Внедрение комплексной защиты информации в ООО «Компания»

1 2

---

СОДЕРЖАНИЕ

ВВЕДЕНИЕ
I Аналитическая часть
1.1 Технико-экономическая характеристика предметной области и предприятия. Анализ деятельности «КАК ЕСТЬ»
1.1.1 Характеристика предприятия и его деятельности
1.1.3 Программная и техническая архитектура ИС предприятия
1.2 Характеристика комплекса задач, задачи и обоснование необходимости автоматизации
1.2.1 Выбор комплекса задач автоматизации и характеристика существующих бизнес процессов
1.2.2. Определение места проектируемой задачи в комплексе задач и ее описание
1.2.3. Обоснования необходимости использования вычислительной техники для решения задачи
1.2.4. Анализ системы обеспечения информационной безопасности и защиты информации
1.3. Анализ существующих разработок и выбор стратегии автоматизации «КАК ДОЛЖНО БЫТЬ»
1.3.1. Анализ существующих разработок для автоматизации задачи
1.3.2. Выбор и обоснование стратегии автоматизации задачи
1.3.3. Выбор и обоснование способа приобретения ИСдля автоматизации комплекса задач
1.4 Обоснование проектных решений
1.4.1. Обоснование проектных решений по информационному обеспечению
1.4.2. Обоснование проектных решений по программному обеспечению
1.4.3. Обоснование проектных решений по техническому обеспечению
Глава 2. Проектная часть
2.1. Разработка проекта автоматизации
2.1.1. Этапы жизненного цикла проекта автоматизации
2.1.2. Ожидаемые риски на этапах жизненного цикла и их описание
2.1.3. Организационно-правовые и программно-аппаратные средства обеспечения информационной безопасности и защиты информации
2.2. Информационное обеспечение задачи
2.2.1. Информационная модель и её описание
2.2.2. Характеристика нормативно-справочной, входной и оперативной информации
2.2.3. Характеристика результатной информации
2.3.Программное обеспечение задачи
2.3.1. Общие положения (дерево функций и сценарий диалога)
2.3.2. Характеристика базы данных
2.3.3. Структурная схема пакета (дерево вызова программных модулей)
2.3.4 Описание программных модулей
2.4. Контрольный пример реализации проекта и его описание
III Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

ВВЕДЕНИЕ

В рамках данной работы проведен анализ организации работ по управлению системой защиты информации.

Политика информационной безопасности должна предусматривать комплекс мероприятий, связанных с обеспечением организационных мер, разработкой документационного обеспечения защиты информации, разработкой регламентов использования программной защиты информации, физической защиты помещений, а также защиты от утечек информации с использованием каналов связи.

Обеспечение защиты персональных данных в настоящее время регламентировано в различных законодательных актах федерального уровня, а также отраслевых документах. Таким образом, при использовании информационных систем, в которых проводится обработка персональных данных необходимо принятие мер по обеспечению их защищенности в соответствии с установленными стандартами.

Цель выпускной квалификационной работы заключается в разработке информационной системы для обеспечения комплексной защиты информации.

Задачи работы:

• анализ нормативно-правовых актов и основных требований к обеспечению комплексной защиты информации;
• анализ бизнес-процессов комплексной защиты информации;
• разработка информационной модели технологии управления персональными данными;
• разработка информационной системы по учету документов и отработке запросов, связанных с отправкой личных персональных данных в организации;
• оценка экономической эффективности системы.

Объект исследования: технология по обеспечению комплексной защиты информации.

Предмет исследования: сервис по учету документов и отработке запросов, связанных с отправкой личных персональных данных в организации.

Работа содержит введение, 3 главы, заключение и список использованных источников. В главе 1 проведено исследование предметной области (обеспечение защиты информации), построена модель бизнес-процессов, определены недостатки существующей технологии работы специалистов отдела по защите информации, проведена постановка задач автоматизации. Также проведен анализ ИТ-инфраструктуры компании.

В главе 2 проведено обоснование выбора модели жизненного цикла программного обеспечения, проведено построение структуры данных информационной системы, входных и выходных документов. Также проведено описание разработанного программного обеспечения для решения задач поддержки обеспечения защиты информации, включая работу со справочной, оперативной и отчетной информацией.

В главе 3 проведена оценка экономической эффективности проекта.

Результаты работы могут быть использованы для автоматизации работы специалистов, работающих в отделах по защите информации.

I Аналитическая часть

1.1 Технико-экономическая характеристика предметной области и предприятия. Анализ деятельности «КАК ЕСТЬ»

1.1.1 Характеристика предприятия и его деятельности

 

Объектом исследования в рамках данной работы является ООО «Городской Центр дезинфекции».

Специфика деятельности работы ООО «Городской Центр дезинфекции» связана с оказанием услуг по обеззараживанию жилых, промышленных и торговых объектов по заказам клиентов. Предлагаемые услуги связаны с проведением химической обработки объектов для уничтожения бактерий, насекомых и др.

Функции центра дезинфекции включают:

• проведение заключительной дезинфекции в эпидемических очагах, организация ее при наличии показаний;
• проведение камерного обеззараживания вещей, перевозки вещей в дезинфекционную станцию и доставка их по принадлежности;
• проведение санитарной обработки лиц при наличии эпидемических и санитарных показаний;
• эвакуация в лечебно-профилактические организации инфекционных больных;
• приём и учёт заявок на эвакуацию инфекционных больных и заключительную дезинфекцию, поступающих от лечебно-профилактических организаций;
• передача в центры гигиены и эпидемиологии сведений о проведении эвакуации инфекционных больных и проведенных мероприятиях по дезинфекции;
• проведение профилактической дезинфекции на объектах государственного санитарного надзора;
• осуществление контроля (технического, термического, лабораторного) за качеством функционирования дезинфекционных установок, пригодностью их к эксплуатации в учреждениях на территории деятельности центра дезинфекции и стерилизации;
• проведение санитарно-просветительной работы по вопросам дезинфекции;
• ведение приема граждан по вопросам оказания услуг по дезинфекции, рассмотрение писем и заявлений;
• составляет отчеты о производственной деятельности по формам государственной отчетности и представляет их по подчиненности.

В таблице 1 приведены основные экономические параметры ООО «ГОРОДСКОЙ ЦЕНТР ДЕЗИНФЕКЦИИ»

Таблица 1

Основные экономические параметры ООО «ГОРОДСКОЙ ЦЕНТР ДЕЗИНФЕКЦИИ»

Организационная структура управления предприятием

 

В рамках данной работы был проведен анализ организационной структуры ООО «Городской Центр дезинфекции», схема которой показана на рисунке 1.

Как показано на рисунке 1, в структуру ООО «Городской Центр дезинфекции» входят:

— специалисты по дезинфекции и дезинсекции, в компетенцию которых входит непосредственное проведение работ по заказам клиентов;

— специалисты по работе с заказами клиентов, в компетенцию которых входят вопросы работы с заказами;

— лаборанты, проводящие исследования по вопросам характера проводимых работ, типа заражения на объекте, уровня токсичности химических реактивов;

— Обеспечивающие службы: экономический, кадровый, ИТ-отделы.

Организационная структура управления ООО «Городской Центр дезинфекции» — линейно-функциональная.

Рисунок 1 — Схема организационной структуры управления ООО «Городской Центр дезинфекции»

 

Рассмотрим основные функции специалистов по работе с клиентами:

-заключение договоров с клиентами по вопросам оказания услуг дезинфекции и дезинсекции;

-выбор времени и места проведения работ;

-расчет стоимости услуги;

— разработка технологических нормативов работы с лабораторными реактивами;

-организация лабораторных исследований.

 

1.1.3 Программная и техническая архитектура ИС предприятия

 

Далее в рамках данной работы проведен анализ структуры локальной сети ООО «Городской Центр дезинфекции».

Информационная система исследуемой компании включает:

• Файловый сервер, на котором также развернуты виртуальные машины для работы с прикладными системами (1С: Предприятие и Управление системой антивирусной защиты), а также с файловыми ресурсами;
• Пользовательские компьютеры, объединённые в группы в соответствии с организационной структурой ООО «Городской Центр дезинфекции».

На рисунке 2 приведена принципиальная схема технической архитектуры автоматизированной системы ООО «Городской Центр дезинфекции».

Рисунок 2 — Принципиальная схема технической архитектуры ООО «Городской Центр дезинфекции»

 

Основные параметры локальной сети организации приведены в таблице 2.

 

 

Таблица 2

Основные параметры локальной сети ООО «Городской Центр дезинфекции»

Технические параметры сервера DEPO Storm 1360B1, используемого в работе специалистов приведена в таблице 3.

Таблица 3

Технические характеристики сервера DEPO Storm 1360B1

Характеристики рабочей станции специалиста приведены в таблице 4.

Используемый Коммутатор Cisco Catalyst 2960-24TT с характеристиками:

• Общее количество портов 24
• Базовая скорость передачи данных 100 Мбит/с
• Количество uplink/стек/SFP-портов и модулей 2
• Максимальная скорость uplink/SFP-портов 1 Гбит/с
• Внутренняя пропускная способность 16 Гбит/сек
• Размер таблицы MAC адресов 8192
• Объем оперативной памяти 64 МБ
• Объем флэш-памяти 32 МБ

Поддержка стандартов IEEE 802.1q (VLAN), IEEE 802.1p (Priority tags), IEEE 802.1d (Spanning Tree), автоопределение MDI/MDIX, IEEE 802.1s (Multiple Spanning Tree)

Характеристика используемых принтеров модели OKI C332dn.

• 4-цветная светодиодная печать
• 30 стр/мин
• макс. формат печати A4 (210 × 297 мм)
• ЖК-панель
• двусторонняя печать
• интерфейсы: Ethernet (RJ-45), USB

Таблица 4

Технические характеристики рабочих станций специалистов

Рисунок 3 – Программная архитектура ООО «Городской Центр дезинфекции»На рисунке 3 приведена схема программной архитектуры.

 

Как показано на рисунке 3, программная архитектура ООО «Городской Центр дезинфекции включает»:

— серверное ПО: MS Windows Server 2019, СУБД MS SQL, корпоративную версию антивирусного ПО (Kaspersky Security Center);

— клиентское ПО на платформе 1С: Предприятие для решения экономических задач, MSOfficeдля работы с документами.

Топология используемой ЛВС – «Звезда». Ресурсы локальной сети используются: пользовательскими компьютерами, серверами, сетевыми принтерами, IP-телефонией.

1.2 Характеристика комплекса задач, задачи и обоснование необходимости автоматизации

1.2.1 Выбор комплекса задач автоматизации и характеристика существующих бизнес процессов

 

Проведем построение модели бизнес-процессов обеспечения комплексной защиты информации при внешнем документообороте. Контекстная диаграмма приведена на рисунке 4.

Рисунок 4 – Контекстная диаграмма

 

Как показано на рисунке 4, входящие информационные потоки в систему комплексной защиты информации при внешнем документообороте включают:

— Внешние запросы о предоставлении документов, содержащих ПДн;

— Документы, содержащие ПДн.

Результирующий информационный поток включает список доступных ПДн по поступившему внешнему запросу (так как различным отправителям доступны различные типы персональных данных).

На рисунке 4 приведена диаграмма декомпозиции основного процесса. Как показано на рисунке 4, основной процесс включает:

— Ведение картотеки личных ПДн;

— Установку доступа к ПДн;

— Учет запросов на ПДн;

— Отправку пакета документов.

На рисунке 5 приведена диаграмма ведения картотеки ПДн.

Рисунок 5 – Диаграмма комплексной защиты информации при внешнем документообороте

Рисунок 6 – Диаграмма ведения картотеки ПДн

 

Как показано на рисунке 5, ведение картотеки личных ПДн предполагает:

— необходимость организации файлового ресурса;

— обеспечение защиты файлового ресурсов от НСД;

— сканирование документов;

— копирование документов в соответствующие контейнеры хранилища.

На рисунке 6 приведена диаграмма установки доступа к ПДн. На рисунке 7 приведена диаграмма учета запросов на предоставление прав доступа.

 

Рисунок 7 – Диаграмма установки прав доступа к ПДн

Рисунок 8 — Диаграмма учета запросов на предоставление прав доступа

Существующие проблемы в рамках обеспечения комплексной защиты информации при внешнем документообороте:

— при обработке запросов из внешних организаций специалисты по кадрам не могут провести оценку правомерности предоставления документов определенного типа и могут ошибочно направить копии документов с нарушением законодательства;

— отсутствие картотеки, управляющей хранилищем персональных данных приводит к значительным временным затратам на поиск необходимых документов.

Задачи автоматизации в рамках технологии защиты личных персональных данных включают:

— управление файловым ресурсом, содержащим копии документов с персональными данными;

— установка прав доступа к документам на основании внешних запросов организаций;

— автоматизация формирования пакета документов для отправки с обеспечением парольной зашиты архива. Пароль к архиву генерируется перед отправкой посылки с условием соблюдения требований к сложности и передается в организацию, направившую запрос, каналами связи. При этом проверяется, что адрес электронной почты является официальным.

На рисунке 9 показана epc-диаграмма работы системы.

Рисунок 9 — Еpc-диаграмма работы системы

1.2.2. Определение места проектируемой задачи в комплексе задач и ее описание

 

На рисунке 10 приведена диаграмма места проектируемой задачи в комплексе задач организации.

 

Рисунок 10 — Место проектируемой задачи в комплексе задач

 

Как показано на рисунке 10, задача обеспечения защиты информации при внешнем документообороте связана со смежными задачами:

— с делопроизводством в части учета поступающих запросов на предоставление конфиденциальной информации;

— с кадровым учётом в части учета информации по кадрам в части отработки запросов внешних организаций;

— с работой отдела защиты информации в части экспертизы возможности предоставления ответов на запросы, обеспечения комплексной защиты при проведении обработки информации при формировании ответа на запрос, технического использования систем криптографии;

—   с работой руководителей в части подписания ответов на запросы с использованием средств криптографии.

1.2.3. Обоснования необходимости использования вычислительной техники для решения задачи

 

На рисунке 11 приведена схема документооборота в технологии работы в обеспечения комплексной защиты информации в системе внешнего документооборота.

Рисунок 11 — Схема документооборота

 

Автоматизация загрузки и ведения следующих справочников: Справочник «Виды запросов», Справочник «Клиенты», Справочник «Сотрудники», Справочник «Контрагенты».

Разработка и внедрение информационной системы ООО «Городской Центр дезинфекции» позволит минимизировать негативные факторы, указанные в предыдущем разделе.

Цель создания информационной системы: повышение эффективности работы ООО «Городской Центр дезинфекции».

В таблице 5 приведена оценка частоты формирования отчетных документов.

Таблица 5

Частота формирования отчетных документов

Подцели создания системы [19]:

— минимизация временных затрат на поиск информации о состоянии работ по обеспечению комплексной защиты информации;

— минимизация временных затрат на формирование рассылок;

— сокращение временных затрат на получение аналитической отчетности: сводных данных о предоставленных сведениях конфиденциального характера;

— сокращение временных затрат на мониторинг отработки запросов.

Только по приведенным в таблице бизнес-процессам виден выигрыш рабочего времени в 950 рабочих дней.

Качественные требования:

— полнота. Система должна обрабатывать полную информацию в рамках работы с конфиденциальной информацией;

— достоверность. Система должна иметь защиту от ввода недостоверной информации;

— проверяемость. Данные, введенные в систему, должны быть доступны для проверки;

— надежность. Система должна обладать отказоустойчивостью, организован режим резервного копирования и восстановления;

— расширяемость. Система должна позволять ввод дополнительного функционала в соответствии со спецификой введенных данных.

1.2.4. Анализ системы обеспечения информационной безопасности и защиты информации

 

Архитектура системы защиты информации в условиях ООО «Городской Центр дезинфекции» включает следующие компоненты:

— систему защиты от вредоносного программного обеспечения (корпоративная версия с возможностью централизованного управления);

— систему резервного копирования и восстановления данных;

— систему разграничения доступа на уровне приложений и файловой системы;

— систему криптографической защиты, включающую использование систем электронного документооборота и шифрования файловых систем;

— прокси-сервер для управления доступом к Интернету.

Организационные меры по защите информации включают  разработку пакета документов, регламентирующих порядок работы в области обеспечения информационной безопасности, включающего:

— Согласие сотрудников на обработку персональных данных;

— Положение об обеспечении защиты информации в компании;

— Положение об обеспечении защиты от вредоносного программного обеспечения;

— Положение об электронном документообороте и использовании криптографических систем защиты информации.

Деятельность в области обеспечения защиты информации курируется специалистами ИТ-отдела с привлечением юристов (для составления проектов нормативных документов)

 

1.3. Анализ существующих разработок и выбор стратегии автоматизации «КАК ДОЛЖНО БЫТЬ»

1.3.1. Анализ существующих разработок для автоматизации задачи

 

Как было показано по итогам анализа бизнес-процессов, модернизация технологии комплексной защиты информации в условиях ООО «ГОРОДСКОЙ ЦЕНТР ДЕЗИНФЕКЦИИ» связана с внедрением информационной системы обеспечения комплексной защиты информации внешнего документооборота. Контекстная диаграмма бизнес-процессов «Как должно быть» показана на рисунке 10, диаграмма декомпозиции основного бизнес-процесса — на рисунке 11. Добавление информационной системы с выделением красным цветом связано с тем, что модификация технологии работы предполагает изменение, связанное с внедрением информационной системы. Как было показано в предыдущем разделе, эффективность работы отдела по защите информации обеспечивается посредством внедрения автоматизированных информационных систем. Основные функции систем комплексной защиты информации включают автоматизированный режим обработки внешних запросов с анализом правомерности отправки тех или иных видов запросов, автоматизацией формирования архивов с последующей отправкой на внешние адреса.

Рисунок 10 — Контекстная диаграмма «Как должно быть»

Рисунок 11 — Диаграмма основного бизнес-процесса  «Как должно быть»

1.3.2. Выбор и обоснование стратегии автоматизации задачи

 

Далее определим стратегию автоматизации технологии обеспечения комплексной защиты информации в системе внешнего документооборота  для Центра дезинфекции. В настоящее время принята классификация стратегий автоматизации на следующие виды [11]:

• Хаотичная (кусочная) автоматизация;
• Автоматизация по участкам;
• Автоматизация по направлениям;
• Полная автоматизация.

Проведем более подробный анализ данных стратегий.

Хаотичная стратегия автоматизации подразумевает отсутствие единой стратегии функционирования информационной системы предприятия.  Каждый специалист, либо группа специалистов в рамках данной стратегии принимает решение о внедрении той или иной информационной системы, что приводит полному отсутствию управляемости системой, сложностям в администрировании и невозможности интеграции различных направлений работы специалистов. Такая стратегия автоматизации характерна для малых предприятий, зачастую не имеющих в штате ИТ-специалистов, когда каждый специалист устанавливает себе системное, офисное, антивирусное ПО, а также отвечает за функционал прикладного ПО. Например, бухгалтер самостоятельно выбирает более удобную с его точки зрения программу, не согласовывая свои действия, например, с кадровой службой, которая также имеет свой функционал, например, при учете сотрудников или табелей рабочего времени.  Такая стратегия автоматизации является неэффективной, ведет к росту расходов на программное обеспечение, увеличивает трудозатраты в случае необходимости интеграции различных участков работы, значительно повышает уязвимость системы и усложняет администрирование.

Стратегия автоматизации «по участкам» предполагает единый подход при внедрении программного обеспечения в рамках выполнения единого функционала. Так, в данном случае, например в технологии учета заработной платы, единое ПО уже будут использовать бухгалтер и специалист по кадрам, что позволит объединить функционал данных специалистов в единую технологическую цепочку. При этом и в данном случае остается ряд недостатков, характерных для хаотичной автоматизации, так как не предполагается единый подход к использованию информационных ресурсов системы (так как в данном случае не используется единая СУБД, аппаратная платформа, системное ПО, что также увеличивает расходы на использование системы) [13].

Стратегия автоматизации «по направлениям» предполагает единые подходы к внедрению информационных систем согласно направлениям деятельности предприятия. Например, блок бухгалтерии при данной стратегии будет использовать базу «1С: Комплексная автоматизация», в которой реализован функционал всего бухучета – учета заработной платы, основных средств, оперативного, складского учета и при этом все это объединено в единую базу и позволяет получать сводную информацию о состоянии данного объекта управления. При этом в рамках единого ПО отражена вся технологическая цепочка подразделения (от ввода первичных данных до формирования отчетности и электронного документооборота).

Стратегия полной автоматизации предполагает автоматизацию всех направлений деятельности на единой платформе управления. Подобный тип автоматизации является оптимальным, хотя встречается довольно редко – в крупных компаниях, так как требует наличия собственного штата разработчиков ПО [14].

Основываясь на том, что нам необходимо автоматизировать бизнес процесс поддержки принятия решений, целесообразно выбрать стратегию автоматизации «по направлениям». Так как работа организация работы отдела по защите информации в части отработки внешних запросов представляет собой целостную технологическую цепочку, целесообразна её полная автоматизация.

 

1.3.3. Выбор и обоснование способа приобретения ИС для автоматизации комплекса задач

 

Определим способ приобретения программного обеспечения для автоматизации системы комплексной защиты информации для Центра дезинфекции.

Покупка готовых решений имеет следующие преимущества [9]:

• Отсутствие необходимости расходов на разработку ПО;
• Готовые решения, как правило, соответствуют стандартным технологиям работы специалистов;
• Приобретение лицензионного ПО предполагает возможность технической поддержки конечных пользователей, доработки ПО в соответствии с изменениями законодательства.

Также в настоящее время возможно приобретение «облачных» решений, что предполагает аренду ПО, развернутого на удаленном сервере. При этом не требуется временных затрат на установку и обслуживание ПО, но имеются риски, связанные со стабильностью каналов связи, а также с нахождением данных организации на сервере сторонней фирмы. При этом в случае возникновения проблемных ситуаций возможна блокировка доступа к ресурсам.

К недостаткам готовых решений относят необходимость адаптации под специфику организации, зачастую наличие неиспользуемого функционала. Риски, связанные с зависимостью от фирмы-разработчика.

Также возможно использование стратегии ПО, предполагающей приобретение ПО с последующей корректировкой его функционала под специфику компании.

Достоинства указанного способа приобретения ПО связаны с [11]:

• Приобретаемое ядро системы представляет собой законченное решение
• Существуют возможности доработки функционала с использованием встроенных средств программирования
• Более низкая стоимость продукта (т.к. ядро системы не включает лишнего функционала)

Недостатки указанного способа приобретения ПО связаны с [11]:

• Необходимостью привлечения ИТ-специалистов, имеющих компетенции работы с программным кодом указанной среды
• Необходимо обеспечить эффективность в сравнении со стратегией собственной разработки, что предполагает ограниченный объем вносимых доработок
• Доработки функционала производятся в предоставленной поставщиками ПО среде.

Способ, связанный с созданием программного обеспечения силами ИТ-специалистов компании, имеет следующие преимущества [12]:

• Разработка функционала системы производится под специфику компании;
• Индивидуализация проекта
• Возможность реализации изменений под требования организации

Недостатки данной стратегии [10]:

• Повышение трудозатрат специалистов ИТ-отдела, связанных с разработкой и сопровождением ПО, что предполагает необходимость введения в штат дополнительных ставок;
• При отсутствии возможности грамотной формулировки требований по функционалу разрабатываемого ПО возможны ошибки при реализации логической структуры программы.

Реализация проекта может быть затруднена или сорвана по причинам:

• Отсутствие у ИТ-разработчиков и специалистов профильных отделов необходимых навыков для реализации проекта;
• Вероятен выход их проекта специалистов, курирующих его ключевые направления, что связано с затруднениями при работе с чужим кодом привлеченных извне специалистов;
• Ошибки при резервировании необходимых трудовых, материальных ресурсов и финансирования;
• При смене подходов к проекту автоматизации со стороны менеджмента компании возможно закрытие проекта.

При проведении разработки собственными силами вероятно отсутствие актуальных документов, содержащих описание основных программных модулей и алгоритмов.

В данном случае оптимален способ автоматизации путем покупки ядра системы и ее последующей доработки.

В результате анализа достоинств и недостатков наиболее распространенных стратегий автоматизации задач комплексной защиты информации городского центра дезинфекции было принято решение о выборе стратегии автоматизации, связанной с собственной разработкой программного обеспечения, что позволит учесть специфику работы с рынком дезинфекции. Готовые решения не позволяют полностью решить все поставленные задачи автоматизации, а если приобретать готовые решения разных производителей, ориентирующиеся на решение отдельных задач, тогда возможно получение недостатков, характерных для хаотичного способа автоматизации.

1.4 Обоснование проектных решений

1.4.1. Обоснование проектных решений по информационному обеспечению

 

Информационное обеспечение включает совокупность проектных решений по объемам, размещению, формам организации данных (единую систему классификации и кодирования информации унифицированных систем документации, схем информационных потоков), циркулирующей в организации, а также методология построения баз данных. [8]

В процессе проектирования информационной системы комплексной защиты информации для Городского Центра Дезинфекции потребуется использование ряда классификаторов:

• Справочник видов запросов;
• Справочник сотрудников;
• Справочник внешних организаций

Входные документы:

• Запрос на предоставление конфиденциальных сведений;

Выходной информацией будет являться сформированная отчетность по работе с внешними запросами и обеспечению соблюдения требований комплексной защиты информации в рамках отработки внешних запросов.

В большинстве случаев, использование унифицированных форм в управлении комплексной системы защиты информации для Центра дезинфекции не представляется возможным, так как такие формы отсутствуют.

 

1.4.2. Обоснование проектных решений по программному обеспечению

 

Программное обеспечение — совокупность программ системы обработки информации и программных документов, необходимых для эксплуатации этих программ. [6]

В таблице 6 приведен перечень проектных решений по видам программного обеспечения, используемых в данной работе.

Таблица 6

Перечень программного обеспечения, используемого в проекте автоматизации документооборота ООО «ГОРОДСКОЙ ЦЕНТР ДЕЗИНФЕКЦИИ»

1.4.3. Обоснование проектных решений по техническому обеспечению

 

Техническое обеспечение информационных систем компьютерную технику, системы ввода/вывода данных, коммуникационное оборудование, аппаратуру, обеспечивающую энергоснабжение систем, используемых для обработки информации [13].

В таблице 7 приведен перечень требований к техническому обеспечению проектируемой информационной системы.

Таблица 7

Аппаратные требования информационной системы

Определение параметров вычислительной мощности аппаратного обеспечения производилось на основании анализа системных требований используемой СУБД и среды реализации приложения (1С: Предприятие).

Анализ аппаратных требований дает основание утверждать, что существующих средств технического обеспечения для функционирования создаваемой информационной системы автоматизации работы отдела по защите информации достаточно, необходимость в модернизации и замене отсутствует.

Глава 2. Проектная часть

2.1. Разработка проекта автоматизации

2.1.1. Этапы жизненного цикла проекта автоматизации

 

Проведем выбор концепции жизненного цикла в рамках проектирования комплексной системы защиты информации для Центра дезинфекции.

Термин «жизненный цикл» определяется как продолжительность проекта – от стадии постановки задачи до вывода из эксплуатации реализованного программно-аппаратного решения.

Этапы жизненного цикла включают [5]:

• Стадия замысла
• Стадия разработки
• Стадия производства
• Стадия применения
• Стадия поддержки применения
• Стадия прекращения применения и списания

Стандарты COBIT используются [3]:

• высшим руководством компании и Советом директоров;
• Бизнесом и ИТ-менеджментом;
• профессионалами в отдельных областях (безопасности, управлении, аудите и т.п.).

Перечень продуктов COBIT 4.1[3]:

• Методология проведения совещаний в области управления сферой ИТ. Используется высшим руководством определения приоритетов в использовании ИТ.
• Методология внедрения систем управления ИТ: Использование COBIT и Val IT TM. Описываются процессы внедрения методологий COBIT и Val IT.
• Контрольные практики COBIT: Руководство по достижению целей контроля для успешного управления сферой ИТ, второе издание (COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition). Объясняет, зачем нужны меры контроля и как их организовать.
• Руководство по обеспечению надежности в области ИТ: использование COBIT. Включает методологию использования COBIT для обеспечения надежности.

В требования бизнеса входят вопросы определения политики инвестирования в ресурсы ИТ.

Как показано выше, для ООО «Городской центр дезинфекции» по большинству направлений характерен низкий уровень зрелости ИТ-стратегии. По одному из направлений (перспективное видение управления ИТ-службой) – средний уровень.

Основные выявленные недостатки:

• функционирование ИТ-службы предполагает работы по поддержке функционирования программной и аппаратной части без четкого определения стратегии развития;
• в компании имеется пакет разработанных документов в области регулирования ИТ-инфраструктуры. Разграничены полномочия администраторов, пользователей, руководителей, составлены матрицы доступа. По факту требования, определенные в регламентах, исполняются формально;
• внедрение ИТ-решений в работу компании проводится без проведения детального анализа эффективности, соответствия технологии работы сотрудников и экономической эффективности.

В рамках данной работы проведена оценка уровня зрелости ИТ-стратегии компании ООО «Городской центр дезинфекции». Результаты показаны в таблице 8.

 

 

Таблица 8

Оценка уровня зрелости ИТ-стратегии компании

Стратегия развития ИТ-инфраструктуры ООО «Городской центр дезинфекции» предполагает разработку документов:

• положение о локальной вычислительной сети;
• системная архитектура локальной вычислительной сети;
• прикладная архитектура;
• положение об обеспечении информационной безопасности.

Определение модели жизненного цикла проекта является сложной задачей и зависит от его специфики, а также регламентов, действующих в организации.

Выбранная модель должна в максимальной степени соответствовать бизнес-процессам компании, имеющимся финансовым, материальным и трудовым ресурсам. Модели жизненного цикла выбираются из:

— каскадной, в рамках которой соблюдается последовательность заданных этапов, каждый из которых начинается в случае полного окончания работ по предыдущей стадии;

— итерационной, в которой проект разбивается на несколько более мелких, по каждому из которых проводятся работы по созданию определенного модуля программного продукта;

— спиральной, включающей комбинацию каскадной и итерационной.

 

Рисунок 11 — Спиральная модель

 

При использовании спиральной модели при создании программного обеспечения проект проходит этапы, связанные непосредственным созданием модулей программы, каждый из которых контролируется при завершении соответствующей стадии. После проведения контроля при завершении определенного этапа работы, оценивается соответствие реализованных функций поставленным задачам и корректируются планы дальнейшего этапа, что включает [19]:

• Уточнение текущих целей и задач разработки;

— Проведение анализа влияния факторов риска на реализацию проекта;

— Проведение функционального тестирования с оценкой результатов;

— Разработку планов дальнейшего развития проекта.

На каждом этапе применяемые методологии создания информационной системы могут изменяться. При этом конечной целью является создание готового программного решения, соответствующего требованиям, изложенным в Техническом задании.

При этом возможен переход к следующей стадии даже в том случае, когда работы по предыдущему этапу не завершены. Продолжение реализации проекта предполагает внесение изменении в планы, связанных с доработкой незавершенных задач предыдущих стадий.

На каждом из этапов Заказчику демонстрируется набор реализованных функций, что позволяет вносить необходимые уточнения в проект для обеспечения максимального соответствия реализованных функций специфике работы организации-клиента.

Одной из главных проблем при использовании спиральной модели является неявное разделение этапов проекта. Решение проблемы связано с определением временных границ по продолжительности каждой из стадий. Переход к следующему этапу производится даже в том случае, когда работы по предыдущему не завершены.

В рамках данной работы по созданию информационной системы городского центра дезинфекции целесообразно использование спиральной модели, так как предполагается внесение дополнений в требования Заказчика на каждом из этапов.

В таблице 9 приведен календарный план проекта по созданию информационной системы городского центра дезинфекции, включающей этапы анализа предметной области, постановки задач, составления технического задания, программной реализации проекта, внедрение системы разграничения доступа, опытную и промышленную эксплуатацию системы. В рамках данного проекта выбрана каскадная модель внедрения информационной системы.

---

1 2