Информационный ресурс – базовая составляющая информационного менеджмента.

Формирование и использование информационных ресурсов – одна из ключевых проблем создания единого информационного пространства любого государства.

Информационные ресурсы создаются в процессе функционирования автоматизированных информационных систем всех сфер жизнедеятельности государства: органов власти и управления; органов местного самоуправления; юридических лиц; физических лиц.

Информационная технология – совокупность методов, способов, приемов и средств обработки документированной информации, включая прикладные программные средства, и регламентированного порядка их применения.

Информационная технология – совокупность методов, приемов и средств, реализующих информационный процесс в соответствии с заданными требованиями.

Информационные технологии – базовый инструмент информационного менеджмента.

ИТ подразделяют на два класса: базовые ИТ и прикладные ИТ.

Базовые ИТ – это технологии, которые реализуются на уровне взаимодействия элементов вычислительных систем.

Состав базовых ИТ

1. Операционные системы.

2. Языки программирования.

3. Технологии архитектуры «клиент – сервер».

4. Технологии многопроцессорной обработки.

5. Технологии нейровычислений.

6. Технологии автоматизированного проектирования (CASE – технологии).

7. Телекоммуникационные технологии.

8. Базовые технологии Internet.

9. Intranet – технологии.

10. Технологии обработки текстов.

11. Системы управления базами данных.

12. Технологии информационных хранилищ.

13. Экспертные системы.

14. Геоинформационные технологии.

15. Мультимедиа – технологии и технологии создания виртуальной реальности.

16. Технологии цифроаналоговых преобразований.

17. Технологии криптозащиты.

18. Технологии человеко – машинного интерфейса.

Прикладные ИТ – это технологии, реализующие типовые процедуры обработки информации в конкретных предметных областях. Классификация прикладных ИТ: по реализации информационных ресурсов; в системах массового обслуживания населения; в процессах экоинформатизации; в сфере организационного управления; в сфере интеллектуального потенциала; в производственных процессах; по поддержке управляющих решений в социальной, политической, экономической сферах и безопасности государства.

Таким образом, информационные технологии позволяют формировать программно-технические решения по созданию автоматизированных информационных систем субъектов, реализации телекоммуникационной среды, обеспечивающей взаимодействие этих систем, и, следовательно, содействуют созданию единого информационного пространства.

Информационная система – организованная совокупность информационных технологий, объектов и отношений между ними, образующие единое целое (СТБ 982 – 94).

Информационная система (Information System) – система обработки информации в совокупности с относящимися к ней ресурсами организации, такими, как люди, технические и финансовые ресурсы, которая предоставляет и распределяет информацию (ГОСТ ИСО/МЭК 2382-1-99).

Информационные системы – база для продуктивной работы менеджера любого уровня и во всех предметных областях, т.е. базовая компонента информационного менеджмента.

В соответствии с наличием разных направлений деятельности организации, особенностей и уровней структуры различают определенные виды информационных систем. Управленческая пирамида организации: уровни управления (горизонтальные) – стратегический, управленческий, уровень знания и эксплуатационный – и функциональные области (вертикальные): продажа и маркетинг, производство, финансы, бухгалтерский учет и человеческие ресурсы. Для удовлетворения потребностей всех этих организационных уровней и областей существуют соответствующие информационные системы.

Организационные уровни обслуживают четыре главных типа информационных систем: системы эксплуатационного уровня, системы уровня знания, системы уровня управления и системы стратегического уровня.

Системы эксплуатационного уровня поддерживают управляющих операциями, следят за элементарными действиями организации, например за продажами, платежами, обналичиванием депозитов, подготовкой платежной ведомости, кредитования и за потоками материалов. Основная функция этого уровня – давать ответы на обычные вопросы проводить потоки транзакций через организацию, для чего информация должна быть доступна, оперативна и точна.

Системы уровня знания созданы в поддержку работников знания и операторов. Основная функция систем этого уровня – интегрировать новые знания для успешного ведения бизнеса компанией и управлять потоком документов.

Системы уровня управления разработаны для контроля, управления, принятия решений и административных действий менеджеров среднего звена (средних менеджеров). Основная функция системы – своевременно дать ответ, хорошо ли работают объекты? Системы уровня управления обычно оперативно обеспечивают периодические доклады. Например, система управления перемещениями информирует о перемещении личного состава организации, о равномерности работы торгового и финансового отделов, сообщая при этом о превышении фактических издержек над бюджетом.

Системы стратегического уровня есть инструмент помощи руководителям высшего звена и предназначены для подготовки стратегических исследований и длительных трендов, как в самой фирме, так и в ее окружении.

Основная функция системы – приводить в соответствие изменения в условиях эксплуатации существующей организационной возможностью.

Информационные системы можно дифференцировать функционально. Главные функциональные области, такие как продажа и маркетинг, производство, финансы, бухгалтерский учет и человеческие ресурсы, обслуживаются собственными информационными системами.

 

Контрольные вопросы

1. Понятие информационного менеджменте

2. Понятие информационного ресурса

3. Понятие информационная технология

4. Понятие информационная система

5. Привести пример прикладных информационных технологий

6. Привести пример базовых информационных технологий

7. Что такое информационное общество и в чем его основное отличие.

8. Сформировано ли уже сейчас информационное общество? Обосновать ответ

9. Какие нормативные документы необходимо изучать для освоения основ информационного менеджмента и почему?

10. Цели и задачи информационного менеджмента в рамках предприятия.

 

Рекомендуемая литература

[2-3], [5]

Тема 2. Системный подход к задачам информационного менеджмента Основные понятия системного подхода в приложении к информационному менеджменту как системе методов и средств управления информацией в организации. Формализованное описание целей и задач информационного менеджмента. Управление безопасностью обработки информации как одна из задач информационного менеджмента. Нормативная база информационного менеджмента. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.

 

 

Краткий конспект

Системный подход позволяет рассматривать любую сложную систему в триаде: надсистема, система. подсистема, этим обеспечивая обратную связь с внешней средой.

Рассматривая любую организацию как сложную систему, с точки зрения информационного менеджмента ее деятельность можно описать по формуле (1).

(1)

Цели бывают стратегические, или глобальные и внутренние (местные), или частные. С этой позиции главную цель информационного менеджмента в организации можно описать следующим образом (формула 2)

, (2)

Для достижения целей требуются ресурсы. В соответствии с формулой (1), ресурсы, обеспечивающие достижение глобальных и локальных целей можно описать следующим образом (3)

 

(3)

 

Здесь под технологической средой понимается наличие специального оборудования и средств коммуникаций, по которым передается информация;

Под технологическими процессами понимаются процессы обработки информации в организации;

ОС- организационная система обработки и передачи информации;

Персонал - это сотрудники организации, вовлеченные в процесс обработки информации;

Бюджет - финансовые средства, затрачиваемые на обработку информации.

Под обработкой информации понимается ее сбор, анализ, преобразование, хранение, передача.

Состав технологической среды представлен формулой 4;

 

, (4)

 

где под ВС понимаются все имеющиеся вычислительные средства;

ПС - программные средства;

ПерС - периферийные средства, к которым относятся принтеры, сканеры, средства оргтехники;

ИнфС - это информационная система, которая, в свою очередь также состоит из набора компонентов.

Для функционирования технологической среды должны быть определены свои условия, в которых возможно решение поставленных задач информационного менеджмента (5)

 

(5)

 

как видно из формулы, для решения задач существуют оценочные показатели, позволяющие делать вывод о достигнутом результате. Тогда, для каждой цели должны быть описаны ее функционал, в зависимости от которого должны быть решены поставленные задачи, причем для решения каждой задачи должен быть описан свой технологический процесс (6).

 

 

(6)

 

продолжая подобным образом детализировать среду, процессы, цели и задачи, учитывая ресурсы и бюджет, можно детально оценить затраты на обработку информации в организации.

В общем виде учет затрат на обработку информации будет иметь вид по формуле (7).

 

, (7)

 

где С тсо - расчет совокупной стоимости владения информационной системой (Total Cost of Ownership);

С_k - стоимость отдельной части. Их всего 9 взято, исходя из стандарта ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.

В более сложной форме учета используется взвешенный показатель (8)

, (8)

в котором учитываются изменение параметров во времени.

В качестве примера использования методики ТСО для обоснования инвестиций в ИБ рассмотрим проект модернизации корпоративной системы антивирусной защиты и системы управления доступом на объекте информатизации (физическая защита).

Для этого сначала условно определим три возможных состояния системы защиты КИС от вирусов и вредоносного ПО, а именно: базовое, среднее и высокое.

Базовое: Стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня — организация минимальной защиты от вирусов и вредоносного ПО при небольших затратах.

Среднее: Установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает выработку и следование определенной политики защиты информации, передаваемой по открытым каналам связи Интернет. Дополнительно к техническим мерам используются организационные меры защиты информации.

Высокое: Антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления ИБ компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании.

Также условно выделим три состояния развития системы контроля и управления доступом в КИС (обеспечение физической безопасности): базовое, среднее, высокое.

Базовое: Ведется учет как минимум рабочих станций и серверов, инвентаризационные таблички крепятся на соответствующее аппаратное обеспечение. Введена процедура контроля перемещения аппаратных средств КИС. Проводятся постоянные и периодические инструктажи персонала компании. Особое внимание уделяется мобильным компонентам КИС.

Среднее: Используются механические и электронные замки, шлюзовые кабины и турникеты. Организованы контрольно-пропускные пункты и проходные. Осуществляется видеонаблюдение на объекте информатизации. Требования к персоналу определены и доведены под роспись. Разработаны инструкции по действию в штатных и внештатных ситуациях. Задействованы частные и государственные охранные предприятия и структуры.

Высокое: Обеспечение физической безопасности аппаратных средств является частью единой политики безопасности, утвержденной руководством компании. Активно используются весь комплекс мер защиты информации, начиная с организационного и заканчивая техническим уровнями.

Проект по модернизации корпоративной системы в части ИБ предполагает модернизацию двух элементов: антивирусной защиты и системы управления ИБ. Необходимо обосновать переход от базового уровня к повышенному (среднему или высокому). В таб. 1 приводятся требования к элементам защиты, сформулированные в задании на модернизацию КИС.

Таблица 1 - Характеристики исходного и повышенного уровня защиты

Элемент системы ИБ	Задача	Исходный (базовый) уровень	Повышенный уровень
Антивирусная защита	Каким образом распространяются обновления механизма антивирусной защиты?	Ничего не делается или нет информации	Используется автоматическое обновление антивирусного обеспечения
Антивирусная защита	Какая степень защиты от вирусов является допустимой?	Нет механизма защиты от вирусов	Защита от вирусов устанавливается ИС службой и не доступна пользователям для изменений
Антивирусная защита	Какой процент клиентских мест поддерживается серверной антивирусной защитой?	Нет данных	100 %
Антивирусная защита	Как устраняются последствия вирусных атак (в процентном отношении к числу вирусных событий)?	Пользователь самостоятельно восстанавливает поврежденные файлы и систему, протокол событий не ведется	ИС персонал уведомляется об инциденте, проводятся исследования и предпринимаются нейтрализующие меры, на местах поддерживается БД вирусных событий
Управление ИБ	Что делается для гарантии безопасности критичных данных (информация, которая является критичной по отношению к миссии каждого отдельного предприятия)	Не регламентирован	Средства шифрования и резервного копирования на серверах
Управление ИБ	Что делается для гарантии физической безопасности помещений с целью предотвращения случаев воровства и преступного использования оборудования?	Применяются сигналы тревоги о нарушении безопасности	Дополнительное использование таких средств безопасности, как смарт-карты или биометрические устройства

 

Возможно несколько вариантов реализации этих требований, характеризующихся разными экономическими показателями.

Рассмотрим типичную структуру расходов по выбранным элементам системы ИБ «среднего западного» предприятия на модернизацию ИС (таб. 2) для обеспечения «среднего» уровня защиты.

 

 

Таблица 2 - Статьи расходов среднего уровня защиты

Статья затрат	Антивирусная защита	Управление ИБ
Подготовительные процедуры и операции по инсталляции	═	═
Услуги по инсталляции ПО:	═	═
С учетом поддержки уровня 2	2,600 %	0,000 %
С учетом поддержки уровня 3	1,300 %	0,000 %
Администрирование пользователей	0,000 %	6,500 %
Установка аппаратного обеспечения	0,000 %	2,600 %
Резервное копирование, архивирование и восстановление	2,600 %	0,000 %
Планирование и управление процессами восстановления	═	═
Общие процедуры управления, планирование и изучение рынка продуктов	1,300 %	1,300 %
Закупка программно-технических средств	18,200 %	2,600 %
Процедуры по восстановлению	19,500 %	0,000 %
Сервисное обслуживание	═	═
Ежедневные процедуры поддержки пользователей	5,200 %	2,600 %
Административные расходы	═	═
Финансовые службы и администрация	1,268 %	0,618 %
Административная поддержка ИС	0,429 %	0,169 %
Закупка, снабжение	0,000 %	5,200 %
Аудит	0,000 %	1,300 %
Управление контрактами, работа с поставщиками	0,000 %	2,600 %
Затраты рабочего времени конечных пользователей на решение задач ИБ	═	═
Затраты времени на управление файлами, данными и резервным копированием	6,500 %	0,000 %
Затрата на взаимодействие со службами поддержки	6,500 %	0,000 %
Затрата на взаимопомощь пользователей	6,500 %	0,000 %
Затраты на самоподдержку (решение проблем своими силами)	6,500 %	2,600 %
Незапланированные простои по причинам, относящимся к данным средствам защиты	10,400 %	10,400 %

В таблице 3 и на рисунке 1 показаны расчеты совокупной стоимости владения при различных вариантах проведения модернизации КИС.

Данные приводятся для «среднего западного» предприятия. Расчетная стоимость снижения ТСО для третьего варианта около 230 тыс. долл. в год позволяют обосновать инвестиции в размере около 600 тыс. долл. на рассматриваемые компоненты защиты. При этом расчетный период окупаемости составляет не более 3 лет.

Таблица 3 - Совокупная стоимость владения при проведении модернизации

Расходы на ИТ	Базовый вариант защиты: Антивирусная защита - низкий уровень, Управление ИБ — низкий уровень	Вариант 1: Антивирусная защита — средний уровень, Управление ИБ — низкий уровень	Вариант 2: Антивирусная защита — низкий уровень, Управление ИБ — средний уровень	Вариант 3: Антивирусная защита — средний уровень, Управление ИБ — средний уровень
Совокупная стоимость владения (ТСО)	$14,905,090	$14,659,236	$14,796,746	$14,563,990
Расходы на СВТ и ПО	$9,183,334	$9,212,787	$9,211,699	$9,241,232
Расходы на операции ИС	$1,402,287	$1,376,061	$1,394,232	$1,368,450
Административные расходы	$426,758	$425,554	$423,952	$422,748
Расходы на операции конечных пользователей	$2,772,377	$2,636,870	$2,758,898	$2,624,287
Расходы, связанные с простоями	$1,120,334	$1,007,965	$1,007,965	$907,273

 

Расходы на аппаратные средства и программное обеспечение. Эта категория модели ССВ включает серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сетевые компоненты. Также в эту категорию входят расходы на аппаратно-программные средства ИБ.

Расходы на операции ИС. Прямые затраты на содержание персонала, стоимость работ и аутсорсинг, произведенные компанией в целом, бизнес-подразделениями или ИС службой для осуществления технической поддержки и операций по поддержанию инфраструктуры для пользователей распределенных вычислений.

Административные расходы. Прямые затраты на персонал, обеспечение деятельности и расходы внутренних/внешних поставщиков (вендоров) на поддержку ИС операций, включающих управление, финансирование, приобретение и обучение ИС.

Расходы на операции конечных пользователей. Это затраты на самоподдержку конечных пользователей, а также на поддержку пользователями друг друга в противовес официальной поддержке ИТ. Затраты включают: самостоятельную поддержку, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.

Рисунок 1. Изменение ССВ при различных вариантах проведения модернизации системы ИБ

 

Расходы на простои. Данная категория учитывает ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и ПО для связи. Для анализа фактической стоимости простоев, которые связаны с перебоями в работе сети и которые оказывают влияние на производительность, исходные данные получают из обзора по конечным пользователям. Рассматриваются только те простои, которые ведут к потерям в основной деятельности организации.

Отметим, что для применения методики ССВ требуются данные о потерях, связанных с простоями и другими негативными последствиях реализации угроз ИБ. Получить экономические оценки потерь можно на этапе анализа информационных рисков.

Контрольные вопросы

1. Что означает совокупная стоимость владения информационным продуктом?

2. Как можно учесть расходы на простои оборудования?

3. Какие затраты относятся к административным затратам?

4. Как формализовано описать цели организации и критерии их оценки для информационных потоков?

5. Привести пример формального описания технологической среды

6. Привести пример формального описание ресурсов ИС.

7. Что такое информационное общество и в чем его основное отличие.

8. Сформировано ли уже сейчас информационное общество? Обосновать ответ

9. Какие нормативные документы необходимо изучать для освоения основ информационного менеджмента и почему?

10. Цели и задачи информационного менеджмента в сфере обеспечения информационной безопасности предприятия.

Рекомендуемая литература

[4], [5]