Файл: Учебник Рекомендовано Федеральным государственным учреждением.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 08.11.2023
Просмотров: 648
Скачиваний: 13
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Единая информационная среда источников и потребителей информации, прежде всего, позволяет кардинально изменить на
значение бумажного документа и рассматривать его не как носи
тель информации, а как отчет, сформированный на основе соот
ветствующего информационного объекта базы данных. Бумажный документ становится носителем юридического статуса и пред
ставляет собой набор данных из базы, распечатанный на бланке.
При этом файл (электронный документ) сохраняется в централи
зованном электронном архиве, являющимся неотъемлемой частью системы, и связывается с объектом базы данных, на основании которого он был получен. Создатели информации (конструкторы, финансисты, технологи и т.д.) и ее потребители работают с соот
ветствующим информационным объектом напрямую, имея при этом доступ к электронным документам в рамках прав, предостав
ленных им системой.
Перечислим основные преимущества рассматриваемого спо
соба работы — с точки зрения организации процессов на пред
приятии.
1. Реальная совместная работа с информацией в большинстве случаев позволяет перейти от последовательного способа обра
ботки информации к параллельному. Другими словами, появля
ется возможность распараллелить бизнес-процесс, существенно сократить сроки разработки и сэкономить время для таких опе
раций, как согласование, утверждение документации, внесение изменений.
2. Работа в единой информационной среде делает процесс про
зрачным и управляемым; каждый его участник видит и результат, и собственную роль в процессе. Подобная организация работы позволяет выстроить в рамках процесса цепочки взаимодействия функциональных подразделений и отдельных сотрудников.
3. При проектировании процессов с учетом использования информационной системы, как правило, выявляется ряд доку
ментов, полностью или частично дублирующих друг друга, а так
же документы, которые вообще могут быть выведены из употре
бления, поскольку содержащаяся в них информация может быть получена гораздо более эффективным способом.
4. Документ, получаемый в виде отчета из базы данных и со
храненный в архиве, становится частью информационной базы предприятия и его интеллектуальной собственностью. Это сни
жает влияние человеческого фактора, а также риск искажения или утраты информации.
К сожалению, перечисленные плюсы подобного способа рабо
ты с информацией создают определенные проблемы при внедре
нии информационных систем. Функциональные подразделения предприятия обычно предпочитают наводить порядок в своей
180
функциональной области и не склонны становиться частью боль
шого целого. Подразделение стремится оттачивать и совершен
ствовать собственные функции, не слишком задумывается об эффективности всего процесса и без особого энтузиазма воспри
нимает необходимость реорганизации деятельности в соответствии с требованиями оптимизации бизнес-процессов.
Принципы, на которых базируются современные информаци
онные системы, предполагают организацию совместной деятель
ности сотрудников предприятия и являются выражением про
цессного подхода. Принимая процессный подход, предприятие непременно должно принять концепцию процессного внедрения и согласиться с ней. В противном случае проект будет обречен на неудачу с самых первых шагов.
Известно, что идеальных систем не бывает. При внедрении ин
формационная система накладывает некоторые ограничения на способы реализации процессов, поэтому проектирование процес
сов «как должно быть» оказывается неизбежным компромиссом между требованиями процесса и возможностями информационной системы. Важно, что информационная система способна обеспе
чить сквозную, несегментированную автоматизацию бизнес- процессов в целом, а также эффективное использование данных для решения задач производственного планирования и учета.
5.8. Управле н и е информ ационны м и рисками
Обеспечение информационной безопасности — одна из глав
ных задач современного предприятия. Угрозу могут представлять не только технические сбои, но и несогласованность данных в различных учетных системах, которая встречается едва ли не у каждой второй компании, а также неограниченный доступ со
трудников к информации. Учитывая сказанное, очень важно выявить и минимизировать информационные риски (1Т-риски).
И н ф о р м а ц и о н н ы е р и с к и — это опасность возникно
вения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информа
ции с помощью электронных носителей и иных средств связи.
IT-риски можно разделить на две категории:
— риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут по
вредить бизнесу;
— риски технических сбоев работы каналов передачи инфор
мации, которые могут привести к убыткам.
181
шого целого. Подразделение стремится оттачивать и совершен
ствовать собственные функции, не слишком задумывается об эффективности всего процесса и без особого энтузиазма воспри
нимает необходимость реорганизации деятельности в соответствии с требованиями оптимизации бизнес-процессов.
Принципы, на которых базируются современные информаци
онные системы, предполагают организацию совместной деятель
ности сотрудников предприятия и являются выражением про
цессного подхода. Принимая процессный подход, предприятие непременно должно принять концепцию процессного внедрения и согласиться с ней. В противном случае проект будет обречен на неудачу с самых первых шагов.
Известно, что идеальных систем не бывает. При внедрении ин
формационная система накладывает некоторые ограничения на способы реализации процессов, поэтому проектирование процес
сов «как должно быть» оказывается неизбежным компромиссом между требованиями процесса и возможностями информационной системы. Важно, что информационная система способна обеспе
чить сквозную, несегментированную автоматизацию бизнес- процессов в целом, а также эффективное использование данных для решения задач производственного планирования и учета.
5.8. Управле н и е информ ационны м и рисками
Обеспечение информационной безопасности — одна из глав
ных задач современного предприятия. Угрозу могут представлять не только технические сбои, но и несогласованность данных в различных учетных системах, которая встречается едва ли не у каждой второй компании, а также неограниченный доступ со
трудников к информации. Учитывая сказанное, очень важно выявить и минимизировать информационные риски (1Т-риски).
И н ф о р м а ц и о н н ы е р и с к и — это опасность возникно
вения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информа
ции с помощью электронных носителей и иных средств связи.
IT-риски можно разделить на две категории:
— риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут по
вредить бизнесу;
— риски технических сбоев работы каналов передачи инфор
мации, которые могут привести к убыткам.
181
Работа по минимизации IT-рисков заключается в предупрежде
нии несанкционированного доступа к данным, предотвращении аварий и сбоев оборудования. Процесс минимизации 1Т-рисков следует рассматривать комплексно: сначала выявляют возможные проблемы, а затем определяют, какими способами их можно ре
шить. На практике способы выявления IT-рисков ничем не отли
чаются от способов определения любых других рисков: составля
ются карты рисков, проводится сбор экспертных мнений и т. п.
Выявить наиболее критичные информационные риски можно и более простым способом, ответив на следующие вопросы.
1. Способна ли фирма контролировать доступ к информаци
онным системам, в которых формируется и хранится финансовая отчетность?
2. Обеспечены ли клиенты фирмы необходимой информаци
онной поддержкой?
3. Сможет ли фирма в короткий срок интегрировать суще
ствующие технологии работы с информацией в системы пред
приятия, являющегося объектом слияния или приобретения?
Например, в компании установлена одна или несколько учетных систем, с помощью которых финансисты получают данные для составления консолидированной отчетности. При покупке ново
го предприятия выясняется, что у него установлена другая учетная система. Поэтому у фирмы должен быть четкий план трансфор
мации такой отчетности в стандарты, принятые на головном пред
приятии. В противном случае она может потерять оперативный контроль над ситуацией.
4. Позволяет ли организация документооборота фирмы в су
ществующих системах продолжить ее деятельность в прежнем режиме в случае ухода ключевых сотрудников? Эта проблема чрез
вычайно актуальна для российских фирм, поскольку даже финан
совая и бухгалтерская информация зачастую вводится и хранится в произвольном виде, не говоря уже о сведениях, касающихся клиентов и т. п. Это ведет к дополнительным затратам времени новых сотрудников на «вхождение» в курс дела и повышает веро
ятность возникновения ошибок.
5. Обеспечена ли защита интеллектуальной собственности фирмы и ее клиентов?
6. Имеет ли фирма четкий алгоритм действий в критической ситуации, например в случае сбоев в работе компьютерных сетей или вирусной атаки?
7. Соответствует ли способ работы информационных систем общим задачам фирмы? (Если перед фирмой стоит задача иметь общий центр управления денежными потоками, а учетные систе
мы, установленные в разных филиалах, не связаны между собой, то поставленная задача не будет решена.)
182
Точно определить возможный ущерб от большинства ГГ-рисков довольно сложно, но примерно оценить их вполне возможно.
Как показывает опыт многих российских компаний, наиболее успешные стратегии предупреждения IT-рисков базируются на трех основных правилах.
Во-первых, доступ сотрудников к информационным системам и документам предприятия должен быть различен в зависимости от важности и конфиденциальности содержания документа. Во- вторых, необходимо контролировать доступ к информации и обе
спечивать защиту уязвимых мест информационных систем.
В-третьих, информационные системы, от которых напрямую за
висит деятельность предприятия (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации.
Как обеспечить приемлемый уровень безопасности для систем корпоративного уровня?
Защита информации — это обеспечение непрерывности вну
тренних бизнес-процессов и безопасности обмена данными с клиентами при использовании информационных систем. На слу
чай возникновения чрезвычайных ситуаций, таких как атаки на основной сервер или сбои в его работе, журнал транзакций (т.е. перечень операций, производимых в системе) периодически дол
жен копироваться на резервный сервер, находящийся в другом помещении. При такой организации максимальный объем ин
формации, который может быть потерян, — это данные за по
следний час работы. Для доступа клиентов к данным через сети общего пользования, например Интернет, выделяется отдельный сервер. На него копируются данные с основного сервера, так что даже если нет возможности отразить атаку взломщиков, они не получат доступа к внутренней информации компании, а также к электронным архивам, которые хранятся на носителях, не имею
щих выхода в Интернет. Доступ клиентов к данным должен быть обеспечен различными степенями защиты, которые гарантируют конфиденциальность и достоверность передаваемой информа
ции.
К IT-рискам относят потерю данных из-за сбоя в работе ин
формационных систем, хищение информации, а также передачу информации третьим лицам сотрудниками предприятия. Работа по минимизации таких рисков делится на организационную и техническую.
Организационная работа связана с ограничением доступа к данным. Для этого вся информация классифицируется на обще
доступную, для служебного пользования и секретную. Кроме того, содержание информационных потоков можно разделить по на
значению:
183
— данные, которые циркулируют внутри рабочей группы (по определенному проекту);
— данные, предназначенные для исполнителей и руководителей подразделений (заработная плата, индивидуальные задачи и т.п.);
— данные для руководителей подразделений и топ-менеджмента
(планы стратегического развития).
В итоге получается матрица информационных потоков, каж
дому уровню которой соответствует определенный уровень до
ступа.
Разработкой регламентов, касающихся информационной безопасности, занимается специальный отдел. Основываясь на этих регламентах, каждый руководитель подразделения формиру
ет для своих сотрудников должностные инструкции и назначает ответственных за соблюдение информационной безопасности в рамках своего подразделения.
1 ... 11 12 13 14 15 16 17 18 19
Техническая работа
по обеспечению информационной без
опасности заключается в дублировании важных функций, от ко
торых зависят сохранность и целостность информации, а также непрерывность работы компании (например, установка запасных серверов, систем резервного копирования). Чтобы минимизиро
вать риск сбоев, нужно использовать только технику от надежных производителей. Затраты на нее окупаются, так как убыток от простоя информационных систем в течение нескольких часов многократно превысит их стоимость, а потеря информации может вообще парализовать работу предприятия.
Обеспечение информационной безопасности — это, в первую очередь, вопрос эффективности затраченных средств, поэтому расходы на защиту не должны превышать суммы возможного ущерба.
Поскольку любые расходы на предотвращение рисков должны быть обоснованы, необходимо обязательно рассчитывать их эко
номическую эффективность.
Для обеспечения необходимой защиты от IT-рисков и контро
ля безопасности можно провести следующие мероприятия.
1. Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала компании, направленные на предот
вращение IT-рисков, а также обеспечить резервные мощности для работы в критической ситуации.
2. Разработать единые стандарты информационных систем в рамках организации, т.е. перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут при
меняться во всех программных продуктах компании, используемых для этой цели.
184
3. Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.
4. Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централи
зованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.
5. Внедрить средства контроля, позволяющие отслеживать со
стояние всех корпоративных систем: в случае несанкционирован
ного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.
Помимо перечисленных мер необходимо подготовиться к по
следствиям возможных кризисных ситуаций и описать действия компании по выходу из кризиса. Для этого следует:
— проанализировать сценарии проникновения посторонних лиц или не имеющих соответствующих полномочий сотрудников компании во внутреннюю информационную сеть, а также про
вести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;
— разработать варианты решения проблем, связанных с кадра
ми, включая уход из компании ключевых сотрудников, например составить и ознакомить персонал с планом преемственности управления на предприятии;
— подготовить запасные информационные мощности (серверы, компьютеры), а также резервные линии связи.
В заключение отметим, что разработка и реализация политики по минимизации IT-рисков не принесет пользы, если рекомен
дуемые стандарты и правила неверно используются, например если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности долж
на быть комплексной и продуманной.
5.9. Экономическая эф ф е кти в н ость инф орм ационны х систем
В настоящее время уровень затрат на информационные техно
логии предприятия приближается, а иногда и превышает уровень инвестиций в другие производственные процессы, вместе взятые, поэтому обеспечение оптимальной стоимости ведения бизнеса на основе информационных систем становится одной из основных задач поддержания требуемого уровня конкурентоспособности
185