ВОРОНЕЖСКИЙ ИНСТИТУТ ВЫСОКИХ ТЕХНОЛОГИЙ

Н.И.ЛЯДОВА,

к.э.н., доцент

 КОНСПЕКТ ЛЕКЦИЙ

по дисциплине

ИНФОРМАЦИОННАЯ ПОДДЕРЖКА

бизнес-процессов

для студентов – магистров

Воронеж – 2017

ВВЕДЕНИЕ

Современный взгляд на управление организацией заключается в том, что такая работа должна быть сфокусирована на осуществляемых в ней процессах. Это предполагает систематическую идентификацию процессов и управление ими, а особенно их взаимодействиями.

Данный подход, получивший название Business Process Management (BPM, управление бизнес-процессами), позволяет повысить уровень управляемости бизнеса и улучшить его основные показатели (стоимость, время, качество, удовлетворенность клиентов, издержки и т.д.).

Кроме того, BPM способствует эффективному решению сложных комплексных задач:

• построения систем процессного управления;
• подготовки и внедрения систем управления предприятием класса ERP;
• разработки и внедрения систем менеджмента качества в соответствии с требованиями международных стандартов ISO 9000 и др.

Управление бизнес-процессами подразумевает наличие:

• методологии для разработки стратегии управления бизнес-процессами, например на основе Balanced Scorecard;
• методологий моделирования, анализа и оптимизации бизнес-процессов, например ARIS;
• инструментальных средств для разработки стратегии управления бизнес-процессами, их описания, анализа, оптимизации и документирования;
• инструментальных средств, обеспечивающих информационную инфраструктуру бизнес-процессов, системы управления предприятием и системы управления документами;
• инструментальных средств, обеспечивающих протекание бизнес-процессов, например реализующих технологию Workflow.

На российском рынке представлены многие инструментальные системы для поддержки различных компонентов BPM, но их распространение сдерживается нехваткой квалифицированных кадров. А это обуславливает высокий спрос на специалистов в области управления бизнес-процессами.

Сегодня у российского топ-менеджмента уже сформировалось четкое понимание того, что путь к эффективному бизнесу лежит через правильно выстроенные, гибкие и адаптируемые бизнес-процессы, их информационную насыщенность, поддержку и согласованные правила реализации.

Речь идет о новой мощной волне информационной поддержки управления бизнес-процессами. Она характеризуется практически полным принятием руководителями российских предприятий идеи процессного управления, реализацией этой идеи во многих успешных проектах реструктуризации бизнеса и организационного развития, качественно новым уровнем отношения к информационным технологиям, как к неотъемлемой части управления бизнес-процессом, на основе современных теорий, методов, подходов и работе с информационным обеспечением средств управления.

1.     Основные понятия курса  информационной поддержки

бизнес- процессов

Роль информационных технологий в развитии общества состоит в ускорении процессов получения, распространения и использования обществом новых знаний.

В истории развития цивилизации произошло несколько информационных революций, когда кардинальные изменения в сфере обработки информации привели к преобразованиям общественных отношений, приобретению человеческим обществом нового качества.

Первая революция связана с изобретением письменности, что привело к гигантскому качественному и количественному скачку в развитии общества. Появилась возможность передачи знаний от поколения к поколению.

Вторая (середина XVI века) вызвана изобретением книгопечатания, которое радикально изменило индустриальное общество, культуру, организацию деятельности.

Третья (конец XIX века) обусловлена изобретением электричества, благодаря которому появился телеграф, телефон, радио, позволяющие оперативно передавать и накапливать информацию в любом объеме.

Четвертая (70-е г.г.XX века) связана с изобретением микропроцессорной технологии и появлением персонального компьютера. На микропроцессорах и интегральных схемах создаются компьютеры, компьютерные сети, системы передачи данных.

В те же годы анализ тенденций научно-технического прогресса и бурного развития новых технологий в США привёл к зарождению двух идеологий  ¾ информационного общества и постиндустриализма. Современный этап развития нашего общества можно охарактеризовать как постиндустриальный или информационный.

Иными словами, если в индустриальном обществе основным ресурсом и объектом производства считался материальный продукт или услуга, то одним из ключевых понятий при информатизации общества стали информационные ресурсы

Сегодня под информационным обществом понимается общество, в котором информация является ключевым компонентом экономической и социальной жизни.

Информационное общество ¾ общество, в котором  большинство работающих занято производством, хранением, переработкой и реализацией информации, особенно высшей ее формы — знаний.

Отличительные черты информационного общества:

• увеличение роли информации и знаний в жизни общества,
• возрастание доли информационных коммуникаций, продуктов и услуг в валовом внутреннем продукте,
• создание глобального (единого) информационного пространства, обеспечивающего: эффективное взаимодей-твие людей, их доступ к мировым информационным ресурсам, удовлетворение их потребностей в информационных продуктах и услугах.

Информатизация общества. Производство информационного продукта, а не продукта материального, служит движущей силой  развития общества. Информация приобрела статус товара и сравнялась по значимости для общества с другими материальными ресурсами. Так, в себестоимости современного автомобиля около 70% составляет стоимость информации.

Преобладающим сектором экономики становится сектор создания средств информационных технологий, обработки информации и информационных услуг.

Информатизация ¾ организованный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов.

Рассмотрим понятие информации. Разные научные дисциплины дают свою трактовку этого понятия.

Выделим три подхода к определению информации: антропоцентрический, техноцентрический и недетерминированный.

Суть антропоцентрического подхода состоит в том, что информацию отождествляют со сведениями или фактами, которые теоретически могут быть получены и преобразованы в знания. Этот подход в настоящее время применяется наиболее широко.В российском законодательстве дано следующее определение «Под информацией понимаются сведения о лицах, предметах, фактах, событиях, явле­ниях и процессах независимо от формы их представления» (Федеральный Закон № 24-ФЗ «Об информации, информатизации и защите информации» от 25.01.95 г. «Российская газета» № 39 от 22.02.95 г.).

Суть техноцентрического подхода состоит в том, что информацию отождествляют с данными. Этот подход нашел очень широкое распространение в технических дисциплинах.

Недетерминированный подход к понятию информации состоит в отказе от определения информации на том основании, что оно является фундаментальным, как, например, материя и энергия. В частности, мы не найдем определения информации в «Законе о государственной тайне» и в «Законе о средствах массовой информации», хотя и в том и в другом правовом акте это понятие используется.  С точки зрения данного подхода, информация (от лат. information ¾ разъяснение, изложение) ¾ это одна из исходных общенаучных категорий, отражающая структуру материи и способы ее познания, не сводимая к другим, более простым понятиям.

Документированная информация ¾ информация, зафиксированная на материальном носителе и имеющая реквизиты для ее идентификации.

Под экономической информацией понимается совокупность сведений, отображающих состояние или определяющих изменение и развитие экономики и всех ее элементов. Экономическая информация является важной частью управленческой информации, основным ресурсом организационно-экономического управления.

Информационные ресурсы ¾ отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Информационные ресурсы можно классифицировать следующим образом:

• По отношению к предприятию: внутренние и внешние.
• По способу хранения (передачи): без документарные, документарные и электронные.
• По типу источника(пользователя): персональные, коллективные (группа, структурное подразделение и обще- корпоративные.
• По доступности: общедоступные, частично закрытые ограниченного доступа  и закрытые – составляющие государственную тайну  (только для группы лиц).

Информационная технология (ИТ) ¾ это процесс, использующий совокупность методов и программно-технических средств, для сбора, обработки, хранения, передачи и представления информации с целью получения информации нового качества, снижения трудоемкости и повышения эффективности процессов использования информационных ресурсов.

Информационные технологии в сфере бизнеса¾ это комплекс методов переработки разрозненных исходных данных в достоверную, оперативную информацию для принятия решений с помощью аппаратных и программных средств с целью достижения оптимальных рыночных параметров объекта управления.

Информационные процессы ¾ процессы сбора, обработки, накопления, поиска, и распространения информации.

При работе с информацией всегда имеется источник и потребитель. Пути и процессы, обеспечивающие передачу информации от источника к потребителю, называются каналами связи или информационными коммуникациями.

Телекоммуникации ¾ дистанционная передача данных на базе компьютерных сетей и современных средств связи.

Информационная культура ¾ умение целенаправленно работать с информацией и использовать ее для получения, обработки и передачи компьютерную информационную технологию, современные технические средства и методы.

Свойства информации. Измерение информации и данных. Основными свойствами информации являются достоверность, полнота, актуальность.

Достоверность информации.  Под достоверностью информации понимается ее соответствие объективной реальности (как текущей, так и прошедшей) окружающего мира.

Полнота информации. Под полнотой информации понимается ее достаточность для принятия решения.

Актуальность информации. Актуальность — это степень соответствия информации текущему моменту времени..

К важным свойствам информации также относятся адекватность и доступность.

Под адекватностью понимают степень соответствия информации, полученной потребителем, тому, что автор вложил в ее содержание.

Доступность информации — это мера возможности получить ту или иную информацию. На степень доступности информации влияют одновременно как доступность данных, так и доступность адекватных методов для их интерпретации. Отсутствие доступа к данным или отсутствие адекватных методов обработки данных приводят к одинаковому результату: информация оказывается недоступной.

   К основным изменениям, характеризующим современные бизнес-процессы, относятся:

• Глобализация (конкуренция на мировых рынках, глобальные группы производителей, глобальные системы поставки);
• Переход от индустриальной экономики к экономике, основанной на знаниях, к информационному обществу;
• Перестройка предприятия (отсутствие жесткой иерархии в системе управления, децентрализация, гибкость, независимость от местоположения, низкие транзакционные издержки, совместная работа).

Под системой управления понимается совокупность взаимосвязанных элементов, предназначенных для целенаправленного воздействия управляющего органа на управляемый объект.

Предприятие как организационная система имеет определенную структуру как в управляющей, так и в управляемой системе. Если управляемая система определяется технико-технологическими особенностями данного предприятия, производственными связями, то управляющая система определяется тем, какие функции нужно выполнять в процессе управления, размерами и сложностью производства.

Информационное обеспечение управления осуществляется посредством функционирования информационной системы.

Информационная система (ИС) — это средство организации информационного обеспечения процесса управления, способствующее своевременному поступлению необходимой и достоверной информации во все звенья системы управления, нуждающиеся в ней. К информационным системам относятся и автоматизированные информационные  системы управления технологическим процессом,  предприятием, корпорацией.

Подсистема — относительно самостоятельная часть системы, выделенная по определенному признаку или предметной области.

Информационная система представляет собой совокупность трех элементов: технологии, управления, функциональных подсистем и должна  учитывать внешнее окружение в целом, поскольку и та, и другая являются открытыми системами, зависящими от взаимообмена вводимыми ресурсами и результатами деятельности с внешней, по отношению к предприятию, средой (см. рис.).

Важной функцией информационных систем  в организациях является осуществление коммуникаций. Коммуникация ¾ это обмен информацией между элементами бизнес-процесса. Осуществление коммуникаций ¾ это связующий процесс, необходимый для любого важного управленческого действия. Между организацией и ее окружением, между выше и ниже расположенными уровнями, между подразделениями организации необходим обмен информацией.

Классификация информационных систем

Классифицировать информационные системы можно по различным признакам. В отечественной литературе по информационным системам управления  ИС классифицируют обычно по следующим признакам:

• по типу объекта управления (ИС управления технологическим процессом, ИС организационного управления);
• по степени интеграции (локальные, интегрированные);
• по уровню автоматизации управления (информационно-справочные системы, системы обработки данных, информационно-советующие системы, системы принятия решений, экспертные системы);
• по уровню управления (информационные системы управления предприятием, корпорацией, отраслью);
• по характеру протекания технологических процессов на объекте управления (автоматизированная система управления дискретным производством, автоматизированная система управления непрерывным производством).

Информационные системы по уровню управления предприятием наиболее широко распространены в практике управления предприятиями и корпорациями.

Выделяются следующие основные  уровни и соответствующие им ИС ( по возрастанию значимости):

• оперативный (эксплуатационный);
• уровень знаний;
• тактический уровень;
• стратегический уровень.

Информационный базис составляют информационные ресурсы созданные в функциональных подсистемах: продаж, маркетинга, производства, финансов, бухгалтерского учета, управления персоналом и пр.

Системы эксплуатационного уровня обеспечивают операции учета и контроля. Например, учет продаж, учет кадров, бухгалтерский учет, контроль движения материалов. Системы данного уровня представляют собой системы обработки данных.

Системы уровня знаний обеспечивают автоматизацию разработки новых видов продукции, создание и поддержку электронных архивов, извлечение информации, новых знаний из электронных хранилищ данных (CAD, DataWarehousing, OLAP, Data Mining).

Системы тактического уровня  предназначены, для обеспечения контроля, анализа, управления, принятия решений, и административных действий средних менеджеров. К данному уровню относятся системы направленные на решение задач, для которых информационные требования не всегда ясны. Эти системы часто отвечают на вопросы «что, если?». Что произойдет с производственным календарным планом, если мы  удвоим продажу? Как изменятся  наши дивиденды, если оплата будет отсрочена на  шесть месяцев?.

Системы стратегического уровня представляют собой инструмент помощи руководителям высшего уровня и подготавливают стратегические исследования и длительные прогнозы, как для фирмы, так и для различных внешних экономических процессов, а так же генерируют сведения для систем поддержки принятия решений.. Эти системы должны отвечать на следующие вопросы.? Каковы длительные промышленные, финансовые прогнозы, и где нас ожидает спад? Какие изделия мы должны производить через пять лет? Ключевой вопрос стратегии бизнес — уровня ¾ это  «Как мы можем эффективно конкурировать на отдельном рынке?»

Основными конкурентными стратегиями этого уровня являются следующие:

1. Стратегия преимущества по издержкам производства;
2. Стратегия дифференциации;
3. Стратегия изменения сферы конкуренции.

Стратегическими ИС для бизнес уровня являются информационная система управления взаимоотношениями с клиентами (Custom Relationship Management, CRM), информационная система управления цепочками поставок (Supply Chain Мanagement, SCM), система «добычи» знаний (Datamining).

В соответствии с зарубежной классификацией выделяют ряд основных типов информационных систем.

Организация имеет исполнительные системы поддержки руководства – Executive Support Systems (ESS) на стратегическом уровне; управляющие информационные системы – Management Information Systems (MIS) и системы поддержки принятия решений – Decision Support Systems (DSS) на тактическом (управленческом) уровне; системы управления знаниями – Knowledge Work System (KWS) и системы автоматизации делопроизводства – Office Automation Systems (OAS) на уровне знаний; и системы обработки транзакций – Transaction Processing Systems (TPS) на эксплуатационном уровне.

2. Бизнес-процессы хозяйствующих субъектов (предприятий )

 2.1.Основные понятия

Бизнес-информация – информация, необходимая для решения стратегических и тактических задач бизнеса, используемая как в бизнес-процессах, так и в качестве интерфейсных потоков во внешнюю среду и обратно.

Бизнес-процессы ¾ это связанный набор повторяемых действий (функций), котоые преобразуют исходный материал и/или информацию в конечный продукт (услугу) в соответствии с предварительно установленными правилами.

Различают основные и вспомогательные бизнес-процессы.

Основные процессы ¾ это те, которыереализуют задачи основной производственной деятельности, вспомогательные процессы формируют инфраструктуру организации. Примерами процессов могут быть процессы сбыта и снабжения, процесс разработки нового изделия и вывода его на рынок, процесс обслуживания клиентов. Лозунг нефтяных компаний “от скважины до бензозаправки” означает ничто иное как бизнес-процесс макро-уровня, охватывающий весь технологический цикл.

Элементы бизнес-процесса:

• Показатель эффективности: величины, используемые для количественной оценки результатов процесса, обычно выражаются в единицах стоимости, времени и качества
• Выход: результат выполнения процесса, предоставляемый “получателю” процесса (вне/внутри организации)
• Процесс: действия, работы или процедуры, которые необходимо предпринять для превращения “входа” в “выход”
• Вход: информация, данные, материалы и т.д., используемые процессом для формирования “выхода”
• Владелец процесса: организационная единица, которая отвечает за результаты

Бизнес-функция ¾ это элемент бизнес-процесса.

Реализация бизнес- функций на предприятии  позволяет:

1. Анализировать рынок и потребности клиентов
2. Разрабатывать видение и стратегию
3. Разрабатывать продукты или услуги
4. Продавать продукты/услуги
5. Производить продукцию и обеспечивать производство ресурсами
6. Производство и поставка (для организаций, ориентированных на сервис
7. Выставлять счета и обслуживать потребителей
8. Управлять человеческими ресурсами
9. Управлять информационными ресурсами

9.1.  Планировать управление информационными ресурсами

• Определять требования к информации на основе стратегий бизнеса
• Определять архитектуру информационных систем предприятия
• Планировать потребность в информационных технологиях
• Устанавливать стандарты хранения данных предприятия
• Устанавливать стандарты качества при работе с информацией

9.2.  Разрабатывать и развертывать системы информационной поддержки предприятия

• Проводить оценку специфических информационных потребностей
• Выбирать информационные технологии
• Определять жизненный цикл информации
• Разрабатывать системы информационной поддержки предприятия
• Тестировать, оценивать и внедрять системы информационной безопасности и контроля

9.3.  Внедрять системы информационной безопасности и контроля

• Устанавливать стратегии систем информационной безопасности и уровня безопасности
• Тестировать, оценивать и развертывать системы информационной безопасности и контроля

9.4.  Управлять хранением и поиском данных

• Устанавливать базы данных
• Собирать и упорядочивать информацию
• Хранить информацию
• Обновлять информацию
• Осуществлять поиск информации
• Уничтожать информацию

9.5.  Управлять оборудованием и сетевыми операциями
9.5.1.      Управлять централизованным оборудованием

• Управлять распределенным оборудованием
• Управлять сетевыми операциями

9.6.  Управлять информационными услугами

• Управлять библиотеками и центрами информации
• Управлять документированием и фиксированием данных бизнеса

9.7.  Обеспечивать распределенный доступ к информации и коммуникациям

• Управлять внешними коммуникационными системами
• Управлять внутренними коммуникационными системами
• Подготавливать и распространять публикации

9.8.  Оценивать и проводить аудит качества информации

10. Управлять финансовыми и материальными ресурсами

11.Управление экологией

12. Управлять внешними связями
13. Управлять улучшениями и изменениями

2.2. Реинжиниринг бизнес-процессов (РБП) представляет творческую деятельность коллективов специалистов, вырабатывающих концепцию осуществления бизнес-процессов с использованием передовых информационных технологий.

Задачи инновационного характера, решаемые в процессе РБП, которые обеспечивают резкое повышение эффективности деятельности предприятия, обусловливают разработку новых организационных форм участия специалистов в работах по реинжинирингу.

Анализ технологической схемы реинжиниринга бизнес-процессов (см. рисунок) подтверждает значительные  трудовые и стоимостные затраты, связанные с последовательным характером выполняемых работ, наличие затрат на обратный инжиниринг, ручную разработку моделей новой организации бизнес-процессов и последующую реализацию проекта.

Технологическая схема реинжиниринга бизнес-процессов

Создание ясных документов, определяющих проектные цели, ресурсы, ограничения и достижения (технико-экономического обоснования и технического задания), непрерывное планирование и контроль за работой по реинжинирингу бизнес-процессов осуществляется координатором или руководителем реализуемого проекта .

Руководитель осуществляет внешнее (формальное) руководство проектом:

• определяет область реорганизуемых бизнес-процессов;
• увязывает цели РБП со стратегическими целями;
• выделяет ресурсы на РБП;
• назначает лидера проекта;
• интегрирует проект РБП с программой развития предприятия;
• информирует акционеров и клиентов предприятия о проводимых преобразованиях;
• утверждает рекомендации, проектную документацию;
• отслеживает реализацию проекта РБП.

Руководитель (лидер) проекта — это менеджер верхнего звена управления, который наделен полномочиями возглавлять работы по реинжинирингу бизнес-процессов на всех его этапах и персонально отвечает за его проведение. Лидер проекта в полной мере осознает задачи реинжиниринга, их сложность и трудоемкость.

Требования, предъявляемые к лидеру проекта, заключаются, с одной стороны, в доскональном знании организации бизнеса на предприятии, а также в способности концептуально мыслить, обобщая модели всех реорганизуемых бизнес-процессов. Поэтому лидером может быть руководитель финансового управления, планово-экономического управления, службы логистики, т.е. представитель того направления, через которое проходят основные материальные или финансовые потоки. С другой стороны, лидер проекта должен обладать способностью вовлечения в проведение работ по реинжинирингу бизнес-процессов работников предприятия.

В функции лидера РБП входит координация работы команд РБП в соответствии с требованиями управляющего комитета:

• персональное включение и поддержка на всех этапах реинжиниринга, способность принимать решения в любой момент времени;
• получение и распределение ресурсов;
• устранение противоречий и недопониманий владельцев процессов и команд реинжиниринга;
• управление взаимодействием с внутренними и внешними кредиторами;
• управление потенциальными изменениями организационной структуры в соответствии с новыми процессами, организация обучения персонала.

Владельцы бизнес-процессов — это будущие администраторы процессов, которые на стадии реинжиниринга выполняют обеспечение проекта в рамках каждого отдельного бизнес-процесса всеми необходимыми ресурсами. Обычно владельцы бизнес-процессов назначаются лидером проекта из числа руководителей линейных или функциональных подразделений, на базе которых в последующем предполагается организация процессных подразделений (групп).

Роль владельца бизнес-процесса заключается в том, чтобы быть посредником между группой реинжиниринга и продолжающим функционировать коллективом подразделений предприятия. В частности, владелец бизнес-процесса обеспечивает членов группы реинжиниринга всей необходимой информацией о функционировании предприятия и объясняет подчиненным работникам предприятия суть изменяемой технологии работы.

Команда РБП (проектная группа) детализирует процессы, создает их альтернативы, определяет показатели эффективности, разрабатывает план реализации. В состав команды РБП могут включаться представители поставщиков, консультантов, собственников новых процессов. Ядро команды должно быть постоянным. Члены команды обязаны более 50% времени посвящать работе РБП.

Команды РБП разрабатывают проект и выполняют реинжиниринг бизнес-процессов. Число команд РБП соответствует числу реструктурируемых бизнес-процессов. В состав команды РБП входят инсайдеры — работники предприятия и структурных подразделений, участвующих в бизнес-процессе, и аутсайдеры — работники общесистемных подразделений, например отделов информационных технологий, планирования и контроллинга, логистики, или внешние консультанты..

В команде реинжиниринга рекомендуется соотношение инсайдеров к аутсайдерам 3:1 при общей численности группы 7-10 человек.

Основными условиями успеха реинжиниринга бизнес-процессов являются:

• точность понимания задачи руководством предприятия и контроль с его стороны процесса РБП от начала проекта до его завершения;
• обеспечение мотивации сотрудников предприятия, нацеленной на рост, расширение деятельности, усиление полномочий и творческого характера труда персонала;
• хорошо поставленное управление деятельностью предприятий способность собственными силами при привлечении консультантов выполнить РБП;
• научно обоснованная методологическая основа при проведении РБП, использование опыта реорганизации предприятий, накопленного консалтинговыми организациями, и современных информационных технологий.

Реализация проекта реинжиниринга бизнес-процессов

После определения моделей новой организации бизнес-процессов осуществляется разработка обеспечивающих подсистем, поддерживающих функционирование предприятия в новых условиях.

В части изменения структуры организационно-экономической системы осуществляются (рисунок 3.6):

• разработка организационно-штатной структуры предприятия;
• разработка должностных инструкций, отражающих изменение ролей персонала при выполнении должностных обязанностей;
• разработка системы материального стимулирования работников, предполагающая поощрение персонала за внедрение новых процессов, создание открытой атмосферы для инноваций, прогрессивной корпоративной культуры;
• обучение персонала, которое проводят команды реинжиниринга совместно с владельцами процессов, при необходимости наем новых работников и передвижение старых работников;
• подготовка рабочей документации.

В части создания новой информационной системы (рисунок 3.7) осуществляются:

Реализация организационно-экономической системы

• генерация, настройка, программирование и отладка программных модулей;
• разработка и наполнение базы данных;
• установка вычислительного оборудования и системы телекоммуникации.

. Реализация информационной системы

Для быстрой разработки информационной системы широко используются CASE-средства автоматизации проектирования, например, Oracle Designer, SilverRun, RUP, BPWin и другие, или средства конфигурации комплексных систем управления ресурсами предприятия (ERP-систем), например R/3, BAAN IV, Oracle Application, «Галактика», БОСС и др. В том и другом случае для разработки оригинального программного обеспечения могут потребоваться средства быстрой разработки приложений (RAD-технология) и языки программирования 4-го поколения (4GL), например АВАР4, JAM и др.

Этап реализации проекта реинжиниринга бизнес-процессов заканчивается составлением в соответствии с принятыми стандартами проектной документации, которая формируется либо с помощью CASE-средств, либо специализированных программных средств. В том и другом случае должно обеспечиваться качественное оформление проектной документации с включением необходимых графических схем. При этом может выполняться автоматизированный контроль за соответствием друг другу разделов проектной документации, обеспечивается ее своевременное обновление.

Перед полным внедрением проекта РБП проводится пилотное тестирование новых процессов, например, сначала на региональном уровне. При этом осуществляется решение следующих задач:

1. Оценка применимости нового процесса на практике.
2. Идентификация и корректировка проблем.
3. Получение показателей эффективности.

Заканчивается этап разработкой плана внедрения, в котором определяются этапы внедрения, выделяется бюджет, предусматриваются необходимые закупки и поддержка программно-технического обеспечения, определяются регламент исправления замечаний пользователей. Проводится также окончательный расчет экономической эффективности от внедрения нового проекта РБП.

Внедрение проекта реинжиниринга бизнес-процессов

Внедрение проекта РБП, как правило, осуществляется поэтапно в соответствии с приоритетами, установленными на этапе идентификации бизнес-процессов (рисунок 3.8). Большое значение на этапе внедрения отводится комплексному тестированию компонентов проекта, для чего используются специальные программные средства.

Внедрение проекта РБП

На этом этапе собираются замечания по возникающим проблемам от клиентов, инвесторов, владельцев и исполнителей бизнес-процессов.

Внедрение проекта РБП предполагает его сдачу приемной комиссии, в которую входят представители лиц. принимающих решения, и будущие менеджеры процессов. Перед отчетом команды РБП на комиссии возможна организация независимой экспертизы проекта со стороны специально подобранной инспекционной группы.

После внедрения спроектированных бизнес-процессов в реальную практику очень важно организовать анализ достижения заданных в начале реинжиниринга критериев (метрик) эффективности функционирования предприятия (benchmarking), на основе которых можно своевременно принимать решения о необходимости адаптации бизнес-процессов к изменяющейся внешней среде. В частности, предполагается проведение следующих работ:

• измерить показатели экономической эффективности новой организации бизнес-процессов;
• определить степень достижимости ожидаемых результатов от внедрения проекта РБП;
• проводить измерения эффективности бизнес-процессов в дальнейшем для последующего их непрерывного улучшения. При этом могут использоваться инструментальные программные средства мониторинга Workflow, Performance Process Management.

Реализация описанной технологии реинжиниринга бизнес-процессов характеризуется высокой трудоемкостью. Самый минимальный срок комплексного РБП занимает 1—1,5 года. Сам по себе такой срок несет в себе достаточно высокий риск не реализации. Вследствие этого объективно возникает потребность ускорения реинжиниринга бизнес-процессов и совершенствования технологий организационного проектирования.

Сложность реинжиниринга бизнес-процессов так же обусловлена необходимостью оптимального распределения ресурсов для множества взаимосвязанных бизнес-процессов, а также системностью задач перепроектирования организационно-экономической и информационной систем. Реинжиниринг бизнес-процессов предполагает, что реструктуризация организационно-экономической системы не может быть успешно проведена без создания адекватной корпоративной информационной системы (КИС).

3. Корпоративной информационной системы

Не существует специальных стандартов, регламентирующих функции КИС, но как правило такие системы ориентируются на широко распространенные методологии MRPII и ERP, фактически являющиеся стандартами управления бизнесом. Данные стандарты разработаны американским обществом по контролю за производством и запасами (American Production and Inventory Control Society, APICS).

Исходным стандартом систем управления предприятием стал стандарт MRP (Material Requirements Planning), появившейся в 70-х годах. Он включает в себя планирование материалов для производства.

Следующим был MRP II (Manufacturing Resource Planning), позволяющий планировать все производственные ресурсы предприятия (сырьё, материалы, оборудование и т.д.).

Его развитием стала концепция стандарта ERP (Enterprise Resource Planning). В нем интегрировалось управление всеми ресурсами предприятия с добавлением управления заказами, финансами и т.д.

Последней появилась концепция стандарта CSRP (Customer Synchronized Resource Planning), регламентирующая взаимодействие с клиентом, субподрядчиком ¾ выходя из рамок внутренней во внешнюю деятельность предприятия.

В настоящее время на мировом рынке около 500 систем, соответствующих стандартам MRP II и ERP; 5-6 из них разработаны в России. По оценкам специалистов, количество успешных инсталляций систем данного класса на российских предприятиях около 300. По материалам APICS в ERP-концепции системы управления предприятием принято выделять следующие основные элементы.

1. Управление цепочками поставок SCM (Supply Chain Managment, ранее ¾ DRP, Distribution Resource Planning).
2. Усовершенствованное планирование и составление расписаний APS (Advanced Planning and Scheduling).
3. Модуль автоматизации продаж SFA (Sales Force Automation ).
4. Управление конфигурированием SCE (Stand Alone Configuration Engine).
5. Окончательное планирование ресурсов (Finite Resource Planning).
6. Интеллект бизнеса, OLAP-технологии BI (Business Intelligence).
7. Электронная коммерция EC (Electronic Commerce).

Управление данными об изделии PDM (Product Data Managment).

КИС не просто автоматизирует существующие бизнес-процессы «как есть», а обеспечивает поддержку изменений организационно-экономической системы на принципах «как должно быть». Вследствие этого реорганизация организационно-экономической системы и проектирование КИС идут практически одновременно, параллельно.

Основная цель функционирования КИС — обеспечение в компании сохранения достигнутого уровня конкурентоспособности или создания конкурентного преимущества.

Основные задачи КИС

1. На стратегическом уровне:

Обеспечение высшего руководства информацией о долгосрочных тенденциях в развитии бизнеса, лучших технологиях, продуктах, методах управления и способах изменения бизнеса.

2. На управленческом уровне:

Максимально быстрое обеспечение качественной информацией среднего, высшего звеньев руководства. Подготовка оперативных отчетов и докладов в соответствии с регламентом и по конкретному поводу.

3. На операционном уровне:

Качественное и быстрое выполнение рутинных, часто повторяющихся операций.

Архитектура КИС предусматривает наличие трех компонент:

1) информационные технологии — аппаратно программная компонента информационной системы. Телекоммуникации и данные, совместно обеспечивающие функционирование информационной системы и являющиеся их главной материальной основой.

2) функциональные подсистемы — специализированные программы, обеспечивающие обработку и анализ информации для цельной подготовки документов или принятия решений в конкретной функциональной области на базе информационных технологий.

3) управление информационными системами — обеспечивает оптимальное взаимодействие информационных технологий, функциональных подсистем и связанных с ними специалистов, а также их развитие в сечении всего жизненного цикла информационной системы.

Функции управленческой корпоративной информационной системы:

1) управление качеством — включает разработку корпоративных стандартов информационной системы, разработку о соглашении уровня обслуживания SLA (service level agreement). Контроль качества сервисов, проектов.

2) управление персоналом — обучение обслуживающего персонала, оценка эффективности деятельности персонала, планирование деятельности персонала, планирование карьеры персонала.

3) управление пользователями — обучение пользователей, техническая поддержка, организация горячей линии (Help Desk).

4) управление развитием информационной системы — планирование развития информационной системы, бюджетное планирование, планирование обновления.

5) оперативное управление — мониторинг функционирования, фиксирование, анализ и разрешение инцендентов. Резервное копирование, восстановление, ремонт, регламентное обслуживание, конфигурирование, настройка, оптимизация управления производством, управление безопасностью и администрирование пользователей.

6) финансовое управление — управление бюджетом, закупками, контрактами, основными средствами и пр.

Масштабируемость информационных систем это способность информационных систем расширяться, удовлетворять большему числу пользователей.

По масштабам информационные системы делятся на малые, средние и крупные.

1) Малые интегрированные системы. Примеры: Инфин, Парус.

2) Средние интегрированные системы — охватывают много функций, много пользователей, обязательно сетевая конфигурация. Примеры: 1С, Платинум, Скала, Галактика, MFG PRO, Navision, Axapta.

3) Крупные интегрированные системы — обычно класса ERP или MRP. Осуществляют полное управление и контроль крупными предприятиями. Примеры: SAP R/3, BAAN, ORACLE APPLICATIONS.

Классификация информационных систем по специализации:

1) Система обработки информации (транзакционные информационные системы) — компьютерные системы, выполняющие операции с формализованными (структурированными) данными, необходимые для осуществления бизнеса.

2) Системы автоматизации офиса.

3) Системы обработки знаний — ИС способствующие в создании и интергации новых знаний в организации (AutoCAD).

4) Системы  управления — ИС управленческого уровня, поддерживающие функции производства, его  планирования, контроля и принятия решений при подготовке рутинных отчетов.

5) Система поддержки принятия решений — система управленческого уровня поддерживающая решение плохо структурированных и не структурированных задач на основе обработки данных с привлечением современных сложных аналитических моделей, предназначенная для поддержки принятия решений высшим руководством организаций, компаний.

Прогнозируемые направления дальнейшего развития КИС :

• разработка ИС для автоматизации специфической деятельности в рамках какой-либо предметной области ;
• разработка ИС, имеющих общие черты и решающих общие задачи различных этапов производственно-коммерческого цикла типового предприятия – ERP, MRP, CRM и т.д. (являются источниками информации для ИС следующей группы);
• разработка ИС поддержки процесса принятия решений (начиная с систем класса СППР), которые можно применять как в определѐнных, так и в произвольных предметных областях
• разработка ИС – трансформеров, которые реализуют базовую функциональность по управлению данными, по реализации бизнес-логики и предоставлению графического пользовательского интерфейса, но не имеют реализованной бизнес модели для начала эксплуатации в рамках какой-либо предметной области.

Целенаправленное разделение КИС различных классов и одновременное их внедрение в рамках одного предприятия привело к разработке идеологии и развитию нового класса систем BPM (Business Performance Management), основной целью которого является комплексное управление производительностью бизнеса предприятия в рамках любой предметной области.

В связи с ростом популярности вычислительных систем, возникла идея использовать их возможности для планирования деятельности предприятия, в том числе для планирования производственных процессов.

Необходимость планирования была обусловлена тем, что

• основная масса задержек в процессе производства связана с запаздыванием поступления отдельных комплектующих, в результате чего, как правило, параллельно с уменьшением эффективности производства,
• на складах возникает избыток материалов, поступивших в срок или ранее намеченного срока.

3.1.Система класса MRP (Material Requirements Planning) – система работающая по алгоритму, регламентированному MRP методологией, позволяющую оптимально регулировать поставки комплектующих в производственный процесс, контролируя запасы на складе и саму технологию производства.

Главной задачей MRP является обеспечение гарантии наличия необходимого количества требуемых материалов- комплектующих в любой момент времени в рамках срока планирования, наряду с возможным уменьшением постоянных запасов, а следовательно разгрузкой склада.

Цели использования стандарта MPR:

• планирование поставок всех комплектующих, чтобы исключить простои производства и минимизировать запасы на складе;
• уменьшение запасов материалов- комплектующих, кроме очевидной разгрузки складов;
• уменьшения затрат на хранение дает ряд неоспоримых преимуществ, главное из которых – минимизация замороженных средств, вложенных в закупку материалов.

Входными элементами MRP-модуля являются сле- дующие информационные ресурсы.

• Описание состояния материалов (Inventory Status File) — является основным входным элементом MRP-модуля. В нем должна быть отражена максимально полная информация о всех типах сырья и материалах-комплектующих, необходимых для производства конечного продукта. Также должны быть указаны (статус каждого материала, определяющий, имеется ли он на руках, на складе, в текущих заказах или его заказ только планируется, а также описания, его запасов, расположения, цены, возможных задержек поставок, реквизитов поставщиков;
• Программа производства (Master Production Schedule) — оптимизированный график распределения времени для производства необходимой партии готовой продукции за планируемый период или диапазон периодов;
• Перечень составляющих конечного продукта (Bills of Material File) — список материалов и их количество, требуемое для производства конечного продукта. Кроме того, здесь содержится описание структуры конечного продукта.

Принцип работы MRP-модуля

1. Для каждого отрезка времени создаѐтся полная потребность в материалах. Она представляет собой интегрированную таблицу, выражающую потребность в каждом мате- риале, в каждый конкретный момент времени.
2. Вычисляется чистая потребность (какое количество материалов нужно заказать (или произвести, в случае внутреннего производства комплектующих) в каждый конкретный момент времени
3. Чистая потребность в материалах конвертируется в соответствующий план заказов на требуемые материалы и, в случае необходимости, вносятся поправки в уже действующие планы.

Результатами работы MRP-модуля являются:

• План Заказов (Planned Order Schedule) — какое количество каждого материала должно быть заказано в каждый рассматриваемый период времени в течение срока планирования.
• Изменения к плану заказов (Changes in planned orders) — модификации к ранее спланированным заказам.

В концепции MRP есть серьезный недостаток. При расчете потребности в материалах не учитываются:

• производственные мощности, их загрузка; стоимость рабочей силы и т.д.
• 2. Поэтому в 80-х гг. MRP-система с замкнутым циклом была трансформирована в систему планирования производственных ресурcов (manufactory resource planning), которая получила название MRPII.
• Стандарт MRPII был разработан в США и поддерживается Американским обществом по управлению производством и запасамиAmerican Production and Inventory Control Society (APICS).

Основные функции выполняемые КИС  класса MRPII :

1. Планирование продаж и производства (Sales and Operation Planning).
2. Управление спросом (Demand Management).
3. Составление плана производства (Master Production Scheduling).
4. Планирование материальных потребностей (Material Requirements Planning).
5. Спецификации продуктов (Bill of Materials). Управление складом (Inventory Transaction Subsystem).
6. Плановые поставки (Scheduled Receipts Subsystem).
7. Управление на уровне производственного цеха (Shop Flow Control).
8. Планирование производственных мощностей (Capacity Requirement Planning).
9. Входной / выходной контроль (Input/output control).
10. Материально техническое снабжение (Purchasing).
11. Планирование распределения ресурсов (Distribution Recourse Planning).
12. Планирование и контроль производственных операций (Tooling Planning and Control).
13. Управление финансами (Financial Planning).
14. Моделирование (Simulation).
15. Оценка результатов деятельности (Performance Measurement).

Суть концепции MRPII: прогнозирование, планирование и контроль производства осуществляется по всему жизненному циклу продукции, начиная от закупки сырья и заканчивая отгрузкой продукции потребителю.

В результате применения MRPII-систем должны быть реализованы:

• оперативное получение информации о текущих результатах деятельности предприятия как в целом, так и с полной детализацией по отдельным заказам, видам ресурсов, выполнению планов;
• долгосрочное, оперативное и детальное планирование деятельности предприятия с возможностью корректировки плановых данных на основе оперативной информации;
• оптимизация производственных и материальных потоков со значительным сокращением непроизводственных затрат и реальным сокращением материальных ресурсов на складах;
• отражение финансовой деятельности предприятия в целом.

3.3. ERP (enterprise resource planning) – информационная система, ориентированная на финансовый учет для идентификации и планирования ресурсов по всему предприятию, необходимых для принятия, изготовления, отгрузки и учета заказов клиента.

Система ERP отличается от типичной системы МRP II по техническим требованиям: графический интерфейс пользователя, реляционная база данных, использование языка 4-го поколения и новейших программных средств конструирования, архитектура клиент-сервер и мобильность системы. Использование ERP сфокусировано исключительно на внутренних процессах. ERP оптимизирует все внутренние операции.

Преимущества и недостатки ERP

ERP обеспечивает: CSRP (custom synchronized resource planning); CRM (client relationship management — Управление взаимоотношениями – методология управления ресурсами предприятия, ориентированная на продажи и взаимоотношениями с клиентами.

Цель CSRP – синхронизировать покупателя с внутренним планированием и производством.

Что необходимо:

1) Оптимизировать производственную деятельность – построить эффективную производственную инфра- структуру на основе методологии и инструментарии ЕРП

2) Интегрировать покупателя, сфокусированные на покупателе подразделения организации с основными планирующими и производственными подразделениями.

3) Внедрить открытые технологии, чтобы создать технологическую инфраструктуру, которая может поддерживать интеграцию покупателей, поставщиков и приложений управлений производством.

Производители, движимые взаимодействовать с покупателем, а не с производством могут создавать конкурентное преимущество, путем развития систематического подхода к оценкам: Какие продукты производить?  Какие услуги предлагать?  На какие новые рынки нацеливаться ?

Что выдвигает покупатель:

1.  Потребности в новых продуктах
2.  Требования о специальной настройке продуктов
3.  Знания о работе продуктов
4.  Потребности в услугах

Какая информация в продаже и маркетинге:  Новые тенденции. Информация о конкурентах . Отношения с покупателями . Требования к продуктам. Потребности покупателя в услугах .Информация о ценах .

CSRP переопределяет практику бизнеса, фокусируя ее на рыночной активности, а не на производственной деятельности. Приложения поддержки пользователя интегрируются с ключевыми приложениями планирования производства и управления. Технология, основанная на ВЕБ расширяют под- держку покупателей, включая удаленные, круглосуточные, самостоятельно настраиваемые. Центр поддержки покупателей становится центром продаж и поддержки пользователей.

Интеграция с продажами, обработка заказов и управление обеспечивает знание и инфраструктуру для превращения поддержки покупателей в деятельность по продажам, обеспечивая канал и продвижение новых и сопутствующих продуктов и услуг. Планирование производства и всей деятельности переопределяется и становится планированием заказов покупателей и динамическим производством.

Непосредственная интеграция с информацией о конфигурации заказов позволяет производственному подразделению увеличить целостность процесса планирования путем снижения количества повторной работы и снижения числа перерывов выполняемого заказа.

Производственное планирование теперь позволяет оптимизировать операции на основе действительных покупательских заказов, а не на прогнозах или оценках

Требования покупателей к продукту могут передаваться непосредственно от покупателя субконтракту или поставщику.

Выгоды успешного применения CSRP это:              Повышения качества товаров.         Снижения времени поставки .Повышение ценности продуктов для покупателя.Снижение производственных издержек .Создание инфраструктуры, приспособленной для создания продуктов, удовлетворяющих потребностям персонала

В основе ERP-систем лежит принцип создания единого хранилища (репозитария) данных, содержащего всю корпоративную бизнес-информацию:

• финансовую информацию;
• производственные данные;
• данные по персоналу
• и др.

          ERP-система — это набор интегрированных приложений, позволяющих создать интегрированное информационное пространство для автоматизации планирования, учета, контроля и анализа всех основных бизнес-операций предприятия.

В ERP-системах реализованы следующие основные функциональные блоки.:

• Планирование продаж и производства. Результатом действия блока является разработка плана производства основных видов продукции.
• Управление спросом. Данный блок предназначен для прогноза будущего спроса на продукцию, определения объема заказов, которые можно предложить клиенту в конкретный момент времени, определения спроса дистрибьюто- ров, спроса в рамках предприятия и др.
• Укрупненное планирование мощностей. Используется для конкретизации планов производства и определения степени их выполнимости.
• Основной план производства (план-график выпуска продукции). Определяется продукция в конечных единицах (изделиях) со сроками изготовления и количеством.
• Планирование потребностей в материалах. Определяются виды материальных ресурсов (сборных узлов, готовых агрегатов, покупных изделий, исходного сырья, полуфабрикатов и др.) и конкретные сроки их поставки для выполнения плана.
• Спецификация изделий. Определяет состав конечного изделия, материальные ресурсы, необходимые для его изготовления, и др. Фактически спецификация является связующим звеном между основным планом производства и планом потребностей в материалах.
• Планирование потребностей в мощностях. На данном этапе планирования более детально, чем на предыдущих уровнях, определяются производственные мощности.
• Маршрутизация/рабочие центры. С помощью данного блока конкретизируются как производственные мощности различного уровня, так и маршруты, в соответствии с которыми выпускаются изделия.
• Поверка и корректировка цеховых планов по мощностям.
• Управление закупками, запасами, продажами.
• Управление финансами (ведение Главной книги, расчеты с дебиторами и кредиторами, учет основных средств, управление наличными средствами, планирование финансовой деятельности и др.).
• Управление затратами (учет всех затрат предприятия и калькуляция себестоимости готовой продукции или услуг).
• Управление проектами/программами.

Наиболее распространенные в России системы класса ERP: SAP R/3 , Oracle Applications, Baan , Галактика, Парус, 1С: Предприятие 7.7, 8 , Dynamics Ax , Cognos , Navision Attain и Navision Axapta .

Основные отличия систем класса ERP от MRPII заключаются в следующем.

• Поддержка различных типов производств (сборочного, обрабатывающего и др.) и видов деятельности предприятий и организаций (например, ERP-системы могут быть установлены не только на промышленных предприятиях, но и в организациях сферы услуг — банках, страховых и торговых компаниях и др.).
• Поддержка планирования ресурсов по различным направлениям деятельности предприятия (а не только производства продукции).
• ERP-системы ориентированы на управление «виртуальным предприятием» (отражающим взаимодействие производства, поставщиков, партнеров и потребителей) в рамках ИП.
• В ERP-системах больше внимания уделено финансовым подсистемам.
• Добавлены механизмы управления транснациональными корпорациями.
• Повышенные требования к инфраструктуре (Интернет/интранет), масштабируемости (до нескольких тысяч пользователей), гибкости, надежности и производительности ПО и различных платформ.
• Повышены требования к интегрируемости ERP- систем с приложениями, уже используемыми предприятием
• Больше внимания уделено программным средствам поддержки принятия решений и средствам интеграции с хранилищами данных (иногда включаемых в ERP-систему в виде нового модуля).
• В ряде ERP-систем разработаны развитые средства настройки (конфигурирования), интеграции с другими приложениями и адаптации (в том числе, применяемые динамически в процессе эксплуатации систем).

К преимуществам ERP-систем относятся также:

• Интегрирование различных видов деятельности фирмы. Процессы планирования ресурсов предприятий являются межфункциональными, заставляющими фирму выходить за традиционные, функциональные и локальные рамки.
• Данные, хранившиеся ранее на различных неоднородных системах, сейчас интегрированы в единую систему.

3.4. Под системами класса ERPII понимается WEB приложение, интегрированное с главным ERP приложением предприятия и реализует своеобразный front-office к традиционной ERP системе.

Система может относиться к классу ERPII, если front- office и back-office представляют собой единое целое.

Расширены возможности системы класса CRM, SCM.

Расшифровка аббревиатуры CRM (Customer Relationships Management) говорит сама за себя, управление взаимоотношениями с клиентами — задача, которую решает CRM система.

Функциональный состав систем класса CRM: функциональность продаж(управление контактами, клиентами);функциональность управления продажами (прогнозирование, анализ циклов, фиксированная и произ- вольная отчѐтность); функциональность продаж по телефону; управление временем (индивидуальное\групповое); поддержка обслуживания клиентов(HelpDesk); маркетинг (управление маркетинговыми компаниями; отчѐты для высшего руководства; интеграция с ERP; синхронизация с различными устройствами и функциональность электронной торговли; мобильные продажи (работа с системой вне офиса).

Преимущества использования систем класса CRM:

увеличение объѐма продаж; увеличение процента «удачных» сделок; увеличение маржи;повышение удовлетворѐнности клиентов; снижение административных издержек на продажи и маркетинг.

Системы класса SCM SCM (supply chain management) – автоматизированные системы управления цепочками поставок. Основной задачей является – повышение эффективности логистики.

Другие задачи, решаемые системами класса SCM:

• Операционные

–  Закупки и снабжение производства;

–  Управление складами;

–  Управление логистикой;

–  Оптимизация транспортных операций;

–  Сбыт, работа с дистрибьюторами;

• Тактические

–  Логистика и нахождение звеньев цепочки поставок;

–  Выбор транспортных маршрутов;

–  Планирование территориального распределения  производственного цеха.

Другие классы систем поддержки производственно- коммерческого цикла:

• PLM (Product Lifecycle Management) управление жизненным циклом продуктов;
• PDM (Product Data Management) – управления производственными данными.

4. ИС поддержки процесса принятия решений

СППР — компьютеризованная система, содержащая три компонента: язык — механизм, обеспечивающий взаимодействие между пользователями и другими компонентами системы; систему знаний — основу системы; систему обработки запросов — интерфейс указанных компонентов.

Данный класс систем поддерживает деятельность принимающих реше- ния лиц, но не замещает  их;   использует конкретные данные и возможности

моделирования;решает задачи различной степени структурированности — частично структурированные и неструктурированные; фокусируется скорее на результативности, нежели на производительности процесса принятия решений (по- мощь, поддержка процесса принятия решений на уровне ин- туиции); позволяет менеджеру проверять или предлагать различные решения, а также изучать результаты принятия решений с использованием различных моделей.

В 1979 году Джон Рокарт, работавший в Школе бизнеса при Гарвардском университете, опубликовал статью, ставшую основополагающей для выделения из DSS такого класса систем, как EIS (executive information system), иначе — ESS (executive support system).

Подход EPSS – Electronic performance support systems и Integrated performance support systems (EPSS/IPSS) – использования электронных систем поддержки исполнения, обеспечи- вающий получение основных знаний и осуществляющий поддержку принятия решений для выработки навыков и умений.

Основной целью систем EPSS является предоставление всего, что только может быть необходимо для увеличения производительности и обучения в тот момент, когда это необходимо.

EPSS – это электронная система, которая предоставляет интегрированный доступ по запросу к информации, совету, опыту обучения и инструментам, для возможности достижения высокого уровня в производительности труда с минимальной поддержкой другими людьми

ЕPSS должна содержать:

1. Констатирующее программное обеспечение, то есть соответствующие данные. Например, учебный материал, примеры, случаи и т.д.
2. Моделирующее программное обеспечение, подг тавливающее ответ на вопрос: — «Что будет если ?».
3. Советующее программное обеспечение, которое может дать ответ на вопрос «Как сделать, чтобы?»
4. Обучающее программное обеспечение.

BI – как развитие концепции DSS

Business Intelligence (BI) – это набор приложений и технологий сбора, хранения, анализа и предоставления доступа корпоративным пользователям к данным для оказания поддержки в принятии эффективных бизнес решений.

Сегменты систем класса BI

• средства построения хранилищ и витрин данных (data warehouse);
• системы запросов и отчѐтов (Q&R Systems);
• инструменты оперативной аналитической обработки (On-Line Analytical Processing, OLAP);
• информационные системы уровня предприятия (Enterprise Information Systems, EIS);
• системы поддержки и принятия решений (Decision Support Systems, DSS) в части фазы конструирования и выбора;
• средства интеллектуальной добычи данных (Knowledge Discovery in Databases), включая средства Data Mining

Системы класса BPM

• BPM – это совокупность интегрированных циклических процессов управления и анализа, а также соответствующих технологий, имеющих отношение как к финансовой, так и к операционной деятельности организации;
• BPM позволяет предприятиям определять стратегические цели, а затем – оценивать эффективность своей деятельности по отношению к этим целям и управлять процессом достижения целей;
• ключевые BPM-процессы связаны с реализацией стратегии организации и включают финансовое и операцион- ное планирование, консолидацию и отчетность, моделирование, анализ и мониторинг ключевых показателей эффективности.

Системы класса BPM базируются на ряде управленческих концепций:

• модели Key Performance Indicators (KPI);
• методика Balansed ScoreCard (BSC);
• методики бюджетирования;
• модели корпоративной мотивации;
• модели мониторинга и контроля исполне ния решений;
• методики управленческого учета;
• инструменты консолидации финансовых и нефинансовых данных.

Создание полноценной BPM системы невозможно без информационных технологий, которые при внедрении BSC базируются на функциональности: OLAP; DSS; BI; ERP;  WorkFlow.

5. Управление КИС на различных этапах жизненного цикла ИС

Жизненный цикл информационных систем (ЖЦ ИС) — совокупность стадий и этапов, которые проходит ИС в своем развитии от момента принятия решения о создании системы до момента прекращения функционирования системы. Этапы жизненного цикла:

• 1)  стратегическое планирование ИС;
• 2)  приобретение ИС;
• 3)  внедрение ИС;
• 4)  эксплуатация и сопровождение ИС;
• 5)  вывод ИС из эксплуатации.

На выходе из каждого этапа формируется отчетная документация, информация, являющаяся входящей для последующего этапа.

Существуют три модели жизненного цикла ИС:

• каскадная модель;
• поэтапная модель (итерационная);
• спиральная модель.
• «Крайним» случаем модели ЖЦ можно считать модель «черного ящика», что фактически означает отсутствие какой- либо модели.

1. Каскадная модель.Свойства модели:Переход на очередную стадию проекта только после полного завершения работ на текущей стадии, без воз- вратов на пройденные этапы.

Каждая стадия заканчивается получением некоторых результатов, которые служат исходными данными для следующей стадии.

Требования к системе строго документируются в виде ТЗ и фиксируются на все время разработки проекта.

Каждая стадия завершается выпуском полного комплекта документации, достаточной для того, чтобы разработка могла быть продолжена другой командой разработчиков.

Преимущества модели:

На каждой стадии формируется законченный набор проектной документации, отвечающей критериям полноы и согласованности.

Выполняемые в логической последовательности стадии, позволяют планировать сроки завершения всех работ и соответствующие затраты.

Каскадная модель может использоваться при создании ИС, для которой в самом начале разработки можно достаточ но и полно сформулировать все требования, с тем, чтобы предоставить разработчикам свободу реализовывать их технически.

К таким системам относятся сложные ИС с большим количеством задач вычислительного характера, системы управления производственными процессами повышенной сложности и опасности, и др.

Недостатки модели:

Позднее обнаружение проблем.

Выход из календарного графика, запаздывание сполучением результатов.

Избыточное количество документации.

Высокий риск создания системы, не удовлетворяющей изменившимся потребностям пользователей, поскольку на начальной стадии пользователи не в состоянии изложить полный набор требований к системе, а также могут изменить внешние условия ее функционирования.

Недостатки этой модели обусловлены  так же тем реальный процесс разработки ИС носит итерационный характер, то есть результаты очередной стадии часто вызывают изменения в проектных решения, выработанных на более ранних стадиях. Таким образом возникает потребность возврата к преды- дущим стадиям и уточнении или пересмотре ранее принятых решений.

2. Спиральная модель (вариант итерационной модели).

Особенности модели:

Отказ от фиксации требований и назначение приоритетов пользовательским требованиям.

Разработка последовательности прототипов, начиная с требований наивысшего приоритета.

• Идентификация и анализ риска на каждой итерации.
• Использование каскадной модели для реализации окончательного прототипа.
• Оценка результатов завершения каждой итерации и планирование следующей итерации.
• Прототип — действующий программный компонент, реализующий отдельные функции и внешние интерфейсы разрабатываемой ИС.
• Создание прототипов осуществляется в несколько итераций (витков спирали). Каждая итерация соответствует созданию фрагмента или версии ИС, на ней уточ няются цели проекта, оценивается качество полученных ре- зультатов и планируются работы следующей итерации.

Спиральная модель избавляет пользователей и разработчиков ИС от необходимости полного и точного формулирования требований к системе на начальной стадии. Детали проекта уточняются и углубляются в ходе его разработки.

Неполное завершение работ на каждой стадии позволяет переходить на следующую стадию, не дожидаясь полного завершения работы на текущей, поскольку недоделанную работу можно будет завершить на следующей итерации.

Главная задача – как можно быстрее показать пользователям работоспособность ИС.

Достоинства модели:

Ускорение разработки, раннее получение результата за счет прототипирования.

• Постоянное участие заказчика в процессе разработки. Разбиение большого объема работы на небольшие части.
• Снижение риска, то есть повышение вероятности предсказуемого поведения ИС.
• Недостатки модели:

Сложность планирования, определения качества и длительности итераций, оценки затрат и рисков.

Сложность применения модели с точки зрения менеджеров и заказчиков.

Напряженный режим работы для разработчиков при большом количестве краткосрочных итераций.

Еще одним примером реализации итерационной модели ЖЦ является способ быстрой разработки приложений – RAD (Rapid ApplicationDevelopment).

Особенности этого метода

Наличие небольших групп разработчиков (от 3 до 7 человек), выполняющих работы по проектированию отдельных подсистем ИС. Это обусловлено требованием максимальной управляемости коллектива.

Наличие короткого, но тщательного проработанного производственного графика (до трех месяцев).

Наличие повторяющегося цикла, при котором разработчики по мере того, как приложение начинает обретать форму, запрашивают и реализуют в продукте требования, получаемые в результате взаимодействия с заказчиком.

Основные принципы подхода:

разработка приложений итерациями,

необязательность полного завершения работ на каждой стадии ЖЦ,

обязательность вовлечения пользователей в процесс разработки,

применение средств управления конфигурацией, облегчающих внесение изменений в проект и сопровождение готовой системы,

использование прототипирования, позволяющее полнее выяснить и удовлетворить потребности пользователей,

тестирование и развитие проекта, осуществляе- мые обновременно с разработкой,

ведение разработки немногочисленной, хорошо управляемой командой профессионалов,

грамотное руководство разработкой системы, четкое планирование и контроль выполнения работ.

ЖЦ ИС в соответствии с данным подходом состоит из четырех стадий:

1. Анализ и планирование требований (системный анализ).
2. Проектирование (системный синтез).
3. Реализация (компоновка системы).
4. Внедрение.

РАД хорошо подходит для относительно небольших проектов, разрабатываемых для конкретного заказчика, и не применим для построения сложных расчетных систем или систем управления сложными объектами в режиме реального времени, то есть ИС, содержащих большой объем уникально- го кода (сотни тысяч строк), а также систем, от которых зависит безопасность людей (управление самолетом или АЭС).

Естественное развитие каскадной и спиральной моделей привело к их сближению и появлению современного итерационного подхода, которое представляет собой рациональное сочетание этих моделей.

Основные этапы  создания ИС:

• формирование требований;
• обследование объекта и обоснование необходимости создания;
• формирование требований пользователя;
• оформление заявки на разработку;
• разработка концепции;
  • изучение объекта;
  • проведение необходимых научно- исследовательских работ;
  • разработка вариантов концепции ИС, удовлетворяющей требованиям пользователя;
  • оформление отчета о выполненном этапе работы;
• техническое задание;
• разработка и утверждение технического задания на задание;
• эскизный проект;
• разработка предварительных проектных решений по системе и ее частям;
• разработка документации на ИС и ее части; технический проект;
• разработка проектных решений по системе и частям;
• разработка документации на АС и ее части;
• разработка и оформление документации на поставку изделий для комплектования ИС и/или технических требований (технических заданий) на их разработку;
• разработка заданий на проектирование в смежных частях проекта объекта автоматизации;

рабочая документация;

• разработка рабочей документации на систему и ее части;
• разработка или адаптация программ; ввод в действие
• подготовка объекта автоматизации к вводу ИС в действие;
• подготовка персонала;
• комплектация ИС поставляемыми изделиями (программными и техническими средствами, программно- техническими комплексами, информационными изделиями);
• строительно-монтажные работы;
• пуско-наладочные работы;
• проведение предварительных испытаний;
• проведение опытной эксплуатации;
• проведение приемочных испытаний сопровождение;
• выполнение работ в соответствии с гарантийными обязательствами;
• послегарантийное обслуживание;

Основные и вспомогательные процессы, обеспечивающие выполнение основных процессов, способствуют:

1. Выработка стратегии ИС: анализ бизнеса (как есть), cтратегии его развития (как должно быть); планируемые изменения организационной структуры управления, функционала; решения по поводу наследуемой ИС и анализ требований к будущей системе: функционал и основные свой- ства (как должно быть); выработка стратегии развития ИС; определение способа приобретения ИС.
2. Приобретение ИС: анализ требований к системе, организация покупки и/или заказа (аутсорсинг) и/или самостоятельной разработки (проектирование, программирование и тестирование и отладка системы).
3. Внедрение ИС: адаптацию ИС, обучение персонала, установка информационной системы, внедрение ин- формационной системы.
4. Эксплуатация и сопровождение ИС: администри- рование, техподдержка, развитие систем.
5. Вывод ИС из эксплуатации. Процедура вывода ИС из эксплуатации затрагивает тестирование ИС в целом; обучение пользователей и обслуживающего персонала; конвертацию данных;проверкуинформациидляпланируемой (новой) системы.

Стратегическое планирование ИС включает:

• анализ стратегии развития бизнеса;
• формирование стратегического бюджета в соответствии со стратегией бизнеса;
• выбор стратегии автоматизации;
• анализ стратегических требований к системе (AS IS);
• определение стратегических свойств ИС (функционал и качество) (AS TO BE);

выработка решения о способе приобретения информационной системы;

формирование бизнес-плана проекта, определение ресурсов: времени и денег;

выработка стратегии развития информационной системы

Стратегия отображается в плане, направленном на укрепление позиций организации, удовлетворение потребностей ее клиентов и достижение определенных результатов деятельности.

В общем случае в ИТ стратегию могут быть включены следующие составляющие: информационные системы (свойства ИС; функциональность ИС; внешние взаимодействия ИС); внедрение и эксплуатация; IT инфраструктура; IT служ ба.

Проект по стратегическому планированию состоит из:

• Оценки существующей ситуации (описание AS IS);
• Разработки целевых ситуаций (описание AS TO BE);
• Разработки планов перехода от существующей ситуации к целевой;

Типы стратегических планов:

Срочные (несколько месяцев) – решение первостепенной для предприятия задачи;

Среднесрочные (на 1-3  года) – план наиболее приоритетных работ;

Долгосрочные (более 3 лет) – план перехода на иной качественный уровень

6. Информационная безопасность ¾ составляющая экономической безопасности

Становление рыночной экономики в России породило ряд проблем. Одной из таких проблем является обеспечение безопасности бизнеса. На фоне высокого уровня криминализации общества, проблема безопасности любых видов экономической деятельности становится особенно актуальной. Информационная безопасность среди других составных частей экономической безопасности (финансовой, интеллектуальной, кадровой, технико-технологической, политико-правовой, экологической, маркетинговой и физической) является одной из главных составляющих.

Термин «безопасность» в законе  РФ «О безопасности» определяется как «состояние защищённости жизненно важных интересов личности, общества, государства от внутренних и внешних угроз». Cостояние защищенности ¾ это стабильно прогнозируемое во времени состояние окружения, в котором предприятие может осуществлять свои уставные задачи без перерывов,  нарушений и  потери конкурентоспособности

Следует различать понятия информационная безопасность и безопасность информации. Первое понятие охватывает более широкий круг проблем. Согласно Доктрине информационной безопасности России информационная безопасность ¾ состояние защищённости информационной сферы (информационной среды общества), обеспечивающее её формирование и развитие в интересах граждан, организаций и государства. Жизненно важные интересы ¾ совокупность потребностей, обеспечивающих существование и прогрессивное развитие. Объекты безопасности ¾ личность, её права и свободы, общество ¾ его духовные и материальные ценности, государство ¾ его конституционный строй, суверенитет и территориальная целостность.

С точки зрения информационной безопасности необходимо защитить граждан (информационная безопасность личности) от ненужной информации, от разрушающего психику и сознание потока информации. С другой стороны, необходимо обеспечить право граждан на информацию.

Информационная безопасность как составная часть экономической безопасности предпринимательской деятельности включает в себя: а) комплексную программу обеспечения безопасности информационных ресурсов предприятия и б) экономически обоснованную технологическую систему защиты, обеспечивающую должный уровень защищенности, готовности, надежности ИС и безопасность информации.

Безопасность информации ¾ это обеспечение ее конфиденциальности, целостности и доступности законным пользователям. Безопасность информации – состояние защищённости информации, обрабатываемой средствами вычислительной техники (ВТ), находящуюся на машинных и традиционных носителях, от внутренних и внешних угроз.

Угрозам ¾ случайным или намеренным действиям, выводящим фирму, независимо от рода ее деятельности, из состояния безопасности со стороны внешнего окружения и внутренних источников подвержены персонал, имущество, информация и товары при перемещении. Кроме того, фирма может быть признана виновной в судебном порядке за ущерб, нанесённый третьим лицам (включая и собственных служащих) или собственности.

Таким образом, можно определить цель обеспечения безопасности информации, которая заключается в защите прав собственности на неё, и задачи безопасности, которые заключаются в защите её от утечки, копирования, блокирования, модификации и утраты.

Концептуальная модель защиты информации

Для организации системы защиты на конкретном предприятии необходимо провести анализ источников и видов информации, требующих защиты, выполнить анализ угроз безопасности и возможные способы реализации угроз, а также выбрать соответствующие способы и средства защиты.

В самом общем виде решению такой задачи может помочь концептуальная модель защиты информации

.Схема в виде последовательных блоков представляет содержание системы обеспечения защиты информации. Рассмотрим последовательно каждый из блоков.

Источники информации. Источник информации ¾ это материальный объект, обладающий определёнными сведениями (информацией), представляющей конкретный интерес для злоумышленников или конкурентов. Выделяются следующие категории источников:

1. Люди (сотрудники, обслуживающий персонал, продавцы, клиенты и т.д.)
2. Документы различного характера и назначения.
3. Публикации: доклады, статьи, интервью, проспекты, книги, специализированные периодические издания.
4. Технические носители информации. Наиболее точное описание носителей дано в законе «О государственной тайне» » Носители сведений ¾ материальные объекты, в том числе физические поля, в которых сведения, составляющие тайну, находят своё отображение в виде символов, образов, сигналов, технических решений и процессов.
5. Технические средства обработки информации, средства связи и средства обеспечения производственной и трудовой деятельности.
6. Выпускаемая продукция.
7. Производственные и промышленные отходы.

Рассмотрим особенности источников с точки, зрения вероятности реализации угроз безопасности.

Люди как носители информации с точки зрения её защиты занимают особое место ¾ как активные элементы, имеющие волевое начало, не только владеющие, но и обобщающие различные сведения. Поэтому необходим тщательный подбор персонала и анализ окружения..

Документы. Документ (документированная информация) – это информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать. К документированной относится информация не только на бумажных, но и на электронных носителях, в том числе и хранящаяся на жестком диске и в оперативной памяти ЭВМ. Для защиты документов организуется регламентируемое и контролируемое их движение.

Публикации. Например: «Коммерсант DAILY», «Деловой мир», «Финансовая Россия», «Деньги», «Финансовые известия», «Экономическая газета», «Обозреватель ¾ Observer»  и др. За рубежом: «Business Week», «Financial Times», «Wall Street Journal», Dun’s Review», «Commerce & Business Daily», «Business Horizons» и др. По заключению западных специалистов более 60% секретной военной и 90% экономической информации можно получить из открытых источников. Поэтому обязательным подразделением службы безопасности предприятия является  информационно-аналитический отдел, обрабатывающий открытую информацию.

Производственные и промышленные отходы. По мнению специалистов в области защиты информации «В мусорной корзине можно найти 1000$ банкнот.” Поэтому при обработке конфиденциальной информации предъявляются особые требования к уничтожению документов, принтерных распечаток, копировальных лент и очистка оперативной памяти компьютеров и магнитных носителей.

Поэтому в обеспечении безопасности деятельности предприятия и эксплуатации ИС важно учитывать все угрозы, которые могут возникнуть со стороны источников информации.

Виды информации по условиям защиты. Статья 21 Закона РФ «Об информации, информатизации и защите информации» определяет, что защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб её собственнику, владельцу и иному лицу. Закон подразделяет информацию по уровню доступа на следующие категории: общедоступная, открытая информация, информация о гражданах (персональные данные) и конфиденциальная информация. Конфиденциальная информация ¾ документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ. В свою очередь, документированная информация с ограниченным доступом по условиям её защиты подразделяется на информацию отнесённую к государственной тайне и конфиденциальную. К конфиденциальной информации относятся сведения, определяемые общим понятием ¾ тайна. В законах встречается 32 вида тайн. Однако, обобщённый перечень сведений, отнесённых к разряду конфиденциальных, приводится в Указе Президента РФ №188 от 6.03.97 г.

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским Кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Следует отметить, что согласно ст.139  Гражданского Кодекса РФ к коммерческой тайне относятся сведения, представляющие потенциальную ценность для её обладателя в силу неизвестности третьим лицам. Здесь же определено, что обладатель коммерческой тайны должен сам предпринимать меры к её сохранности. Поэтому, с точки зрения обладателя коммерческой тайны, необходимо обеспечить защиту как документированной, так и недокументированной информации.

Угрозы безопасности деятельности предприятий и информации  подразделяются на внешние и внутренние. Их перечень обширен и для каждого предприятия индивидуален. Общими  для всех являются угрозы стихийных бедствий, техногенных катастроф и деятельность людей – непреднамеренные ошибки персонала (нарушители) или преднамеренные действия (злоумышленники), приводящие к нарушениям безопасности. В Доктрине информационной безопасности России приводится следующий перечень угроз информационным системам:

• Противоправный сбор и использование информации;
• Нарушения технологии обработки информации;
• Внедрение аппаратных и программных закладок, нарушающих нормальное функционирование ИС;
• Создание и распространение вредоносных программ
• Уничтожение и повреждение ИС и каналов связи
• Компрометация ключей и средств криптографической защиты;
• Утечка информации по техническим каналам;
• Внедрение устройств для перехвата информации;
• Хищение, повреждение, уничтожение носителей информации;
• Несанкционированный доступ в ИС, базы и банки данных.

Требования, принципы и модель системы защиты информационной системы

Под системой защиты информационной системы понимается совокупность органов и исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам установленным соответствующими документами в области защиты. Система защиты строится на основе политики безопасности – набора норм, правил и практических рекомендаций на которых строится управление, защита и порядок обработки информации в информационной системе. Перечислим главные принципы построения системы защиты

• Эшелонирование;
• Непрерывность;
• Равнопрочность;
• Минимизация полномочий доступа;
• Разумная экономическая достаточность.

Эти принципы реализуются в модели системы защиты, которая с различными модификациями реализуется сегодня на всех предприятиях (см. рис.8).

       Рис.8. Модель системы защиты

Зона 1 ¾ внешние заграждения. Зона 2 ¾ контроль доступа в здание. Зона 3 ¾ контроль доступа в помещение с системами обработки и хранения  информационных ресурсов и ценных материальных активов. Зона 4 ¾ контроль доступа в систему обработки  информации.

Вероятность реализации угрозы Q в зоне 4 зависит от вероятностей преодоления рубежей защиты в зонах 1, 2 ,3.

Методы и способы защиты

На каждом предприятии, независимо от его размеров, вида собственности и направления деятельности применяются однотипные методы и способы защиты, реализующие модель системы защиты. Блок методов защиты – это препятствия, регламентация, разграничение доступа, маскировка, побуждение и принуждение. Перечисленные методы реализуются применением следующих способов защиты. Препятствия (физический способ) – установка ограждений вокруг предприятий, ограничения доступа в здание и помещения, установка сигнализации, охрана. Разграничение доступа осуществляется физическим способом и программно – техническим.

Маскировка предусматривает использование криптографических  программных средств.

Побуждение – соблюдение пользователями  этических норм при обработке и использовании информации.

Регламентация подразумевает наличие инструкций и регламентов по обработке информации, а запрещение предполагает наличие правовых норм, закрепленных в нормативных документах  и определяющих юридическую ответственность в случае их нарушения.

Согласно руководящим документам Государственной технической комиссии при президенте РФ, органу, который  определяет порядок защиты информации и контролирует применение программно-технических средств защиты, перечисленные выше методы и способы защиты, объединяются в четыре подсистемы, которые устанавливаются в информационных системах:

1. Подсистема разграничения доступа ¾ осуществляет защиту входа в информационную систему с помощью программных (пароли) и программно-технических средств (электронные ключи, ключевые дискеты, устройства распознавания пользователей по биометрическим признакам и др.).
2. Подсистема регистрации и учета ¾ осуществляет регистрацию в специальном электронном журнале пользователей и программ, получивших доступ в систему, к файлам, программам или базам данных, время входа и выхода из системы и другие операции, выполняемые пользователями.
3. Криптографическая подсистема ¾ набор специальных программ, осуществляющих шифрование и расшифрование информации. Наличие криптографической подсистемы особенно необходимо в информационных системах, используемых для электронного бизнеса.
4. Подсистема обеспечения целостности (неизменности) информации включает в себя наличие физической охраны средств вычислительной техники и носителей, наличие средств тестирования программ и данных, использование сертифицированных средств защиты.

Криптография с публичным ключом и электронная цифровая подпись

Защита информации особенно актуальна в электронном бизнесе. Здесь возникают проблемы не только защиты данных при передаче по каналам связи от перехвата, подделки или уничтожения, но и задачи аутентификации деловых партнеров, подтверждения подлинности передаваемых документов, а также их юридической силы. Криптография является надежным способом решения перечисленных задач.

Криптография (от греческого kripto – тайна) представляет собой совокупность методов преобразования данных, направленных на то, чтобы сделать зашифрованные данные бесполезными для злоумышленника. Шифрование (необходимо отличать от кодирования) – это многократное однотипное математическое преобразование текста по определенному алгоритму с помощью ключа шифрования. Ключ шифрования – это конкретное состояние алгоритма из множества возможных состояний. В качестве алгоритмов используют замены, перестановки или их сочетание, осуществляемые по определенным законам. Например, в качестве алгоритма можно выбрать матрицу размерностью M x N. Исходный текст записывается по строкам, а зашифрованный считывается по столбцам. Здесь ключом шифрования будет размерность матрицы.

Существует два метода шифрования – симметричный и асимметричный или метод шифрования с публичным ключом. Последний метод и позволяет решить задачи обеспечения конфиденциальности, целостности передаваемого документа и аутентификации лица, передавшего документ.

При симметричном методе шифрование и расшифровка документа осуществляется одним ключом, сгенерированным по заданному алгоритму специальным генератором (программой). Одним из существенных недостатков этого метода является трудность в  передаче ключа. Однако, в современных информационных системах этот метод широко используется совместно со специальными методами передачи ключей для канального (поточного) шифрования данных, передаваемых в сети Интернет. Для этих целей используются сеансовые  ключи, которые действуют непродолжительное время, что делает бесполезным их определение для злоумышленника даже в случае перехвата зашифрованного сообщения. В России алгоритм симметричного шифрования  утвержден государственным стандартом ГОСТ 28147 – 89.

Метод несимметричного шифрования является основой коммерческой криптографии. В этом методе специальной программой генерируется два ключа – публичный (открытый для всех пользователей информационной системы) и закрытый ключ, хранящийся в секрете у пользователя, сгенерировавшего эти ключи.  Математической основой метода шифрования с публичным ключом служит утверждение о том, что в настоящее время отсутствуют математические доказательства какого-либо способа нахождения сомножителей двух простых чисел по известному их произведению. Впервые это было показано американскими математиками Райвестом, Шамилем и Адельманом. Поэтому в их честь один из алгоритмов шифрования называется RSA.

В России для асимметричного шифрования используется алгоритм, усложненный по отношению к алгоритму RSA и утвержденный государственным стандартом ГОСТ Р3410 –10.

Электронная цифровая подпись. В традиционном бумажном документообороте авторство документа и его подлинность (аутентификация) подтверждаются рукописной подписью и печатью, поскольку текст документа и удостоверяющие реквизиты жестко связаны с материальным носителем. В электронных  документах такой связи нет.

Поэтому для  установления подлинности автора электронного документа и отсутствия изменений, в полученном по каналу связи документе, используется электронная цифровая подпись (ЭЦП). Согласно Закона РФ «Об электронной цифровой подписи» от 10.01.02 ¾ электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и, позволяющий идентифицировать владельца сертификата ключа подписи,  а также установить отсутствие искажения информации в электронном документе. Электронная цифровая подпись признается равнозначной собственноручной подписи на бумажном носителе.

ЭЦП выполняет следующие функции:

• удостоверяет, что подписанный текст исходит от лица, поставившего подпись;
• не дает самому этому лицу возможности отказаться от обязательств, связанных с подписанным текстом;
• гарантирует целостность (неизменность) подписанного документа.

ЭЦП представляет собой несколько буквенно-цифровых символов, передаваемых вместе с электронным документом.

Технология получения и проверки  ЭЦП включает в себя следующие процедуры:

1) процедуру вычисления дайджеста (хэш – функции) сообщения;

2) процедуру зашифрования дайджеста закрытым ключом отправителя;

3) процедуру вычисления дайджеста сообщения (хэш – функции) получателем;

4) проверку полученного дайджеста, путем расшифрования его открытым ключом;

5) сравнение вычисленного получателем дайджеста с полученным в результате расшифрования (верификация).

«Сертификат ключа подписи – документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и, которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи» (Закон РФ «Об электронной цифровой подписи»). Таким образом, на основании закона, сертификация ключей будет производиться специальными удостоверяющими центрами, которые будут являться посредниками между пользователями информационных систем, использующими ЭЦП. Главная роль удостоверяющего центра заключается в подтверждении факта (в случае возникновения спорной ситуации), что данный ключ подписи принадлежит именно тому лицу, которое отправило ключ в сертификационный центр.

При использовании ЭЦП в деловом обороте необходимо помнить, что юридическая сила электронного документа признается лишь при использовании сертифицированных специальными лабораториями (здесь сертификация понимается как соответствие утвержденным стандартам) программно – технических средств для генерации ключей.

Технология использования ЭЦП является надежным средством обеспечения безопасности при ведении электронного бизнеса.

Правовая защита информации

Среди различных методов защиты информации, особая роль отводится правовой защите. При всех своих возможностях и обязательности использования, физические и программно-технические способы защиты не смогут обеспечить безопасность информационных систем, если отсутствует адекватная правовая база, регламентирующая деятельность в информационной сфере. Под адекватной правовой базой понимается совокупность правовых норм, содержащихся в законах и других источниках, признаваемых государством, и являющихся общеобязательным критерием дозволенного, предписанного и запрещенного поведения пользователей информационных технологий. Нарушение норм влечет юридическую ответственность: дисциплинарную, гражданскую, административную и уголовную.

К настоящему времени насчитывается свыше 1000 нормативных актов различного уровня, регулирующих правоотношения в области создания, распространения, обработки, хранения и использования информации и правоотношения в области создания и эксплуатации информационных систем.

Виды защищаемой информации. Статья 21 Закона РФ «Об информации, информатизации и защите информации» определяет, что защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб её собственнику, владельцу и иному лицу. Однако требования к системам защиты и нормы ответственности зависят от категории защищаемой информации.  Закон подразделяет информацию по уровню доступа на следующие категории: общедоступная, открытая информация, информация о гражданах (персональные данные) и конфиденциальная информация. Конфиденциальная информация ¾ документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ. В свою очередь, документированная информация с ограниченным доступом по условиям её защиты подразделяется на информацию, отнесённую к государственной тайне и конфиденциальную. К конфиденциальной информации относятся сведения, определяемые общим понятием ¾ тайна. В действующих сегодня законах встречается 32 вида тайн. Это обстоятельство затрудняет применение норм права и вызывает противоречия при их применении. С целью упорядочения, сделана попытка, систематизировать перечень сведений, отнесённых к разряду конфиденциальных, подзаконным актом ¾ Указом Президента РФ №188 от 6.03.97 г.

Ррежим защиты различается в зависимости от категории информации по уровню доступа к ней. Так, в отношении сведений, отнесенных к государственной тайне, режим защиты устанавливается уполномоченными органами на основании Закона РФ «О государственной тайне». В отношении конфиденциальной документированной информации режим защиты устанавливается собственником этой информации на основании соответствующих законов. Так, согласно ст.139 Гражданского Кодекса РФ к коммерческой тайне относятся сведения, представляющие потенциальную ценность для её обладателя в силу неизвестности третьим лицам. Здесь же определено, что обладатель коммерческой тайны должен сам предпринимать меры к её сохранности. Поэтому, с точки зрения обладателя коммерческой тайны, необходимо обеспечить защиту как документированной, так и недокументированной информации.

Законом предусмотрена юридическая ответственность (дисциплинарная, административная и уголовная) в случае нарушения порядка использования информации и информационных технологий, незаконный сбор и разглашение коммерческой тайны, нарушение системы защиты.

Так, Трудовой Кодекс РФ согласно ст. 81 п. в) предусматривает расторжение трудового договора по инициативе работодателя в случае  разглашения работником охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей.

Согласно Статье 13.14 Кодекса РФ об административных правонарушениях, разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей,  влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда; на должностных лиц ¾ от сорока до пятидесяти минимальных размеров оплаты труда.

В случае, если разглашение коммерческой или банковской тайны причинило ее обладателю крупный материальный ущерб, согласно ст. 183 Уголовного Кодекса РФ к лицу, виновному в совершении преступления, могут быть  применены наказания от штрафа до двухсот минимальных зарплат и даже лишения свободы на срок до десяти лет.

Особенности защиты сведений, составляющих коммерческую тайну. По неофициальным оценкам сотрудников ФСБ России практически каждая крупная отечественная фирма крадет информацию у своих конкурентов и одновременно страдает от аналогичных действий с их стороны. Поэтому предприниматели должны обращать особое внимание на защиту коммерческой тайны. Прежде всего, необходимо определить какая информация требует защиты, выяснить возможные внешние и внутренние угрозы безопасности и разработать соответствующую угрозам систему защиты.

К информации, имеющей коммерческую значимость, относят сведения о количестве выпускаемой продукции и объемах продаж, сведения о поставщиках и производителях, продавцах и дилерах, договорах и клиентах. Планы фирмы, предельные цены, себестоимость продукции, имена и адреса сотрудников, маркетинговые и аналитические исследования. Финансовое состояние фирмы, размеры оплаты труда, денежный наличный оборот, особенно каналы движения денежной массы.

Для обеспечения режима коммерческой тайны весьма важными являются организационно-правовые меры. При приеме на работу, с будущими сотрудниками проводится соответствующий инструктаж, а в контракте (заявлении о приеме на работу) должны быть предусмотрены соответствующие пункты о неразглашении конфиденциальных сведений.

Прежде всего,  должен быть организован конфиденциальный документооборот. Каждый документ, содержащий сведения, отнесенные к коммерческой тайне должен иметь соответствующий гриф (конфиденциально, КТ и т.п.). Гриф «секретно» используется только для документов, содержащих сведения, относимые к государственной тайне. Должен быть определен круг лиц, которые имеют доступ к соответствующим документам и базам данных, разработаны правила разграничения доступа в информационную систему, порядок хранения, учета и уничтожения материальных носителей, заведен журнал учета движения конфиденциальных документов.

• БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Аллен, Р. Коэн. Курс MBA по менеджменту [Текст]. Серия: Portable MBA. – Ответы на вопросы лидерства, опти мизации структуры организации, стратегии ведения переговоров, управления. – М.: — Альпина Бизнес Букс, — 2004. – 508 с.
2. Баронов, В.В. Информационные технологии и управление предприятием [Текст] / В.В. Баронов, Г.Н. Каля- нов, Ю.Н. Попов. – М.: — Компания АйТи, — 2004. – 328 с.
3. ГОСТ 34.601–90 Информационная технология. Ком- плекс стандартов на автоматизированные системы. Стадии создания [Текст]. – М.: — Изд-во стандартов, — 1991.
4. ГОСТ Р ИСО/МЭК 12207–99 Информационная тех- нология. Процессы жизненного цикла программных средств [Текст]. – М.: — Изд-во стандартов, — 2003.
5. Гринберг, А.С. Информационный менеджмент [Текст]: Учеб. пособие. – М.: — ЮНИТИ, — 2003. – 415 с.
6. Гринберг, А.С. Информационные технологии управления [Текст]: Учеб. пособие для вузов. – М.: — ЮНИТИ- ДАНА, — 2004. – 479 с.
7. Гришин, В.Н. Информационные технологии в профессиональной деятельности [Текст]: Учебник. – М.: — Форум: ИНФРА-М, — 2005. – 416 с.