авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:     | 1 || 3 |

«УДК 331.1(075.8) ББК 65.291.6-21я73 МИНОБРНАУКИ РОССИИ ...»

-- [ Страница 2 ] --

При использовании стандартных СУБД для хранения документов данная проблема решается. К такого рода системам относятся, например, системы «Дело» от ЭОС, «1С:Архив» и DocsFusion компании Hummingbird. Однако такой подход имеет свои слабые стороны — реляционная модель, реализованная в большинстве СУБД, не удобна для модели данных, используемой в СЭД. Достаточно сложно обеспечить необходимую гибкость при создании карточек документов, особенно, если нужна сложная структура. Разработчики СЭД при этом оказываются перед дилеммой: разработать простую, но эффективную структуру хранения данных, при этом отказаться от гибкости при создании карточек, либо иметь громоздкую структуру, которая обеспечивает необходимую гибкость за счет эффективности, прозрачности и надежности работы системы. Вторая неприятная проблема состоит в том, что при использовании внешней СУБД возникают некоторые трудности как при миграции с одной версии СЭД на другую, так и при переходе с одной версии СУБД на другую. Чаще всего такая ситуация приводит к определенному консерватизму пользователей в вопросе перехода на новые версии.

Если СЭД построена на основе какой-либо информационной среды, то грех не воспользоваться ее ресурсами. Большинство систем такого типа, популярных в России, построено на основе Lotus Notes/Domino. Это позволяет использовать все механизмы, заложенные в эту среду, в том числе средства резервного копирования, репликации, поиска и т.д. Проблемы такого подхода лежат в самой необходимости наличия определенной среды для работы системы управления документами, а также в тех ограничениях, которые накладывает конкретная среда на структуру ее баз данных.

Для реализации хранилища документов, опять же, существует два подхода: хранение в файловой системе или в специализированном хранилище СЭД. С точки зрения прагматичного пользователя между этими подходами, если оценивать их в целом, большой разницы нет. Но некоторые особенности все же имеются.

Хранение в файловой системе понижает степень безопасности при разграничении доступа, так как файловая система может не поддерживать ту модель безопасности, которая реализована в самой СЭД. Поэтому приходится наделять СЭД своими правами доступа, так что файлы, сохраненные ею, будут недоступны ни одному из пользователей напрямую. А СЭД поддерживает свою систему списка пользователей с правами доступа, организуя доступ к файлам через эти права. Система доступа при этом становится сложной в сопровождении и не вполне безукоризненной с точки зрения информационной безопасности. Для обеспечения дополнительной надежности часто используется шифрование файлов при хранении. Кроме того, практически все СЭД используют случайное именование файлов, что сильно усложняет поиск нужного файла при попытке доступа в обход системы. Надо сказать, что большинство СЭД осуществляют хранение файлов в файловой системе.

При работе с файловой системой большинство СЭД требуют перемещения файлов в специально организованные каталоги. Но есть и исключения. Например, системы «Евфрат» и Microsoft SharePoint позволяют регистрировать в системе файлы, не требуя их физического перемещения в хранилище. Понятно, что такой подход опасен с точки зрения целостности данных, но зато очень удобен в «переходный период» внедрения СЭД.

Системы, имеющие свое собственное хранилище файлов или использующие хранилище среды, на основе которой построены (например, Lotus Notes/Domino или Microsoft Exchange), могут гарантировать более эффективное управление доступом к документам и более надежное решение проблемы разграничения доступа. Так устроены, например, Documentum и системы на основе Lotus Notes («БОСС-Референт», CompanyMedia). Но при этом возникают вопросы, связанные с целостностью данных, наличием эффективных средств резервного копирования и интеграцией со средствами архивного хранения на медленных носителях. В большинстве систем они так или иначе решены, однако можно пользоваться только инструментами, доступными в самой системе, в то время как в случае файлового хранения вы всегда имеете выбор.

На уровне бизнес-логики обнаруживаются существенные различия между разными СЭД.

Собственно, все описанные компоненты, хотя и могут быть устроены по-разному, отличаться степенью сложности, но при этом функционально аналогичны. Бизнес-логика же различных систем может отличаться кардинально, и это как раз то, что должно интересовать более всего при ознакомлении с системой электронного документооборота. Можно выделить ряд фундаментальных компонентов, из которых, как из кубиков, складывается функциональность любой СЭД.

Управление документами в хранилище. Включает процедуры добавления и изъятия документов, сохранения версий, передачи на хранение в архив, поддержания архива и т.д.

Поиск документов. Состоит из поиска по атрибутам, визуального поиска по различным деревьям, в которые уложены документы, поиска по полному тексту, смыслового поиска и т.д.

Маршрутизация и контроль исполнения. Обеспечивает доставку документов в рамках бизнес-процедур в организации. Собственно, от этой функциональности и пошел термин "электронный документооборот". Маршруты документов могут быть гибкими и жесткими. В случае гибкой маршрутизации следующий получатель документа определяется сотрудником, в ведении которого документ находится в данный момент. В случае жесткой маршрутизации путь прохождения документов определяется заранее на основе некоторой логики. В реальной жизни применяется "смесь" из этих двух подходов: для одних документов и структур в организации уместнее жесткая маршрутизация, для других гибкая. Функция маршрутизации присутствует не во всех СЭД. Обычно, чтобы не путаться, системы без средств маршрутизации называют электронными архивами. Контроль исполнения является неотъемлемой частью маршрутизации.

Если у документа "появились ноги", то нужен контроль того, куда он идет и где сейчас находится.

Фактически, маршрут определяется в терминах пути прохождения и временных интервалов на исполнение документа каждым из участников процесса прохождения. Под исполнением документа подразумевается выполнение действия, связанного с документом, каждым из участников в рамках его должностных полномочий. Проще говоря, кому-то нужно его просто прочитать, а кто-то, возможно, будет уволен.

Отчеты. Служат аналогом конторских журналов учета документов. Используя различные отчеты, можно посмотреть, например, общее время, потраченное сотрудниками на работу над конкретным документом, скорость прохождения документов по подразделениям и т.д. Отчеты отличный материал для принятия управленческих решений.

Администрирование. Поддержика работы самой системы, настройки ее параметров и т. д.

С точки зрения технологий системы электронного документооборота мало отличаются от любых других распределенных информационных систем. По принципу построения архитектуры они пытаются по возможности следовать современным тенденциям и требованиям рынка. Сейчас наиболее популярна концепция открытой среды, максимально подверженной адаптации под конкретные нужды, но при этом несложной в установке и сопровождении, с «тонким» клиентом и выделенным сервером приложений, по возможности многоплатформным. Все существующие системы в той или иной мере приближаются к этому идеалу. Однако еще достаточно распространены системы, основанные на полнофункциональном клиенте, привязанном к конкретной платформе. Иногда в этих случаях для удаленного доступа предлагается отдельный Web-клиент с ограниченной функциональностью. Например, в системе «ГранДок» компании «Гранит-центр», полная функциональность доступна только при использовании клиентского приложения, но при этом пользователь может осуществлять поиск и просмотр документов, находящихся в архиве, с помощью обычного браузера.

Важно отметить, что описанный «идеал» не является еще тем ориентиром, который может стать приоритетом при выборе системы. Это только один из факторов. Если какая-то система вас устраивает по соотношению цены и функциональности, то вовсе не обязательно, чтобы она полностью соответствовала последним веяниям в области построения информационных систем.

На переднем крае все быстро меняется, и все новое завтра станет старым. Проверенные надежные решения зачастую ничем не уступают системам, построенным по последнему слову технологии.

Основные функции СЭД: обеспечение управляемости и прозрачности деятельности предприятия, а также накопление знаний и управление знаниями. В современном мире эти две задачи становятся все более критическими. Например, в себестоимости автомобиля «Мерседес»

лишь 30% — непосредственные издержки производства, а остальное — компенсация стоимости разработки автомобиля, т. е. стоимости деятельности инженеров и управленцев, поэтому в оптимизации их деятельности и лежит основной ресурс снижения себестоимости.

Степень эффективности использования СЭД определяется тем, насколько документы (неструктурированная информация) определяют информационное наполнение деятельности предприятия. Очевидно, например, что для чисто торговой организации основное информационное наполнение — это структурированные данные, заключающиеся в базах данных.

Возможно, такой организации и нужно хранить договоры, но вряд ли дело дойдет до внедрения СЭД. Однако если торговая организация дорастет до торгового монстра с сетью магазинов в десятках городов и сложной логистикой, собственным производством полуфабрикатов, то рано или поздно придется подумать о внедрении системы ERP. На следующем этапе количество оптовых покупателей и крупных заказчиков может вырасти до таких масштабов, что придется подумать о внедрении CRM. И только если при этом аппарат управления разрастется до сотни человек, появятся параллельные непрофильные проекты, возникнут задачи диверсификации, встанет задача внедрения СЭД. При этом какие-то системы, возможно, придется интегрировать, чтобы система CRM имела ссылки на письма, договоры и на копии входящих заказов, которые хранятся в СЭД.

В некоторых случаях интеграция этих систем еще более тесная — СЭД может служить интегрирующим транспортом для передачи документов между системами, которые их порождают, и системами, которые их потребляют, в случае, когда прямая связь на уровне структурированных данных между этими системами не нужна. Предположим, предприятие имеет системы CRM и ERP, причем требуется, чтобы в CRM фиксировались ежеквартальные отчеты из ERP о поставках товара конкретному клиенту, дополненные, возможно, комментариями экспертов. Понятно, что такие отчеты удобнее всего хранить в СЭД. Благодаря интеграции ERP и СЭД документ будет автоматически создан и сохранен. Благодаря интеграции СЭД и CRM возможно автоматическое прикрепление документа к карточке конкретного клиента. И все эти операции могут происходить автоматически. (Подчеркнем, что приведенный пример является чисто умозрительным и на самом деле может не иметь практического смысла;

интеграция любых информационных систем имеет смысл только тогда, когда четко понятна ее цель.) Задачу управления знаниями на сегодняшний день в полной мере решенной назвать нельзя.

Утверждение, что СЭД эффективно решают эту задачу, является некой натяжкой: СЭД лишь позволяют хранить информацию и представлять ее в виде, удобном для анализа. К сожалению, имеющиеся средства управления знаниями малоэффективны. Проблема в том, что применяемые сегодня алгоритмы работы с текстовыми данными, основанные на статистических методах, являются слишком грубым инструментом. Будущее за системами, которые смогут содержательно анализировать смысл текста. Пока таких систем нет, об управлении знаниями в системах СЭД можно говорить только условно.

Очевидно, что функциональность систем управления документами в части решения вопросов управления практически полностью удовлетворяет сегодняшние запросы, и здесь особого развития в ближайшие годы не будет. Основное направление развития систем документооборота — повышение эффективности поиска информации, интеграция со средствами публикации информации в сетях, автоматическая сортировка и рубрикация документов.

Развитие систем управления документами получит второе дыхание с появлением средств, позволяющих осуществлять смысловой поиск информации и интеллектуальное автоматическое реферирование текстов на основе смысла. К сожалению, пока никто не может сказать, как быстро такие технологии станут коммерчески доступными.

Как утверждают эксперты, в плане внедрения систем электронного документооборота мы отстаем от стран Западной Европы примерно на 5 лет. Западный опыт показывает, что при массовом внедрении возникает спрос на весь спектр продуктов — от самых простых до сложных, распределенных и интегрированных решений. Поэтому у нас, похоже, в ближайшее время будет в большей степени превалировать тема внедрения уже имеющихся систем, нежели их дальнейшее развитие.

Контрольные вопросы 1. Понятие электронного документа.

2. Электронная форма.

3. Электронная цифровая подпись.

4. Понятие электронного документооборота.

5. Технология электронного документооборота.

6. Программные продукты электронного документооборота.

Литература: [1,2, 4].

Тема 5. Специальное программное обеспечение информационных технологий управления персоналом Программное обеспечение позволяет усовершенствовать организацию работы вычислительной системы с целью максимального использования ее техники.

Необходимость в разработке ПО обусловливается следующим:

- обеспечить работоспособность технических средств, так как без программного обеспечения они не могут осуществить никаких вычислительных и логических операций;

- обеспечить взаимодействие пользователя с техникой;

- сократить цикл от постановки задачи до получения результата ее решения;

- повысить эффективность использования ресурсов технических средств.

В настоящее время распространены такие формы ИС в управлении предприятиями:

- индивидуальное использование компьютеров;

- автоматизированные рабочие места (АРМ);

- локальные вычислительные сети (ЛВС).

Эти формы децентрализации ресурсов существенно различаются по концентрации вычислительных средств.

Опыт автоматизации управления в производственно-экономических структурах показал, что степень влияния ИС с развитыми информационно-справочными функциями на эффективность управленческой деятельности очень существенна. К наиболее важным результатам ее работы можно отнести:

- расширение информационных возможностей и повышение оперативности принятия решений для ранее действовавших и вновь создаваемых структурных подразделений;

- усиление на этой основе координирующих функций звеньев центрального аппарата управления;

- значительное повышение информированности и рабочей квалификации работников всех уровней управления.

Применение АРМ не должно нарушать привычный пользователю ритм его работы, должно обеспечивать концентрацию внимания пользователя на логической структуре решаемых задач.

Однако если заданное действие не производится или результат искажается, пользователь должен знать причину и информация об этом должна выдаваться на экран.

В составе программного обеспечения АРМ можно выделить два основных вида обеспечения, различающихся по функциям: общее (системное) и специальное (прикладное). К общему программному обеспечению относится комплекс программ, обеспечивающий автоматизацию разработки программ и организацию экономичного вычислительного процесса на ПК безотносительно к решаемым задачам. Специальное (прикладное) программное обеспечение представляет собой совокупность программ решения конкретных задач пользователя.

Режим работы различных технологий, технические особенности вы-числительных устройств, разнообразие и массовый характер их применения предъявляют особые требования к программному обеспечению. Такими требованиями являются: надежность, эффективность использования ресурсов ПК, структурность, модульность, эффективность по затратам, дружественность по отношению к пользователю. При разработке и выборе программного обеспечения необходимо ориентироваться в архитектуре и характеристиках ПК, имея в виду минимизацию времени обработки данных, системное обслуживание программ большого количества пользователей, повышение эффективности использования любых конфигураций технологических схем обработки данных.

Главное назначение общего ПО — запуск прикладных программ и управление процессом их выполнения.

Специальное программное обеспечение АРМ обычно состоит из уникальных программ и функциональных пакетов прикладных программ. Именно от функционального ПО зависит конкретная специализация АРМ. Учитывая, что специальное ПО определяет область применения АРМ, состав решаемых пользователем задач, оно должно создаваться на основе инструментальных программных средств диалоговых систем, ориентированных на решение задач со схожими особенностями обработки информации.

Программное обеспечение АРМ должно обладать свойствами адаптивности и настраиваемости на конкретное применение в соответствии с требованиями пользователя.

В качестве операционных систем АРМ, созданных на базе 16разрядных компьютеров, обычно используется MS DOC, на базе 32- разрядных—OS/2 и UNIX.

Основными приложениями пакетов прикладных программ, входящих в состав специального ПО АРМ, являются обработка текстов, табличная обработка данных, управление базами данных, машинная и деловая графика, организация человеко-машинного диалога, поддержка коммуникаций и работа в сетях.

Эффективными в АРМ являются многофункциональные интегрированные пакеты, реализующие несколько функций переработки информации, например табличную, графическую, управление базами данных, текстовую обработку в рамках одной программной среды.

Интегрированные пакеты удобны для пользователей. Они имеют единый интерфейс, не требуют стыковки входящих в них программных средств, обладают достаточно высокой скоростью решения задач.

Эффективное функционирование ИС управления и АРМ специалиста базируется на комплексном использовании современных программных средств обработки информации в совокупности с современными организационными формами размещения техники.

Выбор организационных форм использования программных средств целесообразно осуществлять с учетом их рассредоточения по уровням иерархии управления в соответствии с организационной структурой автоматизируемого объекта. При этом основным принципом выбора является коллективное обслуживание пользователей, отвечающее структуре экономического объекта.

С учетом современной функциональной структуры территориальных органов управления совокупность программно-технических средств должна образовывать по меньшей мере трехуровневую глобальную систему обработки данных с развитым набором периферийных средств каждого уровня Первый уровень — центральная вычислительная система территориального или корпоративного органа, включающая одну или несколько мощных ЭВМ, или мэйнфреймов. Ее главная функция — общий, экономический и финансовый контроль, информационное обслуживание работников управления.

Второй уровень — вычислительные системы предприятий (объединений), организаций и фирм, которые включают мэйнфреймы, мощные ПК, обеспечивают обработку данных и управление в рамках структурной единицы.

Третий уровень — локально распределенные вычислительные сети на базе ПК, обслуживающие производственные участки нижнего уровня. Каждый участок оснащен собственным ПК, который обеспечивает комплекс работ по первичному учету, учету потребности и распределения ресурсов. В принципе это может быть автоматизированное рабочее место (АРМ), выполняющее функциональные вычислительные процедуры в рамках определенной предметной области.

Пакеты прикладных программ являются наиболее динамично развивающейся частью программного обеспечения: круг решаемых с их помощью задач постоянно расширяется.

Внедрение компьютеров во все сферы деятельности стало возможным благодаря появлению новых и совершенствованию существующих ППП.

Структура и принципы построения ППП зависят от класса ЭВМ и операционной системы, с которой этот пакет будет функционировать. Наибольшее количество ППП создано для 1ВМ РС совместимых компьютеров с операционной системой М8 008 и операционной оболочкой \VINDOWS. Классификация этих пакетов программ по функционально-организационному признаку представлена на рис. 4.3.

Проблемно-ориентированные ППП — наиболее функционально развитые и многочисленные ППП. Они включают следующие программные продукты: текстовые процессоры, издательские системы, графические редакторы, демонстрационную графику, системы мультимедиа, ПО САПР, организаторы работ, электронные таблицы (табличные процессоры), системы управления базами данных, программы распознавания символов, финансовые и аналитико-статистические программы.

Электронные таблицы (табличные процессоры) — пакеты программ для обработки табличным образом организованных данных. Пользователь имеет возможность с помощью средств пакета осуществлять разнообразные вычисления, строить графики, управлять форматом ввода-вывода данных, компоновать данные, проводить аналитические исследования и т.п.

В настоящее время наиболее популярными и эффективными пакетами данного класса являются Excel, Improv, Quattro Pro, 1-2-3.

Организаторы работ — это пакеты программ, предназначенные для автоматизации процедур планирования использования различных ресурсов (времени, денег, материалов) как отдельного человека, так и всей фирмы или ее структурных подразделений.

К пакетам данного типа относятся: Time Line, MS Project, SuperProject, Lotus Organizer, ACT1.

Текстовые процессоры — программы для работы с документами (текстами), позволяющие компоновать, форматировать, редактировать тексты при создании пользователем документа.

Признанными лидерами в части текстовых процессоров для ПК являются MS Word, WordPerfect, Ami Pro.

Настольные издательские системы (HMQ — программы для профессиональной издательской деятельности, позволяющие осуществлять электронную верстку основных типов документов, например информационного бюллетеня, краткой цветной брошюры и объемного каталога или торговой заявки, справочника.

Наилучшими пакетами в этой области являются Corel Ventura, PageMaker, QuarkXPress, FrameMaker, Microsoft Publisher, PagePlus. Кроме первого, остальные пакеты созданы в соответствии со стандартами Windows.

Графические редакторы — пакеты для обработки графической информации;

делятся на ППП обработки растровой графики и изображений и векторной графики.

ППП первого типа предназначены для работы с фотографиями. В пакетах предусмотрены возможности преобразования фотографий в изображение с другой степенью разрешения или другие форматы данных (типа BMP, GIF и т.п.). Признанный лидер среди пакетов данного класса — Adobe Photoshop. Известные пакеты — Aldus Photostyler, Picture Publisher, PhotoWorks Plus. Все программы ориентированы на работу в среде Windows.

Пакеты с векторной графикой предназначены для профессиональной работы, связанной с художественной и технической иллюстрацией с последующей цветной печатью. Они обладают широким набором функциональных средств для сложной и точной обработки графических изображений.

Пакеты демонстрационной графики являются конструкторами графических образов деловой информации, т. е. своеобразного видеошоу, призванного в наглядной и динамичной форме представить результаты некоторого аналитического исследования. Пакеты позволяют создавать почти все виды диаграмм и извлекать данные для графиков из табличных процессоров.

Программы данного типа просты в работе и снабжены интерфейсом, почти не требующим изучения. К наиболее популярным пакетам данного типа относятся PowerPoint, Harvard Graphics, WordPerfect Presentations, Freelance Graphics. Пакеты программ мультимедиа предназначены для отображения и обработки аудио- и видеоинформации. Помимо программных средств компьютер должен быть оборудован дополнительными платами, позволяющими осуществлять ввод-вывод аналоговой информации, ее преобразование в цифровую форму.

Среди мультимедийных программ можно выделить две большие группы. Первая включает пакеты для обучения и досуга. Поставляемые на CD-ROM емкостью от 200 до 500 Мбайт каждый, они содержат аудиовизуальную информацию по определенной тематике.

Разнообразие их огромно, и рынок этих программ постоянно расширяется при одновременном улучшении качества видеоматериалов.

Вторая группа включает программы для подготовки видеоматериалов для создания мультимедиа представлений, демонстрационных дисков и стендовых материалов.

К пакетам данного вида относятся Director for Windows, Multimedia ViewKit, NEC MultiSpin.

Другая разновидность пакетов программ, связанная с обработкой графических изображений, это — системы автоматизации проектирования. Они предназначены для автоматизации проектно-конструкторских работ в машиностроении, автомобилестроении, промышленном строительстве и т.п.

Своеобразным стандартом среди программ данного класса является пакет AutoCAD фирмы Autodesk. Отметим также программы DesignCAD, Drafic CAD Professional, Drawbase, Microstation, Ultimate CAD Base и Turbo CAD. Эти пакеты отличаются богатством функциональных возможностей и предназначены для функционирования в среде Windows (Windows NT) или OS/2.

Программы распознавания символов предназначены для перевода графического изображения букв и цифр в ASCII-коды этих символов и используются, как правило, совместно со сканерами.

Пакеты данного типа обычно включают разнообразные средства, облегчающие работу пользователя и повышающие вероятность правильного распознавания.

Скорость сканирования современных ППП составляет примерно 1,5 минуты на страницу. К пакетам данного типа относятся Fine Reader, CunieForm, Tigert™, OmniPage.

Разнообразными пакетами представлена группа финансовых программ: для ведения личных финансов, автоматизации бухгалтерского учета малых и крупных фирм, экономического прогнозирования развития фирмы, анализа инвестиционных проектов, разработки технико экономического обоснования финансовых сделок и т.п. Например, программы типа MS Money, МЕСА Software, MoneyCounts ориентированы на сферу планирования личных денежных ресурсов.

В них предусмотрены средства для ведения деловых записей типа записной книжки и расчета финансовых операций.

Для расчета величины налогов можно использовать программы Turbo Tax for Windows, Personal Tax Edge.

С помощью программ Quicken, DacEasy Accounting, Peachtree for Windows можно автоматизировать бухгалтерский учет. Эту же функцию выполняет ряд отечественных программ:

«Турбо-бухгалтер», «1C: Бухгалтерия», «Бухгалтер» фирмы «Атлант-Информ» и др.

Для аналитических исследований используются хорошо зарекомендовавшие себя зарубежные статистические пакеты, такие, как StatGraphics, Project-Expert или отечественная разработка Статистик- Консультант.

Интегрированные пакеты программ — по количеству наименований продуктов немногочисленная, но в вычислительном плане мощная и активно развивающаяся часть ПО.

Традиционные, или полносвязанные, интегрированные программные комплексы представляют собой многофункциональный автономный пакет, в котором в одно целое соединены функции и возможности различных специализированных (проблемно-ориентированных) пакетов, родственных в смысле технологии обработки данных на отдельном рабочем месте.

Представителями таких программ являются пакеты Framework, Symphony, а также пакеты нового поколения Microsoft Works, Lotus Works.

В рамках интегрированного пакета обеспечивается связь между данными, однако при этом сужаются возможности каждого компонента по сравнению с аналогичным специализированным пакетом.

В настоящее время активно реализуется другой подход к интеграции программных средств:

объединение специализированных пакетов в рамках единой ресурсной базы, обеспечение взаимодействия приложений (программ пакета) на уровне объектов и единого упрощенного центра-переключателя между приложениями. Интеграция в этом случае носит объектно связанный характер.

Типичные и наиболее мощные пакеты данного типа: Borland Office for Windows, Lotus, SmartSute for Windows, Microsoft Office. В профессиональной редакции этих пакетов присутствуют четыре приложения: текстовый редактор, СУБД, табличный процессор, программы демонстрационной графики.

Особенностью нового типа интеграции пакетов является использование общих ресурсов.

Здесь можно выделить четыре основных вида совместного доступа к ресурсам.

1. Пользование утилит, общих для всех программ комплекса. Так, например, утилита проверки орфографии доступна из всех программ пакета.

2. Применение объектов, которые могут находиться в совместном использовании нескольких программ.

3. Реализация простого метода перехода (или запуска) из одного приложения к другому.

4. Реализация построенных на единых принципах средств автоматизации работы с приложением (макроязыка), что позволяет организовать комплексную обработку информации при минимальных затратах на программирование и обучение программированию на языке макроопределений.

Механизм динамической компоновки объектов дает возможность пользователю помещать информацию, созданную одной прикладной программой, в документ, формируемый другой.

Пользователь может редактировать информацию в новом документе средствами того продукта, с помощью которого этот объект был создан (при редактировании автоматически запускается соответствующее приложение). Запущенное приложение и программа обработки документа контейнера выводят на экран гибридное меню для удобства работы специалиста. Кроме того, данный механизм позволяет переносить OLE-объекты из окна одной прикладной программы в окно другой.

В этой технологии предусмотрена также возможность общего ис-пользования функциональных ресурсов программ: например, модуль построения графиков табличного процессора может быть использован в текстовом редакторе. Недостатком данной технологии является ограничение формата графика размером одной страницы.

OpenDoc представляет собой объектно-ориентированную систему, базирующуюся на открытых стандартах фирм — участников разработки. В качестве модели объекта используется распределенная модель системных объектов (DSOM — Distributed System Object Model), разработанная фирмой IBM для OS/2. Предполагается совместимость между OLE и OpenDoc.

Контрольные вопросы 1. Классификация программных продуктов, используемых специалистами в управлении персоналом.

2. 1С: Предприятие 8.2 (Управление персоналом) 3. «Галактика», АиТ «Управление персоналом»

4. Информационные кадровые системы. система “БОСС-Кадровик”.

5. Автоматизированная система подбора персонала «Рекрутер».

6. Автоматизированная система управления персоналом “Фараон”.

7. Управление проектами MS Project.

8. Информационно-справочная система «Консультант Плюс»

Литература: [1,2, 4].

Тема 6 Информационная безопасность. Экономическая эффективность информационных технологий управления персоналом Отечественный ИТ-рынок в последние несколько лет динамично развивается, по оценкам экспертов его рост превышает 10% в год. При этом сектор информационной безопасности (ИБ) развивается еще более быстрыми темпами — более чем на 25% в год. Такой рост определяется в основном двумя факторами: возросшим вниманием руководства к обеспечению ИБ и недостаточным уровнем ИБ в существующих информационных системах (ИС).

Понятно, что долго такие темпы роста сектора ИБ сохраняться не смогут, они замедлятся, и вопросы оценки эффективности затрат в области ИБ встанут весьма остро. Уже сейчас в отечественных ИС с повышенными требованиями в области ИБ (банковские системы, ответственные производства, и т.д.) затраты на обеспечение режима ИБ составляют до 30% всех затрат на ИС, и владельцы информационных ресурсов серьезно рассматривают экономические аспекты обеспечения ИБ. Даже в тех ИС, уровень ИБ которых явно не достаточен, у технических специалистов зачастую возникают проблемы обоснования перед руководством (владельцами информационных ресурсов) затрат на повышение этого уровня.

Начальники служб автоматизации, исполнительные директора, начальники служб информационной безопасности должны иметь понятные для бизнеса аргументы для обоснования инвестиций в ИБ, т.е., по сути, представлять обоснование стоимости системы ИБ для бизнеса.

В обосновании затрат на ИБ существует два основных подхода.

Первый подход, назовем его наукообразным, заключается в том, чтобы освоить, а затем и применить на практике необходимый инструментарий измерения уровня ИБ. Для этого необходимо привлечь руководство компании (как ее собственника) к оценке стоимости информационных ресурсов, определению оценки потенциального ущерба от нарушений в области ИБ. От результатов этих оценок будет во многом зависеть дальнейшая деятельность руководителей в области ИБ. Если информация ничего не стоит, существенных угроз для информационных активов компании нет, а потенциальный ущерб минимален (руководство это подтверждает (!)), проблемой обеспечения ИБ можно не заниматься. Если информация обладает определенной стоимостью, угрозы и потенциальный ущерб ясны, тогда встает вопрос о внесении в бюджет расходов на подсистему ИБ. В этом случае становится необходимым заручиться поддержкой руководства компании в осознании проблем ИБ и построении корпоративной системы защиты информации.

Второй подход, назовем его практическим, состоит в следующем: можно попытаться найти инвариант разумной стоимости корпоративной системы защиты информации. Ведь существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер. Например, на рынке автострахования оценка стоимости этой услуги составляет — 5-15% от рыночной стоимости автомобиля в зависимости от локальных условий его эксплуатации, стажа водителя, интенсивности движения, состояния дорог и т.д.

По аналогии, ИБ в компании можно вообще не заниматься, и не исключен такой вариант, что принятый риск себя вполне оправдает. А можно потратить на создание корпоративной системы защиты информации немало денег, и при этом останется некоторая уязвимость, которая рано или поздно приведет к утечке или хищению конфиденциальной информации.

Эксперты-практики в области защиты информации нашли некое оптимальное решение, при котором можно чувствовать себя относительно уверенно — стоимость системы ИБ должна составлять примерно 10-20% от стоимости КИС, в зависимости от конкретных требований к режиму информационной безопасности. Это и есть та самая оценка на основе практического опыта (best practice), которой можно уверенно оперировать, если не производить детальные расчеты.

Этот подход, очевидно, не лишен недостатков. В данном случае, скорее всего, не удастся вовлечь руководство в глубокое осознание проблем ИБ. Но зато можно обосновать объем бюджета на ИБ путем ссылки на понятные большинству владельцев информационных ресурсов общепринятые требования к обеспечению режима информационной безопасности "best practice", формализованные в ряде стандартов, например ISO 17799.

Реализация этих подходов (конкретные методы оценки эффективности системы ИБ) на практике зависит от ряда факторов, среди которых основными являются степень зрелости организации и специфика ее деятельности.

В статье рассматривается одна из наиболее известных методик оценки совокупной стоимости владения (ССВ) компании Gartner Group применительно к системе особенности использования этой методики в отечественных условиях. Эта методика применима в случаях, когда используется первый подход к обоснованию затрат на ИБ.

Методика совокупной стоимости владения (ССВ) была изначально предложена аналитической компанией Gartner Group в конце 80-х годов (1986-1987) для оценки затрат на информационные технологии. Методика Gartner Group позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратно программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д.

Данная методика может быть использована для доказательства экономической эффективности существующих корпоративных систем защиты информации. Она позволяет руководителям служб информационной безопасности обосновывать бюджет на ИБ, а также доказывать эффективность работы сотрудников службы ИБ. Поскольку оценка экономической эффективности корпоративной системы защиты информации становится "измеримой", появляется возможность оперативно решать задачи контроля и коррекции показателей экономической эффективности и, в частности, показателя ССВ. Таким образом, показатель ССВ можно использовать как инструмент для оптимизации расходов на обеспечение требуемого уровня защищенности КИС и обоснование бюджета на ИБ. При этом в компании эти работы могут выполняться самостоятельно, с привлечением системных интеграторов в области защиты информации или совместно предприятием и интегратором.

В целом методика ССВ компании Gartner Group позволяет:

Получить адекватную информацию об уровне защищенности распределенной • вычислительной среды и совокупной стоимости владения корпоративной системы защиты информации.

Сравнить подразделения службы ИБ компании, как между собой, так и с • аналогичными подразделениями других предприятий в данной отрасли.

Оптимизировать инвестиции на ИБ компании с учетом реального значения • показателя ССВ.

Показатель ССВ может использоваться практически на всех основных этапах жизненного цикла корпоративной системы защиты информации и позволяет "навести порядок" в существующих и планируемых затратах на ИБ. С этой точки зрения показатель ССВ дает возможность объективно и независимо обосновать экономическую целесообразность внедрения и использования конкретных организационных и технических мер и средств защиты информации.

Для объективности решения также необходимо дополнительно учитывать состояние внешней и внутренней среды предприятия, например, показатели технологического, кадрового и финансового развития предприятия, так как не всегда наименьший показатель ССВ корпоративной системы защиты информации может быть оптимален для компании.

Сравнение определенного показателя ССВ с аналогичными показателями ССВ по отрасли (с аналогичными компаниями) и с "лучшими в группе" позволяет объективно и независимо обосновать затраты компании на ИБ. Ведь часто оказывается довольно трудно или даже практически невозможно оценить прямой экономический эффект от затрат на ИБ. Сравнение же "родственных" показателей ССВ позволяет убедиться в том, что проект создания или реорганизации корпоративной системы защиты информации компании является оптимальным по сравнению с некоторым среднестатистическим проектом в области защиты информации по отрасли. Указанные сравнения можно проводить, используя усредненные показатели ССВ по отрасли, рассчитанные экспертами Gartner Group или собственными экспертами компании с помощью методов математической статистики и обработки наблюдений.

Методика ССВ Gartner Group позволяет ответить на следующие вопросы:

Какие ресурсы и денежные средства расходуются на ИБ?

• Оптимальны ли затраты на ИБ для бизнеса компании?

• Насколько эффективна работа службы ИБ компании по сравнению с другими?

• Как эффективно управлять инвестированием в защиту информации?

• Какие выбрать направления развития корпоративной системы защиты информации?

• Как обосновать бюджет компании на ИБ?

• Как доказать эффективность существующей корпоративной системы защиты • информации и службы ИБ компании в целом?

Какова оптимальная структура службы ИБ компании?

• Как оценить эффективность нового проекта в области защиты информации?

• ИБ обеспечивается комплексом мер на всех этапах жизненного цикла ИС, совокупная стоимость владения для системы ИБ в общем случае складывается из стоимости:

Проектных работ.

• Закупки и настройки программно-технических средств защиты, включающих • следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и AAA (средства аутентификации, авторизации и администрирования).

Затрат на обеспечение физической безопасности.

• Обучения персонала.

• Управления и поддержки системы (администрирование безопасности).

• Аудита ИБ.

• Периодической модернизации системы ИБ.

• Под показателем ССВ понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы защиты информации в течении года. ССВ может рассматриваться как ключевой количественный показатель эффективности организации ИБ в компании, так как позволяет не только оценить совокупные затраты на ИБ, но управлять этими затратами для достижения требуемого уровня защищенности КИС.

При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или "собственностью"), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.

В свою очередь косвенные затраты отражают влияние КИС и подсистемы защиты информации на сотрудников компании посредством таких измеримых показателей как простои и "зависания" корпоративной системы защиты информации и КИС в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на ИБ, а выявляются явно при анализе затрат в последствии, что в конечном счете приводит к росту "скрытых" затрат компании на ИБ.

Существенно, что ССВ не только отражает "стоимость владения" отдельных элементов и связей корпоративной системы защиты информации в течение их жизненного цикла. "Овладение методикой" ССВ помогает службе ИБ лучше измерять, управлять и снижать затраты и/или улучшать уровни сервиса защиты информации с целью адекватности мер защиты бизнесу компании.

Подход к оценке ССВ базируется на результатах аудита структуры и поведения корпоративной системы защиты информации и КИС в целом, включая действия сотрудников служб автоматизации, информационной безопасности и просто пользователей КИС. Сбор и анализ статистики по структуре прямых (HW/SW, операции, административное управление) и косвенных затрат (на конечных пользователей и простои) проводится, как правило, в течение 12 месяцев.

Полученные данные оцениваются по ряду критериев с учетом сравнения с аналогичными компаниями по отрасли.

Методика ССВ позволяет оценить и сравнить состояние защищенности КИС компании с типовым профилем защиты, в том числе показать узкие места в организации защиты, на которые следует обратить внимание. Иными словами, на основе полученных данных можно сформировать понятную с экономической точки зрения стратегию и тактику развития корпоративной системы защиты информации, а именно: "сейчас мы тратим на ИБ столько-то, если будем тратить столько то по конкретным направлениям ИБ, то получим такой-то эффект".

В методике ССВ в качестве базы для сравнения используются данные и показатели ССВ для западных компаний. Однако данная методика способна учитывать специфику российских компаний с помощью, так называемых, поправочных коэффициентов, например:

По стоимости основных компонентов корпоративной системы защиты информации • и КИС, информационных активов компании с учетом данных по количеству и типам средств вычислительной техники, периферии и сетевого оборудования.

По заработанной плате сотрудников c учетом дохода компании, географического • положения, типа производства и размещения организации (крупный город или нет).

По конечным пользователям ИТ c учетом типов пользователей и их размещения (для • каждого типа пользователей требуется различная организация службы поддержки и вычислительной инфраструктуры).

По использованию методов, так называемой, "лучшей практики" (best practice) в • области управления ИБ с учетом реального состояния дел по управлению изменениями, операциями, активами, сервисному обслуживанию, обучению, планированию и управлению процессами.

По уровню сложности используемой информационной технологии и ее интеграции в • производственный процесс организации (процент влияния — до 40%).

В целом определение затрат компании на ИБ подразумевает решение следующих трех задач:

Оценка текущего уровня ССВ корпоративной системы защиты информации и КИС в • целом.

Аудит ИБ компании на основе сравнения уровня защищенности компании и • рекомендуемого (лучшая мировая практика) уровня ССВ.

Формирование целевой модели ССВ.

• Рассмотрим каждую из перечисленных задач.

В ходе работ по оценке ССВ проводится сбор информации и расчет показателей ССВ организации по следующим направлениям:

Существующие компоненты КИС (включая систему защиты информации) и • информационные активы компании (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства).

Существующие расходы на аппаратные и программные средства защиты • информации (расходные материалы, амортизация).

Существующие расходы на организацию ИБ в компании (обслуживание СЗИ и • СКЗИ, а также штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработку концепции и политики безопасности и пр.).

Существующие расходы на организационные меры защиты информации.

• Существующие косвенные расходы на организацию ИБ в компании и, в частности, • обеспечение непрерывности или устойчивости бизнеса компании.

По результатам собеседования с TOP-менеджерами компании и проведения инструментальных проверок уровня защищенности организации проводится анализ следующих основных аспектов:

Политики безопасности.

• Организационных вопросов управления подсистемой безопасности.

• Классификации и управления информационными ресурсами.

• Управления персоналом.

• Физической безопасности.

• Администрирования компьютерных систем и сетей.

• Управления доступом к системам.

• Разработки и сопровождения систем.

• Планирования бесперебойной работы организации.

• Проверки системы на соответствие требованиям ИБ.

• На основе проведенного анализа выбирается модель ССВ, сравнимая со средними и оптимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией показатели по объему бизнеса. Такая группа выбирается из банка данных по эффективности затрат на ИБ и эффективности соответствующих профилей защиты аналогичных компаний.

Сравнение текущего показателя ССВ проверяемой компании с модельным значением показателя ССВ позволяет провести анализ эффективности организации ИБ компании, результатом которого является определение "узких" мест в организации, причин их появления и выработка дальнейших шагов по реорганизации корпоративной системы защиты информации и обеспечения требуемого уровня защищенности КИС.

Уучитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность, методы "лучшей практики", типы СЗИ и СКЗИ, квалификация сотрудников компании и т. п.).

Кроме того, рассматриваются капитальные расходы и трудозатраты, необходимые для проведения преобразований текущей среды в целевую среду. В трудозатраты на внедрение включаются затраты на планирование, развертывание, обучение и разработку. Сюда же входят возможные временные увеличения затрат на управление и поддержку.

Для обоснования эффекта от внедрения новой корпоративной системы защиты информации могут быть использованы модельные характеристики снижения совокупных затрат, отражающие возможные изменения в корпоративной системе защиты информации.

Постановка задачи анализа эффективности инвестиций в обеспечение ИБ зависит от уровня зрелости организации. В [3] рассмотрена возможная классификация организаций по уровням зрелости:

"Анархия".

• "Фольклор".

• "Стандарты".

• "Измеримый".

• "Оптимизируемый".

• и их характеристика в области ИБ. Понятно, что подобная методика может эффективно применяться в организациях последних двух уровней зрелости ("Измеримый", "Оптимизируемый"), частично быть полезной при уровне зрелости "Стандарты" и бесполезна на первых двух уровнях.

При применении экономических методов анализа эффективности инвестиций в ИБ для аргументации принятия тех или иных решений, необходимо помнить, что существуют и другие "неэкономические" факторы, в частности:

Структура организации и особенности системы управления.

• Осведомленность и вовлеченность руководства в вопросы развития ИТ.

• Особенности стратегии организации.

• Позиции руководства отделов ИТ и ИБ в компании.

• Роль ИТ в производственном процессе.

• Случившиеся инциденты в области ИБ с тяжелыми последствиями.

• Эти и возможно другие факторы следует учитывать наряду с экономическими при составлении аналитических материалов.

В качестве примера использования методики ССВ для обоснования инвестиций в ИБ рассмотрим проект модернизации корпоративной системы антивирусной защиты и системы управления доступом на объекте информатизации (физическая защита).

Для этого сначала условно определим три возможных состояния системы защиты КИС от вирусов и вредоносного ПО, а именно: базовое, среднее и высокое.


Базовое: Стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня — организация минимальной защиты от вирусов и вредоносного ПО при небольших затратах.

Среднее: Установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает выработку и следование определенной политики защиты информации, передаваемой по открытым каналам связи Интернет. Дополнительно к техническим мерам используются организационные меры защиты информации.

Высокое: Антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления ИБ компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании.

Также условно выделим три состояния развития системы контроля и управления доступом в КИС (обеспечение физической безопасности): базовое, среднее, высокое.

Базовое: Ведется учет как минимум рабочих станций и серверов, инвентаризационные таблички крепятся на соответствующее аппаратное обеспечение. Введена процедура контроля перемещения аппаратных средств КИС. Проводятся постоянные и периодические инструктажи персонала компании. Особое внимание уделяется мобильным компонентам КИС.

Среднее: Используются механические и электронные замки, шлюзовые кабины и турникеты. Организованы контрольно-пропускные пункты и проходные. Осуществляется видеонаблюдение на объекте информатизации. Требования к персоналу определены и доведены под роспись. Разработаны инструкции по действию в штатных и внештатных ситуациях.

Задействованы частные и государственные охранные предприятия и структуры.

Высокое: Обеспечение физической безопасности аппаратных средств является частью единой политики безопасности, утвержденной руководством компании. Активно используются весь комплекс мер защиты информации, начиная с организационного и заканчивая техническим уровнями.

Проект по модернизации корпоративной системы в части ИБ предполагает модернизацию двух элементов: антивирусной защиты и системы управления ИБ. Необходимо обосновать переход от базового уровня к повышенному (среднему или высокому). В Таб. 1 приводятся требования к элементам защиты, сформулированные в задании на модернизацию КИС.

Расходы на аппаратные средства и программное обеспечение. Эта категория модели ССВ включает серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сетевые компоненты. Также в эту категорию входят расходы на аппаратно-программные средства ИБ.

Расходы на операции ИС. Прямые затраты на содержание персонала, стоимость работ и аутсорсинг, произведенные компанией в целом, бизнес-подразделениями или ИС службой для осуществления технической поддержки и операций по поддержанию инфраструктуры для пользователей распределенных вычислений.

Административные расходы. Прямые затраты на персонал, обеспечение деятельности и расходы внутренних/внешних поставщиков (вендоров) на поддержку ИС операций, включающих управление, финансирование, приобретение и обучение ИС.

Расходы на операции конечных пользователей. Это затраты на самоподдержку конечных пользователей, а также на поддержку пользователями друг друга в противовес официальной поддержке ИТ. Затраты включают: самостоятельную поддержку, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.

Расходы на простои. Данная категория учитывает ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и ПО для связи. Для анализа фактической стоимости простоев, которые связаны с перебоями в работе сети и которые оказывают влияние на производительность, исходные данные получают из обзора по конечным пользователям.

Рассматриваются только те простои, которые ведут к потерям в основной деятельности организации.

Отметим, что для применения методики ССВ требуются данные о потерях, связанных с простоями и другими негативными последствиях реализации угроз ИБ. Получить экономические оценки потерь можно на этапе анализа информационных рисков.

Рассмотрим, как можно определить прямые (бюджетные) и косвенные затраты на ИБ с учетом специфики российских компаний.

Предположим, что руководство компании проводит работы по внедрению на предприятии системы защиты информации (СЗИ). Уже определены объекты и цели защиты, угрозы информационной безопасности и меры по противодействию им, приобретены и установлены необходимые средства защиты информации. Для того, чтобы требуемый уровень защиты ресурсов реально достигался и соответствовал ожиданиям руководства предприятия, необходимо ответить на следующие основные вопросы, связанные с затратами на информационную безопасность:

• Что такое затраты на информационную безопасность?

• Неизбежны ли затраты на информационную безопасность?

• Какова зависимость между затратами на информационную безопасность и достигаемым уровнем информационной безопасности?

• Представляют ли затраты на информационную безопасность существенную часть от оборота компании?

• Какую пользу можно извлечь из анализа затрат на информационную безопасность?

Рассмотрим возможные ответы на поставленные вопросы.

Как правило, затраты на информационную безопасность подразделяются на следующие категории:

• Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты).

• Затраты на контроль, то есть на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия.

• Внутренние затраты на ликвидацию последствий нарушения политики информационной безопасности (НПБ) — затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут.

• Внешние затраты на ликвидацию последствий нарушения политики информационной безопасности — компенсация потерь при нарушениях политики безопасности в случаях, связанных с утечкой информации, потерей имиджа компании, утратой доверия партнеров и потребителей и т. п.

• Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (затраты на предупредительные мероприятия).

При этом обычно выделяют единовременные и систематические затраты. К единовременным относятся затраты на формирование политики безопасности предприятия:

организационные затраты и затраты на приобретение и установку средств защиты.

Классификация затрат условна, так как сбор, классификация и анализ затрат на информационную безопасность — внутренняя деятельность предприятий, и детальная разработка перечня зависят от особенностей конкретной организации. Самое главное при определении затрат на систему безопасности — взаимопонимание и согласие по статьям расходов внутри предприятия. Кроме того, категории затрат должны быть постоянными и не должны дублировать друг друга. Невозможно полностью исключить затраты на безопасность, однако они могут быть приведены к приемлемому уровню. Некоторые виды затрат на безопасность являются абсолютно необходимыми, а некоторые могут быть существенно уменьшены или исключены. Последние — это те, которые могут исчезнуть при отсутствии нарушений политики безопасности или сократятся, если количество и разрушающее воздействие нарушений уменьшатся.

При соблюдении политики безопасности и проведении профилактики нарушений можно исключить или существенно уменьшить следующие затраты:

• На восстановление системы безопасности до соответствия требованиям политики безопасности.

• На восстановление ресурсов информационной среды предприятия.

• На переделки внутри системы безопасности.

• На юридические споры и выплаты компенсаций.

• На выявление причин нарушения политики безопасности.

Необходимые затраты — это те, которые необходимы даже если уровень угроз безопасности достаточно низкий. Это затраты на поддержание достигнутого уровня защищенности информационной среды предприятия.

Неизбежные затраты могут включать:

• Обслуживание технических средств защиты.

• Конфиденциальное делопроизводство.

• Функционирование и аудит системы безопасности.

• Минимальный уровень проверок и контроля с привлечением специализированных организаций.

• Обучение персонала методам информационной безопасности.

Сумма всех затрат на повышение уровня защищенности предприятия от угроз информационной безопасности составляет Общие затраты на безопасность.

Взаимосвязь между всеми затратами на безопасность, общими затратами на безопасность и уровнем защищенности информационной среды предприятия обычно имеет вид функции Общие затраты на безопасность складываются из затрат на предупредительные мероприятия, затрат на контроль и восполнение потерь (внешних и внутренних). С изменением уровня защищенности информационной среды изменяются величины составляющих общих затрат и, соответственно, их сумма — общие затраты на безопасность. Мы не включаем в данном случае единовременные затраты на формирование политики информационной безопасности предприятия, так как предполагаем, что такая политика уже выработана.


• Эффективность предупредительной дея-тельности не велика. В рассматриваемоей модели предполагается, что такая деятельность позволяет не повторять допущенные ранее ошибки. На практике это не так, и для достижения должного эф-фекта требуются гораздо большие затраты. В результате точка экономического равновесия сдвигается вправо.

• Устаревание системы ИБ.

• Разработчики средств защиты не успевают за активностью злоумышленников, которые находят все новые и новые бреши в системах защиты. Кроме того, информатизация предприятия может породить новые проблемы, решение которых потребует дополнительных предупредительных затрат.

Все это может сместить экономическое равновесие по направлению к левому краю диаграммы.

Многие руководители служб безопасности (СБ) предприятий уверены в том, что они работают на том уровне защищенности, который соответствует экономическому равновесию.

Однако, как показывает практика, очень часто они не имеют веских доказательств для подтверждения этого предположения.

Рассмотренный график является идеализированным, на нем показан уровень защищенности информационной среды предприятия от угроз безопасности в терминах "высокий" и "низкий" и может не соотноситься с возможным ущербом.

Руководитель службы безопасности, который уверен, что он работает на базовом уровне защищенности, склонен верить, что это и есть экономическое равновесие, тогда как руководитель СБ, который думает, что он работает на максимальном уровне защищенности, верит, что экономическое равновесие находится именно на этом уровне.

Приведенный график может внушить таким руководителям СБ уверенность в том, что повышение защищенности информационной среды на их предприятиях будет сопровождаться лишь увеличением затрат. В результате никакой дополнительной деятельности в области ИБ вестись не будет.

Если предупредительные мероприятия проводятся должным образом и являются эффективными, то достаточно трудно найти доказательство того, что на каком-либо предприятии произошло повышение общих затрат на безопасность вследствие увеличения затрат на предупредительные мероприятия.

С другой стороны, если мы имеем дело с режимным объектом, который имеет очень низкий уровень риска, то есть теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик, то на таком объекте общие затраты на безопасность незначительны.

Контрольные вопросы 1. Информационная безопасность.

2. Информационные ресурсы и конфиденциальность информации.

3. Необходимость защиты информации.

4. Основные понятия.

5. Угрозы безопасности.

6. Каналы утечки информации и несанкционированного доступа.

7. Модель нарушителя. Основные методы и средства защиты информации.

8. Экономическая эффективность применения автоматизированных информационных технологий.

9. Подходы к оценке эффективности АИТУ.

10. Факторы обеспечения эффективности АИТУ.

11. Технология оценки эффективности АИТУ.

12. Показатели эффективности АИТУ: чистый дисконтированный доход, индекс доходности, внутренняя норма доходности, срок окупаемости.

13. Подходы к определению результативности ИТ.

14. Роль Федеральной целевой программы «Электронная Россия» в повышении эффективности информационных технологий.

Литература: [1,2, 4].

3. Практические занятия Практическая работа 1 Стандарты информационных систем Цель работы: Обсуждение стандартов информационных систем Содержание отчета:

1. Тема практической работы.

2. Определение ключевых вопросов/ проблемных зон для освещения в записке.

3. Сбор и обработка информации открытых источников.

4. Краткий анализ информации по теме.

5. Предоставление аналитических выводов по теме.

Литература: [1,2, 4].

Практическая работа 2. OLTP технологии OLAP-технологии CASE-технологии.

Цель работы: Ознакомление с системами автоматизированного проектирования OLTP технологии OLAP-технологии CASE-технологии.

Содержание отчета:

1. Тема практической работы.

2. Определение ключевых вопросов/ проблемных зон для освещения в записке.

3. Сбор и обработка информации открытых источников.

4. Краткий анализ информации по теме.

5. Предоставление аналитических выводов по теме.

Литература: [1,2, 4].

Практическая работа 3. Технология «клиент-сервер».

Цель работы: Ознакомление с технологией «клиент-сервер.

Содержание отчета:

1. Тема практической работы.

2. Определение ключевых вопросов/ проблемных зон для освещения в записке.

3. Сбор и обработка информации открытых источников.

4. Краткий анализ информации по теме.

5. Предоставление аналитических выводов по теме.

Литература: [1,2, 4].

Практическая работа 4. Программные продукты электронного документооборота.

Цель работы: Ознакомление с программными продуктами электронного документооборота.

Содержание отчета:

1. Тема практической работы.

2. Определение ключевых вопросов/ проблемных зон для освещения в записке.

3. Сбор и обработка информации открытых источников.

4. Краткий анализ информации по теме.

5. Предоставление аналитических выводов по теме.

Литература: [1,2, 4].

Практическая работа 5. 1С: Предприятие, 8.2 (Управление персоналом) Цель работы: Ознакомление с программным продуктом 1С: Предприятие, 8.2 (Управление персоналом).

Содержание отчета:

1. Тема практической работы.

2. Определение ключевых вопросов/ проблемных зон для освещения в записке.

3. Сбор и обработка информации открытых источников.

4. Краткий анализ информации по теме.

5. Предоставление аналитических выводов по теме.

Литература: [1,2, 4].

Практическая работа 6. Информационные кадровые системы. система “БОСС-Кадровик” Цель работы: Ознакомление с информационной кадровой системы. системой “БОСС Кадровик” Содержание отчета:

1. Тема практической работы.

2. Определение ключевых вопросов/ проблемных зон для освещения в записке.

3. Сбор и обработка информации открытых источников.

4. Краткий анализ информации по теме.

5. Предоставление аналитических выводов по теме.

Литература: [1,2, 4].

Практическая работа 7. Управление проектами MS Project.

Цель работы: Ознакомление с технологией управления проектами MS Project.

Содержание отчета:

1. Тема практической работы.

2. Определение ключевых вопросов/ проблемных зон для освещения в записке.

3. Сбор и обработка информации открытых источников.

4. Краткий анализ информации по теме.

5. Предоставление аналитических выводов по теме.

Литература: [1,2, 4].

Практическая работа 8. Криптография Цель работы: Ознакомление с технологией управления проектами MS Project.

Содержание отчета:

1. Тема практической работы.

2. Определение ключевых вопросов/ проблемных зон для освещения в записке.

3. Сбор и обработка информации открытых источников.

4. Краткий анализ информации по теме.

5. Предоставление аналитических выводов по теме.

Литература: [1,2, 4].

Практическая работа 9. Информационно-справочная система «Консультант Плюс».

Цель работы: овладеть технологией применения информационно-справочной системе «Консультант Плюс».

Содержание отчета:

1. Тема практической работы.

2. Определение ключевых вопросов/ проблемных зон для освещения в записке.

3. Сбор и обработка информации открытых источников.

4. Краткий анализ информации по теме.

5. Предоставление аналитических выводов по теме.

Литература: [1,2, 4].

4. Содержание самостоятельной работы Самостоятельная работа студента включает:

– самостоятельное изучение разделов дисциплины по учебной литературе, а также используя глобальную сеть Интернет;

– подготовка студентов по конспектам лекций, учебной и учебно-методической литературе к практическим занятиям;

– выполнение индивидуальных заданий по указанию преподавателя;

– подготовка рефератов, сообщений и докладов на лекции, а также на научные конференции и семинары.

Контроль самостоятельной работы осуществляется в виде проверки конспектов по самостоятельно изученным вопросам, опросу на лекциях, тестированиях, защиты лабораторных работ, результатов выполнения соответствующих учебных упражнений, примеров и проектов.

5. Образовательные технологии Показатель Требования ФГОС, % Фактически, % Удельный вес активных и интерактивных форм проведения занятий (компьютерных Не менее 50 симуляций, деловых и ролевых игр, разбор конкретных ситуаций, психологические и иные тренинги), % В рамках данного курса предусмотрены активные и интерактивные формы проведения занятий (компьютерные симуляции, деловые и ролевые игры, разбор конкретных ситуаций). Также предусмотрены встречи с представителями российских и зарубежных компаний, государственных и общественных организаций, мастер-классы экспертов и специалистов.

6. Оценочные средства для текущего контроля успеваемости, промежуточной аттестации по итогам освоения дисциплины и учебно-методическое обеспечение самостоятельной работы студентов Текущий и промежуточный контроль знаний осуществляется путем проведения тестирований, контрольных работ, ответов и докладов по ранее пройденному материалу. В связи с этим, для успешного освоения дисциплины студентам необходимо:

– регулярно посещать лекционные занятия;

– осуществлять регулярное и глубокое изучение лекционного материала, учебников и учебных пособий по дисциплине;

– активно работать на занятиях;

– выступать с сообщениями по самостоятельно изученному материалу;

– участвовать с докладами на научных конференциях.

Текущий контроль знаний осуществляется путем выставления балльных оценок за выполнение тех или иных видов учебной работы (выполнение рефератов, выступление с докладами и сообщением на лекциях, защиты практических работ, прохождение тестирования, выполнение контрольной работы и т.п.).

Уровень знаний оценивается баллами, набранными студентами в контрольных точках.

Итоговая оценка учитывает результаты модульно-рейтинговой системы промежуточного контроля.

Контрольными точками модульно-рейтинговой системы являются • результаты выполнения практических работ;

• промежуточное тестирование.

При условии выполнения 4 практических работ студент может получить 30 баллов.

Студент может повысить количество баллов до 54, получив хорошую оценку промежуточного тестирования и до 59, получив отличную оценку промежуточного тестирования.

Доклад на студенческой конференции может добавить к рейтингу до 10 баллов. Научная статья объемом не менее 5 стр. может добавить к рейтингу до 15 баллов.

Экзаменационный билет состоит из 2 вопросов. По результатам проведенного зачета к рейтингу студента могут быть добавлены следующие суммы баллов:

• 0 - если студент не ответил ни на один из трех вопросов;

• 15 - если студент ответил на 1 вопрос;

• 30 - если студент ответил на 2 вопроса.

Балльная шкала:

«неудовлетворительно»-менее 50 баллов;

«удовлетворительно»- от 50 до 69,9 балла;

«хорошо» - от 70 до 85,9 балла;

«отлично» от 86 до 100 баллов.

Контрольные вопросы для промежуточного контроля 1. Понятие автоматизированной информационной технологии. Классификация.

2. Автоматизированное рабочее место.

3. Задачи автоматизированной информационной технологии.

4. Принципы создания автоматизированной информационной технологии.

5. Стадии разработки автоматизированных информационных систем.

6. Постанова задачи.

7. Информационное обеспечение автоматизированных информационных систем менеджмента.

8. Структура информационного обеспечения.

9. Требования к информационному обеспечению.

10. Классификаторы коммерческой информации.

11. Внемашинное информационное обеспечение.

12. Организация внутримашинного информационного обеспечения.

13. Технология использования систем управления базами данных.

14. Специализированные базы данных в коммерческой деятельности.

15. Технологическое обеспечение информационных систем.

16. Техническое обеспечение автоматизированных информационных технологии при решении задач сбытовой деятельности.

17. Программное обеспечение информационных технологий по управлению сбытовой деятельностью.

18. Локальные и глобальные сети.

19. Экспертные системы.

20. Защита информации. Виды угроз безопасности, методы защиты.

21. Гипертекстовые технологии.

22. Построение и анализ имитационной модели.

23. Криптографический метод защиты информации.

24. Инновационные направления развития информационных технологий.

25. Экономические аспекты повышения эффективности информационных технологий.

26. Технологии стратегического корпоративного планирования.

27. Офисные интегрированные программные пакеты.

28. Технология обработки экономической информации на основе табличного процессора MS Excel.

29. Информационные технологии документационного обеспечения коммерческой деятельности.

30. Аппаратные средства компьютерных технологий информационного обслуживания коммерческой деятельности.

31. Нормативно-справочные системы на примере Гарант. Технологии использования характеристик.

32. Предмет изучения курса "Информационные технологии в менеджменте" 33. Основные уровни и функции управления на информационную систему организации 34. Дискретность управления, каково его влияние на частоту получения информации и принятия решений.

35. Информационные требования на различных уровнях менеджмента 36. Информационными ресурсами 37. Управление информационными ресурсами.

38. Состав и свойства обеспечивающей и функциональных частей автоматизированной информационной системы.

39. Назначение и основные характеристики ИТ экспертных систем 40. Функции систем поддержки принятия решений 41. Эволюция систем поддержки принятия решений.

42. Различие экспертных систем и систем поддержки принятия решений.

43. Функции систем поддержки принятия решений.

44. Основные тенденции развития информационных технологий существуют.

45. Влияние развития информационных технологий на информационные системы.

46. Жизненный цикл информационных систем.

47. Охарактеризуйте жизненный цикл ИС.

Примерный перечень вопросов для подготовки к зачету по дисциплине по дисциплине «Современные информационные технологии управления персоналом»

48. Основные понятия и определения. Автоматизированные информационные системы.

49. Структура автоматизированных информационных систем.

50. Основные стадии и этапы разработки ИС.

51. Основные рекомендации при использовании типовых проектных решений в разработке ИС.

52. Дайте определение информационного обеспечения системы автоматизированной информационной системы.

53. Сформулируйте задачи информационного обеспечения.

54. Внемашинное информационным обеспечением.

55. Дайте определение классификаторов и кодов, приведите примеры построения кодовых слов.

56. Опишите построение различных систем кодирования.

57. Технология применения кодов при обработке управленческих задач.

58. Дайте определение документа, унифицированной системы документации.

59. Приведите определение внутримашинного информационного обеспечения.

60. Состав и назначение элементов внутримашинного информационного обеспечения.

61. Дайте определение БД, охарактеризуйте ее функции, роль в работе пользователей.

62. Программные средства относятся к базовому программному обеспечению.

63. Основная функция выполняется базовым программным обеспечением.

64. Укажите назначение и функции основных групп прикладного программного обеспечения.

65. Укажите назначение и функции основных групп прикладного программного обеспечения.

66. Система управления базами данных.

67. Компьютерная графика.

68. Перечислите функции табличных процессоров.

69. Интегрированные пакеты прикладных программ.

70. Информационно-логическая модель.

71. Опишите основные возможности СУБД MS Access.

72. Укажите, за счет чего увеличивается производительность мультипроцессорных систем по сравнению с однопроцессорными системами.

73. Дайте определение автоматизированного рабочего места.

74. Технология «клиент-сервер».

75. Дайте определение систем поддержки принятия решений.

76. Дайте определение экспертной системы.

77. Перечислите основные функции, которые должна выполнять интеллектуальная информационная технология.

78. Объясните назначение блоков экспертной системы.

79. Дайте понятие компьютерной сети.

80. Сетевые информационные технологии.

81. Перечислите этапы эволюции компьютерных сетей.

82. Охарактеризуйте основные типы компьютерных сетей.

83. Опишите принципы организации сети Интернет 84. Процедура поиска и размещения информации в Интернет 85. Принцип работы электронной почты.

86. Мультимедийный продукт.

87. Основные требования предъявляемые к мультимедийным продуктам.

88. Опишите перспективы развития средств мультимедиа.

89. Поясните факторы, стимулирующие развитие электронной коммерции.

90. Опишите модели возможностей Интернет по обмену информацией с клиентами.

91. Гипертекстовая технология.

92. Особенности использования гипертекстовой технологии.

93. Основные компоненты мультимедиа-технологий.

94. Охарактеризуйте основные службы Интернет.

95. Геоинформационная система.

96. Корпоративные системы, и каково их назначение.

97. Особенности КИС, требования, тенденции.

98. Охарактеризуйте современного состояние рынка КИС.

99. Компоненты комплексной информационной системы.

100.Назовите уровни и свойства информационных технологий финансового менеджмента.

101.Назначение и основные функции программы Project Expert 102.Типовая последовательность работ с программой Project Expert.

103.Программные приложения существуют в системе Project Expert.

104.Перечислите виды угроз безопасности ИТ.

105.Основные методы и средства защиты в современных ИТ.

106.Обеспечение информационной безопасности в сети Интернет.

7. Учебно-методическое и информационное обеспечение дисциплины 7.1. Основная литература:

1. Трофимов, В. В. Информационные технологии в экономике и в управлении [Электронный ресурс] учеб. для вузов по экон. спец. : / В. В. Трофимов : С.-Петерб. гос. ун-т экон.

и фин.;

под ред. В. В. Трофимова. - М. : Юрайт, 2011. - 479 с.

2. Черников, Б. В. Информационные технологии управления [Текст] учеб. для вузов по спец. "Менеджмент орг." : / Б. В. Черников. - М. : ФОРУМ [и др.], 2009. - 351 с. : ил. - (Высшее образование) 3. Балдин, К. В. Информационные технологии в менеджменте [Текст] учеб. для вузов по направл. "Менеджмент" (квалификация "бакалавр") : / К. В. Балдин. - М. : Академия, 2012. - 284 с.

: ил., табл. - (Высшее профессиональное образование. Экономика и управление. Бакалавриат) 4. Аникин, Б. А. Аутсорсинг и аутстаффинг: высокие технологии менеджмента [Текст] учеб. пособие для вузов по спец. "Менеджмент орг." : / Б. А Аникин- М. : ИНФРА-М, 2009. -320 с.

7.2.Дополнительная литература 5. Шляпкин А.В. Информационные технологии в коммерческой и финансовой деятельности [Текст]: Учебное пособие-Т: ТГАС, 2005.



Pages:     | 1 || 3 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.