Эффективная информационная система разработанная для целей управления – Эффективная информационная система, разработанная для целей управления, должна отвечать такому требованию, как …

Содержание

Вопрос: Эффективная информационная система, разработанная для целей управления, должна отвечать такому требованию, как …

Тема:

Развитие теории и практики менеджмента

Ответ на тест:

+ своевременность поступления информации


− увеличение расходов на формирование информации


− минимальное использование кодирования


− эксклюзивность собираемой информации

Источник ответа на тест

Информационная система – это взаимосвязанная совокупность программно-технических средств, методов и персонала, которая обеспечивает сбор, хранение, обработку, поиск и выдачу информации, необходимой для эффективного функционирования производственной системы. Информационные системы в процессе управления организацией рассматриваются с позиции их возможностей для повышения эффективности труда работников, занятых в информационной сфере производства и поддержке принятия решений в организации.
При разработке информационных систем учитываются общие требования:

1) минимизация расходов на сбор, формирование, обработку и передачу информации;
2) удобство кодирования;
3) лаконичность и высокая насыщенность;
4) своевременность поступления информации;
5) полезность для осуществления процессов управления и достоверность.

Менеджмент организации: учеб. / А.В. Тебекин, Б.С. Касаев. – 2-е изд., перераб. и доп. – М.: КНОРУС, 2007. – С. 330. – (Гриф МО и Н РФ).

Ответ на тест i-exam по дисциплине «Менеджмент» по теме «Развитие теории и практики менеджмента».

Эффективная информационная система, разработанная для целей управления, должна

Голосовать за тест

test-exam.ru

Управлять по целям: Система управления эффективностью бизнеса

05 марта 2012 в 14:58

11033

Управление по целям как концепция

Любой бизнес, в конечном итоге, создается для получения прибыли. При этом существование бизнеса не ограничивается только данной целью, а его эффективность нельзя описать с использованием исключительно финансовых показателей. Бухгалтерская отчетность и бюджеты по исполнению – это инструменты,демонстрирующие текущее состояние предприятия, однако они не могут показать причины сложившейся ситуации и объяснить какие усилия могут данное положение изменить.

Управление бизнесом можно сравнить с управлением автомобилем. Современный автомобиль имеет больше двух десятков датчиков на приборной панели, которые демонстрируют:техническое состояние системы, характеристики движения и правильность эксплуатации. Бизнес представляет собой более сложную систему, где таких индикаторов будет значительно больше. Однако если на приборной панели автомобиля уровень приемлемости тех или иных показателей определяется заводом изготовителем, то целевой уровень показателей используемых для анализа бизнеса должен устанавливать собственник или топ-менеджер. Определение «приемлемой скорости», «направления и траектории» – функции высшего руководства. Именно в их обязанности входит разработка стратегии развития бизнеса и отслеживание того как и с какой динамикой бизнес-система переходит из одного состояния в другое.

Для того чтобы правильно определить целевые бизнес-показатели, руководитель должен не только учитывать те результаты, которые были у предприятия в прошлом, но и устанавливать новые ориентиры. Для этого он должен ответить на ряд вопросов:

  • Каков целевой рынок для компании, какой его потенциал и рыночные тенденции, какие потребности потребителя не удовлетворяются должным образом продуктами и услугами, предлагаемыми ему сегодня,
  • Каких финансовых результатов бизнес должен достичь, чтобы удовлетворить ожиданиякредиторов и акционеров,
  • Как нужно перестроить процессы для оптимальной работы с клиентами,
  • Какие знания и технологии нужны, чтобы обеспечить эффективность ключевых бизнес-процессов и запросы клиентов?
Ответы на эти вопросы позволят создать целостную картину желаемого состояния, сформулируют стратегические цели.

Сдать любую отчетность в ИФНС и фонды через интернет за 5 минут


Система целевого управления. Управление эффективностью бизнеса

Успех и эффективность компании определяется тем, как быстро и какими ресурсами компания добивается своих стратегических целей. Система целевого управления (или система управления по целям) предлагает действенные механизмы реализации целей, формализованных с применением сбалансированной системы показателей.

Для построения системы целевого управления, компания должна пройти этап осознания и формализации собственных целей (разработка стратегии). Следующий шаг – формирование целей подразделений и сотрудников в соответствие с целями компании, разработка стандартов деятельности, формирование задач и инициатив, выявление компетенций, необходимых для реализации целей. Завершающим этапом построения системы целевого управления является решение вопросов мотивации и стимулирования персонала с привязкой к разработанным целям.

История возникновения и развития технологии управления по целям. Сбалансированная система показателей

Идея целевого управления (Managementbyobjective) была предложена Питером Друкером в 50-е годы ХХ века. В этот период стало очевидно, что существующие подходы к управлению требуют совершенствования. Со временем его идеи нашли отражение и в других управленческих концепциях. Сегодня на предприятиях можно увидеть практическую реализацию некоторых из них: управление по целям

MBO(ManagementByObjective), управление эффективностью бизнеса —BPM (BusinessPerformanceManagement), управление на основе ключевых показателей деятельности — KPI

delovoymir.biz

Разработка информационных систем

Под информационной системой (ИС) понимается прикладная подсистема в программной реализации, которая ориентирована на сбор, систематизацию, хранение, поиск и обработку информации требуемого типа. 

Информационные системы предназначаются для автоматизации процессов, подчиняются конкретной логике обработки информации, предполагают ее хранение, а также представление в виде отчетов. При помощи разработки информационной системы реально производить интеграцию информационных ресурсов предприятий, применять их для более эффективного управления.

Основная цель информационных систем — эффективное внедрение всех ресурсов, увеличение значения управленческих принимаемых решений,ориентированных на повышение доходов.

Процесс разработки ИС:

  • Определение требований. Разработка любой системы начинается с постановки задачи. ИС, как правило, создается для большого количества пользователей. Каждый из них  предъявляет собственные требования к системе. На этом этапе необходимо выявить всех потенциальных пользователей ИС, и для каждого из них составить список требований к ней. Так будут сформулированы основные функциональные требования к системе.
  • Этап анализа. Аналитическая модель структурирует функциональные требования к системе. Она описывает уже внутренний вид системы, используя язык разработчиков. Она представляет собой анализ каждого варианта использования и определяет его дальнейшую реализацию.
  • Этап проектирования. Это самый трудоемкий этап разработки информационной системы. На данном этапе необходимо разработать проекционную модель всей системы в целом и каждого из ее блоков. Для каждой задачи, которая будет реализована в рамках системы, необходимо описать возможные методы ее решения. Эти методы следует сравнить между собой по критериям, значимым с точки зрения системы, на основании чего выбрать лучший из них. Именно этот метод должен быть реализован впоследствии в программе.Также на этом этапе происходит проектирование базы данных.Сложные информационные системы, как правило, структурированы, т.е. представляют собой совокупность нескольких функциональных блоков. На этапе проектирования должна быть строго описана функциональность каждого из блоков. Здесь же обосновывается выбор методов интеграции блоков в единый информационный комплекс.
  • Этап реализации. На этапе реализации происходит непосредственно написание программы на выбранном языке программирования. В техническом задании должен быть обоснован выбор именно этого языка, а также выбор СУБД и иных программных средств. 
  • Этап тестирования. На этапе тестирования необходимо проверить корректность функционирования системы в нормальных условиях функционирования (когда в систему вводятся корректные исходные данные), в граничных условиях (когда на вход подаются допустимые, но редко используемые параметры или граничные параметры) и в экстремальных условиях (когда на вход системы подаются некорректные данные). Модель тестирования должна описывать результаты, которые были получены при обработке всех этих данных. 
  • Этап внедрения и сопровождения.На этом этапе происходит обеспечение стабильной работы и снижение рисков возникновения сбоев в работе информационных систем; оперативное исправление технических неполадок в работе систем; предоставление новых версий, обновлений и дополнений, консультации по вопросам эксплуатации и администрирования информационных систем; консультации по установке и настройке новых версий, обновлений, дополнений и т.д.
  • Оценка эффективности ИС. На этом этапе собираются отзывы у клиента о процессе использования информационной системы и выявляются требования по улучшению ее работы.

www.softacom.ru

Автоматизированная система управления эффективностью бизнеса

1. Взаимодействие транзакционных и аналитических систем
2. Пирамида интегрированной управленческой информационной системы
3. Требования к аналитическим системам
4. Функции BPM-систем.
5. Сопоставление стратегических и тактических показателей деятельности
6. Методика трансформации данных. Структура и функции системы
7. Современные требования к системам BPM
8. Особенности построения BPM-системы на платформе 1С:Предприятие

Управление современным бизнесом – процесс сложный, требующий принятия важных управленческих решений в сжатые сроки, основываясь на анализе большого объема финансовой и другой бизнес-информации. Рыночные условия, в которых существуют многие компании – чрезвычайно динамичные и конкурентные. В этой ситуации значительно возрастает цена ошибки руководителя. Для современного руководителя важно уметь не только быстро решать возникающие проблемы, но и своевременно предотвращать их, направляя бизнес в сторону новых возможностей и благоприятных бизнес-перспектив. Делать это возможно только с использованием современных эффективных управленческих инструментов.

Наиболее развитые компании уже активно используют информационные системы, которые позволяют решать значительное количество учетных и управленческих задач. Разработан ряд концепций, которые легли в основу различных систем автоматизации: Планирование необходимых материалов (MRP), Планирование производственных ресурсов (MRP II), Управление ресурсами предприятия (ERP), Управление взаимоотношениями с клиентами (CRM), Управление цепочками поставок (SCM), Управление эффективностью бизнеса (BPM). Можно даже констатировать рост количества внедрений такого рода систем. Транзакционные системы (ERP, CRM, SCM) позволяют автоматизировать рутинные бизнес-процессы, обеспечить над ними контроль, автоматизировать планирование потребности в материальных и трудовых ресурсах, автоматизировать процессы маркетинга и продаж.

Внедрение такого рода инструментов является необходимым условием для современного бизнеса, тем не менее, эти инструменты не гарантируют эффективность самого бизнеса и, сколько-нибудь устойчивых финансовых результатов на динамично меняющемся рынке. Несомненно, ERP-системы являются незаменимым помощником для менеджера, но разрозненная информация, которая накапливается в них, зачастую не позволяет комплексно оценить состояние бизнеса, его перспективы, предпринять превентивные меры в случае выявления проблем. Бизнесу 21 века необходимо демонстрировать такие, как кажется, взаимоисключающие свойства как стабильность и гибкость. Это возможно добиться за счет использования в управлении методов BPM (управления эффективностью бизнеса). Реализация этих методов проявляется в интеграции транзакционной ERP-системы, которая обеспечивает контроль над процессным управлением в компании и BPM-системы, обеспечивающей стратегическую гибкость компании и позволяющую контролировать реализацию обозначенных для бизнеса приоритетов. Лидерство на рынке обеспечивается не только эффективной организацией бизнес-процессов, но и умением правильно выбрать стратегию и обеспечить ее реализацию.

Как показали практика, ERP-системы, предназначенные для управления цепочками операций (транзакциями), решают только часть тактических задач бизнеса, и не предназначены для стратегического управления. Тем не менее, они успешно справляются с задачами, связанными с управлением текущей деятельностью и обеспечивают контроль над операционными затратами. Эти системы накапливают значительное количество данных о совершенных операциях, объемах продаж и уровне затрат. Вместе с тем сведения, необходимые высшему руководству для принятия управленческих решений, не всегда имеются в ERP-системе, например, данные о степени удовлетворенности сотрудников и клиентов, сроках исполнения заказа, эффективности работы корпоративного сайта, а без этой информации невозможно получить комплексную картину и принимать взвешенные управленческие решения.

Можно перечислить ряд важных для современного бизнеса задач, которые также выходят за пределы ERP-систем: стратегическое управление, прогнозирование, управление по целям, ряд задач аналитического характера. Несмотря на то, что в такой системе имеется информация о планах продаж, производства и закупок, все же период планирования оказывается недостаточным для построения долгосрочных прогнозов. Другими словами, ERP решает ряд оперативно-тактических задач, что не позволяет топ-менеджеру использовать ERP-систему в стратегическом управлении.

Если рассматривать комплексную информационную систему, ориентированную на интегрированное управление предприятием, то на «нижнем этаже» такой системы разместятся транзакционные системы, направленные на автоматизацию бизнес-процессов и контроль операций (Рис.1). Эти системы собирают и обрабатывают данные, которые впоследствии используются аналитическими системами. Сами транзакционные системы обладают определенного рода аналитическими инструментами, но строго говоря, к аналитическим системам их отнести нельзя в силу специфики их применения. На втором уровне пирамиды располагаются системы бизнес-интеллекта, анализа и OLAP-системы.

Рисунок 1. Пирамида комплексной автоматизации и управления эффективностью бизнеса (BPM).

Такие системы отличаются наличием инструментов, средств и технологий для выборки, обработки и анализа данных масштаба предприятия. Для этих целей они взаимодействуют с транзакционными системами, получая данные в необходимых разрезах. OLAP-система позволяет проводить такие операции в режиме реального времени. Особенность OLAP-систем заключается в многомерности хранения данных, а также в предрасчете агрегированных значений. Аналитические инструменты направлены на проведение анализа, целью которого является понимание закономерностей, которые происходят на предприятии, а также формирование прогнозных сценариев развития предприятия. Аналитические системы должны удовлетворять следующим условиям:

— обеспечивать структурирование однородных данных для получения качественной сводной информации необходимой для принятия управленческих решений;

— работа с различными источниками данных, как внутренними так и внешними, наличие инструментов консолидации, обработки разнородной информации, полученной из разных источников;

— простота и легкость извлечения аналитических данных. В последнее время становится актуальной необходимость исключения посредников в виде технических специалистов и программистов между пользователями аналитической информации (топ-менеджмент) и самой аналитической системой. Это позволяет повысить качество анализа, сократить сроки получения такой информации, а как следствие улучшает качество и скорость принимаемых решений.

На самом верху пирамиды находятся панели бизнес-показателей, которые представляют собой инструмент для формализации стратегии, бизнес-моделирования, мониторинга бизнес-показателей, целевого управления, анализа результативности и эффективности бизнеса. Используя агрегированные данные из аналитических систем, на верхнем уровне создаются панели, которые позволяют отслеживать динамику достижения стратегических целей компании.

В основе концепции управления эффективностью бизнеса (BPM) лежит цикл управления (определение цели – планирование — выбор показателей – выполнение и мониторинг – анализ – корректировка цели) – Рисунок 2. Результативности, в этом цикле уделяется особое внимание. Ее можно оценить только при сопоставлении полученного результата с поставленной целью.

Рисунок 2. Цикл управления BPM

На первом этапе происходит формирование стратегии, определение целей и планирование деятельности. На этом этапе необходимо определить состав показателей, которые будут характеризовать то, что бизнес находится в управляемых условиях. Каждый показатель получает плановые значения в соответствии с установленной целью. За это отвечает функция бизнес-моделирования в BPM-системе, когда создается «формализованный образ будущего» и настраивается механизм, для мониторинга продвижения бизнес-системы в новое состояние. На последнем этапе анализируются полученные результаты, принимаются управленческие решения по корректировке/изменении цели. Цикл замкнулся.

Но одних показателей результативности недостаточно, значимыми являются показатели эффективности. Если для оценки результативности бизнес-процессов достаточно сопоставить плановые показатели с фактическими, то для проведения анализа эффективности кроме этого необходима оценка произведенных затрат на определенный уровень результата. Оценить эффективность можно только при сопоставлении достигнутых результатов с затраченными финансовыми и другими ресурсами.

Ни одна из перечисленных задач управления не является принципиально новой. Но применение инструментов планирования, мониторинга и анализа к области стратегического управления и создание комплексной интегрированной системы управления, пожалуй, вызывает определенный научный интерес. Автоматизированные инструменты, позволяют добиться глубокого погружения в исследовании бизнес-процессов предприятия и создать комплексную картину для высшего менеджмента. Это стало возможно только в последнее время, когда гибкость аналитических систем позволила проводить такие операции в сжатые сроки и предоставлять разнородную информацию, как финансового, так и нефинансового характера.

Использование BPM-концепции позволяет подойти комплексно к созданию интегрированной системы управления предприятием. Причем взаимодействие BPM-системы и транзакционных систем должно происходить в обе стороны. Трансформация данных производится не только в сторону консолидации и построения системы показателей, но и в обратном направлении – от BPM-системы к оперативному контуру. Например, бизнес-результаты могут стать основой для формирования стимулирующих выплат для персонала, корректировки оперативных планов, перестройки бизнес-процессов.

Создание комплексной интегрированной системы, включающей BPM, позволяет увеличить прозрачность бизнеса, оперативно влиять на происходящие в организации процессы, лучше осознать менеджменту ключевые факторы успеха бизнеса, обеспечивать более эффективное делегирование полномочий. Таким образом, происходит развитие системы управления, ее выстраивание с ориентацией стратегические ориентиры.

Стоит рассмотреть функции BPM-системы более внимательно:

— формализация стратегии и целевое управление. Это одна из наиболее значимых функций BPM-системы. В ее основе используются идеи П. Друкера, а также концепция, предложенная Р.Капланом и Д. Нортоном. С использованием этих концепций разрабатывается формализованная стратегическая матрица показателей (KPI), которая используется как основа в текущей оперативной деятельности. Кроме того, система показателей является платформой для построения корпоративной системы мотивации персонала и формирования стимулирующих выплат на основе показателей результативности.

— бизнес-моделирование и прогнозирование. Потребность в анализе различных вариантов достижения цели может быть реализована с помощью функции бизнес-моделирования. Система позволяет формировать многовариантные сценарии деятельности и рассчитывать себестоимость с применением методов функционально-стоимостного анализа (ABC), учитывать потребление ресурсов и выявлять узкие места в управлении бизнесом.

— бизнес-интеллект. Главное назначение этой функции – собирать данные из различных, возможно разнородных систем, и структурировать их в соответствии с имеющимися показателями, создать единый взгляд на экономическую ситуацию, применив единый подход к данным при консолидации. Полезной является возможность построения прогнозных значений показателей с использованием статистических данных, полученных за счет выборки информации за предыдущие периоды деятельности.

Чаще всего это конструктор, с помощью которого создаются запросы к транзакционным системам. Он не является готовым к использованию, и обычно требует определенной настройки с учетом имеющихся источников данных и экономических показателей.

— отчетность. Функция формирования отчетности должна быть хорошо развита в BPM-системе, поскольку основная цель такой системы – быстро и в удобной форме предоставлять необходимые данные пользователю: возможность сопоставлять разнородные данные, получать изменение показателей в динамике, анализировать отклонение показателей и видеть причину этих отклонений.

Контроль деятельности должен осуществляться на нескольких уровнях: стратегическом, тактическом и оперативном (рисунок 3). Матрицы показателей (KPI) должны формироваться в соответствии с этими уровнями. Матрицы тактических и оперативных показателей включают функциональные KPI, отражающие какой-либо важный аспект деятельности конкретного подразделения или сотрудника, но вместе с этим, такие матрицы должны быть согласованы с матрицей стратегического уровня. Стратегические показатели характеризуют достижение целей организации в целом, обычно зафиксированных в стратегических картах сбалансированной системы показателей или в дереве целей. Формирование показателей более высокого уровня должно происходить посредством агрегации данных нижнего уровня. За это должен отвечать отдельный модуль BPM-системы.

Рисунок 3. Бизнес-показатели разного уровня

Отдельно необходимо остановиться на методах интеграции транзакционных и BPM-систем. Поскольку ERP система не обязательно работает на той же платформе что и BPM-система, то для интеграции потребуется модуль, который будет производить выборку необходимых показателей из ERP-системы и, преобразовав данные, записывать в BPM-систему. Этот модуль должен обладать высокой степенью универсальности, чтобы пользователь мог произвести необходимые настройки без привлечения технических специалистов, но вместе с тем не быть сложным для освоения.

Рисунок 4. Схема взаимодействия системы

Система по трансформации данных должна состоять из следующих элементов (Рис.4):

· Перечисление источников данных. Представляет собой список баз данных, доступных для выборки информации и к которым применимы встроенные механизмы трансформации;

· Описание алгоритма выборки данных из базы-источника для конкретного показателя аналитической системы. Алгоритм может включать формализованное перечисление регистров и таблиц базы-источника, из которых происходит выборка данных, а также необходимые параметры запроса к базе данных-источнику.

· Обработка данных по преобразованию к необходимому типу и форме базы приемника. Алгоритмы обработки данных могут выражаться в следующих операциях над данными:

o Очистка – отсев неточных, повторяющихся, избыточных данных;

o Агрегирование данных, математические операции над числовыми значениями;

o Логические операции;

o Перевод значений — преобразование данных через сопоставление нескольких таблиц значений, справочники нормативной информации;

· Заполнение показателей происходит помещением полученных значений в новое хранилище данных. Кроме того, необходимо обеспечить хранение не только итоговых значений, но и ряда ссылок на исходные данные для обеспечения нижеописанных механизмов.

Система должна обеспечивать функцию обратного контроля, когда пользователь может получить расшифровку итоговых данных. Это обычно происходит через сформированный отчет в системе, через который можно открыть исходные данные (документы, регистраторы) в базе источнике и проконтролировать правильность данных. Кроме того, при изменении первичных данных система должна иметь возможность заново сформировать итоговые показатели на основе изменившихся данных, выборочно проведя замену, без ошибочного дублирования.

Современные динамичные условия, в которых работают менеджеры, предъявляют высокие требования к аналитическим системам такого класса.

BPM-система должна, с одной стороны, быть достаточно открытой и универсальной, чтобы легко интегрироваться с разнородными источниками данных, с другой стороны, обладать определенной гибкостью в настройке и использовании, ведь в большинстве случаев пользователями такой системы являются руководители, не обладающие специальными техническими навыками.

Поскольку такие системы являются ориентированными в первую очередь на топ-менеджмент, важно чтобы интерфейс и пользовательский инструментарий были максимально дружественными и удобными. Если не решить эту задачу, то такая система будет нежизнеспособной.

Механизмы мониторинга должны позволять отслеживать изменения показателей в динамике, особенно важно анализировать в динамике отклонения по показателям, что позволит управлять процессами «проактивно», своевременно принимая меры по предотвращению негативных последствий.

BPM-система должна иметь «бесшовную» интеграцию с корпоративными системами планирования и бюджетного управления. Это обеспечит высокую гибкость и прозрачность тактического и оперативного управления.

Поскольку корпоративное управление подразумевает высокую долю коллективного принятия решений, то система должна позволять работать значительному количеству пользователей, с распределением ролей и уровней доступа к бизнес-информации.

Одной из самых популярных платформ для корпоративной учетной системы в России является 1С:Предприятие. Если рассматривать реализацию BPM-функционала на платформе 1С:Предприятие 8.1, то следует отметить следующие аспекты:

1. На платформе 1С:Предприятие 8.1 уже разработаны типовые конфигурации, которые можно отнести к классу ERP-систем (например 1С:Управление производственным предприятием) и отраслевые решения, направленные на автоматизацию ряда важных управленческих бизнес-процессов (1С:CRM ПРОФ, 1C: Управление корпоративными финансами). Эти конфигурации выполняют функции транзакционных систем.

2. Платформа 1С:Предприятие обладает современным инструментарием для построения разнообразной аналитической отчетности. В этой связи, типовая конфигурация выполняет часть функций аналитической системы. Тем не менее, пока не существует тиражного программного инструмента реализующего функции BI-системы, многомерного анализа и сопоставления различных бизнес-параметров с выдачей экспертных заключений. Такие функции реализуются только через создание уникальной настройки усилиями программиста.

3. Разработанная тиражная конфигурация «1C:Управление по целям» на платформе 1С:Предприятие 8.1 решает некоторые функции BPM-системы. В частности реализован функционал целевого управления, панели бизнес-индикаторов и расчета стимулирующих выплат персоналу на основе показателей результативности.

4. Открытость платформы 1С:Предприятие позволяет проводить бесшовную интеграцию транзакционных систем между собой и с BPM-системой. Обмен данными между транзакционной и BPM-системой возможно реализовать с минимальными затратами без участия программистов. Кроме того, имеется возможность реализация механизма сквозной отчетности, когда пользователь может анализировать те или иные показатели из BPM-системы, интерактивно переходя к первичным данным в транзакционную систему.

 

 Подробнее об 1С:Управление по целям и KPI

www.m-bo.ru

Информационная система управления деятельностью организации

Информационные системы управления (сокращенно ИСУ) являются отдельным классом систем, предназначенных для решения аналитических и управленческих задач. Информация, которую предоставляет пользователю информационная система управления, обычно представляет собой регулярные или специальные управленческие отчеты. В них содержится информация о прошлом и настоящем объекта или процесса. При помощи сопоставления данных возможно получить наиболее вероятный вариант будущего развития компании.

Современные ИСУ достаточно многочисленны и подразделяются на группы:

  • по виду задачи, которую решает}
  • по масштабу решаемого вопроса}
  • по технологическому строению.

Одной из глобальных задач, которые решает информационная система для управления организацией, является управление персоналом предприятия.

Управление персоналом

Управление кадрами является родом деятельности, которая направлена на обеспечение организации работниками, способными наиболее эффективно выполнять возложенные на них трудовые обязанности. Наиболее часто встречаются сокращения HRM или HR-менеджмент, что является аббревиатурой от human resources management – управление человеческими ресурсами.

Персонал можно считать одним из самых дорогих ресурсов организации, так как именно он должен осуществлять достижение стратегических задач компании. Особенно ярко проявляется значимость персонала в организациях, которые занимаются какой-либо специфической деятельностью, где замена обученного сотрудника связана с ощутимыми денежными потерями. По данным американских статистиков, сумма ущерба предприятия при потере квалифицированного узкого специалиста может доходить до 150% его годового дохода.

С учетом этого, HRM-системы предназначены не только для управления персоналом, как многие системы автоматизации, связанные с кадровыми операциями. В большей степени их задачей является привлечение и дальнейшее удержание ценных для организации сотрудников.

В свою очередь, эффективная работа с персоналом просто не может осуществляться в наше время без использования современных информационных систем управления, которые содержат в себе все доступные данные по персоналу, а также технологические схемы эффективного управления данным ресурсом организации.

Современная HR-cистема

Современная информационная система по управлению персоналом представляет собой технологический комплекс, который автоматизирует работу с персоналом. Его воздействие охватывает все уровни работы от оперативного до стратегического, от повседневной обработки данных учета сотрудников до вопросов направления развития организации. ИСУ эффективно взаимодействует с иными системами управления, связанными с финансовыми или производственными вопросами компании, которые используют в работе данные сотрудников организации.

Какие задачи позволяет решить современная HR-система

Сочетание лучших методологических методов и возможностей современных информационных систем позволяют успешно решать такие задачи, как:

  • доступ к данным, который становится быстрым и полным}
  • информационное обоснование принятых решений, обеспеченное полным информационным анализом}
  • оптимизация работы каждого члена коллектива, что позволит сделать большой шаг вперед к достижению стратегических задач компании}
  • контроль за развитием и профессиональным ростом, обучение всего персонала}
  • гибкое управление эффективной мотивацией персонала}
  • эффективное планирование как стратегических, так и оперативных изменений в организации компании с параллельным формированием необходимых для этого бюджетов.

Преимущества HR-cистемы

Одним из основных преимуществ, которые дают современные информационные системы управления, является создание информационных структур и единых центров менеджмента, которые дают возможность оптимизировать работу кадровой службы. Кроме того, возможность иметь единый информационно-управляющий центр дает, что немаловажно, гарантии оперативности процессов контроля.

Другим положительным фактором внедрения HR-системы следует считать возможность ведения документооборота в электронном виде. Следует только выбрать необходимый процесс и запустить начало работы: система управления самостоятельно отслеживает ход работ, информирует сотрудника в случае необходимости его участия в обработке документа, гарантируя высокую степень доступности информации.

Возможности HR-системы

Функциональные возможности современной системы управления персоналом настолько широки, что позволяют использовать ИСУ для решения практически все вопросов и задач организации.

Современный бизнес развивается весьма динамично, и основными критериями успешности сегодня становятся информация и скорость реагирования. Это делает HR-системы одним из важных корпоративных инструментов, которые применяют сегодня компании любых размеров и в любых отраслях деятельности.

Информационные системы управления персоналом являются необходимостью для успешного роста и развития предприятия, их внедрение решает целый ряд вопросов:

  1. Расходы, связанные с оплатой труда, – наиболее расходная статья бюджета любой компании. Использование HR-систем позволяет планировать и оптимизировать данную статью бюджета организации.
  2. Значимое увеличение эффективности управления производственными процессами. Информационная система поддерживает большое количество производственных процессов. К ним относятся:
  • кадровые решения и их обоснование}
  • постоянное актуальное состояние личной информации сотрудников и ее поддержание}
  • расчет расходов на оплату труда сотрудников}
  • разработка и обоснование неординарных схем мотивации работников и многое другое.
  1. Гарантированная правовая безопасность – HRM-система обеспечивает соблюдение требований законности и норм права в отношениях между работником и работодателем. Кроме того, использование системы дает возможность грамотно решать сложные правовые вопросы, в случае их возникновения} возможность использовать различные схемы начисления зарплаты и юридически грамотно вести кадровые документы.
  2. Рост ценности персонала – корпоративный актив в виде обученного персонала является однозначной ценностью в любой компании. Организации, имеющие акцент на функции управления персоналом, закономерно уделяют большое внимание профессиональному росту сотрудников, используя для этого различные мотивационные схемы и программы личного и группового поощрения.

Многоплановая функциональность системы управления

Информационная поддержка, которую обеспечивает HR-система, позволяет автоматизировать такие функции управления персоналом, как:

  • профиль компетентности сотрудников,
  • мотивация работников,
  • ведение управления карьерой,
  • контроль обучения и повышения квалификации,
  • анализ персональной эффективности и соответствия занимаемой должности сотрудников и персонала в целом.

Благодаря HR-системе автоматически отслеживается и осуществляется планирование движения сотрудников и потребность в расширении штата. Она же способна сформировать и кадровый резерв.

Использование HR-системы дает возможность реализовать функцию «самообслуживания персонала», а именно – обеспечить сотрудникам доступ через интернет к личным учетным данным с возможностью вносить изменения в определенную часть информации.

HR-система осуществляет поддержку своего HR-портала в сети, где ею постоянно публикуется и оперативно обновляется актуальная информация по вакансиям компании. Помимо этого, система осуществляет регистрацию резюме, поступающих в on-line режиме. Система автоматически осуществляет анализ поступивших резюме и отбор соответствующих критериям отбора кандидатов на вакантную должность.

Использование HRM-cистем в России

Вполне ожидаемо, что первоначально HR-системы внедряют зарубежные компании в своих российских представительствах. Опираясь на их опыт, начинают внедрение систем управления персоналом крупные российские компании, ориентированные на западные методы управления. Затем системы управления берут на вооружение компании с постоянной нестабильностью кадрового состава для борьбы с текучкой. А вот небольшие компании, которые управляются традиционными методами, достаточно редко прибегают к использованию информационных систем управления.

Как ни странно, существует зависимость степени применения HR-систем от направления деятельности организации. Современная статистика утверждает, что компании, связанные с производственными процессами меньше всего применяет современные методики управления персоналом. А вот сфера обслуживания достаточно активно внедряет информационные системы управления.

Данные тенденции современного российского потребителя полностью совпадают с западными и, соответственно, можно прогнозировать развитие применения HR-систем, опираясь на общемировые тенденции.

Западные аналитики относят к основным направлениям развития информационных систем управления следующие:

  • популяризация HR-систем}
  • рост спроса на простые решения, находящиеся в ценовом диапазоне эконом-версии}
  • вытеснение громоздких или дорогих HR-систем с рынка.

Глобальные задачи систем управления персоналом

Существуют две глобальные задачи, решение которых возможно методами HR-систем. К первой задаче системы управления относятся вопросы по упорядочению всех имеющихся учетных, а также и расчетных задач и действий, имеющих связь с персоналом организации.

Решение данной задачи методами HRM-системы весьма эффективно, а выгоды очевидны. К ним можно отнести:

  • устранение проблемы введения данных по нескольку раз,
  • объединение данных в единую информационную базу,
  • возможность анализа и создания отчетности,
  • невозможность существования «мертвых душ»,
  • четкость и правильность расчета заработной платы и оплаты налогов предприятия.

Данную задачу информационная система управления персоналом решает быстро, эффективно и всесторонне, но ее возможно решить и другими способами, используя обычные системы автоматизации кадрового учета и начисления заработной платы.

Вторая глобальная задача системы управления персоналом, которая заключается в снижении потерь компании, связанных с увольнением сотрудников, не имеет решения обычными системами. Но с другой стороны, отечественный рынок не готов воспринять проблему адекватно, и, следовательно, пути ее решения не являются определяющими.

Тем не менее, ведущие аналитики выделили ряд мер HR-систем, связанных с решением второй глобальной задачи. К ним относятся:

  • привлечь, удержать и мотивировать лучший персонал}
  • достичь стратегических целей компании, адаптировать их к уровню каждого работника}
  • активно внедрять программы профессионального развития и обучения персонала, соответствующие политике и целям компании в целом и отдельных подразделений}
  • применять меры стратегического планирования кадровых и организационных изменений, а также осуществлять заблаговременное формирование бюджета, необходимого для данных организационных изменений}
  • использовать имеющийся информационный анализ для выработки и принятия эффективных и своевременных решений}
  • привести оптимальное осуществление учетных функций, таких как управление персоналом, в категорию низкозатратных программ.

Американская ассоциация менеджеров провела исследования потерь компании, связанных с заменой ушедшего сотрудника и обнаружила, что потери компании напрямую связаны с уровнем квалификации ушедшего сотрудника. Чем выше квалификация сотрудника, тем большие потери несет компания с его уходом. Данная проблема текучести кадров оказывает серьезное отрицательное влияние на общие показатели эффективности организации. Именно HR-системы помогают эффективно решать данные проблемы.

Какие бывают HR-системы

Условно все HR-системы можно разделить на «учетные», «расчетные» и системы с градацией по уровню автоматизации, использованному для выполнения задач управления персоналом. Существующие же полнофункциональные HR-системы имеют в своем составе «учетный контур», «HR-контур», «расчетный контур» и расширенные функции для генерации необходимых отчетов.

Сегодня HR-cистема является не только инструментом для кадрового учета и правильного начисления зарплаты, а чем-то гораздо большим: это возможность принимать аргументированные решения по поддержке процессов развития и роста эффективности работы персонала, а также обоснованное управление коммуникациями и информацией в компании.

Внедрение HR-системы и возможные сложности

Внедрение HR-системы требует принятия определенных предварительных мер, что окажет большое влияние на конечный продукт. Для перехода к проекту необходимо описать производственные процессы, участвующие в проекте автоматизации, или те, которые будут так или иначе затронуты при работе системы. Необходимо также создать техническое задание и решить, кто и каким образом будет осуществлять реинжиниринг производственных процессов.

Ведь степень эффективности работы HR-системы определяется возможностью достигнуть поставленные проектные цели, а также эффективностью реализации стадий проекта, отвечающих за планирование, контроль и выполнение.

Следует учесть возможные ошибки, дабы избежать их повторения при внедрении информационных систем управления персоналом. К наиболее распространенным ошибкам относится неправильная оценка перспектив развития предприятия, что приводит к несоответствию стратегии компании настройке основных функциональных модулей. Следует обратить внимание на четкое озвучивание конечной цели – нет необходимости осуществлять за проектировщиков разработку методологии или процессов. Использование профессиональных знаний специалистов позволит создать систему быстрее и дешевле.

hr-portal.ru

Построение эффективной системы управления информационной безопасностью компании. Управление бизнес-процессами

 

 

Андрей Коптелов, директор департамента ИТ-консалтинга компании ООО «ИДС ШЕЕР» (Москва)

Вадим Беркович, консультант департамента ИТ-консалтинга ООО «ИДС ШЕЕР» (Москва)

Термины и определения

Для однозначного толкования всех используемых терминов введем некоторые понятия и определения:

Угроза — это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на бизнес-процессы компании, информационные системы, а также на информационные активы компании. Иначе говоря, угроза — это нечто плохое, что когда-нибудь может произойти.

Уязвимость информационной системы — тот или иной ее недостаток, из-за которого становится возможным нежелательное воздействие на нее со стороны злоумышленников, неквалифицированного персонала и вредоносного кода (например, вирусов или шпионского программного обеспечения).

Риск — возможность возникновения некоторой угрозы, связанной с текущей деятельностью компании (как вариант – с реализацией принятого решения). Риск – это комбинация вероятности события и его последствий (ISO/IEC 17799). Риск отражает возможные прямые или косвенные финансовые потери.

Процесс, бизнес-процесс — cвязанный набор повторяемых действий (функций), которые преобразуют исходный материал и (или) информацию в конечный продукт (услугу) в соответствии с предварительно установленными правилами

Модель — совокупность графических символов (объектов), их свойств, атрибутов и отношений между ними, которая адекватно описывает предметную область деятельности предприятия.

 

 

Аннотация

 

В данной статье рассмотрены основные вопросы построения эффективной системы управления информационной безопасностью предприятия. Рассмотрены стандарты в области управления информационной безопасностью и представлена методология управления рисками нарушения информационной безопасности. Рассмотрены такие понятия как защищаемый объект, угрозы, уязвимости и процесс управления рисками.

Введение

 

В последние годы многие российские компании хорошо осознали необходимость управления информационной безопасностью предприятия. Эффективное управление вопросами информационной безопасности приобретает все большее значение для российских компаний по мере их роста и продвижения на новые рынки товаров и услуг. Клиентам важно знать, что соблюдается конфиденциальность их персональных и деловых данных. Инвесторам необходима уверенность в том, что бизнес и информационные активы компании защищены. Деловые партнеры ожидают, что компания будет функционировать без сбоев, которые могут быть вызваны ошибками в работе информационных систем, умышленными или неумышленными действиями персонала, вредоносным программным обеспечением и другими факторами.

Как правило, главными препятствиями на пути обеспечения информационной безопасности являются ее невысокая приоритетность при распределении ресурсов и бюджетные ограничения. Компании нередко выделяют единый бюджет на удовлетворение всех потребностей по информационным системам (аппаратное и программное обеспечение, зарплата, консультанты и т.п.), что способствует развитию тенденции выделять основную часть средств на повышение производительности. При этом нередко вопросы информационной безопасности остаются без внимания.

Выборочная и бессистемная реализация средств безопасности не сможет обеспечить необходимого уровня защиты. Чтобы надежно защитить важнейшую деловую информацию, компаниям необходимо интегрировать вопросы физической и информационной безопасности в единый для всей организации процесс – процесс управления информационной безопасностью предприятия.

В данной статье авторы попытались представить системный подход к построению эффективной системы информационной безопасности.

Стратегия безопасности

 

Система управления информационной безопасностью (Information Security Management System, ISMS)  — это часть общей системы управления, базирующаяся на анализе рисков и предназначенная для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности. Эту систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.

Наиболее значимой целью большинства систем информационной безопасности является защита бизнеса и знаний компании от уничтожения или утечки. Также одной из основных целей системы информационной безопасности является гарантия имущественных прав и интересов клиентов. В то же время меры по информационной безопасности не должны ограничивать или затруднять процессы обмена знаниями в компании, поскольку это может поставить под угрозу развитие организации.

 

Система управления информационной безопасностью должна обеспечивать гарантию достижения таких  целей как обеспечение конфиденциальности критической информации, обеспечение невозможности несанкционированного доступа к критической информации, целостности информации и связанных с ней процессов (создания, ввода, обработки и вывода) и ряда других целей.

 

Достижение заданных целей возможно в ходе решения следующих основных задач, таких как определение ответственных за информационную безопасность, разработка спектра рисков информационной безопасности и проведение их экспертных оценок, разработка политик и правил доступа к информационным ресурсам, разработка системы управления рисками информационной безопасности, в том числе методы их оценки, контроллинг информационной безопасности на предприятии. Следует отметить, что здесь перечислен не полный список.

 

Выделяется четыре стадии реализации системы управления информационной безопасностью:

1.      Формирование политики в области рисков.

2.      Анализ бизнес-процессов.

3.      Анализ рисков.

4.      Формирование целевой концепции.

и две стадии дальнейшего управления рисками:

1.      Отчеты по рискам.

2.      Контроль рисков.

 

Формирование политики в области рисков подразумевает определение принципов управления рисками для всей компании в целом. Эти принципы базируются на целях компании, ее стратегии, а также на требованиях, предъявляемых законом и стандартами в области информационной безопасности. Одним и ключевых факторов успешности системы управления информационной безопасностью предприятия  — это построение ее на базе международных стандартов ISO/IEC 17799:2005 и ISO/IEC 27001:2005

 

Стандарт в области информационной безопасности

История стандартов в области информационной безопасности началась в середине 90-х годов. Британский институт стандартов (BSI) при участии коммерческих организаций, начал разработку стандарта управления информационной безопасностью. Результатом работы BSI в 1995 году, стало принятие национального британского стандарта BS 7799 управления информационной безопасностью организации. Стандарт состоял из двух частей: первая часть стандарта (BS 7799:1) носила рекомендательный характер, а вторая (BS 7799:2) — предназначалась для сертификации и содержала ряд обязательных требований, не входивших в первую часть.

В 1999 году в международной организации по стандартизации ISO было принято решение взять за основу стандарта в области информационной безопасности BS 7799:1. В результате вышел в свет стандарт ISO 17799, который базируется на стандарте BS 7799:1. Новейшей редакцией данного стандарта является ISO/IEC 17799:2005.

Стандарт ISO/IEC 17799:2005 объединяет лучший мировой опыт управления информационной безопасностью компании. Стандарт определяет  принципы и является руководством по разработке, внедрению, сопровождению и улучшению системы управления информационной безопасностью. Он описывает механизмы установления целей по контролю и определению средств контроля в различных областях управления информационной безопасностью.

Изначально была предусмотрена только сертификация по стандарту BS 7799:2. Процедура сертификации по стандарту ISO появилась после выхода в 2005 году стандарта ISO 27001:2005.

Стандарт ISO/IEC 27001:2005 устанавливает требования к системе управления информационной безопасностью предприятия. Стандарт является руководством по определению, минимизации и управлению опасностями и угрозами, которым может подвергаться информация. Стандарт ISO/IEC 27001:2005 разработан для обеспечения помощи в выборе эффективных и адекватных средств и обеспечения уверенности потребителей и партнеров организации в том, что информация защищена должным образом.

Стандарт может применяться в большинстве организаций независимо от рода их деятельности.

Организация, использующая ISO/IEC 27001:2005 в качестве основы для системы управления информационной безопасностью, может быть зарегистрирована в Британском институте стандартов BSI (British Standards Institute), что продемонстрирует всем заинтересованным сторонам, что система управления информационной безопасностью предприятия компании отвечает всем требованиям международного стандарта.

Модель системы информационной безопасности предприятия

 

Рассмотрим основные компоненты модели системы информационной безопасности.

Рис 1. Модель системы информационной безопасности предприятия

Представленная на рис. 1. модель информационной безопасности — это совокупность внешних и внутренних факторов и их влияние на состояние информационной безопасности в компании и на обеспечение сохранности ресурсов (материальных или информационных). Прямоугольниками на рисунке представлены внешние и внутренние факторы. Пунктирными стрелками указаны направления управляющего воздействия, а сплошными – естественного.

Рассматриваются такие факторы как:

·        угрозы информационной безопасности. Они характеризуются вероятностью возникновения и реализации;

·        уязвимости системы информационной безопасности, которые влияют на вероятность реализации угрозы;

·        убытки, отражающие реальный ущерб в результате реализации угрозы информационной безопасности.

·        риски, отражающие предполагаемый ущерб организации в результате реализации угрозы информационной безопасности.

Объекты защиты

Необходимо четко понимать, что следует защищать и от каких угроз. Информация и материальные ресурсы, которые необходимо защищать, называются объектами защиты. К ним относится речевая информация, информация, хранимая и обрабатываемая посредством средств связи и информатизации в виде различных носителей информации, документы на бумажных носителях и т.д.;

Виды угроз

Рассмотрим подробнее, с какими угрозами может столкнуться современное предприятие и как может нарушаться его информационная безопасность.

Рис. 2. Классификация угроз

Угрозы классифицируются по природе возникновения (угрозы случайного или преднамеренного характера) и по тому, как они относятся к защищаемому объекту (внешние и внутренние угрозы). На рис. 2 представлена одна из наиболее популярных классификаций угроз.

Виды нарушений

Нарушения могут быть нескольких видов (рис. 3).

Рис. 3. Виды нарушений

 

Организационно-правовые виды нарушений  — это нарушения, связанные отсутствием единой согласованной политики компании в сфере защиты информации, невыполнением требований нормативных документов, нарушением режима доступа, хранением и уничтожения информации.

Информационные виды нарушений включают несанкционированное получение полномочий доступа к базам и массивам данных, несанкционированный доступ к активному сетевому оборудованию, серверам доступа, некорректное применение средств защиты и ошибки в управлении ими, нарушения в адресности рассылки информации при ведении информационного обмена

Физические виды нарушений включают физическое повреждение аппаратных средств автоматизированных систем, линий связи и коммуникационного оборудования, кражи или несанкционированное ознакомление с содержимым носителей информации, хранящихся в неположенных местах, хищение носителей информации, отказы аппаратных средств и др.

К радиоэлектронным видам нарушений относятся такие нарушения, как внедрение электронных устройств перехвата информации, получение информации путем перехвата и дешифрования информационных потоков,  дистанционная видеозапись (фотографирование) мониторов, компьютерных распечаток, клавиатуры, навязывание ложной информации в локальных вычислительных сетях, сетях передачи данных и линиях связи.

Для противодействия угрозам и пресечения нарушений на предприятии целесообразно организовать процесс управления рисками компании. Данный процесс является ядром системы информационной безопасности компании и включает такие подпроцессы как

·        сбора рисков;

·        оценки угроз;

·        оценки уязвимостей;

·        оценки убытков;

·        определение порога для управления рисками;

·        реализации мероприятий информационной безопасности;

·        оценки эффективности полученных результатов (процесс аудита).

 

Методология

Построение эффективной системы управления информационной безопасностью — это не разовый проект, а комплексный процесс, наплавленный на минимизацию внешних и внутренних угроз при учете ограничений на ресурсы и время.

Для построения эффективной системы информационной безопасности необходимо первоначально описать процессы деятельности (рис. 4). Затем следует определить порог риска — уровень угрозы, при котором она попадает в процесс управления рисками. Требуется построить такую систему информационной безопасности, которая обеспечит достижение заданного уровня риска.

 

Рис. 4. Модель процесса управления рисками для системы информационной безопасности предприятия

С точки зрения процессного подхода систему информационной безопасности предприятия можно представить как процесс управления рисками (рис. 4). На данном рисунке прямоугольниками показаны обобщенные процессы верхнего уровня, а стрелками показаны их входы и выходы.

Цель любого бизнес-процесса состоит в создании выхода для получения вознаграждения в виде другого выхода. В данном случае выходом является исключение наступления рисковой ситуации или минимизация ее последствий, а вознаграждением — сохранение материальных и финансовых ресурсов.

Немаловажная характеристика выхода — его востребованность стороной, не являющейся его производителем. Иными словами, на данный выход должен быть спрос. Когда существуют угрозы — существует и спрос на защиту от них, а значит, необходимо внедрять процесс управления рисками.

Управление рисками

Одним из наиболее известных подходов к управлению рисками является метод CRAMM (the UK Goverment Risk Analysis and Managment Method). Данный метод был разработан Службой Безопасности Великобритании (UK Security Service) по заданию Британского правительства и принят в качестве государственного стандарта. Он используется, начиная с середины 80-х годов прошлого века как правительственными, так коммерческими организациями.

За прошедшие годы CRAMM приобрел популярность во всем мире. В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетая количественные и качественные методы анализа. Данный метод является обобщенным и подходит для большинства организаций. Одним из наиболее важных результатов использования метода CRAMM является получение возможности экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. В конечном итоге, экономически обоснованная стратегия управления рисками позволяет минимизировать издержки и избегать неоправданных расходов.

Поясним ключевые моменты управления рисками на примере. Для начала изложим общий сценарий.

Допустим, возникла возможность угрозы несанкционированного доступа к финансовой информации в связи с обнаруженной уязвимостью в учетной системе, которая принимает электронные заказы через Интернет. На основе информации об уязвимостях информационной системы изучается вопрос о возможности реализации риска и экономической целесообразности определения мероприятий по его минимизации (если мероприятия по предотвращению рисков стоят дороже, чем ущерб от реализации угрозы, то, скорее всего, мероприятия применять нецелесообразно). После оценки важности риска планируются  необходимые мероприятия и выделяются необходимые ресурсы. После планирования реализуются контрмеры в соответствии с графиком работ. Затем оценивается их эффективность.

Перед тем как создавать корпоративную систему управления рисками, необходимо описать критически важные бизнес-процессы. В рамках данного процесса выполняется анализ и корректировка бизнес-процессов. В нашем примере это может быть процесс приема электронных заказов, в рамках которого база клиентов организации доступна через Интернет.

На этапе разработки и внедрения системы управления информационной безопасностью, помимо моделей критических бизнес-процессов, может быть используется инструментарий Process Risk Assistant, относящийся к семейству продуктов ARIS, предназначенный для методологического обеспечения и содержащий детальное руководство по внедрению системы управления информационной безопасностью.

После более детального анализа процесса и выявления потенциальных угроз необходимо сформировать перечень рисков, которые необходимо минимизировать.

 

Целью процесса сбора (идентификации) рисков является выявление подверженности организации угрозам, которые могут нанести существенный ущерб.

Для сбора рисков производится анализ бизнес-процессов компании и опрос экспертов предметной области. Результатом (выходом) данного процесса является классифицированный перечень (список) всех потенциальных рисков.

В представленном примере угроза несанкционированного доступа к финансовой информации представляет собой исходные данные для идентификации, например, такого риска как «Утечка информации о клиентах к конкурентам через незащищенный канал связи».

В связи с тем, что последствия от различных угроз неравноценны, недостаточно идентифицировать риск. Необходимо также оценить величину угрозы и возможность реализации риска, например, в виде прямых или косвенных убытков в денежном выражении, а также вероятность риска.

 

Цель процесса оценки рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. Основным результатом (выходом) данного процесса является перечень (список) всех потенциальных рисков с их количественными и качественными оценками ущерба и возможности реализации. Дополнительным результатом данного процесса является перечень рисков, которые не будут отслеживаться в организации

Все данные, которые важны с точки зрения управления рисками, моделируются, например, с помощью вышеупомянутого программного обеспечения ARIS. Инструментарий под названием «Портал рисков» (Process risk portal) обеспечивает  пользователю возможность проведения графического анализа и оценки рисков процессов. Кроме того, процессы внутри компании становятся прозрачными, а данные по управлению рисками  — общедоступными, что и помогает сотрудникам осуществлять постоянный мониторинг существующих рисков и выявлять новые.

На основе таких данных выбираются необходимые средства управления информационной безопасностью. Для нашего примера: если величина и возможность убытков для риска «Утечка информации о клиентах к конкурентам» достаточно велика, то целесообразно спланировать мероприятия по минимизации риска (например, планирование процесса оперативного обновления программного обеспечения информационной системы (установка «заплаток»), формирование регламентов доступа к информации о клиентах, внедрение средств защиты от утечек конфиденциальных данных и т.д.).

Целью процесса планирования мероприятий по минимизации рисков является определение сроков и перечня работ по исключению или минимизации ущерба в случае реализации риска.

Данный процесс позволяет сформулировать, кто, где, когда, какими ресурсами и какие угрозы будит минимизировать. Результатом (выходом) процесса планирования является план-график работ по исключению или минимизации ущерба от реализованного риска. Например, «До 10.10.06 установить пакет обновлений Service Pack 2 для операционной системы Windows XP на все рабочие станции компании. Ответственный: Иванов И. И.».

Мало понять, что, как и когда делать, но и необходимо реализовать все запланированное «точно в срок». Поэтому целью процесса реализации мероприятий является выполнение запланированных мероприятий по минимизации рисков, контроль качества полученных результатов и сроков их выполнения. Результатом данного процесса являются выполненные работы по минимизации рисков и время их проведения. Целесообразно разработать планы действий на случай возникновения критической ситуации или риска. Введение в действие процессов на экстренный случай поможет не допустить убытки или минимизировать их, а также возобновить хозяйственную деятельность как можно быстрее. Затем производится оценка эффективности полученных результатов.

Оценка эффективности системы управления информационной безопасностью  — это системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и событиях происходящих в ней, устанавливающий уровень их соответствия определенным критериям.

Ключевые показатели эффективности могут быть измерены при помощи, например, ARIS Process Performance Manager, а затем интегрированы в систему управления рисками. Также на этой стадии выполняется мониторинг заранее установленных мероприятий, нацеленных на уменьшение объема убытка или частоты появления рисков. Результаты данного процесса могут использоваться в целях аудита для подготовки компании к сертификации по стандарту ISO/IEC 27001:2005.

 

Заключение

 

В заключение следует отметить, что построение эффективной системы информационной безопасности в компании — это сложный и непрерывный процесс, от внимания к которому зависит жизнеспособность бизнеса. Для грамотного построения такой системы необходимо привлекать к участию в их создании топ-менеджмент компании, ИТ-специалистов, консультантов по данной тематике, технических специалистов.

Одним из важных этапов построения системы информационной безопасности является создание эффективного механизма управления доступом к информации, т.е. решение вопросов как разграничения доступа, так и определения методов доступа. При этом необходимо понимать, что методы доступа к информации определяются характеристиками самой информации и на сегодняшний день оцениваются для российских условий как: 3-5% структурированной информации, 5-12% неструктурированной и 80-90% информации на бумажных и прочих носителях. Если для хранения и защиты структурированной информации, а также доступа к ней на сегодняшний день существуют проверенные технологии, то в случае неструктурированной информации выбор технологий существенно ограничен, тогда как решение вопросов управления бумажными архивами может оказаться непростым и затратным

Хотелось бы отметить, что мероприятия по информационной безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы.

 

businessprocess.narod.ru