиката на организиране и обработка на информацията по отделни подсистеми и задачи към общосистемното й организиране, съобразено с нейното предназначение в управленския процес.

В този смисъл, основна силна черта на проекта е преминаването към електронно управление на юридическата информация, в съзвучие с най   - новите изисквания на ЕС

Другите силни черти на предлаганото решение могат да се обособят както следва:

-          решението ще улесни много широк кръг от потребители;

-          решението е обезпечено и прието след мащабни анализи и оценка на ситуацията;

-          съществуват планове, които да насочват изпълнителите по проекта;

-          проектът е целеположен, тоест, строго са определени мотивите и възможностите по приложението му.

Наред с това, имайки предвид описаната в казуса ситуация, решението страда от много сериозен недостатък: никъде в казуса не се споменава как ще бъде защитена информацията.

Най-често под понятието информационна сигурност се разбира доколко комуникационните системи и системите за добиване, обработка и съхраняване на данни са технологично защитени. Според казуса, дори не са определени и параметрите на физическата сигурност на информацията, като тези параметри се считат за първо / базово / ниво при защита на информацията.

В този смисъл, трябва да се поясни какво точно се има предвид под физическа защита на информацията.  Системата от мерки за физическа сигурност е част от общите изисквания за сигурност на информацията. Физическата сигурност на дадена информация включва система от организационни, физически и технически мерки за предотвратяване на нерегламентиран достъп до материали, документи, техника и съоръжения. Тази система се изгражда чрез защита на сградите, помещенията и съоръженията, в които се създава, обработва и съхранява информация и контрола върху достъпа до тях.

Системата от мерки, способи и средства за физическа сигурност на информацията  биват: общи, конкретни и специални.  Общите мерки за физическа сигурност са организационни и се изразяват в определяне и изграждане на зоните за сигурност.

Конкретните мерки са физически и технически и включват:

-  определяне и изграждане на периметър;

-  защитно осветление;

-  алармена система против проникване;

-   контрол на физическия достъп;

-  защита срещу подслушване, осъществявано със или без технически средства;

- защита срещу неправомерно визуално наблюдение, осъществявано със или без технически средства;

- осъществяване на визуално наблюдение за защита на физическата сигурност на класифицираната информация със или без използване на технически средства минимум през 2 часа;

-  сили за реагиране;

-  пожарогасителна или пожароизвестителна система.

Специалните мерки се прилагат за осигуряване физическата сигурност на информацията,  съдържаща се в материални носители, които поради своето естество или размери не могат да бъдат пренасяни (транспортирани) по общия ред.

Мерките за физическа сигурност на информацията имат за цел:

• предотвратяване на нерегламентиран достъп или на опит за нерегламентиран достъп до информация;
• предотвратяване, пресичане и установяване на действия, които поставят под съмнение надеждността на служителите;
• групиране на служителите съобразно издаденото им разрешение за достъп до информация и в съответствие с принципа "необходимост да се знае";
• своевременно установяване и противодействие при нарушаване или при опит за нарушаване на мерките за физическа сигурност;
• възпиране и откриване на действия на нелоялни членове на персонала;
• откриване и разработване на всички пробиви в системата за сигурност на информация във възможно най-кратки срокове.

В рамките на физическата сигурност на информацията,  специално внимание заслужават способите за предотвратяване на заплахите, а именно анализът на риска и плана за осигуряване на физическа сигурност. Целта на тези способи е насочена към създаване на ефективни методи за противодействие на заплахите за физическата сигурност чрез използване на защитни мерки.

По своята същност способът "анализ на риска" е оценка на заплахите и представлява непрекъснат аналитично- информационен процес по събирането на данни и техния анализ и оценка от гледна точка на физическата защита на класифицираната информация. Анализът на риска цели установяване на всякаква заплаха или вреда в резултат на нерегламентиран достъп, опит за нерегламентиран достъп, терористична дейност или саботаж, както и влиянието и последиците при тяхното проявление.

Процесът по анализ на риска включва:

- определяне на обекта (сграда, помещение, съоръжение, в което се създава, съхранява, обработва и предоставя информация), подложен на риск;

- установяване степента на застрашеност и уязвимост на обекта от нерегламентиран достъп до информация;

-  анализ на съществуващите мерки за физическа защита;

- изграждане и усъвършенстване на системата от мерки за физическа защита;

-  определяне стойността на мерките за физическа защита;

-  избор на вариант за осъществяване на физическа защита;

- описание на остатъчната заплаха и нейното допустимо проявление;

-  периодични проверки, преразглеждане и преоценка.

В казуса точно  и ясно са регламентирани отделните действия по проекта,  както и е показана комуникационната връзка между отделните елементи на проекта, но не са посочени никакви мерки за защита на информацията, което се явява съществен недостатък на проекта.

2 Какви са възможните трудности при интегриране на съществуващите информационни системи?

В казуса е отразено, че  проектът ще обединява съществуващите до момента системи. В този смисъл и с оглед на факта, че информацията трябва да е защитена, като основна трудност се определя анализа на риска, тъй като различните системи имат различен достъп, отделни нива на защита, както и различна базова среда за въвеждане и обработка на информация.

Причините за поява на недостатъци, проблеми  и слабости на системата могат да бъдат и  недостатъчна степен на адекватност на комплекса от законодателно, административни, организационни, технически и оперативни актове, механизми и процедури, на динамично променящата се среда за сигурност, така и текущи проблеми при функционирането на системата, свързани с некачествено или непълно изпълнение на планираните мерки за сигурност.

Идентифицирането на уязвимостите на проекта електронно правителство  може да бъде осъществявано чрез прилагане на различни методи, техники и подходи в зависимост от степента на изграждане и етапа на функциониране на конкретната система за сигурност.

Друг проблем при осъществяване на проекта е този,   свързан  с документалната сигурност. Документалната сигурност на информацията  обхваща дейността по набиране  на информацията, условията и реда за нейното въвеждане и съхраняване, регистрирането и отчета на материалите, размножаването и правенето на извадки от документи и пр.

Документалната сигурност на информацията трябва да се постигне още на етапа на създаването на документи и материали и тяхното въвеждане в системата.

Основните  предизвикателства за постигане на документалната сигурност в условия на  промяна, както е в случая с проекта  са свързани с организирането на работата и отчетността на дейността на регистратурите по въвеждане и интегриране между отделните системи.

3. Какви са възможните рискове при внедряване на системата?

Анализът и оценката на риска са целенасочени дейности и етап на процеса на управление на риска, чиято същност най-общо включва: систематизиране и обработване на резултатите от етапа на идентифициране на риска чрез съответни методи и техники за анализ, изготвяне на анализ на прилаганите механизми и процедури за защита, анализ и оценка на степента на неблагоприятно влияние при въздействие на източника на заплаха върху определена уязвимост, определяне степента на риска и изготвяне на матрица за нивото на риск, изготвяне на препоръки за необходимите действия за управление на риска.

Целенасочената преработка на информацията за източниците на заплаха и уязвимостите на системата за сигурност има за идея получаването на качествено  нов продукт, който е предпоставка за извършване на обективна оценка на степента на риск, на големината, посоката и интензитета на негативно въздействие върху организацията и необходимостта от прилагане на подходящи стратегии за третиране на риска.

Анализът на двойката източник на заплаха - уязвимост, позволява да се определи и прогнозира начина на действие на източниците на заплаха върху социалната организация и така да се планира и приложи ефективно противодействие и цялостно оптимизиране на системата за сигурност.

Важен етап в анализа на риска е определяне на вероятността установените уязвимости на системата за сигурност да бъдат експлоатирани от идентифицираните източници на заплаха. При този етап се анализират мотивацията, капацитета и способностите на източника на заплаха, същността и характеристиките на уязвимостите, съществуването и ефективността на защитни механизми и процедури на системата за сигурност.

Може да се приложи механизъм с три степени на вероятност уязвимостите на системата да бъдат експлоатирани от източниците на заплаха – висока, средна и ниска степен.

При високата степен на вероятност източникът на заплаха е с високо ниво на мотивация и способности и защитните механизми и процедури за предотвратяване на уязвимостта от експлоатиране са неефективни.

При средната степен на вероятност източникът на заплаха е мотивиран и притежава способности за въздействие, но прилаганите защитни механизми и процедури имат потенциал да възпрепятстват успешното експлоатиране на уязвимостта на системата за сигурност.

При ниската степен на вероятност източникът на заплаха не притежава необходимата мотивация и способност за въздействие или защитните механизми и процедури са с необходимия потенциал да предотвратят или поне значително да затруднят експлоатирането на уязвимостта.

Рисковете за нерегламентиран достъп до системата за електронно правосъдие и нарушаването на   информационната сигурност могат да се намалят чрез прилагане на следните три компонента:

Конфиденциалност (Confidentiality). Този компонент осигурява достъпа на упълномощените лица (или процеси) до информацията.  Типично нивата на конфиденциалност са от 4 до 6, като най-ниското (публично) е 1.

Цялост (Integrity) Компонентът осигурява данните срещу неоторизирана промяна, която би могла да бъде извършена неволно от оторизиран или от неоторизиран потребител, а би могла да бъде и просто техническа грешка. Отражение е на това до колко можем да си позволим дадена информация да бъде променена и какви биха били последствията от подобна промяна.                 Мерките за защита на целостта са използване на хеш функция, прилагане на принципа на „четирите очи”, т.е. действието по промяна на данните, изисква намесата на двама (а понякога и трима) оператори.       Достъпност (Availability). Отразява времето, през което информацията може да е недостъпна, без това да има отрицателни последици. Както и при конфиденциалността нивата са 4 до 6, като на практика това означава период от няколко минути за високите нива до 2-3 и повече дни.

Може да се обобщи: основен риск в случая е осигуряване на защитата на данните.  Двойнствената същност на термина “защита на данните” се проявява както по отношение на носителя, върху който са записани, така и по отношение на тяхното ползване. Разглеждането им и в двата аспекта е свързано с понятието сигурност. В първия аспект се включват проблемите на сигурността на данните през целия им жизнен цикъл – създаване, съхраняване, обработка, предаване, ползване, унищожаване. Основните акценти в този аспект са защитата от разрушаване и свързаната с това защита на целостта, която е особено важна за режима на предаване на данни. В обхвата на тази защита освен дейностите по противопожарна охрана, действия при бедствия, аварии и извънредни ситуации, е включена също и антивирусна защита, защита на автентичността, защита на използваното техническо, технологично, програмно и кадрово осигуряване от грешки и аварии.

Сигурността на ползването на данните също се свързва със защита, която обхваща контрол на достъпа, регламентирането му, както и средства и методи за защита на данните.

Дефинирането на сигурността може да се изведе от противопоставянето му с термините защита от уязвимост, заплаха, противодействие. Пренесени в полето на комуникационната, информационната и компютърната сигурност (които често се отъждествяват, предвид взаимното проникване на компютърните и телекомуникационните технологии), те обхващат конфиденциалността, целостта, наличността на данните по всяко време и на точно определеното място. Комуникационната защита се съсредоточава в защитата на съобщенията, чрез която се запазва в тайна текстът, неговата автентичност, идентифицирането на комуникантите – физически лица и компютри в мрежата, контрол на трафика по отношение интензивност и продължителност на комуникацията.

Защитената информация често се отъждествява със защитената компютърна система, макар че не винаги добре защитената компютърна система осигурява основните характеристики за сигурност на данните - точност, цялостност и автентичност. Съществува сложен комплекс от уязвимости, заплахи и противодействия, които могат да се проявяват както поединично, така и в многообразни комбинации и да компрометират и една добре защитена компютърна система. От световната практика най-често проявяващи се уязвимости се локализират от мястото, където е направен пробив на защитата на информацията: природни, физически, технически, програмни, комуникационни, експлоатационни, човешки уязвимости. Трябва да се подчертае, че локализираните най-чести и тежки пробиви се дължат на последния вид – човешкия фактор.

Процедурите за защита на компютърните системи и информацията включват различни методи за противодействие, които най-общо могат да се групират в следните групи: физически, компютърни, комуникационни. Всяка от тези групи използва последните постижения на съвременните технологии. Физическите противодействия в съвременно технологично изпълнение са електронни катинари, биометричен контрол – дигитални пръстови отпечатъци, кръвен анализ, биометричен мониторинг, позволяващ многомерна идентификация и проследяване.

Компютърните методи се развиват в теорията и практиката на криптографската защита на данните чрез създаване на все по-усъвършенствани алгоритми за “заключване”.

Етапите при осигуряване на защитата на информационната среда  по проекта могат да бъдат  няколко:

ИТ сигурност. Застъпен е основно технологичния риск: уязвимости на операционната система, отделните приложения, мрежово оборудване както и системи за защита. Мерките са свързани предимно с информационните технологии и се прилагат главно като следствие на възникнали инциденти, в съответствие с най-добри практики и препоръки на производителите на софтуер и хардуер, както и по препоръка след консултации с компании, специализирани в сигурността.

Информационна безопасност. На този етап, освен технологичния риск вече е застъпен и информационния риск. Взема се предвид класификацията на данните за конфиденциалност и цялост.

Управление на информационния риск. Освен по-горе изброените рискове се включва и свързаният със средата риск. За всеки риск се определя заплахата (exploit of vulnerability), както и вероятността подобно събитие да настъпи. Действията могат да се предприемат в три основни насоки:

-          Намаляване на заплахата чрез намаляване броя на уязвимостите – например инсталиране на “кръпките” за сигурността (security patches);

-          Намаляване на вероятността от възникване - например вероятността от човешка грешка или грешка при обработване или пренасяне на информацията може да се намали чрез въвеждане на процедури за по-строг и детайлен контрол;

-          При невъзможност да се повлияе на заплахата и на вероятността за настъпване на събитието, трябва да се вземат мерки за отстраняване или минимизиране на вероятните последствия.

Заключение

Както е известно, ценността на информацията зависи от различни фактори: от интересите на приемащия, от времето на получаване на информацията, от начина на получаване и др. Свойствата на информацията, които имат отношение към ценността на информацията, са: достоверност, изчерпателност, актуалност, достъпност и навременност. (Кузнецов):

-          Достоверност - информацията изразява точно и правилно описвания обект;

-          Изчерпателност - в информацията се включват всички съществени характеристики на описвания обект;

-          Актуалност - информацията отразява текущите свойства на обекта;

-          Достъпност и навременност - възможността информацията да бъде получена от заинтересованите в подходящо за тях време.

Отношението на получателя определя следните качества на информацията:

- Ценността (значимостта) на информацията се дефинира като качество на информацията, генерирано в отношението: получател - съдържание на информацията - възможност за използването й за постигане на определена цел. В някои разработки се използва терминът „полезност". Въпреки известни нюанси с оглед опростяване на терминологията в по-нататъшното изложение ще използваме трите термина като синоними. Качеството „ценност" е силно динамично. Във висока степен то зависи от промяната в условията. При рязкото им изменение информацията може да придобие изключително значение, както и обратно - значението й да спадне до минимум.

-  Своевременността (актуалността) е качество на информацията, формиращо се в отношението: получател информация - време за ориентация и избор на поведение.

Качествата на информацията според отношението на получателя могат да се променят, без самата информация да губи качествата си, свързани със съдържанието.

В случая, при изпълнение на описания проект са налице всички посочени качества на информацията: тя  е ценна за потребителите, при правилно изпълнение на проекта, тя ще бъде своевременна и актуална и ще улеснява потребителите.