Главная страница
Навигация по странице:

  • Разработка / внедрение превентивных мер

  • Обеспечение информационной безопасности на предприятии

  • Защита серверов и рабочих станций.

  • Контроль и управление доступом.

  • Обеспечение конфиденциальности данных.

  • Защита от утечки данных.

  • Построение централизованной системы управления и монито- ринга средств информационной безопасности.

  • Видение и стратегия

  • Организационные изменения Часто не рассматриваются Рассматриваются Не рассматриваются Ограничения по вре- мени и стоимости

  • Управление измене- ниями

  • Принцип руковод- ства

  • Принципы плани- рования

  • Принципы монито- ринга

  • ПРОГРАММА ПРОЕКТОВ ПРИМЕР

  • Клиентская. Повышение уровня обслуживания и удовлетворенности пользователей. ‒ Процессная.

  • ЗараменскихУЖЦИСмонография-148-272. Управление жизненным циклом информационных систем


    Скачать 3.15 Mb.
    НазваниеУправление жизненным циклом информационных систем
    Дата14.03.2023
    Размер3.15 Mb.
    Формат файлаpdf
    Имя файлаЗараменскихУЖЦИСмонография-148-272.pdf
    ТипДокументы
    #989137
    страница8 из 12
    1   ...   4   5   6   7   8   9   10   11   12
    Разработка политики непрерывности бизнеса – определение тре- бований и основных принципов.
    2. Анализ влияния на бизнес BIA (business impact anaylsis) – опре- деление критических ИТ-ресурсов, приоритетов восстановления.
    3. Разработка / внедрение превентивных мер – внедрение и управ- ление активностями.
    4. Определение стратегии восстановления.
    5. Создание плана обеспечения непрерывности бизнеса BCP.
    6. Тестирование и обучение персонала.
    7. Эксплуатация плана BCP – в т.ч. мониторинг реализации и об- новление плана, взаимодействие с внешними контрагентами по во- просам непрерывности бизнеса.
    Обеспечение информационной безопасности на предприятии
    Цель информационной безопасности – обеспечить бесперебойную ра- боту организации и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму. С точки зрения безопасности все виды информации, включая бу- мажную документацию, базы данных, информационные системы, съемные носители, разговоры и другие способы, используемые для передачи знаний и идей, требуют надлежащей защиты. Информация и поддерживающие еѐ информационные системы и сети являются ценными производственными ресурсами организации. Их доступность, целостность и конфиденциаль- ность является приоритетными направлениями программы развития ин- формационной безопасности.
    В основе развития информационной безопасности на предприятии час- то находится риск-ориентированный подход, который подразумевает опти- мальный набор средств защиты в соответствии с уровнем угрозы и возмож- ными последствиями, определенными в ходе анализа рисков. Контроль и обеспечение защиты осуществляется на всех уровнях системы/предприятия в зависимости от потенциальных угроз и включает такие механизмы, как:
    Сетевая безопасность.
    На этом уровне реализуются задачи защиты внешнего периметра и ло- кальной сети:

    Потоковое сканирование входящего трафика.

    IPSEC/SSL VPN сервера, в т.ч. поддержка мобильных устройств, удаленного доступа, токенов, RSA-сертификатов.

    Выявление / блокирование атак, вирусов, вредоносного ПО.

    Предотвращение вторжений.

    Веб-фильтрация по предустановленным категориям трафика ме- жду объектами ЛВС и глобальной сетью.

    УПРАВЛЕНИЕ ЖИЗНЕННЫМ ЦИКЛОМ ИНФОРМАЦИОННЫХ СИСТЕМ
    203
    При выборе конкретных программных средств для защиты внешнего пе- риметра в первую очередь важны критерии пропускной способности, высо- кой доступности сервиса и устойчивости к атакам на отказ в обслуживании.
    Пользователи подсети более низкого уровня безопасности не должны иметь доступ в сеть более высокого уровня, пользователи сетей одинакового уровня безопасности не должны иметь доступ в сети друг друга без явного разрешения в политике безопасности, пользователи сетей более высокого уровня безопасности должны иметь возможность взаимодействия с осталь- ными частями сети.
    При построении беспроводных сетей должны использоваться протоко- лы, с поддержкой механизмов аутентификации пользователей, взаимной ау- тентификации между беспроводным устройством и точкой доступа, шифро- вания передаваемых данных, а также обязательное физическое разделение беспроводных и локальных сегментов, с направлением трафика беспровод- ного сегмента на выделенный интерфейс межсетевого экрана. При органи- зации гостевого сегмента, его пользователям доступ может быть разрешен только в публичные сети.
    При подключении в локальную сеть каждый пользователь должен про- ходить обязательную проверку на наличие работающего антивируса, акту- альности базы антивируса, установки критичных обновлений операционной системы и т.д.
    Защита серверов и рабочих станций.
    Защита от несанкционированного доступа и воздействия вредоносного
    ПО на пользовательские и системные файлы
    Защита серверного оборудования, рабочих станций и мобильных уст- ройств:

    Антивирусная защита.

    Межсетевое экранирование трафика на конечном устройстве.

    Контроль целостности файлов.
    Контроль и управление доступом.
    Создание централизованной системы идентификации и управления доступом пользователей к корпоративным информационным ресурсам:

    Централизованное ведение учетных записей пользователей.

    Поддержка ролевой модели предоставления доступа пользователям.

    Поддержка механизмов согласования со средствами локального администрирования систем.

    Поддержка Single sign-on, многофакторной аутентификации и пр.
    Обеспечение конфиденциальности данных.
    Обеспечение конфиденциальности данных, обрабатываемой и храня- щейся в информационно-телекоммуникационных системах (в частности, в области коммерческой тайны и персональных данных сотрудников, клиен- тов, контрагентов):

    ГЛАВА 3. Особенности управления проектами по внедрению КИС
    204

    Использование меток данных.

    Шифрование данных.

    Управление сертификатами ЭЦП.

    Мониторинг доступа пользователей к данным.

    Контроль печати конфиденциальных документов и записи ин- формации на внешние носители данных.
    Защита от утечки данных.
    Функции контентной фильтрации трафика, URL фильтрации, e-mail филь- трации, а так же контроль съемных носителей и печати конфиденциальных документов.
    Построение централизованной системы управления и монито-
    ринга средств информационной безопасности.
    Внедрение совокупности решений в централизованную систему мони- торинга для обеспечения контроля событий ИБ и оценки защищенности инфраструктурных компонентов:
    1. устройств сетевой безопасности;
    2. конечных устройств;
    3. системы централизованного управления доступом;
    4. dlp компонент;
    5. системы сканирования уязвимостей;
    6. прочие средства безопасности.
    Проводятся также следующие активности:
    ‒ Инвентаризация информационных активов.
    ‒ Ведение / анализ журналов / логов сетевого оборудования, межсе- тевых экранов, операционных систем, СУБД, приложений.
    ‒ Аудит управления обновлениями.
    ‒ Тестирование на проникновение.
    При реализации инициатив необходимо не только провести интеграцию отдельных технических решений, но и принять ряд организационных мер:
    ‒ Разработать соответствующее методологическое обоснование (де- тальная политика безопасности, роли и матрица доступа пользова- телей всех приложений, классификация инцидентов информацион- ной безопасности и т.д.).
    ‒ Подготовить организационно-распорядительные документы по управлению и взаимодействию в области информационной безо- пасности.
    ‒ Зафиксировать зоны ответственности подразделений.
    3.4.3. Управление программой проектов
    Когда в организации реализуются несколько взаимосвязанных проектов, либо объединенных временными / ресурсными ограничениями, либо имею-

    УПРАВЛЕНИЕ ЖИЗНЕННЫМ ЦИКЛОМ ИНФОРМАЦИОННЫХ СИСТЕМ
    205 щих перед собой одну цель, следует говорить о программе / портфеле про-
    ектов. Два эти понятия разные по своей сути, но часто используются в ка- честве синонимов – и поэтому важно в самом начале прояснить существую- щие различия.
    Выделим все различия в табличной форме (на основании Стандарта по управлению программами, разработанному в 2006 году составителем
    PMBoK – институтом PMI и Руководства ICB IPMA).
    Проект
    Программа
    Портфель проектов
    Основная цель
    Проекты уникальны по сути и имеют четкие результаты
    При реализации программы изме- няются многие условия и элемен- ты для соответствия ожидаемым выгодам
    Портфели проектов концен- трируются на бизнес-актив- ностях, меняющихся с изме- нением стратегических целей компании
    Видение и стратегия Определяются в ТЭО проекта Реализуются в рамках программы
    Проводится мониторинг порт- феля на соответствие стра- тегии
    Бизнес-выгоды
    Не рассматриваются в рамках проекта
    Являются основным элементом программы
    Часто не рассматриваются
    Организационные
    изменения
    Часто не рассматриваются
    Рассматриваются
    Не рассматриваются
    Ограничения по вре-
    мени и стоимости
    Определяются в начале про- екта и постоянно осуществ- ляется их мониторинг
    Относятся к конкретным проектам внутри программы
    Базируются на приоритетах и стратегических целей конкрет- ного портфеля проектов
    Управление измене-
    ниями
    Менеджер проектов старает- ся минимизировать необхо- димость изменений
    Менеджеры программ принимают происходящие изменения
    Менеджеры портфеля проек- тов проводят регулярный мо- ниторинг изменений
    Измерение успеха
    Успех измеряется соответст- вием плану по бюджету, сро- кам и содержанию/качеству работ
    Успех измеряется в достижении вы- год, реализации стратегических пре- имуществ, положительном ROI
    Успех измеряется в терминах интегрированного успеха ком- понентов портфеля проектов
    Стиль лидерства
    Стиль лидерства основыва- ется на выполнении задач для достижения целевых по- казателей
    Стиль лидерства основывается на управлении взаимоотношениями сторон и разрешении конфликтов при соблюдении интересов стейк- холдеров
    Стиль лидерства основывает- ся на добавочной ценности, привносимой в процесс при- нятия решений
    Принцип руковод-
    ства
    Менеджеры проекта руково- дят специалистами в команде
    Менеджеры программ руководят менеджерами проектов
    Менеджеры портфеля проек- тов координируют своих под- чиненных (в офисе управле- ния проектами)
    Принципы плани-
    рования
    Детальное планирование для обеспечения выполнения работ
    Высокоуровневое планирование всех проектов
    Акцент не на планировании, а на создании и поддержке необ- ходимых процессов и комму- никаций в портфеле проектов
    Принципы монито-
    ринга
    Менеджеры проектов прово- дят мониторинг задач и работ для выполнения проекта
    Менеджеры программ организуют мониторинг проектов и текущую работу через структуры корпора- тивного управления
    Менеджеры портфеля проек- тов контролируют интегриро- ванные показатели эффектив- ности проектов
    Дальнейшие шаги будем рассматривать на примере управления програм- мой проектов, как более сложной структуры, фокусирующейся не только на формальных ограничениях и методах балансировки проектов, но и на страте- гическом аспекте их выбора. Программой проектов в данном контексте и тер- минологии будет являться объединенный общей целью и условиями выполне- ния набор проектов, реализация которого призвана обеспечить соответствие ожидаемым выгодам. В таком случае важен именно совокупный эффект от выполнения всей программы, а не отдельные результаты каждого из проектов.

    ГЛАВА 3. Особенности управления проектами по внедрению КИС
    206
    ЭТАП
    ЭТАП
    ЭТАП
    ЭТАП
    ЭТАП
    ЭТАП
    ЭТАП
    ЭТАП
    ЭТАП
    ЭТАП
    ЭТАП
    ПРОЕКТ
    (по проектированию системы)
    ПРОЕКТ
    (по модернизации системы)
    ПРОЕКТ
    (создания системы электронного документооборота )
    ПРОЕКТ
    ПРОЕКТ
    ПРОГРАММА ПРОЕКТОВ
    ПРИМЕР
    Рассмотрим программу проектов, цель которой – «Организация обеспечения
    информационной поддержкой управления сетью распределенных мультифунк-
    циональных придорожных комплексов». При этом среди предоставляемых на
    комплексе услуг: терминалы оплаты, вендинговые автоматы, кафе с wifi – и
    разумеется, сама заправка (газом / нефтепродуктами/стеклоомывающей жид-
    костью). Соответственно, среди систем автоматизации будут как минимум:

    Система управления автозаправочным комплексом;

    Система управления гостиничным комплексом;

    Система управления розничной торговлей в региональной сети АЗК,

    Развитие мультисервисной корпоративной сети;

    Развитие ИТ-инфраструктуры в центральном офисе;

    Внедрение систем безопасности и охраны:

    Система видеонаблюдения внутренней территории комплекса;

    Автоматическая паркинг-система;

    Система регистрации автомобильных номеров (въезды / выезды на тер-
    ритории комплекса);

    Система видеонаблюдения касс;

    Другие системы.
    Соответственно, подобная автоматизация бизнес-процессов и построение
    комплекса (в значительной части, с инфраструктурной точки зрения) не могут
    происходить одновременно – и важно корректно расставить приоритеты и
    определить те системы, создание которых является необходимым условием
    для реализации следующих.
    Так, в построении систем безопасности и охраны с большой долей вероятно-
    сти будут задействованы другие специалисты, нежели в автоматизации про-
    цессов розничной торговли, а также масштаб и длительность второго проек-
    та превысят аналогичные показатели первого. Это необходимо также учиты-
    вать при планировании персонала на проекты и заключении контрактов на их
    реализацию.
    Однако для успешного прохождения всего жизненного цикла крайне важен учет тесной взаимосвязи ее этапов как отдельных проектов. К тому же, неизбежно и их взаимодействие с прочими реализующимися компанией проектами, возможно, в рамках борьбы за совместно используемые ресур- сы. Соответственно, удобнее и целесообразнее рассматривать жизненный

    УПРАВЛЕНИЕ ЖИЗНЕННЫМ ЦИКЛОМ ИНФОРМАЦИОННЫХ СИСТЕМ
    207
    цикл ИС до этапа эксплуатации как единую программу проектов, плани- рование которой, как правило, осуществляется «сверху вниз», в силу необ- ходимости распределения временных, денежных и прочих ресурсов. Крити- ческим фактором успеха является логическая связь этапов/проектов (опре- деляемая выбранной моделью жизненного цикла). На схеме ниже приведен пример для каскадной модели.
    ЭТАП
    ЭТАП
    ЭТАП
    ЭТАП
    ЭТАП
    ЭТАП
    ПРОЕКТ ПРОЕКТ ПРОЕКТ
    ПРОГРАММА ПРОЕКТОВ
    ПРИМЕР
    Если, как уже было сказано, жизненный цикл информационной системы может
    рассматриваться как целая программа проектов, разберем отдельно проект
    по модернизации на примере системы бухгалтерского учета, проведенный рос-
    сийской компанией – системным интегратором.
    Допустим, компания (головной офис которой находится в одной из европейских
    стран) во всех российских подразделениях использовала Microsoft Dynamics Nav
    версии 3.01. При анализе и сборе требований, предшествующем модернизации,
    было определено что с ростом масштабов бизнеса, числа операций, количества
    пользователей возникла необходимость расширения ее функциональных воз-
    можностей и поддержки вдвое увеличившегося числа одновременно работаю-
    щих в системе сотрудников.
    В результате было принято решение модернизировать ИС для обеспечения
    полноценного учета финансовой деятельности (по двум стандартам: РСБУ и
    US GAAP); получения информации из систем других филиалов компании (для че-
    го понадобится разработка интеграционного решения и интерфейсов), увели-
    чения скорости обработки данных.
    При подготовке технического задания на модернизацию был проведен анализ всех
    финансовых операций, сформирована схема работы сотрудников в системе (с
    проверкой вводимых данных, оптимизацией многих процедур), а также выбрано
    программное решение в качестве платформы для модернизации (Microsoft
    Dynamics Nav, только уже версии 4.0).
    По итогам разработки / настройки и тестирования получена модернизирован-
    ная информационная система с расширенной функциональностью (например,
    выгрузка данных по контрактам во вновь интегрированную систему оператив-
    ного учета), увеличенным быстродействием и более эффективным использова-
    нием аппаратных ресурсов (за счет обновленной версии ПО).
    А значит, действительно, этап модернизации (как и остальные стадии, за исключением эксплуатации) имеет признаки проектной деятельности, и

    ГЛАВА 3. Особенности управления проектами по внедрению КИС
    208 каждым из этапов можно управлять через определение конечного результата проекта, а также временных и стоимостных ограничений.
    3.4.4. Сбалансированная система показателей (BSC)
    Концепция Сбалансированной системы показателей BSC впервые была представлена в работах Каплана и Нортона, определивших набор показате- лей, позволяющих руководителям компаний получить полную высокоуров- невую картину состояния бизнеса и адекватно оценить степень реализации своего видения / стратегии, их внешние и внутренние перспективы. Пред- ставляя модель как инструмент стратегического управления, авторы пред- ложили, исходя из видения развития компании определять цели, показатели эффективности (финансовые и нефинансовые), их целевые значения и ини- циативы по достижению.
    Всего в BSC выделяется четыре основные точки зрения / перспективы, по сути являющиеся основными направлениями развития любой компании, для которых и определяются в дальнейшем стратегические цели:
    Финансовая.
    Бизнес-выгоды от реализации проектов.
    Клиентская.
    Повышение уровня обслуживания и удовлетворенности пользователей.
    Процессная.
    Совершенствование процессов, обеспечение качества и внутренней эф- фективности.
    Обучение и развитие.
    Эффективность управления персоналом, мотивацией, знаниями. Управ- ление инновациями.
    Эти четыре перспективы находятся в иерархической взаимосвязи между собой.
    ПРИМЕР
    Эффективность обучения персонала и инновационных активностей оказывает
    непосредственное влияние на внутренние бизнес-процессы, эффективность
    деятельности (производства). Правильно выстроенные внутри компании биз-
    нес-процессы способствуют повышению удовлетворенности клиентов, усили-
    вают рыночную позицию. Высокий уровень обслуживания и устойчивое поло-
    жение на рынке повышают финансовые показатели, что в целом говорит об
    успехе компании.
    Для всех стратегических целей в соответствии с BSC определяются ос- новные
    1   ...   4   5   6   7   8   9   10   11   12


    написать администратору сайта