Информационные системы в экономике

· Ввод КИС в промышленную эксплуатацию.

· Сопровождение промышленной эксплуатации.

11.6 Причины неудачных внедрений КИС

Вместе с положительными изменениями (сокращение трудоемкости, ускорение работы, повышение качества работы, конкурентоспособности продукции и предприятия в целом), вносимыми КИС, существует и ряд трудностей. Изменение информационных потоков может привести к сопротивлению некоторых категорий работников - ведь им необходимо будет повышать свою квалификацию наряду с выполнением основных обязанностей, а также к проблемам поиска квалифицированных специалистов по ИТ.

В настоящее время опыт внедрения КИС (как западных, так и отечественных) на российских предприятиях насчитывает многие десятки примеров. Следует сказать, что не всегда внедрение КИС было успешным и принесло предприятию ощутимую финансовую выгоду.

Основные причины неудачных внедрений КИС заключаются в следующем:

· явная недооценка руководством и сотрудниками предприятия-заказчика (участвующими во внедрении) сложности процесса внедрения КИС;

· слабая организация выполнения проекта внедрения КИС и отсутствие реальной поддержки со стороны первых лиц предприятия;

· неготовность руководства заказчика (и самого предприятия в целом) к конструктивным структурным изменениям и оптимизации процессов деятельности предприятия;

· включение в группу внедрения сотрудников исключительно службы АСУ, а не высококвалифицированных представителей автоматизируемых подразделений.

Рассмотренные выше принципы внедрения КИС на предприятии являются базовыми и, естественно, могут быть дополнены и расширены.

Тема 12. Информационные системы в фирме. Принципы организации информационных систем в фирме. Примеры информационных систем

Тезисы

Принципы организации информационных систем в фирме.

Примеры информационных систем.

12.1 Принципы организации информационных систем в фирме

В любой фирме желательно иметь несколько локальных ИС разного назначения, которые взаимодействуют между собой и поддерживают управленческие решения на всех уровнях. На рис. 14.1 показан один из таких вариантов. Между локальными ИС организуются связи различного характера и назначения. Одни локальные ИС могут быть связаны с большим количеством работающих в фирме систем и иметь выход во внешнюю среду, другие связаны только с одной или несколькими родственными. Современный подход к организации связи основан на применении локальных внутрифирменных компьютерных сетей с выходом на аналогичную ИС другой фирмы или подразделение корпорации. При этом пользуются ресурсами региональных и глобальных сетей.

На основе интеграции ИС разного назначения с помощью компьютерных сетей в фирме создаются корпоративные ИС. Подобные ИС предоставляют пользователю возможность работать как с общефирменной базой данных, так и с локальными базами данных.

Рассмотрим роль корпоративной ИС в фирме относительно формирования стоимости выпускаемой продукции.

Информационные системы в фирме, поддерживая все стадии выпуска продукции, могут предоставлять информацию разной степени подробности для анализа, в результате которого выявляются этапы, где происходит сверхнормативное увеличение стоимости продукции. В этом случае может быть выбрана стратегия по уменьшению стоимости продукции. Результаты принимаемых мер, в свою очередь, отразятся в информационной системе. Снова можно будет использовать полученную информацию для анализа. И так до тех пор, пока не будет достигнута поставленная цель. Например, фирма может резко сократить издержки, связанные с хранением сырья и полуфабрикатов, договорившись с поставщиками о ежедневных поставках. Сведения о произведенных поставках будут учтены информационной системой, из которой будет получена информация для принятия решений на соответствующем уровне управления.

Информационная система может иметь наибольший эффект, если фирму рассматривать как цепь действий, в результате которых происходит постепенное формирование стоимости производимых продуктов или услуг. Тогда с помощью информационных систем различного функционального назначения, включенных в эту цепь, можно оказывать влияние на стратегию принятия управленческих решений, направленных на увеличение доходов фирмы.

12.2 Примеры информационных систем

Информационная система по отысканию рыночных ниш. При покупке товаров в некоторых фирмах информационная система регистрирует данные о покупателе, что позволяет:

· определять группы покупателей, их состав и запросы, а затем

· ориентироваться в своей стратегии на наиболее многочисленную группу;

· посылать потенциальным покупателям различные предложения, рекламу, напоминания;

· предоставлять постоянным покупателям товары и услуги в кредит, со скидкой, с отсрочкой платежей.

Информационные системы, ускоряющие потоки товаров. Предположим, фирма специализируется на поставках продуктов в определенное учреждение, например, в больницу. Как известно, иметь большие запасы продуктов на складах фирмы очень невыгодно, а не иметь их невозможно. Чтобы найти оптимальное решение этой проблемы, фирма устанавливает терминалы в обслуживаемом учреждении и подключает их к информационной системе. Заказчик прямо с терминала вводит свои пожелания по предоставляемому ему каталогу. Эти данные поступают в информационную систему по учету заказов.

Менеджеры, делая выборки по поступившим заказам, принимают оперативные управленческие решения по доставке заказчику нужного товара за короткий промежуток времени. Таким образом, экономятся огромные деньги на хранении товаров, ускоряется и упрощается поток товаров, отслеживаются потребности покупателей.

Информационные системы по снижению издержек производства. Эти информационные системы, отслеживая все фазы производственного процесса, способствуют улучшению управления и контроля, более рациональному планированию и использованию персонала и, как следствие, снижению себестоимости производимой продукции и услуг.

Например, информационная система, установленная в фирме по сдаче автомашин внаем, отслеживает местонахождение, стоимость и техническое состояние парка прокатных машин. Это позволяет минимизировать потери от простоя и пустого прогона для каждой автомашины, перераспределяя предложения согласно спросу.

Информационные системы автоматизации технологии ("менеджмент уступок"). Суть этой технологии состоит в том, что, если доход фирмы остается в рамках рентабельности, потребителю делаются разные скидки в зависимости от количества и длительности контрактов. В этом случае потребитель становится заинтересован во взаимодействии с фирмой, а фирма тем самым привлекает дополнительное число клиентов. Если же клиент не желает взаимодействовать с данной фирмой и переходит на обслуживание к другой, то его затраты могут возрасти из-за потери предоставляемых ему ранее скидок.

Например, информационная система по продаже авиабилетов позволяет проанализировать архивные данные за многие годы, оценить перспективы наполнения салона, назначить разумную цену на каждое место, снизить количество непроданных билетов и пр. Она резервирует каждое место на самолет в США за три месяца до полета 1,5 раза, т.е. два места резервируются за тремя пассажирами.

Другой пример. Информационная система банка обеспечивает все виды оплат по счетам его клиентов. Она умышленно сделана несовместимой с информационными системами других банков. Таким образом, клиент попадает в круг услуг банка, из которого ему трудно выйти. В обмен банк предлагает ему различные скидки и бесплатные услуги.

Тема 13. Бухгалтерские информационные системы. Особенности бухгалтерских информационных систем. Задачи бухгалтерских информационных систем

Тезисы

Особенности бухгалтерских информационных систем.

Задачи бухгалтерских информационных систем.

Бухгалтерские информационные системы отражают отраслевые особенности деятельности предприятий, различаются по функциям, принципам построения, техническому и методологическому сопровождению, оказываемым дополнительным услугам и другим признакам.

Особенности бухгалтерских информационных систем:

· разрабатываются применительно к малым, средним и большим предприятиям;

· бывают универсальными или специализированными;

· используются для целей управления на уровне отдельного предприятия или отраслевом уровне;

· ориентируются на разный вид собственности;

· используют разный тип настройки.

Компоненты бухгалтерских информационных систем:

· информационная база объекта управления;

· программное обеспечение;

· вычислительная система;

· пользователи.

Основу бухгалтерских информационных систем составляет информация - совокупность количественных данных, необходимых для выполнения функций планирования, контроля, анализа и являющихся основой для принятия управленческих решений.

На различных предприятиях бухгалтерский учет организуется по-разному.

На крупных предприятиях реализуются все виды учета - первичный, управленческий, финансовый учет, каждый из которых решает свои задачи;

На уровне первичного учета осуществляется сбор, регистрация, частичная обработка информации.

На уровне управленческого учета формируются результатные данные, отражающие совершаемые хозяйственные операции в стоимостной оценке в виде файлов бухгалтерских проводок;

На уровне финансового учета реализуется сводный учет, формируется Главная книга, бухгалтерский баланс и другие отчетные регистры.

На каждом уровне управления создаются автоматизированные рабочие места специалистов-экономистов, бухгалтеров, финансистов, аналитиков, взаимодействующие между собой.

К задачам бухгалтерских информационных систем относятся:

· автоматизированное решение всего комплекса задач бухгалтерского учета, планирования, анализа финансово-хозяйственной деятельности, внутреннего аудита;

· получение достоверной оперативной информации о текущем состоянии дел на предприятии для принятия на ее основе необходимых управленческих решений.

· интеграция оперативного, бухгалтерского, статистического учета на основе единой первичной информации;

· автоматизация обработки информации на всех стадиях техпроцесса, начиная со стадии первичного учета.

Тема 14. Обеспечение качества экономических информационных систем. Понятие интеллектуальной информационной системы. OLAP-приложения. Программные продукты для экономического планирования. Информационные системы стратегического планирования

Тезисы

Понятие интеллектуальной информационной системы.

Обеспечение качества экономических информационных систем

OLAP-приложения.

Продукт TCO Маnagег и для чего он предназначен.

Совокупная стоимость владения (ССВ).

Программные продукты для экономического планирования.

Информационные системы для стратегического планирования.

14.1 Понятие интеллектуальной информационной системы

Интеллектуальная информационная система (ИИС) - это информационная система, которая основана на концепции использования базы знаний для генерации алгоритмов решения экономических задач различных классов в зависимости от конкретных информационных потребностей пользователей.

Для интеллектуальных информационных систем, ориентированных на генерацию алгоритмов решения задач, характерны следующие признаки:

· развитые коммуникативные способности;

· умение решать сложные, плохо формализуемые задачи;

· способность к самообучению.

Интеллектуальные информационные системы можно классифицировать как:

· интеллектуальные базы данных, в том числе с интерфейсами, использующими естественный язык, гипертекст и мультимедиа, когнитивную графику;

· статические и динамические экспертные системы;

· самообучающиеся системы на принципах индуктивного вывода, нейронных систем, поиска прецедентов, организации информационных хранилищ;

· адаптивные информационные системы на основе использований CASE-технологий и/или компонентных технологий.

Коммуникативные способности ИИС характеризуют способ взаимодействия (интерфейса) конечного пользователя с системой, в частности, возможность формулирования произвольного запроса в диалоге с ИИС на языке, максимально приближенном к естественному.

Интеллектуальные системы решают задачи динамического моделирования для реинжиниринга (реорганизации) бизнес-процессов. В основные задачи интеллектуальных систем динамического моделирования для реинжиниринга бизнес-процессов входят:

1) определение оптимальной последовательности выполняемых операций, которая сокращает цикл изготовления и продажи товаров и услуг, обслуживания клиентов. Следствие оптимизации - повышение оборачиваемости капитала и рост всех экономических показателей фирмы;

2) оптимизация использования ресурсов в различных бизнес-процессах, минимизирующая издержки производства и обращения;

3) построение адаптивных бизнес-процессов, цель которых быстро реагировать на изменения потребностей конечных потребителей продукции, производственных технологий, поведения конкурентов на рынке и, как следствие, повышать качество обслуживания клиентов в условиях динамичности внешней среды;

4) оптимизация финансовых потоков, обеспечение равномерного поступления и использования денежных средств в результате отработки рациональных схем взаимодействия с партнерами, сочетания бизнес-процессов.

Заметим, информационные системы в сфере фондовых рынков предназначены для повышения прозрачности рынка наиболее добротных ценных бумаг и увеличения оборота средств.

Для внебиржевой торговли ценными бумагами инвестиционными институтами, в том числе банками, создаются специализированные учреждения или подразделения, в том числе так называемые фондовые магазины. Для автоматизации их работы разрабатываются специальные системы, одна из которых - "Фондовый магазин". Система предназначена для переуступки прав собственности по ценным бумагам, выпущенным в безбланковой форме. Она взаимодействует с системой учета прав собственности, обеспечивая гарантированную поставку безналичных ценных бумаг.

14.2 Обеспечение качества экономических информационных систем

Очень часто на практике предприятия внедряют информационные системы обеспечения качества. Процесс внедрения российскими предприятиями передовых систем качества чрезвычайно сложен. Однако внедрение таких систем - необходимое условие для повышения конкурентоспособности как предприятия, так и выпускаемой им продукции. Важную роль в этом деле играет использование информационных систем. Организация и рациональное использование информационных систем необходимы при сертификации системы обеспечения качества для:

· получения зарубежных инвестиций;

· привлечения зарубежных заказчиков (так как повышение цены реализации продукции предприятия с такой системой может достигать 50%);

· соблюдения правил внедрения системы обеспечения качества (является требованием для получения госзаказа, постановление Правительства РФ от 02.02.98 № 113).

Положительные стороны внедрения системы обеспечения качества на предприятии перечислим ниже.

Система обеспечения качества предполагает формирование эффективной структуры управления процессом производства с целью выпуска качественной продукции. Международный стандарт внедрения может быть внедрен любым предприятием и регламентирует:

· ответственность руководства;

· систему качества;

· анализ контракта;

· управление проектированием;

· управление документацией и данными;

· закупки;

· управление продукцией, поставляемой потребителям; идентификацию и прослеживаемость продукции;

· управление процессами;

· контроль и испытания;

· управление контрольным, измерительным и испытательным оборудованием;

· статус контроля; управление несоответствующей продукцией;

· корректирующие и предупреждающие действия;

· погрузочно-разгрузочные работы, хранение, упаковку, консервацию и поставку;

· управление регистрацией данных о качестве;

· внутренние проверки качества;

· подготовку кадров;

· обслуживание;

· статистические методы.

При внедрении систем качества используются различные информационные технологии.

Для внедрения эффективной системы качества требуется документировать деятельность предприятия и обеспечить организацию его функционирования по перечисленным направлениям. Осуществить это можно с помощью информационных технологий трех уровней:

· комплексных систем управления предприятием;

· систем электронного документооборота;

· продуктов, позволяющих создавать модели функционирования организации, проводить анализ и оптимизацию ее деятельности, систем нижнего уровня класса АСУТП и САПР, продуктов интеллектуального анализа данных, а также ПО, ориентированное на подготовку и поддержание функционирования систем качества.

Указанные информационные технологии довольно сложны и недешевы. Однако большим предприятиям при внедрении систем качества невозможно обойтись без информационной поддержки. Для этого привлекаются консультанты по внедрению систем качества, используются специальные методики.

При решении информационных проблем управления качеством необходимо разграничить две проблемы - сертификацию и информатизацию. При этом информационная система становится одним из важнейших технологических факторов, способствующих реальному развитию концепции. Например, концепция ТОМ представляет собой всеобъемлющее управление качеством, на базе ТОМ основываются дальнейшие рекомендации по построению систем качества.

Заметим, что на стадии реинжиниринга бизнес-процессов необходимо использовать программные средства моделирования, которые соответствуют стандартам ГОСТ. Эти стандарты применяются для создания функциональной модели (отражение функций и процессов моделируемой системы в формализованном виде).

14.3 OLAP-приложения

OLAP-приложения предполагают оперативную аналитическую обработку данных. Это обобщенный термин, характеризующий принципы построения систем поддержки принятия решений хранилищ данных, систем интеллектуального анализа данных. Такие системы предназначены для нахождения зависимостей между данными (например, можно попытаться определить, как связан объем продаж товаров с характеристиками потенциальных покупателей), для проведения анализа "что если...", OLAP-приложения оперируют с большими массивами данных, уже накопленными в OLAP-приложениях, взятыми из электронных таблиц или из других источников данных.

Такие системы характеризуются следующими признаками:

· добавление в систему новых данных происходит относительно редко крупными блоками (например, раз в квартал загружаются данные по итогам квартальных продаж из OLAP-приложения);

· данные, добавленные в систему, обычно никогда не удаляются;

· перед загрузкой данные проходят различные процедуры "очистки", связанные с тем, что в одну систему могут поступать данные из многих источников c различными форматами представления для одних и тех же понятий, кроме того, данные могут быть некорректны, ошибочны;

· запросы к системе являются нерегламентированными и, как правило, достаточно сложными. Очень часто новый запрос формулируется аналитиком для уточнения результата, полученного в результате предыдущего запроса.

Скорость выполнения запросов важна, но не критична. Анализируются структуры затрат для различных видов потребителей (серверов, клиентов, принтеров), проводится их классификация (портативные компьютеры, настольные, сервер файлов и печати, сервер приложений). Данная модель способна учесть различные характеристики каждого вида потребителей (фондов) и оптимизировать ввод данных для анализа, продолжения использования устаревшего оборудования.

Определенная часть затрат в ССВ (совокупная стоимость владения) приходится на установку и настройку операционной системы. Данная расходная часть резко увеличивается, если крупным предприятием приобретается большое количество одинакового оборудования. Решением этой проблемы может быть применение специализированных программных продуктов, позволяющих сократить время установки операционной системы и упростить ее конфигурирование.

14.4 Продукт ТСО Manager и для чего он предназначен

Для определения путей снижения расходов существует программный продукт TCO Manager. Он предоставляет сведения о влиянии расходов по информационным технологиям на основную деятельность компании.

Программный продукт представляет собой базу данных корпоративных расходов на информационные технологии в форме настольного приложения для операционной системы. Пользователи должны вводить в нее сведения о своем персонале, программном обеспечении, системных ресурсах, а TCO Manager сравнивает затраты с базой данных по среднекорпоративным показателям. Затем приложение выполняет своего рода аудит, акцентируя пути снижения нерациональных затрат. Стоимость этого программного продукта около 19 тысяч долларов.

Компании, купившие продукт, получают неограниченное право на консультации аналитиков по вопросам TCO и свободный доступ к веб-узлу, тем самым становясь полноценными клиентами этой фирмы. По оценкам фирмы, крупная компания может затратить на внесение всех необходимых данных до шести недель. Продукт требует привлечения таких информационных ресурсов, как данные о кадровом составе, системных конфигурациях и финансовом состоянии компании. Если компания сможет проделать все этапы этой работы, ее ИТ-менеджеры получат весьма ценные указания о путях экономии. Пакет принесет несомненную пользу при прогнозировании затрат при переходе на другое ПО, другое оборудование или при обосновании новых ИТ-приобретений. Ценность TCO Manager была бы выше, если бы его профили могли автоматически формироваться с помощью широко распространенного ПО инвентаризации ИТ-ресурсов.

Дальнейшие версии TCO Manager смогут использовать информацию из пакетов для управления сетями и систем планирования корпоративных ресурсов (ЕRР).

14.5 Совокупная стоимость владения (ССВ)

Можно ли снизить совокупную стоимость владения путем реформирования информационной системы? Большое значение для снижения ССВ в последнее время приобретает рациональный выбор информационных систем, которые в дальнейшем смогут эффективно и экономично функционировать на предприятии.

Существует стандартный набор общих требований к информационной системе: устойчивость и надежность; защищенность, масштабируемость, сохранение инвестиций. Данные требования могут быть конкретизированы для практической деятельности:

· наличие офисных приложений для повседневных операций;

· подключение предприятия к Интернету;

· возможность обмена сообщениями между пользователями и удаленными филиалами;

· способность совместного использования файлов и принтеров;

· обеспечение доступа к корпоративной базе данных.

Ведущими производителями соответствующей инфраструктуры предлагается ряд программно-аппаратных решений. В частности, предлагаются для использования следующие компоненты:

· сетевая операционная система, предназначенная для обеспечения основных сетевых сервисов, для организации совместного доступа к файлам и принтерам, для работы в качестве сервера приложений для реализации модели клиент - сервер. Сервер баз данных обеспечивает выполнение всех операций с базами данных, хранение и поддержку целостности базы, высокую доступность и скорость обработки данных;

· сервер управления системой централизованного сетевого администрирования, предоставляющий средства удаленного управления и диагностирования системы, учета аппаратного и программного обеспечения;

· клиентское программное обеспечение, включающее клиентскую операционную систему и различные пакеты настольных приложений, предоставляющие пользователям средства формирования материалов и документов, поиска и выбора информации, просмотра данных, а также настройки рабочей среды;

· сохранение инвестиций, подразумевающее вложение средств в те программно-аппаратные решения, которые бы обеспечивали долговременное их использование и соответственно способствовали планированию затрат на предприятии;

· сервер удаленного доступа, обеспечивающий сотрудникам удаленных филиалов доступ к корпоративным данным и основным сетевым ресурсам и сервисам;

· сервер электронной почты, позволяющий организовать обмен сообщениями на внутреннем и внешнем уровнях, наладить организацию совместной работы пользователей в рамках организации, а также группового и индивидуального планирования.

Эффективность экономических процессов характеризуется системой показателей, отражающих соотношение их затрат и результатов. Эффективность процесса тем выше, чем выше результаты и ниже приложенные усилия. Эффективность проекта характеризуется системой показателей, отражающих соотношение затрат и результатов применительно к интересам его участников. К таким показателям относятся: коммерческая, бюджетная и экономическая эффективность.

Коммерческая эффективность - это финансовые последствия реализации проекта для его участников.

Бюджетная эффективность - это финансовые последствия осуществления проекта для государственных бюджетов различных уровней.

Экономическая эффективность учитывает затраты и результаты реализации проекта, выходящие за пределы прямых финансовых интересов его участников. Народнохозяйственная эффективность возникает, когда проект имеет значение для государства и общества. Лишь в таких случаях рассчитывается народнохозяйственный эффект. Наряду с народнохозяйственной эффективностью в пределах определенной территории существует региональная эффективность. Краткая характеристика этого понятия приведена ниже, и, как представляется, оно будет все более актуальным по мере упорядочения налоговой системы.

Главный критерий эффективности производства для предпринимателя - размер полученной прибыли, или коммерческая эффективность. При этом повышение экономической эффективности затрагивает как производителя продукции, так и ее потребителя.

Повышение эффективности информационных технологий приводит к повышению уровня жизни в регионе. Чем выше эффективность в регионе, тем выше отчисления в соответствующий (федеральный, региональный или местный) бюджет и, таким образом, выше бюджетная эффективность.

14.6 Программные продукты для экономического планирования

Необходимым элементом рыночной экономики, инструментом управления хозяйственной деятельностью является планирование - процесс разработки и принятия решения, направленного на достижение целей при максимальной эффективности функционирования объектов управления. Наиболее значимым в долгосрочной перспективе представляется стратегическое планирование, предполагающее планирование не только будущих изменений, но и планирование возможных последствий от решений, принимаемых в настоящем.

В стратегическом планировании реализуется современная концепция планирования, направленная на создание плановой модели, сочетающей организационно-технологические и интеллектуально-социальные процессы. Это позволяет использовать при планировании методы прогнозирования, программирования социально-экономических процессов, ввести инструменты государственного регулирования при разработке и принятии управленческих решений.

14.7 Информационные системы стратегического планирования

На сегодняшний день известно множество информационных систем стратегического планирования и финансового анализа деятельности предприятия. К наиболее известным можно отнести программный продукт MS Project 2003.

Продукт MS Project 2003 позволяет использовать более 100 ресурсов для планирования более 10000 работ при записи в базу данных более 111 параметров каждой работы. Программа MS Project 2003 пользуется большой популярностью и перешла в разряд массовых продуктов. Программа имеет возможности планирования неограниченного количества работ при задействовании более 10 тысяч ресурсов и сохранении в базе данных более 200 параметров работ. Расширение списка параметров произошло за счет введения дополнительных полей, активизируемых по желанию пользователя (более 30 текстовых и 10 числовых полей, более 10 полей типов "длительность", "стоимость", "флаг"). Для выполнения работ проекта необходимы ресурсы, потребность в которых определяет стоимость проекта и график инвестиций. Для планирования ресурсов в программе MS Project 2003 меняются два вида блоков: люди/оборудование и деньги. Описание стоимости трудовых ресурсов включает общие данные, график рабочего времени, оплату труда (расценки за стандартное время, сверхурочные и фиксированные ставки назначения на должность) и дополнительные сведения. Для каждого вида работ можно назначить пять профилей расценок на оплату труда, т. е. один человек может выполнять разные работы с разной оплатой.

Пакет MS Project 2003 содержит разнообразную систему помощи, в том числе схему управления проектом для новичков, а также имеет дополнительные возможности по сохранению информации не только в стандартных форматах файлов МРР и МРХ, но и в других форматах Microsoft Office 2003. В пакет включены средства коммуникации между участниками разработки проекта. Форма описания ресурсов содержит адрес электронной почты исполнителей, общение между которыми происходит при выполнении команд рассылки информации о работах по исполнителям и запросов информации о состоянии работ.

Тема 15. Обеспечение безопасности экономических информационных систем. Пример оценки затрат на информационную безопасность

Тезисы

Обеспечение безопасности экономических информационных систем.

Базовая, средняя и высокая система защиты КИС от вирусов и вредоносного ПО.

15.1 Базовая, средняя и высокая система контроля и управления доступом в КИС (обеспечение физической безопасности)

Информация является изначально слабозащищенным ресурсом, и поэтому представляется чрезвычайно важным принимать повышенные меры ее защиты, соблюдая полный комплекс обеспечения информационной безопасности. На общегосударственном уровне защита информации должна обеспечиваться в соответствии с концепцией национальной безопасности Российской Федерации, сформулированной в Федеральном законе "Об информации, информатизации и защите информации".

В Законе защита информации предусматривается по ряду направлений: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение угрозы безопасности личности, общества, государства; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах при разработке, производстве и применении информационных систем, технологий, а также средств их обеспечения.

При этом защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб собственнику, владельцу, пользователю и иному лицу. Наряду с этим защита информации распространяется и на сведения, отнесенные к государственной тайне, на конфиденциальную документированную информацию и в отношении персональной информации.

На федеральном уровне принимаются следующие меры для обеспечения информационной безопасности: осуществляется формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, устанавливается баланс между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения, совершенствуется законодательство РФ в сфере обеспечения информационной безопасности, координируется деятельность органов государственной власти по обеспечению безопасности в информационной среде, защищаются государственные информационные ресурсы на оборонных предприятиях, развиваются отечественные телекоммуникационные и информационные средства, совершенствуется информационная структура развития новых информационных технологий, унифицируются средства поиска, сбора, хранения, обработки и анализа информации для вхождения в глобальную информационную инфраструктуру.

Конфиденциальная информация может храниться в органах государственной власти, местного самоуправления, а также у юридических и физических лиц (исключительно при наличии лицензии). При этом указанные структуры обязаны: получать персональные данные непосредственно от субъекта или из других источников только при его согласии, за исключением случаев, установленных законом; обеспечивать конфиденциальность, сохранность и достоверность персональных данных, проводить их актуализацию, документально определять порядок работы с ними, а также сообщать субъекту по его требованию информацию о наличии его персональных данных.

Есть три пути для предотвращения угрозы информационной безопасности: правовые, программно-технические и организационно-экономические.

Правовые методы заключаются в разработке комплекса нормативно-правовых актов и положений, регламентирующих информационные отношения в обществе.

Программно-технические методы состоят из предотвращения утечки обрабатываемой информации путем исключения несанкционированного к ней доступа, предотвращения специальных воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе информационных систем, выявления внедренных программных или аппаратных закладных устройств, исключения перехвата информации техническими средствами.

Организационно-экономические методы формируют и обеспечивают функционирование систем защиты секретной и конфиденциальной информации, их сертификацию и лицензирование, стандартизацию способов и средств защиты информации, контроль над действием персонала защищенных информационных систем.

15.2 Проект модернизации корпоративной системы антивирусной защиты и системы управления доступом на объекте информатизации

В качестве примера использования методики ССВ для обоснования инвестиций в ИБ рассмотрим проект модернизации корпоративной системы антивирусной защиты и системы управления доступом на объекте информатизации (физическая защита).

Для этого сначала условно определим три возможных состояния системы защиты КИС от вирусов и вредоносного ПО, а именно: базовое, среднее и высокое.

Базовое: Стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня - организация минимальной защиты от вирусов и вредоносного ПО при небольших затратах.

Среднее: Установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает выработку и следование определенной политики защиты информации, передаваемой по открытым каналам связи Интернет. Дополнительно к техническим мерам используются организационные меры защиты информации.

Высокое: Антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления ИБ компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании.

Также условно выделим три состояния развития системы контроля и управления доступом в КИС (обеспечение физической безопасности): базовое, среднее, высокое.

Базовое: Ведется учет как минимум рабочих станций и серверов, инвентаризационные таблички крепятся на соответствующее аппаратное обеспечение. Введена процедура контроля перемещения аппаратных средств КИС. Проводятся постоянные и периодические инструктажи персонала компании. Особое внимание уделяется мобильным компонентам КИС.

Среднее: Используются механические и электронные замки, шлюзовые кабины и турникеты. Организованы контрольно-пропускные пункты и проходные. Осуществляется видеонаблюдение на объекте информатизации. Требования к персоналу определены и доведены под роспись. Разработаны инструкции по действию в штатных и внештатных ситуациях. Задействованы частные и государственные охранные предприятия и структуры.

Высокое: Обеспечение физической безопасности аппаратных средств является частью единой политики безопасности, утвержденной руководством компании. Активно используется весь комплекс мер защиты информации, начиная с организационного и заканчивая техническим уровнями.

Проект по модернизации корпоративной системы в части ИБ предполагает модернизацию двух элементов: антивирусной защиты и системы управления ИБ. Необходимо обосновать переход от базового уровня к повышенному (среднему или высокому). В табл. 15.1 приводятся требования к элементам защиты, сформулированные в задании на модернизацию КИС.

Таблица 15.1 Характеристики исходного и повышенного уровня защиты

Элемент системы информационной безопасности	Задача	Исходный (базовый) уровень	Повышенный уровень
Антивирусная защита	Каким образом распространяются обновления механизма антивирусной защиты?	Ничего не делается или нет информации	Используется автоматическое обновление антивирусного обеспечения
Антивирусная защита	Какая степень защиты от вирусов является допустимой?	Нет механизма защиты от вирусов	Защита от вирусов устанавливается ИС службой и недоступна пользователям для изменений
Антивирусная защита	Какой процент клиентских мест поддерживается серверной антивирусной защитой?	Нет данных	100 %
Антивирусная защита	Как устраняются последствия вирусных атак (в процентном отношении к числу вирусных событий)?	Пользователь самостоятельно восстанавливает поврежденные файлы и систему, протокол событий не ведется	ИС персонал уведомляется об инциденте, проводятся исследования и предпринимаются нейтрализующие меры, на местах поддерживается БД вирусных событий
Управление информационной безопасности	Что делается для гарантии безопасности критичных данных (информация, которая является критичной по отношению к миссии каждого отдельного предприятия)	Не регламентирован	Средства шифрования и резервного копирования на серверах
Управление информационной безопасности	Что делается для гарантии физической безопасности помещений с целью предотвращения случаев воровства и преступного использования оборудования?	Применяются сигналы тревоги о нарушении безопасности	Дополнительное использование таких средств безопасности, как смарт-карты или биометрические устройства

Возможно несколько вариантов реализации этих требований, характеризующихся разными экономическими показателями. Рассмотрим типичную структуру расходов по выбранным элементам системы ИБ "среднего западного" предприятия на модернизацию ИС (см. табл. 15.2) для обеспечении "среднего" уровня защиты.

Таблица 15.2 .Статьи расходов среднего уровня защиты

Статья затрат	Антивирусная защита	Управление ИБ
Подготовительные процедуры и операции по инсталляции
Услуги по инсталляции ПО:
С учетом поддержки уровня 2	2,600%	0,000%
С учетом поддержки уровня 3	1,300%	0,000%
Администрирование пользователей	0,000%	6,500%
Установка аппаратного обеспечения	0,000%	2,600%
Резервное копирование, архивирование и восстановление	2,600%	0,000%
Планирование и управление процессами восстановления
Общие процедуры управления, планирование и изучение рынка продуктов	1,300%	1,300%
Закупка программно-технических средств	18,200%	2,600%
Процедуры по восстановлению	19,500%	0,000%
Сервисное обслуживание
Ежедневные процедуры поддержки пользователей	5,200%	2,600%
Административные расходы
Финансовые службы и администрация	1,268%	0,618%
Административная поддержка ИС	0,429%	0,169%
Закупка, снабжение	0,000%	5,200%
Аудит	0,000%	1,300%
Управление контрактами, работа с поставщиками	0,000%	2,600%
Затраты рабочего времени конечных пользователей на решение задач ИБ
Затраты времени на управление файлами, данными и резервным копированием	6,500%	0,000%
Затрата на взаимодействие со службами поддержки	6,500%	0,000%
Затрата на взаимопомощь пользователей	6,500%	0,000%
Затраты на самоподдержку (решение проблем своими силами)	6,500%	2,600%
Незапланированные простои по причинам, относящимся к данным средствам защиты	10,400%	10,400%

В табл. 15.3 и на рис. 15.1 показаны расчеты совокупной стоимости владения при различных вариантах проведения модернизации КИС. Данные приводятся для "среднего западного" предприятия. Расчетная стоимость снижения ССВ для третьего варианта около 230 тысяч долларов в год позволяет обосновать инвестиции.

Таблица 15.3 Совокупная стоимость владения при проведении модернизации

Расходы на ИТ	Базовый вариант защиты: Антивирусная защита - низкий уровень, Управление ИБ - низкий уровень	Вариант 1: Антивирусная защита - средний уровень, Управление ИБ - низкий уровень	Вариант 2: Антивирусная защита - низкий уровень, Управление ИБ - средний уровень	Вариант 3: Антивирусная защита - средний уровень, Управление ИБ - средний уровень
Совокупная стоимость владения (ССВ)	$14,905,090	$14,659,236	$14,796,746	$14,563,990
Расходы на СВТ и ПО	$9,183,334	$9,212,787	$9,211,699	$9,241,232
Расходы на операции ИС	$1,402,287	$1,376,061	$1,394,232	$1,368,450
Административные расходы	$426,758	$425,554	$423,952	$422,748
Расходы на операции конечных пользователей	$2,772,377	$2,636,870	$2,758,898	$2,624,287
Расходы, связанные с простоями	$1,120,334	$1,007,965	$1,007,965	$907,273

Расходы на аппаратные средства и программное обеспечение. Эта категория модели ССВ включает серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сетевые компоненты. Также в эту категорию входят расходы на аппаратно-программные средства ИБ.

Расходы на операции ИС. Прямые затраты на содержание персонала, стоимость работ и аутсорсинг, произведенные компанией в целом, бизнес-подразделениями или ИС службой для осуществления технической поддержки и операций по поддержанию инфраструктуры для пользователей распределенных вычислений.

Административные расходы. Прямые затраты на персонал, обеспечение деятельности и расходы внутренних/внешних поставщиков (вендоров) на поддержку ИС операций, включающих управление, финансирование, приобретение и обучение ИС.

Расходы на операции конечных пользователей. Это затраты на самоподдержку конечных пользователей, а также на поддержку пользователями друг друга в противовес официальной поддержке ИТ. Затраты включают: самостоятельную поддержку, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.

Расходы на простои. Данная категория учитывает ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и ПО для связи. Для анализа фактической стоимости простоев, которые связаны с перебоями в работе сети и которые оказывают влияние на производительность, исходные данные получают из обзора по конечным пользователям. Рассматриваются только те простои, которые ведут к потерям в основной деятельности организации.

Размещено на Allbest.ru

...