Організаційне проектування у системі захисту конфіденційної інформації суб’єкта господарювання

Размещено на http://www.allbest.ru//

Размещено на http://www.allbest.ru//

Організаційне проектування у системі захисту конфіденційної інформації суб'єкта господарювання

Журавель Володимир Іванович

Постановка проблеми. У сфері функціонування керованих систем захисту інформації з обмеженим доступом (СЗІОД) у діяльності господарюючого суб'єкта, і передусім конфіденційної інформації (КІ), суттєво зросла роль організаційно-правових чинників, визначивши особливу важливість організаційного проектування як методу формальної організації цілісних систем.

Однак будь-які нововведення структурного та процесуального характеру у сфері охорони та захисту конфіденційної інформації не зможуть досягти свого кінцевого втілення без проведення організаційного проектування, насамперед служби безпеки підприємства (надалі - служби), чи її функціонально- структурних підрозділів. Більше того, організаційне проектування СЗІОД повинно виявлятися не тільки у статичному вигляді, як структура організації/служби, а й в динамічному вигляді, як процеси, що протікають в організації/служби.

Аналіз останніх досліджень і публікацій. Вітчизняні та зарубіжн дослідники по-різному визначають організаційне проектування (ОП). Проте різні позиції не тільки не суперечать одна одній, а, навпаки, доповнюють творчий та новаторський характер цього виду діяльності. Так, у наукових працях А.Радутіна, О.Віханського, А.Наумова та Дж.Гелбрейта наголошується, що організаційне проектування - це процес, який має дискретний характер та безліч альтернативних напрямів розвитку й ефективного поєднання організаційних складових із-за ситуативного характеру і модифікування відповідно до зміни ситуації структури організації. А тому, на думку Б.Мільнера [1], організаційне проектування слід розглядати як функцію господарюючого суб'єкта із розробки таких організаційних елементів і відносин у створюваній (модельованій) системі, за реалізації яких організаційне ціле (створення нової або часткове удосконалення чи радикальне перетворення наявної організаційної системи) характеризувалося б високою надійністю, стійкістю та економічністю.

Проте наявні публікації за проблемою, що досліджується, стосуються загальних аспектів управлінської діяльності виробничих, фінансово-економічних та соціальних систем, тоді як методологія, методи, механізми та етапи ОП у сфері захисту інформації з обмеженим доступом із врахуванням специфіки й особливостей функціонування таких керованих систем фактично недосліджені, а, відповідно, і не задіяні на практиці.

Метою статті є обґрунтування організаційного проектування як підходу, методу і процесу оптимізації управління у галузі охорони і захисту інформації з обмеженим доступом на прикладі конфіденційної інформації.

Виклад основного матеріалу. Процес організаційного проектування (моделювання) СЗІОД вимагає від посадових осіб і спеціалістів не тільки базових професійних кваліфікацій і компетенцій, дотримання режиму секретності, а й певного алгоритму та процедури діяльності. Передусім потрібно визначити необхідні пропорції між елементами системи, здійснити їх просторове розміщення, регламентувати функціонування в часі, встановити найбільш раціональні варіанти зв'язків і відносин. Тому у структурному плані організаційне проектування буде методично і технологічно розрізнятися залежно від об'єкта управління за орієнтацією: на створення нової системи; на часткове удосконалення або на її радикальні перетворення.

Організаційне проектування як процес створення прообразу цілісної СЗІОД має включати не лише опис організації або її служби безпеки на початковому моменті її (їх) життєдіяльності, але й прогноз її (їх) подальшого розвитку. Особливе місце у цьому процесі відводиться формуванню організаційної структури та їх функцій, тобто змісту діяльності. Ось чому процес проектування СЗІОД стосовно КІ має базуватися на таких принципах:

коректне формулювання цілей та підцілей із урахуванням їх актуальності, новизни та можливостей практичної реалізації;

обов'язкове визначення завдань, без вирішення яких цілі неможливо реалізувати;

обґрунтований розподіл функцій, прав та відповідальності по вертикалі управління;

виявлення всіх необхідних зв'язків та відносин по горизонталі з метою координації діяльності функціональних ланок та допоміжних служб;

оптимальне співвідношення централізації та децентралізації управління.

Процес організаційного проектування іноді вимагає корегування вже діючих структур організації/служби, рішення про що приймається вищим керівництвом. Слід зауважити, що значні за масштабом перетворення в організації не варто починати до того часу, поки не з'являться для цього серйозні причини (зміна зовнішньої економічної та політичної ситуації, незадовільне функціонування організації, перевантаження керівної ланки, зміна технологій управління, необхідність перерозподілу прав та функцій, відсутність перспектив розвитку тощо) [2]. Внесення коректив в організаційну структуру чи змістову частину має супроводжуватися систематичним аналізом функціонування СЗІОД та вивченням середовища, що її оточує, з метою виявлення проблемних зон. Залежно від конкретних обставин зміни у структурі організації можуть бути частковими або радикальними. Однією із форм корегування організаційної системи охорони і захисту КІ є реорганізація.

Безпосереднім механізмом реалізації організаційного проекту СЗІОД є організування, що передбачає формування структури організації/служби. У процесі організування відбувається оцінювання організаційної структури за низкою критеріїв: економічністю, оптимальністю, оперативністю та надійністю.

Проектування як процес складається із функціонально пов'язаних етапів із створення проекту: передпроектні роботи, технічне та робоче проектування [3].

На передпроектному етапі передбачається проведення прикладних досліджень, аналіз можливих варіантів вирішення проектних завдань, здійснення підготовки початкових даних, тобто встановлення цілей, завдань, об'єктів та обсягів робіт, проведення розрахунків щодо наявності необхідних ресурсів на їх виконання, визначення складу виконавців, підготовка технічного завдання, проведення попереднього оцінювання ефективності проектних рішень.

На етапі технічного проектування передбачається обґрунтування остаточного комплексу організаційних рішень, що дає повне уявлення про організаційні нововведення, які передбачаються в модельованій або знову проектованій системі.

На етапі робочого проектування здійснюється випуск повного комплекту робочої документації; завершує весь комплекс робіт із проектування експертиза організаційних проектів.

У найбільш загальному вигляді стосовно СЗІОД організаційний проект міститиме такі розділи [3]:

Загальносистемний опис об'єкта проектування: загальна характеристика; виробнича й організаційна структури; чисельність персоналу; оцінювання ефективності проектних рішень.

Організаційні рішення, що належать до підсистем охорони/захисту конфіденційної інформації: виробничий/службовий процес у просторі та у часі; розподіл праці в основному, допоміжному та обслуговуючих сферах діяльності; форми організації праці; організація обслуговування робочих місць; рівень механізації й автоматизації праці; заходи з безпеки та режиму секретності.

Організаційні рішення, що належать до управляючої підсистеми КІ в цілому: структура; методи управління; технології управління; комунікації; чисельність та склад персоналу; функціональний розподіл праці.

Організаційні рішення, що належать до окремих функцій управління: техніко-економічне, оперативно-службове планування та прогнозування; лінійне, функціональне, штабне чи матричне управління; матеріальне забезпечення; маркетинг; облік; обслуговування тощо.

Організаційні рішення, що належать до підготовки виробництва/служби: технічні, економічні, організаційні, соціальні аспекти на різних етапах створення та освоєння нововведень.

Організаційні рішення за п. 1-5, що належать до структурних підрозділів нижчого рівня.

Ці розділи та склад організаційного проекту можуть бути деталізовані за окремими завданнями і процедурами відповідно до конкретних умов проектування СЗІОД. Наприклад, організаційні рішення, що належать до побудови виробничого/службового процесу у просторі і часі, при подальшій конкретизації включають проектування будівель, споруд, виробничих/службових приміщень, розміщення устаткування, схем побудови інформаційних потоків. При проектуванні організаційних рішень за окремими функціями управління деталізується опис кожної функціональної підсистеми, розробляються положення про підрозділи, їх структура та штатний розпис, рекомендації щодо технологій ухвалення рішень методами обробки інформації.

Зрозуміло, цей зміст організаційного проекту не є обов'язковим для виконання. Він може бути змінений залежно від конкретизації цілей проектування, умов функціонування системи, складності, новизни, галузевої належності об'єктів проектування. Але основний принцип підходу залишається, і зміст його полягає у тому, що об'єктивна необхідність організаційного проектування існує у набагато більших обсягах, ніж це вважається сьогодні, і цей вид організаційної діяльності повинен здійснюватися комплексно, системно, охоплюючи широкий спектр цілеспрямованих заходів, а не як розрізнені, локальні заходи.

Удосконалення управління і підвищення ефективності діяльності організації/служби залежать від розвитку методів проектування організаційних структур СЗІОД. Це пов'язано із такими моментами [4]:

у нових умовах не можна оперувати старими організаційними формами, які не задовольняють вимоги ринкових відносин;

у сферу управління неможливо переносити закономірності управління соціальними системами;

під час створення структури варто спиратися не тільки на досвід, аналогію, інтуїцію, але і на наукові методи організаційного проектування;

у процесі проектування складного службово-виробничого процесу або механізмів управління (організаційного, фінансово-економічного, правового, психологічного) слід покладатися на фахівців, що володіють методологією формування організаційних систем.

Специфіка проблеми ОП управління СЗІОД полягає у тому, що вона не може бути адекватно подана у вигляді завдання формального вибору найкращого варіанта організаційної структури за чітко сформульованим критерієм оптимальності. Ця проблема має багатокритеріальний характер. Тому вона може бути вирішена на основі поєднання наукових методів аналізу, оцінювання, моделювання організаційних систем із суб'єктивною діяльністю відповідальних керівників, фахівців та експертів із вибору й оцінювання найкращих варіантів організаційних рішень.

Проектування організаційних структур управління здійснюється на основі таких основних методів: аналогій, експертного, структуризации цілей та організаційного моделювання.

Метод аналогій передбачає використання досвіду проектування структур управління в аналогічних СЗІОД та вироблення типових структур управління в різних видах організацій, визначення різних меж, умов і механізму застосування. Необхідно підкреслити, що типові організаційні структури повинні мати варіативний характер, що передбачає можливість коректування, відхилення у разі зміни умов, в яких діє організація.

Експертний метод базується на вивченні рекомендацій та пропозицій експертів і досвідчених управлінців- практиків. Мета цього методу - виявити специфічні особливості роботи апарату управління, можливі недоліки в діяльності різних ланок організаційних структур, обґрунтовані рекомендації з їх удосконалення. На основі опитування експертів здійснюються діагностичний аналіз організаційних структур СЗІОД стосовно КІ, що діють, та їх оцінювання. Визначаються основні наукові принципи формування організаційних структур з урахуванням конкретних ситуацій та умов діяльності.

Метод структуризации цілей передбачає вироблення цілей СЗІОД щодо КІ, включаючи їх кількісне та якісне формулювання, подальший аналіз організаційних структур із погляду їх відповідності системі цілей. У процесі його застосування виконуються такі етапи: розробка системи цілей; експертний аналіз пропонова- них варіантів організаційної структури; складання таблиць повноважень та відповідальності за досягнення мети як кожним підрозділом, так і за комплексними поліфункціональними видами діяльності, де конкретизуються межі відповідальності (матеріальні ресурси, виробничі, інформаційні процеси), визначення конкретних підсумків, за досягнення яких встановлюється відповідальність, повноважень, якими наділяються відповідні органи управління.

Метод організаційного моделювання є розробкою формалізованих математичних, графічних, машинних та інших відображень розподілу повноважень і відповідальності в СЗІОД, що є базою для побудови, аналізу й оцінювання різних варіантів організаційних структур за взаємозв'язком їх змінних. Виокремлюють такі основні типи організаційних моделей [3]:

математико-кібернетичні моделі ієрархічних управлінських структур, що описують організаційні зв'язки і відносини у вигляді математичних рівнянь та нерівностей (моделі багатоступінчатої оптимізації);

графоаналітичні моделі організаційних систем, що є мережевими, матричними й іншими табличними та графічними відображеннями розподілу функцій, повноважень, відповідальності, організаційних зв'язків (матриці розподілу повноважень і відповідальності);

натурні моделі організаційних структур і процесів, що полягають в оцінюванні їх функціонування у реальних організаційних умовах (експерименти); організаційний проектування інформація конфіденційний

математико-статистичні моделі залежностей між початковими чинниками організаційних систем та характеристиками організаційних структур (регресивні моделі залежності показників спеціалізації, централізації, стандартизації управлінських робіт за типом організаційних завдань та інших характеристик).

У процесі проектування організаційних структур управління СЗІОД вирішуються такі завдання:

визначення типу структури управління;

уточнення складу та кількості підрозділів за рівнями управління;

визначення чисельності управлінського персоналу;

визначення характеру підпорядкованості між ланками системи;

розрахунок витрат на утримання апарату управління. Вибір методу вирішення певної організаційної проблеми залежить від її характеру, а також від можливостей для проведення відповідного дослідження.

У нових умовах до проектування організаційних структур необхідно активно використовувати системний підхід, як метод пізнання та моделювання [5]. Він передбачає врахування зовнішніх та внутрішніх чинників оточення СЗІОД, які мають ситуативний характер і поділяються на п'ять груп: стан зовнішнього середовища організації/служби; технології діяльності в організації/служби; стратегічний вибір керівництва організації/служби щодо її цілей; поведінка працівників організації/служби; розмір, форма та ієрархічний рівень організації/служби.

Зовнішнє середовище організації/служби характеризується складністю і динамізмом. Складність зовнішнього оточення організації/служби визначається кількістю чинників, які впливають на проектування СЗІОД. Динамізм зовнішнього оточення організації/служби характеризується тим, як швидко змінюються чинники, що впливають на її проектування.

Двовимірна класифікація чинників зовнішнього середовища організації/служби дає змогу виявити чотири типи ситуацій, кожна із яких співвідноситься із відповідним видом діяльності [3]:

Ситуація характеризується низькою невизначеністю і є сприятливою для керівництва організації/служби. Зовнішнє середовище не робитиме багато сюрпризів, і працівники, безумовно, дотримуватимуться прийнятих в організації/службі політики та процедур. Від керівників не вимагається високого рівня підготовки, тривалого навчання, великого досвіду.

Ситуація характеризується помірною невизначеністю. Вона є більш напруженою для керівництва організації/служби. Високий ступінь складності зовнішнього оточення вносить елемент значного ризику до процесу ухвалення рішень. Керівники у цій ситуації потребують серйозної підготовки і наявності досвіду.

Ситуація характеризується помірно високою невизначеністю. Вона вимагає від керівництва і самої організації/служби достатньої гнучкості. Це необхідно у зв'язку із частою зміною характеру взаємодії з чинниками зовнішнього середовища. Проте врахування й аналіз чинників дають змогу керівникам володіти ситуацією.

Ситуація характеризується високою невизначеністю. Вона є найбільш проблемною для управління організацією/службою. Ця ситуація вимагає від керівників високого рівня підготовки, аналітичних здібностей та інтуїції. За оцінками фахівців, тільки 20,0 % зовнішніх чинників у діяльності піддаються врахуванню і контролю з боку керівника, а інші 80,0 % є неконтрольованими (відповідно до принципу Паретто - 20:80).

Кожна із розглянутих вище ситуацій вимагає свого специфічного підходу до проектування як СЗІОД організації/служби в цілому, так і її складових, зокрема суб 'єкта та об'єкта управління, блоку наукового регулювання або інформаційно- аналітичного забезпечення.

Організаційне проектування СЗІ- ОД організації/служби стосовно КІ пов'язане і з технологією роботи за двома напрямами: розподіл праці та групування робіт, тобто створення підрозділів. Причому, залежно від виду технології організаційні структури поділяються на кілька типів.

Із появою технологічної складності збільшується чисельність рівнів управління та організаційна піраміда, інтервал контролю вищої ланки управління. Такі організації/служби мають тенденцію до органічних проектів.

За технології середнього ступеня складності інтервал контролю менеджерів нижчих рівнів стає найбільшим, тому організації/служби віддають перевагу більш механістичним проектам.

Із зміною стратегії перед СЗІОД організації/служби виникають нові проблеми, вирішення яких безпосередньо пов'язане із проектуванням нової організаційної системи, що і випливає із принципу А.Чандлера. Відмова від перепроектування організації/служби призводить до того, що вона виявляється не в змозі досягти своїх цілей.

Сучасні підходи до організаційного проектування передбачають три можливі сфери стратегічного вибору. Перша належить до тієї ідеології управління, якої дотримується вище керівництво організації/служби. Цінності і принципи, що лежать в її основі, можуть вирішальним чином вплинути на такі елементи проектування СЗІОД організації/служби, як розвиток горизонтальних зв'язків, масштаб керованості, кількість рівнів ієрархії, ланковість системи, централізація та децентралізація. Друга сфера залежить від споживачів, які обслуговуватимуться СЗІОД організації/служби, - при індивідуальних і “організованих” споживачів ця подвійність повинна знайти віддзеркалення у процесі її проектування у всіх елементах.

Третя сфера стратегічного вибору - це рівень і територіальне розміщення СЗІОД. Вихід організації/служби у своїй діяльності за національні межі вимагає врахування у процесі проектування її організаційної системи чинників інтернаціоналізації та глобалізації.

У процесі проектування СЗІОД необхідно враховувати потреби, інтереси, установки, рівень кваліфікації, мотивації та дисциплінованості працівників.

Розмір організації впливає на організаційну структуру СЗІОД, а відповідно і на її проектування - великі та складні організації потребують складніших проектів, що суттєво впливає на характер організаційного проектування, ніж технології.

Висновок

Отже, ситуативно- організаційний підхід до проектування СЗІОД стосовно КІ доводить, що оптимальний проект для конкретної організації/служби залежить від низки чинників, які визначають ситуацію, в якій функціонує організація/служба в кожний момент часу. До цих чинників можна віднести: технології, зовнішнє середовище, масштаб організації, цикл життя та стратегію розвитку організації/служби.

Список використаних джерел

Мильнер Б.З. Теория организации : учеб. / Б.З.Мильнер. - М. : ИНФ- РА-М, 2003. - 558 с.

Менеджмент організацій : підруч. / за заг. ред. Л.І.Федулової. - К. : Либідь, 2004. - 448 с.

Монастирський Г.Л. Теорія організації : навч.-метод. комплекс

/ Г.Л.Монастирський. - Т. : Екон. думка, 2007. - 84 с.

Осовська Г.В. Менеджмент організацій : навч. посіб./ Г.В.Осовська, О.А.Осовський. - К. : Кондор, 2005. - 860 с.

Менеджмент інформаційної безпеки : підруч. : у 2 ч. / [А.К.Гринь, О.Д.Довгань, В.І.Журавель та ін.] ; за заг. ред. Є.Д.Скулиша. - К. : Наук.-вид. Центр НА СБ України, 2013. - Ч. 1. - 456 с. ; Ч. 2. - 604 с.

Размещено на Allbest.ru