WPŁYW WYBRANYCH WARTOŚCI PARAMETRÓW NA WIELKOŚĆ DOSTĘPNOŚCI INFORMACJI W ZINTEGROWANEJ METODZIE OCENY

Transkrypt

1 ZESZYTY NAUKOWE POLITECHNIKI ŚLĄSKIEJ Seria: Organizacja i Zarządzanie z. XX XXXX Nr kol. XXXX Andrzej Michalski, Maciej Wolny Politechnika Śląska, Wydział Organizacji i Zarządzania, Katedra Informatyki i Ekonometrii WPŁYW WYBRANYCH WARTOŚCI PARAMETRÓW NA WIELKOŚĆ DOSTĘPNOŚCI INFORMACJI W ZINTEGROWANEJ METODZIE OCENY Streszczenie. W artykule omówiono pojęcie dostępności informacji oraz zintegrowaną parametryczną ocenę aktualnej dostępności informacji w organizacji gospodarczej. Przedstawiono zarówno sposób wykorzystania zaproponowanej oceny w oparciu o realne scenariusze, jak i analizę wpływu wybranych wartości parametrów na uzyskaną ocenę. Podane zostały uzyskane wartości zintegrowanej oceny dla poszczególnych scenariuszy oraz zakresy zmienności oceny ze względu na wartości wybranych parametrów. INFLUENCE OF THE CHOSEN PARAMETERS' VALUES ON THE CALCULATED INFORMATION AVAILABILITY IN THE INTEGRATED ASSESSMENT METHOD Summary. In the paper the term of information availability is described together with the integrated information availability assessment in the enterprise. Authors present the way of the described assessment implementation in the real scenarios and discuss an influence of the chosen parameters' values on the assessment value. 1. Dostępność informacji W dzisiejszych czasach w większości organizacji gospodarczych informacja należy do najważniejszych zasobów. Bezpieczeństwo posiadanej i wymienianej informacji ma bezpośredni wpływ na realizację celu organizacji, w tym osiąganie przychodu z prowadzonej działalności, zachowanie płynności finansowej oraz kreowanie pozytywnego wizerunku

2 2 A. Michalski, M. Wolny marketingowego (pozycji na rynku) [5]. Wynika z tego, że niezbędna jest właściwa polityka ochrony informacji oraz zapewnienia jej dostępności, którą obecnie wyznacza norma ISO We współczesnych warunkach zarządzania organizacją gospodarczą dostępność informacji (zasobów informacyjnych) nabiera kluczowego znaczenia i podstawowym sposobem, mającym ją zapewnić, jest wdrożenie systemu informatycznego [4], [24]. Wtedy dostępność informacji traktować możemy zarówno jako stan, jak i cechę systemu informatycznego organizacji. W dokumentach normalizacyjnych pojęcie dostępności (ang. availability), z jednej strony, definiowane jest na poziomie funkcjonalnym. Możemy zatem spotkać takie określenia: zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne [10], [19]; właściwość bycia dostępnym i możliwym do wykorzystania na żądanie w założonym czasie przez autoryzowany podmiot [9]. Określenia te związane są bezpośrednio z pojęciem zapewnienia ciągłości biznesowej (ang. BCM - Business Continuity Management). Działania w tym zakresie regulowane są głównie przez normy [4], [11] i [17]. Z drugiej strony, pojęcie dostępności traktowane jest jako składowa systemu bezpieczeństwa informacji, np. norma ISO 27001:2007 ([20] wraz materiałami dodatkowymi [21]) wyróżnia trzy podstawowe obszary (płaszczyzny), które składają się na bezpieczeństwo informacji: poufność - gwarantująca, że dostęp do informacji posiadają tylko osoby upoważnione, integralność - czyli dokładność i kompletność informacji, z uwzględnieniem metody jej przetwarzania, dostępność - która zapewnia, że upoważnione osoby mają dostęp do potrzebnej im informacji (por. także w [9]). Ponieważ system informatyczny powinien zapewniać dostęp do właściwej informacji przez właściwą osobę we właściwym czasie, w niniejszym opracowaniu przyjęto, że dostępność informacji ma miejsce wówczas, gdy zostaje zaspokojone każde poprawnie sformułowane przez uprawnionego użytkownika żądanie dostępu do informacji, związanej z działalnością organizacji w czasie, wynikającym z realizacji procesów biznesowych [14]. 2. Ocena dostępności informacji Jak widać, problem dostępności informacji nie sprowadza się wyłącznie do zabezpieczenia przed jej utratą. Aby organizacja mogła poprawnie funkcjonować, niezbędne

3 Wpływ wybranych wartości parametrów na wielkość dostępności informacji... 3 jest zidentyfikowanie wielu działań i zarządzanie nimi w sposób właściwy, przy czym u podstaw tych wszystkich przedsięwzięć leży ocena aktualnej dostępności informacji w organizacji. I tu pojawia się problem - jak oceniać tę dostępność? W publikacjach technicznych, jak np. [12], [13], [15], [18] i [22], oraz w materiałach normatywnych, jak to ma miejsce np. w omawianej już normie ISO [10] i [20], dostępność informacji traktowana jest jako jeden z elementów bezpieczeństwa lub niezawodności systemu, stąd też potrzeba posiadania jakiegoś mierzalnego kryterium do jej wyrażenia. Można by zatem przyjąć, że dostępność (gotowość) jest atrybutem przybliżonym do niezawodności (określenia te często bywają używane wymiennie), wówczas w oparciu o [1], [2] i [6] dostępność można wyrazić jako procent czasu, w którym system jest sprawny. I chociaż tak zdefiniowana miara dostępności uwzględnia różne czynniki zewnętrzne, jak np. konsekwencje awarii, jednakże brakuje jej istotnej cechy - nie uwzględnia powiązania z realizowanymi procesami biznesowymi, jak np. wymagany czas reakcji. Dlatego też w dalszej części artykułu zostanie omówiona autorska metoda oceny dostępności informacji w oparciu o zintegrowaną miarę, wykorzystującą wskaźniki parametryczne. Metoda ta posiada strukturę modułową (rys. 1), co pozwala w łatwy sposób dostosowywać ją do konkretnych okoliczności i rozwijać w miarę potrzeb. Każdy z modułów, będący kolejnym etapem przeprowadzanej oceny, wykorzystuje wyniki uzyskane wcześniej, ale nie zależy funkcjonalnie od poprzednika. KRYTERIA (1) Wybór kryteriów, na podstawie których będzie dokonywana ocena PARAMETRY (2) Sparametryzowanie sposobu oceny, w jaki sposób określone kryteria są spełniane INTEGRACJA (3) Wyważenie odpowiedzi i powiązanie ich w funkcjonalną zależność OCENA (4) Oszacowanie, jak dalece aktualny stan dostępności odbiega od stanu pożądanego Rys. 1. Parametryczna metoda ocena dostępności informacji [14].

4 4 A. Michalski, M. Wolny Dla potrzeb niniejszego artykułu w charakterze kryteriów wybrano zmodyfikowany zestaw pytań (ich wykaz znajduje się w załączniku), przygotowany w oparciu o ankietę firmy Hewlett-Packard pod nazwą Business Continuity and Availability Self-Assessment Tool [3]. Ankieta zawiera szereg pytań - na każde z nich należy udzielić jednej z odpowiedzi: [tak nie częściowo nie wiem]. Odpowiedzi pozwalają ustalić aktualny stan bezpieczeństwa i dostępności zasobów informacyjnych firmy. Etap parametryzacji opiera się na systemie punktowym, związanym z odpowiedziami, w jakim stopniu zrealizowane są kryteria, które zostały podane w poprzednim punkcie. W pierwszej kolejności tym odpowiedziom należy przyporządkować na podstawie wiedzy eksperckiej określone wartości punktowe. Dobrym odwzorowaniem rzeczywistości wydaje się być następująca struktura punktów (tab. 1): Wartości punktowe odpowiedzi Odpowiedzi Punkty Tak 1 Częściowo 0,5 Nie 0,2 Nie wiem 0 Źródło: [14]. Tabela 1 Kolejny etap związany jest z wprowadzeniem w każdym obszarze funkcjonalnym odpowiednich wag, które wyrażają ważność danego kryterium. I chociaż wagi mają charakter subiektywny, zależny od oceny menedżera - jak określony poziom wpływa na całość przedsięwzięć zapewnienia dostępności informacji, należy zauważyć, że zarówno zbytnie spłaszczenie, jak i przesadne rozróżnienie poziomów ważności jest niepożądane. Na podstawie posiadanego doświadczenia proponuje się następujący układ (tab. 2): Wagi grup kryteriów Grupa ważności Waga Konieczne 0,5 Pożądane 0,3 Wspomagające 0,2 Źródło: [14]. Tabela 2 Przeprowadzone ustalenia pozwalają uzyskać wyrażoną liczbowo ocenę (miarę) dostępności informacji w realnych warunkach w odniesieniu do realizowanych procesów biznesowych. Taka ocena uzyskiwana jest w dwóch krokach. Krok pierwszy to wyliczenie rzeczywistej wartości dostępności (kryterium dostępności) według wzoru (1): A = ( w j pij ) (1) j i

5 Wpływ wybranych wartości parametrów na wielkość dostępności informacji... 5 gdzie A - wyliczona dostępność, p ij - wartość punktowa odpowiedzi, dotycząca konkretnego kryterium, w j - waga określonego poziomu ważności, i - kolejne kryterium w ramach poziomu ważności j, j - grupa kryteriów o określonym poziomie ważności. Krok drugi służy do oceny, jak bardzo stan aktualny odbiega od stanu, w którym zrealizowane są wszystkie niezbędne przedsięwzięcia, zapewniające dostępność informacji. Ocena ta realizowana jest w odniesieniu do maksymalnej wartości, którą można uzyskać przy przyjętym systemie wartości punktów i wag. Może być wykorzystywana w tym celu ocena procentowa (2): A P = rzecz 100% A gdzie P - aktualny poziom dostępności, A rzecz - rzeczywista wartość wyliczonej dostępności, A max - maksymalna wartość dostępności przy przyjętych kryteriach. max (2) Należy podkreślić, że zarówno zaproponowany sposób oceny dostępności, jak i otrzymane konkretne wartości mają charakter przybliżony i w praktyce winny być wykorzystywane jedynie do oceny przygotowania infrastruktury informatycznej organizacji do zapewnienia dostępności informacji i identyfikacji obszarów, wymagających poprawy. 3. Przykład wykorzystania w praktyce Ilustracją wykorzystania zaproponowanej metody niech będzie symulacja kilku konkretnych sytuacji, w jakiej może znajdować się infrastruktura informatyczna organizacji. Po pierwsze, na podstawie oceny eksperckiej, dokonana zostanie klasyfikacja poszczególnych kryteriów (tab. 3). Tabela 3 Klasyfikacja kryteriów dostępności informacji Ważność Kryteria Konieczne 1,2,3,4,5,6,7,8,9,12,13,21,23,24 Pożądane 10,11,14,15,16,17,19,22,25 Wspomagające 18,20,26,27 Źródło: [Opracowanie własne].

6 6 A. Michalski, M. Wolny Następnie każda rzeczywista sytuacja ujęta zostanie w tzw. scenariusz, określający określony stan przygotowania organizacji do zapewnienia dostępności informacji (tab. 4), po czym na podstawie wzoru (1) wyliczona zostanie wartość dostępności informacji A rzecz w każdym z przypadków. Praktyczne scenariusze Tabela 4 Nr kryterium Scen1 Scen2 Scen3 Scen4 Scen5 Scen6 1 t n t t t t 2 t n t t t t 3 t n t t t n 4 t n t t t? 5 t n t t t n 6 t t t t t t 7 n t t t t? 8 t t t t t t 9 t t t t t t 10 t n n t t c 11? n n t t t 12? t t t t t 13 t t t t t c 14 t t n t t? 15 t t n t t c 16 t t n t t n 17 n t n t t t 18 t n n n t t 19 t n n t t c 20 t t n n t n 21 t t t t t t 22 t t n t t? 23 t t t t t t 24 t t t t t c 25 t n n t t c 26? n n n t c 27? n n n t t A rzecz 8,66 7,06 7,70 9,86 10,50 6,50 P 82,48% 67,24% 73,33% 93,90% 100,00% 61,90% Źródło: [Opracowanie własne]. Wykorzystane w tabeli symbole oznaczają: t - kryterium jest spełnione w pełni, c - kryterium jest spełnione częściowo, n - kryterium nie jest spełnione,? - brak wiedzy na ten temat. Natomiast kolejne scenariusze odpowiadają następującym sytuacjom: Scen1 Organizacja wdrożyła bardzo dobrze przygotowane przedsięwzięcia i procedury, które jednakże uległy skostnieniu (nie są aktualizowane).

7 Wpływ wybranych wartości parametrów na wielkość dostępności informacji... 7 Scen2 Sytuacja, w której skupiono się na zapewnieniu bezpieczeństwa informacji w oparciu o typowe metody, bez przeprowadzania rozeznania procesów biznesowych oraz bez wprowadzania rozbudowanych procedur awaryjnych. Scen3 Ze względów ekonomicznych (minimalizacja kosztów) zrealizowano jedynie niezbędne przedsięwzięcia, związane z dostępnością informacji. Scen4 Sytuacja jak w Scen3, gdzie wraz z poprawą sytuacji finansowej wdrożono przedsięwzięcia pożądane. Scen5 Sytuacja najbardziej pożądana, gdy zrealizowane są wszystkie przedsięwzięcia, zapewniające dostępność informacji (maksymalna wartość oceny dostępności). Scen6 Sytuacja typowa w przeciętnym przedsiębiorstwie, gdzie stosuje się tradycyjne podejście do zagadnień bezpieczeństwa. Pozycja tabeli "P", wyliczona w oparciu o zależność (2) określa, jak znacznie dany scenariusz odbiega od sytuacji, w której wszystkie przedsięwzięcia, związane z zapewnieniem dostępności informacji zostały zrealizowane, czyli od scenariusza, który w danych warunkach posiada największą wartość oceny dostępności. Jest to zarazem wskazówka, ile jeszcze pozostało do zrobienia w tej kwestii. 4. Analiza wrażliwości oceny dostępności informacji biznesowej Analiza wrażliwości (ang. sensitivity analysis) wywodzi się z analizy postoptymalizacyjnej w programowaniu matematycznym, polega ona na badaniu wpływu jaki ma zmiana wartości parametrów uwzględnianych w modelu na rozwiązanie końcowe. W odniesieniu do problematyki wspomagania decyzji menedżerskich [23], analiza wrażliwości dostarcza dodatkowych informacji menedżerowi, zwiększając szanse na podejmowanie adekwatnych do zaistniałej sytuacji decyzji. Problemy analizy wrażliwości w zagadnieniach wielokryterialnych zostały poruszane w pracach [7], [8] i [16], jednak dotyczyły aspektów teoretycznych. W przypadku rozważanego (wielokryterialnego) systemu oceny dostępności informacji biznesowej, analiza wrażliwość może obejmować następujące obszary: dotyczące wpływu zmiany wartości punktowych odpowiedzi (przedstawionych w tabeli 1.), dotyczące wpływu zmiany wag klas ważności ( przedstawionych w tabeli 2.). Ogólnie rzecz ujmując, bardzo ważną i pożądaną cechą dobrze ocenionego systemu jest mała wrażliwość na zmianę parametrów systemu. Celem niniejszej pracy jest więc analiza wpływu zmiany parametrów przedstawionych w powyższych dwóch obszarach.

8 8 A. Michalski, M. Wolny Prezentowany wielokryterialny system oceny parametrycznej implementuje agregację poszczególnych ocen przez sumę ważoną (1), przy tym wagi spełniają warunek nieujemności oraz sumują się do jedności. Końcowa ocena podlega normalizacji przez przyrównanie do wartości maksymalnej (2). Biorąc pod uwagę przedstawione fakty można stwierdzić, że skala wartości punktowych przypisanych odpowiedziom nie ma wpływu na końcową ocenę, dlatego (bez utraty ogólności rozważań) analizowana będzie (unormowana) punktacja w przedziale od 0 do 1. Granice oceny dostępności w rozpatrywanym systemie określają dwie skrajne postawy przy przypisywaniu punktów za odpowiedzi: postawa łagodna, przy której maksymalną liczbę punktów, czyli 1 punkt, przypisuje się wszystkim odpowiedziom oprócz najgorszej możliwej, postawa surowa, przy której maksymalną liczbę punktów, przypisuje się tylko odpowiedzi TAK. Przy analizie postawy łagodnej należy brać pod uwagę również dwa warianty odpowiedzi najgorszej: odpowiedź NIE WIEM, ponieważ menedżer nie posiada informacji o istotności danego kryterium, ani czy jest uwzględniane, odpowiedź NIE, ponieważ nowy menedżer odpowiadając NIE WIEM może nie posiadać jeszcze wszystkich informacji lub jest ona niepełna, natomiast dane kryterium może być spełnione. Analizowany problem badania wrażliwości oceny dostępności polega więc, na określeniu najmniejszej możliwej wartości P określonej wyrażeniem (2), przy dowolnych wagach klas kryteriów (tabela 3.). Przy tym, uwzględnia się ograniczenia opisujące zależności: waga kryteriów klasy konieczne musi być nie mniejsza niż waga każdej z pozostałych klas, waga kryteriów klasy pożądane musi być nie mniejsza niż waga klasy wspomagające. Przeprowadzając analizę wrażliwości oceny ze względu na wagi klas kryteriów dla skrajnych postaw przy przypisywaniu punktów za odpowiedzi, uzyskuje się granice zmienności oceny dostępności informacji biznesowej. Wyniki przeprowadzonej analizy przedstawiono w kolejnej tabeli (tabela 5.)

9 Wpływ wybranych wartości parametrów na wielkość dostępności informacji... 9 Analiza wrażliwości oceny dostępności informacji biznesowej Tabela 5 Odpowiedź Ocena Surowa łagodna 1 łagodna 2 t c n 0 1 0? Grupa Wagi dla sytuacji Scen1 kryteriów min P max P min P max P min P max P k 0,33 1,00 0,33 1,00 0,50 1,00 p 0,33 0,00 0,33 0,00 0,50 0,00 w 0,33 0,00 0,33 0,00 0,00 0,00 P 77,78% 85,71% 85,19% 92,86% 91,30% 92,86% Grupa Wagi dla sytuacji Scen2 kryteriów min P max P min P max P min P max P k 0,33 1,00 w.d. w.d. 0,33 1,00 p 0,33 0,00 w.d. w.d. 0,33 0,00 w 0,33 0,00 w.d. w.d. 0,33 0,00 P 55,56% 64,29% 100,00% 100,00% 55,56% 64,29% Grupa Wagi dla sytuacji Scen3 kryteriów min P max P min P max P min P max P k 0,33 1,00 w.d. w.d. 0,33 1,00 p 0,33 0,00 w.d. w.d. 0,33 0,00 w 0,33 0,00 w.d. w.d. 0,33 0,00 P 51,85% 100,00% 100,00% 100,00% 51,85% 100,00% Grupa Wagi dla sytuacji Scen4 kryteriów min P max P min P max P min P max P k 0,33 w.d. w.d. w.d. 0,33 w.d. p 0,33 w.d. w.d. w.d. 0,33 w.d. w 0,33 0,00 w.d. w.d. 0,33 0,00 P 85,19% 100,00% 100,00% 100,00% 85,19% 100,00% Grupa Wagi dla sytuacji Scen6 kryteriów min P max P min P max P min P max P k 0,50 1,00 0,50 1,00 0,33 0,50 p 0,50 0,00 0,50 0,00 0,33 0,50 w 0,00 0,00 0,00 0,00 0,33 0,00 P 43,48% 57,14% 82,61% 85,71% 85,19% 86,96% Źródło: [Opracowanie własne].

10 10 A. Michalski, M. Wolny W tabeli 5. przedstawiono minimalne i maksymalne wartości oceny dostępności P ze względu na wagi, dla każdej z rozważanych postaw przy ocenie odpowiedzi. w.d. w tabeli 5. oznacza wartość dowolną, która spełnia warunki nieujemności oraz sumowania do jedności wszystkich wag, k oznacza klasę kryteriów konieczne, p pożądane, w wspomagające. Przy prezentacji wyników pominięto scenariusz Scen5, ponieważ przedstawia on system idealny, wszystkie kryteria zostały spełnione wszystkie odpowiedzi TAK, więc w każdym z analizowanych przypadków P wynosi 100%. Wyniki przedstawione w tabeli 5. wskazują, że sytuacja Scen1 w przypadku postawy surowej może zostać oceniona w przedziale od 77,78% do 85,71%. Przy tym ocena 77,78% (najgorsza) uzyskana zostaje dla równoważnych klas kryteriów można to zinterpretować, tak, że wszystkie rozważane kryteria są równoważne, tworzą jedną klasę. Ocena 85,71% (najlepsza dla postawy surowej) zostaje uzyskana, gdy uwzględnia się jedynie klasę kryteriów konieczne. Podobne wioski dotyczą oceny przy postawie łagodnej. Oznacza to, że silną stroną systemu opisanego przez Scen1 jest spełnienie w dużym zakresie kryteriów najistotniejszych, czyli należących do klasy konieczne. Przedział zmienności oceny dla dowolnej postawy oraz dowolnych dopuszczalnych wartości wag kształtuje się od 77,78% do 92,86%, czyli bez względu na postawę przy przypisywaniu odpowiedziom punktów oraz bez względu na nadane klasom wagi, ocena dostępności będzie należeć do tego przedziału. Scenariusze Scen2 oraz Scen3 cechuje podobny przedział zmienności ocen dostępności, należy przy tym zwrócić uwagę, że sytuację Scen3 cechuje spełnienie wszystkich kryteriów z klasy konieczne, o czym świadczy maksymalna ocena dostępności P=100% dla oceny surowej, gdy rozpatrywane są wyłącznie kryteria koniecznie (ten sam fakt można bezpośrednio stwierdzić analizując tabelę 4.). Scen2 realizuje kryteria konieczne jedynie w 64,29%. Na uwagę zasługuje również fakt, że przy przyjęciu postawy pesymistycznej dostępność w sytuacji Scen2 zostanie lepiej oceniona (55,56%) niż w Scen3 (51,85%). Zmienność oceny dostępności w scenariuszu Scen4 jest na poziomie Scen1, jednak Scen4 został lepiej oceniony pod względem dostępności, o czym świadczą granice obszaru zmienności. Można zauważyć, że w przypadku nieuwzględnienia kryteriów wspomagających ocena dostępności byłaby maksymalna, czyli do systemu idealnego brakuje wdrożenia przedsięwzięć uwzględniających kryteria wspomagające. W sytuacji Scen6, dla żadnego z przedstawionych wariantów, ocena dostępności nie wynosi P=100%. Świadczy to o tym, że żadna z klas kryteriów nie jest w pełni spełniona. W podobny sposób można analizować kolejne wyniki dla pozostałych scenariuszy na podstawie danych przedstawionych w tabeli 5. Reasumując, granice i długości przedziałów zmienności kształtują się następująco:

11 Wpływ wybranych wartości parametrów na wielkość dostępności informacji dla Scen1 od 77,78% do 92,86%, długość przedziału 15,08%, dla Scen2 od 55,56% do 100%, długość przedziału wynosi 44,44%, dla Scen3 od 51,85% do 100%, długość przedziału wynosi 48,15%, dla Scen4 od 85,19% od do 100%, długość przedziału wynosi 14,81%, dla Scen6: od 43,48% do 86,96%, długość przedziału wynosi 43,48%. Informacje te przedstawiono na poniższym wykresie (rys. 2): Rozpiętość między oceną łagodną i surową 80,00% 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00% Scen1 Scen2 Scen3 Scen4 Scen5 Scen6 Sceniariusze Rys. 2. Ocena niepewności oceny dostępności informacji [opracowanie własne]. Na powyższym rysunku wysokość słupka obrazuje stopień niepewności oceny ze względu na rozważane parametry. Im długość słupka większa, tym większa niepewność związana z oceną dostępności informacji biznesowej. Im większa niepewność, tym trudniejsza jest jednoznaczna ocena dostępności informacji na przykład jednoznaczna ocena dostępności scenariusza Scen4 jest obarczona większą niepewnością niż ocena Scen3. 5. Podsumowanie i wnioski końcowe Przedstawiona analiza wrażliwości ma charakter wspomagający ocenę dostępności przedstawioną w tabeli 4. Wyniki analizy pozwalają określić zakres zmienności oceny w zależności od punktacji odpowiedzi (postawa surowa, łagodna) oraz wag klas kryteriów. Tym samym analiza daje odpowiedź na pytanie o granice zmienności oceny dostępności informacji, w sytuacji gdy ustalone przypisanie punktów odpowiedziom (tabela 1.) oraz ustalone wagi klas kryteriów (tabela 2.) ulegną zmianie. Analiza nie daje natomiast odpowiedzi związanej z pytaniem o wrażliwość rozwiązania ze względu na zmianę

12 12 A. Michalski, M. Wolny przynależności kryterium do klasy. Dalsze badania będę się więc koncentrowały w tym obszarze, z uwzględnieniem merytorycznym, które kryteria mogą zmienić przynależność do klasy. Uwzględnienie niepewności utrudnia ocenę oraz porównanie ocen rozważanych scenariuszy, a uwzględnienie dopuszczalności różnych wartości analizowanych parametrów implikuje konieczność wielokryterialnej oceny dostępności, biorąc pod uwagę dwa kryteria: poziom oceny dostępności (opisany przez dwie wartości: minimalną i maksymalną ocenę scenariusza), niepewność związaną z wartościami parametrów systemu (różnica między wartością maksymalną i minimalną oceny dostępności scenariusza). Przeprowadzona w pracy analiza prowadzi do następujących wniosków: poziom oceny dostępności powinien być jak najwyższy, czyli im ocena minimalna oraz maksymalna większa, tym lepsza ocena dostępności informacji, poziom niepewności oceny powinien być jak najmniejszy, czyli im różnica między maksymalną i minimalną możliwą oceną dostępności mniejsza, tym lepsza ocena dostępności informacji. Ponadto przeprowadzona analiza wrażliwości prowadzi do budowy przedziałowej oceny dostępności informacji. Analiza rozważanych scenariuszy została przedstawiona na rys ,00% Ocena dostępności informacji 100,00% 80,00% 60,00% 40,00% 20,00% 0,00% Scen1 Scen2 Scen3 Scen4 Scen5 Scen6 Scenariusze Rys. 3. Przedziałowa ocena dostępności informacji [opracowanie własne].

13 Wpływ wybranych wartości parametrów na wielkość dostępności informacji W pracy rozważano również dwa warianty oceny łagodnej, w zależności od przyjęcia sposobu rozpatrywania odpowiedzi NIE oraz NIE WIEM która z odpowiedzi jest gorsza ze względu na dostępność informacji. Wyniki analizy zawarte w tabeli 4. przedstawiono na rys ,00% Ocena dostępności informacji 100,00% 80,00% 60,00% 40,00% 20,00% S Ł1 Ł2 Ł1 S Ł1 Ł2 S Ł1 Ł2 S Ł1 Ł2 S Ł2 S Ł1 Ł2 0,00% Scen1 Scen2 Scen3 Scen4 Scen5 Scen6 Scenariusze Rys. 4. Przedziałowa ocena dostępności ze względu na różne sposoby oceny [opracowanie własne]. Na rysunku 3. zaprezentowano przedziałową ocenę dostępności z uwzględnieniem sposobu oceniania. S oznacza ocenę przy surowym sposobie oceniania, Ł1 ocenę przy łagodnym sposobie oceniania przy przyjęciu, że odpowiedź NIE WIEM jest najgorszą odpowiedzią na pytanie, Ł2 oznacza ocenę przy łagodnym sposobie oceniania oraz przyjęciu, że NIE jest najgorszą odpowiedzią. Można zauważyć, że nie istnieją przesłanki, aby badać zależność między ocenami łagodnymi, ponieważ zależą one bezpośrednio od rozkładu odpowiedzi na pytania. Natomiast ocena surowa jest zawsze nie lepsza niż dowolną ocena łagodna. Reasumując przeprowadzone rozważania w pracy należy podkreślić, że analiza wrażliwości ma charakter wspomagający ocenę dostępności oraz prowadzi do budowy przedziałowej oceny dostępności. Przy takiej ocenie, długość przedziału informuje o

14 14 A. Michalski, M. Wolny niepewności związanej z oceną, natomiast niepewność wynika z nieznajomości dokładnych wartości parametrów oceny, dotyczących wartości: punktowych odpowiedzi na pytania oraz wag klas ważności kryteriów. LITERATURA 1. Albin S.T.: The Art of Software Architecture - Design Methods and Techniques, Wiley Publishing, Indianapolis Bass L., Clements P., Kazman R.: Software Architecture in Practice, Addison-Wesley, Business Continuity and Availability Self-Assessment Tool, Hewlett-Packard Company, Business Continuity Management Code of Practice, standard BS :2006, Certyfikacja ISO Zarządzanie bezpieczeństwem informacji, ISOQUAR CEE Sp. z o.o., portal Warszawa Fenton N.E., Pfleeger S.L.: Software Metrics. A Rigorous and Practical Approach, 2nd ed., PWS Publishing Company, Boston Grzyb M., Sitarz S.: Wrażliwość rozwiązań słabo sprawnych [w:] Owsiński J.W, Nahorski Z., Szapiro T. (red.): Badania operacyjne i systemowe: decyzje, gospodarka, kapitał ludzki i jakość, IBS PAN seria: badania systemowe t. 64, Warszawa Hansen P., Labbe M., Wendell R.E.: Sensitivity Analysis in Multiple Objective Linear Programming: Tolerance Approach, EJOR 38, 63-69, Information technology Security techniques Management of information and communications technology security, International Standard ISO/IEC , Information technology Security techniques, International Standard ISO/IEC FDIS 17799, IT Service Continuity Management. Code of Practice, Standard PAS77:2006, Kobyliński A.: Modele jakości produktów i procesów programowych, Oficyna Wydawnicza Szkoły Głównej Handlowej w Warszawie, Warszawa Michalski A.: Information Availability As a Component of the Information Security System, rozdział w monografii "Richnest and Diversity of GIS", Hrvatski Informaticki Zbor - GIS Forum, University of Silesia, Zagreb 2007.

15 Wpływ wybranych wartości parametrów na wielkość dostępności informacji Michalski A.: Dostępność informacji w organizacji gospodarczej, monografia, Wydawnictwo Politechniki Śląskiej, Gliwice Reliability and Availability Basics, EventHelix.com, RealtimeMantra/FaultHandling/reliabilityavailability_basics.htm, Sitarz S.: Postoptimal analysis in multicriteria linear programming, EJOR, Specification for Business Continuity Management, Standard BS 25999:2007, System pojąć, a ludzi zrozumieć - recepta na udane wdrożenie, Portal rozwiązań IT w biznesie ERP-view.pl, _ na_udane_wdro_enie 2.html, sierpień Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania, Norma ISO 27001, PN-ISO/IEC 27001:2005, Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania, Norma PN-ISO/IEC 27001:2007, Technika informatyczna Praktyczne zasady zarządzania bezpieczeństwem informacji, Norma PN-ISO/IEC 17799:2007, Wielka Internetowa Encyklopedia Multimedialna 2006, Onet.pl, Wolny M.: Wspomaganie decyzji kierowniczych w przedsiębiorstwie przemysłowym, Wydawnictwo Politechniki Śląskiej, Gliwice Wykorzystanie technologii i systemów informatycznych w procesach decyzyjnych, praca zbiorowa pod red. Andrzeja Michalskiego, Wydawnictwo Politechniki Śląskiej, Gliwice 2002.

16 16 A. Michalski, M. Wolny Nr Kryteria dostępności informacji Opis kryterium Dodatek 1 Czy zidentyfikowano, które z procesów biznesowych są najważniejsze i przez jakie zasoby infrastruktury informatycznej są wspierane? 2 Czy określono niebezpieczeństwa, zagrażające krytycznym procesom i zasobom informatycznym? 3 Czy określono parametry ilościowe wpływu awarii lub zniszczenia krytycznych elementów infrastruktury informatycznej na prowadzoną działalność biznesową? Uwzględnić należy zarówno koszty bezpośrednie, jak utrata zamówień czy przestoje pracowników, jak i koszty pośrednie: reputacja na rynku, zdolność kredytowa, kurs akcji na giełdzie. 4 Czy zdefiniowano parametry, związane z odtwarzaniem systemu po katastrofie, a mianowicie czasu, niezbędnego na odtworzenie systemu (RTO) i dopuszczalnego poziomu utraty aktualnych danych (RPO)? 5 Czy określono poziomy dostępności krytycznych usług infrastruktury informatycznej, które są niezbędne do zapewnienia właściwej realizacji procesów biznesowych? 6 Czy przygotowano plany działań w sytuacjach nagłych zagrożeń (kryzysowych), których celem jest zarządzanie w takich sytuacjach i wznowienie procesów biznesowych? 7 Czy przeprowadzana jest regularna weryfikacja planów działań w sytuacjach kryzysowych, związana ze wszystkimi obszarami działalności przedsiębiorstwa (a nie tylko z zasobami informatycznymi)? 8 Czy istnieje udokumentowany plan zapewnienia ciągłości usług informatycznych (odtwarzania systemu po katastrofie)? 9 Czy uwzględniono obsługę systemów i urządzeń zabezpieczeń w planie zapewnienia ciągłości usług informatycznych? 10 Czy uwzględniono w planie zapewnienia ciągłości usług informatycznych procedury, które winny być podjęte w przypadku dużych zniszczeń (np. gdy pomieszczenia nie będą mogły być dostępne przez czas dłuższy niż 45 dni)? 11 Czy istnieją umowy, zapewniające wsparcie najważniejszych kooperantów w przypadku korzystania z nowej lokalizacji, w której odtwarzany jest system po katastrofie? 12 Czy zawarto regularnie weryfikowaną jasną umowę serwisową, gwarantującą odpowiedni poziom obsługi? 13 Czy wykonywane jest pełne zabezpieczenie (ang. backup) danych wszystkich krytycznych zasobów informatycznych systemu jako część zdefiniowanej strategii zabezpieczenia i odtwarzania danych?

17 Wpływ wybranych wartości parametrów na wielkość dostępności informacji Nr Opis kryterium 14 Czy dublowane są wszystkie krytyczne danych np. w zapasowym systemie, czy to drogą zdalnej replikacji, czy też wykorzystując nośniki taśmowe? 15 Czy realizowane są zabezpieczenia danych na taśmach magnetycznych i ich przechowywanie zabezpieczeń w oddalonych lokalizacjach? 16 Czy realizowane są regularne testy posiadanych w oddalonych lokalizacjach zabezpieczeń danych drogą ich odtwarzania w systemie? 17 Czy aktualizowane są na bieżąco posiadane plany zapewnienia ciągłości usług informatycznych w celu uwzględnienia zmian i aktualizacji wprowadzanych do infrastruktury czy też instalacji nowych aplikacji w wyniku ich włączenia do ogólnych procedur zarządzania zmianami? 18 Czy zdefiniowano w sposób jasny i jednoznaczny procedury wsparcia w przypadku sytuacji awaryjnych (ang. helpdesk), ukierunkowane na konkretne działania zmierzające do rozwiązania problemu? 19 Czy istnieje udokumentowana procedura zgłaszania awarii i problemów do dostawców usług serwisowych, w odniesieniu do zasobów krytycznych, także poza normalnymi godzinami pracy? 20 Czy zaimplementowano pełne monitorowanie środowiska pracy serwerów (pomieszczenia komputerowego)? 21 Czy zabezpieczono pomieszczenie komputerowe przed fluktuacjami lub zanikiem napięć zasilających (np. przez UPS)? 22 Czy przygotowano rezerwową infrastrukturę (np. linie analogowe), zapewniającą łączność w przypadku awarii krytycznych linii lub urządzeń komunikacyjnych? 23 Czy wykorzystuje się strukturę klastra lub inne formy redundancji w celu zapewnienia odporności na zagrożenia i awarie, na poziomie, gwarantującym realizację procesów biznesowych? 24 Czy infrastruktura przechowywania danych i wykonywania ich zabezpieczeń spełnia wymagania dotyczące dostępności informacji, uwarunkowanej procesami biznesowymi, a także wymogi RTO/RPO odtwarzania po katastrofie? 25 Czy wykonuje się regularne testy macierzy dyskowych i danych, które są w nich przechowywane w celu upewnienia się, że urządzenia pracują właściwie? 26 Czy wdrożono sprawny zautomatyzowany system, wykrywający stany odbiegające od normy i pojawiające się stany zagrożeń bezpieczeństwa, w celu alarmowania obsługi? 27 Czy opracowano udokumentowany proces eskalacji problemów w przypadku sytuacji trudnych i kryzysowych, kiedy nie można na miejscu znaleźć rozwiązania? Źródło: Opracowanie własne na podstawie [18] i [19].

18 18 A. Michalski, M. Wolny Recenzent: tytuły Imię Nazwisko Wpłynęło do Redakcji <data> Abstract After describing the term of information availability the way of quantitative integrated assessment of this availability is discussed. Some real scenarios are described and the set of specific parameters is defined. For this set of parameters information availability assessment is calculated and an influence of the chosen parameters' values on the assessment value is discussed. Both evaluated values and scope of the variability as a function of the chosen parameters are presented. The paper has five chapters and the reference list with twenty four entries. There are four figures and five tables in the paper.