Управление инвестициями в ИС.
Расходы на создание ИС ( приобретение технических средств, развитие компьютерных сетей, приобретения лицензионного программного обеспечения, внедрение интернет- ресурсов) должны рассматриваться как внутренние инвестиции организации.
Инвестиционные проекты в сфере ИС должны документально оформляться и финансово- экономически обосновываться. Необходимо также рассчитывать риски по инвестициям в ИС.
Для управления ИС проектами в организации создаются рабочие группы, в которые входят бизнес- руководители подразделений, ИС-специалисты, финансовые работники.
Следует осуществлять контроль за ИС проектами:
- исполнение бюджета;
-достижение проектной эффективности;
-соблюдение проектных сроков и тд.
В конце года рекомендуется определять долю проектов с превышающим бюджетом, долю незаконченных проектов, долю нерентабельных проектов. Рассчитанные показатели должны быть проанализированы.
Бюджет ИС.
Рекомендуется формировать бюджет ИС на каждый год. Бюджет рекомендуется детализировать на каждый квартал, а в рамках квартала- помесячно.
В бюджете ИС выделяют следующие статьи:
1)технические средства:
-ПК(приобретение, обновление, содержание ,ремонт );
-серверы (приобретение, обновление , содержание, ремонт);
-прочее оборудование ( банкоматы и тд).
2)Телекоммуникации:
- локальная сеть организации;
- внутренняя региональная сеть;
-телефонная связь (абонентская плата);
-интернет (абонентская плата провайдеру, обслуживание шлюзов );
- Интернет-проекты ( Ozon).
3)Лицензированное программное обеспечение :
-системное ПО;
- пользовательское ПО.
4)Персонал ИС:
-зарплата персонала;
-социальные выплаты;
-повышение квалификации;
-переподготовка.
5) Инфраструктура ИС(помещения ,в котором размещается ИС):
- арендная плата;
- затраты на текущее обслуживание и ремонт помещений);
- мебель.
6)Консалтинговые услуги ( услуги приглашенных специалистов) ;
7) прочие административные издержки.
При создании бюджета ИС российские компании чаще всего используют 2 способа :
· создание самостоятельного бюджета ИС.
В данном случае все ИС расходы списываются на ИС-подразделение, которое исполняет данный бюджет и отвечает за его соблюдению. Бюджет ИС оформляется как отдельный финансовый документ, утверждается руководителем компании и исполняется наряду с другими бюджетами.
· Отдельные статьи ИС бюджета включается в бюджет бизнес-подразделений организаций. Исполняют бюджет ИС и отвечают за него руководители бизнес- подразделений. Бюджет ИС в отдельные финансовые документы не оформляются.
Распределение ИС расходов.
В российской практике сложилось 3 способа распределения ИС расходов:
1.Все расходы списываются на ИС –подразделения ,соответствующие расчеты и их обоснование осуществляют ИС- специалисты. В организации создается отдельный документ- бюджет ИС.
Преимущества: достаточно простой и доступный способ управления ИС расходами.
Недостатки:
- отсутствует взаимосвязь между бизнес- подразделениями и ИС-специалистами ;
- ИС –подразделения становятся самым затратным в организации, что может привести к определенным конфликтам внутри организации;
-непрозрачность ИС расходов ,возможность финансовых злоупотреблений.
2.ИС расходы распределяются между бизнес-подразделениями организации. Каждое бизнес- подразделение определяет долю собственных ИИ ресурсов,стоимость их обслуживания и обновления, включают данные расходы в свой бюджет,
Самостоятельно управляет ИС расходами. В случае крупных ИС расходов , связанных с созданием ИС инвестиций, проект также осуществляется специалистами бизнес- подразделений.
Преимущества:
-взаимосвязь ИС персонала и бизнес-подразделений;
- повышение прозрачности ИС расходов, двойной контроль расходов.
Недостатки: сложность определения доли ресурсов ИС,а так же стоимости их обслуживания и содержания. Нельзя просто пропорционально распределить расходы между бизнес- подразделениями.
3.ИС-подразделения включает бизнес – подразделения и продает свои сервис-услуги как внутренним пользователям , а также и внешним пользователям.
Перед ИС- подразделениями ставиться задача получение прибыли. При оказании соответствующих услуг ИС- специалисты выписывают соответственные счета как внутренним так и внешним клиентам. Данный способ является наиболее эффективным, но возможен лишь в крупных расчетах взаимоотношений между бизнес- подразделениями.
Анализ ИС расходов.
При анализе ИС расходов можно использовать следующие методы:
1)сравнительный анализ – собственные расходы ИС организации можно сравнивать с данными прошлых лет,с данными конкурентов, лидеров отрасли и др.
2)структурный анализ- изучение структуры ИС расходов, их сбалансированности и адекватности.
В российской практике часто чрезмерно завышаются расходы на технические средства.
3) трендовый анализ - те изучение изменений динамики и структуры ИС расходов, выявление тенденций , расчет последних выявленных отклонений.
5 Информационная безопасность в организации
Понятие «безопасность» весьма широко и многообразно и покрывает самые разные сферы деятельности, начиная с экономической безопасности и заканчивая вопросами физической защиты персонала и охраны зданий и сооружений. Среди комплекса направлений деятельности присутствует и группа задач, связанная с обеспечением безопасности информационных ресурсов организации и относимая, в соответствии с устоявшейся практикой, к понятию «информационная безопасность».
Следует отметить, что в соответствии с принятыми в стране официальными взглядами (см. Доктрину информационной безопасности Российской Федерации, утвержденную Президентом Российской Федерации 9 сентября 2000 г.) понятие «информационная безопасность» рассматривают как одну из составляющих национальной безопасности, понимая ее как состояние защищенности национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Более того, в понятие «информационная безопасность» вкладываются такие направления деятельности, как обеспечение информационно-психологической безопасности общества с учетом влияния на нее средств массовой информации и т.д.
Доктриной вместе с тем определено, что национальные интересы Российской Федерации в информационной сфере включают в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем. В целях обеспечения национальной безопасности в соответствии с Доктриной необходимо:
-повысить безопасность информационных систем, включая сети связи финансово-кредитной и банковской сфер и сферы хозяйственной деятельности;
-обеспечить защиту сведений, составляющих государственную тайну.
Из сказанного следует, что в соответствии с логикой Доктрины применительно к интересам конкретной организации следует использовать термин «безопасность информационных систем» или «безопасность информационных технологий», что является прямым переводом широко используемого англоязычного термина information technology security (ITSEC).
В нашей стране к информационным ресурсам принято относить только техническую инфраструктуру, в лучшем случае — информацию, которая в ней обрабатывается, циркулирует или хранится. Из рассмотрения постоянно выпадает колоссальный (если не сказать главный) пласт вопросов, влияющих на обеспечение безопасности информационных систем: деятельность персонала, административная и юридическая поддержка. Между тем официальные интересы государственных структур сосредоточены на классических проблемах технической зашиты информации криптографическими или некриптографическими средствами от несанкционированного пользователя. Им может быть хакер, занимающаяся взломом шифров группа «исследователей», силы технической разведки, собственный сотрудник пытающийся получить доступ к ресурсам в нарушение предоставленных ему прав и т. д. Спору нет, это все очень важно, но что делать с собственными сотрудниками, действующими в рамках предоставленных им полномочий по доступу к ресурсам? Именно они и воруют те самые базы данных по владельцам недвижимости, движимости, телефонам, сводкам по криминалу и антикриминалу, базы данных ОВИР и многое другое, что в открытую продается на Горбушке и Тушинском рынке в Москве и распространяется через Internet.
Угрозы легального доступа
Остановимся теперь на различиях между субъектами несанкционированного и легального доступа.
Основные угрозы информационным ресурсам принадлежат двум большим группам и реализуются через следующие источники:
-лиц, не имеющих легального доступа к информационным ресурсам организации (так называемые "субъекты несанкционированного доступа");
-лиц, имеющих легальный доступ к ресурсам организации ("субъекты легального доступа").
Суть действий субъекта НСД заключается в обращении к информационным ресурсам путем организации «канала несанкционированного доступа». Такой канал может быть создан путем вскрытия защищающих информацию в каналах связи криптографических средств, использования несовершенства технических средств, создающих побочные излучения и наводки, взлома систем защиты компьютерной информации (в том числе, хакерские атаки), а также старинным методом вскрытия замков и сейфов с похищением (а чаще — с копированием) ценных документов. Все эти действия характеризуются высокой скрытностью и сопровождаются колоссальной степенью неопределенности для того, кто подвергается нападению. Неопределенность порождает практику постоянного совершенствования (на практике это означает удорожания) технических мер защиты.