Информационный менеджмент в современной организации

В бюджете  ИС выделяют следующие статьи:

1)технические  средства:

-ПК(приобретение, обновление, содержание ,ремонт );

-серверы  (приобретение, обновление , содержание, ремонт);

-прочее  оборудование ( банкоматы и тд).

2)Телекоммуникации:

- локальная  сеть организации;

- внутренняя  региональная сеть;

-телефонная  связь (абонентская плата);

-интернет (абонентская плата провайдеру, обслуживание  шлюзов );

- Интернет-проекты  ( Ozon).

3)Лицензированное  программное обеспечение :

-системное  ПО;

- пользовательское  ПО.

4)Персонал  ИС:

-зарплата  персонала;

-социальные  выплаты;

-повышение  квалификации;

-переподготовка.

5) Инфраструктура  ИС(помещения ,в котором размещается  ИС):

- арендная  плата;

- затраты  на текущее обслуживание и  ремонт помещений);

- мебель.

6)Консалтинговые  услуги ( услуги приглашенных специалистов) ;

7) прочие  административные издержки.

При создании бюджета ИС российские компании чаще всего используют 2 способа :

• создание самостоятельного бюджета ИС.

В данном случае все ИС расходы списываются  на ИС-подразделение, которое исполняет  данный бюджет и отвечает за его  соблюдению. Бюджет ИС оформляется  как отдельный финансовый документ, утверждается руководителем компании и исполняется наряду с другими  бюджетами.

• Отдельные статьи ИС бюджета включается в бюджет бизнес-подразделений  организаций. Исполняют бюджет  ИС и отвечают за него руководители бизнес- подразделений. Бюджет ИС в отдельные финансовые документы не оформляются.

Распределение ИС расходов.

В российской практике сложилось 3 способа распределения  ИС расходов:

1.Все  расходы списываются  на ИС  –подразделения ,соответствующие расчеты  и их обоснование осуществляют  ИС- специалисты. В организации создается отдельный документ- бюджет ИС.

Преимущества: достаточно простой и доступный  способ управления ИС расходами.

Недостатки:

- отсутствует  взаимосвязь между бизнес- подразделениями  и ИС-специалистами ;

- ИС  –подразделения становятся самым  затратным в организации, что  может привести к определенным  конфликтам внутри организации;

-непрозрачность  ИС расходов ,возможность финансовых  злоупотреблений.

2.ИС  расходы распределяются между  бизнес-подразделениями организации.  Каждое бизнес- подразделение определяет  долю собственных ИИ ресурсов,стоимость  их обслуживания и обновления, включают данные расходы в свой бюджет,

Самостоятельно  управляет ИС расходами. В случае крупных ИС расходов , связанных  с созданием ИС инвестиций, проект также осуществляется специалистами  бизнес- подразделений.

Преимущества:

-взаимосвязь  ИС персонала и бизнес-подразделений;

- повышение  прозрачности ИС расходов, двойной  контроль расходов.

Недостатки: сложность определения доли ресурсов ИС,а так же стоимости их обслуживания и содержания. Нельзя просто пропорционально  распределить расходы между бизнес- подразделениями.

3.ИС-подразделения  включает бизнес – подразделения  и продает свои сервис-услуги  как  внутренним пользователям  , а также и внешним пользователям.

Перед ИС- подразделениями ставиться задача получение прибыли. При оказании соответствующих услуг ИС- специалисты  выписывают соответственные счета  как внутренним так и внешним  клиентам. Данный способ является наиболее эффективным, но возможен лишь в крупных  расчетах взаимоотношений между  бизнес- подразделениями.

Анализ  ИС расходов.

При анализе  ИС расходов можно использовать следующие  методы:

1)сравнительный  анализ – собственные расходы  ИС организации можно сравнивать  с данными прошлых лет,с данными  конкурентов, лидеров отрасли  и др.

2)структурный  анализ- изучение структуры ИС  расходов, их сбалансированности  и адекватности.

В российской практике часто чрезмерно завышаются расходы на технические средства.

3) трендовый  анализ - те изучение изменений  динамики и структуры ИС расходов, выявление тенденций , расчет  последних  выявленных отклонений.

  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

5  Информационная безопасность  в организации

Понятие «безопасность» весьма широко и многообразно и покрывает самые разные сферы  деятельности, начиная с экономической  безопасности и заканчивая вопросами  физической защиты персонала и охраны зданий и сооружений. Среди комплекса  направлений деятельности присутствует и группа задач, связанная с обеспечением безопасности информационных ресурсов организации и относимая, в соответствии с устоявшейся практикой, к понятию  «информационная безопасность».

Следует отметить, что в соответствии с  принятыми в стране официальными взглядами (см. Доктрину информационной безопасности Российской Федерации, утвержденную Президентом Российской Федерации 9 сентября 2000 г.) понятие «информационная  безопасность» рассматривают как  одну из составляющих национальной безопасности, понимая ее как состояние защищенности национальных интересов в информационной сфере, определяющихся совокупностью  сбалансированных интересов личности, общества и государства. Более того, в понятие «информационная безопасность»  вкладываются такие направления  деятельности, как обеспечение информационно-психологической  безопасности общества с учетом влияния  на нее средств массовой информации и т.д.

Доктриной вместе с тем определено, что национальные интересы Российской Федерации в  информационной сфере включают в  себя защиту информационных ресурсов от несанкционированного доступа, обеспечение  безопасности информационных и телекоммуникационных систем. В целях обеспечения национальной безопасности в соответствии с Доктриной  необходимо:

-повысить  безопасность информационных систем, включая сети связи финансово-кредитной  и банковской сфер и сферы  хозяйственной деятельности;

-обеспечить  защиту сведений, составляющих государственную  тайну. 

Из сказанного следует, что в соответствии с  логикой Доктрины применительно  к интересам конкретной организации  следует использовать термин «безопасность  информационных систем» или «безопасность  информационных технологий», что является прямым переводом широко используемого  англоязычного термина information technology security (ITSEC).

В нашей  стране к информационным ресурсам принято  относить только техническую инфраструктуру, в лучшем случае — информацию, которая  в ней обрабатывается, циркулирует  или хранится. Из рассмотрения постоянно  выпадает колоссальный (если не сказать  главный) пласт вопросов, влияющих на обеспечение безопасности информационных систем: деятельность персонала, административная и юридическая поддержка. Между  тем официальные интересы государственных  структур сосредоточены на классических проблемах технической зашиты информации криптографическими или некриптографическими средствами от несанкционированного пользователя. Им может быть хакер, занимающаяся взломом  шифров группа «исследователей», силы технической разведки, собственный  сотрудник пытающийся получить доступ к ресурсам в нарушение предоставленных  ему прав и т. д. Спору нет, это  все очень важно, но что делать с собственными сотрудниками, действующими в рамках предоставленных им полномочий по доступу к ресурсам? Именно они  и воруют те самые базы данных по владельцам недвижимости, движимости, телефонам, сводкам по криминалу  и антикриминалу, базы данных ОВИР и  многое другое, что в открытую продается  на Горбушке и Тушинском рынке  в Москве и распространяется через Internet.

Угрозы  легального доступа

Остановимся теперь на различиях между субъектами несанкционированного и легального доступа.

Основные  угрозы информационным ресурсам принадлежат  двум большим группам и реализуются  через следующие источники:

-лиц,  не имеющих легального доступа  к информационным ресурсам организации  (так называемые "субъекты несанкционированного  доступа");

-лиц,  имеющих легальный доступ к  ресурсам организации ("субъекты  легального доступа").

Суть  действий субъекта НСД заключается  в обращении к информационным ресурсам путем организации «канала  несанкционированного доступа». Такой  канал может быть создан путем  вскрытия защищающих информацию в каналах  связи криптографических средств, использования несовершенства технических  средств, создающих побочные излучения  и наводки, взлома систем защиты компьютерной информации (в том числе, хакерские атаки), а также старинным методом вскрытия замков и сейфов с похищением (а чаще — с копированием) ценных документов. Все эти действия характеризуются высокой скрытностью и сопровождаются колоссальной степенью неопределенности для того, кто подвергается нападению. Неопределенность порождает практику постоянного совершенствования (на практике это означает удорожания) технических мер защиты.

Это же обстоятельство породило весьма проработанную  систему мер юридической защиты интересов государства. Создано  достаточно развитое законодательство, регулирующее деятельность в сфере  защиты государственной тайны, включая  нормы прямой уголовной и административной ответственности за действия, приведшие  к утечке (хищению) этой информации.

Суть  действий субъекта легального доступа  абсолютно противоположна. Ему разрешено  работать с информационными ресурсами  организации; более того, он не только использует эти ресурсы в процессе своей служебной деятельности, но и создает их. К этой категории  субъектов угроз просто не применимы  широко используемая в проблеме безопасности терминология, да и инструментарий. Ведь речь тут идет не о защите от несанкционированного доступа, а о  предоставлении доступа легальному пользователю информации и управлении этим доступом в соответствии с административной политикой организации. Как поступит этот самый легальный пользователь с информацией, ставшей ему известной  или доступной в результате выполнения им своих служебных обязанностей? Поняв это еще в 1958 году, американские специалисты начали разрабатывать  основы административных норм поведения  служащих, соответствующие кодексы  поведения. Было сформулировано понятие  «конфликт интересов», в данном случае — конфликт интересов организации  и ее сотрудника. Естественно, разрабатывались  и соответствующие технические  средства, однако это были уже системы  управления и регистрации доступа, а также всевозможные базы данных, конфликт которых по общему критерию поиска и классифицируется как «конфликт  интересов».

А как  быть с ситуацией, когда огромное количество самой разнообразной  информации, напрямую затрагивающей  интересы граждан, за бесценок продается  в Internet теми, кто явно имел или имеет  легальный доступ к этой информации?

Такая ситуация — следствие отсутствия эффективного законодательного регулирования  в сфере защиты подобной информации, отсутствия административных, организационных  и технических инструментов, позволяющих  правильно организовать работу персонала, отсутствия, как это ни банально звучит, этики корпоративного поведения  сотрудников, считающих, что все, что  лежит у них на столе и не имеет инвентарного номера, по определению  является их собственностью.

Эти вопросы  настоятельно требуют своего разрешения.

Оценка  интегрального уровня ИТ-безопасности