BzBook.ru

Обеспечение информационной безопасности бизнеса

2.1.1. Модели непрерывного совершенствования и корпоративное управление

Наряду с тезисом, вынесенным в преамбулу раздела, представляется необходимым сформулировать еще ряд тезисов, имеющих прямое и /или косвенное отношение к вопросам управления (даже не только и не столько управления, сколько обеспечения) информационной безопасности организации, как в целях улучшения (совершенствования), так и для целей поддержания (сохранения) безопасности на заданном уровне:

— в теории нет разницы между теорией и практикой, а на практике есть;

— безопасность и сложность несовместимы;

— безопасность всегда имеет тенденцию к ослаблению;

— любое изменение, вносимое в систему (операционную среду организации), в первую очередь ослабляет ее безопасность.

Обсуждая в формате книжного издания такую многогранную проблему, как управление (менеджмент), невозможно не затронуть вопросы теории, в то же время практика всегда дает «настройку» любой теории и в итоге прямо или косвенно выносит ей свой вердикт. Теория — это, как правило, продукт научных исследований и изысканий, в том числе и продукт анализа и синтеза наблюдаемых явлений; ее жизнеспособность должна опять же подтвердить практика (натурный эксперимент, опытная партия и т. п.). Далее будут рассмотрены вопросы теории и практические аспекты задачи менеджмента (управления), применимые для обеспечения информационной безопасности бизнеса.

Информация о наличии организационных структур в практике управления (менеджмента) обнаружена еще на глиняных табличках, датированных III тыс. до н. э. Однако, хотя само управление достаточно старо, идея управления как научной дисциплины, профессии, области исследований относительно нова. В наши дни в сфере управления организационно-техническими системами накоплен богатейший опыт, позволивший в начале ХХ в. определить управление как целостное направлении науки и техники, имеющее свои ветви и течения, приверженцев и оппонентов. Преимущественно началом ХХ в. датируется наибольшее число ветвей науки управления, получивших широкое распространение в наши дни. Одной из первых работ можно отметить «Принцип научного менеджмента» [2], опубликованный в 1911 г. Фредериком Тейлором, традиционно считающийся началом признания управления наукой и самостоятельной областью исследований. Понятия о систематизированном управлении организацией стали формироваться в середине XIX в. Успехи в теории управления всегда зависели от успехов в других, связанных с управлением областях, таких как инженерные науки, психология, социология, математика и др. По мере развития этих областей знаний теоретики и практики управления узнавали все больше о факторах, влияющих на успех организации. Руководители организаций, предприниматели, ученые стали глубже осознавать влияние внешних по отношению к организации сил и условий. Специальные исследования позволили разработать новые подходы в управлении.

Существенное влияние на используемые модели управления оказывали факторы экономической и социальной среды организаций, общественный строй и др. Перемены 1990-х гг. привели к востребованности в российской практике международного опыта, включающего принципы, модели, стандарты и практики управления, адаптированного к национальным условиям.

В то же время многое, имеющее отношение к управлению, определяется целями и задачами, решению которых должна отвечать система управления (объекта, деятельности, организации и т. п.).

Любая организация создается и функционирует для реализации каких-либо задач. Даже если взять абстрактный случай, когда организация создается не для достижения ею каких-либо целей, а для того, чтобы она номинально существовала, то для целей самосохранения компания обязана поддерживать некоторые виды деятельности (процессы) и иметь соответствующую систему управления.

Обобщенная модель корпоративного управления приведена на рис. 13. Корпоративное управление в общем случае имеет два уровня: «управление должностных лиц через совет директоров, выбираемый акционерами» и «управление деятельностью (бизнес-процессами/деловыми операциями), осуществляемое должностными лицами». Это верхний уровень управления, который следует иметь в виду всякий раз, когда идет речь о высшем руководстве организации, принимающем значимые решения в сфере менеджмента информационной безопасности бизнеса.

Обеспечение информационной безопасности бизнеса 2.1.1. Модели непрерывного совершенствования и корпоративное управление.

Если должностные лица не управляют корпорацией, управление должностных лиц через совет директоров, выбираемый акционерами, ничего не значит и никакие ожидания собственников (акционеров) не будут иметь под собой твердых оснований. Поэтому управление бизнес-процессами должностными лицами так называемого уровня правления (исполнительского уровня) имеет первостепенное значение. Это управление требует осуществления так называемого менеджмента.

Понятие «менеджмент» является для России заимствованным (американское определение менеджмента — «делать что-либо руками других» [3]). Несмотря на то что в последние десятилетия оно получило достаточно широкое распространение как в сфере экономики и финансов, так и в производственной деятельности, в среде специалистов по защите информации, структур, регулирующих вопросы технической защиты информации, чаще всего используются понятие «управление», нежели «менеджмент». В гармонизируемых в России в последнее десятилетие международных стандартах по информатизации и информационной безопасности англоязычное понятие management переводится и как «управление», и как «администрирование». В то же время понятия «менеджмент» и «управление» имеют свои, давно сформировавшиеся определения, данные в гармонизированных в России международных стандартах качества серии ГОСТ Р ИСО 9000, а также базовых модельных стандартах менеджмента риска и безопасности, таких как ГОСТ Р 51897 [4] и ГОСТ Р 51898 [5], отражающих гармонизированные (адаптированные) международные модельные руководства.

Так в стандартах ГОСТ Р ИСО 9000 понятие менеджмент определено как «скоординированная деятельность по руководству и управлению организацией». При этом поясняется, что «в английском языке термин “management” иногда относится к людям, т. е. к лицу или группе работников, наделенных полномочиями и ответственностью для руководства и управления организацией. Когда “management” используется в этом смысле, его следует всегда применять с определяющими словами с целью избежания путаницы с понятием “management”, определенным выше. Например, не одобряется выражение “руководство должно…”, в то время как “высшее руководство должно…” — приемлемо».

Для определенных практических целей представляется возможным использование как понятия «менеджмент», так и «управление» — как наиболее привычного для российских специалистов, четко определяя при этом то, что мы понимаем под этими понятиями в каждом конкретном случае.

По аналогии с неуправленческими видами деятельности предпринимались попытки выделить в процессе менеджмента определенные функции — концептуальные элементы в содержании работы руководителя. Результатом явилась функциональная модель управления, перекликающаяся с определенными Анри Файолем в 1916 г. административными операциями (предвидение, организация, распорядительство, координирование и контроль). Данная модель представляет процесс управления в виде замкнутого цикла: планирование — организация — мотивация (лидерство) — контроль.

Безусловно, функциональная модель представляет собой скорее абстракцию; как показали исследования Генри Минцберга, практическая сторона работы менеджера в значительной мере неструктурированна, дискретна и спонтанна. Минцберг выявил четыре общепринятых мифа (заблуждения) относительно содержания управленческого труда.

Миф № 1: работа менеджера (в российской практике — управленца того или иного звена и уровня) состоит в систематическом и сознательном планировании. Примеров такой позиции множество. Но ни один из исследователей не приводит достаточных свидетельств в ее пользу.

Факты. Целый ряд исследований показывает, что менеджерам приходится работать в чрезвычайно высоком темпе. Основные черты процесса управленческого труда — краткость, разнообразие и непрерывность. Менеджеры ориентированы прежде всего на действие.

Миф № 2: у хорошего менеджера нет никаких текущих обязанностей. Говорят, что менеджеры все время заняты разработкой грандиозных планов и распоряжениями, а все текущую работу поручают другим — не дело менеджера заниматься мелочами. Если воспользоваться распространенным сравнением, то можно сказать, что хороший менеджер, как и хороший дирижер, все отшлифовывает заранее, а затем сидит и наслаждается результатами своего труда, лишь реагируя на те или иные непредвиденные обстоятельства.

Факты. Менеджер действительно несет ответственность за принятие решений в непредвиденных обстоятельствах, но, помимо этого, он имеет массу текущих обязанностей, включая исполнение разного рода обязанностей, участие в переговорах, анализ и обработку информации, связывающей организацию с окружающим миром.

Миф № 3: для старших менеджеров требуется уже обработанная информация. С такой задачей лучше всего справляются формальные информационные подразделения. Согласно такому мнению, менеджер должен находиться на самой вершине иерархической системы информации. Такой менеджер «по переписке» вообще должен всю важную информацию получать от гигантских, всезнающих управленческих информационных систем.

Факты. На самом деле все обстоит иначе. У каждого менеджера есть свои собственные средства получения информации и данных: документы, телефон, запланированные встречи и встречи вне расписания, ознакомительные поездки. Иными словами, менеджеры активно пользуются вербальными средствами — телефоном и личными встречами.

Миф № 4 практический менеджмент — это профессия и наука (или вскоре станет таковой).

Факты. Если сопоставить это мнение с любыми определениями науки, оно явно неверно. Реальная работа менеджера далека от научных исследований. Наука включает в себя систематические, аналитически продуманные программы и процедуры. Но если мы даже толком не знаем, какие именно процедуры выполняет менеджер, как можно требовать от них научной аналитичности. Таким образом, все менеджерские программы: расписание, информационный процесс, принятие решений и т. д. — находятся в его голове. А потому, чтобы как-то описать эти программы, нам приходится полагаться на слова, суждения и интуицию. И очень редко мы отдаем себе отчет, что все это — не более чем знак нашего неведения.

Однако вернемся к вопросу моделей управления. Собственникам (см. рис. 13, акционеры, общее собрание акционеров) и их полномочному органу — совету директоров необходимы инструменты взаимодействия с исполнительными органами, обеспечивающие уверенность их в том, что принятые ими решения будут исполнены, ожидания от результатов деятельности организации будут иметь основания и т. п. В идеале любой собственник (как частный, так и государственный) желает так «настроить» деятельность организации, чтобы, единожды запустив ее работу, более не вмешиваться, а получать лишь дивиденды. Для удовлетворения подобных ожиданий модели и принципы управления организации должны подразумевать возможность (давать основу) реализации условий самосовершенствования, самоадаптации организации к изменениям ее среды, как внешней, так и внутренней.

Указанным потребностям в полной мере удовлетворяет упоминавшаяся ранее в предыдущем разделе модель (цикл) Деминга — Шухарта. Она легла в основу большинства современных управленческих стандартов для различных областей деятельности и «де-факто» становится базовой моделью. Как отмечается в книге Г. Нива «Пространство доктора Деминга» [6], «“Цикл Деминга” известен еще и как “Цикл Шухарта”, цикл “PDCA” или цикл “PDSA”». Деминг ссылается на него как на «Цикл Шухарта», поскольку его идея, по-видимому, имеет своим источником книгу Шухарта 1939 г. В то же время в практике обычно на него ссылаются как на «Цикл Деминга». Аббревиатура же циклов «PDCA» и «PDSA» раскрывается как «планируй — сделай — проверь — действуй» для PDCA и «планируй — сделай — изучи — действуй» для PDSA. Аббревиатура PDCA является наиболее распространенной, хотя сам Деминг более предпочитает использовать PDSA».

Книга Шухарта, как отмечает Г. Нив, начинается с выделения трех стадий в управлении качеством результатов деятельности организации:

— разработка «Спецификации» (техническое задание, технические условия, пределы и пороги, критерии достижения целей) того, что требуется;

— производство «Продукции», удовлетворяющей «Спецификации»;

— проверка («Контроль») произведенной «Продукции» для оценки ее соответствия «Спецификации».


Шухарт одним из первых предложил линейное восприятие указанных стадий замкнуть в цикл, который он отождествил с «динамическим процессом приобретения знаний». После первого цикла результаты «Контроля» должны являться основой совершенствования «Спецификации» на продукцию. Далее производственный процесс корректируется на основе уточненной «Спецификации», а новый результат производственного процесса опять же подвергается «Контролю» и т. д.

Три стадии цикла Шухарта: «Спецификация — производство Продукции — Контроль» — во многом подобны задачам первых трех стадий в циклах PDCA или PDSA Деминга. Как отмечает Г. Нив [см. 6], версия цикла Деминга, рассмотренная в его работе «Выход из кризиса» [7], хотя и имеет четыре стадии, но на самом деле ее третья и четвертая стадии («проверь» или «изучи» и «действуй») — это скорее результат разделения третьей стадии «контроль» модели Шухарта на две новые, более четко выделенные стадии, которые можно охарактеризовать как «наблюдение» и «анализ». Как и в случае с «циклом Шухарта», «цикл Деминга» представлен в виде, который позволяет понять, что последовательность шагов должна повторяться на качественно новом уровне, используя знания, накопленные на предшествующем цикле.

Здесь уместен достаточно наглядный пример практической реализации модели Деминга PDCA, имеющийся в книге Г. Нива [см. 6] и иллюстрирующий «работу» одной из стадий модели. Компания Nissan неожиданно для участников рынка начала скупать бывшие в употреблении малолитражные машины, включая разбитые, и отправлять их в Японию. Количество машин, приобретаемых компанией Nissan, измерялось в тысячах. Четырьмя годами позже вышла модель автомобиля Nissan Micra, которая была признанной одной из лучших в своем классе. Так вот, отгрузка в Японию подержанных и разбитых малолитражных машин было частью стадии (процесса) планирования для автомобиля Nissan Micra.

Уместен и еще один пример последних лет: когда организация принимает иную стратегию действий в связи с условиями на рынке (рынок достаточно насыщен, организация — новый участник рынка, необходимо оперативно занять свою нишу). Данная стратегия диаметрально противоположна рассмотренной стратегии компании Nissan и концентрирует усилия организации не на планировании, а на контроле — максимально оперативной реакции организации на мнение рынка и отзывы потребителей. В рамках освоения российского рынка один китайский автопроизводитель поставили группе московских дилеров первую партию из 200 автомобилей, абсолютно новых для нашего рынка. Продукция имела массу недостатков, как конструктивного, так и эстетического плана, и не выдерживала никакой критики (даже в соотношении цена/качество). Получив отзывы на первую партию, компания-производитель через три месяца направила следующую партию, в продукции которой около 80 % замечаний и недостатков были устранены, включая и те, что затрагивали техпроцесс изготовления изделия и изменения конструкции. Результат не заставил себя ждать — товар стал находить своего потребителя.

И в первом, и во втором примере мы видим работу моделей управления компанией, отвечающих модели (циклу) Деминга — Шухарта.

Модель Деминга фактически приводит нас к мысли о необходимости не только регулярного контроля, но и использования знаний, накопленных на предшествующих этапах модели или полных циклах, в совершенствовании своей деятельности. Используя подобную модель и рассматривая процессы (виды деятельности организации), управляемые согласно им во временной ретроспективе, мы получаем возможность спрогнозировать будущие результаты этих процессов. В связи с этим существуют интересные оценки возможностей системы управления (менеджмента) организации. Не более 15 % всех проблем (или возможностей улучшения) в организациях связано с возможной вариацией в реализации производственных процессов, которые могут быть в поле зрения рядовых работников. Тогда как на долю менеджеров приходится как минимум 85 % от всех потенциальных возможностей улучшений системы, в которой работают их служащие. После проверки этих чисел на протяжении многих лет д-р Деминг пересмотрел их и в 1985 г. дал новую оценку, соответственно 6 и 94 % [6].

Модель Деминга — Шухарта получила широкое применение не только в стандартах качества ГОСТ Р ИСО 9000 и экологии ГОСТ Р ИСО 14000, но и в стандартах иных видов деятельности организаций — не только отраслевых, таких как автомобилестроение и цепочки поставок и безопасность продуктов питания, но таких специфичных, как информатизация и безопасность. Везде, где объектом рассмотрения может быть деятельность и применим процессный подход, развивается и внедряется модель менеджмента, основывающаяся на циклической модели Деминга — Шухарта.

Со временем модель Деминга — Шухарта получила свое практическое применение на всех уровнях деятельности организации, связанной с безопасностью, и на всех направлениях обеспечения безопасности (экономической, информационной, физической и пр.). Фактически это является отражением того, что любая деятельность независимо от области применения должна изначально (по возможности тщательно) планироваться, а ее реализация наряду с поддержкой — контролироваться (проверяться) и при необходимости совершенствоваться, обеспечивая адаптацию к изменениям как в среде рассматриваемой системы, так и в ней самой.