Способы реализации концепции ИБ

На основе рекомендаций ТСSЕС ("Оранжевой книги") концепция ИБ может внедряться в следующей последовательности с уточнением ответов на перечень вопросов соответстующего этапа реализации:

(1) анализ текущего состояния информационныхпотоков и ресурсов с использованием МДФ (см.п.1 выше):

• какая информация нуждается в защите;

• наиболее критические элементы защищаемой информации;

• "жизненный цикл" или период критичности информации;

• ключевые элементы (индикаторы) содержания охраняемых сведений и информации;

• организационно-технологическое распределение индикаторов в фирме.

(2) прогнозирование возможных угроз и анализ связанных с ними рисков на основе "информационных кубиков":

• перечень заинтересованных в защищаемых сведениях субъектов;

• оценка методов получения сведений и информации заинтересованных в этом субъектов;

• оценка вероятных каналов утечки информации;

• перечень мероприятий по предупреждению действий со стороны субъектов угрозы ИБ.

(3) планирование мероприятий по предотвращению возникновения критических ситуаций с привлечением МОИБ (аналитико-экспертный уровень):

• эффективностьпринятых и постоянно действующихподсистем обеспечения ИБ;

• экономическая оценка предлагаемых мероприятий и методов.

(4) планирование мероприятий по выходу из возможных критических ситуаций (уровень ситуационного управления в МОИБ), перечень возможных дополнительных мер и средств.

(5) реализация принятых дополнительных мер с учетом заданных выше приоритетов и осуществление контроля.

Направления и содержание аналитико-информационной работы.

Опыт развития "управленческих" информационных систем во многих фирмах показывает, что их разработки начинались с систем контроля затрат и финансового состояния, а затем охватывали все новые виды внутрифирменных данных. Как правило, лишь после достаточно полной переработки внутренних информационных потоков внимание переключалось на систематическое накопление и использование внешней информации. Современные стратегические решения должны основываться на оценке факторов и сил, действующих как внутри организации, так и вне ее. Иными словами, организация должна располагать современной информацией для оценки тех экономических, политических, социальных, юридических и научно-технических факторов, которые могут повлиять на ее конкурентоспособность и экономическое положение в ближайшем будущем. Организация должна располагать также методами идентификации, сбора и анализа различных видов данных, полезных для определения будущей политики. Также нужна система передачи информации руководителям, использующим ее в своей деятельности. Вся система должна быть организована таким образом, чтобы своевременно выдавать точную и надежную информацию, являющейся основой для принятия важных решений, например, как в современной концепции "информационногохранилища". В качестве наиболее важных классов стратегической информации можно отметить следующие:

• О внешнем окружении (экономическая, политическая, социальная, юридическая, научно-техническая информация);

• О рынке;

• Об условиях конкуренции;

• О сильных и слабых позициях фирмы;

• О возможных обстоятельствах;

• О прошлой деятельности;

• О текущих проблемах и возможностях;

• О риске и неопределенности проводимых стратегий.

Накопление информации в большом объеме вызывает своеобразный качественный скачок, когда отдельные документы, не содержащие конфиденциальной информации, собираемые воедино, позволяет получить ценную, а подчас и конфиденциальную информацию.

Наиболее хорошо изученным и разработанным элементом любой информационной системы организации является информация из внутренних источников и более сложной задаче разработки систем информации о внешнем окружении, зачастую уделяется мало внимания. В контексте понимания хорошего управления в терминах потерянных или использованных возможностей информации о внешнем окружении приобретает важнейшее значение, поскольку большинство возможностей определяется окружением, а их выявление и оценка требует информации. Ниже в таблице 9.1. приводится процедура стратегического планирования в терминах ключевых источников информации о внешнем окружении и информационных подсистем о внешнем окружении на примере данных о деятельности производственной фирмы. Таким образом, с учетом вышеизложенного, АнИС должна обеспечить достижение следующих целей:

1) обеспечить своевременное поступление надежной и всесторонней информации о рынке, производстве, финансах и организационной технологии;

2) описать сценарии действий основных конкурентов, которые могут затрагивать текущие интересы фирмы;

8) постоянный мониторинг событий во внешней и конкурентной среде и на рынке, которые могут иметь значение для интересов фирмы;

4) обеспечить ИБ собственных информационных ресурсов;

5) обеспечить эффективность и исключить дублирования в сборе, анализе и распространении информации.

Таблица 9.1.

Процедура принятия решения, информационные подсистемы и источники информации.

Процедура принятия стратегического решения	Информационные подсистемы о внешнем окружении	Источники внешней информации
Оценка ситуации (каково текущее положение фирмы?)	Подсиетема репутации Подсистема потребителей	Потребители
Формулирование целей (каким представляется будущее фирмы?)	Подсистема потенциальных потребителей	Потенциальные потребители
Выявление ограничений (что может сдерживать фирму?)	Подсистема конкуренции Подсистема государствснного регулирования	Конкуренты Правительство
Выбор стратегий (что необходимо предпринимать для достижения поставленных целей?)	Подсистема важнейших разведывательных сведений

Процедурно деятельность АнИС может быть представлена и виде непрерывного цикла с обратными связями (рис. 9.2.):

• определение потребности в сведениях и организационных ресурсах для их сбора;
• сбор, обработка и анализ сведений;
• распределение информации по потребителям.

Рис. 9.2. Система сбора сведений о внешнем окружениии.

Здесь необходимо отработать процедуру систематизации добытых сведений, которая означает обеспечение определенности в ответах на вопросы:

• что нужно знать?

• где можно получить данные?

• кто будет собирать данные?

• кто будет анализировать и интерпретировать?

• как лучше хранить полученную информацию, чтобы эффективно использовать ее в будущем?

• как распространять полученную информацию, чтобы соответствующие лица рассматривали ее своевременно?

• как предохранить систему от "утечек" и саботажа?

Для ответа на вопрос "что нужно знать?" может быть полезным примерный перечень требующейся о конкуренте информации:

Информация о рынке:

• Цены, скидки, условия договоров, спецификация продукта.

• Объем, история, тенденции и прогноз для данного продукта.

• Доля на рынке и тенденции ее изменения.

• Рыночнаяполитика и планы.

• Отношенияс потребителями и репутация.

• Численность и размещение торговых агентов.

• Каналы,политика и методы сбыта; программа рекламы.
Информация о производствеи продукции:

• Оценка качества и эффективности.

• Номенклатура изделий.

• Технология и оборудование.

• Уровень издержек.

• Производственные мощности.

• Размещение и размер производственных подразделений и складов.

• Способ упаковки, доставка.

• Возможности проведения НИР.

Информация об организационных особенностях и финансах:

• Определение лиц, принимающих ключевые решения.

• Философия лиц, принимающих ключевые решения.

• Финансовые условия и перспективы.

• Программы расширения и приобретений.

• Главные проблемы/возможности.

• Программы НИР.

•

Источники потенциально важной информации и разнообразныеспособы ее использования настолько многочисленны, что для ограничения процесса отбора необходим план их сбора, позволяющий соотносить потребности в информация с ее потенциальными источниками. Для облегчения распространения и повышения его оперативности используются профили интересов потребителей информации (Рис.9.3.).

Рис. 9.3. Процесс сбора сведений о внешнем окружении

Перечень источников информации:

Торговые представители на местах; Отдел снабжения; Отдельные дилеры; Подразделения исследований и разработок; Финансовый отдел; Высшие управляющие; Деловые периодические издания; Книги; Промышленные справочные службы; Указатели деловой литературы; Правительственные источники; Профессиональные ассоциации; Соглашения о лицензиях; Покупатели; Поставщики; Сбытовые организации; Торговые ассоциации; Местная торговая палата; Местная пресса; Торговая пресса; Биржевые маклеры; Готовые отчеты; Проспекты; Собрания акционеров; Местные банки; Инвестиционные банки и т.д..

Собранные данные не являются информацией до тех пор, пока они не проанализированы и интерпретированы квалифицированным экспертом. Качество анализа и интерпретация в большой степени зависит от профессиональной принадлежности аналитика. В производственно-коммерческой фирме это означает, что наиболее подходящим лицом для интерпретации определенной информации является человек, обладающий ответственностью в соответствующей функциональной области (производство, менеджмент, маркетинг, финансы). Практически целесообразно иметь централизованный центр обработки информации - во многих случаях для начала бывает достаточно одного человека. Несмотря на то, что система базируется на официальных источниках, всегда следует анализировать информацию о конкуренте на предмет достоверности и надежности как ее источника, так и содержания.

При распространении анализированной информации следует установить правила ее распространения, с тем чтобы обеспечитьнеобходимую осторожность, но и не отказывать в информации тем, кто в ней нуждается.

С точки зрения эффективности обеспечения запросов всех функциональных подразделений рекомендуемая АнИС должна 6ыть автономнойи централизована в рамках определенного направления производственно - коммерческой деятельности. При большой диверсификации (разнообразии) производства АнИС может быть до некоторой степени децентрализована.