Системы поддержки принятия решений

 

Система поддержки принятия решений (СППР) - интерактивная автоматизированная система, которая помогает лицам, принимающим решения, использовать данные и модели, чтобы решать слабоструктурированные проблемы.

СППР обладает следующими основными характеристиками:

- использует и данные, и модели;

-  предназначена для помощи менеджерам при решении слабоструктурированных и неструктурированных задач;

-  поддерживает, а не заменяют, выработку решений менеджерами;

-  улучшает эффективность решений.

Основными компонентами СППР являются: языковая система (ЯС); система знаний (СЗ); система обработки проблем (СОП).

Языковая система по своему назначению обеспечивает коммуникации между пользователем и всеми компонентами СППР. С помощью ее пользователь формулирует проблему и управляет процессом ее решения, используя предоставляемые системой языковые средства.

Система знаний содержит информацию о проблемной области. СЗ различаются по характеру содержащихся в них данных и по используемым методам представления знаний (иерархические структуры, семантические сети, фреймы, системы продукций, исчисление предикатов и др.).

Система обработки проблем является механизмом, связывающим ЯС и СЗ. СОП обеспечивает сбор информации, распознавание проблемы, формулировку модели, ее анализ и т.д., воспринимает описание проблемы, сделанное в соответствии с синтаксисом ЯС, и использует знания, организованные по принятым в СЗ правилам, для того чтобы создать информацию, необходимую для поддержки решения.

СОП является динамичной компонентой СППР, отражающей образцы поведения человека, решающего проблему. СОП должна обладать способностями объединять информацию, получаемую от пользователя через ЯС и СЗ, и, используя модели, преобразовывать формулировку проблемы в детальные процедуры, выполнение которых даст ответ. В более сложных случаях СОП должен уметь формулировать модели, необходимые для решения поставленной проблемы. СОП выполняет функции анализа проблем и принятия решений.

Процесс принятия решения включает: 1. Сбор данных; 2. Распознавание проблемы; 3. Формулировка концептуальной модели; 4. Формулировка эмпирической модели; 5. Верификация; 6. Анализ; 7. Поиск допустимых решений; 8. Проверка правильности (обоснованности) решения; 9. Генерация решения; 10. Выполнение. Использование этих составляющих в процедуре принятия решений зависит от типа проблемы и модельного цикла. В схеме главную роль играют стадии 1, 4 и 7. В случае хорошо структуризованных проблем исключаются стадии 2, 8 и 9. При нормативном аксиоматическом подходе используются только стадии 3, 7 и 9.

Тема 7. Обеспечение безопасности информационных систем

 

Основы информационной безопасности

 

Информационная безопасность (ИБ) - это защищенность информации и поддерживающих инфраструктуру систем от случайных или преднамеренных воздействий естественного или искусственного характера.

Средства и методы поддержки ИБ должны обеспечивать: доступность, целостность и конфиденциальность.

Под доступностью к информации понимается возможность получения информации и ее использование. Различают санкционированный и несанкционированный доступ к информации.

Права доступа - совокупность правил, регламентирующих порядок и условия доступа субъекта к информации, ее носителям и другим ресурсам ИС, установленных правовыми документами или владельцем информации.

Разграничение доступа - с одной стороны, правила, ограничивающие действия субъектов ИС над ее ресурсами, с другой - деятельность по реализации этих правил.

Атака на информационную систему - это действие, предпринимаемое злоумышленником с целью поиска и использования той или иной уязвимости системы.

Угроза информационной безопасности - событие или действие, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы.

Защита информации - деятельность, направленная на сохранение государственной, служебной, коммерческой или личной тайны, на сохранение носителей информации любого содержания.

Политика безопасности - это совокупность норм и правил, определяющих принятые в организации меры по обеспечению безопасности информации, связанной с деятельностью организации.

 

7.2 Критерии оценки информационной безопасности

 

В 1999 г. ИСО приняла стандарт (ISO 15408) под названием «Общие критерии оценки безопасности информационных технологий», который способствовал унификации национальных стандартов в области оценки безопасности информационных технологий на основе взаимного признания сертификатов.

Стандарт ISO 15408 определяет инструменты оценки безопасности ИТ и порядок их использования, ряд ключевых понятий, лежащих в основе концепции оценки защищенности продуктов ИТ: профиля защиты, задания по безопасности и объекта оценки.

Использование стандарта позволяет: сравнивать между собой результаты различных сертификационных испытаний ИС и контролировать качество оценки безопасности; единообразно использовать имеющиеся результаты и методики оценок различных стран; определять общий набор понятий, структур данных и язык для формулирования вопросов и утверждений относительно ИБ; потенциальным пользователям ИС, опираясь на результаты сертификации, определить, удовлетворяет ли данный программный продукт или система их требованиям безопасности; постоянно улучшать существующие критерии, вводя новые концепции и уточняя содержания имеющихся критериев.

В разных странах дополнительно разработаны отраслевые стандарты, нормативные документы и спецификации по обеспечению информационной безопасности, которые применяются национальными организациями при разработке программных средств, ИС и обеспечении качества и безопасности их функционирования.

7.3 Классы безопасности информационных систем

информационный система корпоративный безопасность

В «Оранжевой книге» дано определение безопасной системы и выделены основные классы защищенности - D, C, B, A.

В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов.

Класс C1: ИС должна управлять доступом именованных пользователей к именованным объектам; пользователи должны идентифицировать себя до выполнения каких-либо контролируемых ИС действий; ИС должна быть защищена от внешних воздействий и от попыток слежения за ходом работы; должна обеспечиваться корректность функционирования аппаратных и программных средств путем периодической проверки; должен быть описан подход к безопасности, используемый разработчиком, и применение его при реализации ИС.

Класс C2 (в дополнение к C1): все объекты должны подвергаться контролю доступа; каждый пользователь системы должен уникальным образом идентифицироваться; каждое регистрируемое действие должно ассоциироваться с конкретным пользователем; ликвидация всех следов внутреннего использования объектов ИС; ИС должна создавать, поддерживать и защищать журнал с информацией о доступе к объектам, контролируемым ИС; тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.

Класс B1 (в дополнение к C2): каждый хранимый объект ИС должен иметь отдельную идентификационную метку; ИС должна обеспечить реализацию принудительного управления доступом к хранимым объектам, взаимную изоляцию процессов путем разделения их адресных пространств; должна существовать модель политики безопасности.

Класс B2 (в дополнение к B1): должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена информацией; ИС должна быть внутренне структурирована и демонстрировать устойчивость к попыткам проникновения; тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.

Класс B3 (в дополнение к B2): для управления доступом должны использоваться списки управления доступом с указанием разрешенных режимов; должна быть предусмотрена регистрация событий, несущих угрозу политике ИБ; администратор безопасности должен извещаться о попытках нарушения, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом; должно обеспечиваться восстановление после сбоя или иного нарушения работы без ослабления защиты; должна быть продемонстрирована устойчивость ИС к попыткам проникновения.

Класс A1 (в дополнение к B3): реализация ИС должна соответствовать ее формальным описаниям; механизм управления ИБ должен распространяться на весь жизненный цикл и все компоненты системы.

 

7.4 Угрозы информационной безопасности

 

Угрозы информационной безопасности делятся на естественные и искусственные. Естественные угрозы обуславливаются природными факторами (наводнения, землетрясения и другие стихийные бедствия), последствиями техногенных катастроф (пожары, взрывы и др.). Чаще всего ИС страдают от искусственных (преднамеренных) угроз. Знание возможных угроз, уязвимых мест ИС необходимо для выбора наиболее эффективных средств обеспечения безопасности.

Угроза характеризуется источником угрозы, методом воздействия, уязвимыми местами, ресурсами, которые могут пострадать.

Источники угроз безопасности могут находиться как внутри ИС (внутренние источники), так и вне ее (внешние источники).

Самыми частыми и опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих ИС.

Угрозы информационной безопасности можно разделить на:

-  конструктивные - основной целью несанкционированного доступа является получение копии конфиденциальной информации;

-  деструктивные - несанкционированный доступ приводит к потере (изменению) данных или прекращению сервиса.

Классификация угроз информационной безопасности приведена в табл. 6.1.

 

Таблица 6.1 - Классификация угроз информационной безопасности

Признаки классификации угроз	Угрозы
доступность	с использованием доступа; с использованием скрытых каналов
способ воздействия	непосредственное воздействие на объект атаки; воздействие на систему разрешений; опосредованное воздействие
использование средств атаки	использование штатного ПО; использование разработанного ПО
территориальный	глобальные: перераспределение национальных интересов отдельных государств, передел зон влияния и рынков сбыта, недружественная политика иностранных государств в области глобального информационного мониторинга, деятельность иностранных разведывательных и специальных служб, преступные действия международных групп; региональные: преступность в информационной сфере; локальные: перехват электромагнитных излучений, применение подслушивающих устройств, дистанционное фотографирование, внедрение компьютерных вирусов, злоумышленный вывод из строя механизмов, использование программ-ловушек, незаконное подключение к линиям связи и др.
объект, на который нацелена угроза	данные, программы, аппаратура, поддерживающая инфраструктура
способ осуществления	случайные/преднамеренные, действия природного / техногенного характера
расположение источника угроз	внутри ИС вне ИС

 

На угрозы ИБ влияют политические, экономические и организационно-технические факторы.

С переходом от традиционной «бумажной» технологии хранения и передачи сведений на электронную при недостаточном развитии технологий защиты информации, объединением вычислительных систем, создание глобальных сетей и расширением доступа к информационным ресурсам, усложнением программных средств и связанное с этим уменьшение их надежности и увеличением числа уязвимых мест появилось понятие компьютерная преступность.

Превращение компьютерной преступности в мировое явление потребовало международного сотрудничества и совместного противодействия компьютерным преступникам. В этих целях совершенствуется правовая база, в частности, вслед за Европейскими странами, в рамках СНГ заключаются межгосударственные договоры и соглашения, направленные на борьбу с компьютерной преступностью.

 

7.5 Методы и средства защиты информации

 

Выделяют два подхода к обеспечению ИБ:

- фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях/

-  комплексный подход ориентирован на создание защищенной среды обработки информации, объединяющей в единый комплекс разнородные меры противодействия угрозам, что позволяет гарантировать определенный уровень безопасности и является несомненным достоинством комплексного подхода.

Современные комплексные системы защиты позволяют собирать информацию со всех устройств идентификации и контроля, обрабатывать ее и управлять устройствами; собирать и обрабатывать информацию с оборудования охранных систем сигнализации, систем видеонаблюдения, пожаротушения, вентиляции, энергосбережения и др.; создавать журналы учета состояния этих систем и происхождения изменений, отражать состояние систем и аварийные ситуации; контролировать состояние всей структуры в режиме реального времени.

Для обеспечения ИБ используются следующие основные методы: законодательные, административно-организационные и программно-технические.

Программно-технические методы и средства:

-  защищенные виртуальные частные сети (VPN) для защиты передаваемой по открытым каналам связи информации;

-  межсетевые экраны для защиты корпоративной сети от внешних угроз при подключении к общедоступным сетям связи;

-  защита от несанкционированного доступа к информации;

-  идентификация пользователей путем применения смарт-карты, «таблеток», ключей и других средств аутентификации;

-  шифрование файлов и каталогов;

-  защита от вирусов;

-  обнаружение вторжений.

Для идентификации пользователей используются: идентификация, аутентификация и авторизация.

Особую роль в программно-технических методах защиты информации играют шифрование данных и электронная цифровая подпись.

Электронная цифровая подпись (ЭЦП) - это реквизит электронного документа, предназначенный для удостоверения источника данных и защиты электронного документа от подделки. Цифровая подпись позволяет получателю сообщения убедиться в аутентичности источника информации (в том, кто является автором информации), проверить, была ли информация изменена (искажена), пока находилась в пути. Таким образом, цифровая подпись является средством аутентификации и контроля целостности данных и служит той же цели, что печать или собственноручный автограф на бумажном листе.

Мероприятия по защите корпоративной информации должны обеспечивать выполнение следующих задач: защиту от проникновения в компьютерную сеть и от утечки информации из сети по каналам связи; разграничение потоков информации между сегментами сети; защиту наиболее важных ресурсов сети от вмешательства в процесс функционирования; защиту рабочих мест и ресурсов от несанкционированного доступа; шифрование информационных ресурсов.

Для поддержания режима информационной безопасности в компьютерных сетях особенно важны программно-технические средства, которые обеспечивают идентификацию и аутентификацию, управление доступом, технологии обнаружения атак, протоколирование и регистрация, шифрование и сетевую защиту и экранирование.

 

7.6 Правовые аспекты информационной безопасности

 

Правовое обеспечение безопасности ИС - совокупность законодательных и морально-этических средств, регламентирующих правила и нормы поведения при обработке и использовании информации, информационных ресурсов и ИС.

В соответствии с нормами белорусского законодательства документированная информация может быть двух видов: открытая (общедоступная) и информация ограниченного доступа.

Правовые методы защиты программных продуктов включают: патентную защиту; присвоение статуса производственных секретов; лицензионные соглашения и контракты.

Компьютерная этика устанавливает единые, основанные на этических представлениях принципы деятельности в сети Интернет, распространив их и на компьютерных профессионалов, и на пользователей сетей с учетом местных культурных и этических традиций.

Во всех кодексах содержатся нормы, основанные на соблюдении четырех главных моральных принципов: privacy (тайна частной жизни), accuracy (точность), property (частная собственность) и accessibility (доступность).

Исходные положения правового обеспечения процессов информатизации в Беларуси определены Концепцией государственной политики в области информатизации. В сфере ИС в Республике Беларусь действует ряд международных и государственных стандартов. Закон Республики Беларусь «Об информации, информатизации и защите информации» регулирует правоотношения, возникающие в процессе формирования и использования документированной информации и информационных ресурсов, создания информационных технологий автоматизированных или автоматических информационных систем и сетей; определяет порядок защиты информационного ресурса, прав и обязанностей субъектов, принимающих участие в процессах информатизации. Принято многостороннее Соглашение стран - участниц СНГ о сотрудничестве в области охраны авторского права и смежных прав, указы, постановления, законы.

С 1 июля 2010 года действует Указ Президента Республики Беларусь № 60 от 1 февраля 2010 г. «О мерах по совершенствованию использования национального сегмента сети Интернет», который предусматривает обеспечение защиты интересов личности, общества и государства в информационной сфере, создание условий для дальнейшего развития национального сегмента глобальной компьютерной сети Интернет, повышение качества и доступности предоставляемой гражданам и юридическим лицам информации о деятельности государственных органов, иных организаций и интернет-услуг.

Тема 8. Ппроектирование ИС

 

При разработке ИС используется ряд стандартов и методик:

· ISO/IEC 12207 - стандарт на процессы и организацию жизненного цикла, который распространяется на все виды программного обеспечения;

·   Rational Unified Process (RUP) - итеративная методология разработки;

·   Rapid Application Development (RAD) - методология быстрой разработки приложений, представляющая комплекс специальных инструментальных средств, позволяющих оперировать с определенным набором графических объектов, функционально отображающих отдельные компоненты приложений;

·   Custom Development Method (CDM) - методология по разработке прикладных информационных систем, рассчитанных на использование в проектах с применением компонентов Oracle.

Стандарт ISO/IEC 12207 определяет структуру жизненного цикла, включая процессы, работы и задачи, выполняемые в процессе создания информационной системы. В нем работы жизненного цикла разбиты на следующие группы: основные; вспомогательные; организационные.

К основным процессам относятся: заказ, поставка, разработка, эксплуатация и сопровождение.

К вспомогательным процессам жизненного цикла относятся: документирование, управление, управление конфигурацией, обеспечение качества, верификация, анализ, проверка и тестирование, аттестация, совместный анализ, аудит и решение проблем.

Ответственность за работы и задачи вспомогательного процесса несет организация, выполняющая данный процесс.

Управление проектом связано с планированием и организацией работ, созданием коллективов разработчиков и контролем сроков и качества выполняемых их.

К организационным процессам жизненного цикла относятся: управление, создание инфраструктуры, усовершенствование и обучение.

Жизненный цикл информационной системы (ЖЦ ИС) можно условно разбить на ряд стадий. Согласно методологии RUP ЖЦ ИС включает четыре стадии: начало; проектирование; разработка; внедрение. Границы каждой стадии задаются временными моментами, в которые необходимо принимать определенные решения и достигать определенных ключевых целей.

Наиболее распространенными моделями жизненного цикла ИС являются: каскадная модель и спиральная.

Каскадная модель ЖЦ ИС предусматривает последовательную организацию работ. Ее основной особенностью является разбиение всей разработки на этапы, переход с одного этапа на следующий происходит только после того, как полностью завершены все работы на предыдущем. Каждый этап завершается выпуском полного комплекта документации, достаточной для того, чтобы разработка могла быть продолжена другой командой разработчиков.

Основные этапы разработки ИС по каскадной модели: анализ требований заказчика; проектирование; разработка; тестирование и опытная эксплуатация; ввод в действие готового продукта.

На первом этапе проводится исследование проблемы, четко формулируются все требования заказчика. Результатом является техническое задание, согласованное со всеми заинтересованными сторонами.

На втором этапе разрабатываются проектные решения, удовлетворяющие всем требованиям, сформулированным в техническом задании. Результатом его является технический проект.

Третий этап включает разработку программного обеспечения в соответствии с полученными на предыдущем этапе проектными решениями. Работы завершаются выпуском рабочего проекта ИС.

На четвертом этапе проводится тестирование полученного программного обеспечения на предмет соответствия требованиям, заявленным в техническом задании.

Последний этап - ввод в действие готового продукта.

Спиральная модель жизненного цикла предполагает итерационный процесс разработки ИС с возможностью существенного упрощения внесения уточнений и дополнений в проект. На каждом витке спирали создается фрагмент или версия программного изделия, уточняются цели и характеристики проекта, определяется его качество, планируются работы на следующем витке. Главная задача каждой итерации - создать работоспособный продукт, который можно показать пользователям системы. Спиральный подход к разработке ПО позволяет преодолеть большинство недостатков каскадной модели и обеспечивает гибкость процесса разработки (постепенная интеграция отдельных элементов ИС в единое целое, уменьшение рисков, повторного использования компонентов; получение более надежной и устойчивой системы, совершенствование процесса разработки).

Основная проблема спиральной модели ЖЦ - определение момента перехода на следующий этап.

Процесс разработки ИС можно рассматривать: по содержанию действий разработчиков; по времени или стадиям ЖЦ разрабатываемой системы.

Проект - комплекс взаимосвязанных мероприятий, предназначенных для достижения поставленных целей, с установленными требованиями к качеству результата, в течение заданного времени, при установленных бюджете и уровнях рисков.

Выделяют следующие основные отличительные признаки проекта как объекта управления: изменчивость (целенаправленный перевод системы из существующего в некоторое желаемое состояние, описываемое в терминах целей проекта); ограниченность бюджета и требуемых ресурсов; комплексность (наличие большого числа факторов, прямо или косвенно влияющих на прогресс и результаты проекта); правовое и организационное обеспечение (создание специфической организационной структуры на время реализации проекта).

Для экспериментальной проверки правильности принятых на предыдущих этапах решений и подготовки к внедрению КИС выполняется пилотный проект.

Выделяют два подхода к проектированию ИС: канонический и типовой.

Каноническое проектирование ИС ориентировано на использование, главным образом, каскадной модели ЖЦ ИС и основными стадиями являются: формирование требований, разработка концепции, разработка ТЗ, создание эскизного проекта, разработка технического проекта, разработка рабочей документации, разработка рабочей документации, ввод в действие

Типовое проектирование ИС предполагает создание системы из готовых типовых элементов. Основным требованием для применения методов типового проектирования является возможность декомпозиции проектируемой ИС на множество составляющих компонентов (подсистем, комплексов задач, программных модулей и т.д.). Для реализации выделенных компонентов выбираются имеющиеся на рынке типовые проектные решения.

Типовое проектное решение (ТПР) - это тиражируемое проектное решение. Основными видами ТПР являются: типовые решения по задаче или по отдельному виду обеспечения задачи; отдельные подсистемы, разработанные с учетом функциональной полноты и минимизации внешних информационных связей; полный набор функциональных и обеспечивающих подсистем ИС.

Типовое проектирование предполагает реализацию одного из подходов: параметрически-ориентированного (оценка пригодности пакетов прикладных программ для решения задач, анализ и оценка доступных пакетов, выбор и закупка наиболее подходящего, настройка параметров или доработка закупленного пакета) или модельно-ориентированного (адаптация типовой ИС в соответствии с моделью объекта автоматизации - построение с использованием специального программного инструментария - SAP Business Engineering Workbench (BEW), BAAN Enterprise Modeler и др.).

В результате обследования объекта автоматизации оценивается реальный объем проекта, его цели и задачи, определяются подходы к созданию системы и оцениваются затраты на ее реализацию, собираются и анализируются требования пользователей к ИС; формулируются задачи, обеспечивающие реализацию функций управления, анализируется организационная структура и содержание работ по управлению предприятием, характер подчиненности вышестоящим органам управления; определяются характеристики документооборота; устанавливается перечень задач управления, решение которых целесообразно автоматизировать, и очередность их разработки.

Результаты изучения объекта автоматизации представляют объективную основу для разработки технического задания на информационную систему.

В основе проектирования ИС лежит моделирование предметной области. Моделирование предметной области позволяет сократить время и сроки проведения проектировочных работ и получить более эффективный и качественный проект.

Любую организацию можно рассматривать как совокупность взаимодействующих элементов (подразделений), каждый из которых может иметь свою, структуру. В общем случае можно выделить три вида связей между подразделениями предприятия: функциональные, информационные и внешние.

Основными принципами построения ИС являются: системность, развитие, совместимость, непосредственное участие работников предприятия, безопасность и эффективность

Модели деятельности организации создаются в двух вариантах:

· модель «как есть» («as-is»), фиксирующая существующие в организации бизнес-процессы;

·   модель «как должно быть» («to-be»), отражающая необходимые изменения бизнес-процессов с учетом внедрения ИС.

 

8.1 Реинижиниринг бизнес-процессов

 

Новый подход к управлению - реинжиниринг бизнес-процессов (BPR - Business Process Reengineering).

Выделяют два типа реинжиниринга бизнес-процессов: кризисный реинжиниринг и реинжиниринг развития.

Участниками реинжиниринга бизнес-процессов являются: лидер проекта, управляющий комитет, менеджеры процессов, менеджер и рабочая команда.

Основные этапы и фазы реинжиниринга:. Формирование будущего образа предприятия в рамках разработки его стратегии, основных целей и способов их достижения.. Создание модели существующего бизнеса путем реконструкции системы действий, работ, при помощи которых предприятие реализует свои цели, детальное описание основных операций, оценка их эффективности (обратный реинжиниринг).. Разработка модели нового бизнеса, перепроектирование текущего бизнеса (прямой реинжиниринг). Для этого выполняются следующие действия:

) перепроектирование выбранных хозяйственных процессов, создание более эффективных рабочих процедур, определение технологий (в том числе информационных) и способы их применения;

) формирование новых функций персонала, переработка должностных инструкций, определение оптимальной системы мотивации, организация рабочих команд, разработка программы подготовки и переподготовки специалистов;

) выбор ИС, необходимых для осуществления реинжиниринга;

) тестирование новой модели.. Внедрение модели нового бизнеса в хозяйственную деятельность.

Базовые принципы реинжиниринга бизнес-процессов:

-  интеграция нескольких рабочих процедур, выполнявшихся различными сотрудниками, в одну (горизонтальное сжатие процесса);

-  повышение самостоятельности исполнителей за счет самостоятельного принятия решений (вертикальное сжатие процессов);

-  выполнение шагов процесса в естественном порядке - переход от последовательного к естественному распараллеливанию выполнения процессов;

-  формирование различных вариантов исполнения процесса в зависимости от конкретной ситуации, состояния рынка и т.д.;

-  выбор оптимального места выполнения работы;

-  уменьшение количества проверок и управляющих воздействий до экономически целесообразного уровня;

-  минимизация количества согласований;

-  создание единой точки контакта;

-  преобладание смешанного централизованно/децентрализованного подхода.

В настоящее время для моделирования бизнес-процессов успешно используются практически все известные методологии структурного анализа и проектирования (IDEF, SADT и др.). Наиболее важными методологиями IDEF являются: методологии моделирования функциональных блоков (IDEF0), информационных потоков (IDEF1), динамики развития (IDEF2); документирования бизнес-процессов (IDEF3); описания объектов и действий над ними (IDEF4); описания текущего состояния предприятия и тенденций его изменения (IDEF5).

Объектно-ориентированное моделирование признано базовой методологией BPR, позволяющей описывать не только атрибуты объектов предметной области, но и их поведение, создавать прозрачные, легко модифицируемые модели бизнеса и ИС, допускающих повторное использование отдельных компонентов.

В настоящее время выделяют два фактора, определяющих развитие реинжиниринга: рост электронной коммерции и развитие ERP-систем.

Методика проведения реинжиниринга включает:

-  определение направления развития бизнеса (уточняются цели и принципы деятельности, определяются ключевые рынки, группы покупателей и их основные потребности);

-  определение масштаба и конечных целей проекта, для чего используются средства анализа и моделирования (диаграммы потоков данных, методики сравнения текущих результатов деятельности с планируемыми);

-  определение структуры организации и кадровой политики (конкретизация инфраструктуры для обеспечения эффективного функционирования новых процессов, анализ и оценка организационных и кадровых последствий реализации решения);

-  технологическая поддержка - формулировка требований к функциональным, техническим и эксплуатационным характеристикам новых технологий и оценка их воздействия на работу предприятия;

-  выявление характеристик физической инфраструктуры - помещения, оборудование (состав, расположение, назначение, функциональные особенности и др.), согласование планов и проектов помещений и систем жизнеобеспечения (энергетической, водоснабжения, вентиляции и т.д.);

-  реализация внутренней политики предприятия с учетом необходимых изменений и оценка влияния действующего законодательства;

-  мобилизация ресурсов для осуществления проекта, планирование новых процессов для получения максимально быстрой и эффективной отдачи.

Для проверки действенности выработанных подходов и рекомендаций к разработке новых бизнес-процессов обычно требуется осуществление пробных (пилотных) проектов, призванных продемонстрировать их жизнеспособность и эффективность.

 

8.2 Стандартизация и сертификация информационных технологий

 

Стандартизация является эффективным средством обеспечения качества, совместимости, взаимозаменяемости продукции и ее составных частей; унификации и типизации составляющих; соблюдение норм безопасности и удовлетворение экологических требований; обеспечения единства характеристик и свойств продукции, работ, процессов и услуг.

Стандартизация осуществляется на разных уровнях - региональном, национальном, международном уровне.

Цель стандартизации - достижение оптимальной степени упорядочения в той или иной области посредством широкого и многократного использования установленных положений, требований, норм, для решения реально существующих, планируемых или потенциальных задач.

Государственная система стандартизации Республики Беларусь начала формироваться в 1992 г. Основой ее является фонд законов, подзаконных актов, нормативных документов по стандартизации, который включает: техническое законодательство; государственные стандарты, республиканские классификаторы технико-экономической информации; стандарты отраслей и стандарты научно-технических и инженерных обществ, стандарты предприятий и технические условия.

Государственные стандарты представлены: государственными стандартами Республики Беларусь (СТБ); межгосударственными стандартами (ГОСТами); государственными стандартами бывшего Союза ССР (ГОСТ); правилами, нормами и рекомендациями по стандартизации; республиканскими классификаторами технико-экономической и социальной информации.

Отраслевые стандарты (ОСТ) имеют ограниченную сферу применения - определенная отрасль народного хозяйства; стандарты научно-технических и инженерных обществ - определенная деятельность. Сфера применяемости стандартов предприятий (СТП) и технических условий (ТУ) ограничивается рамками организации (предприятия).

Объектами стандартизации в области информационных технологий являются: процессы, методы, ресурсы, средства, информационные продукты и услуги, качество и др., для которых разрабатывают те или иные требования, характеристики, параметры, правила и т.п. Стандартизация может касаться либо объекта в целом, либо его отдельных составляющих (характеристик).

Сертификация продукции - это деятельность по подтверждению соответствия продукции установленным требованиям. Она осуществляется в целях:

- создания условий для деятельности предприятий, учреждений, организаций и предпринимателей на едином товарном рынке Российской Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле;

-  содействия потребителям в компетентном выборе продукции;

-  защиты потребителя от недобросовестности изготовителя (продавца, исполнителя);

-  контроля безопасности продукции для окружающей среды, жизни, здоровья и имущества;

-  подтверждения показателей качества продукции, заявленных изготовителем.

Объектом сертификации является продукция (работы, услуги), как отечественные, так и импортируемые, процессы и системы качества. Сертификация может иметь обязательный и добровольный характер.