Файл: Практику (вид практики) Научноисследовательская работа (тип практики).docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 09.12.2023

Просмотров: 209

Скачиваний: 22

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.



НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ ЧАСТНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «МОСКОВСКИЙ ФИНАНСОВО-ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ «СИНЕРГИЯ»
Институт Информационных технологий

(наименование факультета/ института)
Направление подготовки /специальность: 09.04.03 Прикладная информатика

(код и наименование направления подготовки /специальности)

Профиль/специализация: Управление информационными технологиями в организации.

(наименование профиля/специализации)

Форма обучения: заочная


УТВЕРЖДАЮ

Директор Института

Информационных технологий


Косарев С.А.. Подпись (Подпись) (ФИО)

«____» ___________________ 202___ г.


ИНДИВИДУАЛЬНОЕ ЗАДАНИЕ

НА ПРОИЗВОДСТВЕННУЮ ПРАКТИКУ

(вид практики)

Научно-исследовательская работа

(тип практики)

4 семестр

обучающегося группы .

(Шифр и № группы) (ФИО обучающегося)
Место прохождения практики:

Университет «Синергия»

(наименование структурного подразделения Образовательной организации)
Срок прохождения практики: с «___» __________ 20__ г. по «__» _________20__ г.

Содержание индивидуального задания на практику:

п/п
Виды работ

1.
Инструктаж по соблюдению правил противопожарной безопасности, правил охраны труда, техники безопасности, санитарно-эпидемиологических правил и гигиенических нормативов.

2.
Выполнение определенных практических кейсов-задач, необходимых для оценки знаний, умений, навыков и (или) опыта деятельности по итогам производственной практики (научно-исследовательской работы).

2.1.
Кейс-задача № 1

Описание темы исследования. Сегодня в условиях активной цифровизации общества тема автоматизации бизнес-процессов на предприятии становится все более и более актуальной. Все больше компаний достигает необходимого уровня зрелости, и приходит к необходимости формализации бизнес-процессов и внедрения средств для их автоматизации. Данный этап очень важен для того, чтобы компания могла успешно конкурировать в современных условиях на любом рынке.

Бизнес-процесс представляет собой систему последовательных, целенаправленных и регламентированных видов деятельности, в которой посредством управляющего воздействия и с помощью ресурсов входы процесса преобразуются в выходы, результаты процесса, представляющие ценность для потребителей.

Автоматизация бизнес-процессов на предприятии - это внедрение программно-аппаратного комплекса, который совместно с новыми правилами выполнения типовых процедур обеспечивает качественное повышение уровня работы предприятия.

Существуют различные стратегии внедрения информационных систем для автоматизации деятельности организации. Также есть различные варианты приобретения информационных систем. Каждая компания разрабатывает свою стратегию автоматизации деятельности, организует проекты внедрения
Задача 1. Ознакомится с научной темой исследования. Изучить научные источники по данной теме, включая научные статьи в наукометрических базах РИНЦ, Scopus, Web of Science, источники интернета, наработки компаний по реализации проектов внедрения информационных систем. Сформировать список научных источников, необходимых для исследования. Сформулировать тему научного исследования, согласовать тему с руководителем.

Задача 2. Осуществить сбор материалов по теме научного исследования, систематизировать собранный материал. Провести анализ обработанной информации. Выявить проблемы, требующие решения.
Задача 3. Изучить физическую сущность проблемы. Сформировать варианты решения. Выбрать и обосновать модель решения. Провести анализ модели и полученных решений.
Задача 4. Обосновать выбор необходимых средств для проведения экспериментальных исследований, применяемых методик. Провести апробирование полученных результатов. Обработать полученные результаты.
Задача 5. Сопоставить результаты экспериментов с теоретическими данными, проанализировать выявленные расхождения. Сформулировать научные выводы. Составить научный отчет по результатам исследования.

2.2.
Кейс-задача № 2

Описание темы исследования. В современных рыночных условиях конкурентное преимущество остается за теми компаниями, которые открыты для нововведений, позволяющих значительно увеличить эффективность управления бизнесом. Одной из подобных управленческих инноваций, предоставляющих значительное конкурентное преимущество, является аутсорсинг.

Аутсорсинг (от англ. Outsourcing: внешний источник) — это передача организацией определенных функций на обслуживание другой компании, специализирующейся в соответствующей области. Главная цель аутсорсинга заключается не в экономии средств, а в возможности освободить соответствующие организационные, финансовые и людские ресурсы, чтобы развивать новые направления, или сконцентрировать усилия на существующих, требующих повышенного внимания, направлениях.

Информационные технологии положили начало возникновению и развитию ИТ-услуг как части делового сервиса. ИТ-услуги представляют собой развивающуюся отрасль, характеризующуюся большим числом направлений. Наиболее актуальным является аутсорсинг ИТ-услуг, означающий передачу специализированной компании функций, полностью или частично связанных с информационными технологиями. Аутсорсинг практически официально признан надеждой всей ИТ-отрасли.

Залогом успеха аутсорсингового проекта в последнее время становятся три ключевых фактора: наличие профессионализма со стороны всех участников, адекватное управление процессами и высокий уровень доверия со стороны заказчика по отношению к поставщику услуг.

Объемы рынка ИТ-аутсорсинга непрерывно увеличиваются. В бизнесе данные технологии также широко используются, например, в таких сферах как логистика, маркетинг, производство, транспорт, в туристическом и гостиничном бизнесе, в таможенной сфере, в образовании, в медицине и т.п.

Задача 1. Ознакомится с научной темой исследования. Изучить научные источники по данной теме, включая научные статьи в наукометрических базах РИНЦ, Scopus, Web of Science, источники интернета, услуги аутсорсинговых компаний в ИТ-сфере. Сформировать список научных источников, необходимых для исследования. Сформулировать тему научного исследования, согласовать тему с руководителем.

Задача 2. Осуществить сбор материалов по теме научного исследования, систематизировать собранный материал. Провести анализ обработанной информации. Выявить проблемы, требующие решения.

Задача 3. Изучить физическую сущность проблемы. Сформировать варианты решения. Выбрать и обосновать модель решения. Провести анализ модели и полученных решений.

Задача 4. Обосновать выбор необходимых средств для проведения экспериментальных исследований, применяемых методик. Провести апробирование полученных результатов. Обработать полученные результаты.

Задача 5. Сопоставить результаты экспериментов с теоретическими данными, проанализировать выявленные расхождения. Сформулировать научные выводы. Составить научный отчет по результатам исследования.

2.3.
Кейс-задача № 3

Описание темы исследования. Развитие программных продуктов и методологий управления бизнесом привело к появлению новых идей интегрированного управления, которые базировались на концепции «целевой интеграции» процессов, направленных на наиболее полное удовлетворение потребностей или конечного пользователя продукции. Более простым выражением этой же идеи является термин «процессный подход в управлении».

Информационная система — это комбинация ручных и компьютерных процессов, которые решают поставленные задачи, четко и логично взаимодействуя между собой. В условиях современной конкурентной экономики, использование развитых информационных систем помогает организациям занимать лидирующие позиции в их бизнесе.

Существует множество подходов к решению задач, связанных с проектированием и построением информационных систем. Большинство подходов опирается на инструментальные средства, позволяющие автоматизировать создание системы. Поэтому деятельность такого рода получила название CASE (Computer Aided Software Engineering). Задача по созданию информационной системы делится на несколько подзадач. Это разделение зависит от применяемого подхода, но в любом из них всегда присутствуют два действия: сбор информации и моделирование бизнеса; построение архитектуры будущей системы, что является важным шагом на пути к ее созданию.
Задача 1. Ознакомится с научной темой исследования. Изучить научные источники по данной теме, включая научные статьи в наукометрических базах РИНЦ, Scopus, Web of Science, источники интернета, наработки компаний в области процессного подхода в управлении и использования инструментов моделирования. Сформировать список научных источников, необходимых для исследования. Сформулировать тему научного исследования, согласовать тему с руководителем.
Задача 2. Осуществить сбор материалов по теме научного исследования, систематизировать собранный материал. Провести анализ обработанной информации. Выявить проблемы, требующие решения.
Задача 3. Изучить физическую сущность проблемы. Сформировать варианты решения. Выбрать и обосновать модель решения. Провести анализ модели и полученных решений.
Задача 4. Обосновать выбор необходимых средств для проведения экспериментальных исследований, применяемых методик. Провести апробирование полученных результатов. Обработать полученные результаты.
Задача 5. Сопоставить результаты экспериментов с теоретическими данными, проанализировать выявленные расхождения. Сформулировать научные выводы. Составить научный отчет по результатам исследования.

2.4.
Кейс-задача № 4

Описание темы исследования. Сегодня работу современной компании невозможно представить без информационных систем. Это могут быть различные учетные системы, системы, автоматизирующие различные бизнес-процессы, корпоративные информационные системы и т.п. В этих системах накапливается большой объем информации в процессе деятельности компании. Всю эту информацию необходимо собрать, обработать, проанализировать, чтобы на ее основе принять эффективное управленческое решение, реализующее выбранную стратегию. Стратегии и цели должны трансформироваться в конкретные действия, которые необходимо оперативно довести до исполнителей. При этом исполнители должны иметь четкую мотивацию, направленную на выполнение этих действий для достижения поставленных целей.

Концепция управления эффективностью бизнеса - это новый подход к инструментам, обеспечивающим обоснованное принятие именно стратегических решений. ВРМ является не только новой управленческой концепцией, но и одним из наиболее быстро растущих секторов IT-решений.

ВРМ включает набор методологий и инструментальных средств, которые помогают эффективно планировать, измерять и анализировать бизнес и повышать эффективность бизнеса на всем предприятии.

Внедрение технологии управления эффективностью бизнеса означает кардинальную перестройку всего процесса осуществления организационной стратегии. При этом предполагается, что в компании уже есть четко сформулированная стратегия, а применение сбалансированной системы показателей – это способ ее реализации.
Задача 1. Ознакомится с научной темой исследования. Изучить научные источники по данной теме, включая научные статьи в наукометрических базах РИНЦ, Scopus, Web of Science, источники интернета, опыт компаний в сфере управления эффективностью бизнеса и применения инструментов ВРМ-систем. Сформировать список научных источников, необходимых для исследования. Сформулировать тему научного исследования, согласовать тему с руководителем.
Задача 2. Осуществить сбор материалов по теме научного исследования, систематизировать собранный материал. Провести анализ обработанной информации. Выявить проблемы, требующие решения.
Задача 3. Изучить физическую сущность проблемы. Сформировать варианты решения. Выбрать и обосновать модель решения. Провести анализ модели и полученных решений.
Задача 4. Обосновать выбор необходимых средств для проведения экспериментальных исследований, применяемых методик. Провести апробирование полученных результатов. Обработать полученные результаты.
Задача 5. Сопоставить результаты экспериментов с теоретическими данными, проанализировать выявленные расхождения. Сформулировать научные выводы. Составить научный отчет по результатам исследования.

2.5.
Кейс-задача № 5

Описание темы исследования. Термин «ИТ-проект» обычно применяется для обозначения деятельности, связанной с использованием или созданием некоторой информационной технологии. Это приводит к тому, что ИТ-проекты охватывают очень разнообразные сферы деятельности: разработку программных приложений, создание информационных систем, развертывание ИТ-инфраструктуры и пр.

Проект – это комплекс усилий, предпринимаемых с целью получения конкретных уникальных результатов в рамках отведенного времени и в пределах утвержденного бюджета, который выделяется на оплату ресурсов, используемых или потребляемых в ходе проекта.

Зачастую реализация ИТ-проекта предусматривает изменение существующих организационных структур на предприятии. Обычно в ИТ-проект вовлечено множество подразделений организации. Многие ИТ-проекты имеют колоссальные бюджеты. В крупных компаниях масштабы проектной деятельности в области информационных технологий (ИТ) измеряются миллионами долларов.

Для эффективного управления проект должен быть хорошо структурирован. Суть этого процесса сводится к выделению следующих основных элементов: фаз жизненного цикла проекта, этапов, работ и отдельных задач; организационной структуры проекта; структуры распределения ответственности.

Жизненный цикл – это последовательность фаз проекта, через которые он должен пройти для гарантированного достижения целей проекта, в ИТ сфере – для реализации некоторой информационной технологии.

Организационная структура подразумевает выделение ролей исполнителей, которые необходимы для реализации проекта, определение взаимоотношений между ними и распределение ответственности за выполнение задач

Применение методологии управления проектами позволяет зафиксировать цели и результаты проекта, дать им количественные характеристики, определить временные, стоимостные и качественные параметры проекта, создать реалистичный план выполнения проекта, выделить, оценить риски и предотвратить возможные негативные последствия во время реализации проекта.
Задача 1. Ознакомится с научной темой исследования. Изучить научные источники по данной теме, включая научные статьи в наукометрических базах РИНЦ, Scopus, Web of Science, источники интернета, наработки компаний в сфере управления ИТ-проектами. Сформировать список научных источников, необходимых для исследования. Сформулировать тему научного исследования, согласовать тему с руководителем.
Задача 2. Осуществить сбор материалов по теме научного исследования, систематизировать собранный материал. Провести анализ обработанной информации. Выявить проблемы, требующие решения.
Задача 3. Изучить физическую сущность проблемы. Сформировать варианты решения. Выбрать и обосновать модель решения. Провести анализ модели и полученных решений.
Задача 4. Обосновать выбор необходимых средств для проведения экспериментальных исследований, применяемых методик. Провести апробирование полученных результатов. Обработать полученные результаты.
Задача 5. Сопоставить результаты экспериментов с теоретическими данными, проанализировать выявленные расхождения. Сформулировать научные выводы. Составить научный отчет по результатам исследования.

3.
Систематизация собранного нормативного и фактического материала.

4.
Оформление отчета о прохождении практики.

5.
Защита отчета по практике.


Разработано

руководителем практики от Университета ________________ ___________________________

(ФИО) (Подпись)

«___»______________ 20__г.


НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ ЧАСТНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«МОСКОВСКИЙ ФИНАНСОВО-ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ «СИНЕРГИЯ»
Институт Информационных технологий

(наименование факультета/ института)
Направление подготовки /специальность: 09.04.03 Прикладная информатика

(код и наименование направления подготовки /специальности)

Профиль/специализация: Управление информационными технологиями в организации

(наименование профиля/специализации)

Форма обучения: заочная.

Отчет
ПО ПРОИЗВОДСТВЕННОЙ ПРАКТИКЕ

(вид практики)

Научно-исследовательская работа

(тип практики)
4 семестр




Обучающийся
 
 
 




(ФИО)



(подпись)


Москва 20г.

Практические кейсы-задачи, необходимые для оценки знаний, умений, навыков и (или) опыта деятельности по итогам практики

п/п
Подробные ответы обучающегося на практические кейсы-задачи

Кейс-задача № 1
За окном XXI век – век информационных технологий, требующий совершенствования произ- водственного процесса и экономии трудовых ресурсов. На первый план выходят новые техноло- гии, позволяющие организовывать производственный процесс без участия человека при ста- бильном качестве выпускаемых товаров. Главным фактором успеха любого современного пред- приятия является грамотная автоматизация его бизнес-процессов.

Целью автоматизации является замена ручного человеческого труда машинным и оптимиза- ция всего производственного процесса. При помощи современных технологий машинного взаи- модействия на производствах внедряются автоматизированные системы контроля параметров, данные о которых передаются на сервер и обрабатываются. Учитывая анализ этих данных, ма- шина сама принимает решение о каком-либо действии. Главные достоинства автоматизации процессов – это:

1. Скорость выполнения повторяющихся операций. Автоматизированные процессы более точны в действиях и не подвержены усталости, то есть их работоспособность не зависит от вре- мени.

2. Повышение качественных показателей. Отсутствие человеческого фактора, позволяет сни- зить количество ошибок, что способствует повышению стабильности и качества.

1. Параллельное выполнение нескольких задач. Реализация нескольких задач одновременно,

Повышение точности управления. Благодаря применению информационных технологий, учитывается большее количество данных о процессе, что способствует более точному его испол- нению, чем при ручном труде1. повышает производительность без потери точности и качества.

2. Увеличение скорости принятия решения в типовых ситуациях. Позволяет избежать несоот- ветствий на следующих стадиях процесса.

В настоящее время автоматизация имеет два направления. Автоматизация производства – предполагает внедрение технологий при создании товаров. Она направлена на то, чтобы сокра- тить издержки производства. И автоматизация бизнес-процессов – применяется в управлении маркетингом, проектированием, продажами, работе с клиентами и в других сферах. Так как наше направление обучения относится к информатике в экономике, нам интересно именно второе на- правление.

Для автоматизации бизнес-процессов используются множество различных технологий. Рас- смотрим некоторые из них.

Облачные технологии. Представляют собой хранение и обработку информации в виртуальном пространстве. Что не только экономит память на сервере компании, но дает доступ к информа- ции почти в любой момент. «Облако» можно настроить по своему вкусу и потребностям. Также оно имеют высокий уровень защиты. Облачные хранилища предоставляют такие сервисы как

«gmail.com», «mail.ru», «mail.yandex.ru».

Scrum-метод. Инструмент организации эффективной командной работы, позволяющий избе- гать нарушения планов, устранять отставания от графика реализации проекта, экономить бюд- жет, а также исключать дублирование функций у основных подразделений и исполнителей ком- пании [1].

Инструменты Big data – это способы и методы хранения и обработки большого количества данных (1 ТБ). После обработки человек может работать только с той информацией, которая ему нужна. Также данная технология позволяет составлять прогнозы, что может очень пригодится в маркетинге, менеджменте и в других процессах управления.

ERP (EntERPrise Resource Planning) – объединение абсолютно всех отделов и процессов ком- пании для более удобной и качественной работы. Эта программа ускоряет работу, дает опера- тивный доступ ко всем необходимым данным и повышает взаимодействие между отделами.

Программа «Фараон». Позволяет интегрировать документы с пакетом программ Microsoft Office, что гарантирует наглядность и удобность использования. К тому же она позволяет вести учет личных дел сотрудников, рассчитывать рабочее время и отпуска, выстраивать организаци- онную структуру [2].

Еще одна технология – это межмашинное взаимодействие – Machine to Machine (M2M) или Интернет Вещей (Internet of Things (IoT)). Она представляет собой систему датчиков, которая позволяет передавать информацию от одного устройства к другому. М2М-технология актуальна для компаний из различных отраслей, пользующихся SIM-картами в своих устройствах и обору- довании.

На данный момент у рынка М2М-технологий в России очень высокие темпы роста. Лиди- рующее место занимают блоки спутниковой навигации для мониторинга транспорта. На втором месте системы безопасности и охранные предприятия, страховые компании и банковская от- расль. Все больше компаний в отраслях ЖКХ, промышленности и здравоохранения обращаются к данной технологии.

Мобильные операторы активно продвигают M2M-технологии, ведь рынок M2M не ограничен с точки зрения численности живых пользователей [3]. Дальнейшее применение данных техноло- гий окажет огромное влияние на развитие бизнеса не только мобильных операторов, но и других компаний (см. таблицу).

С ростом числа задач управления в больших системах значительно увеличивается объем пе- реработанной информации и повышается трудоемкость алгоритмов управления. В результате возникает несоответствие между сложностью управляемого объекта и способностью любого управляющего органа получать и перерабатывать информацию. Поэтому автоматизация бизнес- процессов это необходимое условие для выживания компании в современном мире.

\Влияние М2М-технологии на развитие бизнеса компаний


Цели внедрения M2M
Технологии M2M для автома-

тизации
Результат внедрения

Оптимизация уже внедренных техноло- гий и повышение их эффективности в биз- несе
1.Wi-Fi 802.11 ax

(Wi-Fi 6).

2. NB-IoT-роуминг (Narrow Band Internet of Things) или Ин- тернет вещей

  1. Рост скорости передачи данных в Wi-Fi позво- ляет расширить поставки беспроводной связи в частный сектор.

  2. IoT позволяет создать высокоскоростную и высокотехнологичную среду для логистических

компаний.

Привнесение новых конкурентных пре- имуществ в уже су- ществующий продукт

  1. Сети мобильной связи пятого поколения (5G)

  2. Технологии электронных сим-карт eSim – встроенный программируемый чип

  1. 5G исключает задержку в передаче данных ме- жду устройствами и сервисами обмена.

  2. Операторам сотовой связи технология позволя- ет сократить издержки, но и уменьшает прибыли, в связи с ограничением предоставления услуг в

роуминге.

Повышение эффек- тивности работы и сбора информации государственными структурами

  1. Программа «Электронная Москва», концепция «умный город»

  2. Личный кабинет налогопла- тельщика (сайт или приложе- ние)

  1. Информационные и коммуникационные техно- логий (ИКТ) позволяют повысить качество, про- изводительность и интерактивность городских служб, снизить расходы и потребление ресурсов, улучшить связь между жителями и органами вла- сти.

  2. Интегрирование налоговых сервисов в бизнес- среду позволяет автоматически исполнять нало- говые обязательства и повышает «прозрачность»

экономики.
1   2   3   4   5   6



Упомянутый выше алгоритм предполагает математическое моделирование ин- формационной системы предприятия для имитации различных угроз ее информацион- ной безопасности с целью определить и дать количественную оценку возможным уяз- вимостям системы. На основе полученной на данном этапе модели производится ана- лиз вероятностей возникновения тех или иных сценариев, при которых система может подвергаться различным сочетаниям вредоносных факторов. Как правило, когда речь идет о российских технологиях, подразумевается анализ сценариев для конкретных па- раметров, заданных на начальном этапе анализа, что исключает гибкость и адаптив- ность данного подхода.
Таблица 2

Исследование зарегистрированных зарубежных технологий моделирования угроз и анализа рисков ИБ

Технологии, зарегистрированные в зарубежных странах

Название
Краткое описание

Information security threat analysis



Программа нацелена на анализ возможных угроз безопасности информационной системы. Она позволяет выявить те или иные уязвимости на конкретных узлах системы, а также спрогнозировать риски возникновения угроз тем или иным информационным ресурсам. Имеется кластеризация проблем и использовании накопленного опыта из предыдущих

исследований, позволяющих более точно спрогнозировать возможные угрозы.



Complex network oriented

security risk analysis
Реализует комплексный анализ рисков сетевой безопасности организации. Позволяет смо- делировать сетевое окружение проектируемой или эксплуатируемой системы, а также возможные пути сетевых атак на предприятие. Позволяет спрогнозировать возможные

потери в случае возникновения той или иной сетевой угрозы, а также сформировать реко- мендации по стратегии обеспечения безопасности.

Security via adaptive threat mod- eling
Программа реализует адаптивный метод моделирования возможных угроз информацион- ной безопасности. Предназначена для моделирования уязвимостей и угроз системы, их количественной оценки и генерации возможных решений по их устранению В основе ра- боты программы лежит технология машинного обучения, позволяющая адаптировать ге- нерируемые рекомендации на основе накопленной информации о предыдущих исследова- ниях.

System for predicting security threat at- tacks
Программа решает задачу прогнозирования возможных рисков на основе предыдущего опыта как самого предприятия (используя внутреннюю базу данных), так и сторонних предприятий (используя открытые базы данных). Программа позволяет выявить зависимо- сти между частотой (вероятностью) возникновения тех или иных угроз информационной безопасности и конкретными конфигурациями информационных систем и ресурсов.

Security Threat Modeling Tool Using Machine Learning
В рамках программы реализуется механизм адаптивного моделирования угроз информа- ционной безопасности системы. Программа позволяет смоделировать возможные угрозы информационной безопасности информационной системе, привести для выявленных угроз количественные оценки, спрогнозировать возможные потери при возникновении данных угроз, а также разработать рекомендации по их предотвращению. На основе накопленных в результате предыдущих исследований метаданных о выявленных угрозах и результатах их устранения, программа способна скорректировать стратегии по борьбе с информацион-

ными угрозами.


На финальном этапе алгоритма предполагается формирование возможных ре- комендаций для формирования политики безопасности, основывающихся на результа- тах проведенного анализа. Каждая из сформированных рекомендаций направлена на минимизацию возможных рисков возникновения угроз, при этом, как правило, предпо- чтение отдается угрозам, имеющим наивысший коэффициент оценки возможных мате- риальных потерь.

Стоит отметить, что укрупненный алгоритм работы зарегистрированных си- стем остается неизменным – он ничуть не отличается от алгоритма работы российских разработок. Однако, при детальном рассмотрении можно выделить ряд существенных отличий.

Особое внимание в рассматриваемых технологиях уделяется понятию «адап- тивного моделирования», под которым понимается возможность системы учитывать реальный опыт возникновения и устранения угроз безопасности, накопленный в про- цессе работы предприятия. Такой подход позволяет постоянно корректировать процес- сы моделирования и анализа, тем самым позволяя добиться прогнозов возникновения угроз, более приближенных к реальности, чем при традиционном подходе к моделиро- ванию и анализу Еще одной отличительной чертой зарубежных технологий является стремление снизить участие оператора в работе системы.

На рис. 1 показана схема, отражающая общий подход к построению системы защиты информации.




Рис. 1. Схема, отражающая общий подход к построению системы защиты информации

Таким образом, обобщая опыт специалистов в области построения систем за- щиты информации, следует обратить внимание на экспертное моделирование и на адаптивное моделирование, так как эти методологии затрагивают алгоритмы и методо- логии построения программных продуктов с искусственным интеллектом, проявляя самоанализ и самообучение.

Процедура построения системы защиты информации предполагает выявление следующих параметров системы предприятия:

модель нарушителя;

уровень исходной защищенности; вероятность реализации угроз; актуальность угроз;

последствия реализации угроз.

Кроме того, желательно учитывать и уязвимости в текущей системе защиты информации.

Модель нарушителя содержит детальное описание потенциальных злоумыш- ленников, несанкционированный доступ к корпоративной информации, которых может повлечь за собой значительные материальные потери. Различают внешних и внутрен- них нарушителей, в зависимости от их принадлежности к предприятию.

Потенциальные внутренние нарушители информационной безопасности клас- сифицируются по категориям, в зависимости от их положения в структуре предприятия и, следовательно, возможностями по доступу к защищаемой информации.

Под уровнем исходной защищенности понимается обобщенный показатель, за- висящий от технических и эксплуатационных характеристик информационной системы предприятия. По ряду критериев, характеристикам рассматриваемой информационной системы присваивают соответствующие уровни защищенности (высокий, средний, низкий).

Исходная степень защищенности определяется в зависимости от общей защи- щенности по каждой из характеристик. Таким образом, информационная система: имеет высокий уровень исходной защищенности, если не менее 70% характе- ристик соответствуют уровню «высокий», а остальные – уровню «средний» (численный коэффициент Y1=0);

имеет средний уровень исходной защищенности, если не менее 70% характе- ристик соответствуют уровню не ниже «средний» (численный коэффициент Y1=5);

имеет низкую степень исходной защищенности, если не выполняются преды- дущие 2 условия (численный коэффициент Y1=10).

Под вероятностью реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация кон- кретной угрозы безопасности информации для системы предприятия в текущих усло- виях. Выделяется четыре уровня вероятности возникновения угрозы:

маловероятно – отсутствуют объективные предпосылки для осуществления

угрозы;

низкая вероятность – объективные предпосылки для реализации угрозы суще-

ствуют, но принятые меры существенно затрудняют ее реализацию;

средняя вероятность – объективные предпосылки для реализации угрозы суще- ствуют, и предпринятые меры обеспечения безопасности недостаточны;

высокая вероятность – объективные предпосылки для реализации угрозы су- ществуют, и меры по обеспечению безопасности не приняты.

Данные классы присваиваются каждой из угроз в отдельности, в зависимости от категории возможного нарушителя и общего характера рассматриваемой угрозы.

Реализуемость угрозы оценивается на основе показателей исходной защищен- ности системы (Y1) и вероятности возникновения угроз (Y2) путем вычисления коэф- фициента реализуемости угрозы (Y).

Коэффициент реализуемости угрозы определяется следующим соотношением:

У = 1+У2). (1)

20

По значению коэффициента формируется вербальная интерпретация реализуе-

мости угрозы:

если 0 ≤ У ≤ 0,3, то возможность реализации угрозы признается низкой; если 0,3 ≤ У ≤ 0,6, то возможность реализации угрозы признается средней; если 0,6 ≤ У ≤ 0,8, то возможность реализации угрозы признается высокой; если У > 0,8, то возможность реализации угрозы признается очень высокой.

Следующим этапом является оценка актуальности угроз. Прежде чем непо- средственно оценить актуальность угрозы, необходимо произвести оценку ее опасно- сти. Опасность каждой угрозы оценивается на основе опроса экспертов, в результате чего определяется вербальный показатель опасности для рассматриваемой системы. Данный показатель имеет три значения:

низкая опасность – реализация угрозы может привести к незначительным нега- тивным последствиям;

средняя опасность – реализация угрозы может привести к негативным послед-

ствиям;

высокая опасность – реализация угрозы может привести к значительным нега-

тивным последствиям.

Далее, исходя из показателя опасности и возможности реализации угрозы, производится оценка ее актуальности. Оценка актуальности угрозы может быть прове- дена по следующим правилам (табл. 3).

Таким образом, в результате построения модели угроз предприятия, могут быть получены следующие ее элементы:

описание информационной системы предприятия и ее структурно- функциональные характеристики;

описание угроз безопасности с указанием их актуальности и способов их реа- лизации; модель нарушителя;

перечень возможных уязвимостей;

перечень последствий от нарушения свойств безопасности информации.

Далее, в соответствии с рис. 1, необходимо проанализировать процедуры ана- лиза рисков возникновения угроз.

Таблица 3

Правила отнесения угрозы безопасности к актуальной

Возможность реализа- ции угрозы
Показатель опасности угрозы

Низкая
Средняя
Высокая

Низкая
неактуальная
неактуальная
актуальная

Средняя
неактуальная
актуальная
актуальная

Высокая
актуальная
актуальная
актуальная

Очень высокая
актуальная
актуальная
актуальная

Логическим продолжением этапа построения модели угроз предприятия явля- ется проведение анализа и оценки рисков возникновения угроз. Анализ рисков произ- водится с различной степенью детализации, в зависимости от критичности исследуе- мых информационных активов предприятия.

В данном случае, уже полученная модель угроз ИС предприятия может слу- жить поводом пропустить этап идентификации, поскольку модель угроз уже включает в себя необходимую для дальнейшего анализа информацию. Это позволяет сразу пе- рейти к непосредственной оценке выявленных рисков.

Прежде всего, стоит отметить, что большинство из современных систем не способны решить одну из основных проблем информационной безопасности – пробле- му своевременного мониторинга новых угроз и адаптации системы защиты информа- ции к ним. Применение адаптивных моделей угроз ИБ позволит заметно сократить убытки от угроз, ранее не замеченных на конкретном предприятии. Стоит также отме- тить, что при построении моделей угроз многие системы задействуют оператора (со- трудника ИБ), тем самым сталкиваясь с человеческим фактором – система не сможет учесть угрозу, находящуюся за пределами компетенции или личного опыта сотрудника, ответственного за ввод исходных данных.

В качестве решения данной проблемы возможно прибегать к использованию открытых банков уязвимостей, что позволит превентивно подготовить систему к наибольшему количеству известных уязвимостей. Более того, стоит отметить, что бан- ки данных постоянно пополняются вновь выявленными угрозами ИБ, что позволит в режиме реального времени пополнять перечень актуальных угроз безопасности пред- приятия.

Таким образом, применение методологий адаптивного моделирования угроз информационной безопасности предприятия с привлечением данных об инцидентах, взятых из открытых баз данных, позволит минимизировать затраты на устранение угроз, возникающих на этапе первичной корректировки модели угроз.

Снижению расходов на устранение реализованных угроз также способствует существенное увеличение точности производимого анализа и оценки рисков, а также более точный отбор мер по борьбе с ними. В случае использования информации об ин- цидентах, взятых из открытых баз данных, существенно увеличивается выборка инци- дентов, в сравнении с опытом одной организации.

В то же время, помимо снижения расходов, использование описанного в предыдущих разделах подхода позволит повысить общее качество проводимых меро- приятий. Построение модели и проведение анализа и оценки угроз на основе объектив- ных данных позволит сократить негативный эффект от традиционного экспертного подхода, применяемого в данных процедурах. Увеличение выборки инцидентов повы- сит точность проводимых исследований, в то же время сократив временные затраты на его проведение.

Стоит отметить, что подход, подразумевающий применение открытых баз дан- ных для формирования на их основе моделей угроз информационной безопасности яв- ляется новым для решаемой задачи. Как показало проведенное исследование, решае- мые в этой области задачи ограничиваются экспертным подходом или подходом, осно- вывающимся на анализе метаданных об опыте, полученном при возникновении инци- дентов ранее в данной организации.

Кейс-задача № 4
Реформирование российских стандартов бухгалтерского учёта (РСБУ) в соответствии с Международными стандартами финансовой отчетности (МСФО) в России проводится с 1998 г., однако финансовый учет во многих организациях до сих пор ведется на основе стандартов и технологий РСБУ (в том числе и информационных). Между тем кредитные и страховые организации России, которые являются филиалами зарубежных компаний или сотрудничают с иностранными партнерами работают по двум стандартам.

Администрация предприятий, решивших внедрить МСФО сталкивается с трудностями перевода и конвертации отчетности из российских стандартов в международные. При подготовке документов МСФО российская финансовая информация не всегда является достаточной, зачастую требуется дополнительные данные, интересующие инвесторов, но которые не требуют фискальные органы РФ.

В настоящее время при подготовке финансовых документов и отчетов используют различные информационные системы, технологии и средства сбора, регистрации, передачи, хранения, обработки и выдачи (распространения или публикации) документов и данных, которые используются для составления отчетов, сбора и агрегации производственных и финансовых данных:

1) программы «1С:- Предприятие», «Инфо-Бухгалтер», «БЭСТ», «Интеллект-сервис», «Парус», «Галактика», «Диасофт», «Инфин», «Инфософт», «Омега», «Cognitive Technologies LTD»,

2) корпоративные базы данных (Oracle, SQL-Server), функциональные Access, dBase, Paradox, FoxPro, Clipper,

3) системы планирования потребностей в материалах (MRP), организации производств JIT (Just-in-Тime) - «точно-в-срок», управления цепями поставок SCM (Supply chain management), интеграции производства и операций, управления трудовыми ресурсами, финансового менеджмента и управления активами ERP (Enterprise Resource Planning).

Однако данные системы не учитывают особенностей финансового учета в соответствии с требованиями МСФО и поэтому не могут применяться на практике.

Технология основана на средствах моделирования бизнес-процессов МСФО в организации с использованием формальных нотаций и языков описания BPMN, EPC или IDEF0 реализованных на базе программного обеспечения поддержки процессов моделирования, симуляции, мониторинга и анализа финансовых и бизнес-процессов предприятия.

Концепция предполагает возможность динамического перестроения моделей финансовых и бизнес-процессов силами сотрудников предприятия и средствами программных систем с точки зрения концепции процессного управления организацией, рассматривающая финансовые процессы как ресурсы предприятия, непрерывно адаптируемые к постоянным изменениям и ориентирующаяся на принципы понятности и видимости информационных моделей финансовых объектов и процессов.

Для внедрения концепции МСФО на основе BPM систем в организации необходимо выявить:

1) проблемы существующего финансового учета в соответствии с РСБУ,

2) особенности планируемого финансового учета в соответствии с МСФО,

3) возможности и проблемы автоматического перевода и конвертации финансовых документов из системы РСБУ в систему МСФО,

4) необходимость разработки программных модулей конвертации финансовых документов из РСБУ в МСФО,

5) современные тенденции использования BPM систем, провести их анализ, выбрать перспективные и внедрить одну из них в систему финансового учета предприятия.

Анализ опыта финансового учета в вузах Санкт-Петербурга показал, что наиболее оптимальными продуктами в настоящее время являются: ELMA BPM Suite, Bizagi BPM Suite и Bonita Open Solution. Они позволяют моделировать финансовые бизнес-процессы, содержат механизмы контроля и мониторинга выполнения финансовых операций, позволяют оперативно адаптировать финансовые бизнес- процессы, имеют удобный и понятный пользовательский интерфейс, сравнительно невысокую стоимость и поддерживают мобильные версии интерфейса программы.

Например, моделирование финансовых и бизнес-процессов в системе ELMA предполагает:

1) создание графической модели,

2) выбор параметров финансового процесса, определение необходимых данных бизнес-процесса, после чего финансовый процесс публикуется на сервере системы и становится исполнимым в веб-интерфейсе.

Запускаемые модули финансовых и бизнес-процессов образуют систему карточек-задач для исполнителей-пользователей, в которых финансовые работники регистрируют результаты своей деятельности. Для реализации наиболее сложных финансовых алгоритмов используются сценарии-скрипты, разработанные на C# и пошаговая отладка процессов, сценариев и пользовательских форм. ELMA поддерживает импорт и экспорт в формат XPDL – документов, что позволяет загружать и выгружать модели финансовых и бизнес-процессов, например из BPM-приложений Business Studio. Таким образом, внедрение BPM-систем в организацию финансового учета позволит более эффективно реализовать задачи по переходу предприятий на МСФО.

Смотрите также файлы