МИНИСТЕРСТВО СЕЛЬСКОГО ХОЗЯЙСТВА РФ
ФГОУ ВПО «ВЯТСКАЯ ГОСУДАРСТВЕННАЯ СЕЛЬСКОХОЗЯЙСТВЕННАЯ АКАДЕМИЯ»
ЭКОНОМИЧЕСКИЙ ФАКУЛЬТЕТ КАФЕДРА ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И СИСТЕМЫ В ЭКОНОМИКЕ
Курсовая работа
по дисциплине «Информационные системы в экономике »
Информационный менеджмент в современной организации
Выполнила: Демина Ю.Н.,студентка 4 курса ,группы ЭФ-410
экономического факультета
очной бюджетной формы обучения
по специальности «Финансы и кредит»
Руководитель: Плотникова С.Н.
Киров 2009
Содержание
Введение 3
1 Теоретические основы информационного менеджмента 4
2 Ресурс информационной системы. Особенности управления ресурсами информационными системами 9
3 Методология управления информационными системами в экономике 13
4 Экономические аспекты информационной системы в организации 15
5 Информационная безопасность в организации 19
6 Обеспечение биологической безопасности пользователей в организации 31
7 Аудит информационной системы 33
8 Практика информационного менеджмента в издательстве ЗАО «Коммерсант» 35
Заключение 40
Список литературы 41
Приложения
Введение
В упрощенном понимании, менеджмент - это умение добиваться поставленных целей, используя труд, интеллект, мотивы поведения других людей. Менеджмент – по-русски "управление" – функция, вид деятельности по руководству людьми в самых разнообразных организациях. Менеджмент – это также область человеческого знания, помогающего осуществить эту функцию. Наконец, менеджмент как собирательное от менеджеров это определенная категория людей, социальный слой тех, кто осуществляет работу по управлению.
Термин «информация» связан со всеми научными дисциплинами. А наиболее тесно данный термин связан с менеджментом. На протяжении многих лет они существовали как бы обособленно друг от друга, но чуть позже их объединили в единую научную дисциплину под названием «Информационный менеджмент».
Цель данной курсовой работы состоит в изучении теоретических аспектов информационного менеджмента ,а так же применение его на практике.
1
Теоретические основы информационного менеджмента
Информационный менеджмент- это система управления и контроля организационных отношений и процессов , направленная на достижение стратегических целей организации по средствам использования технических средств, телекоммуникаций , информационных технологий и моделей электронного бизнеса и на снижение риска от их применения.
В целом менеджмент (управление) - это процесс, направленный на достижение целей организации посредством упорядочения преобразований исходных субстанций или ресурсов (труда, материалов, денег, информации и т.п.) в требуемые результаты (изделия, услуги). Как известно, менеджеры воздействуют прежде всего на главный элемент организации - людей, координируя их деятельность. Эффективность менеджмента определяется как соотношение результатов работы и использованных для их получения ресурсов.
Менеджеры, осуществляющие управление, не имея научных знаний, вынуждены полагаться лишь на опыт, интуицию и везение. Однако опыта многим из них не хватает. Менеджеры лучше руководят и достигают более высоких результатов, если владеют теорией менеджмента и умело применяют свои знания на практике.
Теорию (научную дисциплину) менеджмента можно охарактеризовать как аккумулированные и по определенным правилам логически упорядоченные знания, представляющие собой систему принципов, методов и технологий управления, разработанных на основе информации, полученной как эмпирическим путем, так и в результате исследований в различных областях науки.
Теория менеджмента отличается следующими особенностями:
- ориентирована на решение практических задач;
- имеет междисциплинарный характер;
- разрабатывается в международном масштабе.
Менеджмент предназначен для решения практических задач.
Он нацелен на исследование и разработку правил эффективного управления с целью достижения высоких результатов, являющихся критерием его качества.
Отсюда вытекают следующие требования к теории менеджмента:
1) она должна предоставлять работникам, занятым практической деятельностью, знания, помогающие им повысить уровень управления;
2) способствовать повышению квалификации менеджеров и особенно подготовке претендентов на эти должности;
3) определять области и проблемы, требующие дальнейшего изучения и разработки в целях содействия развитию познавательной базы.
Технология- это формализованное описание деятельности, включающее набор ресурсов, инструментов, приемов их использования, и способов организации производства, необходимое и достаточное для воспроизводства процесса получения определенных продуктов, предметов, услуг, изменений или любых иных значимых результатов с заранее заданными параметрами.
На основе данного определения можно выделить по меньшей мере три дополняющих друг друга группы технологий:
1) ресурсные (отличающиеся друг от друга тем, какие ресурсы используются для производства конкретного продукта);
2) инструментальные (отличающиеся набором используемых орудий труда);
3) управленческие (отличающиеся способами организации производственного процесса).
В существующей литературе понятие «информационный менеджмент», как правило, связывается с двумя первыми группами (типом ресурсов или типом инструментов). Куда более плодотворным представляется разговор об информационном менеджменте как о технологии управленческой.
Надо исходить из предположения, что на современном этапе развития модернизационные процессы во всех сферах жизнедеятельности связаны скорее с организацией работы, чем с изменением характера используемых ресурсов или обновлением инструментов. Компьютер, пришедший на смену картотечному ящику и пишущей машинке, - удобство и не более того. Он не поменял природы гуманитарных занятий, так же как заменивший счеты калькулятор не произвел революции в экономике. Происходящие у нас на глазах глобальные перемены связаны не с появлением баз данных и персональных компьютеров, а с появлением новой среды коммуникации. Эта среда властно диктует особые формы взаимоотношений, которые называются сетевыми. Сети как системы человеческого взаимодействия были известны задолго до компьютерной эры, но благодаря новым техническим средствам они стали явлением. Описывать сетевые отношения и рефлексировать по их поводу начали только с появлением Internet.
Сегодня есть все основания рассматривать информационные технологии как неотъемлемый компонент технологий управленческих. Практически все вновь формирующиеся структуры координации человеческой деятельности, например офисные системы, строятся на основе новейших телекоммуникационных систем и оснащенных современными компьютерами ресурсных центров. Да и вполне традиционный управленец не мыслит сегодня своей работы без компьютера на столе. Можно дать длинный перечень элементов новых управленческих технологий, проникающих и в культурную сферу благодаря сети Internet.
Среди этих элементов:
- средства оперативной коммуникации (электронная почта, списки рассылки, новостные разделы музейных сайтов);
- распределенные ресурсы и средства доступа к ним (базы данных, порталы, терминалы компьютерных сетей);
- средства координации деятельности (электронные доски объявлений, форумы, электронные опросы);
- формы обратной связи и организации сотрудничества (гостевые книги, телеконференции);
- наконец, средства производства (инструментарий поиска ресурсов и партнеров, стандартные и специализированные программные средства).
Но дело не только и не столько в этом. Техническая модернизация сама по себе не приводит к сдвигам в сознании. Требуется еще некий фактор, который можно обозначить как переход от социального к медиапространству. Именно сюда, в виртуальную среду, все более перемещаются места делового общения, обмена идеями и взаимного консультирования (Web-клубы, Internet-кафе), средства совместного проектирования и продвижения проектов (Web-лаборатории, обмен баннерами). Возникают целые виртуальные «поселения» с проблемно-ориентированной социальной структурой и специализированными вспомогательными службами (Geocities, Fortunecity и др.). Информационные технологии становятся неотъемлемой частью культуры.
Информационный менеджмент - совокупность методов и средств управления информацией и управление с помощью информации деятельностью предприятия или организации.
Выделяют три вида информационного менеджмента: управление предприятием (организацией), внутренней документацией и публикациями. Первый из видов включает вопросы организации источников информации, средств передачи, создания баз данных, технологий обработки данных, обеспечение безопасности данных.
Основные задачи информационного менеджмента:
- разработка стратегии информационного менеджмента. Она подчинена и определяется бизнес – стратегией организации;
- разработка методологий информационного менеджмента;
- оперативное управление информационной системой организации: обновление и обслуживание программно- технических средств, управление ИС- персоналом, поддержка адекватности информационной системы к требованиям бизнеса;
- управление экономическими аспектами информационной системы;
- обеспечение информационной безопасности информационной системы , аудит информационной системы ;
-проектирование, развитие, обновление информационной системы.
В круг задач менеджмента входят также разработка, внедрение, эксплуатация и развитие автоматизированных информационных систем и сетей, обеспечивающих деятельность предприятия (организации). В этих сетях должно быть обеспечено управление информационными ресурсами. Важное значение имеют организация и обеспечение взаимодействия с внешним информационным миром: сетями, базами данных, издательствами, типографиями и т.д. Все возрастающая важность информационного менеджмента привела к появлению специалистов (информационных менеджеров), занимающихся его задачами. Эти специалисты должны преобразовывать пассивную корпоративную информацию в источники правдивых, так называемых рафинированных, сведений, определяющих успехи фирмы.
Информационный менеджмент превращается в базовую технологию организации управленческой деятельности во всех сферах информационного общества.
2 Ресурс информационной системы. Особенности управления ресурсами информационными системами
Информационная система (ИС)
- взаимосвязанная совокупность информационных ресурсов, технических средств и информационных технологий , используемых для осуществления необходимых информационных процессов.
Назначение информационная система - обеспечить организацию ИТ, информационными ресурсами и техническими средствами, необходимыми для достижения поставленных целей. Перед ИС ставятся задачи:
1. Обеспечение всех необходимых информационных процессов.
2. сбор, накопление и хранение информационных ресурсов
3. Создание и анализ новых информационных продуктов.
4. Оказание информационных услуг.
5. Обеспечение информационной поддержки
Ценностью ИС
- оценка привлекательности использования ИС с точки зрения ее влияния на бизнес и улучшения экономических показателей деятельности организации. Выделяют внутреннюю и внешнюю ценность ИС. Внутренняя ценность:
• Автоматизация труда пользователей.
• Ускорение информационных процессов в организации
• Переход на электронный документооборот
• Упрощение доступа к информации
• Возможность объединения специалистов разного профиля при решении управленческих задач Внешняя ценность:
• Маркетинговый эффект - использование в организации современных ЭВМ и ИТ создает позитивный образ прогрессивной, быстроразвивающейся фирмы.
• Стратегическое преимущество перед организациями неиспользующими современные ИТ.
• Сокращение издержек на осуществление информационных процессов в организации, в первую очередь фонда оплаты труда.
• Контролируемость персонала. ИС отслеживает работу пользователей, предотвращает ошибки, ограничивает доступ к конфиденциальной информации и т.д.
• Операционный эффект - увеличение скорости решения управленческих задач в организации, увеличение общего ила решаемых задач при сокращении численности персонала
• Расширение круга клиентов, возможность удаленного общения с ними
• Расширение ассортимента продуктов и услуг(установка новой банковской программы позволят осуществлять новые банковские услуги)
• Повышение информационной безопасности.
Ресурсы ИС
Ресурсы ИС рассматриваются как комплекс информационного, технического, математического, программного, организационного, методического и правового обеспечения.
а) Информационное обеспечение (информационные ресурсы)
К информационным ресурсам относят унифицированную систему документации, схемы информационных потоков, способы документооборота, Банки Данных организации(Хранилища данных), системы кодирования, справочники- классификаторы и т.д.. Информационное обеспечение предназначено для своевременного формирования и выдачи достоверной информации для принятия управленческих решений.
б) Техническое обеспечение, в том числе телекоммуникации
комплекс технических средств, предназначенных для работы ИС. В данный комплекс входят:
1. Компьютеры любых классов.
2. Устройства сбора, накопления, обработки, передачи и вывода информации
3. Устройства передачи данных и линии связи, в том числе компьютерные сети.
4. Оргтехника и устройства автоматического съема информации
5. Эксплуатационные материалы
в) Математическое и программное обеспечение - совокупность математических методов, моделей, алгоритмов и компьютерных программ, использующихся при обработке информации.
К средствам математического обеспечения относятся средства моделирования процессов управления, типовые задачи управления, методы математического программирования, математической статистики и т.д. В состав программного обеспечения входят:
1. Системное программное обеспечение, операционные оболочки.
2. Программы-утилиты (антивирусные программы, программы-архиваторы, и т.д.)
3. Пользовательские программы общего назначения (Пакет MS Officce)
4. Специализированные пользовательские программы(КБП, программы экономического анализа, система Клиент-Банк и т.д.)
5. Техническая документация на программные средства.
г)
Организационно-методическое обеспечение
- совокупность организационных методов и средств, регламентирующих взаимодействие работников с техническими и программными средствами и между собой в процессе разработки и эксплуатации ИС.(управление доступом, должностные инструкции, графики работ, правила работы с документами, инструкции по работе в программах и т.д.)
д) Правовое обеспечение.
совокупность правовых норм, определяющих создание, юридический статус и функционирование ИС, регламентирующих порядок получения, преобразования и использования информации.
е) Инфраструктура ИС.
Помещения, используемые в деятельности ИС и их оснащение.(серверная комната, архивные помещения, кабинеты обслуживающего персонала и т.д.)
ж) Финансовые ресурсы ИС.
Денежные средства выделяемые на обслуживание, совершенствование и развитие ИС.
Особенности управления информационными ресурсами.
1. достаточность ресурсов для осуществления непрерывной деятельности ИС.
2. сбалансированность привлечения ресурсов, т.е. равномерное их развитие и использование. (В российской практике можно отметить излишек увлечение ТО, в западных фирмах - персонал)
3. Экономическая целесообразность использования ресурсов, т.е. затраты на приобретение и внедрения ресурсов ИС должны быть соотносимы с экономическим эффектом от их использования.
4. высокая степень привлечение сторонних ресурсов (использование готовых программ, привлечение сторонних специалистов)
ИС-персонал - рассматривается как персонал, обслуживающий ИС.
Выделяют следующие группы специалистов:
> системные аналитики - решают вопросы развития и проектирование ИС, согласуют развитие ИС с требованиями бизнеса.
> Прикладные программисты
> Тестировщики
> Системные программисты
> Администраторы данных
> Администраторы безопасности
> Инженеры по ТО и компьютерным сетям
> Хранители программ
> Сетевые администраторы и т.д.
3 Методология управления информационными системами в экономике
Методологии информационного менеджмента определяют его основные направления. В каждом из направлений выделяются основные задачи по управлению ИС; в каждой из задач поясняются с точки зрения применяемых методов и средств управления ,а так же с точки зрения оценки и контроля. Как правило, методологии излагаются в отдельных руководствах. В настоящее время существует 2 международных общепринятых методологий по управлению ИС:
- COB IT- американская методология управления;
- IT IL- европейская методология управления.
Российской методологии в настоящее время не разработано, большинство организации разрабатывают собственные внутриорганизационное руководство в сфере информационного менеджмента.
При разработке собственной методологии следует учесть:
1)разработка ИС- стратегий с учетом размеров и сфер деятельности организации;
2)разработка основных направлений информационного менеджмента, выделении задач ,методов и средств управления.
Например, методология COB IT предлагает следующие 4 направления:
-развитие ИС : разработка стратегий ,управление инвестициями, управление адекватностью ИС к требованиям бизнеса;
-внедрение ИС : выбор, приобретение, установка, настройка программно-технических средств;
-сопровождение ИС: оперативное обслуживание ИС(контроль, текущий ремонт);
-информационная безопасность, аудит ИС.
3)разработка методов взаимодействия между ИС-персоналом и другими бизнес- подразделениями.
Для решения проблем в этой сфере рекомендуется создать в организации группу по управлению ИС с привлечением в нее как ИС- специалистов, так и бизнес-руководителей. Данная группа совместно разрабатывает и осуществляет методологии в сфере информационного менеджмента, проводит совместный аудит ИС.
4)документирование в сфере ИС.В России нет обязательного списка основных документов в сфере информационного менеджмента ,однако международная практика рекомендует использовать в деятельности организации следующие документы: стратегия ИС, бюджет ИС, политика информационной безопасности и тд.
5) Методы оценки и контроля деятельности ИС.
Рекомендуется использовать количественные показатели( в западной практике_ индикаторы ),которые позволяют оценить качество и надежность информационной системы ,а так же уровень обслуживания пользователей ИС. Рекомендуется использовать 15-20 показателей:
-количество сбоев;
-время решения проблем пользователей;- время доступа к ресурсам и тд.
4 Управление экономическими аспектами информационной системы в организации
ИС современной организации одна из самых затратных частей бизнеса компании с высокой степенью информатизации бизнеса, выделяют на содержание ИС до 30% бюджета фирмы.
Многие фирмы, специализирующиеся на финансовых услугах, полностью осуществляют свою деятельность на базе ИС.
Управление инвестициями в ИС.
Расходы на создание ИС ( приобретение технических средств, развитие компьютерных сетей, приобретения лицензионного программного обеспечения, внедрение интернет- ресурсов) должны рассматриваться как внутренние инвестиции организации.
Инвестиционные проекты в сфере ИС должны документально оформляться и финансово- экономически обосновываться. Необходимо также рассчитывать риски по инвестициям в ИС.
Для управления ИС проектами в организации создаются рабочие группы, в которые входят бизнес- руководители подразделений,
ИС-специалисты, финансовые работники.
Следует осуществлять контроль за ИС проектами:
- исполнение бюджета;
-достижение проектной эффективности;
-соблюдение проектных сроков и тд.
В конце года рекомендуется определять долю проектов с превышающим бюджетом, долю незаконченных проектов, долю нерентабельных проектов. Рассчитанные показатели должны быть проанализированы.
Бюджет ИС.
Рекомендуется формировать бюджет ИС на каждый год. Бюджет рекомендуется детализировать на каждый квартал, а в рамках квартала- помесячно.
В бюджете ИС выделяют следующие статьи:
1)технические средства:
-ПК(приобретение, обновление, содержание ,ремонт );
-серверы (приобретение, обновление , содержание, ремонт);
-прочее оборудование ( банкоматы и тд).
2)Телекоммуникации:
- локальная сеть организации;
- внутренняя региональная сеть;
-телефонная связь (абонентская плата);
-интернет (абонентская плата провайдеру, обслуживание шлюзов );
- Интернет-проекты ( Ozon).
3)Лицензированное программное обеспечение :
-системное ПО;
- пользовательское ПО.
4)Персонал ИС:
-зарплата персонала;
-социальные выплаты;
-повышение квалификации;
-переподготовка.
5) Инфраструктура ИС(помещения ,в котором размещается ИС):
- арендная плата;
- затраты на текущее обслуживание и ремонт помещений);
- мебель.
6)Консалтинговые услуги ( услуги приглашенных специалистов) ;
7) прочие административные издержки.
При создании бюджета ИС российские компании чаще всего используют 2 способа :
· создание самостоятельного бюджета ИС.
В данном случае все ИС расходы списываются на ИС-подразделение, которое исполняет данный бюджет и отвечает за его соблюдению. Бюджет ИС оформляется как отдельный финансовый документ, утверждается руководителем компании и исполняется наряду с другими бюджетами.
· Отдельные статьи ИС бюджета включается в бюджет бизнес-подразделений организаций. Исполняют бюджет ИС и отвечают за него руководители бизнес- подразделений. Бюджет ИС в отдельные финансовые документы не оформляются.
Распределение ИС расходов.
В российской практике сложилось 3 способа распределения ИС расходов:
1.Все расходы списываются на ИС –подразделения ,соответствующие расчеты и их обоснование осуществляют ИС- специалисты. В организации создается отдельный документ- бюджет ИС.
Преимущества: достаточно простой и доступный способ управления ИС расходами.
Недостатки:
- отсутствует взаимосвязь между бизнес- подразделениями и ИС-специалистами ;
- ИС –подразделения становятся самым затратным в организации, что может привести к определенным конфликтам внутри организации;
-непрозрачность ИС расходов ,возможность финансовых злоупотреблений.
2.ИС расходы распределяются между бизнес-подразделениями организации. Каждое бизнес- подразделение определяет долю собственных ИИ ресурсов,стоимость их обслуживания и обновления, включают данные расходы в свой бюджет,
Самостоятельно управляет ИС расходами. В случае крупных ИС расходов , связанных с созданием ИС инвестиций, проект также осуществляется специалистами бизнес- подразделений.
Преимущества:
-взаимосвязь ИС персонала и бизнес-подразделений;
- повышение прозрачности ИС расходов, двойной контроль расходов.
Недостатки: сложность определения доли ресурсов ИС,а так же стоимости их обслуживания и содержания. Нельзя просто пропорционально распределить расходы между бизнес- подразделениями.
3.ИС-подразделения включает бизнес – подразделения и продает свои сервис-услуги как внутренним пользователям , а также и внешним пользователям.
Перед ИС- подразделениями ставиться задача получение прибыли. При оказании соответствующих услуг ИС- специалисты выписывают соответственные счета как внутренним так и внешним клиентам. Данный способ является наиболее эффективным, но возможен лишь в крупных расчетах взаимоотношений между бизнес- подразделениями.
Анализ ИС расходов.
При анализе ИС расходов можно использовать следующие методы:
1)сравнительный анализ – собственные расходы ИС организации можно сравнивать с данными прошлых лет,с данными конкурентов, лидеров отрасли и др.
2)структурный анализ- изучение структуры ИС расходов, их сбалансированности и адекватности.
В российской практике часто чрезмерно завышаются расходы на технические средства.
3) трендовый анализ - те изучение изменений динамики и структуры ИС расходов, выявление тенденций , расчет последних выявленных отклонений.
5 Информационная безопасность в организации
Понятие «безопасность» весьма широко и многообразно и покрывает самые разные сферы деятельности, начиная с экономической безопасности и заканчивая вопросами физической защиты персонала и охраны зданий и сооружений. Среди комплекса направлений деятельности присутствует и группа задач, связанная с обеспечением безопасности информационных ресурсов организации и относимая, в соответствии с устоявшейся практикой, к понятию «информационная безопасность».
Следует отметить, что в соответствии с принятыми в стране официальными взглядами (см. Доктрину информационной безопасности Российской Федерации, утвержденную Президентом Российской Федерации 9 сентября 2000 г.) понятие «информационная безопасность» рассматривают как одну из составляющих национальной безопасности, понимая ее как состояние защищенности национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Более того, в понятие «информационная безопасность» вкладываются такие направления деятельности, как обеспечение информационно-психологической безопасности общества с учетом влияния на нее средств массовой информации и т.д.
Доктриной вместе с тем определено, что национальные интересы Российской Федерации в информационной сфере включают в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем. В целях обеспечения национальной безопасности в соответствии с Доктриной необходимо:
-повысить безопасность информационных систем, включая сети связи финансово-кредитной и банковской сфер и сферы хозяйственной деятельности;
-обеспечить защиту сведений, составляющих государственную тайну.
Из сказанного следует, что в соответствии с логикой Доктрины применительно к интересам конкретной организации следует использовать термин «безопасность информационных систем» или «безопасность информационных технологий», что является прямым переводом широко используемого англоязычного термина information technology security (ITSEC).
В нашей стране к информационным ресурсам принято относить только техническую инфраструктуру, в лучшем случае — информацию, которая в ней обрабатывается, циркулирует или хранится. Из рассмотрения постоянно выпадает колоссальный (если не сказать главный) пласт вопросов, влияющих на обеспечение безопасности информационных систем: деятельность персонала, административная и юридическая поддержка. Между тем официальные интересы государственных структур сосредоточены на классических проблемах технической зашиты информации криптографическими или некриптографическими средствами от несанкционированного пользователя. Им может быть хакер, занимающаяся взломом шифров группа «исследователей», силы технической разведки, собственный сотрудник пытающийся получить доступ к ресурсам в нарушение предоставленных ему прав и т. д. Спору нет, это все очень важно, но что делать с собственными сотрудниками, действующими в рамках предоставленных им полномочий по доступу к ресурсам? Именно они и воруют те самые базы данных по владельцам недвижимости, движимости, телефонам, сводкам по криминалу и антикриминалу, базы данных ОВИР и многое другое, что в открытую продается на Горбушке и Тушинском рынке в Москве и распространяется через Internet.
Угрозы легального доступа
Остановимся теперь на различиях между субъектами несанкционированного и легального доступа.
Основные угрозы информационным ресурсам принадлежат двум большим группам и реализуются через следующие источники:
-лиц, не имеющих легального доступа к информационным ресурсам организации (так называемые "субъекты несанкционированного доступа");
-лиц, имеющих легальный доступ к ресурсам организации ("субъекты легального доступа").
Суть действий субъекта НСД заключается в обращении к информационным ресурсам путем организации «канала несанкционированного доступа». Такой канал может быть создан путем вскрытия защищающих информацию в каналах связи криптографических средств, использования несовершенства технических средств, создающих побочные излучения и наводки, взлома систем защиты компьютерной информации (в том числе, хакерские атаки), а также старинным методом вскрытия замков и сейфов с похищением (а чаще — с копированием) ценных документов. Все эти действия характеризуются высокой скрытностью и сопровождаются колоссальной степенью неопределенности для того, кто подвергается нападению. Неопределенность порождает практику постоянного совершенствования (на практике это означает удорожания) технических мер защиты.
Это же обстоятельство породило весьма проработанную систему мер юридической защиты интересов государства. Создано достаточно развитое законодательство, регулирующее деятельность в сфере защиты государственной тайны, включая нормы прямой уголовной и административной ответственности за действия, приведшие к утечке (хищению) этой информации.
Суть действий субъекта легального доступа абсолютно противоположна. Ему разрешено работать с информационными ресурсами организации; более того, он не только использует эти ресурсы в процессе своей служебной деятельности, но и создает их. К этой категории субъектов угроз просто не применимы широко используемая в проблеме безопасности терминология, да и инструментарий. Ведь речь тут идет не о защите от несанкционированного доступа, а о предоставлении доступа легальному пользователю информации и управлении этим доступом в соответствии с административной политикой организации. Как поступит этот самый легальный пользователь с информацией, ставшей ему известной или доступной в результате выполнения им своих служебных обязанностей? Поняв это еще в 1958 году, американские специалисты начали разрабатывать основы административных норм поведения служащих, соответствующие кодексы поведения. Было сформулировано понятие «конфликт интересов», в данном случае — конфликт интересов организации и ее сотрудника. Естественно, разрабатывались и соответствующие технические средства, однако это были уже системы управления и регистрации доступа, а также всевозможные базы данных, конфликт которых по общему критерию поиска и классифицируется как «конфликт интересов».
А как быть с ситуацией, когда огромное количество самой разнообразной информации, напрямую затрагивающей интересы граждан, за бесценок продается в Internet теми, кто явно имел или имеет легальный доступ к этой информации?
Такая ситуация — следствие отсутствия эффективного законодательного регулирования в сфере защиты подобной информации, отсутствия административных, организационных и технических инструментов, позволяющих правильно организовать работу персонала, отсутствия, как это ни банально звучит, этики корпоративного поведения сотрудников, считающих, что все, что лежит у них на столе и не имеет инвентарного номера, по определению является их собственностью.
Эти вопросы настоятельно требуют своего разрешения.
Оценка интегрального уровня ИТ-безопасности
Одним из обобщенных параметров, характеризующих устойчивость ИТ-инфраструктуры, является показатель «живучести», включающий в качестве компонентов безопасность, надежность и доступность. Под «живучестью» следует подразумевать способность инфраструктуры достигать поставленной цели постоянным (непрерывным) способом в условиях атак, сбоев и аварий. Целью же является устойчивость и процветающая деятельность организации в целом.
Естественно, достижение эффекта только в одном из компонентов (в том числе, и в безопасности информационных систем) не даст руководству необходимых гарантий того, что ИТ-инфраструктура, а потому и сама организация будет функционировать надлежащим образом.Как следствие, исключительную практичность приобретает вопрос о методах и критериях оценки безопасности информационных систем. Система оценок должна носить интегральный характер, так как руководство организации по сути дела интересует не столько конкретный уровень безопасности в частных технологических вопросах, сколько общий уровень качества функционирования самой организации, обеспечиваемый, в том числе, и уровнем безопасности информационных систем.
С практической точки зрения этот вопрос — самый тяжелый. Имеющиеся подходы к проблеме создания инструментов и методик оценки интегрального уровня ИТ-безопасности организации весьма противоречивы. Тем не менее, перечислим существующие подходы.
Использование стандартов и норм аудита финансовых организаций, включая аудит их информационных систем и аудит безопасности этих систем. Важнейшей особенностью используемых в этой сфере подходов является комплексность оценки всех сторон деятельности организации, каким-либо образом влияющих на риски безопасности. В силу ясного осознания сложности описания аудируемого объекта, в методиках этой категории применяется механизм качественного описания результатов проверки и мягкая рейтинговая система их оценки. Наиболее распространенный рейтинговый стандарт проверки информационных технологий — американский URSIT (Uniform Rating System for Information Technology).
Представляется, что этот подход наиболее объективен, однако он принят только в финансовом секторе и не находит применения вне него.
Проведение аудита ИТ-инфраструктуры организации по стандарту безопасности компьютерных систем ISO 17799. Пока известно лишь о первых, весьма ограниченных попытках применения этого метода, поэтому о практическом опыте говорить рано. Между тем разработчики стандарта заявляют, что после проведения подобного аудита информационная система организации становится «прозрачнее» для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. К сожалению, официально
Применение для оценки защищенности информационных систем стандартов ISO 15408 «Открытые критерии». В этих стандартах детально проработаны вопросы разработки информационных систем с учетом требований и гарантий их безопасности. Вместе с тем авторами стандарта сделаны серьезные ограничения, которые фактически не позволяют использовать его в качестве универсального инструмента комплексной оценки безопасности и жестко ограничивают область его применения только вопросами безопасности информационных систем. Стандарт не затрагивает административных и правовых вопросов обеспечения безопасности и далеко не полностью учитывает роль легального пользователя во всей совокупности проблем обеспечения безопасности.
В настоящее время ведется работа по введению в России этого стандарта как государственного (с некоторыми временными ограничениями по его вводу в действие), что само по себе можно только приветствовать. Однако в силу органически заложенных в стандарте ограничений он не слишком подходит для целей комплексной оценки интегрального уровня безопасности организации.
Использование для оценки защищенности информационных систем частных методик и критериев, предназначенных для оценки криптографической стойкости алгоритмов шифрования и защищенности информации от утечки по техническим каналам. При этом происходит фактическая подмена модели угроз, в центре которой стоят проблемы борьбы с легальным пользователем системы (он, как уже упоминалось, и является основным источником проблем), моделью соответствующих ведомств, в центре которых стоят субъекты несанкционированного доступа.
При таком подходе фактически одни и те же вопросы в организации подвергаются различным проверкам по различным методикам, по итогам которых выносятся определенные суждения об уровне безопасности отдельных подсистем. Руководство как было, так и остается в некотором неведении в отношении того, насколько правильно организована работа, достаточен ли уровень безопасности, не обесценились ли вложения в эту сферу, или, напротив, не слишком ли много средств расходуется на безопасность.
Применительно к целям руководства, которое объективно заинтересованно в обеспечении устойчивого и эффективного функционирования организации, безопасность является обеспечивающей основные задачи функцией, проявляясь при этом на всех уровнях функционирования организации и оказывая прямое воздействие на ее деятельность в целом. С этой точки зрения важнейшим свойством безопасности в обеспечении интересов организации в целом оказывается возможность обеспечения ее прозрачности и контролируемости. Это необходимо учитывать при разработке политики безопасности информационных систем.
Под прозрачностью здесь следует понимать возможность получения объективной и целостной информации на всех уровнях организации в ограниченные сроки без создания конфликтной ситуации. Под контролируемостью понимают возможность получения в ограниченные сроки объективной оценки результатов решений, принимаемых на данном уровне организации, и внесения соответствующих изменений в действия сотрудников и подразделений в целях получения желаемого результата.
Реализация этих свойств позволяет руководству организации:
сосредоточить свое внимание на наиболее важных аспектах обеспечения безопасности организации;
принимать решения на основе объективной и целостной информации;
контролировать возникающие риски;
добиваться с большей эффективностью исполнения принятых решений;
отслеживать качество принимаемых решений и оперативно вносить необходимые коррективы;
значительно повысить предсказуемость результатов принимаемых решений.
Политика ИТ-безопасности организации
К настоящему времени в нашей стране еще не сложился стандартный подход к оценке эффективности работы подразделений информационной безопасности и определенный взгляд на роль факторов, оказывающих влияние на уровень интегральной безопасности организации. Регулирующие ведомства пока не подают признаков того, что они готовы трансформировать свои взгляды в сторону более реального учета проблем и потребностей гражданского сектора.
Все это, несомненно, влияет на выработку политики безопасности информационных систем организации и ведет к необходимости учета следующих факторов:
определения целей защиты;
определения объекта защиты;
определения актуальных угроз, субъектов этих угроз, выбора профилей защиты;
разработки методов определения качества защиты или выбора уже существующих систем критериальных оценок;
получения гарантий защищенности системы.
В условиях сложившейся неопределенности достаточно распространена ситуация, когда организация, заказывая услуги в сфере безопасности информационных систем, плохо представляет себе роль и место конкретной услуги, равно как и ее вклад в интегральный уровень безопасности. Как следствие, резко увеличиваются затраты на обеспечение безопасности при практической неопределенности в оценке достигнутого эффекта. При этом парадокс состоит в том, что при дальнейших вложениях неопределенность оценок практически не снижается, а сложность реализации мер безопасности растет.
В практической работе по организации и поддержанию уровня безопасности адекватного потребностям организации (защищенности, сохранности) информационных ресурсов при разработке политики безопасности в условиях неопределенности и неоднозначности действующей в стране концептуальной, законодательной и нормативной базы волей-неволей приходится сталкиваться с весьма разноплановыми факторами, влияющими на формирование этой политики.
Следует также отметить, что любой заказчик услуг безопасности находится под сильным интеллектуальным давлением поставщиков таких услуг, и в первую очередь, поставщиков оборудования и программных средств безопасности, а эти средства ориентированы на самую распространенную модель угроз — модель НСД. В результате, при отсутствии собственной адекватной реалиям политики безопасности заказчик приобретает те услуги, которые предлагают поставщики, а не те, которые необходимы самой организации. Между тем, уровень многих фирм, даже владеющих всеми необходимыми лицензиями, далек от совершенства.
Многоуровневая модель объектов информационной безопасности
Лучше понять комплекс упомянутых проблем, выстроить эффективную политику безопасности организации, а также политику работы с поставщиками услуг, помогает многоуровневая модель структуризации объектов информационной безопасности, суть которой состоит в следующем.
Актуальные для разных уровней угрозы, агенты этих угроз, методы защиты, критерии оценки эффективности принципиально различаются
Анализ ИТ-инфраструктуры организации позволяет выделить семь уровней технологий и реализуемых ими процессов, для которых принципиально различаются актуальные угрозы, агенты этих угроз, методы защиты, критерии оценки эффективности и, наконец, терминология. Эта модель несколько условна. Не во всех случаях наличествуют не все обозначенные уровни, однако в большой организации, владеющей собственной корпоративной сетью, все уровни прослеживаются совершенно определенно.
Как правило, предложения по очень хорошим, эффективным и сертифицированным средствам обеспечения безопасности не выходят за III уровень и защищают от угроз, исходящих от субъекта НСД.
Однако парадокс ситуации заключается в том, что наиболее опасным субъектом угроз в организации является легальный пользователь, допущенный к ее ресурсам. (В частности, это подтверждает статистика по преступлениям в банковской сфере.) Значение субъекта легального доступа резко возрастает от III к VI уровню — именно там, где практически нет специальных средств защиты и вся безопасность базируется на настройках систем управления доступом, аудита, обеспечения целостности программ и штатности выполняемых бизнес-процессов.
На устойчивость обеспечивающих безопасность настроек влияет их доступность большому числу администраторов систем и программистов. Так как степеней свободы у специалистов данной категории много, а мониторинг их деятельности, как правило, весьма слаб, в этой зоне налицо отсутствие «прозрачности» и высокая степень риска. Иными словами, на этих уровнях резко возрастает роль «человеческого фактора», самой нестабильной и изменчивой составляющей во всей совокупности проблем, влияющих на безопасность.
Еще тяжелее ситуация на VII уровне. Здесь царит так называемый «пользователь», т. е. тот самый «субъект легального доступа», о котором так много говорилось в этой статье. Для него компьютер — не более чем вспомогательный инструмент на его рабочем столе, со средствами НСД он сталкивается только при наборе пароля на вход и при его замене, в чужие каталоги не лазает, о проблемах настроек маршрутизаторов сети и сетевой безопасности понятия не имеет. Кроме того, как правило, он располагает разнообразными средствами коммуникаций (факс, телефон, электронную почту, Internet) и, само собой, может скопировать данные на отчуждаемый носитель. ИТ-служба постоянно заботится о том, чтобы предоставить ему еще больше услуг, больше удобств. Совсем иная картина в сфере безопасности. Подразделение безопасность информационных систем доступные ему инструменты уже применило; все остальное, как правило, формально не подпадает под его компетенцию. В компетенцию какой службы попадает проблема злоупотребления легальным доступом? Тут нет готовых решений. К сожалению, тут можно дать рекомендации лишь общего характера.
В организации должна существовать детальная административная политика в отношении персонала. Эта политика должна подробно регламентировать и минимизировать права доступа сотрудников к информации, цели этого доступа, требования по регламенту использования доступной информации.
Административная политика должна подкрепляться не менее детальным аудитом действий пользователя с доверенной ему информацией. Таким аудитом должны быть охвачены не одни пользователи, но все, кто имеет легальные права доступа к информации, настройкам оборудования, базам данных, операционным системам и т.д.
Расхождение административной политики и аудита означает наличие "конфликта интересов" организации и ее сотрудника.
Необходимо соблюдение принципа "прозрачности": сотрудник должен внятно объяснить все свои действия с информацией, выявленные системой аудита.
Должен существовать свод корпоративных морально-этических требований, четко регламентирующих правила поведения сотрудника, позволяющих выявить "конфликт интересов" и дающих возможность руководству применить, в случае необходимости, административные меры взыскания.
С персоналом должна проводиться воспитательная работа, целью которой является выработка у людей этики корпоративного поведения и отношения к ресурсам организации.
Для организации нет ничего опасней в сфере безопасности, как формальное следование предложениям по использованию тех или иных продуктов и услуг без разработки качественной и адекватной политики безопасности, разработки и внедрения в повседневную практику комплекса организационных, административных и технических мер, а главное без осознания в общем комплексе задач организации роли и места службы безопасности.
Отношения организации с себе подобными строятся на основе норм гражданского права (на договорной основе), а с государством, в лице органов государственного управления, — на основе административных правоотношений.
Безопасность информационных систем не является основным видом деятельности организации.
Обеспечение безопасности информационных систем относится к числу основных функциональных задач, направленных на достижение организацией своих главных целей.
Служба безопасности, как правило, не производит сама средства безопасности, а является заказчиком и потребителем услуг, представляемых рынком в этой сфере.
Семь уровней безопасности
На каждом уровне иерархии специалисты, работающие с информационными ресурсами, используют свою, присущую только этому уровню терминологию. Из нее и формируется понятийный аппарат в области безопасности. При этом такой аппарат не может быть применен на соседнем уровне, а специалисты I и VII уровней просто не понимают друг друга. Действительно, можно ли требовать от специалиста, осуществляющего регистрацию документа, даже в электронной форме, чтобы он знал и понимал, в чем выражается, что означает и каким должно быть переходное затухание сигнала при совместном пробеге кабелей связи?
Многоуровневая модель позволяет учесть и присутствие легального пользователя. При этом с каждым следующим уровнем данный фактор становится все значительнее.
Очевидно и то, что говорить о каких-либо гарантиях безопасности без конкретной привязки к конкретному уровню модели бессмысленно. Хотелось бы отметить в этой связи, что говорить о равнопрочности защиты можно только в том случае, если необходимый уровень безопасности достигнут на каждом «этаже». Ну а уровень безопасности достигается путем применения набора адекватных модели угроз и свойственных рассматриваемому уровню инструментов защиты. Таким образом, многое зависит от имеющегося инструментария.
До III уровня дела обстоят совсем неплохо. Вопросы технической защиты от НСД неплохо проработаны, имеются достаточно эффективные сертифицированные средства обеспечения безопасности. Вопрос только в их стоимости и удобстве эксплуатации. Дальше ситуация серьезно меняется. На уровнях выше III практически нет специальных сертифицированных средств защиты, безопасность целиком базируется на программных настройках систем управления доступом, аудита, обеспечения целостности программ и штатности бизнес-процессов. На устойчивость обеспечивающих безопасность настроек влияет две группы факторов.
Качество работы администраторов систем, которые должны отслеживать все изменения административной политики подразделения, своевременно внося изменения в настройки системы управления доступом. Практика показывает, что со временем это качество ослабевает, а политика управления доступом, предоставленные пользователям права и пароли перестают соответствовать административной политике.
Доступность настроек, особенно при построении сетей на персональных компьютерах, как правило, имеющих избыточные и не нужные простому пользователю автономные возможности по их администрированию, доступные большому числу пользователей, администраторов систем и программистов.
Решением в данной ситуации является переход к централизованной обработке и централизованному управлению безопасностью, развитие аудита событий в системе с обязательным оперативным разбором информации с целью обеспечения их прозрачности для службы безопасности, а также усиление административного компонента в управлении персоналом. Именно это демонстрируют крупнейшие ИТ-корпорации, которые добились практически полной централизации не только обработки, но и администрирования ресурсов, исключив из этого процесса собственно пользователей и поставив под контроль и аудит администраторов.
Это, в свою очередь, требует наличия понятной и логичной политики безопасности, разработанной для конкретной организации и с учетом ресурсов, которые являются для нее критическими. Так, в организации, предоставляющей услуги передачи межбанковских платежей, защищаемый ресурс будет одним, а в банках, которые пользуются этой системой, — совершенно иным. Естественно, что и политики безопасности в этих организациях отличаются, включая в первом случае одну группу уровней модели, а во втором — другую группу. Но в таком случае они отличаются и по видам угроз, и по агентам этих угроз, и по методам защиты, и по критериям оценки безопасности. При кажущейся внешней схожести и общей сфере деятельности двух этих организаций, безопасность информационных систем в них разительно различается.
6 Обеспечение биологической безопасности пользователей в организации
Приказ Министерства здравоохранения и медицинской промышленности РФ
« О порядке проведения предварительных периодических медицинских осмотров и регламентация доступа к профессии».
Данный приказ подтверждает:
-перечень вредных и опасных веществ и производственных факторов;
- цели периодических осмотров врачей-специалистов;
- список профессиональных заболеваний;
- обязанности руководства по соблюдению допустимых норм на предприятии.
В соответствие с данным приказом для пользователей ИС можно выделить следующие неблагоприятные факторы:
1)электромагнитное излучение формируется вокруг любых приборов , работающих на электрическом токе. В первую очередь вокруг мониторов.
Высокий уровень электромагнитного излучения может вызвать различные заболевания органов зрения, поражать нервную и сосудистую систему . К профессиональным заболеваниям относятся: котакарта, останический синдром и тд.
2) работы, требующие длительного зрительного напряжения. Наблюдение за экраном монитора свыше 50 % времени рабочей смены. Данные работы снижают остроту зрения , вызывают различные заболевания органов зрения ,к профессиональным заболеваниям относится профессирующая близорукость.
3) работы, связанные с локальным напряжением мышц кистей и пальцев рук. Работа с клавиатурой и манипуляторами, выполнение за смену более 40000 операций.
Данные работы могут вызывать хронические заболевания нервной системы, болезни суставов , кистей рук.
4)Газ озон. Озон выделяется при работе лазерных принтеров и сканеров. Данный газ может вызывать различные аллергические заболевания верхних дыхательных и бронхолегочной системы.
Неблагоприятные факторы допускаются ,если они не превышают предельно допустимой нормы. Замер уровня неблагоприятного воздействия факторов осуществляют специальные СЭС с помощью специальных приборов. По результатам проверки специалисты составляют единое заключение.
Кроме того, рекомендуется в паспорт АРМ, в которой наряду с программно-техническими характеристиками указывать и уровень воздействия неблагоприятных факторов.
Подлежат нормированию:
1)уровень ЭМИ, который замеряется на расстоянии 50см от рабочего оборудования;
2)параметры монитора .Современные сертифицированные мониторы выпускаются с соблюдением всех допустимых норм. Лазерные мониторы более безопасные и рекомендуются для установления в офисе;
3)микроклимат помещений с ЭВМ, равномерное освещение рабочих мест и офисов в целом, возможно совмещение как естественного так и искусственного освещения.
Допустимый уровень шума: приборы производящие шум должны быть вынесены в отдельные помещения , при необходимости стены и потолки могут покрываться звукопоглащающими материалами.
Средства снижения неблагоприятного воздействия:
- соблюдение предельно допустимых норм неблагоприятных факторов. Обязанность за их соблюдение лежит на руководстве организации;
- соблюдение режима труда и отдыха. Все пользователи ЭВМ деляться на 3 группы:
1 группа- воздействие неблагоприятных факторов превышает допустимые нормы;
2 группа- влияние неблагоприятных факторов близко к предельно допустимым, но не превышает их;
3 группа – пользователи работают с ЭВМ в творческом режиме.
- использование специальных защитных средств:
* увлажнители воздуха;
*кондиционеры;
*специальные фильтры , поглощающие ЭМИ
* использование приборов со специальными защитными корпусами, использование специальных клавиатур и тд;
- применение специальных комплексов физических упражнений ,которые можно выполнить на рабочем месте.
7 Аудит информационной системы
Аудит ИС направлен не столько на проверку достоверности бухгалтерской отчетности и соответствия учетных процедур, сколько на предотвращение негативных явлений в деятельности ИС, анализ и прогнозирование ее состояния, управления рисками в ИС.
Далее рассматривается простейшая методика аудита ИС, доступная для пользователей не обладающих специальными знаниями .Для более детального аудита рекомендуется привлекать квалифицированных специалистов-аудиторов ИС. Вопросам аудита ИС посвящены несколько зарубежных стандартов и специальный российский стандарт «Аудит в условиях компьютерной обработки данных» Цели аудита ИС:
• Оценка рисков в ИС
• Содействие предотвращению и смягчению последствий сбоев в ИС.
• Контроль за деятельностью ИС.
• Правильная организация управления ИС. Технология аудита ИС.
При проведении аудита ИС внимание проверяющих обычно направлено на три основных блока:
• Техническое обеспечение ИС
• Программное обеспечение ИС
• Технология организации компьютерной обработки данных При проверке технического обеспечения (ТО) отслеживают:
1. способность ТО функционировать без сбоев и остановок
2. надежность хранения данных на компьютерных носителях, практику резервного копирования
3. ограничение физического доступа к ТО
4. возможность наращивания и обновления ТО
5. достаточность мощности ТО для осуществления обработки данных
6. соблюдение принципов экономической эффективности ТО (соотношение затрат на ТО и экономического эффекта получаемого от его использования).
При контроле программного обеспечения (ПО) проверке подлежат:
1. лицензированность ПО
2. разграничение прав доступа к ПО
3. порядок обновления ПО
4. протоколирование действий пользователя
5. надежность ПО, наличие антивирусной защиты
6. достаточность функциональных возможностей ПО, удобство пользовательского интерфейса
7. корректность настроек ПО
8. корректность ведения справочников
9.корректность алгоритмов и процедур используемых в ПО. Направления проверки технологий организации компьютерной обработки данных:
1. наличие необходимых внутренних документов ИС («Стратегия развития ИС», «Техническая политика», «Архитектура ИС», «Бюджет ИС», «Политика информационной безопасности», «Соглашение о взаимодействии бизнес-подразделения (бухгалтерии) и обслуживающего персонала», протоколы заседаний ИС-комитета, планы-графики развития ИС, журнал регистрации обращений пользователя, должностные инструкции, документы на эксплуатацию ТО, инструкции по работе в программах, лицензионная документация на ПО)
2. оценка системы поддержки пользователей ИС
3. существование плана развития ИС и его реализация
4. существование политики информационной безопасности и ее исполнение.
5. соответствие деятельности персонала с планами развития ИС и политикой информационной безопасности
6. работа особо критичных участков
7. регламентация деятельности персонала в критических ситуациях.
Практика информационного менеджмента в издательстве ЗАО «Коммерсант»
Сегодня можно сказать, «Коммерсант» был первым по-настоящему рыночным изданием, развивавшем активную экспансию на рынке СМИ.
Двадцать лет назад вышел нулевой (пилотный) номер тогда еще еженедельной газеты «Коммерсант». А с 8 января 1990 года газета стала выходить в регулярном режиме. К чему это привело, знают сегодня не только сотни тысяч читателей изданий с логотипом «Ъ», но и сотни тысяч читателей других газет и журналов, возникших за последнее десятилетие. Новые технологии издательского дома «Коммерсант» оказали влияние на весь рынок российской прессы, а команды коммерсантовской школы сегодня участвуют в производстве большинства популярных российских СМИ.
«Коммерсант», как известно, произошел из кооператива «Факт». Это был один из самых первых кооперативов в стране – зарегистрированный 15 июня 1988 года, вскоре после выхода закона о кооперации. Основатель «Факта» Владимир Яковлев работал тогда корреспондентом в журнале «Огонек». В те времена бытовала фраза: «Кто владеет информацией – владеет миром». Но мало кто знал, где эту информацию взять и кому и почем ее потом можно предложить. У Яковлева возникла идея создать информационную службу для поддержки первых кооперативов. Эдакую телефонную справочную, которая давала интересующимся телефоны кооперативов, а также издавала справочную литературу, нормативные акты и документы, оказывала юридическую поддержку и консультировала.
Владимир Яковлев привлек к делу серьезных профессионалов, которые наладили правовую защиту первых кооперативов. Этим «Факт» заработал большой авторитет в кооперативных кругах, и вскоре Яковлев вошел в актив, образованный из лидеров кооперативного движения. На базе этого актива был создан сначала московский, а затем и всесоюзный союз кооперативов.
Так преобразуясь и ища финансовой поддержки кооператив «Факт» видоизменился до своего теперешнего состояния – «Коммерсант».
Первые номера принесли изданию успех. Газета с первоначальным тиражом 40 тысяч экземпляров и стоимостью 40 коп. разлеталась мгновенно, и вскоре спекулянты торговали ею в переходах метро по рублю за штуку. А уже через год тираж газеты вырос до 500 тысяч экземпляров. Столь неожиданный прорыв на рынок нового издания можно объяснить, конечно, и тем, что никакого рынка тогда еще не было. Это действительно была первая частная и независимая газета. Все государственные издания были направлены в политическое русло. Для «Коммерсанта» словно никакой политической власти не было. Он обращался к новой социальной группе, которую власть интересовала только в одном смысле: как сделать, чтобы она не мешала работать, - к первым предпринимателям. И газета была им нужна как практический инструмент для работы – как точная сводка деловых новостей. «Коммерсант» попал в точку. Ведь его создали люди, которые пришли в бизнес одновременно с его читателями, если не раньше. Это давало им право разговаривать на равных. Кстати, ссылки на источники информации тоже внедрил «Коммерсант» – как своего рода правила хорошего тона.
Новый язык «Коммерсанта» оценили и приняли. Читателям импонировала краткость, осторожность в оценках, холодноватый отстраненный тон, ирония. Это был не «совковый» стиль, а почти иностранный.
Иностранность подчеркивало двойное написание имен – по- русски и по-ихнему. Что не давало повода попутать, какие-то иностранные слова с их произношением на русском.
Сегодня то, что тогда было открытием «Коммерсанта», кажется нормой. Яковлев с соратниками первыми ввели западный принцип подачи информации – «принцип перевернутой пирамиды»: в первых трех фразах сжато излагается суть информации: что, где, когда. С тех пор это непременный атрибут любой заметки в любом издании «Ъ». И лишь после этой самой вводки следуют подробности. И еще только факты никакой самооценки, никакой морали.
Новации «Коммерсанта» касались всех сторон производственного процесса – творческой, технологической, управленческой.
Новые принципы не были просто пожеланиями Яковлева. Они были зафиксированы на бумаге, и перед каждым сотрудником висела шпаргалка – что-то вроде инструкции по написанию заметок. При этом важно, что Яковлев не просто придумывал правила, он добивался их неукоснительного выполнения. Даже если потом оказывалось, что он не прав.
Многие кто хорошо знал Яковлева в те годы, часто отмечают, что его стиль руководства был жестким, авторитарным. Но признают, что иначе невозможно было создать работоспособную команду. Еще одно важное отличие редакции «Коммерсанта» состояло в том, что там работали одни ровесники, что имело под собою в качестве подоплеки единые интересы. В советских газетах главред обычно пользовался уважением по причине возраста и опыта, здесь же высшим руководителям было не больше 30 – 35 лет. Была серьезная опасность того, что ответом на требования исполнять определенные правила будет обычная реакция: «Да ладно тебе, старик, чего придираешься!» Яковлев этого не допустил и ввел систему штрафов – за любым отступлением от правил следовало наказание.
Это была система система материального стимулирования от противного. Объяснение: вам платят за то, что вы должны работать на определенном уровне, поэтому любой недочет автоматически ведет к вычету из зарплаты. «Коммерсант» был первой из российских газет, делавшей регулярный обзор иностранной прессы.
Кстати, с появлением «Коммерсанта» родилась еще одна статья журналистских расходов – плата за информацию. Газета претендовала на то, что бы считаться самой оперативной и информированной – и за это приходилось платить.
«Коммерсант» первым ввел дежурные смены в редакции. Специальная группа сидела ночи на пролет и слушала сканер – радио переговоры милиционеров, сообщавшие о происшествиях. При сколько-нибудь серьезном происшествии корреспондент брал дежурную машину и мчался на место событий. Больше того, долгое время в редакции существовала система компьютерного бронирования автомобилей: любой сотрудник с водительскими правами мог заказать себе машину и выехать на служебное задание.
Набор жестких, но вполне разумных и понятных правил позволил Яковлеву создать механизм, который мог в дальнейшем работать без него, самостоятельно. В результате оперативность информации достигла такого уровня, что еженедельный «Коммерсант» порой успевал сообщать новости раньше, чем ежедневные газеты, а с выходом ежедневной Daily «Коммерсант» смог конкурировать с выпусками радио- и теленовостей.
Важную роль в работе этого механизма играли технические и управленческие новации в редакции «Коммерсанта».
Многие полагают, что главное ноу-хау и одновременно причина успеха «Коммерсанта» – внедрение в журналистику «потогонной системы». Иногда употребляют и более крепкие выражения: «конвейер», «соковыжималка». С одним уточнением: это высокотехнологическая соковыжималка. Последнего поколения.
Вот как выглядели издательские технологии десятилетия назад. Журналист писал статью на листе бумаги, порой от руки, и сдавал в машбюро на перепечатки. В это время технический редактор или ответственный секретарь чертил от руки макет – высчитывал количество знаков, рисовал с карандашом и линейкой каждую полосу, клеил и резал кучу бумаги, как на школьном уроке труда. Написанные материалы отправлялись в типографию, где на линотипных машинах отливали набор, а потом по несколько раз отправляли гранки обратно в редакцию на корректуру (обычно в центральных газетах было 4-5 стадий корректуры, после каждой делали новые гранки). Затем уже сверстанные полосы читал сотрудник под названием «свежая голова» и подписывал номер в печать.
Но газета нового типа не хотела, да и не могла работать таким образом. И тем более ставить процесс верстки в зависимости от типографии. Поэтому с первого дня «Коммерсанта» тексты набирались на компьютерах.
Вторая революция состоялась, когда силами специалистов «Коммерсанта» была создана компьютерная система «Редакция» - специально для нужды своего технологического процесса. Яковлев лично рисовал контуры будущей системы, и программисты создали, пожалуй, самую совершенную информационную издательскую систему, которая и по сей день не имеет себе равных. Она крайне удобна для работы и отличается высокой надежностью. Это система управления всем процессом прохождения материалов от заявки до верстки. Она позволила «Ъ» сильно продвинуться вперед и повысить эффективность и оперативность труда. Система работала на база корпоративной сети, какой в то время не обладал никто другой (она объединяла около 200 машин). Безбумажная технология существенно сократила путь заметки от автора до полосы, давала выигрыш во времени, позволяя включать в номер самые последние новости и тем самым опережать конкурентов, кое в чем соревнуясь даже с телевидением. При этом творческие люди смогли сосредоточится именно на творчестве, не отвлекаясь на рутинные вопросы.
Электронная система дала журналистам «Ъ» огромное преимущество перед конкурентами не только в смысле оперативности, но и в смысле информационных возможностей. Так, система архивирования материалов и поисковая система позволяют быстро находить все, что было написано «Ъ» по тому или иному поводу за все годы его существования.
Но самое главное – «Ъ» первым сумел совместить работу редакции и информационного агентства. В свое время Яковлев создал агентство «Постфактум», которое обеспечивало доступ к информации по принципу западных агентств. Оно позволяет любому журналисту просматривать новости информационных агентств в режиме он-лайн и моментально использовать их в своей статье. Через некоторое время «Ъ» создал и собственный информационный центр. И до сих пор такой погруженности в информационную среду нет ни в одной из российских редакций.
Электронная система позволила обеспечить сквозной контроль за соблюдением информационных стандартов и единого стиля. По сути это многоступенчатая технология прохождения материалов. От автора вариант статьи шел к редактору отдела, затем к руководителю блока, затем к заместителю главного редактора и на последней стадии попадал к Яковлеву. На любом этапе могли быть обнаружены пробелы или дефекты, и тогда материал возвращался вниз, что бы потом вновь проделать путь наверх. Что не гарантировало ему проходимости. Ну а если материал попадал в номер, его ожидал рерайт – логическая, корректорская и стилистическая правка. Кроме того, в последние годы в «Ъ» появилась служба proofreader-ов, которые отслеживают статьи на предмет их ангажированности и соответствия коммерсантовским стандартам. Наконец, электронная система – важный элемент поддержания трудовой дисциплины: долгое время о свалившихся в «портфель» материалах тут же становилось известно бухгалтерии редакции, которая начисляла автору штрафы за нарушение сроков сдачи заметки. В плане защиты информации редакция газеты использовала все возможные виды защиты: шифрование данных, а так же широко применяло морально- этические средства.
Заключение
В заключении важно отметить то, что сама дисциплина «Информационный менеджмент» является достаточно «молодой», но ее основы зародились намного раньше. Все цели, которая ставит перед собой данная дисциплина при ее изучении, существовали еще задолго до возникновения информационного менеджмента. Все то же самое можно сказать и о задачах и функциях. Так же все входящие компоненты существовали обособленно друг от друга. В итоге многие управленческие решения выполнялись на достаточно низком уровне и довольно медленно, что в наше время очень губительно для современной организации.
При объединении многих цепочек в менеджменте, появилась дисциплина «Информационный менеджмент». С ее помощью ежегодно многие высшие учебные заведения готовят специалистов, имеющих высокие профессиональные знания в области менеджмента, которые в последующем показывают отличные результаты на рабочих местах и становятся не только уважаемыми работниками, но и блестящими специалистами и руководителями.
Список литературы
1.Федеральный закон № 149 «Об информации, информационных технологиях и защите информации» от 27 июля 2006 г
2. Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» от 17.03.2008 №351;
3.Шумилов, Ю.П. Менеджмент информационных ресурсов // ИРР. – 2005.
4. Галатенко, В.А. Основы информационной безопасности. Интернет-университет информационных технологий − ИНТУИТ.ру, 2008;
5. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. − М.: ДМК Пресс, 2008. – 544 с
6.Костров, А.В. Основы информационного менеджмента: Учебное пособие. – М.: Финансы и статистика, 2001.
7.Составитель А.В.Лебедев, Научные редакторы А.В.Лебедев, Е.Л.Иванова, Е.А.Лебедева « МУЗЕЙ БУДУЩЕГО: ИНФОРМАЦИОННЫЙ МЕНЕДЖМЕНТ» 2001 год
8. Моисеенко Е.В «Информационный менеджмент», М.: Финансы и статистика,2005 год
9. А. С. Гринберг, И. А. Король «Информационный менеджмент» ,М: Юнити-Дана,2003.
10. Методы и модели информационного менеджмента Под ред. Кострова А.В. М.: Финансы и статистика, 2007. — 336 с.
Приложения