Текст
                    А. Ю. Крупский, Л. А. Феоктистова

Институт государственного управления, права и инновационных технологий А. Ю. Крупский, Л. А. Феоктистова Информационный менеджмент Учебное пособие Рекомендовано Учебно-методическим об ъединением по образованию в области сервиса в качестве учебного пособия для студентов высших учебных заведений, обучающихся по направлению “Сервис” Тульский институт экономики и информатики БИБЛИОТЕКА Издательско-торговая корпорация «Дашков и К°» Москва, 2008
УДК 004 ББК 32.97 К84 Авторы: А. Ю. Крупский — кандидат технических наук, доцент; Л. А. Феоктистова — старший преподаватель. Рецензенты: А. М. Блюмин — доктор технических наук; В. М. Артюшенко — доктор технических наук, профессор, Крупский А. Ю. К84 Информационный менеджмент: Учебное пособие / А. Ю Крупский, Л. А. Феоктистова. — М.: Издательско- торговая корпорация «Дашков и К°», 2008. — 80 с. ISBN 978-5-91131-842-0 В учебном пособии содержатся основные сведения по дисциплине «Информационный менеджмент». Раскрыты роль и задачи информационного менеджмента в управлении ин- формационными ресурсами предприятия. Показано, из ка- ких составных частей состоит информационный менеджмент. Рассмотрены основные вопросы, касающиеся управления ин- формационными ресурсами и технологий доступа к информа- ционным ресурсам. Освещена проблема информационной бе- зопасности и защиты информационных ресурсов. Для студентов вузов, обучающихся по специальностям «Прикладная информатика в экономике», «Прикладная ин- форматика в сфере сервиса». ISBN 978-5-91131-842-0 © Крупский А. Ю., Феоктистова Л. А., 2008 © ООО «ИТК «Дашков и К°», 2008
Оглавление 1. Роль и задачи информационного менеджмента в управлении информационными ресурсами организации......5 1.1. Основная терминология. Понятия: информационная система, информационная технология, информационный менеджмент......................................... 6 1.2. Основные задачи информационного менеджмента ...10 1.2.1. Формирование технологической среды информационной системы..........................12 1.2.1.1. Выбор технического обеспечения ....18 1.2.1.2. Выбор программного обеспечения информационной системы.......................19 1.2.1.З. Выбор (разработка) информационного обеспечения..................................21 1.2.2. Развитие информационной системы и обеспечение ее обслуживания.................. 23 1.3. Связь информационного менеджмента со смежными дисциплинами.............................26 2. Составные части информационного менеджмента........ 28 2.1. Технология управления деятельностью (предприятия) на базе обеспечения документами, информацией и знанием ... 28 2.1.1. Обеспечение документами ............... 33 2.1.2. Источники информации.....................35 2.1.3. Обеспечение знаниями................... 39 2.2. Обеспечение информационного взаимодействия человека и информационной среды.....................43 3. Управление информационными ресурсами.................46 3.1. Государственное управление информационными ресурсами .................................... 48 3
3.2. Управление информационными ресурсами на предприятии, фирме.............................50 3.2.1. Информационные потребности при планировании деятельности предприятия.....51 3.2.2. Технология доступа к информационным ресурсам ... 53 3.2.3. Ресурсы знаний................... 56 4. Защита информационных ресурсов................ 58 4.1. Суть проблемы информационной безопасности... 58 4.1.1. Информационные ресурсы “глазами” злоумышленника............................ 59 4.1.2. Методы взлома информационной системы.. 61 4.2. Политика безопасности — основной метод защиты информационных ресурсов......................... 63 4.3. Оценка защищенности системы..................69 Терминологический словарь.......................... 72 Вопросы для самоконтроля....................... 76 Литература......................................... 79 4
1. Роль и задачи информационного менеджмента в управлении информационными ресурсами организации Информационные системы и технологии в значительной мере определяют уровень и темп прогресса во всех областях де- ятельности в современном мире — на Западе информационные технологии (ИТ) обеспечивают до 40% роста валового внутрен- него продукта и аккумулируют при этом до 25% всех инвести- ций. Спрос на товары и услуги этого профиля постоянно растет, объемы их производства и продаж составляют значительную часть мирового бизнеса: по некоторым оценкам, объем продаж в этом комплексе уже составляет 2 трлн долл., что значительно превышает, например, объем рынка нефти и нефтепродуктов, и к 2010 г. прогнозируется рост до 4,5 — 4,7 трлн. По всем компонентам ИТ наблюдается значительный прогресс: растут мощности компьютеров; заметно совершенствуются базовые и прикладные программные средства; сетевые технологии существенно улучшили свои технические, пользовательские характеристики; расширяется глобальная сеть “Интернет”, на основе которой создаются разнообразные информационные технологии. В нашей стране произошли значительные положительные изменения в структуре рынка ИТ: основную роль стали играть крупные поставщики, развивается качественный сервис, форми- руются дилерские сети, складывается маркетинговая политика. Пока в экономике России ИТ еще не являются магистральным направлением, поэтому темпы роста в этой области могут сни- зиться, если не будет расширения сферы обработки информации в ощутимых масштабах. 5
На создание информационных систем (ИС), приобретение и внедрение их элементов требуются значительные матери- альные, временные и трудовые ресурсы; затрат ресурсов тре- бует также практическое использование ИС. Однако ИС и ИТ представляют собой мощный ресурс, использование которого в основной деятельности организации должно быть эффектив- ным. В связи с этим необходимы специальные исследования вопросов формирования и использования ИС на всех этапах их жизненного цикла и управления (или менеджмента) этими ресурсами — информационного менеджмента (ИМ), что требу- ет разработки соответствующей научной и методологической основы. 1.1. Основная терминология. Понятия: информационная система, информационная технология, информационный менеджмент В мировой экономике практически все сферы деятельности человека могут быть эффективными только благодаря возмож- ностям информационных систем: системы межбанковских расче- тов, грузовые и пассажирские перевозки, системы телевидения и связи, промышленные производства и т. д. Понятно, что все уровни таких систем должны быть обеспечены эффективным управлением сверху донизу. В настоящее время информаци- онные процессы стали настолько крупномасштабными, что это потребовало необходимость системного (научного) подхода к их изучению. И именно с этих позиций поставлена проблема информационного менеджмента. Понятие “информационный менеджмент” (англ, informa tion management) неразрывно связано с понятием “менеджмент” (англ, management), и это следует из определений этих понятий. Менеджмент — управление производством: совокупность принципов, методов, средств и форм управления производс- твом, разработанных и применяемых с целью повышения эффективности производства и увеличения прибыли. 6
Информационный менеджмент — управление работой предприятия, осуществляемое на основе комплексного ис- пользования всех видов информации, имеющихся на самом предприятии и за его пределами. Из этих определений ясно видно, что, по существу, цели и задачи менеджмента и информационного менеджмента пол- ностью совпадают. Тогда возникает законный вопрос, почему все-таки понятие “информационный менеджмент” введено и существует самостоятельно? Ответ на этот вопрос становится понятен, если учесть, что информация — это самостоятельный вид продукции, имеющий некоторые свойства, точно так же как и любое другое сырье, товары, услуги и проч. И точно так же, как существуют техноло- гические процессы преобразования сырья в продукцию, сущес- твует технологический процесс преобразования информации из одного вида в другой — в такой вид, который является необходи- мым для достижения задач информационного менеджмента. Если мы говорим о производственной системе, то основным элементом производства продукции из сырья является некото- рый технологический комплекс, имеющий в своем составе обо- рудование и другие элементы, обеспечивающие производство продукции. Совершенно аналогично можно утверждать, что основным элементом технологического процесса переработки информации из одного вида в другой является технологический комплекс, который называется информационной системой. Информационная система (по законодательству РФ) — ор- ганизационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с ис- пользованием средств вычислительной техники и связи, реали- зующих информационные процессы. Информационные системы предназначены для хранения, обработки, поиска, распростране- ния, передачи и предоставления информации. Таким образом, информационная система — это некоторый инструмент или инструментальный комплекс, предназначенный для переработки информации. Если сопоставить очень пример- ные описания производственной и информационной систем, то 7
можно с определенным допущением сравнить такие элементы этих систем, как сырье — с исходной информацией; доставка сырья к месту обработки — с передачей информации в центр (элемент) обработки; обработка сырья на станках — с обработкой данных в компьютере (см. табл. 1.1). Т аблица 1.1 ПРОИЗВОДСТВЕННАЯ СИСТЕМА ИНФОРМАЦИОНННАЯ СИСТЕМА Сырье Исходная информация Доставка сырья к месту обработки Передача информации в центр (эле- мент) обработки Предварительная обработка сырья Предварительная обработка инфор- мации (классификация, сортировка...) Изготовление продукции из сырья Обработка информации — решение задач на компьютере Складирование продукции Хранение информации (в файлах, ба- зах данных...) Доставка продукции до получателя Передача информации адресату Пониманию предмета информационный менеджмент мо- жет способствовать представление о том, что информационная система, по существу, является производством, выпускающим определенную продукцию. Эта продукция может быть измере- на количественно и оценена качественно, а также может быть определена ее стоимость. Основой информационной системы является информаци- онная технология. Информационная технология (англ, information technolo- gy)— совокупность методов, производственных и программно- технологических средств, объединенных в технологическую цепочку, обеспечивающую сбор, хранение, обработку, вывод и распространение информации. Информационные технологии предназначены для снижения трудоемкости процессов исполь- зования информационных ресурсов. Из определения, что такое информационная технология (ИТ), видно, что конечным результатом использования ИТ является снижение трудоемкости процессов использования информационных ресурсов, 8
Что такое информационный ресурс и почему именно в отношении информационных ресурсов необходимо снижать трудоемкость их обработки? Информационные ресурсы (англ, information resources) — со- вокупность данных, организованных для эффективного полу- чения достоверной информации. Информационные ресурсы (по законодательству РФ) — это отдельные документы и отдельные массивы документов, документы и массивы документов в ин- формационных системах: библиотеках, архивах, фондах, банках данных, других видах информационных систем. В широком смысле слова в качестве информационного ре- сурса может использоваться практически любая информация, представленная в любом виде и на любом носителе, которая помогает принять правильное решение принимающему его че- ловеку на предприятии, в учреждении и даже в личной жизни. Понятно, что на предприятии все, что связано с информаци- онными ресурсами, должно быть строго регламентировано и зафиксировано. Прежде всего имеется в виду, что каждый ин- формационный ресурс должен иметь некоторый набор свойств и характеристик. Например, должно быть четко ясно: • кто этот ресурс формирует; • как формируется ресурс; • для кого (или чего) ресурс формируется; • в каких форматах ресурс выдается; • где ресурс хранится; • кому ресурс доступен (или недоступен) Необходимо уяснить и целый ряд других параметров, без которых никакой информационный ресурс просто не может су- ществовать, а, точнее, он превращается в какую-то обрывочную информацию, которая ничего не стоит. Таким образом, из рассмотренных выше определений ос- новными объектами изучения в информационном менеджменте являются информационные технологии, информационные систе- мы и, в конечном сете, процессы управления информационными ресурсами. 9
1.2. Основные задачи информационного менеджмента с С Информационный менеджмент, появившись как часть те- п ории менеджмента, быстро приобрел вполне самостоятельное I значение и оформился как перспективное научное направление в с] эпоху информационного общества. Концепция информационного менеджмента объединяет следующие подходы: в • экономический, рассматривающий вопросы привлечения н новой документированной информации исходя из соображений д полезности и финансовых затрат; в • аналитический, основанный на анализе потребностей пользователей в информации и коммуникациях; н • организационный, рассматривающий информационные о технологии в их влиянии на организационные аспекты; в • системный, рассматривающий обработку информации и на основе целостного, системно ориентированного, всеохва- тывающего процесса обработки информации в организации и в уделяющий особое внимание оптимизации коммуникационных ц каналов, информации, затратам материальных средств и другим р расходам, методам работы. Таким образом, можно сказать, что общей целью инфор- н мационного менеджмента является производство нужной а для организации информации для обеспечения эффективного с управления всеми ее ресурсами и для создания информационной у программной и технической среды для осуществления управ- ления предприятием. в Информационный менеджмент в организации выполняет и стратегические, оперативные и административные задачи. т К числу стратегических задач относятся создание информацией- п ной инфраструктуры организации и управление информацион- ными технологиями. Оперативные и административные задачи носят более узкий и подчиненный характер. с Главной задачей информационного менеджмента является с информационная поддержка основной деятельности органи- р зации. Задачу информационного менеджмента под этим углом зрения следует видеть в том, чтобы интегрировать созданные о 10
та ?е- юе ев эго ИЯ ИЙ ей ые ии ja- 1 и ых им >р- ой эго юй 1в- гет чи. эн- )Н- чи "СЯ 1И- ом ые сотрудниками индивидуальные информационные элементы системы (документы, дела, технологии) на основе объединяющей программы поиска и на базе предложений (в том числе через Интернет) и соответствующего маркетинга используемых ин- формационных ресурсов. Следующая задача информационного менеджмента состоит в переработке разнообразного предлагаемого на информацион- ном рынке “массового продукта” в информацию, релевантную действиям, переход от внешнего знания к знаниям, релевантным внутренним решениям. Информационный менеджмент решает задачи планирова- ния, руководства, контроля и организации документационного обеспечения управления организацией по определенным целе- вым критериям для поддержки согласованных организационно- информационных действий членов организации. Важной задачей информационного менеджмента является выбор рациональных форм коммуникаций, техники и информа - ционных технологий, а также характеристик информационных ресурсов, необходимых для достижения целей организации. Специалист организации, работник, руководитель являются не просто потребителями, которым поставляется информация, а непосредственными участниками информационного процес- са, важнейшей составного частью структуры информационного менеджмента. Практическая реализация коммуникационных процессов в аппарате управления осуществляется институтами (службой) информационного менеджмента в виде организации докумен- тооборота, бездокументных связей, циркуляции документных потоков в рамках системы управления внутрифирменной инфор- мацией, функционирования информационных систем и сетей. Традиционное делопроизводство, более прогрессивные системы документационного обеспечения, автоматизированные системы обработки информации, технические средства обра- ботки информации объединяются в единую систему на общей методической базе под единым руководством. Другими словами, опыт управления документацией интегрируется с возможнос- 11
тями техники и технологий. В этом случае отдельная составная часть информационного менеджмента поддерживается соот- ветствующей организационной структурой. Организационные структуры информационного менедж- мента призваны объединить высшее руководство, специалистов, менеджеров, поставщиков информации и собственно подраз- деление информационного менеджмента и создать тем самым предпосылки для управления документацией в масштабе ор- ганизации на основе современных методологических подходов, организационных и технологических решений. 1.2.1. Формирование технологической среды информационной системы Как было отмечено выше, информационная система явля- ется основным элементом информационного менеджмента. Из определения информационной системы вытекают следующие ее функции: сбор, хранение, обработка, поиск, выдача информации, необходимой в процессе принятия решений. На рисунке 1.1 показаны основные пропессы, протекающие в информационной системе. Отметим, что информационная сис- тема немыслима без персонала, взаимодействующего с компью- терами и телекоммуникациями. В этом смысле персонал — это неотъемлемый и, более того, основной элемент информационного менеджмента. Рис. 1.1. Процессы в информационной системе Несмотря на большое количество типов информационных систем, можно выделить следующие свойства, присущие, в об- щем случае, любой системе: 12
• любая информационная система может быть подвергнута анализу, построена и управляема на основе общих принципов построения систем; • информационная система является динамичной и разви- вающейся; • при построении информационной системы необходимо использовать системный подход; • выходной продукцией информационной системы явля- ется информация, на основе которой принимаются решения. Информационную систему следует воспринимать как че- ловеко-машинную систему обработки информации. В качестве технологической среды информационной сис- темы можно рассматривать виды обеспечения, приведенные на рис. 1.2 Рис. 1.2. Виды обеспечения информационной системы (технологическая среда информационной системы) Каждый из видов обеспечения информационной системы является предметом самостоятельного изучения дисциплин, являющихся смежными по отношению к информационному менеджменту. Поэтому ниже рассматриваются только самые основные моменты, требуемые для понимания задач информа - ционного менеджмента . Техническое обеспечение — комплекс технических средств, предназначенных для работы информационной системы, а также соответствующая документация на эти средства и технологические процессы. 13
Комплекс технических средств составляют: • компьютеры любых моделей; сре, • устройства сбора, накопления, обработки, передачи и вы- рит вода информации; ТР°. • устройства передачи данных и линий связи; • оргтехника и устройства автоматического съема инфор- cuc'i мации; ЧиР • эксплуатационные материалы и др. тт Документацией оформляются предварительный выбор тех- лосi нических средств, организация их эксплуатации, технологичес- кий процесс обработки данных, технологическое оснащение. гос> Математическое и программное обеспечение — совокуп- УРа ностъ математических методов, моделей, алгоритмов и затс программ для реализации целей и задач информационной сис- тан] темы, а также для нормального функционирования комплекса технических средств. К средствам математического обеспечения относятся: УРО] • средства моделирования процессов управления; • типовые задачи управления; • методы математического программирования, математи- Ровг ческой статистики, теории массового обслуживания и др. В состав программного обеспечения входят общесистемное ДВГ1 и специальное программное обеспечение (включающие техни- веН1 ческую документацию). инф К общесистемному программному обеспечению относят- ВЫР ся комплексы программ, ориентированные на пользователей ния- и предназначенные для решения типовых задач обработки выя информации. Они служат для расширения функциональных oje- возможностей компьютеров, контроля и управления процессом обработки данных. ции Специальное программное обеспечение представляет собой совокупность программ, разработанных при создании конкрет- мац ной информационной системы. В его состав входят пакеты при- кладных программ (ППП), реализующие разработанные модели ТИЧ€ разной степени адекватности, отражающие функционирование мгт( реального объекта. Peaj 14
Техническая документация на разработку программных средств должна содержать описание задач, задание на алго- ритмизацию, экономико-математическую модель задачи, кон- трольные примеры. Информационное обеспечение — совокупность единой системы классификации и кодирования информации, унифи- цированных систем документов, схем информационных по- токов, циркулирующих в организации, а также методологии построения баз данных. Унифицированные системы документации создаются на государственном, республиканском, отраслевом и региональном уровнях. Главная цель — это обеспечение сопоставимости пока- зателей различных сфер общественного производства. Разрабо- таны стандарты, где устанавливаются требования: • к унифицированным системам документации; • к унифицированным формам документов различных уровней управления; • к составу и структуре реквизитов и показателей; • к порядку внедрения, ведения и регистрации унифици- рованных форм документов. Схемы информационных потоков отражают маршруты движения информации, а также ее объемы, места возникно- вения первичной информации и использования результатной информации. За счет анализа структуры подобных схем можно выработать меры по совершенствованию всей системы управле- ния. Построение схем информационных потоков Р позволяющих выявить объемы информации и провести ее детальный анализ, обеспечивает: • исключение дублирующей и неиспользуемой информа- ции; • классификацию и рациональное представление инфор- мации. Методология построения баз данных базируется на теоре- тических основах их проектирования- Для понимания концепции методологии приведем основные ее идеи в двух последовательно реализуемых на практике этапах: 15
1-й этап — обследование всех функциональных подразде- лений фирмы с целью: • понять специфику и структуру ее деятельности; • построить схему информационных потоков; • проанализировать существующую систему документо- оборота; • определить информационные объекты и соответствую- щий состав реквизитов (параметров, характеристик), описыва- ющих их свойства и назначение. 2-й этап — построение концептуальной информацион- но-логической модели для обследованной на 1-м этапе сферы деятельности. В этой модели должны быть установлены и оп- тимизированы все связи между объектами и их реквизитами. Информационно-логическая модель является фундаментом, на котором будет создана база данных. Для создания информационного обеспечения необходимо: • ясное понимание целей, задач, функций всей системы управления организацией; • выявление движения информации от момента возникно- вения и до ее использования на различных уровнях управления, представленной для анализа в виде схем информационных по- токов; • совершенствование системы документооборота; • наличие и использование системы классификации и ко- дирования; • владение методологией создания концептуальных ин- формационно-логических моделей, отражающих взаимосвязь информации; • создание массивов информации на машинных носителях, что требует наличия современного технического обеспечения. Организационное обеспечение — совокупность методов и средств, регламентирующих взаимодействие работников с техническими средствами и между собой в процессе разра- ботки и эксплуатации информационной системы. Организационное обеспечение реализует следующие фун- кции: ей, г щих техг мич< туре на п беля сисъ ния закс тане ^ции ^орга ^мож ван! perj СИС1 отне ваш мац: лен! граъ мно: 16
• анализ существующей системы управления организаци- ей, где будет использоваться ИС, и выявление задач, подлежа- щих автоматизации; • подготовка задач к решению на компьютере, включая техническое задание на проектирование ИС и технико-эконо- мическое обоснование ее эффективности; • разработка управленческих решений по составу и струк- туре организации, методологии решения задач, направленных на повышение эффективности системы управления. Правовое обеспечение — совокупность правовых норм, опре- деляющих создание, юридический статус и функционирование систем, регламентирующих порядок получения, преобразова- ния и использования информации. Главной целью правового обеспечения является укрепление законности. В состав правового обеспечения входят законы, указы, пос- тановления государственных органов власти, приказы, инструк- ции и другие нормативные документы министерств, ведомств, организаций, местных органов власти. В правовом обеспечении можно выделить общую часть, регулирующую функциониро- вание любой информационной системы, и локальную часть, регулирующую функционирование конкретной системы. Правовое обеспечение этапов разработки информационной системы включает нормативные акты, связанные с договорными отношениями разработчика и заказчика и правовым регулиро- ванием отклонений от договора. Правовое обеспечение этапов функционирования инфор- мационной системы включает: • статус информационной системы; • права, обязанности и ответственность персонала; • правовые положения отдельных видов процесса управ- ления; • порядок создания и использования информации и др. В условиях быстрого развития средств технического, про- граммного и других видов обеспечения информационных систем множатся варианты возможных^ергений к-обж ;и формиро-
вания технологической среды информационных систем. При этом имеются в виду не проектные работы по созданию систем таю и ее элементов, а те решения, которые принимает менеджер в поч' качестве представителя заказчика. С позиций информационного и ск менеджмента в отношении видов обеспечения информационных систем необходимо выяснить следующие важные вопросы: цио • нужно ли всегда стремиться использовать только новей- уже шие средства информатизации и при этом рисковать из-за их пра незавершенности; наи • какую степень децентрализации информационных сис- пре тем необходимо выбрать; в те • следует ли доверять принятым и принимаемым междуна- тлел родным нормам (в том числе тем, которые только еще начинают ние вводиться) или предпочесть нормы (нормативы) одного опреде- сол: ленного изготовителя. МЫ! 1.2.1.1. Выбор технического обеспечения ми При выборе технических средств в общем случае руководс- так твуются следующими основными факторами: ^се • технические средства должны быть способными подде- сРе' рживать функции управления, важные относительно выполне- в ка ния решаемых информационной системой задач; сил • средства общения человека с компьютером должны со- лиз ответствовать современным эргономическим требованиям; СТО] • скоростные и другие характеристики процессоров долж- тех; ны быть достаточны, чтобы гарантировать своевременный ответ на запрос. Кроме того, они должны быть готовы к будущим уве- личениям нагрузки; • средства ввода-вывода информации компьютерные ме- ханизмы должны разрешать осуществлять операции ввода и сис вывода устройствами, отличными от клавиатуры. Пользователи же1 лучше относятся к системам, управляемым голосом и с сенсор- ными экранами; не 1 • телекоммуникационные средства должны обеспечивать обе связь пользователей с информацией отделениями, находящи- мис мися на удалении; сам 18
• в состав технических средств должны быть включены такие системы, необходимые для аналитика информации, как почтовые системы, факсимильное оснащение, голосовая почта и системы видеоконференций. Выбор средств информатизации для развития информа- ционных систем из новых предложений поставщиков или из уже присутствующих на рынке изделий осуществляется, как правило, по тому стратегическому критерию, значение которого наиболее полно отражает роль информационной системы для предприятия. Например, предприятие может стремиться иметь в течение рассматриваемого стратегического периода единый технологический парк, с тем чтобы использовать как внутрен- ние (надзор, обучение), так и внешние (условия при покупке, солидное сопровождение) его преимущества. Для выбора технического обеспечения информационной систе- мы необходимы тщательное изучение рынка, беседы с поставщика- ми, скрупулезное собирание опыта как собственного предприятия, так и других пользователей, что составляет сущность маркетинга. Все это нужно превратить в практические решения по выбору средств информатизации. С ледует также регулярно анализировать, в какой степени те или иные услуги должны обеспечиваться своими силами, а в какой — тем или иным внешним исполнителем. Ана- лиз показателей хозяйственной деятельности (например, анализ стоимости ремонта в единицу времени) может потребовать замены технических или программных средств. 1.2.1.2. Выбор программного обеспечения информационной системы При выборе программного обеспечения информационной системы необходимо руководствоваться следующими сообра- жениями. Многие компании используют следующий, в принципе впол- не возможный, вариант выбора или разработки программного обеспечения. Они утверждают: “Мы имеем в штате програм- миста, и он может запрограммировать все от самого начала до самого конца на базовом языке C++ или Delphi”. 19
Конечно, такой подход имеет право на существование, поскольку найти сравнительно дешевого программиста еще не составляет труда, но, по мнению специалистов, он представля- ется бесперспективным, хотя бы по двум причинам. Во-первых, на стандартное программное обеспечение, су- ществующее на рынке, затрачены многие человеко-годы, причем не только на написание самих программ, но и на их отладку. Во-вторых, программист может в любой момент уволиться и унести с собой все “know-how”, и систему в подобных случаях за- частую приходится переписывать практически “с нуля”, в то время как при лицензионном программном обеспечении такие ситуации могут быть исключены. Более того, как показывает практика, ос- новные недочеты “самопальных” систем выясняются порой уже на этапах их эксплуатации и ведут к разрушительным последствиям, поскольку исправление ошибок требует больших затрат времени и денег. А самое печальное — необходимо останавливать систему на неопределенный срок, что влечет за собой фактическое заторма- живание бизнеса в соответствующих направлениях. Можно сформировать ряд критериев, которыми следует руководствоваться при подборе системы программного обеспе- чения: • Система должна быть именно системой, т. е изменение в одной ее части (скажем, изменения запасов на складе) должны автоматически изменить показатели в других ее раздела (ска - жем, в бухгалтерских проводках). Это свойство системы назы- вается называть интегрируемостью. • Процедуры в автоматизированных системах должны быть действительно автоматизированы. Дело в том, что не всегда после внедрения системы количество процедур уменьшается, просто раньше они выполнялись, к примеру, на бумаге, а сейчас делается все то же самое, но на компьютере. • Система должна давать руководителю возможность по- лучать оперативную информацию для принятия решений. • Система должна быть легка в обучении и использовании (дружественна), чтобы рядовой сотрудник мог на^’читься выполнять свои обязанности при ее помощи за максимально короткое время. щи: кум сво; ког; ДОЭ ват] дел» дол: мае обес лен СТО] ин4 про бов< мац уст] тре< пог ДОЛ: низ фу* нои объ поя НИЯ упр моя 20
• В системе должна быть заложена возможность без помо- щи программиста редактировать все необходимые отчеты и до- кументы, менять их форму и создавать собственные форматы. • В системе должны быть заложены процедуры контроля, сводящие ошибки к минимуму. • Система должна давать возможность отследить, кто и когда внес изменения в том или ином файле и какая запись была до этих изменений. • В системах среднего уровня и выше должны присутство- вать надежные программы защиты данных и функции распре- деления прав доступа. 1.2.1.3. Выбор (разработка) информационного обеспечения Информационное обеспечение информационной системы должно быть рационально (эффективно), т. е. требовать миниму- ма затрат на сбор, хранение и использование данных, и должно обеспечивать комплексный анализ любого экономического яв- ления или процесса, происходящего на предприятии. С одной стороны, для комплексного анализа требуется разносторонняя информация. С другой стороны, излишек информации удлиняет процесс ее поиска, сбора и принятия решения. Из данного тре- бования вытекает необходимость изучения полезности инфор- мации и совершенствования информационных потоков путем устранения лишних данных и введения необходимых. Основным требованием к качеству информации является сопоставимость по предмету и объектам исследования периоду времени и мето- дологии исчисления показателей. Место информационного обеспечения определяется орга- низационной моделью предприятия. Изначально существовали функциональные подсистемы управления и подсистема линей- ного руководства- Далее с ростом управленческого аппарата, объема управленческих работ, информации и документооборота появляются так называемые подсистемы обеспечения управле- ния, призванные организовывать и контролировать деятельность управляющей системы. Функции информационного обеспечения на предприятии можно разделить на первичные и вторичные. 21
К первичным функциям относятся: • организация массивов информации; • организация информационных потоков; • организация процессов и средств сбора, хранения, обра- ботки и транспортировки информации. При организации массивов информации используются унифицированные системы документации и классификаторы, т. е. информационные технологии обеспечения управленческой деятельности. Организация информационных потоков предполагает: опре- деление источников и потребителей информации в соответствии со специальными функциями и задачами управления; определе- ние состава информации, периодичности ее циркуляции и форм представления; разработку документооборота; использование комплекса технических средств для организации потоков ин- формации; установление порядка составления, оформления, регистрации, согласования и утверждения документов. Органи- зация процессов сбора, хранения, обработки и транспортировки информации предполагает: разработку обеспечения информа- ционных процессов необходимыми техническими средствами, распределение между подразделениями и отдельными испол- нителями задач по подготовке и передаче информации от места ее возникновения до потребления. Вторичной функцией информационного обеспечения являет- ся обеспечение управленческого персонала научно-технической информацией о новейших отечественных и зарубежных дости- жениях в науке, технике, экономике, технологии производства, о развитии науки, техники и технологии управления, передовом отечественном и зарубежном опыте в области управления. Голо- вным подразделением по этому блоку выступает отдел научно- технической информации, патентно-лицензионный отдел и т. д. При отсутствии специальных подразделений по инфор- мационному обеспечению системы управления координацию и методическое руководство этими работами целесообразно возложить на подразделение, ответственное за организацию управления предприятием. мып ниек оказ и со: НИЯ] рост разв пре^ меж разр леш лять их э. как j испс прег тны: ЛИС'! необ слу> на у какг пре; из-з мацз водя ряде пре; созд дов 22
бра- оры, ской •пре- твии ание 1 ИН- >НИЯ, ани- овки рма- ами; пол- :еста скои ?тва, OBOM ‘оло- чно- т. д. цию азно цию 1.2.2. Развитие информационной системы и обеспечение ее обслуживания Потребность в постоянном развитии информационной систе- мы приводит к необходимости роста объема обслуживания. С тече- нием времени развитие и обслуживание информационных систем оказались взаимно обусловленными и связанными между собой и со многими острыми проблемами. Растущий объем обслужива- ния информационной системы отягощает ее развитие, приводя к росту объема невыполненных или неосуществленных планов на развитие. Поэтому следует искать выход в установлении степени предпочтения в паре “развитие/ обслуживание” или соотношения между приобретением готовых программных средств, заказом разработки программных средств посторонней фирме и изготов- лением программных средств собственными силами. Практика показала, что самостоятельно следует изготов- лять только конкурентоспособные информационные системы и их элементы, которые могут сами по себе представлять интерес как изделия. Во всех остальных случаях следует по возможности использовать стандартные средства. Это дает дополнительное преимущество еще и потому, что обслуживание таких стандар- тных средств информатизации может быть передано специа- листам на сторону. Уровень производительности и качество работы, а также необходимость, направление и темп развития системы и ее об- служивание зависят от глобальных интересов фирмы. Например, на уровне среднего менеджера (руководителя подразделения) какие-либо изменения могут встречать враждебный прием из-за предпочтения им каких-то других, понятных ему технологий и из-за необходимости изучать новые приемы обработки инфор- мации. В то же время известно, что новые средства часто при- водят к существенному укреплению технологической базы, а в ряде случаев — даже к изменению направления деятельности предприятия. Стратегические решения могут различаться в подходах к созданию информационной системы. Например, один из подхо- дов — создание новой системы. Другой подход — модернизация 23
существующей системы; третий подход — возложить созда- ние системы на информационных менеджеров и на конечных эти пользователей, предоставив им возможность самостоятельно тве выбирать средства и методы для удовлетворения информаци- пер онных потребностей. В случае принятия стратегических реше- сие ний по существенным изменениям в информационной системе (переход на другую платформу или более сильную ориентацию чис на стандартные программные средства) эти решения должны сис преобразоваться на уровне оперативного информационного стр менеджмента в конкретные задачи с использованием необхо- вае димых средств. впо К этому же кругу вопросов относится регулярное иссле- дование производительности и качества в задачах развития и paw обслуживания информационных систем. Основы процесса об- ван служивания информационной системы закладываются в ходе ее упр проектирования. Если система разрабатывается собственными таб. силами предприятия, то в штатной структуре должны быть пре- цис} дусмотрены “штатные клетки” для специалистов, в обязанности которых должны входить контроль и поддержание информаци- етс онной системы в состоянии работоспособности. реа Уже сформировалось некоторое общее профессиональное Зде представление о возможных подходах к организации обслу- цик живания информационных систем и существующих в этом нас деле “подводных камнях“. Очень часто роль эксплуатационной службы в автоматизированных информационных системах не- инс} дооценивается. Информационная система подобна живому ор- мои ганизму: она рождается, растет, вступает в этап зрелости и рано так или поздно заканчивает свое существование. Можно выделить пол шесть этапов ее развития: ава • базовая инсталляция оборудования и программного обес- пов печения; тел • “тонкая* настройка под задачи эксплуатации; пла • “пилотная1’ эксплуатация; ава' • перенос задач эксплуатации на информационную систему: • эксплуатация информационной системы; мац • завершение эксплуатации, демонтаж системы. обе; 24
юз да- Конкретные формы обслуживания должны соответствовать ^чных этим фазам жизненного цикла. Очевидно, что наиболее ответ с- ельно твенным этапом жизни информационной системы является маци- период ее эксплуатации. Именно в это время потребность такой реше- системы в техническом обслуживании наиболее высока. стеме Вначале производится подключение оборудования, в том гацию числе интеграция его в уже существующую информационную лжны систему, инсталляция программного обеспечения, базовая на- много стройка и проверка работоспособности компонентов устанавли- юбхо- ваемой системы. Работы по техническому обслуживанию здесь вполне очевидны. тесле- Второй этап (“тонкая14 настройка). После его окончания па- ртия и раметры системы должны быть в первом приближении адаптиро- са об- ваны к исполнению планируемых задач. Например, для системы оде ее управления базами данных (СУБД) это может быть определение [ными табличного пространства под базы данных и настройка под спе- ь пре- цифику хранимой и обрабатываемой информации и т. п :ности На третьем этапе “пилотной" эксплуатации главным явля- маци- ется тестирование на задачах, максимально приближенных к реальным, — таким образом имитируется эксплуатация системы. льное Здесь выявляются и устраняются недостатки в ее конфигура- бслу- ции, проверяется надежность, производится окончательная этом настройка. онной Четвертый этап — перенос практических задач на новую ах не- информационную систему и ввод ее в эксплуатацию. Этот этап *У ор- можно отнести к самым критичным моментам в жизни системы, 4 рано так как здесь впервые на нее ложится ответственность за ис- елить полнение реального набора задач. Вероятность возникновения аварийных ситуаций исключить нельзя, а они могут, например, * обес- повлечь за собой потерю используемых данных. Поэтому обяза- тельным условием выполнения этого этапа является наличие плана возврата в исходное состояние в случае возникновения аварийной ситуации. ггему; Наконец, пятый, важнейший этап — эксплуатация инфор- мационной системы. Наличие квалифицированного технического обслуживания на этапе эксплуатации информационной системы 25
является необходимым условием для исполнения поставленных перед ней задач, причем ошибки обслуживающего персонала могут приводить к явным или скрытым финансовым потерям, сопоставимым со стоимостью самой информационной системы. Штатное расписание, структура подразделения, обслужива- ющего информационную систему, и область его компетенции должны соответствовать задачам, решаемым с помощью инфор- мационной системы. Нечеткая постановка этих задач содержит в себе потенциальную проблему — она может стать заметным тормозом в критических ситуациях. При организации эксплуа- тации информационной системы необходимо обеспечить строгое соблюдение регламентов исполнения как рутинных операций, так и аварийных действий. Например, принятие некоторых организационных мер (например, внедрение практики ведения системного журнала администратором сервера) и определение правил работы обслуживающего персонала способствуют реаль- ному сокращению количества сбоев информационной системы. Все перебои в работе информационной системы можно разделить на те, которые возникают из-за дефектов оборудо- вания, из-за ошибок обслуживающего персонала (оператора), и те, которые списываются на “иные причины”. Среди ошибок оператора очень частое явление — несогласованные или несанк- ционированные действия технического персонала по отношению к оборудованию и программному обеспечению, имеющие порой весьма тяжелые последствия. 1.3. Связь информационного менеджмента со смежными дисциплинами При осуществлении менеджмента в сфере обработки ин- формации нужно опираться на широкий спектр смежных дис- циплин , перечень которых представлен на рис. 1.3 Такие многочисленные связи со смежными дисциплинами убедительно свидетельствуют о том, насколько дисциплина “Информационный менеджмент” переплетается практичес- ки со всеми дисциплинами, изучающими в той или иной мере 26
иных тала ?рям, гемы, сива- нции фор- эжит гным глуа- рогое 1ЦИЙ, орых (ения гение еаль- ^емы. ожно ЭУДО- юра), гибок 2ИНК- ению юрой вопросы, связанные с компьютеризацией, информатизацией, информационными технологиями и правом. Сюда входят и цикл специальных дисциплин подготовки менеджеров (на рис. 1.3 эти дисциплины приведены справа), и дисциплины базовой подго- товки специалистов по информатике и информационным техно- логиям. Таким образом, информационному менеджеру нужны достаточно обширные базовые представления о разнообразных сферах, алгоритмах и средствах, особенно если учесть, что во всех этих сферах происходят существенные изменения. и ин- дие- нами лина 1чес- мере Системы искусственного интеллекта Организация ЭВМ Сети ЭВМ Электронные коммуникации Операционные системы Программиропя ние Базы данных и знаний Открытые системы Надежность систем Проектирование систем Теория информационных систем Экспертные системы Интегрированные системы Системный анализ Теория решений Теория организаций Производственный менеджмент Инновационный менеджмент Макроэкономика Микроэкономика Экономика информатики Финансовый менеджмент Организационное поведение Управление персоналом Информационное право Управление проектами Менеджмент изменений О и н Ф м 0 Е Р Н М Е А Д Ц Ж И М 0 Е Н Н Н Т Ы и и о Рис. 1.3. Связь информационного менеджмента со смежными дисциплинами 27
2. Составные части информационного менеджмента Составными частями информационного менеджмента яв- ляются: • Технология управления деятельностью (предприятия) на базе обеспечения документами, информацией и знанием в соответствующих деятельности формах — обеспечение доку- ментами, обеспечение информацией, обеспечение знаниями. • Обеспечение информационного взаимодействия человека и информационной среды. 2.1. Технология управления деятельностью (предприятия) на базе обеспечения документами, информацией и знанием До недавнего времени информация как таковая не считалась важным активом предприятий и фирм. Управление рассматри- валось как индивидуальное искусство руководителей, а не как глобальный механизм координации деятельности участников экономических процессов. Сегодня лишь немногие руководители могут позволить себе пренебрежительно относиться к методам работы с информацией. В условиях, когда растет значение ин- формационной составляющей окружающей среды предприятий, полноценное их существование становится невозможным без соответствующих изменений во всех значимых сторонах их жизнедеятельности с точки зрения управляемости и эффек- тивности. На рисунке 2.1. показана общая схема информационного обслуживания предприятия, обеспечение которого является 28
яв риятия) анием в доку- сматри- а не как стников одители ние ин- ным без энах их эффек- вляется основной задачей информационного менеджмента, элементы информационного обслуживания предприятия, которое обеспе- чивается в процессе информационного менеджмента. лица Рис. 2А. Общая схема информационного обслуживания предприятия При создании информационных систем — основного эле- мента информационного менеджмента, должны быть учтены информационные потребности разных уровней управления. Например, можно выделить четыре уровня управления: 1. Высшее звено управления (стратегический уровень). 2. Автоматизированные системы управления (АСУ) и систе- мы поддержки принятия решений (управленческий уровень). 3. Профессиональный и офисный уровень (уровень зна- ний). 4. Обработка транзакций — процедур (операционный уро- вень). Системы одного уровня, в свою очередь, могут быть ориен- тированы на обеспечение информационных потребностей разных функциональных областей (производство, финансы, маркетинг, управление персоналом). 29
В таблице 2.1 обобщены характеристики информационных систем, используемых на разных уровнях управления. Таблица 2.1 Характеристики информационных систем, используемых на различных уровнях управления Уровни управления Типы систем Информаци- онные входы Обработка Информа- ционные выходы Пользо- ватели Страте- гический уровень Системы поддержки решений руководства Агрегирован- ные данные, внешние и внутренние Графика, имитация, диалог Прогнозы, ответы на вопросы Высший уровень управле- ния Управ- ленческий уровень Системы поддержки принятия решений Данные в небольшом объеме, ана- литические модели Диалог, имитация, анализ Специаль- ные отче- ты, анализ решений, ответы на вопросы Руководи- тели сред- него звена, професси- оналы Автомати- зированные системы управления Обобщенные данные о транзакциях Повторяю- щиеся отче- ты, простые модели, анализ Обобщения и выборки Уровень знаний Професси- ональные системы Проектные специфи- кации, базы знаний Модели- рование, имитация Модели, графики Професси- оналы Офисные системы Документы, схемы Управление документа- ми, разра- ботка схем, коммуника- ции Доку- менты, графики, электрон- ная почта Техни- ческий персонал Опера- ционный уровень Системы обработки транзакций Транзакции, события Сортировка, составление списков, объединение Подробные отчеты, списки, обобщения Опера- пионный персонал Системы обработки транзакций являются базовыми для обслуживания текущих операций предприятия. Они представля- ют собой компьютеризированные системы, которые выполняют и регистрируют рутинные регулярные транзакции. Таковыми ЯВЛ5 ной и ре толь набс фор: знаь прог го п ПОД{ нию опы: rpacj позв реал теро ЭТИ ( эфф потр слуэ- фор отче фун] обой обра регу зара и об: । жив; анал очен и их 30
)ННЫХ ща 2.1 х льзо- тели ГСП1ИЙ овень давле- ния :оводи- я сред- ) звена, фесси- налы фесси- налы 5ХНИ- ?ский эсонал пера- онный эсонал ЛИ ДЛЯ гавля- лняют эвыми являются резервирование мест в гостинице, выплата заработ- ной платы, отгрузка продукции. На операционном уровне цели и ресурсы четко установлены и структурированы. Необходимо только определить, соответствует ли транзакция определенному набору критериев, чтобы система ее выполнила. Профессиональные и офисные системы обслуживают ин- формационные потребности специалистов в различных областях знаний и потребности обслуживающего персонала, который производит обработку данных. Экспертные системы, системы автоматизированно- го проектирования (САПР) для научных и конструкторских подразделений предприятий обеспечивают содействие созда- нию новых знаний и способствуют интеграции этих знаний и опыта практической деятельности предприятия. Современные графические системы создают зрительные образы объектов и позволяют пользователю ощущать, что он как бы находится в реальной ситуации. Такое погружение в мир, созданный компью- тером, позволяет ему имитировать влияние своих действий на эти объекты. Офисные системы используются для повышения эффективности работы с данными, они обеспечивают связи с потребителями, поставщиками и внешними организациями. Автоматизированные системы управления (АСУ) об- служивают несколько уровней управления, обеспечивая ин- формацией о текущей деятельности предприятия, а также отчетами о его деятельности в прошлом. АСУ поддерживают функции планирования, контроля и принятия решений В АСУ обобщаются данные, поступающие из транзакционных систем, обрабатываются и сводятся в отчеты, которые готовятся на регулярной основе. АСУ обычно отвечают на фиксированные, заранее известные вопросы. Эти системы не являются гибкими и обладают ограниченными аналитическими возможностями. Системы поддержки принятия решений (СППР) обслу- живают управленческий уровень в организации. Они помогают аналитически обосновывать варианты решений, которые не очень хорошо структурированы, носят ситуационный характер и их нелегко предусмотреть заранее. Такие системы должны 31
быть готовы реагировать на меняющиеся условия окружающей среды. Хотя в них используется информация из офисных, про- фессиональных и транзакционных систем и АСУ, они получают информацию и из внешних источников (текущие цены акций, цены на продукты у конкурентов и т. п.). СППР обладают большими аналитическими возможностями по сравнению с системами других уровней. В их основе лежат математические модели анализа данных. СППР интерактивны, и лицо, принимающее решение, может менять условия задач и включать в них новые данные, используя дружественный поль- зовательский интерфейс. Системы поддержки решений высшего руководства об- служивают стратегический уровень организации. Они пред- назначены для работы с неструктурированными решениями и предполагают использование данных о внешней среде (новые налоговые законы, информацию о конкурентах), в них поступают сведения из различных информационных систем предприятия. Системы поддержки решений высшего руководства обладают развитыми телекоммуникациями и графическими средства ми. Такие системы предназначены для подготовки концептуальных решений типа: • Каким должен быть бизнес? • Как получить средства для инвестиций? • Сколько сотрудников и какой квалификации могут пона- добиться в будущем? Существует заветная мечта директора любого предпри- ятия, чтобы все делал сам компьютер. До реализации этой мечты остается сделать два шага: 1 -й шаг — соединить возможности финансовых и управлен- ческих систем с интернет-решениями, связав воедино внутрен- нюю сеть предприятия с “мировой паутиной”. 2-й шаг — повысить вероятность правильности принятия компьютером (системой) решений до уровня приемлемых рисков по принимаемому решению. Первый шаг мешают сделать сотни преград в виде разно- родных стандартов и языков разработки. KOMI инф< камх инте упрс юще Доку ЦИОЕ гани как ] имес обее ПрИ5 HO-O доку ВРс кото мать ТИЛО друг уело тель гоуг упра бой, пэдр орга ЯТИ5 назв проц 32
нощей к, про- учают акций, )СТЯМИ лежат гивны, адач и I ПОЛЬ- tea об- пред- 4ЯМИ И новые упают иятия. адают твами. льных ? пона- вдпри- мечты авлен- утрен- 1НЯТИЯ >исков разно- Со вторым шагом все намного сложнее, так как для принятий компьютерного решения необходимо иметь интеллектуальные информационные системы с соответствующими характеристи- ками. А это до сих пор сделать не удается, и сроков появления интеллектуальных систем, даже для решения не очень сложных управленческих задач, пока никто не может определить. 2.1.1. Обеспечение документами Весь процесс управления пронизан информацией, явля- ющейся основой принятий решений, и построен на работе с документами, в которых она фиксируется. Поэтому документа- ционное обеспечение управления (делопроизводство) любой ор- ганизации, учреждения, предприятия рассматривается сегодня как важнейшая обслуживающая функция управления, которая имеет свои специфические задачи. Служба документационного обеспечения управления (служба ДОУ) на современном пред- приятии должна являться самостоятельным, организацион- но-обособленным структурным подразделением — службой документационного обеспечения управления (службой ДОУ). В России действует специальный институт ВНИИДАД, в стенах которого разработано более 2200 документов (правовые акты, нор- мативные документы, стандарты, методические рекомендации, типовые инструкции по делопроизводству, словари, справочники и другие материалы), использование которых является непременным условием для создания информационного менеджмента примени- тельно к решению задач обеспечения предприятия документами. Уже в 1988 г. в Государственной системе документационно- го управления закреплено, что “документационное обеспечение управления в организации осуществляется специальной служ- бой, действующей на правах самостоятельного структурного подразделения, подчиненного непосредственно руководителю организации”. В деле обеспечения документами деятельности предпри- ятия нет мелочей. Например, важным является и то, чтобы название документа было несложным и легко запоминалось и произносилось. 33
Для эффективного решения задачи обеспечения процесса наск управления предприятием документами в ходе информационно- каче го менеджмента необходимо решить следующие основные зада- чи: сбор и переработка информации, необходимой для принятия кате обоснованных управленческих решений. Перед управляющим органом обычно ставятся задачи получения информации, ее етвь переработки, а также генерирования и передачи новой произ- долг водной информации в виде управляющих воздействий. Компе- этих тентность руководителя зависит не столько от прошлого опыта, инф< сколько от владения достаточным количеством информации о ческ быстро меняющейся ситуации и умения ею воспользоваться. Это необходимо знать и понимать действующим и будущим упрг руководителям. поди Информация состоит из всех объективных фактов и всех твие предположений, которые влияют на восприятие человеком, при- нов. < нимающим решение, сущности и степени неопределенностей, свод связанных с данной проблемой или возможностью. Традиционно сред информацию подразделяют на: I Факт — событие или условие, которое наблюдается напря- него мую (простейший вид информации). такг Оценки отличаются от фактов тем, что базируются на умо- сост. заключениях и (или) статистических приемах, наблюдении и подсчете. Оценки связаны с прошлым и настоящим, тогда как прогнозы — с будущим. На практике оценки базируются на экс- траполяции тенденций, на аналогии, на здравом смысле и др. юто Прогнозы — оценки, связанные с будущим. Обобщенные связи — основа для оценок и прогнозов. На- разу пример, они устанавливаются между объемом продаж и такими опег факторами, как национальный доход, доверие потребителя, план а та расходов корпоративного капитала и т. д. зада Слух отличается от факта только тем, что источник ин- формации менее надежен. Но слух может быть единственным даН1 доступным источником отдельных видов информации, например тичс планов конкурентов. nepi В ходе информационного менеджмента эта классификация информации должна непременно учитываться, так как от того, при] 34
десса энно- зада- [ЯТИЯ лцим :и, ее эоиз- >мпе- 1ыта, дии о .ться. гщим всех при- стей, юнно 1пря- умо- [ИИ и а как l экс- др. .Ка- кими алан с ин- 1НЫМ имер ация того, насколько информация полна, точна и своевременна, зависит качество принимаемых решений. Управленческую информацию можно разделить на три категории: Информация по стратегическому планированию позволя- ет высшему управлению нести ответственность за установление долгосрочных целей, накопление ресурсов для достижения этих целей и формулирование политики их достижения. Такая информация может включать перспективные опенки, экономи- ческие прогнозы и др. Контрольная управленческая информация используется управляющими среднего уровня для координации различных подконтрольных им действий, приведения ресурсов в соответс- твие с задачами и разработкой согласованных оперативных пла- нов. Эта информация может включать в себя производственные сводки и действия, предпринимаемые другими управляющими среднего уровня. Оперативная информация помогает управляющему ниж- него уровня выполнять обычные и повседневные операции, такие, как расчет заработной платы и финансовые расчеты, составление табелей и управление запасами. 2.1.2. Источники информации Все источники информации на предприятии подразделя- ются на плановые, учетные и внеучетные. К плановым источникам относятся все типы планов, которые разрабатываются на предприятии (перспективные, текущие, оперативные, хозрасчетные задания, технологические карты), а также нормативные материалы, сметы, ценники, проектные задания и др. Источники информации учетного характера — это все данные, которые содержат документы бухгалтерского, статис- тического и оперативного учета, а также все виды отчетности, первичная учетная документация. Ведущая роль в информационном обеспечении анализа принадлежит бухгалтерскому учету и отчетности, где наибо- 35
лее полно отражаются хозяйственные явления, процессы, их ( результаты. Своевременный и полный анализ данных, которые и т. имеются в учетных документах (первичных и сводных) и от- ( четности, обеспечивает принятие необходимых мер, направ- , ленных на улучшение выполнения планов, достижение лучших воде1 результатов хозяйствования. Данные статистического учета, в фия которых содержится количественная характеристика массовых явлений и процессов, используются для углубленного изучения член и осмысления взаимосвязей, выявления экономических законо- приг мерностей. Оперативный учет и отчетность способствуют более one- внуп ративному по сравнению со статистикой или бухгалтерским i учетом обеспечению анализа необходимыми данными (например, тиче о производстве и отгрузке продукции, о состоянии производс- пл а* твенных запасов) и тем самым создают условия для повышения пре/i эффективности аналитических исследований. С расширением компьютерной техники появились и новые ких < машинные источники информации. К ним относятся данные, ко- ренн торые содержатся в оперативной памяти компьютера, на гибких доку дисках, а также выдаются в виде разнообразных машинограмм. К внеучетным источникам информации относятся докумен- лите ты, которые регулируют хозяйственную деятельность, а также полк данные, которые не относятся к перечисленным ранее» В их число входят следующие документы: мож • официальные документы, которыми обязан пользоваться субъект хозяйствования в своей деятельности: законы государс- тва, указы президента, постановления правительства и местных органов власти, приказы вышестоящих органов управления, акты ревизий и проверок, приказы и распоряжения руководи- мен€ телей предприятия; ки- • хозяйственно-тэавовые лою/ментьг логовопы согташе- (ин4 ния, решения арбитража и судебных органов, рекламации; инф • решения общих собраний коллектива, совета трудового П°ДГ коллектива предприятия в целом или отдельных ее подотделов; вх°£ • материалы изучения передового опыта, полученные из ванг разных источников; иссл созд 36
сы, их >торые ) и от- аправ- учших чета, в ховых гчения аконо- ?е опе- ;рским ример, зводс- шения новые ые, ко- гибких "рамм. сумен- также : число ваться ударс- хтных пения, эводи- лаше- ги; дового делов; <ые из • информация (Интернет, радио, телевидение, газеты И т. д.); • техническая и технологическая документация; • материалы специальных обследований состояния произ- водства на отдельных рабочих местах (хронометраж, фотогра- фия и т. п.); • устная информация, которая получена во время встреч с членами своего коллектива или представителями других пред- приятий. По отношению к процессу управления информация бывает внутренней и внешней. Система внутренней информации — это данные статис- тического, бухгалтерского, оперативного учета и отчетности, плановые данные, нормативные данные, разработанные на предприятии, и т. д. Система внешней информации — это данные статистичес- ких сборников, периодических и специальных изданий, конфе- ренций, деловых встреч, официальные, хозяйственно-правовые документы и т. д. По отношению к предмету исследования информация де- лится на основную и вспомогательную, необходимую для более полной характеристики изучаемой предметной области. Среди наиболее важных видов источников информации можно выделить: • источники внутри самой компании, • научные публикации; • справочники и другие общие публикации. В большинстве компаний львиную долю используемой менеджерами информации обеспечивают внутренние источни- ки. В этих компаниях специализированная группа работников (информационные менеджеры) занята целиком или частично информационным обеспечением. В эту группу входят такие подразделения (или отдельные менеджеры), в задачи которых входит информационное обеспечение маркетинговых исследо- ваний, анализа продаж, планирования, экономического анализа, исследования операций и системного анализа. С этой целью создаются рабочие группы. Кроме того, практикуются регуляр-
ные отчеты линейных руководителей и служащих, такие, как доклады продавцов по телефону, разработанные для получения текущей рыночной информации. К качеству информации предъявляются определенные требования, прежде всего требование о том, чтобы она удовлет- воряла пользователей информации, иначе говоря, была полезной. Полезность информации оценивается внутренними и внешними пользователями, которые предъявляют к ее качеству следующие требования: уместност ь и своевременность информации—способность повлиять на принятие решения пользователем и удовлетворить его интересы в нужный момент или к определенному сроку; достоверность информации — гарантия объективности и правдивости представляемых данных, что предполагает необ- ходимость указания методов сбора, учета и обработки информа- ции, чтобы пользователи могли правильно понимать назначение представляемой информации и проверить ее; сопоставимость информации — возможность сравнения показателей с данными по другим фирмам, регионам, госу- дарствам, что требует применения определенных стандартов в предоставлении информации; доступность и понятность информации—представление информации в ясной для понимания форме, чтобы пользован ель мог применять ее для принятия решения, не боясь допустить ошибку. Для ясного понимания информации необходимо, чтобы формы ее представления отражали существо вопросов, были четкими, без излишней детализации, правильно переведенные на иностранные языки; конфиденциальность информации — строгий учет и конт- роль за распространением информации среди внешних пользо- вателей, а также за ее содержанием и характером. , Следует иметь в виду, что необходимая для принятия хоро- шего решения информация недоступна или стоит слишком дорого В стоимость информации следует включить время руководителей и подчиненных, затраченное на ее сбор, а также фактические издержки, например связанные с анализом рынка, оплатой ма- шинь и т. г выго; важн в орг шени такн шень систе ятел] делж инфе выда буду быти логиг мент know МОЖ€ недж для в впов: зацш взаиг разр< упра; « точе! 1 онида обесп! тые ci 38
акие, как элучения деленные удовлет- лолезной. нешними едующие эсобность етворить ’року; 1ВНОСТИ и ает необ- [нформа- значение эавнения 1м, госу- гдартов в тавление зователь □пустить до, чтобы ов, были веденные т и конт- < пользо- "ИЯ хоро- >м дорого, одителей гические :атой ма- шинного времени, использованием услуг внешних консультантов и т. п. Поэтому руководитель должен решить, существенна ли выгода от дополнительной информации, насколько само по себе важно решение, связано ли оно со значительной долей ресурсов в организации или с незначительной денежной суммой. В некоторых случаях на крупных предприятиях для ре- шения задач информационного менеджмента могуч1 создаваться так называемые информационно-управляющие системы, сокра- щенно ИУС. ИУС могут являться элементами информационной системы управления предприятия, но могут иметь и самосто- ятельное структурное оформление. В этом случае ИУС опре- деляется как формальная система для выдачи администрации информации, необходимой для принятия решений. ИУС должна выдавать информацию о прошлом, настоящем и предполагаемом будущем. Она должна отслеживать все относящиеся к делу со- бытия внутри и вне предприятия. 2.1.3. Обеспечение знаниями1 Популярные в мире и в России информационными техно- логии (ИТ) и создаваемый на их базе информационный менедж- мент непосредственно связаны с менее изученным направлением knowledge management (КМ). Русский перевод этого направления может звучать как управление знаниями ^предприятия] или ме- неджмент знаниями. КМ — это относительно новое направление для всего мира, во всяком случае, цель использования КМ состоит в повышении эффективности работы сотрудников за счет оптими- зации процессов сбора и распространения корпоративных знаний и взаимодействия экспертов. Необходимо ответить на ряд вопросов, разрешение которых может способствовать созданию системы управления знаниями; вот далеко не полный их перечень: • Как обеспечить удобный доступ к информации, сосредо- точенной в огромных архивах предприятия? 1 По мотивам беседы редактора журнала “Открытые системы” Ле- онида Черняка с директором департамента систем документационного обеспечения компании “АйТи” Дмитрием Романовым Журнал “Откры- тые системы” № 10/2002, Москва. 39
• Как находить экспертов в тех или иных областях? • Как стимулировать генерацию и накопление новых идей? • Как обеспечить эффективное распространение знаний и опыта в организации? Кроме того, развитие концепции управления знаниями тес- но связано с исследованиями новых организационных структур наподобие “сетевой организации”, “самообучающейся органи- зации” и т. п. Иногда приходится сталкиваться с мнением, что все, что сегодня называют “управлением знаниями”, на самом деле сделано еще три десятилетия назад в рамках работ по ис- кусственному интеллекту. Не умаляя важности исследований в области искусственного интеллекта, необходимо подчеркнуть важное отличие, вкладываемое в современную трактовку терми- на “knowledge management”. Отличие это связано прежде всего с первичной ролью человека, сотрудника, эксперта, носителя тех знаний, которые и составляют интеллектуальный капитал организации. Не моделирование на компьютере процесса мыш- ления, не повторение функций человеческого мозга, не подмена человека в процессах принятия решения, а наиболее эффектив- ное применение уже имеющихся у организации знаний — вот основное назначение knowledge management. Информация и знания находятся в неразрывной связи. Поэтому с точки зрения процесса управления можно увидеть соответствие между системами управления знаниями и систе- мами электронного документооборота. Информация передается в виде сообщения или документа, причем можно выделить три характерных этапа: подготовка документа, передача документа и получение документа. На стадии подготовки один сотрудник готовит документ, регистрирует его, если это необходимо, и по- мещает в канал передачи. Затем осуществляется физическая передача документа сотруднику. Тот получает документ, ос- мысливает его содержание и принимает решение в соответствии с выполняемым бизнес-процессом. Трем этапам процесса под- готовки и передачи документа от одного сотрудника к другому соответствуют три характерных интервала: время подготовки докуй кумев мацис каком за про запро время И OCMI К тронн до Hyj управ ПОДГО' ления П на пре в! ускор peinei деяте. досту. поиск Быва< раньп ти пор ционн так, ч' 61 ВОДСТ] конку знани лена j НОВЫЙ НИЯ 31 ствуе лекту 40
документа, время передачи документа и время получения до- новых кумента. Еще одним примером элементарного процесса инфор- мационного взаимодействия может быть поиск информации в яаний и каком-либо хранилище. Для этого сотрудник сначала формирует запрос, отправляет его в хранилище и получает результаты [ми тес- запроса. Аналогично предыдущему случаю можно выделить руктур время формирования запроса, время поиска и время получения эргани- и осмысления результатов. :ем, что Как видно даже из такой простой модели, технологии элек- i самом тронного документооборота позволяют сократить практически г по ис- до нуля время передачи документа. В свою очередь, технологии [ований управления знаниями в состоянии значительно сократить время юркнуть подготовки документа, а также время, необходимое для осмыс- терми- ления полученного документа и принятия решения. це всего Побудительным мотивом внедрения управления знаниями эсителя на предприятии могут быть внутренние и внешние мотивы: :апитал внутренние — попытка решения проблем, связанных с а мыш- ускорением поиска информации, необходимой для принятия юдмена решения. Как правило, каждая организация в процессе своей ректив- деятельности накапливает огромные массивы информации. Но i — вот доступ к этим информационным ресурсам часто затруднен, а поиск нужной информации занимает слишком долгое время. 1 связи. Бывает, проще сделать работу заново, чем найти то, что сделано увидеть раньше. Естественно, рано или поздно возникает желание навес- 1 систе- ти порядок, создать удобную систему классификации информа- вдается ционных ресурсов, провести их инвентаризацию да еще с дела гь ить три так, чтобы подобные проблемы не появлялись бы впредь; :умента внешние мотивы — это, как правило, осознанная руко- рудник водством организации потребность в создании дополнительного ю, и по- конкурентного преимущества за счет эффективного управления яческая знаниями сотрудников. Такая потребность может быть обуслов- ент, ос- лена изменениями внешней среды, конкурентного окружения, етствии новыми требованиями заказчиков и т. п. Если система управле- :са под- ния знаниями создается именно с такой целью, это свидетель- фугому ствует о высоком уровне понимания современной роли интел- готовки лектуального капитала организации. 41
колен тивно< Team' проек чение Успех в деятельности одних организаций зависит от скоро сти распространения информации, для других приоритет имею знания и опыт сотрудников. Естественно, существуют организа ции, для которых важно и то, и другое. Соответственно, ускоре ние информационных потоков в организации может обеспечит система электронного документооборота. Квалификацию и опы сотрудников позволит повысить система управления знаниям матер В последние годы наблюдается устойчивая тенденция: для op L ганизаций становятся одинаково существенными оба качеств офиса Если показатели, характеризующие время выполнения тех ил цесс с иных процессов, достаточно просто поддаются объективном позво; измерению, то вопрос об уровне знаний команды сотрудников f екты, < так прост, как может показаться на первый взгляд. Дело в тог сутки что традиционные способы (аттестации, сертификаты, экзамень зовате зачастую неприменимы для оценки тех недавно появившихс МГнов( еще неформализованных, неявных, скрытых знаний сотру; рруПП] ников, которые часто и представляют основную ценность д.г равля. бизнеса организации. ния С] К известным программным продуктам, используя которь можно строить русскоязычную систему управления знаниям gTS р, относятся линейка продуктов и технологий IBM/Lotus, позв( МуЛЬТ ляющих создать полноценную систему управления знаниям семин. Портал знаний предприятия Lotus K-station и один из наибол( уСПГВг технологически продвинутых на сегодняшний день сервере в ^ч< g управления знаниями Lotus Discovery Server образуют вме(р№ИЙ те комплексное решение управления знаниями Knowledj и ПрСГ Discovery System (KDS). KDS обеспечивает сбор и обработв информации из внутренних и внешних источников, формир вание на ее основе так называемой Карты знаний предприятг (К-map) и профиля экспертов. Карта знаний поддерживае например, следующие типы запросов: “все о “документ о “документы, созданные “люди, которые знают о ... “люди, чей профиль содержит“хранилища информации о.. РавЛЯ] Пользователи обращаются к карте с помощью портала K-statk со^ств или напрямую посредством браузера. На данном портале мож T^°F получить представление и применить несколько действующ: Щии пе баз знаний, в том числе: ИТ-си 42
Lotus TeamRoom — дискуссионная база данных нового по- коления, основанная на методологии, обеспечивающей эффек- тивное сотрудничество в ходе совместной работы над проектом. TeamRoom обеспечивает пошаговое руководство по ведению проекта, включающее такие стадии, как начало проекта, назна- чение руководителя проекта, определение целей, требуемых материальных ресурсов и контрольных точек. Lotus QuickPlace — система организации электронного офиса, решение для совместной работы, оптимизирующее про- цесс создания и управления местом для групповой работы. Оно позволяет коллективам выполнять критичные по времени про- екты, обеспечивая их жизненно важной информацией 24 часа в сутки. QuickPlace — это Web-приложение, позволяющее поль- зователям, не обремененным техническими знаниями, создавать мгновенно разделяемое рабочее пространство, на котором члены группы могут безопасно общаться, совместно использовать, уп- равлять и организовывать информацию, документы и расписа- ния, связанные с любым проектом или инициативой. Lotus LearmngSpace — система дистанционного обучения. Эта распределенная платформа предназначена для создания мультимедийного содержимого курсов, проведения лекций и семинаров в оперативном времени и отслеживания результатов успеваемости. LearningSpace усиливает роль взаимодействия в учебном процессе и содержит методики и средства для поощ- рения интерактивного взаимодействия как между студентами и преподавателями, так и студентов друг с другом. 2.2. Обеспечение информационного взаимодействия человека и информационной среды Сложные компьютеризированные информационно-уп- равляющие системы обычно проектируются на предприятии собственными силами, но чаще всего для этого привлекаются аутсорсинговые ИТ (IT-outsourcing — вид услуг, подразумеваю- щий передачу заказчиком своих текущих функций по поддержке ИТ-систем в специализированную ИТ-компанию, при котором 43
исполнитель гарантирует выполнение обозначенных в договоре функций в соответствии с утвержденным уровнем сервиса). Чтобы процесс информационного менеджмента был эффек- тивным, необходимо, чтобы на этапе разработки конкретного процесса будущие пользователи (их часто называют конечны- ми пользователями — end user) четко изложили, что они хотят иметь в плане информационного обеспечения своей деятельности от информационных менеджеров. В идеальном случае будущие пользователи должны сами (в том или ином качестве) явиться разработчиками процесса информационного менеджмента —про- цесса разработки информационной системы. Конечные пользователи лучше других знают, какие ре- шения являются главными и какая информация нужна для их принятия. Кроме того, если те руководители, которые будут пользоваться информацией, не примут определенного участия в процессе разработки, может оказаться, что система не будет давать им необходимой информации или будет перегружать их бесполезной информацией. Не следует забывать и то, что при- влечение к проектированию людей, ответственных за внедрение, обычно уменьшает сопротивление изменениям, которые обяза- тельно имеют место при переходе на ИТ- технологии. В ряде случаев при внедрении ИТ-технологий могут быть столкновения и конфликты, суть которых сводится к нежеланию некоторых категорий должностных лиц переходить на новые методы работы с информацией. При этом нежелание переходить на новые методы работы обосновывается накопленным опытом, риском ошибок, за которые должен отвечать не кто-то конкрет- но, а компьютер или какая-то программа. С одной стороны, этих людей можно понять, но с другой — это противостояние ни в коем случае не должно быть определяющим при выборе дальнейшего пути развития предприятия с использованием ИТ-технологий и информационного менеджмента. Существенным фактором взаимодействия пользователей с информационной средой является процесс обучения пользовате- лей. Если этот процесс заключается в изучении многостраничных руководств пользователя, то, понятно, что никакой пользователь 44
этого делать не захочет. Понятно, что и разработчика некоторо- го автоматизированного процесса, предложившего конечному пользователю изучить 100-страничное руководство пользова- теля, вряд ли можно считать хорошим разработчиком. Уменьшить сопротивление переменам можно, если обуче- ние пользователя происходит в форме подсказки, рекомендаций и других “мягких” способов обучения. Такое обучение должно уменьшить страх перед неизвестностью, который внушает сложная информационная система. Обучение должно быть предварительным, что позволит пользователям глубоко узнать возможности системы и поможет им избежать тех “ловушек”, которые являются следствием имеющихся ограничений. Без такого обучения пользователи могут оказаться во власти об- служивающего технического персонала и чувствовать себя так, будто информационная система управляет ими, а не наоборот. В результате могут возникнуть чувство досады и нежелание пользоваться системой. В плане повышения эффективности информационного ме- неджмента особенно важен информационный потенциал коман- ды менеджеров. Совокупная способность всех членов команды информационных менеджеров преобразовывать поступающее на предприятие множество информации в процессе принятия управленческих решений называется информационным потен- циалом команды менеджеров. 45
3. Управление информационными ресурсами Информация, зафиксированная на материальном носите- ле и хранящаяся в информационных системах (библиотеках, архивах, фондах, банках данных и других информационных системах), образует информационные ресурсы Из определения понятия “информационные ресурсы” сле- дует, во-первых, что существуют средства их обновления и до- ступа в интересах пользователя, т. е. средства поиска, обработки и выдачи; во-вторых, информация должна быть зафиксирована на каком-либо материальном носителе. Необходимо обратить также внимание на то, что информационные ресурсы — это до- кументированная информация, содержащаяся не только в базах данных, но и в библиотеках, архивах и др. Под управлением информационными ресурсами обычно понимается управление созданием и использованием инфор- мационных ресурсов. Впервые о необходимости профессионального управления информационными ресурсами на высоком уровне было заявлено в 1977 г. в докладе перед Конгрессом и Президентом США, в кото- ром говорилось, что информация не является больше беспла тным общественным благом, таким, как вода и воздух. Правительство должно считаться с тем, что информация и ее использование имеют определенную стоимость, таким образом, информаци- онные ресурсы должны управляться профессионально, так же как человеческие или финансовые ресурсы. Информационные ресурсы и ресурсы знаний делятся на государственные и негосударственные. По отношению к государственным информационным ресурсам государство вы- 1 Информационные ресурсы России. Национальный доклад. Copyright © 1999. International Library Information and Analytical Center. 46
полняет функции управления в полном объеме.. В отношении негосударственных информационных ресурсов государственное управление осуществляется в основном правовыми методами и включает регулирование по следующим вопросам: • владение и распоряжение; • формирование; • использование; • защита и сохранность информации; • права граждан по вопросам создания и использования информационных ресурсов; • государственный надзор за деятельностью в области информационных ресурсов. Важнейшей обязанностью всех органов управления должно быть формирование и эффективное использование информацион- ных ресурсов, отражающих и обеспечивающих их деятельность. По этим причинам управление информационными ресурсами должно осуществляться непосредственно в процессах управления. Обязанности информационных менеджеров в области уп- равления информационными ресурсами включают: • обеспечение полноты создания первичных и производных информационных массивов и продуктов, составляющих инфор- мационные ресурсы; • надежное хранение и защиту этих продуктов; • обеспечение свободного (санкционированного) доступа пользователей к информационным ресурсам, не содержащим закрытых сведений; • оптимизацию затрат на формирование, использование и защиту информационных ресурсов; • координацию деятельности различных подразделений предприятия, участвующих в процессе управления, при фор- мировании информационных ресурсов; • создание условий для эффективного использования ин- формационных ресурсов в деятельности органов управления. Для организации управления информационными ресурсами необходимо: • создать соответствующую нормативно-правовую базу; 47
• определить состав и правомочия владельцев информа- ционных ресурсов; • сформировать необходимые финансово-экономические и организационные ресурсы и механизмы. 3.1. Государственное управление информационными ресурсами Следует выделить государственное управление государс- твенными информационными ресурсами и управление инфор- мационными ресурсами на предприятии, фирме, работающих на коммерческой основе. Для достижения целей государственного управления должны приниматься решения по следующим основным направлениям: • владение и распоряжение информационными ресурсами; • формирование информационных ресурсов; • использование информационных ресурсов, предоставле- ние их в доступ пользователям, защита прав граждан на доступ к информационным ресурсам; • защита и сохранность ресурсов; • защита прав граждан в области создания и использования ресурсов, содержащих персональные данные; • защита от распространения вредоносной информации; • государственный надзор за деятельностью в области информационных ресурсов. Управление информационными ресурсами государствен- ных организаций государство осуществляет в полном объеме, а управление информационными ресурсами коммерческих организаций — с помощью нормативных правовых актов. Глав- ным законом, определяющим правовые основы информацион- ной работы в России, является Федеральный закон от 27 июля 2006 г. 149-ФЗ ”06 информации, информационных техноло- гиях и о защите информации” . В соответствии с этим Законом информационные системы делятся на государственные, муни- ципальные и иные. Собственниками государственных информа- ционных систем является Российская Федерация и субъекты 48
Российской Федерации. Эти системы создаются, приобретаются, накапливаются за счет федерального бюджета, бюджетов субъ- ектов Российской Федерации, а также путем иных, установлен- ных законом способов. Государственные информационные системы создаются в целях реализации полномочий государственных органов и обес- печения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. Информация, содержащаяся в государственных информа- ционных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются госу- дарственными информационными ресурсами. Ряд государственных информационных ресурсов создается в настоящее время в соответствии с указанной Федеральной целевой программой “Электронная Россия (2002-2010 годы)” К основным из них могут быть отнесены следующие: • специализированная информационная система ’’Прави- тельственный портал”; • ’’Российский портал развития”; • банк данных форм документооборота для органов госу- дарственной власти и местного самоуправления; • региональные подсистемы '’Государственный регистр населения”; • интегрированная информационная статистическая сис- тема; • единый научно-технический реестр; • порталы научной и научно-технической информации; • сводный каталог библиотек и архивов России; • единая база данных о товарах и услугах; • система информационно-маркетинговых центров» Помимо перечисленных необходимо отметить важность та- ких кадастров, создаваемых в настоящее время, как Земельный кадастр, Кадастр недвижимого имущества, Водный кадастр, Лесной кадастр, Государственный кадастр месторождений и проявлений полезных ископаемых Российской Федерации и ряд других. Важнейшей задачей при разработке этих кадастров и 49
реестров является обеспечение их совместимости, т. е. одина- ковое описание идентифицирующих признаков одних и тех же объектов в разных кадастрах. 3.2. Управление информационными ресурсами на предприятии, фирме Физические и юридические лица являются собственниками тех массивов документов, которые созданы за счет их средств, приобретены ими на законных основаниях, получены в порядке дарения или наследования. Эти ресурсы называются негосу- дарственными. Основными задачами по управлению информационными ресурсами в фирме, организации являются: • выявление потребностей в информации в соответствии со спецификой фирмы, организации; • выявление параметров внешней среды, изменение ко- торых может повлиять на деятельность фирмы, и организация мониторинга значений этих параметров; • выявление ресурсов мирового рынка информации, кото- рые удовлетворяют потребностям фирмы на основе метаинфор- мации; • заключение контрактов с информационными агентствами на возможность доступа к их ресурсам. Получение и изучение документации, раскрывающей особенности доступа к информа- ционным ресурсам агентства. Освоение специалистами фирмы технологий работы с ресурсами агентства; • управление организацией поиска информации в вы- деленных ресурсах при появлении конкретных требований к информации и при организации мониторинга отдельных пара- метров внешней среды с целью снижения затрат на получение необходимой фирме информации; • управление оценкой достоверности полученной инфор- мации; • участие в использовании полученной информации при обосновании принимаемых решений в фирме; 50
• анализ затрат на получение необходимой информации и оценка достигаемого эффекта в деятельности фирмы. Важность и актуальность вопросов совершенствования этой работы подтверждается тем, что в Федеральной целевой программе “Электронная Россия (2002-2010 годы)’1 в качестве первоочередной определена задача подготовки специалистов в области управления информационными ресурсами и информа- ционными технологиями. Задача российских специалистов при переходе к информационному обществу— выйти в информаци- онной работе на уровень передовых стран мира. 3.2.1. Информационные потребности при планировании деятельности предприятия Планирование — важнейший элемент менеджмента. Основ- ная концептуальная цель деятельности предприятия —достигать максимальной прибыли, производя то, что пользуется спросом. Для реализации этой цели требуется разработать стратегию развития предприятия, которая должна отвечать на вопрос: как в максимальной степени использовать возможности предприятия в конкретных условиях внешней среды? Возможности предприятия — это его ресурсы. К основным из них относят следующие (рис. 3.1): • финансовые; • технико-технологические; • кадровые; • правовые; • интеллектуальные; • информационные; • силовые. Глубокие знания и объективная оценка своих возможнос- тей — важные факторы, используемые при разработке страте- гии развития предприятия, фирмы. Информацией о ресурсах предприятия обычно располагает сама фирма. Это внутренняя информация. Однако для оценки имеющихся собственных ре- сурсов: технико-технологической базы, стоимости недвижи- мости и других составляющих корпоративных ресурсов часто 51
привлекаются внешние эксперты. Аудиторская проверка, по существу, является оценкой финансового состояния предпри- ятия, фирмы. Основой при разработке стратегии развития предприятия является объективный анализ внешней среды. МЕНЕДЖМЕНТ Стратегическое планирование Оперативное управление Маркетинговые исследования Рис. 3.1. Информация о внутренней и внешней среде предприятия, необходимая для управления 52
3.2.2. Технология доступа к информационным ресурсам В решении информационных задач одним из важных эле- ментов является обеспечение доступа к информационным ресур- сам и работа с ними. При этом решается ряд важных вопросов. 1. Какие информационные ресурсы выбрать? При высокой насыщенности современного информационного рынка данная задача не является тривиальной. Из представ- ленного на рынке разнообразия информационных ресурсов необходимо выбрать наиболее подходящие для работы фирмы. Для этого на основе задач, решаемых организацией, фирмой, выявляются требования к информации. 2. Как извлечь из информационных ресурсов необходимые сведения? Специалист, имеющий доступ к информационным ресур- сам — профессиональным базам данных, деловым ресурсам Интернета, получает в свое распоряжение огромный массив документов. Например, информационное агентство LexisNexis предоставляет пользователям доступ к 1,4 млрд документов. Однако из этого массива специалисту необходимо только ограни- ченное количество документов. Поиск этих документов является серьезной задачей. Широкое разнообразие инструментов поиска и методов их применения требует от специалиста знаний как самих информационных ресурсов, так и средств поиска. 3. Как оценивать найденную информацию? Перед тем как использовать полученную информацию, ее необходимо оценить, пригодна ли она для решения поставлен- ной задачи с позиций ее достоверности Особенно этот вопрос актуален при работе с ресурсами Интернета. Решение этих задач составляет технологию доступа к ин- формационным ресурсам и ресурсам знаний. При решении информационной задачи встает вопрос выбора информационных ресурсов. Если имеется предметный каталог 53
информационных ресурсов, то мы выбираем рубрику, к кото- рой относится необходимая нам информация, и осуществляем поиск среди документов, относящихся к этой рубрике. Однако необходимая информация может содержаться не только сре- ди документов, относящихся к данной рубрике, но и в других рубриках. Данную особенность информации принято называть рассеиванием информации. Исследования в области информа- тики показали, что 50% информации будет содержаться не в той рубрике, которая выделена для документов определенного содержания, а в соседних рубриках. Из этой закономерности сле- дует, что если вы будете искать только в одной рубрике предметного каталога, то потери информации составят 50%. Процесс выбора информационных ресурсов должен ос- новываться в первую очередь на работе с такими источниками метаинформации как каталоги, справочники, реферативные и библиографические издания. Рассмотрим наиболее популярные из них. Авторитетным справочником по периодическим изданиям является Ulrich's Periodical Directory (http://Ulrichsweb.com), подготавливаемый американской фирмой Bowker. В данном справочнике представлено наиболее полное описание перио- дических изданий всего мира. Доступ к справочнику возможен через Интернет после подписки, а также на CD-ROM. Метаинформация по профессиональным базам данных содержится в Gale Directory of Database (www.gale.com). Gale Directory of Database предоставляет детальную информацию о более чем 19 тыс. баз данных, доступных в режиме онлайн и на СО-КОМ или в иной форме. Описание баз данных включает наименование и контактную информацию производителя баз данных, тематику представленной информации, ее язык и гео- графию, частоту обновления, варианты подписки и ее стоимость и др. Тематика описываемых баз включает в себя все отрасли науки и профессиональной деятельности. Отдельно выделены документы, содержащие подробные сведения о 3600 произво- дителях баз данных и 2400 онлайновых службах и поставщиках баз данных, списки предлагаемых баз. 54
Метаинформаиия о российских информационных ресурсах подготавливается научно-техническим центром “Информре- гистр” (www.inforeg.ru) в виде электронного каталога по итогам добровольной регистрации российских баз данных. Работы по учету и регистрации баз и банков данных, а также по ведению Государственного регистра баз данных осуществляются “Ин- формрегистром” в соответствии с постановлением Правитель- ства РФ от 28 февраля 1996 г. № 226 “О государственном учете и регистрации баз и банков данных”. На 2003 г. электронный каталог Государственного регистра баз данных содержал опи- сания 8129 баз данных. Однако данный каталог не может дать полного представления о российский базах данных, так как ре- гистрация добровольная и многие производители свои базы не регистрируют по различным причинам. Компания “Международное бюро информации и теле- коммуникаций” (МБИТ) (www.mbit.ru) выступает поставщи- ком метаинформации, предлагая на информационном рынке следующие услуги: российскую энциклопедию информации и телекоммуникаций (электронная версия находится на сайте “Инфопартнер” (http://reit.mbt.ru/rus/), веб-каталог деловой информации, веб-каталог бизнес-ресурсов по рынку товаров и услуг, оказание информационно-поисковых, аналитических и консультационных услуг. Работа с метаинформацией позволяет подготовить обосно- вание выбора того или иного информационного ресурса в соот- ветствии с требованиями пользователя. При поиске основными критериями оценки информацион- ного ресурса являются следующие: • источники информации, из которых формируются ин- формационный ресурс, их количество; • периодичность обновления информации (ежедневное, еженедельное и т. п.); • возможные варианты подписки и стоимость доступа к информационному ресурсу; • пользовательский интерфейс, удобные поисковые инс- трументы; 55
• полнота поиска; • содержательное наполнение информационного ресурса, т. е. тематика представленной в нем информации, географическое покрытие, временной охват, глубина ретроспективы и т. д.; • возможности применять формализованный поиск инфор- мации. Виды подписки на доступ к базам данных могут быть раз- личными, так же как и способы оплаты доступа к информации. 3.2.3. Ресурсы знаний В последнее время появились публикации, в которых встречаются термины “ресурсы знаний”, “управление ресур- сами знаний”, “управление знаниями”, “экономика знаний” и ряд схожих терминов. Эти термины в области информатики и информационной работы в настояшее время в законодательстве не нормированы. Раскроем их содержание и будем употреблять в данном учебнике в указанной трактовке. Рассмотрим понятие “ресурс знаний” в сравнении с поня - тием “информационный ресурс”. Подпонятием “знание” обычно подразумевается проверен- ный практикой результат познания действительности, верное ее отражение в сознании человека. Специалисты в области теории познания отмечают многоуровневый характер отношения зна- ния к действительности. Знания различных уровней обладают различной степенью достоверности. Мышление движется от поверхностного знания достоверных фактов к более глубоким научным знаниям, являющимся обобщением достоверных фак- тов. Первичные факты, или первичные знания, сводятся к кон- статации фактов и их описанию. Научные знания поднимаются до уровня объяснения фактов. Под знаниями надо понимать всю совокупность знаний — от описаний фактов (первичных знаний) до научных знаний. Гигантский объем знаний, накопленных человечеством, доходит до нас потому, что они документированы, т. е. хранятся на каких-либо носителях. Документированные знания в информационных системах являются по аналогии с содержанием термина ‘ информаци- 56
онный ресурс” ресурсом знаний, и в этом смысле термины “ресурсы знаний1’ и “информационный ресурс’ — синонимы. Данный вывод необходимо сделать в интересах практики, так как значительное количество фактов уже являются знаниями. Человечеству для развития должна быть представлена инфор- мация от первичных знаний до научных, и специалист самосто- ятельно определит, какую степень обобщения имеет полученная информация. Иногда это очевидно — открытие нового небесного светила, географическое открытие и т. д. Важным в практической деятельности являются знания в головах людей. Организация, фирма имеет специалистов, от знаний которых и возможностей использования этих знаний на практике зависит успех фирмы или организации. Экономика знаний — это экономика, при функционирова- нии и развитии которой неизмеримо возрастает роль знаний и информации за счет возможностей доступа к мировым ресурсам и ресурсам знаний с помощью современных информационных технологий. Виды деятельности, связанные с формированием информационных ресурсов и ресурсов знаний, поддержанием их в актуальном состоянии, созданием средств обработки, связи и копирования информации, объединяют в понятие “информа- ционная индустрия”. Под средствами обработки наряду с вы- числительной техникой понимается и программное обеспечение. Информационный бизнес — это бизнес, где товаром является информация. Бизнес в сфере информационной индустрии — это бизнес, где товаром являются информация, компьютерная тех- ника, программное обеспечение, оргтехника и др. Способность решать задачи информационного обслужи- вания на уровне максимальных возможностей, определяемых достигнутым на данный момент состоянием развития вычисли- тельной техники и связи, называют информационным потен- циалом. 57
4. Защита информационных ресурсов 4.1. Суть проблемы информационной безопасности Информационный менеджмент осуществляется, как прави- ло, в условиях использования корпоративной информационной системы, в “недрах” которой сосредоточены практически все сведения об организации и ее деятельности. Понятно, что наряду с общеизвестными данными, например такими, как рекламная информация, стандарты и т. п., в информационной системе хранятся данные, доступ к которым должен быть ограничен в силу целого ряда причин коммерческого, производственного и личного характера. Невозможно представить себе современного менеджера без компьютера, “по горлошко” наполненного всякой личной и корпоративной информацией, нарушение сохранности которой может обернуться очень серьезными потерями. Информационная безопасность — такое состояние ин- формационных ресурсов, при котором они защищены от любых негативных воздействий, способных привести к нарушению полноты, целостности, доступности этих ресурсов или вызвать утечку или утрату содержащейся в них информации. Добывание конфиденциальной информации организаций называется промышленным шпионажем. В нем выделяются следующие виды: агентурный, легальный и технический. Процесс создания системы защиты информации в АС состоит из следующих этапов: выявление угроз защищаемой информации, определение политики безопасности, создание механизмов поддержки политики безопасности, оценка защи- щенности системы. 58
Наиболее распространенным видом компьютерных нару- шений считается несанкционированный доступ к информации. Существует множество методов НСД. В число основных организационно-технических мероприя- тий по защите информационных ресурсов включаются: • лицензирование деятельности организаций в области защиты информации; • аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну; • сертификация средств защиты информации и контроля эффективности их использования, а также защищенности ин- формации от утечки по техническим каналам систем и средств информатизации и связи. 4.1.1. Информационные ресурсы “глазами” злоумышленника После многолетнего пренебрежительного отношения к за- щите компьютерных данных деловой мир наконец спохватился и признал важность этой проблемы. Громкие процессы о про- никновении злоумышленников в корпоративные компьютерные системы, особенно “дело Левина ’ (названное Интерполом "самым серьезным транснациональным сетевым компьютерным пре- ступлением”, в результате которого американский Сити-банк недосчитался 400 тыс. долл.), заставили всех серьезно заду- маться о защите информационных ресурсов от проникновения злоумышленников (их называют хакерами). Особенно это стало актуальным с появлением Интернета. По сути дела, пренебрежи- тельное отношение к защите информационных систем от хакеров позволит распахнуть перед злоумышленниками всех мастей (профессиональными взломщиками и грабителями, обиженны- ми подчиненными или ничем не брезгующими конкурентами) виртуальное окно, позволяющее беспрепятственно проникать в '‘святая святых” компаний и наносить им весьма существенный материальный ущерб. Выяснилось, что построение надежно защищенной компью- терной системы невозможно без тщательного анализа потенци- 59
альных угроз ее безопасности. Изучение сценариев возможных атак на информационную систему позволило выделить следу- ющие основные мероприятия, на базе которых организуется противодействие: • определение ценности информации, хранимой в компью- терной системе; • оценка временных и стоимостных затрат, которые может позволить себе злоумышленник для преодоления защитных механизмов атакуемой им компьютерной системы; • построение модели поведения злоумышленника, которой он, вероятнее всего, будет придерживаться при атаке; • оценка временных и стоимостных затрат, необходимых для организации адекватной защиты компьютерной системы. То есть необходимо как бы поставить себя на место зло- умышленника, пытающегося проникнуть в систему. А для этого важно было сначала понять, что представляет собой этот зло- умышленник, а именно: • уровень его профессиональной подготовки; • имеющаяся у него информация об атакуемой компьютер- ной системе; • права доступа к системе; • вероятные способы атаки. При этом необходимо учитывать, что хакер — высококва- лифицированный специалист-компьютерщик и для него харак- терны следующие черты и особенности поведения: • он всегда в курсе последних новинок компьютерной тех- ники, устройств связи и программных средств; • перед тем как атаковать информационную систему, взлом- щик всеми способами пытается собрать максимум информации о ней, включая данные о личных качествах ее администраторов; • добывая нужную информацию, он не брезгует агентурны- ми и оперативно-техническими методами (например, устанавли- вая подслушивающие устройства в местах, часто посещаемых обслуживающим персоналом компьютерных систем, которые намеревается взломать); • сама атака компьютерной системы осуществляется по возможности быстро, чтобы ее администраторы не смогли зафик- 60
сировать факт совершения атаки и не успели предпринять меры по ее отражению, а также по выявлению личности атакующего и его местонахождения. 4.1.2. Методы взлома информационной системы В общем случае программное обеспечение любой системы состоит из трех основных компонентов — системы управления базами данных (СУБД), операционной системы (ОС) и сетевого программного обеспечения (СПО). Поэтому все попытки взлома защиты компьютерных систем можно разделить на три части. Атаки на уровне систем управления базами данных. Защита СУБД является одной из самых простых. Это связано с тем, что СУБД имеют строгую внутреннюю структуру, и операции над элементами СУБД определены довольно четко. Как правило, эти операции включают в себя четыре основных действия — поиск, вставку, удаление и замену элемента, а остальные операции но- сят вспомогательный характер и применяются довольно редко. Наличие строгой структуры и четко определенных операций уп- рощает решение задачи защиты СУБД. В большинстве случаев хакеры не удостаивают СУБД своим вниманием, предпочитая взламывать защиту системы на уровне ОС и получать доступ к файлам СУБД средствами ОС. В отличие от СУБД защищать ОС гораздо сложнее. Хакер пытается найти слабое место в конкретной защитной системе и использовать его максимально эффективно. У спех реализации того или иного алгоритма хакерской атаки на практике в значительной степени зависит от архитектуры и конфигурации конкретной ОС являющейся объектом этой атаки. Есть несколько видов атак, ко- торым может быть подвергнута практически любая ОС. • Кража пароля — подглядывание за легальным пользо- вателем, когда тот вводит пароль. • Получение пароля из файла, в котором этот пароль был сохранен ’’ленивым” пользователем. • Поиск пароля, который пользователи, чтобы не забыть, часто записывают на календарях, в записных книжках или на обо- ротной стороне компьютерных клавиатур (особенно часто подобная 61
ситуация встречается, если администраторы заставляют пользо- вателей применять длинные, трудно запоминаемые пароли). • Кража внешнего носителя парольной информации (дис- кеты или электронного ключа, на которых хранится пароль пользователя для входа в ОС). • Подбор пароля — полный перебор всех возможных ва- риантов пароля. • Сканирование ’’жестких” дисков компьютера — хакер последовательно пытается обратиться к каждому файлу, хра - нимому на ’’жестких” дисках компьютерной системы. • Сборка ’’мусора” — если средства ОС позволяют произ- водить восстановление ранее удаленных объектов, хакер может воспользоваться этой возможностью, чтобы получить доступ к объектам, удаленным другими пользователями (например, просмотрев содержимое их ’мусорных корзин). • Превышение полномочий — используя ошибки в про- граммном обеспечении или в администрировании ОС, хакер по- лучает полномочия, превышающие те, что были предоставлены ему согласно действующей политике безопасности. Атаки на уровне сетевого программного обеспечения (СПО) могут оказаться наиболее успешными с точки зрения хакера. Это происходит потому, что канал связи, по которому происходит передача сообщений, чаще всего незащищен, и тот, кто обладает физическим доступом к этому каналу, может перехватывать передаваемые сообщения и отправлять свои собственные. Поэтому на уровне СПО возможны следующие разновидности хакерских атак: • «прослушивание” — когда компьютер хакера подсое ди нен к некоторому сегменту локальной сети, то ему становится доступен весь информационный обмен между компьютерами этого сегмента); • перехват сообщений на маршрутизаторе — когда хакер имеет привилегированный доступ к сетевому маршрутизатору и получает возможность перехватывать все сообщения, прохо- дящие через этот маршрутизатор; • создание ложного маршрутизатора (путем отправки в сеть сообщений специального вида хакер добивается, чтобы его 62
компьютер стал маршрутизатором сети, после чего получает доступ ко всем проходящим через него сообщениям); • навязывание сообщений — когда в сеть отправляются сообщения с ложным обратным сетевым адресом и происходит незаконное переключение соединения на “подслушивающий” компьютер; • и целый ряд других приемов. Можно сформулировать универсальные правила, которых следует придерживаться, чтобы минимизировать риск взлома системы: • Будьте всегда в курсе последних разработок в области компьютерной безопасности. • Храните в секрете информацию о принципах действия защитных механизмов компьютерной системы. • Максимально ограничивайте размеры за щищаемой сис- темы и без крайней необходимости не допускайте ее подключе- ния к Internet. • Размещайте серверы в охраняемых помещениях и не подключайте к ним клавиатуры и дисплеи, чтобы никто не имел доступа к этим серверам, кроме как через сеть. • Шифруйте и снабжайте цифровой подписью абсолютно все сообщения, передаваемые по незащищенным каналам связи. • Регулярно производите проверку целостности програм- много обеспечения компьютерной системы. Все эти и многие другие правила реализуются в виде так называемой политики безопасности, 4.2. Политика безопасности1 — основной метод защиты информационных ресурсов Политика безопасности — это набор правил и норм поведе- ния, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь может оперировать конкретны - 1 Стандарт ISO/IEC 15408 “Критерии оценки безопасности инфор- мационных технологий”. 63
ми наборами данных. Политика безопасности — это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия. Требования безопасности предъявляются, а их выполне- ние проверяется для определенного объекта оценки — аппа- ратно-программного продукта или информационной системы. Очень важно, что безопасность рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Выделяются следующие этапы: • определение назначения, условий применения, целей и требований безопасности; • проектирование и разработка; • испытания, оценка и сертификация; • внедрение и эксплуатация. Объект оценки рассматривается в контексте среды безо- пасности, которая характеризуется определенными условиями и угрозами. В свою очередь, угрозы характеризуются следующими параметрами: • источник угрозы; • метод воздействия; • уязвимые места, которые могут быть использованы; • ресурсы (активы), которые могут пострадать. Уязвимые места могут возникать из-за недостатка в: • требованиях к безопасности; • проектировании; • эксплуатации. Слабые места по возможности следует устранить, мини- мизировать или хотя бы постараться ограничить возможный ущерб от их преднамеренного использования или случайной активизации. В целях защиты информационных ресурсов могут форми- роваться два вида нормативных документов: профиль защиты и задание по безопасности. Профиль защиты представляет собой типовой набор тре- бований, которым должны удовлетворять продукты и (или) сис- 64
темы определенного класса (например операционные системы на компьютерах). Задание по безопасности содержит совокупность требова- ний к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности, в том числе: • перехват сигналов принтера и восстановление на их ос- нове печатаемого текста ; • защиту носителей информации от хищения; • защиту носителей информации. Кроме того, серьезной проблемой является несанкциони- рованное копирование программных средств, так как несанк- ционированное копирование свидетельствует о возможности несанкционированного доступа к информационным ресурсам. На основании определенного перечня угроз формируется политика безопасности. Механизмы поддержки политики безопасности Политика безопасности представляет собой набор тре- бований, реализуемых с помощью организационных мер и программно-аппаратных средств. Эти требования определяют архитектуру системы защиты информации. Реализация поли- тики безопасности для конкретной автоматизированной систе- мы осуществляется с помощью соответствующих механизмов защиты и средств управления ими. К механизмам поддержки политики безопасности относятся: • средства идентификации и аутентификации пользова- телей; • средства контроля доступа; • криптографические средства (т. е. средства шифрования информации); • средства электронно-цифровой подписи; • средства контроля целостности; • средства аудита, т. е. фиксации действий пользователей системы. Средства идентификации и аутентификации поль- зователей системы — это средства, с помощью которых вы- 65
полняется процесс распознавания пользователя системы по некоторому признаку (идентификация) и подтверждения того факта, что пользователь, предъявляющий системе некоторый идентификатор, действительно является тем, за кого себя выдает (аутентификация). В простейших случаях для подтверждения своей подлин- ности пользователь должен предъявить пароль — набор неко- торых символов, который предполагается известным только данному конкретному пользователю. Кроме пары "имя—пароль для идентификации и аутентификации пользователей системы применяются и другие параметры. Так, например, широкое распространение получили систе- мы с использованием пластиковых электронных и магнитных карточек, устройств Touch Memory, смарт-карт. Для работы с различными видами карточек используется специально уст- ройство, называемое считывателем, подсоединяемое к компью- теру. На карточках хранится некоторая информация, которая обрабатывается с помощью специального алгоритма, после чего принимается решение о полномочиях данного пользователя. Устройства Touch Memory обычно выполняются в виде брелоков, которые при соприкосновении со встроенным в ЭВМ считывателем обмениваются с ним идентифицирующей поль- зователя информацией. Также перспективным направлением развития средств идентификации/аутентификации является разработка систем, основанных на считывании биометрических параметров человека: отпечатки пальцев, форма кисти руки, рисунок сетчатки глаза и проч. Средства контроля доступа Средства контроля доступа обеспечивают принятие решения о предоставлении некоторому субъекту доступа к информацион- ным ресурсам на основании предоставленных им признаков, иден- тифицирующих его как правомочного пользователя системы. Можно выделить несколько уровней контроля доступа: • Контроль доступа при входе в систему» • Контроль доступа к отдельным объектам (файлам, пап- кам, базам данных и проч.). 66
• Контроль доступа к отдельным устройствам системы Криптографические средства Криптографические средства являются основными при построении систем защиты компьютерных сетей. Простейшим способом для этого является преобразование обычного текста е некоторый непонятный набор символов, называемый шифро- ванным текстом (шифр-текстом). Исходный текст называется открытым текстом. Процесс преобразования открытого текста е шифрованный называется шифрованием. Некоторая храняща- яся в тайне информация, позволяющая производить шифрова- ние, а также обратное преобразование для прочтения открытого текста законным получателем, называется ключом Средства электронно-цифровой подписи Электронно-цифровая подпись (ЭЦП) используется для подтверждения авторства данного сообщения. С помощью специальных математически обоснованных алгоритмов вычисляется электронно-цифровая подпись как функция от конкретного подписанного сообщения. Эта функция вычисляется самим автором сообщения на основе некоторой информации — индивидуального ключа. ЭЦП зависит от каждого символа сообщения, поэтому невоз- можно изменить его или подменить другим, не изменив значе- ние ЭЦЛ. При этом случай, когда у двух различных сообщений выработанные на их основе подписи совпадут, практически не- возможен. Поэтому подпись позволяет однозначно определить автора данного сообщения. Кроме того, ЭЦП может применяться и в качестве механизма контроля целостности сообщений. Использование механизмов электронно-цифровой подпи- си также эффективно для организации защиты от отказов от посылки сообщения или его получения. В этом случае наличие ЭЦП отправителя является достаточным доказательством того, что он посылал данное сообщение. Получатель сообщения, в свою очередь, подписывает своей ЭЦП некоторую функцию, вычис- ленную на основе принятого сообщения, и посылает результат абоненту-отправителю. 67
Таким образом, с помощью технологии ЭЦП могут решаться следующие основные задачи: • подтверждение подлинности электронного документа; • подтверждение отсутствия внесенных в него изменений и искажений; • подтверждение авторства электронного документа. Средства контроля целостности Обеспечение целостности информации является одной из важнейших задач ее зашиты. Целостность информации позво- ляет гарантировать защищенность системы от проникновения в нее вредоносных программ. Таким образом, контроль целостности должен осущест- вляться по двум направлениям; • контроль целостности наборов данных; • контроль целостности программной среды. И в том и другом случае применяются специальные средс- тва, основанные на определенных математических алгоритмах. Обычно для каждого файла, программы и т. п. подсчитывается соответствующая контрольная сумма, которая запоминается системой защиты. Изменение файла без изменения его конт- рольной суммы невозможно. Если система защиты при последу- ющей проверке выявила, что для какого-либо объекта значение контрольной суммы отличается от заданного, то выдается пре- дупреждающее сообщение о возможном несанкционированном изменении данного объекта. Средства аудита Средства аудита предназначены для фиксации различных действий пользователей системы, в первую очередь действий, нарушающих политику безопасности. Это позволяет, с одной стороны, выявлять злоумышленников, а с другой -— контроли- ровать правильность работы системы защиты, обнаруживать ее недостатки. Обычно средством аудита является так называемый системный журнал. В нем фиксируются такие события, как: • вход пользователей в систему; • сообщения об ошибках входа (они могут свидетельство- вать о попытках проникновения в систему); 68
• доступ к определенным программным средствам и на- борам данных; попытки осуществить действия, на которые у данного пользователя нет прав, и др. Конкретная настройка параметров системного журнала производится администратором системы. 4.3. Оценка защищенности системы Для оценки защищенности системы проводят анализ ее уязвимостей. Под уязвимостями понимаются “слабые места” системы, которыми может воспользоваться злоумышленник как собственно для атаки, так и для сбора необходимой информации о системе для будущих атак. Анализ уязвимостей может быть двух видов: пассивный и активный. При пассивном анализе производится только сканирова- ние системы — определяются элементы и механизмы системы, защита которых недостаточна, чем может воспользоваться злоумышленник. При этом также делаются предположения о возможности проведения вторжения. Активный анализ предполагает попытки проведения различного рода атак и в большинстве случаев является более достоверным и эффективным методом. Однако при его исполь- зовании есть вероятность выхода системы из строя. Для грамотного выбора или построения системы защиты информации и поддержания ее функционирования необходимо обратить внимание на следующие моменты: • выявление всех возможных угроз защищаемой инфор- мации; • грамотное, полное и четкое формулирование политики безопасности организации в целом и вычислительной системы в частности; • комплексность построения системы защиты: она должна содержать полный набор необходимых механизмов и средств защиты и осуществлять их совместное использование; • необходимость постоянного слежения за работой системы защиты и ее периодических проверок; 69
• правильный выбор фирмы-производителя системы заши- ты и ее отдельных компонентов: данная фирма должна хорошо зарекомендовать себя на рынке, желательно наличие большого опыта работы в данной области и широкой сети клиентов. Административный уровень информационной безопасности К административному уровню информационной безопас- ности относятся действия общего характера, предпринимаемые руководством организации. Главная цель мер административно- го уровня — сформировать программу работ в области инфор- мационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Разрушение важной информации, кража конфиденци- альных данных, перерыв в работе вследствие отказа — все это выливается в крупные материальные потери, наносит ущерб репутации организации. Проблемы с системами управления или медицинскими системами угрожают здоровью и жизни людей Современные информационные системы сложны и, значит, опасны уже сами по себе, даже без учета активности злоумыш- ленников. Постоянно обнаруживаются новые уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обес- печения, многочисленные связи между компонентами. Успех в области информационной безопасности может при- нести только комплексный подход, сочетающий меры четырех уровней: • законодательного; • административного; • процедурного; • программно-технического. Законодательный уровень является важнейшим для обес- печения информационной безопасности. Па этом уровне особого внимания заслуживают правовые акты и стандарты. Среди стандартов особо следует выделить международный стандарт ISO/IEC 15408 “ Критерии оценки безопасности информаци- онных технологий’'. 70
Главная задача мер административного уровня — сфор- мировать програ мму работ в области информационной безо- пасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Меры процедурного уровня ориентированы на людей (а не на технические средства) и подразделяются на следующие виды: • управление персоналом; • физическая защита; • поддержание работоспособности; • реагирование на нарушения режима безопасности; • планирование восстановительных работ. На этом уровне применимы важные принципы безопасности: • непрерывность защиты в пространстве и времени; • разделение обязанностей; • минимизация привилегий. Информационная безопасность во многом зависит от акку- ратного ведения текущей работы, которая включает: • поддержку пользователей; • поддержку программного обеспечения; • конфигурационное управление; • резервное копирование; • управление носителями; • документирование; • регламентные работы. Программно-технические меры — это меры, направлен- ные на контроль компьютерных сущностей — оборудования, программ и (или) данных, образуют последний и самый важный рубеж информационной безопасности. Миссия обеспечения информационной безопасности информационных ресурсов трудна, а во многих случаях невы- полнима. 71
ТЕРМИНОЛОГИЧЕСКИМ СЛОВАРЬ Аутентификация — проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности (ГОСТ Р ИСО 7498-2-99, ОСТ 45.127-99). База данных — представленная в объективной форме и ор- ганизации совокупность самостоятельных материалов (статей, расчетов и так далее), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью электронной вычислительной машины (Гражданский кодекс РФ, ч. IV). Безопасность информации — состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита ин- формации (данных) от утечки, хищения, утраты, несанкциони- рованного уничтожения, искажения, модификации (подделки), копирования, блокирования информации и т. п. (Положение о государственном лицензировании деятельности в области за- щиты информации. Утверждено решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информа- ции при Президенте Российской Федерации от 27 апреля 1994 г. № 10 и от 24 июня 1997 г. № 60). Безопасность информации (данных) — состояние защи- щенности информации (данных), обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз (ОСТ 45.127-99). Данные — информация, представленная в виде, пригодном для обработки автоматическими средствами при возможном участии человека (ГОСТ Р 15971-90, ОСТ 45.127-99). Доступ несанкционированный к информации — доступ к информации, нарушающий правила разграничения доступа с 72
использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами (ОСТ 45.127-99). Доступность — свойство субъекта и (или) объекта доступа быть доступным и используемым по запросу со стороны уполно- моченного логического объекта (ГОСТ Р ИСО 7498-2-99). Достоверность — идентичность объекта защиты за явлен- ному. Дестабилизирующий фактор (ДФ) — явление или собы- тие, следствием наступления которого может быть нарушение конфиденциальности, целостности и (или) доступности инфор- мационных ресурсов, нарушению работоспособности сети или ее элементов. Информационная угроза, угроза информационной безопас- ности — могут быть отнесены к ДФ. Живучесть системы — свойство сети сохранять способ- ность выполнять требуемые функции в условиях, создаваемых воздействиями внешних ДФ. Защита информации — деятельность, направленная на предотвращение утечки защищаемой информации, несанкцио- нированных и непреднамеренных воздействий на защищаемую информацию (ГОСТ Р 50922-96, ОСТ 45.127-99), воплощенная в совокупности технических и организационных мер. обеспечи- вающих информационную безопасность. Защита информации от несанкционированного досту- па — деятельность, направленная на предотвращение получе- ния защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собс- твенником, владельцем информации прав или правил доступа к защищаемой информации (ГОСТ Р 50922-96). Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, уста- навливаемыми собственником информации (ГОСТ Р 50922-96) Злоумышленник — лицо, осуществляющее осознанные действия по нарушению информационной безопасности объекта защиты. 73
Идентификация — присвоение субъектам и (или) объек- там доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенны к идентификаторов (Защита от несанкционированного доступа к информации. Тер- мины и определения: Руководящий документ). Информация—сведения (сообщения, данные) независимо от формы их представления (Федеральный закон от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”). Информационные потоки — совокупность передаваемой информации между двумя и более взаимодействующими объ- ектами. Информационная система — совокупность, содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Феде- ральный закон от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”). Информационная угроза — фактор или совокупность фак- торов, создающих опасность нарушения свойств информации. Конфиденциальность информации — состояние информа- ции и ее носителей, при котором обеспечивается защищенность информации от раскрытия. Криптографическая защита—защита данных при помощи криптографического преобразования данных (ГОСТ 28147-89) “Критическая” (конфиденциальная, защищаемая)инфор- мация — информация с соответствующими грифами секрет- ности, информация для служебного пользования, информация, являющаяся собственностью организации. Легальные пользователи — пользователи, имеющие закон- ные основания для доступа к заданным ресурсам и сервисам. Мероприятие по защите информации — совокупность действий, направленных на разработку и (или) практическое применение способов и средств защиты информации (ГОСТ Р 50922-96). Механизм обеспечения информационной безопасности — аппаратно-программные и организационные средства системы 74
обеспечения информационной безопасности ЕСЭ РФ, реализу- ющие в соответствии с заданной политикой информационной безопасности ЕСЭ РФ один или несколько аспектов защиты информационной сферы ЕСЭ РФ в соответствии с одним из трех перекрывающих друг друга классов защиз ы: предотвращение воздействий нарушителя информационной безопасности, обна- ружение воздействия нарушителя информационной безопас- ности, восстановление (ликвидация) последствия воздействия нарушителя информационной безопасности (ОСТ 45.127-99). Нарушитель (в автоматизированной системе) — субъект, имеющий доступ к работе со штатными средствами автомати- зированной системы и средствами вычислительной техники как части автоматизированной системы (Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации: Руководящий документ). Нарушитель информационной безопасности (ЕСЭ РФ/ — физическое или юридическое лицо, общественное объединение, ведомство, процесс, событие, способные произвести несанкцио- нированные или непреднамеренные действия (операции) над ин- формационной сферой ЕСЭ РФ. приводящие к нежелательным для пользователя или оператора связи ЕСЭ РФ последствиям (ОСТ 45.127-99). Несанкционированный доступ — нарушение регламен- тированного доступа к объекту защиты (Защита информации. Специальные защитные знаки. Классификация и общие требо- вания: Руководящий документ). Объект защиты информации — информация, или носитель информации, или информационный процесс, которые необхо- димо защищать в соответствии с поставленной целью защиты информации (ГОСТ Р 50922-96). Угроза безопасности информации — совокупность условий и факторов, создающих потенциальную или реально сущест- вующую опасность, связанную с утечкой информации и (или) несанкционированными и (или) непреднамеренными воздейс- твиями на нее (ГОСТ Р 51624-00). 75
ВОПРОСЫ ДЛЯ САМОКОНТРОЛЯ 1. Что такое менеджмент? 2. Что такое информационный менеджмент? 3. Чем отличается менеджмент от информационного менеджмента? 4. Что такое информационная технология? 5. Что такое информационный ресурс? 6. Какие подходы составляют концепцию информационного ме- неджмента? 7. Что такое экономический подход применительно к концепции информационного менеджмента? 8. Что такое аналитический подход применительно к концепции информационного менеджмента? 9. Что такое системный подход применительно к концепции ин- формационного менеджмента? 10. В чем состоит общая цель информационного менеджмента? 11. Что является главной задачей информационного менеджмента? 12. Кто практически осуществляет информационный менедж- мент? 13. Что является технологической средой информационного ме- неджмента? 14. Что такое информационная система? 15. Что такое техническое обеспечение информационной системы? 16. Что такое математическое и программное обеспечение инфор- мационной системы? 17. Что такое информационное обеспечение информационной системы? 18. Что такое организационное обеспечение информационной системы? 19. Что такое правовое обеспечение информационной системы? 20. Какими факторами необходимо руководствоваться при выборе технического обеспечения информационной системы? 21. Какими основными критериями следует руководствоваться при подборе системы программного обеспечения9 22. Основные функции информационного обеспечения? 23. Основные этапы развития информационной системы? 76
24. Основные части информационного менеджмента? 25. Потребности каких звеньев управления должны быть учтены при организации информационного менеджмента? 26. Что обеспечивают системы обработки транзакций? 27. Что обеспечивают профессиональные и офисные системы? 28. Что обеспечивают экспертные системы? 29. Что обеспечивают автоматизированные системы управления (АСУ)? 30. Что обеспечивают системы поддержки принятия решений? 31. Что такое факт? 32. Что такое слух? 33. Что такое оценка? 34. Что такое прогноз? 35. Что такое управленческая информация? 36. Что такое информация по стратегическому планированию? 37. Что такое контрольная управленческая информация? 38. Что такое оперативная информация? 39. Что такое плановые источники информации? 40. Что такое учетные источники информации? 41. Что такое внеучетные источники информации? 42. Что такое система внутренней информации? 43. Что такое система внешней информации? 44. Что такое уместность и своевременность информации? 45. Что такое достоверность информации? 46. Что такое сопоставимость информации? 47. Что такое доступность и понятность информации ? 48. Что такое менеджмент знаний? 49. Что понимается под управлением информационными ресур- сами? 50. Что включается в обязанности информационных менедже- ров? 51. Что такое государственные информационные ресурсы? 52. Что включает в себя государственное управление информа- ционными ресурсами? 53. Каковы основные задачи по управлению информационными ресурсами в фирме? 54. Какие ресурсы характеризуют возможности предприятия? 55. Чем отличается ресурс знания от информационного ресурса? 56. Что такое экономика знаний? 57. Что такое информационный бизнес? 58. Что такое экономика знаний? 59. Что такое информационная безопасность? 60. Какие меры принимаются для заши гы информации? 77
61. Какие основные сценарии возможны при “атаке” на инфор- мационную систему? 62. Кто такой хакер? 63. Каковы разновидности хакерных атак? 64. Каковы основные приемы взлома информационной системы? 65. Каких универсальных правил необходимо придерживаться для минимизации риска “взлома” системы? 66. Что такое политика безопасности? 67. Что такое профиль защиты? 68. Что такое задание по безопасности? 69. Что относится к механизмам поддержки политики безопас- ности? 70. Что такое средства идентификации и аутентификации поль- зователей системы? 71. Что представляют из себя средства контроля доступа? 72. Что представляют из себя криптографические средства? 73. Что такое электронно-цифровая подпись? 74. По каким направлениям осуществляется контроль целостности информации? 75. Как осуществляется аудит пользователей системы? 76. Что такое пассивный анализ защищенности системы? 77. Что такое активный анализ защищенности системы? 78. Что такое административный уровень информационной бе- зопасности? 79. Какие составляющие входят в комплексный подход обеспече- ния информационной безопасности? 80. В каком международном стандарте устанавливаются правила защиты информации? 78
ЛИТЕРАТУРА 1. Афанасьев С. В., Ярошенко В, Н. Эффективность инфор- мационного обеспечения управления. — М.: Экономика, 1987. 2. Баронов В. В. и др. Автоматизация управления предпри- ятием. — М.: ИНФРА-М, 2000. 3. Барсуков В. В., Водолазкий В. В. Современные технологии безопасности. — М.: Нолидж, 2000. 4. Белкин П. Ю, и др. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных. — М.: Радио и связь, 1999. 5. Годин В. В. Управление информационными ресурсами: 17-модульная программа для менеджеров “Управление разви- тием организации”. — М.: ИНФРА-М, 1999. 6. Липунцов Ю, П. Управление процессами. Методы уп- равления предприятием с использованием информационных технологий. — М.: ДМК Пресс; М.: Компания АйТи, 2003. 7. Костров А. В. Основы информационного менеджмента: Учеб, пособие. — М.: Финансы и статистика, 2001. 8. Проскурин В. Г. и др. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операци- онных системах. — М.: Радио и связь, 2000. 9. Романец Ю. В., Тимофеев П. А., Шаньгин В. Ф Защита информации в компьютерных системах и сетях. — М.: Радио и связь, 1999. 10. Степанова Е, Е., Хмелевская Н. В. Информационное обеспечение управленческой деятельности. — М.: ФОРУМ- ИНФРА-М, 2002. 11. Устинова Г. М. Информационные системы менеджмен- та: Основные аналитические технологии в поддержке принятия решений: Учеб, пособие. — СПб: Издательство “ДиаСофтЮП", 2000. 12. Хорее П. В9 Методы и средства защиты информации в компьютерных системах. — М.: Академия, 2005. 79
13. СтандартISO/IEC 15408 “Критерии оценки безопасности информационных технологий”. 14. ГОСТ Р ИСО/МЭК 12207-99 “Процессы жизненного цикла программных средств”. 15. Стандарт ISO 12007:1995 “Процессы жизненного цикла программных средств”. Internet-ресурсы ] 6. http://spb.z-it.ru 17. Стандарт MRPII. www.interface.ru 18. www.alef.ru Главный редактор — А. Е. Илларионова Художник — В. А. Антипов Верстка — И. А. Кирьянова Корректор — В. Ш. Мерзлякова Ответственный за выпуск — А. Ф Пилунова Учебное издание Крупский Александр Юльевич, Феоктистова Людмила Александровна Информационный менеджмент Санитарно-эпидемиологическое заключение № 77.99.02.953.Д.004609.07.04 от 13.07.2004 г. Подписано в печать 20 07.2008. Формат 60x84 1/16. Печать офсетная. Бумага офсетная № 1 Пен. л 5. Тираж 1000 экз. (1-й завод 1 -300 эка ) Заказ Ws6075. Издательско-торговая корпорация “Дашков и К"' 129347. Москва, Ярославское шоссе, д 142, к. 732. Для писем: 129347, Москва, п/о И-347 Тел /факс: 8 (499) 182-01- 58, 182-11-79,183-93-01. E-mail: sales@dashkov.ru — отдел продаж office@dashkov.ru — офис; http’// www.dashkov.ru Отпечатано в соответствии с качеством предоставленных диапозитивов в ФГУП “Производственно-издательский комбинат ВИНИТИ ’, 140010. г Люберцы Московской обл., Октябрьский пр-т, 403. Тел.. 554-21-86
УЧЕБНИКИ С 'РИФОМ МИНИСТЕРСТВА ОБРАЗОВАНИЯ И НАУКИ РФ ИСТОРИЯ отжш СЕРВИСНАЯ ДЕЯТЕЛЬНОСТЬ БУХГАЛТЕРСКИМ ФИНАНСОВЫЙ УЧЕТ учебник МАРКЕТИНГ R ОТРАСЛЯХ И СФЕРАХ ДЕЯТЕЛЬНОСТИ !.Ж? таи Пашков и К издательско-торговая корпорация ЭКОНОИТРИКА ШСШ ОРГАНИЗАЦИЯ И ТЕХНОЛОГ#, КОММЕРЧЕСКОЙ ДЕЯТЕЛЬНОСТИ ФЖЫ КОЙСТИТЧПИОННВР НОГЧЛЯ’СТВЕНПОЕ] прдвп РОССИИ ПРЕДПАГАЕМ CBb 'IE '’ООО НАИМЕНОВАЛИ 1 УЧЕБНОЙ 'I ' ЕРАГ ’Ы МОСКОВСКИХ И РЕГИОНАЛЬНЫХ ИЗДАТЕЛЬСТВ ПО ИЗДАТЕЛЬСКИМ ЦЕНАМ