Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Документ'
Автором анализируется тема онтологических оснований феномена собственности. Собственность рассматривается как особое отношение человека к вещи, возник...полностью>>
'Инструкция'
1.1. Главный бухгалтер относится к категории руководителей.1.2. Главный бухгалтер назначается на должность и освобождается от нее приказом генеральног...полностью>>
'Учебно-тематический план'
14 8 - - зачет 3 Фундаментальные математические модели современного естествознания 14 8 - - зачет 4 Применение функционального анализа в математическо...полностью>>
'Доклад'
В 2009 году исполняется 200 лет институту омбудсмана. Первый парламентский омбудсман был учрежден в 1809 году в Швеции. Однако в течение очень длител...полностью>>

Курс лекций Составитель Соркина В. Е. Введение 12

Главная > Курс лекций
Сохрани ссылку в одной из сетей:

Администрирование информационных систем.

Курс лекций

Составитель Соркина В.Е.

Введение 4

Элементы управления ИТ 6

Процедура аудита ИТ 13

Структурный подход к задаче соответствия нормативным требованиям 22

Основы структуры 23

Преимущества структурного подхода для организации 26

Структура для конкретной организации 27

Сопоставление нормативных актов с технологическими решениями 28

Сопоставление нормативных актов с контрольной структурой 29

Технологические решения по обеспечению соответствия нормативным требованиям 32

Технологические решения для управления ИТ 42

Прикладной пример 43

Некоторые вопросы сбора и обработки информации для принятия управленческих решений на предприятии. 46

Система и задачи управленческого учета 48

Иерархия систем управленческого учета 50

Применение мониторинга информационной среды предприятия 54

Задачи создания и использования Health model 57

Этапы работ по созданию MP 58

Подсистема отчетности системы моноторинга 59

Пример возможностей систем мониторинга фирмы Microsoft System Center Operations Manager 2007 и System Center Configuration Manager 2007 (SCCM).Повышение эффективности 63

Управление, основанное на знаниях 64

Комплексный мониторинг службы 66

MOM 2005 и OpsMgr 2007 69

ITCU Компоненты 71

System Center Configuration Manager 2007
Ключевые направления развития 73

Внедрение ИС: через тернии к звездам 77

Архитектура современной информационно-аналитической системы 85

Защищенные информационные системы 104

Фундаментальные проблемы 116

Определение угрозы безопасности 126

Передовой опыт: Программа «Двенадцать шагов к компьютерной безопасности» 147

Virtualization.Развертывание виртуальной инфраструктуры на стандартных операционных системах. Рекомендации IDEAS для пользователей 149

Операционные преимущества использования виртуализации 151

Виртуализация приложений: новые рубежи 165

Основные положения 167

Средство виртуализации приложений SoftGrid 177

LDAP: архитектура, реализации и тенденции 189

Эволюция LDAP: что дальше? 198

Введение в AD 199

Общие сведения об Active Directory 203

Поддержка открытых стандартов и стандартных форматов имен 205

Программные интерфейсы 209

Широкие возможности масштабирования 212

Распределенная система защиты 218

Утилиты для администрирования 219

Обеспечение обратной совместимости 220

Заключение 224

Novell eDirectory 8.7.1 225

Реализация 231

Управление 237

БЕЗОПАСНОСТЬ 240

Приложения 245

ITIL, процессы, проекты, и психоанализ. 250

Список литературы 279

Введение

Планирование и решение вопросов управления всеми уровнями IT-инфраструктуры призвано оказать помощь руководителям ИТ-подразделений в сфере внедрения элементов административного управления информационными технологиями на предприятии на основе структурного подхода.
Введение включает следующие разделы:
  • Элементы управления ИТ. В этом разделе описаны различные типы элементов управления ИТ, способы их взаимодействия и значение этих компонентов для соблюдения организацией нормативных требований.
  • Процедура аудита ИТ. В этом разделе приводятся общие сведения о процедуре, используемой аудиторами в большинстве организаций для оценки степени соответствия нормативным требованиям.
  • Бизнес-факторы. В этом разделе рассматриваются бизнес-факторы, имеющие непосредственное отношение к вопросам соответствия нормативным требованиям. В их числе проблемы сложной нормативно-правовой среды, достижения и поддержания соответствия законодательным предписаниям, а также последствий их несоблюдения. Кроме того, здесь затрагиваются вопросы, касающиеся создания и совершенствования бизнес-процесса, получения конкурентных преимуществ, а также повышения уровня окупаемости инвестиций благодаря экономии времени и снижению затрат.
Участники процесса административного управления ИТ это, в первую очередь, руководители ИТ-подразделений, которые несут ответственность за функционирование элементов ИТ-инфраструктуры, обеспечивающих соблюдение конфиденциальности, безопасности и надежности в соответствии с различными нормативными предписаниями. Целевая аудитория процесса административного управления включает руководителей ИТ-подразделений, которые занимают в своих организациях следующие должности:
  • директора по информационным технологиям, обязанности которых включают развертывание и эксплуатацию ИТ-систем и ИТ-процессов;
  • директора по информационной безопасности, ответственные за реализацию общих программ обеспечения безопасности данных и соблюдения политик информационной безопасности;
  • финансовые директора, на которых возложены общие контрольные функции:
  • директора по вопросам конфиденциальности, занимающиеся реализацией политик, связанных с управлением личными данными, включая политики соблюдения законов об охране конфиденциальности и защите данных;
  • должностные лица, принимающие технические решения, которые определяют технологические решения конкретных проблем ведения бизнеса;
  • руководители по эксплуатации ИТ-инфраструктуры, отвечающие за функционирование систем и процессов, выполняющих программы соблюдения нормативных требований;
  • разработчики архитектуры информационной безопасности, которые проектируют системы ИТ-контроля и безопасности для обеспечения уровней безопасности, соответствующих потребностям организаций;
  • разработчики архитектуры ИТ-инфраструктур, которые проектируют инфраструктуры, способные поддерживать созданные разработчиками архитектуры информационной безопасности системы;
  • консультанты и партнеры, занимающиеся внедрением рекомендаций по обеспечению конфиденциальности и безопасности в интересах соблюдения их клиентами нормативных требований.
Кроме того, в процесс должны быть вовлечены:
  • должностные лица, ответственные за управление рисками в масштабе организации при обеспечении соответствия нормативным актам и стандартам;
  • руководители аудиторских групп по ИТ, занимающиеся организацией аудита ИТ-систем и снижением рабочей нагрузки на внутренних и внешних аудиторов ИТ.

Элементы управления ИТ

Элемент управления можно определить как «устройство или механизм, с помощью которого регулируют или направляют работу машины, аппарата или системы». Организации используют элементы управления, чтобы регулировать бизнес-процессы, включая производство, распространение, финансирование и т. д. Элементы управ­ления позволяют организациям пресекать и исправлять нетипичное поведение, а также предотвращать либо ограничивать распространение недостатков и ошибок.
Многие нормативные акты ставят перед собой цель гарантировать наличие в орга­низациях надлежащих элементов управления. Например, HIPAA предписывает внед­рение надлежащих элементов управления информационной безопасностью и конфиденциальностью для защиты данных пациентов медицинских учреждений. А SOX обязывает открытые акционерные компании в США применять элементы управления, чтобы обеспечить точность финансовой отчетности.Организации внедряют элементы управления для того, чтобы:
  • снизить риск мошенничества;
  • обеспечить защиту активов компании;
  • предотвратить утечку коммерческих секретов;
  • обеспечить соблюдение нормативных требований;
  • повысить уровень осведомленности о состоянии бизнеса;
  • повысить эффективность ведения бизнеса.
В самом общем смысле элементы управления можно разделить на элементы управления коммерческой деятельностью и элементы управления информацион­ными технологиями. Элементы управления обеих категорий предназначены для противодействия рискам, которым подвергается компания. Однако они различаются по способам внедрения и применения. Элементы управления коммерческой дея­тельностью регулируют и направляют бизнес-процессы в организации. Например, требование утверждения руководством заказов на закупки является элементом управления, предназначенным для предотвращения необоснованного расходования средств. Элементы управления коммерческой деятельностью создаются практически для всех процессов в организации — от найма сотрудников и закупок до сбыта и финансовой отчетности.
Элементы управления ИТ регулируют и направляют использование в организации всех ИТ-процессов и систем. Они ориентированы на процессы, находящиеся в ведении руководителей ИТ-подразделений, включая доступность ИТ-ресурсов, управление изменениями, создание учетных записей пользователей, вопросы безопасности и т. д. Именно об этих элементах управления пойдет речь в настоящем руководстве.

Общие элементы управления и элементы управления приложений

Существует две категории элементов управления ИТ: общие элементы управления и элементы управления приложений.

Общие элементы управления

Общие элементы управления имеют отношение ко всей ИТ-инфраструктуре. Организации должны внедрить приемлемые общие элементы управления, прежде чем начать использовать элементы управления приложений. Например, если отсутствует уверенность в общей системе безопасности сервера баз данных, на котором хранятся данные системы планирования корпоративных ресурсов (ERP), можно ли доверять данным в ERP-системе, сколько бы внутренних проверок данных ни проводила сама ERP-система? Если злоумышленник может обойти элементы управления приложения из-за слабых мест в общих элементах управления, вся сеть организации оказывается под угрозой.
Общие элементы управления ориентированы на многие зоны ответственности руководителей ИТ-подразделений, включая:
  • организацию ИТ;
  • создание политик и информирование о них;
  • безопасность системы;
  • эксплуатацию системы;
  • управление изменениями;
  • принятие необходимых мер в условиях чрезвычайных ситуаций;
  • мониторинг;
  • производительность

Элементы управления приложений

Элементы управления приложений уникальны для каждого приложения, используемого организацией для ведения бизнес-деятельности. В этом смысле элементы управления приложений являются компонентами ИТ, ответственными за применение элементов управления коммерческой деятельностью. Элементы управления приложений предназначены для уменьшения числа и степени тяжести ошибок и предотвращения или выявления злонамеренных действий, таких как мошенничество. Поскольку элементы управления приложений столь тесно связаны с бизнес-процессами, которые поддерживаются соответствующими приложениями, их часто рассматривают в качестве элементов управления коммерческой деятельностью, реализованных средствами информационных технологий.
Элементы управления приложений позволяют выполнять следующие процедуры и решать следующие задачи.
Процедуры подготовки данных. Такие процедуры позволяют снизить риск ошибок и упущений. Например, процедуры обработки ошибок во время подготовки данных позволяют выявлять, регистрировать и исправлять специфические для этой группы данных ошибки.
Проверки точности, полноты и авторизации. Такие процедуры позволяют обеспечить управление изменениями и проверку входящих данных настолько близко к месту их возникновения, насколько это возможно. Обработка данных транзакций управляется процедурными элементами, ответственными за эти проверки.
Целостность обработки данных. Это позволяет обеспечить разделение обязанностей и проверку выполненной работы. В качестве примеров можно привести элементы управления для проверки итоговых значений и элементы управления обновлением главных файлов.
Распространение выходных результатов. Элементы управления приложений позволяют обеспечить поддержание единообразия и выполнение политики управления. В качестве примеров можно привести элементы управления, которые определяют политику распространения выходных результатов
ИТ-процессов, информируют о ней и обеспечивают ее соблюдение.
Защита передачи важных данных. Процедуры для этих элементов управления позволяют обеспечивать реализацию надлежащих защитных мер для предотвращения несанкционированного доступа к важным данным и злонамеренных манипуляций с ними во время передачи.
На рисунке ниже показаны отношения между различными типами элементов управления.

Рис. 1. Типы элементов управления

Дальнейшая классификация элементов управления ИТ

Существуют два метода дальнейшей классификации элементов управления ИТ. Во-первых, их можно разделить на ручные и автоматизированные. Для ручных элементов управления требуется участие оператора, тогда как функционирование автоматизированных элементов управления обеспечивается ИТ-системой. Во-вторых, их можно разделить на профилактические и сигнальные. Как ясно из названия, про­филактические элементы управления ИТ служат для предотвращения нежелательных событий. Сигнальные элементы управления ИТ не предотвращают нежелательное событие, но могут его выявить и уведомить оператора или систему о необходимости реакции на него.
Таким образом, можно выделить четыре типа элементов управления ИТ. Они представлены на рисунке ниже.

Рис. 2. Четыре типа элементов управления ИТ

Хорошим примером различных типов элементов управления ИТ и способов их функционирования является политика уровней сложности паролей. Предположим, в организации действует обусловленное нормативным актом или внутренней политикой безопасности требование, чтобы пароли имели длину не менее восьми знаков. Перечисленные ниже примеры элементов управления ИТ обеспечивают различные способы соблюдения этого требования.
Ручной сигнальный. Использование элемента управления такого типа предпо­лагает, что в организации действует сотрудник, самостоятельно устанавливающий факт нежелательного события. В этом случае организация использует ручной сигнальный элемент управления, при котором администратору придется ежене­дельно запускать составление отчета, чтобы обнаружить пароли короче восьми знаков. При обнаружении слишком короткого пароля администратор может принять меры, например, блокировать учетную запись или направить жалобу руководителю провинившегося пользователя. Ручные сигнальные элементы управления в целом неэффективны, поскольку требуют вмешательства оператора как для обнаружения, так и для решения проблемы. По этой причине использование таких элементов должно рассматриваться лишь в крайнем случае, когда элементы других типов недоступны.
Ручной профилактический. Иногда для решения поставленной задачи бывает достаточно ручного профилактического элемента управления. В этом случае организации потребуется озвучить политику применения паролей, предписывающую всем служащим пользоваться сложными паролями, не короче восьми знаков, для доступа к корпоративной сети. Предназначение этого элемента управления — предотвращение использования коротких паролей, но для этого необходимо неукоснительное соблюдение персоналом данного требования.
Автоматизированный сигнальный. Элементы управления этого типа позволяют системе автоматически выявлять нежелательные события и уведомлять соот­ветствующих сотрудников о необходимости устранения последствий. Например, автоматизированный сигнальный элемент управления может быть реализован в виде автоматизированного процесса, который выполняет поиск слишком коротких паролей и уведомляет администратора об их обнаружении. Как и в случае с ручным сигнальным элементом, при обнаружении нарушения администратор должен принять соответствующие меры.
Автоматизированный профилактический. Внедрение элементов такого типа является предпочтительным, поскольку устраняется человеческий фактор в виде несоблюдения установленных требований. В этом случае организация может воспользоваться функциональными возможностями операционной системы, которая запретит пользователям задавать короткие пароли. Такой элемент управления соответствует требованиям политики паролей, а пользователям существенно труднее его игнорировать либо обойти.
Следует отметить, что автоматизированные элементы управления в целом считаются более эффективными, нежели ручные, поскольку исключают участие человека. Кроме того, всегда предпочтительнее предотвращать проблемы, чем выявлять и реагировать на них. Поэтому автоматизированным профилактическим элементам управления отдается предпочтение перед тремя другими типами.

Интегрированные элементы управления

Одного элемента управления порой недостаточно, чтобы удовлетворить потребности компании, и может возникнуть необходимость в нескольких элементах. Если для решения конкретной задачи управления происходит объединение ряда элементов, они становятся интегрированными элементами управления.
Организации часто прибегают к использованию интегрированных элементов управления, если им приходится полагаться на ручные элементы или сталкиваться с крупномасштабными рисками. Например, если провозглашенная политика паролей или ручной профилактический элемент управления, является единственным способом добиться соблюдения требований к длине пароля, полезно также внедрить ручной или автоматизированный профилактический элемент управления для осуществления контроля.
Интегрированные элементы управления также полезны, если организация сталкивается со значительным риском. Например, выполнение ответственных бизнес-функций, используя устаревшую операционную систему, считается серьезной угрозой безопасности. Однако, если нет другого выхода, следует внедрить другие элементы управления для компенсации риска. В данном случае можно запретить уязвимой системе подключаться к корпоративной сети. Кроме того, можно исключить использование в системе съемных носителей, чтобы снизить опасность заражения вредоносными программами. Любого из этих элементов управления было бы недостаточно для решения проблемы, однако их сочетание может дать нужный эффект.

Важность элементов управления ИТ

Важная роль элементов управления ИТ состоит в том, что они обеспечивают эффективные средства, позволяющие совместить как решение бизнес-задач компании, так и задачи соответствия нормативным требованиям. Руководители ИТ-подразделений могут внедрять элементы управления с целью создания надежных процессов для тестирования и совершенствования среды управления ИТ в организации. Эффективные элементы управления ИТ также предоставляют организации возможность лучше адаптироваться к меняющимся нормативным требованиям.
Важно также отметить то, что аудиторы предпочитают оценивать автоматизированные элементы управления ИТ, поскольку такая оценка выполняется быстрее и позволяет более точно определить качество мер, принятых в организации для обеспечения соответствия нормативным требованиям. Благодаря этому снижаются затраты времени и финансовых средств, уменьшается вероятность сбоев при проведении аудитов ИТ. И это в дополнение к тому, что автоматизированные элементы в долгосрочной перспективе дешевле ручных.
Следующий раздел посвящен методам выполнения аудита ИТ.


Скачать документ

Похожие документы:

  1. Курс лекций по дисциплине «Информационные сети»

    Курс лекций
    Локальные сети (Local Area Networks, LAN), позволяющие предприятиям, применяющим в своей производственной деятельности компьютерные технологии, повысить эффективность коллективного использования одних и тех же ресурсов,
  2. Конспекты лекций для всех специальностей и всех форм обучения Издательство бгуэп

    Конспект
    Составители: д-р экон. наук, проф. Н.М. Токарская (темы 11, 13), д-р экон. наук, проф. Б.Л. Токарский (темы 3, 5, 9), канд. филос. наук, доц. Л.Н. Синицына (темы 4, 7, 15), канд.
  3. Учебная программа для специальности: 1- 25 01 03 Мировая экономика Факультет

    Программа
    Учебная программа «Экономика и управление внешнеэкономической деятельностью» составлена на основе типовой учебной программы «Внешнеэкономическая деятельность» (утв.
  4. Физика-математика факультеті 5В011100 – «Информатика» мамандығы бойынша оқу бағдарламасының жалпы сипаттамасы Берілетін дәреже

    Документ
    Берілетін дәреже: Бакалаврдың білім беру бағдарламаларын меңгерген және дипломдық жұмыс қорғаған тұлғаларға 5В0 00 - “Информатика” мамандығы бойынша «Информатика бакалавры» академиялық беріледі.
  5. И янки купалы» факультет экономики и управления учебное издание методичкские указания по выполненинию курсовых работ для студентов специальности «финансы и кредит» Гродно 2006

    Курсовая
    М54 Методические указания по выполнению курсовой работы для студентов специальности «Финансы и кредит». Содержатся указания по выполнению курсовых работ, изложена методика написания, оформления и защиты курсовых работ.

Другие похожие документы..