Название: Аудит информационной безопасности - Курило А.П.

Жанр: Аудит

Рейтинг:

Просмотров: 939


1.1, структура и свойства процессов і систем

Любая система имеет внутренние состояния, внутренний механизм преобразования входных сигналов, данных в выходные (внутреннее описание) и внешние проявления (внешнее описание). Внутреннее описание дает информацию о поведении системы, о соответствии (не­соответствии) внутренней структуры системы заданным целям, подси­стемам (элементам) и ее ресурсам, внешнее описание — о взаимоот­ношениях с другими системами, с целями и ресурсами других систем.

В общем случае выделяют следующие свойства систем, которые явно или неявно каждый из нас учитывает в своей практической де­ятельности:

целостность — первичность целого по отношению к частям;

неаддитивность — принципиальная несводимость свойств си­стемы к сумме свойств составляющих ее компонентов;

синергичность — однонаправленность (или целенаправлен­ность) действий совокупности компонентов системы усиливает эффективность функционирования системы;

эмерджентность — наличие новых свойств и качеств у множе­ства компонентов системы, которых не было до объединения дан­ных компонентов в систему. При этом данные новые свойства и качества могут быть как отрицательными, так и положительными с точки зрения целей системы (цели (функции) компонентов системы не всегда совпадают с целями (функциями) системы);

мультипликативность— как позитивные, так и негативные эф­фекты функционирования компонентов в системе обладают свойством умножения, а не сложения;

 

 

взаимодействие и взаимозависимость системы и внешней среды;

структурность — возможны декомпозиция системы на компо­ненты, установление связей между ними;

иерархичность — каждый компонент системы может рассмат­риваться как система (подсистема) более широкой глобальной системы;

непрерывность функционирования (эволюция, стагнация, дег­радация);

целенаправленность — система всегда рассматривается отно­сительно некоторой (ых) цели (ей);

адаптивность — изначальное стремление к состоянию устой­чивого равновесия, которое предполагает адаптацию парамет­ров системы к изменяющимся параметрам внешней среды (од­нако «неустойчивость» не во всех случаях является дисфункциональной для системы, она может выступать и в ка­честве условия динамического развития);

альтернативность путей функционирования и развития;

наследственность;

приоритет интересов системы более широкого (глобального) уровня перед интересами ее компонентов или подсистем (на­пример, иерархические системы. Классическим примером та­кой системы является банк, имеющий сеть филиалов и кассо­вых центров, где каждый из филиалов и кассовых центров являет собой собственно систему, подчиненную головной орга­низации или центральному аппарату).

Примерами систем различной природы и архитектуры являются:

организация;

компьютерная система;

нервная система человека;

операционная система;

периодическая система химических элементов Менделеева;

система счисления;

солнечная система;

система уравнений;

техническая система;

файловая система;

экономическая система.

 

 

Понятие «система» используется и изучается уже давно и практи­чески во всех сферах деятельности людей [1]. Особый интерес к это­му понятию был проявлен в 60-80-е годы, когда появились основопо­лагающие работы по общей теории систем. Однако большинство современных авторов отмечает, что до сих пор нет единых методик не только синтеза, но и анализа систем, которые можно было бы при­менять в любой отрасли деятельности [2]. Основные идеи системного подхода были представлены в трудах известных ученых [3-11] и др.

В то же время приведенные выше основные постулаты и общие свойства систем в различных прикладных задачах должны рассматри­ваться не столь догматично (идеально), т.к. специфика той или иной системы, а также цели, для которых совокупность объектов рассмат­ривается как система, могут быть и не присущи данной отдельно взя­той системе (с чем часто и сталкиваются специалисты и службы безо­пасности). В общем случае система, например организация, может не обладать некоторыми характерными системными признаками, т.к., на­пример, ее структура может быть до некоторой степени неопределен­ной, а стало быть, не могут быть идентифицированы все ее элементы, или же система может быть нецеленаправленной, выделенной не под некоторую цель, а из иных потребностей, и, следовательно, не иметь определенной четко заданной функции или цели. Существует и такое мнение, что смысл системного подхода заключается в идее «черного ящика», исследование которого осуществляется путем изучения его реакций на оказываемые на него воздействия, что в принципе приме­нимо и применяется на практике аудиторами, но сопряжено с опреде­ленными условиями.

Другим недостатком системного подхода, отмечаемого, например, СИ. Материным [2], является то, что в общем случае способ анализа системы определяется не только целью анализа, но и субъективным ре­шением аналитика, т.к. априорно способ анализа в отсутствие сведе­ний по конкретному объекту оценки (системе) не определен во всех необходимых деталях. Аналогичная проблема возникает и при синтезе системы (сборке из частей целого), т.к. в большинстве случаев отсут­ствуют в необходимых деталях сведения по формальным операциям над множеством частей, хотя декларируется, что при соединении частей об­разуется новое свойство (системный эффект как свойство целого).

Немаловажным для практики оценочной деятельности является учет свойств иерархических систем. Среди таких свойств выделяют:

 

 

двойственность качеств элементов в системе — элемент одно­временно обладает индивидуальными и системными качества­ми. Персонал организации, являясь элементом системы — орга­низации, сохраняя свои индивидуальные качества, теряет полный спектр исходных качеств. Системное качество как бы забивает проявление собственных качеств элементов. Но пол­ностью этого не происходит никогда. Чем сложнее иерархи­ческая структура системы, тем выше ее индивидуальные каче­ства, тем четче они выступают в надсистеме, тем менее она связана с другими элементами (системами) надсистемы. На более низких уровнях происходит упрощение элементов (сис­темам не нужны «сложные» вещи, нужна простая полезная функция). В результате этого вещи начинают утрачивать свою самобытность, конкретную индивидуальность, становятся без­различными к своей вещественной индивидуальной форме. Утрата индивидуальности — это цена, «заплаченная» элемен­тами за приобретенную ими способность выражать отдельные стороны системных связей в иерархии (человек на производ­стве не субъект, не неповторимая индивидуальность, не тво­рец своих обстоятельств, он в общем случае элемент произ­водственного процесса);

диктат верхних уровней над нижними — основной порядок иерархии. Самый нижний уровень иерархии — рабочий орган или его рабочая часть (в каждой подсистеме свой рабочий орган). Поэтому все управляющие воздействия (сигналы) и энергия обязательно доходят до рабочего органа, заставляя его функционировать строго определенным образом; нечувствительность верхних уровней к изменениям на нижних, и наоборот — чувствительность нижних уровней к изменени­ям на верхних. Главное для надсистемы — выполнение подси­стемами своих функций;

выделение полезных функций на уровнях иерархии. Правиль­но организованная иерархическая структура выделяет на каж­дом уровне полезную функцию, эти функции складываются (взаимно усиливаются) на следующем уровне, при этом вред­ные функции на каждом уровне либо подавляются, либо к ним не добавляются новые. Самый верхний уровень иерархии вы­полняет обычно только стратегические и согласовательные

 

 

функции. При этом, чем выше уровень иерархии, тем более гибкой является структура, менее жесткие связи между эле­ментами, легче переставлять их и заменять. На нижних уров­нях более жесткая иерархия и связи. Рисунок 1 иллюстрирует типичный пример иерархической системы [12]. В заключение рассмотрения основ «системного подхода» остано­вимся еще на одном понятии — «сложность системы». Данное по­нятие носит, скорее, абстрактный, чем практический характер. Объяс­няется это тем, что пока не сложилось не только четкого определения понятия сложности, но и неясно, как измерить или оценить слож­ность и какими могут быть критерии и шкала такой оценки. Опреде­ление сложности через количество элементов системы (однородных или же иных) не отражает сути понятия сложности, а более тяготеет к размерности или же масштабу системы — «большая/средняя/ма­лая система».

 

Система

 

 

Система

 

 

 

Сис

тема

Элемент системы

 

 

 

 

 

Подпись: Элемент системыСистема

 

Элемент системы

Элемент системы

 

Система

Система

 

Элемент системы

 

 

 

Элемент системы

Элемент системы

Элемент системы

Элемент системы

Элемент системы

 

 

Рис. 1. Иерархическая система

 

 

 

Наиболее заслуживающим внимания является определение поня­тия сложности через степень зависимостей и взаимосвязей, включая общности и различия, компонентов (элементов) некоторой целевой системы (рис. 2).

Интуитивно человек именует сложным то, что затруднительно для его восприятия или понимания, а то, что «прозрачно», доступно для подсчета или же вычислений, имеет в наличии ясные значения параметров объек­та исследования, обычно не представляет для него сложности.

Рассматривая общности и различия компонентов (элементов) не­которой целевой системы, мы неизбежно приходим к необходимости оценки того, насколько эти общности и различия элементов системы влияют на состояние (цели) системы. Причем элементы системы мо­гут, что называется, быть однополярными и разнополярными. На прак­тике мы часто видим, как однополярные элементы системы, которые вне системы потенциально не могут иметь ничего общего (попробуй­те соединить однополюсные части магнита), в составе системы имеют связи, включая общие части (область пересечения элементов систе­мы — см. рис. 2). Это, по сути, может являться следствием воздей-

 

 

ствия неких процессов при рождении системы или в процессе ее де­ятельности. Данное состояние элементов системы не может быть ус­тойчивым, что непременно скажется в будущем на общем состоянии системы.

Общности и различия элементов системы не всегда выявляемы и «прозрачны» для исследователя, но их наличие непременно сказыва­ется на функционировании и жизни системы. Рассматривая организа­цию, мы знаем, что практически каждый ее компонент в той или иной мере связан с одними или более другими ее компонентами (как в рамках производственных задач, так и за их рамками), что сказывает­ся на результатах деятельности организации. Выявить и оценить та­кие связи, общности и различия весьма затруднительно, что и порож­дает «сложность» полноценного восприятия организации как системы.

 

.1.1. «Процессный подход»

Любая организация создается и функционирует для реализации тех или иных задач. Даже если взять абстрактный случай, когда органи­зация создается не для достижения ею каких-либо целей, а для того, чтобы она номинально существовала, то в целях самосохранения она обязана поддерживать некоторые виды деятельности (процессы). Пос­ледние десятилетия все большее распространение получил так назы­ваемый процессный подход, который рассматривает требования к де­ятельности в рамках системы (организации или ее подразделения) в виде процессов, ориентированных на достижение конечных результа­тов. При этом организация самих процессов может иметь как вло­женную, так и иерархическую структуру или комбинацию указанных структур.

Стандартно понятие «процесс» определяется как «совокупность взаимосвязанных или взаимодействующих видов деятельности, пре­образующая входы в выходы»1 [13]. Эти виды деятельности требуют распределения ресурсов, таких, как кадры и материалы. Рисунок 3 иллюстрирует общее представление процесса.

 

Со следующими примечаниями: 1) входами к процессу обычно являются выходы других процессов; 2) процессы в организации, как правило, планируются и осуществляются в управляемых условиях с целью добавления ценности; 3) процесс, в котором подтверж­дение соответствия конечной продукции затруднено или экономически нецелесообраз­но, часто относят к «специальному процессу».

 

Вход

Специфицированные требования — (включая ресурсы)

 

Взаимосвязанные или взаимодействующие виды деятельности и методы контроля

 

 

 

Рис. 3. Обобщенное представление процесса

 

Основное преимущество процессного подхода при сравнении с другими подходами заключается в менеджменте и контроле взаимо­действия между различными процессами и связующими звеньями в контексте функциональной иерархии (организационно-штатной струк­туры) организации.

Входы и намеченные выходы могут быть осязаемыми (оборудова­ние, материалы или компоненты) или неосязаемыми (энергия или информация). Выходы также могут быть и непредусмотренными (от­ходы или загрязнение).

Каждый процесс имеет клиентов и другие заинтересованные сто­роны (внутренние либо внешние по отношению к организации), кото­рые затрагиваются процессом и которые определяют требуемые вы­ходы в соответствии со своими потребностями и ожиданиями. Для надлежащего контроля процесса (рис. 3) должна использоваться сис­тема сбора данных, которые могут быть проанализированы для обес­печения информации о том, насколько эффективно функционирует процесс и имеется ли потребность в корректирующих мерах или со­вершенствовании.

Как отмечается в руководстве ИСО для использования стандартов серии ИСО 9000 [14], все процессы должны действовать в соответ-

 

 

ствии с целями организации и быть предназначены для увеличения ценности, соответствующего объему и сложности организации. При этом эффективность и продуктивность процесса (рис. 3) могут оцени­ваться посредством внутренних или внешних процессов проверки.

Целью процессного подхода является увеличение эффективности и продуктивности организации в достижении определенных ею целей.

Преимущества процессного подхода, как отмечается в [14], таковы:

интеграция и регулирование процессов, для того чтобы сде­лать возможным достижение запланированных результатов;

возможность сосредоточения усилий на эффективности и про­дуктивности процесса;

вселение уверенности в клиентов и другие заинтересованные стороны в отношении целенаправленного функционирования организации;

прозрачность операций в организации;

более низкие расходы и более короткая продолжительность производственного цикла в результате эффективного исполь­зования ресурсов;

улучшенные, последовательные и предсказуемые результаты;

обеспечение возможностей для целевых и приоритетных ини­циатив по совершенствованию;

—        содействие вовлечению людей и прояснению их обязанностей. В рамках организации в контексте процессного подхода с учетом

[14] могут быть идентифицированы следующие виды процессов:

процессы менеджмента (управления) организации включают процессы, относящиеся к стратегическому планированию, уста­новлению политик, постановке целей, обеспечению коммуни­кации, обеспечению доступности необходимых ресурсов и про­веркам, проводимым руководством;

процессы менеджмента ресурсов включают все процессы обес­печения ресурсами, которые необходимы для процессов менед­жмента организации, реализационных процессов и процессов измерения;

реализационные (основные производственные и вспомогатель­ные) процессы включают все процессы, обеспечивающие на­меченный результат деятельности для организации;

процессы измерения, анализа и совершенствования включают процессы, необходимые для измерения и сбора данных для ана-

 

 

лиза функционирования и совершенствования эффективности и продуктивности; процессы измерения, мониторинга и аудита, корректирующие и предупредительные меры. Они являются ин­тегрирующей частью процессов менеджмента, менеджмента ресурсов и реализационных процессов. Структура организаций обычно представляет собой иерархию фун­кциональных единиц. Менеджмент организацией обычно осуществля­ется вертикально с разделением ответственности за намеченные вы­ходы между функциональными единицами. Конечный потребитель или другая заинтересованная сторона не всегда отчетливо представляют­ся всеми сторонами, вовлеченными в производственную и управлен­ческую деятельности. В результате проблемы, возникающие на грани­цах взаимодействия структурных подразделений, часто считаются менее приоритетными, чем краткосрочные цели функциональных еди­ниц в организации. Это ведет к незначительному совершенствованию для заинтересованных сторон или к полному отсутствию совершен­ствования, т.к. действия обычно сосредоточиваются на функциях, а не на общей пользе для организации.

Процессный подход вводит так называемый горизонтальный ме­неджмент, пересекающий барьеры между различными функциональ­ными единицами и обращающий их внимание на основные цели орга­низации.

Функционирование организации может быть усовершенствовано посредством использования процессного подхода. Осуществление менеджмента процессов будет таким же, как и в случае системы, — путем создания и осмысления сети процессов и их взаимодействий.

Выходы одного процесса могут являться входами для других про­цессов и могут быть связаны в общую сеть или систему (общие при­меры взаимодействия процессов приведены на рис. 4 и 5).

Для целей практического применения процессного подхода в дея­тельности организации применяются соответствующие методы моде­лирования, такие как IDEF. Методология IDEF разработана в поддерж­ку программы интегрированной компьютеризации производства ICAM1, направленной на увеличение эффективности промышленных предпри­ятий посредством широкого внедрения компьютерных (информацион-

 

Программа ICAM (Integrated Computer Aided Manufacturing) была принята в конце 70-х гг. в США.

Выходы других процессов

Выходы других процессов

 

Входы для А

—н

 

Процесс А

 

Выходы А

Входы для В

Входы для С

 

Процесс В

 

Процесс С

 

Выходы В

Входы для D

 

Выходы С

 

Процесс D

 

 

Выходы D

 

Рис. 4. Пример общей процессной последовательности

 

Процессы менеджмента

 

 

 

 


Оцените книгу: 1 2 3 4 5