- •И. Л. Андреевский, р. В. Соколов информационный менеджмент
- •Санкт-Петербург
- •Содержание
- •2. Информатизация менеджмента 56
- •3. Управление ит - отделом на предприятии 111
- •4. Управление информационной системой на предприятии 143
- •5. Управление национальными и мировыми информационными ресурсами 238
- •Введение
- •1. Информационные потребности управленческого персонала в условиях рыночной экономики
- •1.1 Задачи информационного менеджмента
- •1.2 Роль информационных систем в обеспечении конкурентных преимуществ предприятия
- •1.3. Информационная нагрузка
- •1.4 Методы установления информационных потребностей
- •1.5. Распределение ит между лицами, принимающими решения, в зависимости от типа управленческой структуры
- •1.6 Управление распределением информационных потребителей по уровням управления
- •1.7 Параметры эффективного распределения ит в эис
- •Тема 1.8 Основные показатели информационной поддержки управления
- •Тема 1.9 Информационные ресурсы предприятия, внутренние и внешние источники информации
- •Тема 1.10 Методы оценки уровня информатизации предприятия
- •Вопросы для самопроверки
- •2. Информатизация менеджмента
- •2.1. Классификация информационных систем менеджмента
- •2.2 Типы ис, тенденция их развития и возможности их применений на объекте управления
- •2.3 Управленческие информационные системы
- •2.4 Информационные системы поддержки принятия решений
- •2.5 Информационные системы поддержки исполнения
- •2.6 Информационные системы оперативного анализа данных
- •2.7 Информационные технологии поиска закономерностей в данных
- •2.8 Экспертные системы в принятии управленческих решений
- •Р ис. 2.5 Структура экспертной систем
- •2.9 Информационная поддержка принятия решений в условиях многокритериальности
- •2.10 Информационные системы бюджетирования
- •2.11 Информационные системы управления персоналом
- •2.12 Электронные системы документооборота
- •Вопросы для самопроверки
- •3. Управление ит отделом на предприятии
- •3.1 Организация управления: место ит отдела в организационной структуре управления предприятием. Взаимосвязь с подразделениями предприятия
- •3.2 Централизованная и децентрализованная системы обработки информации. Преимущества и недостатки
- •3.3 Влияние информационной системы на организационную структуру управления предприятием
- •3.4 Структура отдела информационных систем. Компетенции и должностные обязанности сотрудников
- •3.5 Управленческая роль ит-менеджера на различных этапах жизненного цикла информационного продукта
- •3.6 Подбор и подготовка информационных менеджеров
- •3.7 Личная информационная система как инструмент повышения производительности менеджера
- •Вопросы для самопроверки
- •4. Управление информационной системой на предприятии
- •4.1 Стратегическое планирование развития ит и ис на объекте управления
- •4.2 Разработка стратегии развития информационной системы предприятия
- •4.3 Кривая Нолана. Swot-анализ и другие методические подходы к разработке стратегии развития информационных систем
- •4.4 Разработка ит - бюджета
- •4.5 Показатели экономической эффективности информационных систем
- •4.6 Сбалансированная система показателей развития информационных систем
- •4.7 Пути создания информационной системы на предприятии
- •4.8 Оценка преимуществ и недостатков закупки готовых или разработки новых ит и ис
- •4.9 Особенности контрактов на закупку и разработку ит и ис
- •4.10 Структура бизнес-плана инвестиционного проекта развития информационной системы и его информационное обеспечение
- •4.11 Анализ положительного и отрицательного опыта создания информационных систем на предприятии
- •4.12 Организация управления для различных этапов организации ит и ис: разработка, внедрение и эксплуатация, состав и содержание работ
- •4.13 Приемы менеджмента для каждого этапа на фирмах-производителях и фирмах-потребителях
- •4.14 Планирование подготовки предприятия к внедрению информационной системы
- •4.15 Создание временных коллективов для внедрения информационных технологий и систем и их менеджмент
- •4.16 Тестирование сотрудников с использованием программных средств
- •4.17 Подготовка и повышение квалификации кадров в области информационного менеджмента
- •4.18 Компьютерная подготовка пользователей информационных систем
- •4.19 Управление информационной безопасностью
- •4.20 Мониторинг внедрения ит и ис
- •4.21 Мониторинг эксплуатации ит и ис
- •4.22 Оценка и анализ качества ит и ис
- •Вопросы для самопроверки
- •5. Управление национальными и мировыми информационными ресурсами
- •5.1 Информационный тип экономического роста и задачи управления информатизацией общества
- •5.2. Федеральная целевая программа (фцп) «Электронная Россия»
- •Тема 5.3 Органы управления информационными ресурсами на федеральном, региональном и муниципальном уровнях
- •5.4 Нормативно-правовая база управления информационными ресурсами
- •5.5 Административное управление в сети Internet
- •Конечные пользователи
- •5.6 Проект Internet-2
- •Тема 5.7 Аутсорсинг. Российский и мировой опыт
- •Тема 5.8 Критерии оценки рынка ит и ис. Критерии оценки и технология их выбора
- •5.9 Примеры оценки рынка ит и ис
- •Вопросы для самопроверки
- •Заключение
- •Глоссарий
- •Список литературы
4.19 Управление информационной безопасностью
Информационная безопасность является одним из важнейших аспектов внедрения ИС. С одной стороны, информатизация менеджмента создает ее неоценимую поддержку, но с другой стороны менеджмент попадает в прямую зависимость от уровня информационной безопасности ИС.
Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий (атак), чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Объектами посягательств могут быть сами технические средства, являющиеся материальными объектами, а также программное обеспечение и базы данных.
Управление информационной безопасностью – процесс комплексный, и включающий ряд технических, организационных и правовых мер, которые должны быть зафиксированы в корпоративной политике по безопасности.
К техническим мерам можно отнести:
защиту от несанкционированного доступа к системе,
резервирование особо важных обеспечивающих подсистем,
организацию вычислительных сетей с возможностью распределения ресурсов в случае нарушения работоспособности отдельных звеньев,
установку оборудования для обнаружения и тушения пожаров,
использование конструкционные мер защиты от хищений, саботажа, диверсий, взрывов,
установку резервных систем электропитания,
оснащение помещений замками,
физическое разграничение доступа персонала в помещения,
установку систем сигнализации и т.д.
К организационным мерам относятся:
охрана информационных систем,
тщательный подбор персонала,
исключение случаев ведения особо важных работ только одним человеком,
наличие плана восстановления работоспособности системы после выхода ее из строя,
организация и обслуживание предприятия информатики посторонними лицами, не заинтересованными в сокрытии фактов нарушения ее работы,
универсальность средств защиты для всех пользователей (включая высшее руководство),
разделение полномочий в области доступа к данным,
возложение ответственности на лиц, которые должны обеспечить безопасность работы предприятия информатики.
К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав, совершенствование законодательства в области информационных технологий.
Все большую известность при построении корпоративных систем управления информационной безопасностью (СУИБ) завоевывает международный стандарт ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», в соответствии с которыми компании могут формализовать и структурировать процессы управления ИБ по следующим направлениям:
разработка политики и организация ИБ,
организация управления внутренними активами и ресурсами компании, составляющими основу ее ключевых бизнес-процессов,
защита персонала и снижение внутренних угроз компании,
физическая безопасность в компании и безопасность окружающей среды,
управление средствами связи и эксплуатацией оборудования,
разработка и обслуживание аппаратно-программных систем,
управление непрерывностью бизнес-процессов в компании,
соблюдение правовых норм по безопасности.
Существует ряд общепризнанных методик, помогающих эффективно управлять информационной безопасностью. Известна и широко используется методология моделирования угроз (Microsoft Threat Modeling Methodology), методика оценки риска DREAD, модель деления угроз на категории STRIDE (http://msdn.microsoft.com/ru-ru/magazine/cc700352.aspx).
У компании IBM - это методология Method for Architecting Secure Solutions (MASS), которая помогает выявить проблемы защиты, создать прочную архитектуру и выработать надежную политику защиты (www.redbooks.ibm.com).
Из известных и популярных методик необходимо вспомнить подход компании ISS к информационной безопасности, получивший название ADDME и который включает в себя 5 этапов.
1 этап - оценка (assess). На этом этапе осуществляется идентификация и инвентаризация всех ресурсов организации. На данном этапе осуществляются анализ риска (risk assessment), а также поиск уязвимостей (vulnerability assessment), тестирование на проникновение (penetration assessment) и оценка угроз (threat assessment).
2 этап - проектирование (design). На этом этапе разрабатывается политика безопасности организации и вырабатываются принципы оценки эффективности, предлагаемых в ней мер (законодательных, организационных, программно-технических). При этом учитываются собранные на первом этапе данные о пользователях, имеющихся сетевых устройствах, расположении критических информационных ресурсов и т.п.
3 этап - развертывание (deploy). В рамках данного этапа осуществляются работы по установке средств защиты, их интеграции и тестированию в принятой технологии обработки информации, по обучению пользователей требованиям политики безопасности и правилам эксплуатации установленных защитных средств.
4 этап - эксплуатация (manage and support). На этом этапе оценивается эффективность принятых мер и их соответствие положениям разработанной политики безопасности. В случае возникновения инцидентов, связанных с ее нарушением, реализуется разработанный на втором этапе план реагирования на инциденты и, как следствие, осуществляется пересмотр некоторых положений политики безопасности. Изменение технологии обработки информации, появление новых технологий защиты и т.п. также являются толчком к пересмотру разработанных документов.
5 этап - обучение (education). Обучение - это постоянный процесс, осуществляемый на всех этапах построения комплексной системы информационной безопасности. В нем участвуют все сотрудники организации: операторы, администраторы, руководители и т.д.
В идеальной компании процесс управления информационной безопасностью является проактивным (превентивным и постоянным).