Разработка архитектуры предприятия (на примере предприятия)

Внутреннее: call-центр, управление базами данных, управление выплатами сотрудникам, платежное документы.

Основные процессы.

Развитие услуг и установка цен.

РекламаСвязи с общественностью.

ДепозитыЗаключение/прекращениеконтрактов.

Мониторинг контрактов.

Формирование комиссионногодохода.

Оценка рисков.

Идентификация клиента.

Привлечение денежных средств.

Учет оказанных услуг.

Обеспечение безопасности персональных данных.

Управление информационными системами.

Поддержка ликвидности.

Связь с банками-корреспондентами Продвижение компании и управление контрактами.

Предоставление услуг.

Управление сетевой инфраструктурой3.

3Модельприложения.

Для описания внедряемых приложений была разработана диаграмма, описывающая взаимодействие администратора приложения (информационной безопасности) и внешнего пользователя (клиента компании) (см. рис. 13).Рисунок 13 — Диаграмма вариантов использования.

Модель защиты персональных данных в компании «Транко» можно представить в следующем виде (см. рис.

14).Рисунок 14 — Модель защиты персональных данных в компании «Транко"3.4 Экономическое обоснование проекта по разработке информационной архитектуры компании «Транко"Так как основная рекомендация по совершенствованию архитектуры компании «Транко» касается вопросов защиты информации, то экономическая эффективность может быть определена через объем предотвращенного ущерба или величину снижения риска для информационных активов организации. Для того, чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять), во-первых, ожидаемые потери при нарушении защищенности информации; во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации. Для определения уровня затрат обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать:

полный перечень угроз информации;

потенциальную опасность для информации для каждой из угроз;

размеры затрат, необходимых для нейтрализации каждой из угроз. Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. В качестве одной из методик определения уровня затрат возможно использование следующей эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информации (2):(2)где: — коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы; - коэффициент, характеризующий значение возможного ущерба при ее возникновении. При выполнении дипломного проекта используем следующие значения коэффициентов и, приведенные в таблице (см. таблицу 8).Таблица 8 — Значения коэффициентов Siи ViОжидаемая (возможная) частота появления угрозы.

Предполагаемое значение Почти никогда01 раз в 1 000 лет11 раз в 100 лет21 раз в 10 лет31 раз в год41 раз в месяц (примерно, 10 раз в год).

5Продолжение таблицы 8Ожидаемая (возможная) частота появления угрозы.

Предполагаемое значение 1−2 раза в неделю (примерно 100 раз в год).

63 раза в день (1000 раз в год).

7Значение возможного ущерба при проявлении угрозы, руб. Предполагаемое значение 30 030 013 230 3 300 43 000 530 000 6 300 000 0007.

Суммарная стоимость потерь определяется формулой (3):(3)где N — количество угроз информационным активам. Оценим потери от угроз:

угрозы, обусловленные преднамеренными действиями;

угрозы, обусловленные случайными действиями;

угрозы, обусловленные естественными причинами (природные, техногенные факторы).Определим значения коэффициентов Siи Viдля информационных активов компании «Транко» (см. таблицу 9).Таблица 9 — Значения коэффициентов Siи ViАктив.

УгрозаSiViПерсональные данные сотрудников и студентов.

Несанкционированное использование носителей данных53Ошибка обслуживающего персонала52Нелегальное проникновение злоумышленника под видом санкционированных пользователей44Доступ несанкционированных пользователей к сети44Перехват информации за пределами контролируемой зоны54Ненадлежащее использование ресурсов43Утрата ключей и атрибутов доступа42Ухудшение состояния носителей данных32ЭМИ72Финансовая документация Несанкционированное использование носителей данных53Ошибка обслуживающего персонала52Нелегальное проникновение злоумышленника под видом санкционированных пользователей44Доступ несанкционированных пользователей к сети44Перехват информации за пределами контролируемой зоны54Продолжение таблицы 9Актив.

УгрозаSiViФинансовая документация.

Ненадлежащее использование ресурсов43Утрата ключей и атрибутов доступа42Ухудшение состояния носителей данных32Электромагнитное излучение72Сведения, составляющие коммерческую тайну.

Несанкционированное использование носителей данных53Ошибка обслуживающего персонала52Нелегальное проникновение злоумышленника под видом санкционированных пользователей44Доступ несанкционированных пользователей к сети44Перехват информации за пределами контролируемой зоны54Ненадлежащее использование ресурсов43Утрата ключей и атрибутов доступа42Ухудшение состояния носителей данных32Электромагнитное излучение72Оценка потерь от угроз информационным активам представлена в таблице 10. Таблица 10 — Величины потерь (рисков) для критичных информационных ресурсов до внедрения/модернизации системы защиты информации.

АктивУгроза.

Величина потерь (тыс.

руб.)Сведения, составляющие коммерческую тайну.

Несанкционированное использование носителей данных10Ошибка обслуживающего персонала1Нелегальное проникновение злоумышленника под видом санкционированных пользователей10Доступ несанкционированных пользователей к сети10Перехват информации за пределами контролируемой зоны100Ненадлежащее использование ресурсов1Утрата ключей и атрибутов доступа0,1Ухудшение состояния носителей данных0,01Электромагнитное излучение100Финансовая документация.

Несанкционированное использование носителей данных10Ошибка обслуживающего персонала1Нелегальное проникновение злоумышленника под видом санкционированных пользователей10Доступ несанкционированных пользователей к сети10Перехват информации за пределами контролируемой зоны100Ненадлежащее использование ресурсов1Утрата ключей и атрибутов доступа0,1Продолжение таблицы 9Актив.

УгрозаВеличина потерь (тыс.

руб.)Финансовая документация.

Ухудшение состояния носителей данных0,01Электромагнитное излучение100Персональные данные сотрудников и студентов.

Несанкционированное использование носителей данных10Ошибка обслуживающего персонала1Нелегальное проникновение злоумышленника под видом санкционированных пользователей10Доступ несанкционированных пользователей к сети10Перехват информации за пределами контролируемой зоны100Ненадлежащее использование ресурсов1Утрата ключей и атрибутов доступа0,1Ухудшение состояния носителей данных0,01Электромагнитное излучение100Итого696,330После внедрения, частоты появления угроз изменятся (см. таблицу 11). При этом ожидаемые потери от угроз останутся на прежнем уровне. Таблица 11 — Содержание и объем разового ресурса, выделяемого на защиту информации.

Организационные мероприятия№ пп.

Выполняемые действия.

Среднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел.

час)Стоимость, всего (тыс.

руб.)1Обследование объекта и обоснование необходимости создания приложения300 515 002.

Постановка целей и задач приложения30 039 003.

Проектирование системы. Общие положения3 001 236 004.

Согласование и утверждение проекта3000,51 505.

Подбор оборудования, поиск поставщика, запрос коммерческого предложения300 824 006.

Составление заявки для согласования по стоимости оборудованияработ3000,51 507реализация проекта 08Ввод в эксплуатациютестирование300 412 009.

Составление документациирегламента для пользователей системы30 016 480 010.

Составление отчета о проделанной работе30 041 200.

Стоимость проведения организационных мероприятий, всего15 900.

Мероприятия инженерно-технической защиты№ п/пНоменклатура приложения, расходных материалов.

Стоимость, единицы (тыс.

руб)Кол-во (ед.измерения)Стоимость, всего (тыс.

руб.)Стоимость проведения мероприятий инженерно-технической защиты280 237.

Объем разового ресурса, выделяемого на защиту информации296 137.

Таблица 12 — Содержание и объем постоянного ресурса, выделяемого на защиту информации.

Организационные мероприятия№ пп.

Выполняемые действия.

Среднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел.

час)Стоимость, всего (тыс.

руб.)1проверка системы3001,54 502создание резервной копии БД30 013 003администрирование пользователей3 001 300.

Стоимость проведения организационных мероприятий, всего1050.

Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материалов.

Стоимость, единицы (руб)Кол-во (ед.измерения)Стоимость, всего (тыс.

руб.)1смазка для замков1 504 600.

Стоимость проведения мероприятий инженерно-технической защиты600Объем постоянного ресурса, выделяемого на защиту информации1650.

Таблица 13 — Величины потерь (рисков) для критичных информационных ресурсовпосле внедрения/модернизации системы защиты информации.

АктивУгроза.

Величина потерь (тыс.

руб.)Сведения, составляющие коммерческую тайну.

Несанкционированное использование носителей данных10Ошибка обслуживающего персонала1Продолжение таблицы 13Актив.

УгрозаВеличина потерь (тыс.

руб.)Сведения, составляющие коммерческую тайну.

Нелегальное проникновение злоумышленника под видом санкционированных пользователей0,1Доступ несанкционированных пользователей к сети0,1Перехват информации за пределами контролируемой зоны100Ненадлежащее использование ресурсов1Утрата ключей и атрибутов доступа0,1Ухудшение состояния носителей данных0,01Электромагнитное излучение100Финансовая документация.

Несанкционированное использование носителей данных10Ошибка обслуживающего персонала1Нелегальное проникновение злоумышленника под видом санкционированных пользователей0,1Доступ несанкционированных пользователей к сети0,1Перехват информации за пределами контролируемой зоны100Ненадлежащее использование ресурсов1Продолжение таблицы 13Актив.

УгрозаВеличина потерь (тыс.

руб.)Финансовая документация.

Утрата ключей и атрибутов доступа0,1Ухудшение состояния носителей данных0,01Электромагнитное излучение100Персональные данные сотрудников и клиентов.

Несанкционированное использование носителей данных10Ошибка обслуживающего персонала1Нелегальное проникновение злоумышленника под видом санкционированных пользователей0,1Доступ несанкционированных пользователей к сети0,1Перехват информации за пределами контролируемой зоны100Ненадлежащее использование ресурсов1Утрата ключей и атрибутов доступа0,1Ухудшение состояния носителей данных0,01Электромагнитное излучение100Итого337,200Оценим динамику величин потерь за период 1 год.

1. Суммарное значение ресурса, выделенного на защиту информации, составило за год 296 137 + 12 ∙ 1650 = 315 937 рублей;

2. Объем среднегодовых потерь компании (Rср) из-за инцидентов информационной безопасности составлял 696 330 рублей;

3. Прогнозируемый ежегодный объем потерь (Rпрогн) составит 337 200 рублей. Динамика потерь представлена в таблице 14. Таблица 14 — Оценка динамики величин потерь 1 кв. 2 кв.3 кв. 1 год5 кв. До внедрения СЗИ174 000 350 000 519 992 119 775 985 664.

После внедрения СЗИ84 000 167 000 252 007 994 850 541 568.

Снижение потерь90 000 183 000 268 001 717 111 488 512.

Таким образом, после принятия обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности созданной системы защиты информации возможно определим срок окупаемости системы:(3)По полученным данным: года.

Заключение

Сегодня многие организации испытывают некоторые трудности и находятся в постоянном поиске синхронизации целей и задач бизнеса и процессов развития своих информационных систем. Существует как бы «облако неопределенности» между определением организацией и обеспечивающей ее ИТ-инфраструктурой своих целей и задач. Процесс транслирования этих целей в конкретные ИТ-системы часто носит очень неразвитый характер и ограничивается ежегодным бюджетным процессом, участие в котором представителей бизнеса и ИТ является основным способом общения и взаимодействия. Архитектура информационных технологий иархитектура предприятия в целом как раз и является основным механизмом интерпретации и реализации целей организации через адекватные ИТ-инфраструктуру и системы. Это достигается через создание определенного количества взаимосвязанных архитектурных представлений. Настоящее исследование было посвящено вопросам изучения архитектуры компании «Транко» (предприятия, оказывающего услуги по перевозке грузов автотранспортом) и внесению предложений по ее модернизации. Теоретический анализ особенностей построения архитектуры предприятия позволил сформулировать следующие положения:

архитектура предприятия включает четыре уровня — бизнес-архитектура, информационная архитектура, архитектура приложений, технологическая архитектура;

построение архитектуры предприятия направлено на решение ряда проблем, к числу которых относится необходимость сокращения расходов на построение корпоративных информационных систем и несоответствие существующих информационных систем требованиям, необходимым для эффективной организации бизнеса;

вместе с формулировкой стратегии предприятия для его успешного развития необходимо формирование бизнес-модели.Практическая часть работы была направлена на анализ существующей архитектуры компании «Транко». Особое внимание уделено сегменту «Оказание услуги» — построены модели архитектуры, процессов, приложения. Анализ сегмента «Оказание услуги» выявил проблему обеспечения безопасной обработки персональных данных сотрудников и клиентов при оформлении заказа через сайт компании. Проблемы защиты персональных данных привлекают все большее внимание специалистов в области телекоммуникационных сетей, вычислительных систем, экономики и многих других областей современного общества. Это связано с глубокими изменениями, вносимыми современными информационными технологиями во все сферы жизни государства и граждан. Ценность информации, хранящейся, обрабатываемой или передаваемой в современных информационно-вычислительных системах, зачастую во много раз превышает стоимость самих систем. Обладание ценной информацией и способность защитить ее от широкого спектра дестабилизирующих воздействий случайного или преднамеренного характера становится важнейшей причиной успеха или поражения в различных областях жизни общества. Наиболее рациональными и широко применяемыми способами обеспечения безопасности персональных данных становятся организация безопасной передачи данных, предотвращение несанкционированного доступа к ресурсам системы. Именно поэтому были выбраны специализированные программные продукты для решения обозначенной проблемы — для организации защищенной сети выбран продукт компанииInfotecsVipNetOffice;для защиты информации от НСДSecretNet. В работе представлено экономическое обоснование проекта. Таким образом, можно сделать вывод о достижении цели и решении задач, определенных во введении. Список использованной литературы.

Макареня Т. А., Быстрая Ю. С. Архитектура предприятия: инструмент разрешения противоречий управления предприятием // Государственное и муниципальное управление.

ученые записки СКАГС. 2015. — № 4. С. 48−52.Куралесова Н.

О. Методы и модели формирования требований архитектуры предприятия // Вестник волжского университета им. В. Н. Татищева. 2013. № 4(22). С.

29−34.Лаврушина Я. Н., Макарова А. А., Куликов А. В. Использование методов внутренней оптимизации IT-архитектуры предприятия как инструмента субъектно-ориентированного подхода к управлению операционными рисками // Информационные технологии в проектировании и производстве. 2013. № 1(149).

С. 28−35.Краснов С. В., Диязитдинова А. Р. Концепция системы поддержки архитектуры предприятия // Вестник волжского университета им. В. Н. Татищева. 2012. №.

2(19). С. 60−65.Зараменских.

Е.П. Основы бизнес-информатики: монография / Е. П. Зараменских. Новосибирск: Издательство ЦРНС, 2014. 380с. Треногин Н. Г., Веловатый Е. А., Петров М. Н.

Описание технической архитектуры системы управления предприятием связи с использованием тензорной методологии анализа систем // Вестник сибирского государственного аэрокосмического университета им. академика М. Ф. Решетнева. 2012.

№ 5. С. 95−100.Балашова Т. И., Степаненко М. А., Капранов.

С.Н., Голованов В. И., Грачев В. Ю. Построение модели и оптимизация архитектуры информационной сети предприятия // Научно-технический вестник Поволжья. 2012. № 6. С. 128−130.Лунин В. Е., Кубина Н.

Е. Формирование ценностного предложения клиентам компании на основе бизнес — модели Canvas // Молодой ученый. 2015. № 21.

1. С. 45−49.Остервальдер А., Пинье Ив. Построение бизнес-моделей. Настольная книга стратега и новатора. М.: Альпина Паблишер, 2016.

288с.Жданова К. Д. Способы применения бизнес-модели А. ОстервальдераBMC // NAUKA-RASTUDENT.RU. 2015. № 10. С.

6.Кудрявцев Д. В., Арзуманян.

М.Ю., Григорьев Л. Ю. Технологии бизнес-инжиниринга. СПб.: Изд-во Политехн. ун-та, 2014. 427с. Морозов А. Б. Методология ABC в бизнес-модели транспортной компании // Российское предпринимательство. 2012.

№ 6−1 (185). С. 133−137.Коцюба И. Ю., Чунаев.

А.В., Шиков.

А.Н. Основы проектирования информационных систем. Учебное пособие. СПб: Университет ИТМО, 2015. 206 с.Зараменских.

Е.П. Основы бизнес-информатики: монография / Е. П. Зараменских. Новосибирск: Издательство ЦРНС, 2014. 380с. Репин В. В., Елиферов.

В.Г. Процессный подход к управлению. Моделирование бизнес-процессов. М.: Манн, Иванов и Фербер, 2013. 544с.Камшилов.

С.Г. Определение уровня автоматизации бизнес-процессов на промышленном предприятии // Вестник Челябинского государственного университета. № 1. 2015. С.56−61.Барабаш П. А. Безопасность персональных данных. Учебное пособие. — СПб.: Политехника, 2012. 167с. Федеральный закон от 27.

07.2006 № 152-ФЗ (ред. от 21.

07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.

09.2015)Приказ ФСТЭК России от 18.

02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"ПРИЛОЖЕНИЕ 1Бизнес-модель компании «Транко».