Внедрение АСУ может рассматриваться как проект, т.е. деятельность, направленная на достижение определенных целей. При этом проект является не столько техническим, сколько организационным, т.к. перестраивает работу предприятия и всей его системы управления. При этом успешность проекта зависит от того, были ли учтены все факторы и механизмы, скрытые в системе управления.

В качестве инициаторов внедрения АСУ часто выступают функциональные подразделения предприятия. Но даже если внедрение АСУ инициируется руководством предприятия, обычно проработка вопросов по внедрению и подбору системы перекладываются на более низкие уровни, т.к. автоматизацией были затронуты лишь некоторые области функционирования и в результате автоматизационная система б предст соб набор разрозненных компов и м не удовлетворить запросам предприятия в целом. Поэтому проработка проекта по автоматизации предприятия целесообразно возлагать на топ-менеджера.

В международной практике в штате любой организации предусмотрена должность заместителя директора, который отвечает за информационное развитие предприятия.

Начало проекта.

Обычно заказчик воспринимает началом проекта момент заключения контракта с поставщиком ПО. При этом упускается из вида этап диагностики проблем предприятия и планирования всего проекта. Как правило, при реализации крупных проектов этап диагностики внутренней структуры предприятия реализуется поставщиком ПО. При этом результат всего проекта во многом зависит от правильности выбора поставщика ПО.

Зачастую для анализа области и автоматизации на предприятии привлекаются сторонние эксперты. Выполнение данного анализа является достаточно сложным и трудоёмким, и не всегда может быть выполнено силами компании-поставщика АСУ.

Цель проекта.

У каждого проекта в начале его реализации должна быть сформирована цель. Целью любой автоматизации является решение каких-либо проблем, поэтому определение круга этих проблем и является отправной точкой любого проекта.

При подборе АСУ необходимо учитывать, что не существует такой системы, которая бы позволила решить абсолютно все проблемы. Как показывает практика, часть проблем, которые пытаются решить внедрением автоматизированного подхода, связаны с организационной структурой предприятия и не могут быть решены простой автоматизацией. В данных случаях АСУ может только дополнить функциональность, но не решить полностью какую-либо проблему.

Проведение комплексного обследования предприятия помогают выявить причины проблем и пути их решения.

В ходе обследования предприятия также определяется психологических климат и сложившиеся взаимоотношения в коллективе. Проведение подобного анализа позволяет определить возможные риски и разработать оптимальные методы воздействия на персонал для повышения его заинтересованности в достижении целей проекта. Внедрение АСУ д осуществляться не токо с целью получения глобального результата, но и для решения ряда локальных задач, выполненных на предприятии. Подобные проекты лучше поддаются денежной и качественной оценке, являются более простыми в реализации и позволяют расписать финансовые затраты на большой отрезок времени.

Стратегическое планирование.

Следующим шагом является определение класса АСУ, необходимой предприятию. Для этого формулируются требования к АС. Обычно автоматизация управления предприятием основывается на 3х китах:

1. технологии бизнес-процессов;

2. ПС (программные средства);

3. ТС (технические средства).

Технология бизнес-процессов обеспечивает полноту формирования первичных данных, достоверность и оперативность инфы, правильность оформления и учёта хозяйственных операций, выбор наиболее рациональных форм и методов управления, и определяет конечные требования к организации всего управленческого процесса на предприятии.

ПС предназначены для автоматизации управленческого процесса, а ТС являются необходимыми для функционирования программ. Поэтому для формирования требований к АСУ требуется построение моделей бизнес-процессов, которые включают в себя описание стандартов (финансового, материального и производственного учётов) и документооборота.

Необходимо учитывать, что модель бизнес-процессов может изменяться в процессе функционирования предприятия и, соответственно, АСУП должно являться гибким и легко перенастраиваемым комплексом ПС.

Экономический анализ.

Несмотря на всё многообразие задач, стоящих перед предприятием, н помнить, что автоматизация – это инвестиционный проект, основная цель которого увеличение прибыльности предприятия.

АС сама по себе не повышает прибыльность предприятия, но позволит повысить эффективность и ускорить процесс обработки данных и м предоставлять информацию для принятия решения. А увеличение прибыльности будет зависеть от эффективности и оперативности принятия управленческих решений.

Если после внедрения АС руководство не получает новых данных или не может правильно их использовать, то информация остаётся невостребованной, а это приводит к повышению неэффективности решений. Т.о. в ходе экономического анализа необходимо сравнивать:

1. эффект от внедрения АСУП с альтернативными вариантами;

2. эффект от внедрения различных АСУП.

В случае если требования к системе чётко сформулированы, то менеджмент предприятия может определить, на сколько та или иная функция в различных АСУП соответствует этим требованиям. Также могут быть сопоставлены функциональные возможности каждой АСУП.

Выбор поставщика.

Каждое предприятие при внедрении АСУ стоит перед выбором: купить ли уже готовую систему, либо поручить разработку системы сторонней организации, либо выполнить это разработку самостоятельно. Как правило, на рынке можно найти 1 или несколько АС, в которых уже реализовано не менее 80% необходимых предприятию функций. А недостающий функционал может быть доработан поставщиком либо службой автоматизации предприятия.

Основные «+» построение системы на базе готового решения состоят в →:

1. программа является тиражированным продуктом, следовательно, количество ошибок минимально;

2. разработчики регулярно выпускают обновления ПО с исправлением обнаруженных ошибок либо дополняя функционал системы;

3. существует разветвлённая сеть организаций, которые занимаются внедрением и сопровождением некоторого готового решения.

«-» готового решения в том, что при его внедрении приходиться адаптировать существующую структуру управления под требования АСУ.

Вариант индивидуальной разработки ИС имеет смысл рассматривать только в случае, если не было найдено подходящего готового решения. Преимущество такого подхода – предприятие получит ИС, полностью соответствующую сложившейся системе управления. Но при этом существуют «-» стороны:

1. стоимость индивидуальной разработки может существенно превышать стоимость аналогичной тиражированной программы;

2. предприятие – заказчик попадает в зависимость от компании – разработчика, и если разработчики откажутся от поддержки АСУ, то может встать вопрос о необходимости приобретения новой.

При выборе поставщика ПО следует обращать внимание на его финансовую стабильность и положение на рынке.

Риски.

Внедрению АС характерны следующие специфические риски:

1. отсутствие чётких целей;

2. отсутствие предварительных этапов по изучению и планированию проекта;

3. высокая зависимость от внутренней структуры организации – заказчика и лояльности персонала;

4. неслаженная работа участников проекта.

Управление проектом

Нередко Заказчик ожидает, что АСУП сама внедрится и заработает на предприятии, но основной "особенностью" проектов является то, что ими нужно управлять.

Управление проектом - это деятельность, направленная на реализацию проекта с максимально возможной эффективностью при заданных ограничениях времени, денежных средств и т.д.

Важной чертой управления проектами является точное определение и формулирование целей, от стратегических до самых мелких задач. Сам проект можно рассматривать как последовательное достижение тщательно выбранных целей, пока, наконец, не достигнута конечная.

2. Основы инвестиционного анализа.

В мировой практике для оценки эффективности IT-проектов применяется стандартный метод инвестиционного анализа, получивший название Cost Benefit Analysis (CBA), так как речь идет об оценке и сравнении выгод, полученных в результате осуществления проекта, с затратами (cost) на его реализацию.

Что в себя включает СВА. Общая цель внедрения АСУП - повышение эффективности предприятия. Каждая организация определяет для себя ключевые области, которые влияют на ее эффективность. Достижение общей цели - повышение эффективности - происходит за счет реализации задач в каждой из ключевых областей. Поэтому в основе СВА лежат именно бизнес-цели предприятия.

Второй этап СВА - сравнение альтернативных вариантов. Важно отметить, что одним из возможных является вариант "без проекта", т. е. рассматривается не ситуация "до" и "после" проекта, а развитие во времени текущей ситуации без внесения в нее каких-либо изменений.

Сравнение вариантов производится на основании измерения приносимых ими выгод и требуемых для этого затрат. Учитываются как количественные, так и качественные показатели ("нематериальные").

Помимо соотношения выгод и затрат, альтернативные варианты также отличаются степенью риска и факторами, которые эти риски определяют. Поэтому анализ влияния таких факторов на соотношение выгод и затрат является еще одной сферой внимания СВА.

Ключевые показатели:

(Рентабельность показывает, какой доход приносит 1 рубль вложения.)

1. Чистая текущая стоимость - разница между суммарным эффектом проекта и первоначальными капиталовложениями, где эффект проекта - это разница между текущими доходами и расходами. Если NPV больше нуля - проект эффективен, если меньше - нет. (Можно определить, какой чистый абсолютный размер выигрыша получит инвестор при вложении средств.)

2. Индекс рентабельности инвестиций (ROI) - отношение суммарного эффекта проекта к объему первоначальных капиталовложений. Если ROI > 1 - проект эффективен, если < 1 - нет. ROI показывает превышение полученной выгоды над первоначальными капиталовложениями.

(Отдача от инвестиций (ROI) показывает, какой финансовый результат обеспечивает, каждый рубль, инвестированный в проект.)

3. Внутренняя норма доходности - это норма дисконтирования, при которой суммарный эффект проекта равен объему первоначальных капиталовложений. IRR сравнивается с нормой доходности, определенной инвестором. Если IRR выше желаемой нормы доходности - проект выгоден, если ниже - нет.

(Вычисляется как годовой %, при котором чистая текущая стоимость =0.)

4. Срок окупаемости проекта - период, в течение которого суммарный эффект возмещает первоначальные капиталовложения. Чем меньше срок окупаемости, тем привлекательнее проект.

3. Оценка выгод.

В табл. 3 приведены примеры материальных (количественных) и нематериальных (качественных) выгод.

Таблица 3. Выгоды от использования АСУП
Материальные (количественные)	Нематериальные (качественные)
Увеличение объема продаж	Улучшение доступа к информации
Снижение себестоимости	Улучшение взаимодействия с поставщиками
Уменьшение складских запасов	Повышение удовлетворенности клиентов
Сокращение сроков выполнения заказов	Возможность своевременно реагировать на изменения рынка и т. д.
Повышение точности поставок и т.д.

4. Оценка целесообразности инвестиций в IT. Команда

Для оценки эффективности ИТ-проекта необходим систематизированный подход, основанный на целях и планах предприятия. Отталкиваясь от стратегии компании необходимо сформировать портфель ИТ-проектов, влияющих на стратегически важные показатели, а затем рассчитать показатели их экономической эффективности. Т.о, руководство компании получит необходимую информацию для принятия решений по формированию портфеля инвестиционных проектов и возможность оптимально использовать имеющиеся ресурсы для достижения поставленных целей.

Простая и доступная для использования, но, в то же время, дающая четкие и обоснованные результаты методика была разработана компанией Microsoft - методика «быстрого экономического обоснования (Rapid Economic Justification, REJ).

REJ - алгоритм, предлагающий четко структурированную последовательность шагов.

REJ основывается на трех «китах»:

· состав команды аналитиков;

· алгоритм выполнения исследования;

· структура бизнес-плана.

Команда

Необходимо сформировать коллектив специалистов. В рамках REJ составу группы придается огромное значение. В структуре рабочей группы предполагается пять ролей.

1. Исполнительный директор (ИД). Желательно, чтобы в этой роли выступал представитель высшего руководства предприятия, имеющий влияние на принятие решений по инвестированию. Каждодневное его участие в работе группы не требуется. Во-первых, он должен обеспечивать членам рабочей группы доступ к материальным, информационным и административным ресурсам. Во-вторых, его участие гарантирует правильное понимание экспертами стратегических целей предприятия.

2. Менеджер проекта (МП). Координирует деятельность всех участников проекта, их взаимодействие друг с другом, доступ к необходимым ресурсам, а также отвечает за выполнение оценки в утвержденные сроки и в соответствии с методическими рекомендациями. Для этой роли необходим специалист, имеющий опыт в управлении проектами, разработке бизнес-планов. По сути, именно он, а не исполнительный директор является реальным руководителем проекта. Авторы метода предлагают приглашать на эту позицию сторонних специалистов из консалтинговых и аналитических фирм.

3. Бизнес-аналитик (БА). Отвечает за определение стратегических целей, критических факторов успеха организации.

4. ИТ аналитик (ИТА). Должен быть осведомлен о возможностях существующих и перспективах новых ИТ, их значении для бизнеса, а также слабых местах. С его помощью рабочая группа должна сформировать портфель технологий, внедрение которых может оказать влияние на критические факторы успеха.

5. Финансовый аналитик (ФА). Контролирует реалистичность и адекватность планирования денежных потоков инвестиций, выделенных на реализацию проекта внедрения выбранных технологий, правильность выполнения расчета финансовых показателей и прочие вопросы финансовой дисциплины.

5. Оценка целесообразности инвестиций в ИТ. Исследование.

Исследование

План работы по оценке ИТ компании состоит из пяти этапов.

Шаг 1. Оценка бизнеса. Исследование начинается с определения проблем важных для руководства компании.

Первым делом определяют критические факторы успеха предприятия, составляют план их достижения, и определяют показатели достижения критических факторов успеха. Для этого изучают стратегический план развития компании, бизнес-план, проводят консультации с руководством компании, руководителями функциональных подразделений и ключевыми специалистами.

Следующая задача - идентификация работ, наиболее значимых для достижения критических факторов успеха, в соответствии с выбранной стратегией.

Шаг 2. Выбор решения. Для каждой работы, определенной на предыдущем шаге, необходимо найти, с использованием каких ИТ можно улучшить ее эффективность.

Т.е. выполняется анализ, выявляющий «узкие места» в каждом из выбранных процессов и затем подбирается такое ИТ-решение, которое позволяет устранить найденные недостатки и получить положительный качественный результат от внедрения ИТ.

Шаг 3. Вычисление прибыли и затрат. После того как возможные технические решения выбраны, аналитики вычисляют потенциальную прибыль от их внедрения и необходимый объем капиталовложений для каждого проекта. Стандартом при расчете стоимости ИТ-систем стал метод совокупной стоимости владения (TCO). (При проведении исследования эксперты могут использовать любую методику.)

Шаг 4. Риски. В начале проекта невозможно знать все, что случится в процессе его реализации, поэтому все инвестиции сопряжены с риском. На данном этапе исследования, рабочая группа пытается определить и измерить риски свойственные ИТ-проектам.

Авторы методики предлагают рассматривать несколько видов рисков.

·Риск соответствия. Чем жестче соответствие ИТ-проекта целям предприятия, тем меньше риск.

·Реализационный риск. Учитывает возможность того, что реальная стоимость реализации проекта будет отличаться от расчетной.

·Операционный риск. Учитывает возможность того, что стоимость функционирования системы будет отличаться от предполагаемой.

·Технологический риск. Чем больше известно о выбранном решении и чем проработанней выбранные технологии, тем меньше этот риск.

·Риск денежных потоков. Учитывает возможность недостоверного определения выгод от проекта и неточного расчета положительных денежных потоков.

Шаг 5. Расчет финансовых показателей. Такими показателями могут быть чистый приведенный доход (NPV), внутренняя норма доходности (IRR), добавленная стоимость (EVA), срок окупаемости, возврат от инвестиций (ROI) и другие.

Результаты многодневной работы и бессонных ночей команды аналитиков сводятся в бизнес-план.

6. Методика оценки экономической эффективности ИТ

Классические методы оценки эффективности инвестиционных проектов предполагают необходимость оценки "доходной" и "затратной" части проектов.

Для полноценной, качественной оценки результата следует сделать упор на то, ради чего осуществляется внедрение ИТ-проекта. Такое целеполагание должно быть выполнено сверху донизу и интегрировано в процесс проектирования ИТ-системы.

Практическое применение данного подхода должно заключаться в построении многоуровневой детальной структуры "бизнес-стратегия - цели - задачи - подзадачи - функции - ИТ-процедуры". Максимальная структуризация такого "дерева" позволяет тесно увязать глобальную бизнес-стратегию предприятия, конкретные бизнес-задачи и улучшения, получаемые за счет внедрения ИТ, и выразить их в форме финансово-экономических выгод компании.

Если подобная процедура "структуризации" не встроена в процесс проектирования ИТ-системы, центр тяжести процедуры оценки ложится на следующий этап - "этап агрегации". Этап агрегации начинается с самого нижнего уровня детализации - ИТ-задач низшего уровня. На этом уровне необходимо максимально подробно выявить качественные улучшения выполняемых бизнес-процессов.

Постепенная агрегация таких улучшений, обобщаемых на более высоком уровне, позволяет добиться количественного выражения в финансово-экономических показателях локального значения - факторах экономической эффективности внедряемых ИТ.

Для сведения факторов экономической эффективности в интегральные показатели на самом высоком уровне выделяются обобщенные, значимые направления, определяющие экономическую эффективность любых инвестиций, - ключевые факторы экономической эффективности (доход, затраты, налоговые выплаты и т.д.).

Результаты, полученные с помощью предложенной методики, не будут абсолютно точны. Однако с их помощью удается оценить "финансовую реализуемость и экономическую состоятельность" конкретного ИТ-проекта с учетом специфики конкретного предприятия.

7. Оценка эффективности ИТ-инвестиций.

Методы анализа:

1. традиционные финансовые методики;

2. вероятностные методы;

3. инструменты качественного анализа.

1. Традиционные финансовые методики. Данные методы используют общепринятые в финансовой сфере критерии (чистая текущая стоимость, внутренняя норма прибыли), что позволяет ИТ-руководителям находить общий язык с финансовыми директорами.

Главный недостаток — ограниченность применения таких методов: они оперируют понятиями притока и оттока денежных средств, требующими конкретики и точности. Определить отток денежных средств (затраты на ИТ-проект) можно по суммам, указанным в договорах с поставщиками. Проблемы возникают при попытке определения притока денежных средств.

2. Достоинством вероятностных методов является возможность оценки вероятности возникновения риска и появления новых возможностей (например, повышение конкурентоспособности продукции) с помощью статистических и математических моделей.

Вероятностные методы можно, например, применить для оценки вероятности своевременного и качественного выполнения проекта по разработке продукта. В этом случае оценивают количество ошибок в документации и трудоемкость их исправления. Однако для построения таких моделей необходимо иметь статистику о возникновении ошибок в конструкторской документации, сбору которой на отечественных предприятиях не уделяется должного внимания.

3. Качественные (эвристические) методы могут помочь оценить все явные и неявные факторы эффективности ИТ-проектов и увязать их с общей стратегией предприятия. Данная группа методов позволяет специалистам самостоятельно выбирать наиболее важные для них характеристики ИТ, устанавливать между ними соотношения, например, с помощью коэффициентов значимости.

Основной недостаток таких методов заключается в том, что для их эффективного применения предприятию необходимо самостоятельно разработать собственную систему показателей и внедрить ее во всех подразделениях. Другой слабой стороной является фактор влияния субъективного мнения на выбор системы показателей. Поэтому к специалистам, занятым разработкой системы показателей, предъявляются особые требования: они должны обладать большим опытом работы в сфере ИТ и высоким уровнем знаний в области инновационного менеджмента.

Требования к методикам

Главная особенность качественных методов заключается в возможности описать способ определения соответствия ИТ-проекта бизнес-стратегии предприятия. Данный подход следует считать более прогрессивным.

Финансовые и вероятностные методы оперируют понятиями денежных потоков, прибыли и расхода, однако не все стратегические решения выражаются в изменении финансовых параметров деятельности. Стратегические цели предприятия, как правило, ориентированы на завоевание позиции лидера в своём рыночном сегменте; усиление противодействия конкурентным силам рынка и т.д.

8. Методологии оценки ИТ.

В настоящее время разработаны методы анализа того вклада, который вносят ИТ в конечный результат работы компании. На основании указанного анализа могут расставляться приоритеты проектов.

Зачастую сотрудникам информационной службы сложно обосновать и доказать руководству компании необходимость инвестиций в ИТ. Одним из способов доказательства эффективности проектов в области ИТ являются принятие тиражируемой методики оценки. Данная схема позволяет идентифицировать и установить контроль за теми инвестициями, которые оказывают наибольшее влияние на финансовые показатели функционирования компании.

Все методологии могут быть разделены на 3 группы:

1. традиционные методы;

2. качественные (эвристические) методы;

3. вероятностные.

В конечном счёте, цель всех методов – установление прямой связи между инвестициями в ИТ и результатами работы.

9. Методологии оценки ИТ. Традиционные финансовые методы.

Эти методологии используют традиционные финансовые расчеты с учетом специфики ИТ и необходимости оценивать риск.

Экономическая добавленная стоимость (EVA).

В качестве основной характеристики данная методика использует чистую операционную прибыль, из которой вычитаются соответствующие затраты на ИТ.

Все расходы считаются платой за предполагаемую выгоду, которая будет способствовать увеличению оборота и снижению издержек. Использование различных оценок EVA (за разные периоды) для характеристики эффективности работы отдельных подразделений позволяет согласовать подчас противоречивые цели, такие как увеличение оборота, увеличение доли продаж на рынке и выразить это всё единым финансовым показателем.

Несмотря на все достоинства данной методологии с её помощью достаточно сложно оценить вложения, например, в модернизацию технической базы.

Полная стоимость владения (ТСО).

Этот метод является наиболее характерным при определении наилучшего соотношения цена - качество для предприятий сферы услуг на основе рассмотрения таких ключевых бизнес-процессов как:

1. восстановление после сбоев;

2. управление модернизацией;

3. техническая поддержка.

В рамках данного подхода предполагается оценка стоимости приобретения, администрирования, установки, тех. поддержки, сопровождения и других затрат.

В настоящее время данный метод приобрёл широкую популярность, т.к позволяет оценить затраты на внедрение новых продуктов либо обновление уже имеющихся.

Данная методология хорошо подходит для подсчёта текущих стоимостных показателей и позволяет достаточно полно проанализировать эффективность выполнения отдельных функций. Использование данной методологии позволяет построить эффективную схему учёта и контроля расходов на ИТ.

Недостаток методологии - не позволяет соотнести существующие технологии со стратегическими целями развития компании, с решениями задач повышения конкурентности, а также не учитывают риски.

Совокупный экономический эффект (TEI).

Данная методология предназначена для поддержки принятия решений, снижения рисков и обеспечения гибкости. При оценке затрат руководители информационных служб оперируют 3 основными параметрами:

1. стоимость;

2. преимущество;

3. гибкость.

Для каждого из параметров определяется свой уровень риска. При этом анализ стоимости осуществляется с помощью ТСО. Оценка преимуществ д производиться с т.з. стоимости проекта. Гибкость определяется с использованием методологии расчётов фьючерсов и опционов.

Быстрое экономическое обоснование (REJ).

Данный метод подразумевает прохождение 5-ти этапов:

1. разработка бизнес-плана, отражающего мнение всех заинтересованных сторон и учитывающего основные факторы успеха и ключевые показатели эффективности;

2. совместная проработка влияния технологии на факторы успеха;

3. анализ критериев: стоимость - эффективность;

4. определение потенциальных рисков с указанием вероятности их возникновения и степени влияния на проект;

5. вычисление традиционных финансовых показателей.

Применение методологии REJ является более оптимальным при рассмотрении отдельных проектов. Однако она может потребовать длительного срока реализации, что является её недостатком.

10. Методологии оценки ИТ. Качественные методы

В этих методах предпринята попытка дополнить количественные расчёты субъективными и качественными оценками, которые могут позволить определить ценность персонала и процессов.

Система сбалансированных показателей (ССП).

В рамках этой методики традиционные показатели финансовых отчётов объединяются с операционными параметрами, что позволяет оценить нематериальные активы, такие как уровень корпоративных инноваций, степень удовлетворённости сотрудников, эффективность приложений.

В данном методе параметры рассматриваются с 4х т.з.:

1. финансовая;

2. удовлетворение потребностей клиентов;

3. внутренних процессов;

4. дальнейшего роста и обучения.

Менеджменту компании необходимо сопоставить перспективы каждого из 4х направлений с общей стратегией развития бизнеса.

Методология ССП является инструментом формирования стратегии управления, и её использование невозможно без участия руководящего звена высшего уровня. Если компания пропускает этап планирования стратегии бизнеса, то результатом может стать определение параметров деятельности, не имеющих отношения к эффективности ведения бизнеса.

Исследователи часто обвиняют данную систему показателей в том, что она используется для оправдания каких-либо действий, а не для проведения ощутимых преобразований.

Информационная экономика.

Данная методология ориентирована на объективную оценку портфеля проектов и предусматривает направление ресурсов туда, где они смогут принести наибольшую выгоду. Идея данного метода состоит в необходимости расстановки приоритетов и представлении объективных заключений о стратегической ценности отдельных проектов для бизнеса.

При использовании данной методологии руководители ИТ отделов составляют список из 10 главных факторов, влияющих на процесс принятия решения и оценке значимости и рисков каждого из проектов для бизнеса.

Каждый из оценённых проектов рассматривается с т.з. выбранного набора факторов. Т.о. формируется относительный рейтинг каждого проекта.

Методология информационной экономики является быстрым способом определения приоритетов затрат и составления проектов в области информатизации.

Управление портфелем активов.

Данный метод сочетает в себе многие «+» стороны др подходов и предполагает рассмотрение сотрудников информационной службы и проектов информатизации не как затратную часть, а как активы, управляемые по тем же законам и принципам, что и любые другие инвестиции. Это означает, что директор информационной службы осуществляет контроль за капиталовложениями, инвестициями по критериям затрат, выгоды и рисков. Он должен минимизировать риск, вкладывая деньги в разные технологические проекты.

Система показателей ИТ.

Подход, ориентированный на ИТ и направленный на привлечение ресурсов ИТ для решения стратегических задач. Было предложено рассматривать такие показатели как:

1. развитие бизнеса;

2. производительность;

3. качество;

4. принятие решений.

11. Методологии оценки ИТ. Вероятностные методы.

В вероятностных методах используются статистические и математические модели, позволяющие оценить возможность возникновения риска.

Справедливая цена опционов.

Данная методика направлена на определение количественных параметров гибкости. Она позволяет оценить эффективность аренды, слияния, покупки или производства.

Прикладная информационная экономика.

Эта методика объединяет достижения теории опционов, современной теории управления портфелем и стратегических методов, с помощью которых можно выразить неопределённость в количественных оценках, построить кривую распределения желаемых результатов, оценить риск и возврат инвестиций.

Этому методу присущ большой V расчётов, но он является наиболее статистически верным способом анализа рисков.

12. Критерии оценки эффективности ИС.

ИТ-проект должен иметь определенную цель. Цель ИТ-проекта - это его результат. Исходя из этого, можно определить следующие критерии успешности ИТ-проекта:

1. обеспечение функционирования результата проекта. Недостаточно в ходе проекта приобрести компьютеры, ПО, проложить сети, обучить персонал. Необходимо, чтобы персонал предприятия использовал всю инфраструктуру, созданную в ходе проекта, в соответствии с бизнес-процессами предприятия, то есть данная инфраструктура должна непосредственно участвовать в получении предприятием прибыли.

2. соблюдение рамок проекта (временные, бюджетные). Сложность данного критерия обусловлена тем, что в ИТ-проектах задействовано много сторон, следовательно, необходима четкая координация работ. Недостаточно составить график работ, выполняемых представителями Исполнителя. Необходимо, чтобы во всех процессах (создания продукта, приемки, оценки качества) участвовали и сотрудники предприятия, отвечающие за отдельные направления его деятельности.

3. удовлетворение потребностей всех участников проекта. Если на каком-то этапе проекта, кто-либо (то ли Заказчик, то ли Исполнитель) будет не заинтересован в дальнейшем продолжении ИТ-проекта, то этот проект будет, по сути, подвержен риску неудачного завершения. При этом одинаково гибельным для проекта может оказаться как ситуация, когда Заказчик теряет интерес к проекту, так и ситуация, когда вознаграждение не соответствует объему работ (в этом случае Исполнитель потеряет интерес к проекту). Поэтому данный критерий - достаточно существенный.

4. соответствие проекта установленным целям. Самым критичным моментом здесь является то, что необходимо обеспечить правильность целей с точки зрения бизнеса предприятия.

Только при соблюдении всех критериев можно утверждать, что проект оказался успешным.

Критерии неудач проекта являются следствием критериев успеха. Среди них можно выделить:

· превышение установленного времени или стоимости;

· несоответствие качества установленным требованиям;

· игнорирование требований и претензий.

Для того чтобы по завершении проекта не было расхождений между его участниками в вопросах соответствия достигнутых и желаемых результатов, необходимо до начала проекта четко описать цели.

13. Методы оценки инвестиций в ИТ.

Метод чистого приведенного дохода.

Исходя из сравнительного анализа первоначальных вложений, ожидаемого размера входящих денежных потоков и внутренней стоимости собственного либо привлеченного капитала, метод NPV устанавливает само наличие прибыльности данных вложений. При получении результата определяется положительный (больше 0) или отрицательный (меньше 0) NPV результат «проекта».

Внутренняя норма доходности

Метод внутренней нормы доходности определяет ее процентную ставку, затем осуществляется сравнение полученной ставки со ставкой окупаемости, уже учитывающей риски проекта. Если рассчитанная окупаемость превышает аналогичный показатель с учетом рисков, то инвестиции можно считать обоснованными. Если нет, проект подлежит отклонению.

Недостатки данного метода - расчетная сложность.

Срок возврата инвестиций

В рамках данного метода производится расчет срока, в течение которого должны окупиться первоначальные инвестиции.

Минусами данного способа является то, что метод не учитывает будущей стоимости денег и может дать неверное представление об истинном эффекте инвестиций.

14. Общая стоимость владения информационными технологиями. Определение ТСО и ее роль в оценке и управлении ИТ.

Концепция общей стоимости ИТ была выдвинута компанией Gartner Group в конце 80х г. Метод ТСО является ключевым показателем ИТ и ИС в компании, тк позволяет оценить совокупные затраты на ИТ, анализировать их и, соответственно, управлять ИТ затратами для достижения наилучшей отдачи. Оценка общей стоимости владения является одним из важнейших критериев при рассмотрении будущих проектов, тк определяет их экономическую обоснованность. Данный метод помимо выявления избыточных статей расходов позволяет определить возможность возврата вложенных в ИТ средств. При этом определение эффективности состоит в сравнении показателя ТСО своего предприятия с аналогичными показателями др компаний того же профиля в пересчете например на одного пользователя системы.

Зачастую достаточно трудно определить прямой экономический эффект от ИТ, поэтому при обосновании проекта информатизации ИТ-менеджер может использовать показатель ТСО для доказательства обоснованности проекта информатизации, показывая высшему руководству, что показатель ТСО предприятия не хуже, чем в среднем по отрасли.

15. Общая стоимость владения информационными технологиями (ИТ). Архитектура ТСО и методология расчета.

В основу модели ТСО положены две категории затрат:

1) прямые (бюджетные)

2) косвенные.

Прямые расходы присущи следующим категориям подразделений:

1. центральный ИТ отдел компании, ответственный за поддержку и развитие корпоративной ИС, корпоративной сети и т.д. (верхний корпоративный уровень)

2. группы по поддержке и развитию ИТ, имеющиеся внутри производственных и административных подразделений в компании (местный уровень)

3. отдельные группы специалистов, обеспечивающие специализированные виды услуг, такие как телефонная связь, передача данных и т.д.

Прямые расходы включают в себя:

1) капитальные затраты - затраты на ПО

2) расходы на управление ИТ

3) расходы на техническую поддержку ПО

4) расходы на разработку прикладного ПО внутренними силами

5) расходы на аутсорсинг

6) командировочные расходы

7) расходы на услуги связи и др. виды расходов.

По этим группам прямых расходов определяются элементы, учитываемые при оценке показателя ТСО. Так например при определении капитальных затрат на оборудование, расходы должны включать в себя:

1. расходы на приобретение нового оборудования и его замену

2. средства, вырученные от продажи или передачи старого оборудования третьим лицам

3. амортизация оборудования

4. затраты на сетевое оборудование и соединение

5. затраты на приобретение периферийных устройств

6. расходы на приобретение дополнительного ПО и т.д.

Расходы на оборудование являются наиболее простой группой по расчету показателя ТСО, аналогично рассматриваются другие группы прямых расходов. Всего для оценки показателя ТСО целесообразно рассматривать не менее 10 групп критериев. Каждая группа прямых расходов характеризуется собственной спецификой расчетов.

Наиболее трудоемкими для оценки являются расходы на управление.

Выделяют 2 группы источников возникновения косвенных расходов. Природа первой группы кроется в том, что если ИС спроектирована плохо, то это вызывает расходование времени у пользователей и даже потери в бизнесе компании. Как правило, косвенные расходы данной группы довольно трудно оценить, однако они должны учитываться как на этапе проектирования ИС, так и при организации дальнейшей её поддержки.

Природа второй группы косвенных расходов кроется в организационной стороне ИТ и состоит в том, что вследствие ненадлежащей поддержки со стороны штатных сотрудников ИТ отделов, их конечные пользователи внутри компании сами вынуждены заниматься вопросами восстановления работоспособности, самообучением, что также уменьшает производительное время работы.

Показатель ССВ ИС может быть рассчитан по следующей формуле:

ТСО = Пр + Кр1 + Кр2

Пр = ∑Прn

Показатель ТСО должен рассматриваться не только при внедрении нового проекта, но и постоянно отслеживаться в дальнейшем.

16. Система сбалансированных показателей. Структура показателей.

Основной принцип ССП, который во многом стал причиной высокой эффективности этой технологии управления — управлять можно только тем, что можно измерить.

Иначе говоря, цели можно достигнуть только в том случае, если существуют поддающиеся числовому измерению показатели, говорящие управленцу, что именно нужно делать и правильно ли с точки зрения достижения цели он делает то, что делает.

ССП делает акцент на нефинансовых показателях эффективности, давая возможность оценить такие, казалось бы, с трудом поддающиеся измерению, аспекты деятельности как степень лояльности клиентов, или инновационный потенциал компании.

Авторы ССП предложили четыре направления оценки эффективности, отвечающие на самые значимые для успешной деятельности компании вопросы:

Финансы (каково представление о компании у акционеров и инвесторов?);
Клиенты (какой компанию видят покупатели её продуктов?);
Бизнес-процессы (какие бизнес-процессы требуют оптимизации, на каких организациях стоит сосредоточиться, от каких отказаться?);
Обучение и рост (какие возможности существуют для роста и развития компании?).

Технологически построение ССП для отдельно взятой компании включает несколько необходимых элементов:

карту стратегических задач, логически связанных со стратегическими целями,
непосредственно карту сбалансированных показателей (количественно измеряющих эффективность бизнес-процессов, «точку достижения цели» и сроки, в которые должны быть достигнуты требуемые результаты),
целевые проекты (инвестиции, обучение и т. п.), обеспечивающие внедрение необходимых изменений.
«приборные панели» руководителей различных уровней для контроля и оценки деятельности.

Рис. 1 Структура перспектив и показателей ССП

Традиционно, перспективы ССП содержат следующие показатели.

Финансовая перспектива. Содержит финансово-экономические показатели на уровне компании или бизнес-направления, отражающие стратегические цели акционеров
Перспектива Рынок/Клиенты. Содержит показатели, характеризующие реакцию среды на способность компании удовлетворять потребности клиентов для достижения финансовых целей
Перспектива внутренних процессов. Содержит показатели, характеризующие эффективность бизнес-процессов для достижения целей в двух вышележащих областях
Перспектива Сотрудники/Инфраструктура. Содержит показатели способности обеспечивать эффективность ключевых бизнес-процессов с помощью основных нематериальных активов — компетентности и культуры персонала, управленческой и технологической инфраструктуры.

ССП, как стратегический инструмент, характеризуется тем, что все действия компании взаимоувязаны, и имеют четкие индикаторы, которые показывают, как осуществляется план, какими темпами идет достижение целей.

Принципиально это делается следующим образом.

На основе выбранной стратегии, в рамках сформированного дерева целей, берутся стратегические цели и вносятся в таблицы, отражающие данные каждого из четырех слоев (перспектив). Далее, основываясь на принятых стратегических решениях, для каждой цели определяется показатель (показатели), характеризующий степень достижения цели, и формируется перечень мероприятий, выполнение которых должно обеспечить достижение заданного показателя. Общее направление разворачивания показателей идет от перспективы к перспективе «сверху вниз».
Затем процесс меняет свое направление — проверяется сбалансированность, согласованность установленных показателей. Для этого проверяется логика причинно-следственных связей — как через достижение показателей нижних уровней (перспектив) будут достигнуты показатели верхних уровней.
За выполнение мероприятий следует установить ответственность. Показатели проецируются на подразделения оргструктуры, и в каждом подразделении за них назначается ответственное лицо.
Далее, необходимо установить, как будет организован сбор данных для показателей. Для этого, двигаясь сверху вниз по слоям, для каждого показателя устанавливается процесс обратной связи, формируются плановые критерии и коридоры отклонений.
Завершающим шагом является создание диаграммы причинно-следственных связей, которая наглядно показывает, как взаимоувязаны показатели слоев между собой.

Таким образом, ССП увязывает стратегические результаты и факторы их достижения, устанавливая и отслеживая причинно-следственные связи между ними. Большинство факторов достижения описываются через нефинансовые показатели, которые не регистрируются традиционными системами учета, а если регистрируются, то не увязываются с финансовыми результатами. Таким образом, с одной стороны, ССП расширяет пространство управленческого учета, с другой, — фокусирует учет на ограниченном наборе максимально информативных для стратегической оценки показателях.

17. Система сбалансированных показателей. Оценка эффективности деятельности.

В рамках этой методики традиционные показатели финансовых отчетов объединяются с операционными параметрами, что создает достаточно общую схему, позволяющую оценить нематериальные активы: уровень корпоративных инноваций, степень удовлетворенности сотрудников, эффективность приложений и т. д. В методе Balanced Scorecard эти параметры рассматриваются с четырех точек зрения - финансовой, удовлетворения потребностей клиентов, внутренних процессов, а также дальнейшего роста и обучения. Менеджеры должны сопоставить перспективы каждого из этих четырех направлений с общей стратегией развития бизнеса.

Оценка эффективности деятельности

Для оценки эффективности деятельности необходимо множество показателей, которые позволят измерить реальный (фактический или ожидаемый) и требуемый (желаемый или целевой) результаты.

Предлагаемая к внедрению сбалансированная система для оценки деятельности службы управления персоналом представляется результативной, поскольку все приведенные показатели эффективности конкретны, измеримы, реально достижимы, ограничены во времени.

Для внедрения на комбинате разработанной системы BSC необходимо провести ряд мероприятий, первое из которых - адаптация разработанной системы к целям деятельности каждого структурного подразделения. Она заключается прежде всего в том, чтобы предлагаемые для оценки эффективности подразделения показатели были изучены его специалистами и при необходимости дополнены другими показателями, способными более полно охватить его деятельность.

Также необходимыми мероприятиями для внедрения на комбинате разработанной системы сбалансированных показателей являются:

· закрепление ответственности за ведение отдельных блоков BSC (на комбинате она закрепляется за структурными подразделениями, однако целесообразно в каждом подразделении назначить ответственных за каждый из показателей, входящих в блок);

· разработка системы мотивации, которая подразумевает материальное поощрение сотрудников за своевременное и качественное достижение ими поставленных целей (в настоящий момент она действует на предприятии только для топ-менеджеров, однако планируется внедрить данную систему для всех сотрудников дирекции по персоналу).

При необходимости получения интегрального (общего) показателя эффективности службы по управлению персоналом, используется формула: Эф_.общ.= (Эф_.опрп + Эф_.опиап + Эф_.ооп +Эф_.оотиз +Эф_.осикк +Эф_.упц)/число входящих в службу персонала самостоятельных структурных подразделений.

В вышеприведенной формуле знаменатель будет меняться для каждого конкретного случая в зависимости от количества структурных подразделений, входящих в службу, оценка эффективности деятельности которой определяется. Например, в дирекции по персоналу ОАО "ЗСМК" шесть самостоятельных структурных подразделений.

Эф_.опрп, Эф_.опиап, Эф_.ооп Эф_.оотиз, Эф_.осикк, Эф_.упц - это эффективность каждого структурного подразделения, входящего в службу по управлению персоналом, рассчитываемая по следующей формуле: , где
j - каждый из рассматриваемых показателей эффективности;
kj - весовое значение j-го показателя эффективности;
Xj - количественная оценка j-го показателяэффективности;
n - количество показателей эффективности;
q - количество градаций единой шкалы (см. табл. 2).

18. Система сбалансированных показателей. Расчет интегрального показателя

ССП вкл в себя как финансовые показатели оценки результатов деятельности, так и нефинансовые, оценивающие удовлетворительность показателей, эффективность внутренних бизнес-процессов, потенциал сотрудников в целях обеспечения финансового успеха компании.

Данный метод переводит миссию и общую стратегию компании в систему четко поставленных целей и задач, определяющих степень достижения данных установок в рамках 4 взаимно интегрированных проекций: финансов, маркетинга, внутренних бизнес-процессов и обучения и роста.

ССП предоставляет высшему руководству компании новый инструмент управления, переводящий стратегию компании в набор взаимосвязанных сбалансированных показателей, оценивающих критические факторы не только текущего, но и будущего развития.

Построение стратегически сфокусированной организации предусматривает реализацию пяти основных принципов:

1. трансформирование стратегии на оперативный уровень,

2. построение организации в соответствии со стратегией.

3. реализация стратегии развития компании становится каждодневной работой всего персонала компании,

4. разработка и реализация стратегии является непрерывным процессом

5. изменения реализуются через сильные лидерства.

Т.о. задача повышения эффективности функционирования предприятия состоит не только в формировании стратегии развития, но и в обеспечении её реализации в режиме on-line.

Первый уровень ССП - проекция финансов. На данном этапе определяются стратегические цели в финансовых показателях. Подобный подход создает основу для дальнейшего планирования. Выбор стратегии на данном этапе определяет модель построения организации, направление инвестиционных решений, соотношение показателей прибыли и риска на вложенный капитал, а также учитывает временной характер.

Второй уровень - проекция маркетинга. Стратегический маркетинг - это предложение ценности для клиента. Успешная реализация стратегии определяется точной настройкой предлагаемых продуктов и услуг на потребности потребителей. Основной задачей этого уровня является обеспечение индивидуального подхода к каждому потребителю.

Третий уровень - проекция внутренних бизнес-процессов. На данном уровне проводится настройка и внутренних бизнес-процессов. Целью настройки является max обеспечение сочетания интересов собственников и потребителей. Т.е. бизнес-процессы компании должны выстраиваться т.о, чтобы обеспечить максимальную удовлетворенность клиентов при минимально возможных издержках.

Главным достоинством ССП как инструмента управления является возможность проектирования и отслеживания причинно-следственных связей как по вертикали, т.е. через все 4 уровня, так и по горизонтали, т.е. связь потоков, работ через параметры входов и выходов.

Четвертый уровень - проекция обучения и роста. Уровень обучения и инноваций во многом является ключевым для построения и эффективного использования ССП. Базовая логика может быть сформулирована следующим образом: если у вас имеется нужный персонал (уровень обучения и развития), делающий правильные вещи (уровень внутренних процессов), тогда клиент будет удовлетворен (уровень перспектив), и компания достигнет стратегических финансовых целей (уровень финансовых перспектив).

На данном уровне акцентируется внимание на производительности персонала, его удовлетворенности и удержании.

Попытки прямого проецирования западной методики на российские компании не дали желаемого результата. При этом все условия для исполнения ССП были созданы, т.е. было обеспечено знание стратегии сотрудниками компании, обеспечен требуемый уровень квалификации сотрудников и т.д. Но при этом отсутствовало самое главное: жесткая логическая связка показателей предыдущих уровней с показателями обучения и роста. Решение данной проблемы состояло в закреплении параметров выхода бизнес-процессов за конкретными ответственными лицами.

Суть предлагаемого подхода очевидна. Во-первых, определяются хозяева бизнес-процессов, а во-вторых, задаются параметры, спроецированные исходя из стратегических целей. Типичная ошибка российских предпринимателей состояла в том, что они не разобравшись со стратегическими целями компаниями, пытаются решать задачи управления компанией.

Результаты внедрения.

Внедрение ССП дает возможность:

1. получения стабильной прибыли и экономической добавленной стоимости;

2. повышение капитализации компании,

3. завоевание компанией целевых рынков.

4. достижение лояльности клиентов, способность компании обеспечить их удержание,

5. обеспечение прогрессивности технологий и отлаженности бизнес-процессов,

6. приобретение опережающих конкурентных преимуществ,

7. создание мощного и высоко квалифицированного кадрового состава,

8. достижение факторов, оказывающих воздействие на рост стоимости компан,

9. гибкое реагирование компании на внешние и внутренние возмущения,

10. система переводит миссию и общую стратегию компании в систему четко поставленных целей и задач,

11. система ССП измеряет то, что не поддается учету финансовыми показателями.

Система обеспечивает:

1) органичное сочетание интересов потребит, кредиторов, партнеров,

2) максимальное обеспечение интересов собственников и потребителей.

ССП становится единым стержнем, объединяющим жизненно важные операции компании.

19. Достижение положительный экономический результат ИТ-проекта.

Основная идея проста: нужно ставить цели, соответствующие стратегии предприятия, и ответственность за их достижение возлагать на тех людей, которые реально обладают должными полномочиями. При этом не стоит пытаться разделить вклад информационных технологий и внесенных организационных изменений — оценивать нужно интегральный результат.

Постановка целей

Улучшение функционирования бизнеса можно представить как определенные изменения этих показателей. Поэтому в идеале нужно:

· зафиксировать данные по ключевым показателям;

· представлять их взаимосвязь;

· ранжировать их по значимости;

· поставить целью достижение определенных значений приоритетных показателей;

· обозначить способы достижения этих целей.

ПРИМЕР:

Приведем простейший пример. Допустим, вы — руководитель оптовой торговой компании, которая могла бы продавать гораздо больше, но узким местом является скорость приема заказов. Операторы отдела продаж физически не успевают принимать заказы от клиентов: не хватает людей, телефонных линий, скорость ввода заказов низкая, каждый заказ долго обсуждается, потом по нескольку раз исправляется...
Решений множество — от найма дополнительных сотрудников до перехода на Интернет-технологии, которые позволяют клиентам самим создавать и редактировать заказы. Допустим, вы остановились на создании Интернет-портала, как более перспективном решении, которое к тому же позволяет вам работать с клиентами, находящимися в других часовых поясах.
Для обозначения цели можно выбрать такие показатели, как процент заказов, сделанных через Интернет-портал, и общее их количество и объем. Значительная доля Интернет-заказов будет означать, что инструмент соответствует ожиданиям клиентов, а увеличившееся общее количество — что гипотеза об узком месте была правильной. Если же показатель не увеличился, значит, операторы ввода заказов просто стали работать меньше, а ограничением является не их производительность, а другие факторы.

Корректная оценка результатов проекта

При оценке будущего проекта возникает задача прогнозирования расходов и доходов. Множество причин делает эту задачу очень сложной. Здесь и значительная неопределенность, и большая доля косвенных расходов, быстрое изменение бизнеса, и сильное влияние посторонних факторов.

Однако это не означает, что считать не нужно. Главное — понять, как уменьшить погрешности и не делать ошибок там, где их можно избежать.
Для этого важно как минимум:

· считать не только первоначальные вложения, но и расходы в последующие периоды;

· учитывать возможности реального снижения расходов и роста доходов;

· принимать во внимание стратегические выгоды.

Из чего же главным образом состоят начальные расходы?

· покупка нового оборудования и лицензий на программное обеспечение;

· привлечение консультантов и субподрядчиков на установку, адаптацию оборудования и ПО, а также для обучения сотрудников;

· возможные потери, которые могут возникнуть при переходе со старой системы на новую. Редко этот процесс проходит гладко, и результатом могут быть прямые материальные потери, временное уменьшение прибыли, недовольство клиентов и т. д. Важно сознавать эти риски, стремиться к их минимизации, но исключить их полностью нельзя;

· временные затраты менеджеров и сотрудников предприятия на работу в ходе проекта, включая организационные собрания, обучение, оптимизацию бизнес-процессов.

При серьезном отношении к проекту и грамотном управлении им участие сотрудников нужно планировать, соответствующим образом компенсируя и учитывая связанные с этим риски.
Однако нужно предусмотреть и эксплуатационные расходы, которые вы будете нести после запуска системы. Это:

· стоимость ремонта, апгрейда и замены оборудования в ходе эксплуатации;

· оплата услуг связистов и Интернет-провайдеров;

· поддержка пользователей силами внутренней службы и поставщиков решения;

· временные затраты персонала на обучение, самообучение и взаимопомощь, связанные с эксплуатацией нового ПО;

· стоимость доработки самого решения. Если в ходе проекта не все задачи были решены или появились новые, что происходит повсеместно, то затраты на доработку и изменения могут быть весьма значительными. Иными словами, проект как бы продолжается, несмотря на начавшуюся промышленную эксплуатацию и победный рапорт о запуске.

Есть ряд общих рекомендаций, которые позволяют сократить эксплуатационные расходы . Все они проверены на успешных проектах, в том числе на опыте самой компании Oracle, которая сумела фантастически снизить свои расходы, неукоснительно следуя определенным принципам, среди которых:

· централизация управления и принятия решений;

· упрощение и стандартизация бизнес- операций. Приведение, насколько это удается, бизнес-операций к возможностям выбранного ПО и отказ от его модификаций;

· унификация оборудования и аппаратно-программных средств. Использование аппаратно-независимого ПО, соответствующего промышленным стандартам;

· активнейшее участие во внедрении сотрудников предприятия.

Ответственность за результат

Менеджеры предприятия, в том числе высшие, должны принимать активное участие в проекте — определять цели, ставить задачи, контролировать ход работы, обеспечивать необходимые организационные меры. Чаще всего этого участия катастрофически не хватает.

Назовем несколько принципов, которых следует придерживаться при работе:

Следует:

· понимать, что в ходе проекта может возникнуть сопротивление, и с теми, кто его оказывает, работать персонально;

· не воспринимать это сопротивление по умолчанию так, как будто те, от кого оно исходит, не правы. Подходить к проблеме конструктивно;

· информировать всех заинтересованных лиц, формировать у них видение, что должно получиться в результате всех преобразований;

· готовить и обучать всех сотрудников, у которых будут новые обязанности;

· делать акцент на долгосрочные перспективы, особенно если сотрудники чувствуют увеличение нагрузки на этапе нововведений;

· работать с клиентами компании, объясняя, зачем производятся изменения, и делая акцент на то, что качество их обслуживания как минимум не ухудшится, а в перспективе — обязательно улучшится;

· тщательно планировать период перехода со старой системы на новую. Уделять внимание тому, чтобы неудобства перехода были сведены к минимуму;

· готовиться к тому, что полномочия и ответственность сотрудников будут изменяться, иногда значительно. Предупреждать об этом заранее и неоднократно. Определить новые роли и людей, которые их будут выполнять. Готовить этих людей к выполнению новых ролей;

· если происходит централизация ответственности за принятие решения, использовать различные виды компенсации тем людям и отделам, у которых забираются властные полномочия;

· при изменении корпоративной культуры понимать, что на это требуется значительное время. Не строить нереальных планов;

· рассчитывать на то, что в процессе перехода могут быть трудности и ошибки. Планировать действия по быстрому реагированию.

20. Архитектура информационной системы, оценка рисков и совокупная стоимость владения. Понятие архитектуры и инфраструктуры ИС

Два основных класса определений архитектур - определения «конструктивные» и «идеологические».

Идеологические определение архитектуры ИС:

1. «Архитектура ИС — это набор решений, наиболее существенным образом влияющих на совокупную стоимость владения системой».

2. «Архитектура ИС — это набор ключевых решений, неизменных при изменении бизнес-технологии в рамках бизнес-видения».

Т.е. если ключевое решение приходится изменять при изменении бизнес-технологии в рамках бизнес-видения, то резко возрастает стоимость владения системой.

Следовательно, важно принять архитектуру системы как стандарта предприятия, ввиду значимости архитектурных решений и их устойчивости по отношению к изменениям бизнес-технологии. А также, архитектура системы должна строиться еще на стадии технико-экономического обоснования системы.

Конструктивно архитектура определяется как набор ответов на следующие вопросы:

— что делает система;

— на какие части она разделяется;

— как эти части взаимодействуют;

— где эти части размещены.

Т.о, архитектура ИС является логической моделью, и влияет на совокупную стоимость владения через набор связанных с ней решений по выбору средств реализации, СУБД, платформы - то то, что мы называем инфраструктурой ИС.

Инфраструктура включает решения не только по ПО, но и по аппаратному комплексу и организационному обеспечению.

21. Архитектура информационной системы, оценка рисков и совокупная стоимость владения. Требования к методикам выбора архитектуры ИС.

Число проектов, в которых архитектура системы выбирается сознательно, относительно невелико (в отличие от архитектуры ПО, которая является только частью архитектуры системы). Естественно, архитектура будет в любом случае, другое дело, что она может не конструироваться и не выбираться сознательно.

Более того, несмотря на то, что большинство методик разработки подчеркивают важность архитектуры, ни одна не дает внятной методики ее выбора. Причины такого положения в том, что фирменные методики навязывают с разной степенью настойчивости, фирменную же архитектуру и инфраструктуру (Oracle CDM и MSF). А также, традиционные методики:

а) не позволяют оценить качество разработанной архитектуры;

б) ориентированы на архитектуру программной системы и не учитывают того факта, что система состоит не только из программных, но также и из технических средств и людей;

в) разделяют процессы технико-экономического обоснования системы, разработки бизнес-процессов и разработки архитектуры системы;

г) не учитывают бизнес-цели и цели использования системы.

В результате были сформулированы следующие требования к методике выбора архитектуры. Методика должна:

·отражать связь архитектуры и совокупной стоимости владения;

·связывать разработку архитектуры, бизнес-анализ и технико-экономическое обоснование в едином процессе;

·отражать итерационную природу разработки ИС;

·иметь своей целью выбор архитектуры системы в целом, а не только ее программной составляющей.

22. Архитектура информационной системы, оценка рисков и совокупная стоимость владения. Совокупная стоимость владения системой и риски.

Основным критерием выбора архитектуры и инфраструктуры ИС является минимизация ССВ системой.

Выделим несколько наиболее значимых и принципиально различных типов рисков:

· проектные риски при создании системы;

· технические риски, состоящие в простоях, отказах, потере данных и т. п.;

· риски бизнес-потерь (бизнес-риски), связанные с эксплуатацией системы (возникающие, в конечном счете, из-за технических рисков). Например, для интернет-магазина бизнес-риски «Покупатель не может сделать заказ и уходит» и «Покупатель делает заказ, но уходит рассерженный функционированием системы».

· риски бизнес-потерь, связанные с вариативностью бизнес-процессов. При этом потери происходят оттого, что:

а) бизнес-процессы надо изменять, а ИС не готова к этому, и потери связаны с неоптимальным функционированием бизнеса;

б) приходится платить за модификацию системы.

Такие риски бизнес-потерь назовем неопределенностями.

Затраты на создание и эксплуатацию системы с некоторой точностью оцениваются достаточно стандартно. Динамические же бизнес-риски количественно учесть невозможно, и их следует оценивать исключительно качественно (на уровне понимания, насколько бизнес-процессы в организации являются определенными/застывшими/неустоявшимися). Наиболее интересная часть совокупной стоимости владения системой — статические бизнес-риски и риски разработки.

23. Технологии анализа рисков. Определения и постановки задач

На этапе анализа рисков определяется возможность понести убытки из-за нарушения режима информационной безопасности организации, детализируются характеристики (или составляющие) рисков для информационных ресурсов и технологий. Результаты анализа используются при выборе средств защиты, оценке эффективности существующих и проектируемых подсистем информационной безопасности.

Под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.

Концепции анализа рисков, управления рисками на всех стадиях жизненного цикла информационной технологии, были предложены многими крупными организациями, занимающимися проблемами информационной безопасности.

Отечественные аналитики начали использовать различные методики на практике. Несколькими российскими организациями было разработаны собственные методики анализа и управления рисками, разработано собственное ПО которое, наряду с зарубежным, имеется на отечественном рынке.

Постановка задачи обеспечения информационной безопасности может варьироваться в широких пределах. Соответственно, варьируются и постановки задач анализа рисков.

Основным фактором, определяющим отношение организации к вопросам информационной безопасности, является степень ее зрелости.

Уровень зрелости организации	Характеристика организации

Проблема обеспечения режима информационной безопасности будет ставиться (хотя бы в неявном виде) и решаться для организаций, находящихся на разных уровнях развития, по-разному.

На первом уровне она, как правило, руководством формально не ставится. Но это не значит, что она не решается сотрудниками по собственной инициативе, и возможно эффективно.

В качестве положительного примера можно привести один случай, имевший место в действительности. Сравнительно небольшая организация (порядка 80 компьютеров, 3 файл-сервера) занимающаяся рекламным бизнесом, в результате пожара в арендуемом ей здании, потеряла всю вычислительную технику и данные.

Однако уже через неделю она полностью смогла восстановить свою работу. Некоторые сотрудники по своей инициативе делали копии наиболее важной информации на CD, что-то хранилось на домашних компьютерах сотрудников, что-то отправлялось по электронной почте различным адресатам, и было затребовано обратно. В результате большая часть наиболее ценных информационных ресурсов была быстро восстановлена (а техника быстро закуплена), что позволило фирме успешно продолжить работу.

При этом вопросы информационной безопасности руководством никогда не ставились и, по-видимому, ставиться не будут.

Наряду со случаями, когда все окончилось благополучно, можно привести и много иных примеров, когда пренебрежение вопросами информационной безопасности имело чрезвычайно серьезные последствия.

Тем не менее, с точки зрения руководства организации, находящейся на первом уровне зрелости, задачи обеспечения режима информационной безопасности, как правило, неактуальны. Несмотря на это, организации могут быть вполне жизнеспособными.

На втором уровне проблема обеспечения информационной безопасности, решается неформально, на основе постепенно сложившейся практики. Комплекс мер (организационных и программно-технических) позволяет защититься от наиболее вероятных угроз, как потенциально возможных, так и имевших место ранее. Вопрос относительно эффективности защиты не ставится. Таким образом, постепенно складывается неформальный список актуальных для организации классов рисков, который постепенно пополняется.

Если серьезных инцидентов не происходило, руководство организации, как правило, считает вопросы информационной безопасности не приоритетными.

В случае серьезного инцидента сложившаяся система обеспечения безопасности корректируется, а проблема поиска других возможных брешей в защите, может быть осознана руководством.

Один из вариантов определения риска в этом случае:

ситуация, когда известны уязвимости, потенциальные нарушители и их мотивация (модель нарушителя), сценарии развития событий, связанные с выявленными уязвимостями [IATF].

Для данного уровня зрелости организации типичными являются локальные (не связанные с другими этапами жизненного цикла технологии) постановки задачи анализа рисков, когда считается достаточным перечислить актуальные для данной информационной системы классы рисков и возможно описать модель нарушителя, а задача анализа вариантов контрмер, их эффективность, управление рисками, как правило, не считается актуальной.

На третьем уровне в организации считается целесообразным следовать в той или иной мере (возможно частично) стандартам и рекомендациям, обеспечивающим базовый уровень информационной безопасности (например, ISO 17799), вопросам документирования уделяется должное внимание.

Задача анализа рисков считается руководством актуальной. Анализ рисков рассматривается как один из элементов технологии управления режимом информационной безопасности на всех стадиях жизненного цикла. Понятие риска включает несколько аспектов: вероятность, угроза, уязвимость, иногда стоимость.

Один из вариантов определения риска (определенного класса) в этом случае:

вероятность возникновения инцидента в результате того, что имеющаяся уязвимость (определенного класса) будет способствовать реализации угрозы (определенного класса).

Технология управления режимом информационной безопасности в полном варианте включает следующие элементы:

Документирование информационной системы организации с позиции информационной безопасности.
Категорирование информационных ресурсов с позиции руководства организации.
Определение возможного воздействия различного рода происшествий в области безопасности на информационную технологию.
Анализ рисков.
Технология управление рисками на всех этапах жизненного цикла.
Аудит в области информационной безопасности.

На данном уровне зрелости организации анализ рисков связан с другими компонентами технологии управления режим информационной безопасности, подробнее эти вопросы рассматриваются в разделе «Современные концепции управления рисками».

На четвертом уровне для руководства организации актуальны вопросы измерения параметров, характеризующих режим информационной безопасности.

На этом уровне руководство осознанно принимает на себя ответственность за выбор определенных величин остаточных рисков (которые остаются всегда). Риски, как правило, оцениваются по нескольким критериям (не только стоимостным).

Технология управления режимом информационной безопасности остается прежней, но на этапе анализа рисков применяются количественные методы, позволяющие оценить параметры остаточных рисков, эффективность различных вариантов контрмер при управлении рисками.

На пятом уровне ставятся и решаются различные варианты оптимизационных задач в области обеспечения режима информационной безопасности. Примеры постановок задач:

Выбрать вариант подсистемы информационной безопасности, оптимизированной по критерию стоимость/эффективность при заданном уровне остаточных рисков.
Выбрать вариант подсистемы информационной безопасности, при котором минимизируются остаточные риски при фиксированной стоимости подсистемы безопасности.
Выбрать архитектуру подсистемы информационной безопасности с минимальной стоимостью владения на протяжении жизненного цикла при определенном уровне остаточных рисков.

24. Технологии анализа рисков. Трехфакторная оценка рисков.

Оценка рисков по трем факторам

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. Угрозу и уязвимость определим следующим образом:

Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:

Р происшествия = Р угрозы * Р уязвимости

Соответственно, риск определяется следующим образом:

РИСК = P угрозы * Р уязвимости * ЦЕНА ПОТЕРИ

Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал – качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.

Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:

1 — риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.

2 — риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.

......

8 — риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.

Матрица может быть определена следующим образом:

Таблица 2. Определение риска в зависимости от трех факторов

Степень серьезности происшествия (цена потери)	Уровень угрозы
	Низкий			Средний			Высокий
	Уровни уязвимостей			Уровни уязвимостей			Уровни уязвимостей
	Н	С	В	Н	С	В	Н	С	В
Negligible	0	1	2	1	2	3	2	3	4
Minor	1	2	3	2	3	4	3	4	5
Moderate	2	3	4	3	4	5	4	5	6
Serious	3	4	5	4	5	6	5	6	7
Critical	4	5	6	5	6	7	6	7	8

В данной таблице уровни уязвимости Н, С, В означают соответственно: низкий, средний высокий уровень. Некоторые другие варианты таблиц рассмотрены ниже, в 3.2.3 .

Подобные таблицы используются как в «бумажных» вариантах методик оценки рисков, так и в различного рода инструментальных средствах – ПО анализа рисков.

В последнем случае матрица задается разработчиками ПО и, как правило, не подлежит корректировке. Это один из факторов, ограничивающих точность подобного рода инструментария.

25. Технологии анализа рисков. Технология оценки угроз и уязвимостей

Как правило, для оценки угроз и уязвимостей используются различные методы, в основе которых могут лежать:

Экспертные оценки.
Статистические данные.

Учет факторов, влияющих на уровни угроз и уязвимостей

Один из возможных подходов к разработке подобных методик – накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.

Практические сложности в реализации этого подхода следующие:

Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.

Во-вторых, применение этого подхода оправдано далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если система сравнительно невелика, использует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз и уязвимостей могут оказаться недостоверными.

Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.

Рассмотрим пример реализации подобного подхода, используемого в методе CRAMM для одного из классов рисков:

Использование чужого идентификатора сотрудниками организации ("маскарад")

Для оценки угроз выбраны следующие косвенные факторы:

Статистика по зарегистрированным инцидентам.
Тенденции в статистке по подобным нарушениям.
Наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей.
Моральные качества персонала.
Возможность извлечь выгоду из изменения обрабатываемой в системе информации.
Наличие альтернативных способов доступа к информации.
Статистика по подобным нарушениям в других информационных системах организации.

Для оценки уязвимостей выбраны следующие косвенные факторы:

Количество рабочих мест (пользователей) в системе.
Размер рабочих групп.
Осведомленность руководства о действиях сотрудников (разные аспекты).
Характер используемого на рабочих местах оборудования и ПО.
Полномочия пользователей.
По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые «стоят» определенное количество баллов.

Итоговая оценка угрозы и уязвимости данного класса определяется путем суммирования баллов.

Оценка угрозы

Сколько раз за последние 3 года сотрудники организации пытались получить несанкционированный доступ к хранящейся в информационной системе информации с использованием прав других пользователей?

a Ни разу 0

b Один или два раза 10

c В среднем раз в год 20

d В среднем чаще одного раза в год 30

e Неизвестно 10

Какова тенденция в статистике такого рода попыток несанкционированного проникновения в информационную систему?

a К возрастанию 10

b Оставаться постоянной 0

c К снижению -10

Хранится ли в информационной системе информация (например, личные дела), которая может представлять интерес для сотрудников организации и побуждать их к попыткам несанкционированного доступа к ней?

a Да 5

b Нет 0

Известны ли случаи нападения, угроз, шантажа, давления на сотрудников со стороны посторонних лиц?

a Да 10

b Нет 0

Существуют ли среди персонала группы лиц или отдельные лица с недостаточно высокими моральными качествами?

a Нет, все сотрудники отличаются высокой честностью и порядочностью 0

b Существуют группы лиц и отдельные личности с недостаточно высокими моральными качествами, но это вряд ли может спровоцировать их на несанкционированное использование системы 5

c Существуют группы лиц и отдельные личности с настолько низкими моральными качествами, что это повышает вероятность несанкционированного использования системы сотрудниками 10

Хранится ли в информационной системе информация, несанкционированное изменение которой может принести прямую выгоду сотрудникам?

a Да 5

b Нет 0

Предусмотрена ли в информационной системе поддержка пользователей, обладающих техническими возможностями совершить подобные действия?

a Нет 0

b Да 5

Существуют ли другие способы просмотра информации, позволяющие злоумышленнику добраться до нее более простыми методами, чем с использованием "маскарада"?

a Да -10

b Нет 0

Существуют ли другие способы несанкционированного изменения информации, позволяющие злоумышленнику достичь желаемого результата более простыми методами, чем с использованием "маскарада"?

a Да -10

b Нет 0

Сколько раз за последние 3 года сотрудники пытались получить несанкционированный доступ к информации, хранящейся в других подобных системах в вашей организации?

a Ни разу 0

b Один или два раза 5

c В среднем раз в год 10

d В среднем чаще одного раза в год 15

e Неизвестно 10

Степень угрозы при количестве баллов:

До 9 Очень низкая

От 10 до 19 Низкая

От 20 до 29 Средняя

От 30 до 39 Высокая

40 и более Очень высокая

Оценка уязвимости

Сколько людей имеют право пользоваться информационной системой?

a От 1 до 10 0

b От 11 до 50 4

c От 51 до 200 10

d От 200 до 1000 14

e Свыше 1000 20

Будет ли руководство осведомлено о том, что люди, работающие под их началом, ведут себя необычным образом?

a Да 0

b Нет 10

Какие устройства и программы доступны пользователям?

a Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных -5

b Только стандартное офисные устройства и программы и управляемые с помощью меню подчиненные прикладные программы 0

c Пользователи могут получить доступ к операционной системе, но не к компиляторам 5

d Пользователи могут получить доступ к компиляторам 10

Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе?

a Да 10

b Нет 0

Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе?

a Менее 10 человек 0

b От 11 до 20 человек 5

c Свыше 20 человек 10

Станет ли факт изменения хранящихся в информационной системе (данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)?

a Да 0

b Нет 10

Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных?

a Официальное право предоставлено всем пользователям -2

b Официальное право предоставлено только некоторым пользователям 0

Насколько необходимо пользователям знать всю информацию, хранящуюся в системе?

a Всем пользователям необходимо знать всю информацию -4

b Отдельным пользователям необходимо знать лишь относящуюся

к ним информацию 0

Степень уязвимости при количестве баллов:

До 9 Низкая

От 10 до 19 Средняя

20 и более Высокая

Возможности и ограничения данного подхода

Несомненным достоинством данного подхода является возможность учета множества косвенных факторов (не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки.

Недостатки: Косвенные факторы и их веса зависят от сферы деятельности организации, а также от ряда иных обстоятельств. Таким образом, методика всегда требует подстройки под конкретный объект. При этом доказательство полноты выбранных косвенных факторов и правильности их весовых коэффициентов (задача малоформализованная и сложная) на практике решается экспертными методами (проверка соответствия полученных по методике результатов ожидаемым для тестовых ситуаций).

Подобные методики, как правило, разрабатываются для организаций определенного профиля (ведомств), апробируются и затем используются в качестве ведомственного стандарта. По такому пути пошли и разработчики CRAMM, создав около десятка версий метода для разных ведомств (министерство иностранных дел, вооруженные силы, и т.д.).

Оценки рисков и уязвимостей в рассмотренном примере являются качественными величинами. Однако подобными методами могут быть получены и количественные оценки, необходимые при расчете остаточных рисков, решении оптимизационных задач. Для этого применяется ряд методов, позволяющих установить на упорядоченном множестве оценок систему расстояний, обзор приводится в приложении 6.

Получение объективных количественных оценок рисков должно быть актуально для страховых агентств, занимающимся страхованием информационных рисков.

На практике, страховые агентства пользуются в большинстве случаев качественными оценками. Простые методики, без длительного и дорогостоящего обследования, позволяют отнести информационную систему к той или иной группе риска (по классификации страховой компании) на основе интервью с рядом должностных лиц. В таких методиках также фиксируются и анализируются косвенные факторы.

26. Технологии анализа рисков. Выбор допустимого уровня риска

Выбор допустимого уровня риска связан с затратами на реализацию подсистемы информационной безопасности. Как минимум существует два подхода к выбору допустимого уровня рисков.

Первый подход типичен для базового уровня безопасности. Уровень остаточных рисков не принимается во внимание. Затраты на программно-технические средства защиты и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня (антивирусное ПО, МЭ, системы резервного копирования, системы контроля доступа) являются обязательными, их целесообразность не обсуждается.

Дополнительные затраты (если такой вопрос будет поставлен по результатам проведения аудита ИБ, либо по инициативе службы безопасности) должны находиться в разумных пределах и не превышать 5-15% средств, которые тратятся на поддержание работы информационной системы.

Второй подход применяется при обеспечении повышенного уровня безопасности. Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор.

В зависимости от уровня зрелости организации, характера основной деятельности, обоснование выбора допустимого уровня риска может проводиться разными способами.

Наиболее распространенным является анализ стоимость/эффективность

различных вариантов защиты, примеры постановок задач:

Стоимость подсистемы безопасности должна составлять не более 20% от стоимости информационной системы. Найти вариант контрмер, максимально снижающих уровень интегральный рисков.

Уровень рисков по всем классам должен не превышать «очень низкий уровень». Найти вариант контрмер с минимальной стоимостью.

В случае постановок оптимизационных задач важно правильно выбрать комплекс контрмер (перечислить возможные варианты) и оценить его эффективность.

27. Технологии анализа рисков. Выбор контр мер и оценка их эффективности

Система защиты строится комплексно, включает контрмеры разных уровней (административные, организационные, программно-технические). Для облегчения выбора комплекса контрмер в различных методиках используются таблицы, в которых классам угроз ставятся в соответствие возможные контрмеры. Ниже приводится пример классификатора контрмер, CRAMM 4:

Угроза: Использование идентификатора пользователя другим сотрудником компании

Классы контрмер:

Идентификация и аутентификация

Идентификаторы пользователей

Идентификаторы рабочих станций

Длинна пароля

Хранение пароля

Генерация паролей

Идентификация пользователей токенами и биометрическими характеристиками

Частота смены паролей

Процедура распределения паролей

Процедура отключения (выхода из системы)

Управление логическим доступом

Дискреционное управление доступом

Идентификаторы на носителях данных

Мандатное управление данными

Тайм-ауты на рабочих станциях

Ограничение времени соединения

Криптографическая защита данных на носителе

Подотчетность использования ресурсов

Управление привилегиями

Управление правами пользователей

Политика управления доступом

Ограничения на доступ к информации

Безопасность файлов приложений

Защита файлов, используемых при аудите

Ведение учета

Хранение информации о событиях в специальных Log-файлах

Синхронизация часов

Надежные средства управления

Обеспечение сохранности Log-файлов

Обеспечение достаточного размера Log-файлов, исключающая их переполнение

Аудит

Инструментарий для аудита

Анализ Log-файлов событий

Расследование инцидентов

Повторное использование объектов

Безопасность процедур уничтожения объектов

Безопасность уничтожения

Тестирование системы безопасности

Критерии обеспечения безопасности

Организация тестирования

Обеспечение целостности ПО

Проверка целостности ПО

Мобильные ПК и удаленная работа

Процедуры доставки и инсталляции ПО

Получение ПО

Поставка ПО

Управление вводом/выводом на системном уровне

Идентификация устройств ввода/вывода

Вывод данных

Вывод данных и их защита

Управление доступом в сети

Управление сетью

Мониторинг сети

Устойчивость работы сети

Безопасность сетевых сервисов

Уклонение от разрушительных воздействий

Управление процедурами системного администрирования

Управление изменениями, связанными с изменениями технологий обработки

Технический обзор изменений в операционной системе

Управление доступом к процедурам изменения прав пользователей

Ограничения на изменения, вносимые в ПО

Управление вводом/выводом приложений

Проверка целостности входных данных

Вывод на дисплей маркировки категории защиты данных

Резервное копирование данных

Использование UPS

Технологии резервного копирования

Работа с персоналом

Предварительный отбор желающих устроиться на работу

Безопасность при описании работы

Соглашения о конфиденциальности

Процедуры обеспечения дисциплины

Обучение в области информационной безопасности

Политика информационной безопасности

Инфраструктура системы информационной безопасности

Формальные аспекты процедур защиты данных

Реагирование на инциденты

Документирование инцидентов

Документирование выявленных уязвимостей

Проверка внутренних инструкций персонала

Подобные классификаторы позволяют автоматически выбирать и предлагать конкретные варианты контрмер, возможных для рассматриваемой информационной системы. Владелец информационных ресурсов может отбирать из них приемлемые. Следующий шаг – оценка эффективности контрмер.

Задача оценки эффективности контрмер является не менее сложной, чем оценка рисков.

Причина в том, что оценка эффективности комплексной подсистемы безопасности, включающей контрмеры разных уровней (административные, организационные, программно-технические) в конкретной информационной системе – методологически чрезвычайно сложная задача. По этой причине обычно используется упрощенные, качественные оценки эффективности контрмер.

Таблица 3. Ориентировочная эффективность мероприятий в области защиты информации по критерию ROI (Return of Investment – возврат вложений)

Разработка и внедрение политики информационной безопасности	2
Мероприятия по работе с персоналом (наведение справок, контроль за поведением, и т.п)	3
Совершенствование организационной структуры	4
Анализ рисков	5
Управление жизненным циклом (управление рисками)	5
Совершенствование должностных инструкций и условий контрактов	5
Меры контроля за посетителями	6
Управление имуществом компании	7
Обучение персонала и контроль за соблюдением режима ИБ	9
Меры контроля за работой приложений	10

Указанные в таблице значения являются ориентировочными оценками эффективности вложений в различные классы мероприятий в области защиты информации.

В ряде случаев используются более сложные таблицы, в которых эффективность зависит от ряда факторов (аналогично примеру оценки угроз и уязвимостей в 1.5).

На основе подобных таблиц делаются качественные оценки эффективности контрмер.

Анализ информационных рисков позволяет эффективно управлять информационной безопасностью предприятия. Для этого в начале работ по анализу рисков необходимо определить, что именно подлежит защите на предприятии, воздействию каких угроз это подвержено, и выработать рекомендации по практике защиты. Давайте рассмотрим, как разработать свою собственную методику анализа и управления информационными рисками компании.

Анализ рисков производится исходя из непосредственных целей и задач по защите конкретного вида информации конфиденциального характера. Одной из важнейших задач в рамках защиты информации является обеспечение ее целостности и доступности. Часто забывается, что нарушение целостности может произойти не только вследствие преднамеренных действий, но и по ряду других причин: сбоев оборудования, ведущих к потере или искажению информации; физических воздействий, в том числе в результате стихийных бедствий; ошибок в программном обеспечении (в том числе недокументированных возможностей). Поэтому под термином “атака” будем понимать не только человеческие воздействия на информационные ресурсы, но и воздействия окружающей среды, в которой функционирует система обработки информации предприятия.

Каждый из 6 этапов анализа риска должен быть конкретизирован.

На первом и втором этапах определяются сведения, составляющие для предприятия коммерческую тайну, которые предстоит защищать.

Понятно, что такие сведения хранятся в определенных местах и на конкретных носителях, передаются по каналам связи и обрабатываются в соответствии с определенным регламентом. При этом, определяющим фактором в технологии обращения с информацией является архитектура КИС, которая во многом определяет защищенность информационных ресурсов предприятия.

В связи с этим необходимо еще раз подчеркнуть, что степень информационной безопасности определяется не только (а может быть и не столько) средствами и способами защиты, но и особенностями построения КИС. И когда говорят о КИС в защищенном исполнении, речь идет, прежде всего, о выборе такой архитектуры (топологии) системы обработки информации, расположения средств обработки конфиденциальной информации, выбора способов ее хранения и передачи, которые существенно уменьшат число возможных точек доступа к информации.

Третий этап анализа риска – построение схем каналов доступа, утечки или воздействия на информационные ресурсы основных узлов КИС. Каждый канал доступа характеризуется множеством точек, с которых можно “снять” информацию. Именно они и представляют уязвимости и требуют применения средств недопущения нежелательных воздействий на информацию.

Анализ способов защиты всех возможных точек атак соответствует целям защиты и его результатом должна быть характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоятельств (4-й этап).

На пятом этапе исходя из известных на данный момент способов и средств преодоления оборонительных рубежей определяются вероятности реализации угроз по каждой из возможных точек атак.

На заключительном этапе производится оценка ущерба организации в случае реализации каждой из атак, который вместе с оценками уязвимости позволяет получить ранжированный список угроз информационным ресурсам.

Результаты работы представляются в виде, удобном для их восприятия и выработки решений по коррекции существующей системы защиты информации. При этом каждый информационный ресурс может быть подвержен воздействию нескольких потенциальных угроз. Принципиальное же значение имеет суммарная вероятность доступа к информационным ресурсам, которая складывается из элементарных вероятностей доступа к отдельным точкам прохождения информации.

Величина информационного риска по каждому ресурсу определяется как произведение вероятности нападения на ресурс, вероятности реализации угрозы и ущерба от информационного вторжения. В этом произведении могут использоваться различные способы взвешивания составляющих.

Объединение рисков по всем ресурсам дает общую величину риска при принятой архитектуре КИС и внедренной в нее системы защиты информации.

Таким образом, варьируя варианты построения системы защиты информации и архитектуры КИС, становится возможным представить и рассмотреть различные значения риска за счет изменения вероятности реализации угроз. Здесь весьма важным шагом является выбор одного из вариантов в соответствии с выбранным критерием принятия решения. Таким критерием может быть допустимая величина риска или отношение затрат на обеспечение информационной безопасности к остаточному риску.

При построении систем обеспечения информационной безопасности также нужно определить стратегию управления рисками на предприятии.

На сегодня известно несколько подходов к управлению рисками. Один из наиболее распространенных – уменьшение риска путем использования комплексной системы контрмер, включающей программно-технические и организационные меры защиты. Близким является подход, связанный с уклонением от риска. От некоторых классов рисков можно уклониться: например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов.

Наконец, в некоторых случаях допустимо принятие риска. Здесь важно определиться со следующей дилеммой: что для предприятия выгоднее – бороться с рисками или же с их последствиями. В этом случае приходится решать оптимизационную задачу.

После того, как определена стратегия управления рисками, производится окончательная оценка мероприятий по обеспечению информационной безопасности с подготовкой экспертного заключения о защищенности информационных ресурсов. В экспертное заключение включаются все материалы анализа рисков и рекомендации по их снижению.

Отметим, что проведение анализа рисков и оценки потерь требуют глубоких системных знаний и аналитического мышления во многих смежных областях проблемы защиты информации.

28. Технологии анализа рисков. Методы оценки информационных рисков

Сегодня на практике используются различные методы оценки и управления информационными рисками отечественных компаний. Оценка информационных рисков компании может выполняться по следующему плану:

идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
оценивание возможных угроз;
оценивание существующих уязвимостей;
оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризует опасность, которой может подвергаться компоненты корпоративной информационной системы. При этом информационные риски компании зависят от:

показателей ценности информационных ресурсов;
вероятности реализации угроз для ресурсов;
эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются: ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами, например, при определении стоимостных характеристик, так и качественными, например учитывающих штатные или чрезвычайно опасные нештатные воздействия внешней среды.

Возможность реализации угрозы оценивается вероятностью ее реализации в течение заданного отрезка времени для некоторого ресурса компании. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:

привлекательностью ресурса, используется при рассмотрении угрозы от умышленного воздействия со стороны человека;
возможностью использования ресурса для получения дохода, также используется при рассмотрении угрозы от умышленного воздействия со стороны человека;
техническими возможностями реализации угрозы, используется при умышленном воздействии со стороны человека;
степенью легкости, с которой уязвимость может быть использована.

29. Технологии анализа рисков. Табличные методы оценки рисков

В настоящее время известно множество табличных методов оценки информационных рисков компании. Важно, чтобы компания выбрала для себя подходящий метод, который обеспечивал бы корректные и достоверные воспроизводимые результаты. Рассмотрим несколько примеров подобных методов оценивания рисков, которые рекомендованы стандартами в области информационной безопасности, и методическими рекомендациями к ним.

Существенно, что в этих методах количественные показатели существующих или предлагаемых физических ресурсов компании оцениваются с точки зрения стоимости их замены или восстановления работоспособности ресурса. А существующие или предполагаемые программные ресурсы оцениваются так же, как и физические, то есть при помощи определения затрат на их приобретение или восстановление. Если обнаружится, что какое-либо прикладное программное обеспечение имеет особые требования к конфиденциальности или целостности, например, исходный текст ПО имеет высокую коммерческую ценность, то оценка этого ресурса производится в стоимостном выражении по той же схеме, что и для информационных ресурсов.

Количественные показатели информационных ресурсов рекомендуется оценивать по результатам опросов сотрудников компании - владельцев информации, то есть должностных лиц компании, которые могут определить ценность информации, ее характеристики и степень критичности, исходя из фактического положения дел. На основе результатов опроса производится оценивание показателей и степени критичности информационных ресурсов для наихудшего варианта развития событий вплоть до рассмотрения потенциальных воздействий на бизнес-деятельность компании при возможном несанкционированном ознакомлении с конфиденциальной информацией, нарушении ее целостности, доступности на различные сроки, вызванные отказами в обслуживании систем обработки данных и даже физическим уничтожением.

30. Технологии анализа рисков. Оценка рисков по двум факторам (пример)

В матрице или таблице можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.

На первом шаге оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале, например от 1 до 5, для каждого ресурса, которому угрожает опасность. (Колонка b в таблице).

На втором шаге по заранее заданной шкале, например от 1 до 5, оценивается вероятность реализации каждой угрозы.

На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения (b x c). Однако необходимо помнить, что операция умножения определена для количественных шкал. Для ранговых (качественных) шкал измерения, каковыми являются показатель негативного воздействия и вероятность реализации угрозы, к примеру, совсем не обязательно показатель риска, соответствующий ситуации b=1,c=3 будет эквивалентен b=3, c=1. Соответственно, должна быть разработана методика оценивания показателей рисков применительно к конкретной организации.

На четвертом шаге угрозы ранжируются по значениям их фактора риска.

В рассматриваемом примере для наименьшего негативного воздействия и для наименьшей возможности реализации угрозы выбран показатель 1.

Таблица 3.4 Ранжирование рисков

Дескриптор угрозы	B Показатель негативного воздействия (ресурса)	C Возможность реализации угрозы (субъективная оценка)	Показатель риска	Ранг риска
Угроза A	5	2	10	2
Угроза B	2	4	8	3
Угроза C	3	5	15	1
Угроза D	1	3	3	5
Угроза E	4	1	4	4
Угроза F	2	4	8	3

Данная процедура позволяет сравнивать и ранжировать угрозы с различными негативными воздействиями и вероятностями реализации. В определенных случаях дополнительно могут приниматься во внимание стоимостные показатели.

Разделение рисков на приемлемые и неприемлемые

Другой способ оценивания рисков состоит в разделении их только на приемлемые и неприемлемые риски. Подход основывается на том, что количественные показатели рисков используются только для того, чтобы их упорядочить, и определить, какие действия необходимы в первую очередь. Но этого можно достичь и с меньшими затратами.

Матрица, используемая в данном подходе, содержит не числа, а только символы Д (риск допустим) и Н (риск недопустим). Например, может быть использована следующая матрица:

Таблица 3.5 Разделение рисков на приемлемые и неприемлемые

Показатель ценности ресурса	Показатель возможности реализации угрозы
Показатель ценности ресурса	0	1	2	3	4
0	Д	Д	Д	Д	Н
1	Д	Д	Д	Н	Н
2	Д	Д	Н	Н	Н
3	Д	Н	Н	Н	Н
4	Н	Н	Н	Н	Н

Вопрос о том, как провести границу между приемлемыми и неприемлемыми рисками остается на усмотрение аналитика, подготавливающего данную таблицу и руководящих специалистов в области информационной безопасности.

31. Технологии анализа рисков. Оценка рисков по трем факторам (пример)

По каждой группе ресурсов связанной с данной угрозой, оценивается уровень угрозы (вероятность реализации) и уровень уязвимости (степень легкости, с которой реализованная угроза способна привести к негативному воздействию). Оценивание производится в качественных шкалах.

В начале определим уровни угроз, уязвимостей, тяжести последствий и рисков

Уровни угроз:

Низкий (Н) – Реализация данной угрозы маловероятно, за последние 2 года подобных случаев не зафиксировано.

Средний (С) – Угроза может реализоваться в течение 1 года с вероятностью около 0.3.

Высокий (В) – Угроза скорее всего реализуется в течении года и возможно не один раз.

Уровни уязвимостей:

Низкий (Н) – защищенность системы очень высока, реализация угроз почти никогда не приводит к происшествию.

Средний (С) – Защищенность системы средняя, реализация около 30% угроз приводит к происшествию

Высокий (В) – Защищенность системы низкая, реализация угрозы практически всегда приводит к происшествию.

Показатель негативного воздействия (тяжесть последствий)

Используем введенную ранее в разделе 2 классификацию последствий:

1 Negligible ( менее $100)

2 Minor ( менее $1000)

3 Moderate ( менее $10 000)

4 Serious ( Существенное негативное влияние на бизнес)

5 Critical (Катастрофическое воздействие, возможно прекращение

Уровни рисков:

Показатель риска измеряется в шкале от 0 до 8, определение уровеней риска:

1 – Риск пренебрежимо мал. Ситуации, при которых событие наступает практически исключены а последствия незначительны, потери менее $100

2 – Риск незначителен. Событие наступает редко, Последствия (потери) находятся в допустимых пределах (не более $1000).

……

8 – Риск очень высок. Событие скорее всего наступит и последствия будут катастрофическими (возможно полное прекращение деятельности организации)

Пример таблицы, с помощью которой задается значение уровня риска, в зависимости от уровней угроз и уязвимостей, при фиксированной стоимости потерь – Moderate, приводится в таблице 3.6

Табл. 3.6. Определение уровня риска в зависимости от уровней угроз и уязвимостей

Уровень угрозы
Низкий			Средний			Высокий
Уровни уязвимости			Уровни уязвимости			Уровни уязвимости
Н	С	В	Н	С	В	Н	С	В
2	3	4	3	4	5	4	5	6

Далее строится таблица для различных уровней потерь. Пример такой таблицы (табл. 3.2) был рассмотрен выше.

32. Технологии анализа рисков. Методика анализа рисков Microsoft

В качестве возможного примера корпоративной методики анализа рисков давайте рассмотрим методику Microsoft (MCSE [Гованус]).

В методике риск определяется, как возможность понести убытки из-за нарушения безопасности сети изнутри или извне. Управление рисками предприятия в сфере информационной безопасности требует выполнения четырех этапов:

распознавание (идентификация) рисков;

определение размера риска;

разработка плана управления рисками;

текущий контроль и управление рисками.

При ограниченном времени в качестве способа идентификации рисков рекомендуется применять методики получения знаний от экспертов, в частности, метод «мозгового штурма». Для каждого выявленного риска требуется оценить его стоимость (т.е. определить ущерб в том случае, если рассматриваемое нежелательное событие произошло) и вероятность возникновения риска.

Оценка для каждой из угроз может производиться следующими способами:

с использованием «группы нападения» – имитация атаки на систему группой специалистов;
методом «накопления идей» – создается группа сотрудников и/или консультантов, которые обсуждают возможные риски и предлагают контрмеры;
путем использования формальных оценок угроз, методов управления рисками и интеграции защитных мер.

Предлагаемая Microsoft стратегия оценки рисков включает в себя следующие этапы:

определение допустимого уровня рисков (т.е. того уровня рисков, который приемлем);

оценка вероятности возникновения каждого риска;

присвоение стоимости каждому риску;

расстановка приоритетов.

В процессе оценки, для каждого риска определяется вероятность его возникновения и размер связанных с ним потерь. Далее используется одна из разновидностей табличной оценки рисков – строится матрица следующего вида:

	Стоимость
		Высокая	Средняя	Низкая
Вероятность	Высокая
	Средняя
	Низкая

В зависимости от полученных оценок, риск относится к одной из следующих групп:

Высокий риск (красная область). Предполагается, что без снижения таких рисков использование информационной системы предприятия может оказать отрицательное влияние на бизнес.

Существенный риск (желтая область). Здесь требуется эффективная стратегия управления рисками, которая позволит уменьшить или полностью исключить отрицательные последствия нападения.

Умеренный риск (синяя область). В отношении рисков, попавших в эту область, достаточно использовать некоторые основных процедур управления рисками.

Незначительный риск (зеленая область). Усилия по управлению рисками в данном случае не будут играть важной роли.

На основании уровня допуска (уровня допустимых рисков), размера потенциальных потерь и вероятности возникновения, рискам назначаются приоритеты. Их используют, чтобы определить те риски, на которых в первую очередь надо сосредоточить усилия (рекомендуется создать список «десяти основных рисков», которым в первую очередь уделяется внимание), после чего составляется план по управлению рисками.

Планирование состоит из:

Идентификации триггеров для каждого риска (триггер или пусковое событие – идентификатор риска, произошедшего или ожидаемого в скором времени);

Подготовки плана превентивных мероприятий, планов реагирования на непредвиденные ситуации и планов по уменьшению последствий каждого риска.

Выделяются 4 составные части планирования управления рисками:

исследование

принятие (можно ли принять данный риск?)

управление (можно ли сделать что-то, чтобы уменьшить риск, если он возникнет?)

исключение (что можно сделать для того, чтобы избежать или блокировать риск?)

При этом исследование применяется по отношению к каждому риску, а остальные стадии могут комбинироваться. Например, пусть исследование системы показало, что на предприятии используется потенциально уязвимое приложение, причем полностью отказаться от его использования на данный момент невозможно. Пусть, далее, это приложение удалили на всех узлах, где это было возможно, а на остальных, соответственно, оставили. Получается, что в отношении этого риска были выполнены следующие этапы: исследование, исключение (частичное), принятие (частичное).

Не менее важна и задача контроля рисков (отслеживания рисков), заключающаяся в том, чтобы при изменении внешних или внутренних условий скорректировать сделанные ранее оценки рисков.