Этапы, предшествующие анализу угроз, можно считать подготовительными, поскольку, строго говоря, они напрямую с рисками не связаны. Риск появляется там, где есть угрозы.

Краткий перечень наиболее распространенных угроз был рассмотрен нами ранее. К сожалению, на практике угроз гораздо больше, причем далеко не все из них носят компьютерный характер. Так, вполне реальной угрозой является наличие мышей и тараканов в занимаемых организацией помещениях. Первые могут повредить кабели, вторые вызвать короткое замыкание. Как правило, наличие той или иной угрозы является следствием пробелов в защите информационной системы, которые, в свою очередь, объясняются отсутствием некоторых сервисов безопасности или недостатками в реализующих их защитных механизмах. Опасность прогрызания кабелей возникает не просто там, где есть мыши, она связана с отсутствием или недостаточной прочностью защитной оболочки.

Первый шаг в анализе угроз - их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла (исключив, например, землетрясения, однако не забывая о возможности захвата организации террористами), но в пределах выбранных видов провести максимально подробный анализ.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения - это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы безопасности.

После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).

Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.

Оценивая размер ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п. Пусть, например, в результате дефектов в управлении доступом к бухгалтерской информации сотрудники получили возможность корректировать данные о собственной заработной плате. Следствием такого состояния дел может стать не только перерасход бюджетных или корпоративных средств, но и полное разложение коллектива, грозящее развалом организации.

Уязвимые места обладают свойством притягивать к себе не только злоумышленников, но и сравнительно честных людей. Не всякий устоит перед искушением немного увеличить свою зарплату, если есть уверенность, что это сойдет с рук. Поэтому, оценивая вероятность осуществления угроз, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных информационных систем. Если в подвале дома, занимаемого организацией, располагается сауна, а сам дом имеет деревянные перекрытия, то вероятность пожара, к сожалению, оказывается существенно выше средней.

После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.

Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные меры защиты. Как правило, для ликвидации или нейтрализации уязвимого места, сделавшего угрозу реальной, существует несколько механизмов безопасности, различных по эффективности и стоимости. Например, если велика вероятность нелегального входа в систему, можно потребовать, чтобы пользователи выбирали длинные пароли (скажем, не менее восьми символов), задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если есть вероятность умышленного повреждения сервера баз данных, что может иметь серьезные последствия, можно врезать замок в дверь серверной комнаты или поставить около каждого сервера по охраннику.

Оценивая стоимость мер защиты, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, обучение и переподготовку персонала. Эту стоимость также можно оценить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и допустимым риском. Если по этому показателю новое средство оказывается экономически выгодным, его можно взять на заметку (подходящих средств, вероятно, будет несколько). Однако если средство окажется дорогим, его не следует сразу отбрасывать, памятуя о приближенности расчетов.

Выбирая подходящий способ защиты, целесообразно учитывать возможность экранирования одним механизмом обеспечения безопасности сразу нескольких прикладных сервисов. Так поступили в Массачусетском технологическом институте, защитив несколько тысяч компьютеров сервером аутентификации Kerberos.

Важным обстоятельством является совместимость нового средства со сложившейся организационной и аппаратно-программной структурой, с традициями организации. Меры безопасности, как правило, носят недружественный характер, что может отрицательно сказаться на энтузиазме сотрудников. Порой сохранение духа открытости важнее минимизации материальных потерь. Впрочем, такого рода ориентиры должны быть расставлены в политике безопасности верхнего уровня.

Можно представить себе ситуацию, когда для нейтрализации риска не Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно планировать. В плане необходимо учесть наличие финансовых средств и сроки обучения персонала. Если речь идет о программно-техническом механизме защиты, нужно составить план тестирования (автономного и комплексного).

Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно.

5.3 Оценивание рисков ИТ и ИС

При оценивании рисков рекомендуется рассматривать следующие аспекты:

шкалы и критерии, по которым можно измерять риски;

оценку вероятностей событий;

технологии измерения рисков.

Шкалы и критерии, по которым измеряются риски. Для измерения какого-либо свойства необходимо выбрать шкалу. Шкалы могут быть прямыми (естественными) или косвенными (производными). Примерами прямых шкал являются шкалы для измерения физических величин, например шкалы для измерения объемов жидкости в литрах, шкалы для измерения длины в метрах. В ряде случаев прямых шкал не существует, приходится использовать либо прямые шкалы других свойств, связанных с интересующими нас, либо определять новые шкалы. Пример - шкала для измерения субъективного свойства «ценность информационного ресурса». Эта ценность может измеряться в единицах измерения производных шкал, таких как стоимость восстановления ресурса, время восстановления ресурса и др. Другой вариант - определить шкалу для получения экспертной оценки, например имеющую три значения:

малоценный информационный ресурс: от него не зависят критически важные задачи и он может быть восстановлен с небольшими затратами времени и денег;

ресурс средней ценности: от него зависит ряд важных задач, но в случае утраты он может быть восстановлен за время, не превышающее критически допустимое, но стоимость восстановления - высокая;

ценный ресурс: от него зависят критически важные задачи, в случае утраты время восстановления превышает критически допустимое либо стоимость чрезвычайно высока.

Для измерения рисков не существует естественной шкалы. Риски можно оценивать по объективным либо субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования, например ПК, за определенный промежуток времени. Пример субъективного критерия - оценка владельцем информационного ресурса риска выхода из строя ПК. В последнем случае обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровень. В методиках анализа рисков, как правило, используются субъективные критерии, измеряемые в качественных единицах, поскольку:

оценка должна отражать субъективную точку зрения владельца информационных ресурсов;

следует учитывать различные аспекты - не только технические, но и организационные, психологические и т.д.

Для получения субъективной оценки в рассматриваемом примере с оценкой риска выхода из строя ПК можно либо воспользоваться прямой экспертной оценкой, либо определить функцию, преобразующую объективные данные (вероятность) в субъективную шкалу рисков.

Субъективные шкалы бывают количественными и качественными, но на практике, как правило, применяются качественные шкалы с 3-7 градациями. С одной стороны, это просто и удобно, с другой - требует грамотного подхода к обработке данных.

Сегодня существует ряд подходов к измерению рисков. Обсудим наиболее распространенные из них, а именно - оценку рисков по двум и по трем факторам.

Оценка рисков по двум факторам

В простейшем случае производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:

РИСК = Р_{происшествия} Ч ЦЕНА ПОТЕРИ.

Если переменные являются количественными величинами, то риск - это оценка математического ожидания потерь.

Когда переменные - качественные величины, метрическая операция умножения не определена. Таким образом, в явном виде эту формулу применять не следует. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).

Сначала должны быть определены шкалы.

Выбор допустимого уровня риска связан с затратами на реализацию подсистемы информационной безопасности. Как минимум существует два подхода к выбору допустимого уровня рисков.

Первый подход типичен для базового уровня безопасности. Уровень остаточных рисков не принимается во внимание. Затраты на программно-технические средства защиты и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня (антивирусное ПО, системы резервного копирования, системы контроля доступа), являются обязательными, их целесообразность не обсуждается. Дополнительные затраты (если такой вопрос будет поставлен по результатам проведения аудита ИБ либо по инициативе службы безопасности) должны находиться в разумных пределах и не превышать 5-15% средств, которые тратятся на поддержание работы информационной системы.

Второй подход применяется при обеспечении повышенного уровня безопасности. Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор.

В зависимости от уровня зрелости организации и характера основной деятельности обоснование выбора допустимого уровня риска может проводиться разными способами.

Наиболее распространенным является анализ по критерию «стоимость-эффективность» различных вариантов защиты. Приведем примеры постановки задач:

1) стоимость подсистемы безопасности должна составлять не более 20% от стоимости информационной системы. Найти вариант контрмер, максимально снижающих уровень интегральных рисков.

2) риски по всем классам не должны превышать очень низкий уровень. Найти вариант контрмер с минимальной стоимостью.

Если ставятся оптимизационные задачи, важно правильно выбрать комплекс контрмер (перечислить возможные варианты) и оценить его эффективность.

Резюме по теме

Основой управления информационной безопасностью предприятия является анализ рисков. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.

Процесс анализа рисков делится на несколько этапов:

- идентификация информационных ресурсов;

- выбор критериев оценки и определение потенциального негативного - воздействия на ресурсы и приложения;

- оценка угроз;

- оценка уязвимостей;

- оценка рисков;

- оценка эффективности существующих и предполагаемых средств обеспечения информационной безопасности.

На основе анализа рисков выбираются средства, обеспечивающие режим ИБ. Ресурсы, значимые для бизнеса и имеющие определенную степень уязвимости, подвергаются риску, если по отношению к ним существует какая-либо угроза. При оценке рисков учитываются потенциальное негативное воздействие от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей и угроз.

Вопросы для повторения

Деятельность по обеспечению информационной безопасности на предприятии может поддерживаться программными продуктами различных типов. В большинстве случаев программная поддержка реализации политики информационной безопасности обеспечивается функциями и программными модулями, которые встроены непосредственно в программное обеспечение, создающее условия для хранения, обработки и передачи информации (операционные системы, системы управления базами данных, системы электронной почты,MRP/ERP-системы). Практически все современные программные продукты имеют внутренние средства, позволяющие четко определить права тех или иных пользователей, разграничить доступ к информации, распределить использование системных ресурсов и ввести другие ограничения, которые в целом должны обеспечить соблюдение установленных требований и реализацию политики информационной безопасности.

Применение других инструментальных средств, как правило, не является обязательным, но во многих случаях позволяет повысить эффективность и качество многих работ, связанных с оценкой рисков, разработкой организационной документации, контролем за выполнением установленных требований и выполнением многих других важных функций. Таким образом, выделяется отдельный класс специальных программных продуктов, предназначенных исключительно для поддержания процессов разработки политик безопасности и управления информационной безопасностью на организационном уровне. Основными функциями таких программ являются справочно-информационная поддержка, помощь при обработке управленческой информации, оценке рисков и подготовке необходимых документов. В частности, для этих целей может использоваться ПО следующих основных видов:

- сборники (интерактивные электронные справочники), которые содержат типовые документы (шаблоны документов), используемые для управления информационной безопасностью, описания отдельных процессов и процедур, связанных с обеспечением информационной безопасности, должностных обязанностей и функций сотрудников предприятия;

- системы, предназначенные для накопления и обработки сведений о рисках и проведения сводных оценочных расчетов показателей риска;

- ПО, интегрированное в информационную систему предприятия и позволяющее автоматически контролировать соблюдение установленных политик безопасности, а также помогающее формировать заключения о текущем состоянии информационной безопасности (в т.ч. путем анализа действий пользователей в информационной системе, а также путем анализа журналов операционных систем, программ, средств защиты и сетевого оборудования);

- ПО, осуществляющее поддержку процессов аудита информационной безопасности.

Также с управлением информационной безопасностью связаны программные продукты, которые:

- автоматически (централизовано и унифицировано) управляют учетными записями и правами доступа одновременно в нескольких элементах информационной инфраструктуры (базах данных, приложениях и т.п.);

- производят автоматическое сканирование отдельных элементов информационной инфраструктуры (операционных систем, программ, средств защиты информации) и их проверку на устойчивость и наличие уязвимостей;

- производят автоматическое обновление программных продуктов с целью устранения выявленных уязвимостей.

Программная поддержка работы с политикой безопасности. Сборники (справочники), которые содержат типовые документы, связанные с обеспечением информационной безопасности, могут включать в себя:

- образцы политик безопасности разных уровней для предприятий, функционирующих в различных сферах деятельности и предъявляющих различные требования к уровню защищенности информации;

- образцы (шаблоны, бланки) документов, используемых в процессах защиты информации (обязательств о неразглашении информации, отчетов о состоянии информационной безопасности и т.п.);

- образцы разделов различных договоров (контрактов с различными контрагентами или трудовых договоров с сотрудниками предприятия), содержащие требования к обеспечению информационной безопасности.

Такого рода электронные справочники могут выпускаться как на основе оригинальных методических разработок, так и на основе общепризнанных стандартов (таких как ISO 17799) с целью содействовать прохождению сертификации на соответствие этим стандартам. Выпускаемые электронные справочники могут быть дополнены учебниками, текстами стандартов и другими методическими материалами, выпущенными в виде брошюр. Одним из наиболее полных является электронный справочник.

Концепции более развитых программных продуктов, основанных на интерактивном интеллектуальном анализе и совершенствовании политики безопасности, предполагают, что пользователь (менеджер) сначала внесет всю необходимую информацию о состоянии информационной безопасности на своем предприятии (ответит на задаваемые программой вопросы), а затем получит детальный отчет о состоянии информационной безопасности, описание уровня соответствия требованиям стандартов, рекомендации по усовершенствованию действующей политики безопасности и другие отчеты. Одним из таких программных продуктов является система «COBRA», поставляемая британской компанией «C&A Systems Security Ltd.» в двух вариантах: сокращенная версия включает в себя модуль «COBRA ISO17799 Consultant», а полная версия, помимо него, содержит также дополнительные средства анализа рисков («Risk Consultant») и специальный модуль, позволяющий создавать и модифицировать собственные базы знаний и наборы вопросов для исследования состояния информационной безопасности («Module Manager»). Базовый модуль этой системы предназначен для оценки того, в какой степени работа по защите информационной безопасности соответствует требованиям стандарта ISO 17799. На первом этапе его использования вступает в работу «Question Module» -- Модуль ответов на вопросы, который содержит набор вопросов, разделенных на группы в соответствии со структурой стандарта ISO 17799: безопасность персонала, политика безопасности, управление доступом, планирование непрерывной работы и т.п. (рис. 6.2.1).

Рис. 6.2.1. Группы вопросов, используемых для анализа состояния информационной безопасности системой «COBRA»

На основе введенной таким образом информации может быть получен отчет о состоянии информационной безопасности и степени ее соответствия требованиям стандарта. В частности, такой отчет может состоять из пяти основных разделов:

1.Вводная часть.

2.Перечень основных направлений работы, подвергнутых проверке.

3.Оценка уровня несоответствий.

4.Перечень организационных мероприятий, реализация которых необходима для выполнения требований стандарта.

5.Перечень заданных вопросов и данных на них ответов.

Помимо текстовой части, в отчет также могут быть включены графики, наглядно отражающие уровни выполнения требований стандарта (рис. 6.2.3).

Рис. 6.2.2. Раздел отчета о состояний информационной безопасности, содержащий организационные рекомендации

Рис. 6.2.3. График, наглядно отражающий степень выполнения требований стандарта

К числу программных продуктов такого рода, аналогичных британской системе «COBRA», относится также «Программный комплекс управления политикой информационной безопасности компании КОНДОР+, поставляемый Санкт-Петербургской фирмой «Диджитал Секьюрити». Он содержит как электронные справочники, так и модуль, осуществляющий интерактивное взаимодействие с пользователем в процессе анализа и совершенствования политики информационной безопасности. Данный программный комплекс, помимо сборника типовых политик безопасности, включает в себя четыре основных функциональных модуля (раздела):

«Проект» -- предназначен для сбора информации о состоянии информационной безопасности;

«Отчеты» -- предназначен для детального анализа состояния информационной безопасности на основе введенных данных;

«Диаграммы/статистика» -- предназначен для сводного анализа состояния информационной безопасности;

«Анализ рисков» -- предназначен для количественной оценки существующих рисков.

Рис. 6.2.4. Основные модули «Программного комплекса КОНДОР+»

Так же как и в системе «COBRA», в модуле «Проект» «Программного комплекса КОНДОР+» пользователю - ответственному менеджеру - предлагается ответить на вопросы, сгруппированные в соответствии со структурой стандарта ISO 17799 и имеющие определенные варианты ответов.

Рис. 6.2.5. Модуль «Проект»: Ответы на вопросы о состоянии информационной безопасности

На основе введенной таким образом информации программа автоматически формирует как сводную статистику, представляемую в виде диаграмм для каждого раздела стандарта ISO 17799, так и детализированные отчеты об имеющихся несоответствиях.

Рис. 6.2.6. Графическое представление сводных данных об имеющихся несоответствиях

Рис. 6.2.7. Описания отдельных несоответствий в модуле «Отчеты»

При анализе несоответствий в модуле «Отчеты» пользователь имеет возможность при помощи справочной подсистемы обратиться к комментариям и рекомендациям экспертов, описывающим отдельные вопросы практического применения стандарта ISO 17799.

Рис. 6.2.8. Вызов экспертного комментария по определенному вопросу

Таким образом, программный комплекс «КОНДОР+» позволяет провести весь комплекс работ по сбору сведений о состоянии информационной безопасности и организации защитных мер на предприятии, сопоставлению фактического положения дел с требованиями стандарта ISO 17799 (как укрупненно, так и детально) и определению приоритетных направлений дальнейшего развития системы менеджмента.

Резюме по теме

Реинжиниринг - это фундаментальное переосмысление и радикальное перепроектирование деловых процессов для достижения резких, скачкообразных улучшений в решающих современных показателях деятельности компании, таких как стоимость, качество, сервис и темпы.

Бизнес-процесс - это множество «внутренних шагов» предприятия, заканчивающихся созданием продукции, необходимой потребителю. Назначение каждого бизнес-процесса состоит в том, чтобы предложить потребителю продукцию (услугу), удовлетворяющую его по стоимости, сервису и качеству.

Существуют следующие категории бизнес-процессов:

- процессы, непосредственно обеспечивающие выпуск продукции;

- процессы планирования и управления;

- ресурсные процессы;

- процессы преобразования.

Бизнес-процесс характеризуется:

- существующей технологией реализации бизнес-процесса;

- существующей структурой бизнес-системы;

- средствами автоматизации, оборудованием, механизмами и т.п., обеспечивающими реализацию процесса.

Основными показателями оценки эффективности бизнес-процессов являются:

- количество производимой продукции заданного качества, оплаченное за определенный интервал времени;

- количество потребителей продукции;

- количество типовых операций, которые необходимо выполнить при производстве продукции за определенный интервал времени;

- стоимость издержек производства продукции;

- длительность выполнения типовых операций;

- капиталовложения в производство продукции.

Внедрение информационных технологий и реализованных на их основе информационных систем в повседневную деятельность предприятия дает ему тактические и долгосрочные преимущества в бизнесе. Стремление руководства к использованию ИТ может остаться лишь благими намерениями, если оно не будет следовать сложившимся требованиям и правилам разработки, проектирования и внедрения ИТ. Выше говорилось о базовых требованиях к стандартизации объектов и функциональных задач, без которых реализуемая система не будет являться открытой системой, что приведет впоследствии к многочисленным проблемам при ее внедрении и эксплуатации.

Следование требованиям стандартов при разработке ИС автоматически приводит к тому, чтобы само предприятие - внешняя среда для ИС - также отвечало необходимым требованиям: определение и стандартизация классов пользователей и объектов, топология потоков данных и работ, архитектура наследуемых систем, состояние бизнес-процессов и т. д.

7.2 Использование информационных технологий в реинжиниринге бизнес-процессов

Одна из причин развития реинжиниринга бизнес-процессов как стратегического инструмента - это повышение роли информационных технологий практически в каждой сфере деятельности организации, а также увеличение потенциала этих технологий. Современные информационные технологии дают возможность работать по-новому, а следовательно, порождают новый подход к проектированию процессов. Они позволяют:

- автоматизировать существующий процесс, т.е. новая информационная технология используется в этом случае для автоматизации процесса, а не для его изменения;

- использовать компьютеры как инструмент проведения расчетов, анализа, т. е. для автоматизации интеллектуального труда;

- полностью изменить технологический процесс обработки информации (вместо автоматизации этапов существующего процесса, например, можно изменить последовательность выполнения технологических шагов, внедрив сетевую обработку в реальном масштабе времени);

- исключить посредников (в технологическом процессе их может заменить прямая компьютерная связь, например виртуальные магазины в Internet);

- использовать новые технологии при требовании радикального, творческого изменения бизнес-процесса, а не просто проводить автоматизацию, т.е. в этом случае технология играет роль движущей силы преобразования бизнес-процесса, внедрения современных методов работы. Реинжиниринговая команда должна обладать знаниями о существующих технологиях и о том, каким образом можно использовать их для изменения бизнес-процессов.

Наиболее часто встречающимися способами использования информационных технологий в реинжиниринге бизнес-процессов являются:

- использование единых баз данных, что позволяет избавиться от определенных промежуточных этапов документооборота (например, финансовый отдел может поместить свою информацию в базу данных для совместного использования всеми подразделениями предприятия или поместить свой производственный график в базу данных, сделав его доступным для поставщиков);

- внедрение сетевых технологий, которые обеспечивают установление связи с удаленными пользователями (например, использование электронной почты дает возможность удаленному пользователю выполнять несколько этапов процесса, что, в свою очередь, способствует снижению загрузки офисных работников);

- внедрение экспертных систем, что способствует замене экспертов и узких специалистов неспециалистами и специалистами широкого профиля, уменьшая тем самым численность работников, занятых в процессе, и, следовательно, снижая число задержек и ошибок, возникающих в ходе взаимодействия между людьми;

- внедрение систем поддержки принятия решений, что позволяет, предоставляя информацию и инструменты для ее обработки, избавить менеджеров от принятия тактических решений, передаваемых их исполнителям, т.е. на более низкий уровень управления.

Таким образом, импульс для инжиниринга бизнес-процессов часто исходит из мира информационных технологий, которые связывают участников бизнес-процессов в единые технологические цепочки быстрее и надежнее по сравнению с традиционными организационными методами контроля и координации.

Характер изменения правил организации управления с использованием новейших информационных технологий представлен в табл. 7.2.1.

Рассмотрим характерные особенности современных информационных технологий.

Автоматизированные рабочие места (АРМов) на основе применения персональных ЭВМ (рабочих станций) позволяют интегрировать различные функции работников. В результате изменяется характер труда работников предприятия, деятельность непосредственных исполнителей хозяйственных процессов становится информационной. Так, работник получает нормативную информацию из информационной системы, самостоятельно формирует информационные сообщения, все больше решений принимает самостоятельно, в большем объеме перерабатывает информацию.

Распределенные базы данных в локальных вычислительных сетях с использованием архитектуры «Клиент-сервер» дают возможность интегрировать функции различных работников. Работники предприятия обмениваются между собой информацией через интегрированную базу данных, в которой все изменения отражаются в реальном масштабе времени и становятся доступными параллельно для всех заинтересованных участников бизнес-процесса.

Таблица 7.2.1 Информационные технологии в реинжиниринге бизнес-процессов

Системы управления рабочими потоками (workflow) позволяет оперативно связывать операции исполнителей из различных подразделений внутри предприятия и программные приложения в сквозные бизнес-процессы, которые контролируются руководством предприятия как единым целым. Системы Workflow создаются на основе использования специального программного обеспечения для организации коллективной (групповой - workgroup) работы в локальных вычислительных сетях. В эту систему входят средства электронного обмена сообщениями и маршрутизации, которые позволяют организовать непосредственный обмен результатами работы между участниками бизнес-процесса, мониторинг выполнения бизнес-процесса со стороны руководства предприятия, но также инициировать работу исполнителей по завершению выполнения автоматических процедур.

Глобальные вычислительные сети с использованием Internet/Intranet, стандартов электронного обмена данными (EDI) и компонентной технологии программных интерфейсов DCOM, CORBA. В результате достигается большая децентрализация управления в крупных корпорациях, объединение независимых предприятий, участвующих в общих бизнес-процессах в консорциумы и виртуальные корпорации.

Применение современных информационных технологий в менеджменте обусловливают трансформацию предприятий с позиций организационной структуры, организации процессов, управления и межорганизационного взаимодействия (табл. 7.2.2).

Таблица 7.2.2 Применение информационных технологий в менеджменте

1) Изменение организационной структуры. Виртуальные компоненты - это компоненты организационной структуры, которые физически не существуют в одном месте, например, в случае «домашней» (home office) организации труда отделов снабжения, продаж, проектирования, либо вообще физически не организуются, например, вместо складов вводятся виртуальные запасы, которые поставляются точно в требуемый для производства срок. Такая организация позволяет экономить издержки, связанные с необходимостью поддержания физических компонентов организационной структуры.

Матричная структура управления предполагает динамическое формирование рабочих групп для выполнения конкретного процесса (заказа, проекта), в которые входят работники из различных структурных подразделений и управляются как единым целым независимо от структурной принадлежности. Такие структуры более гибки с точки зрения адаптации к конкретным потребностям и не требуют сложных согласований в рамках традиционной иерархической структуры управления, например, как в случае гибкого формирования временной рабочей группы из отделов маркетинга, продаж, производства для проведения торговой демонстрации.