Название: Аудит информационной безопасности - Курило А.П.

Жанр: Аудит

Рейтинг:

Просмотров: 1521

1.1, структура и свойства процессов і систем

Любая система имеет внутренние состояния, внутренний механизм преобразования входных сигналов, данных в выходные (внутреннее описание) и внешние проявления (внешнее описание). Внутреннее описание дает информацию о поведении системы, о соответствии (не­соответствии) внутренней структуры системы заданным целям, подси­стемам (элементам) и ее ресурсам, внешнее описание — о взаимоот­ношениях с другими системами, с целями и ресурсами других систем.

В общем случае выделяют следующие свойства систем, которые явно или неявно каждый из нас учитывает в своей практической де­ятельности:

целостность — первичность целого по отношению к частям;

неаддитивность — принципиальная несводимость свойств си­стемы к сумме свойств составляющих ее компонентов;

синергичность — однонаправленность (или целенаправлен­ность) действий совокупности компонентов системы усиливает эффективность функционирования системы;

эмерджентность — наличие новых свойств и качеств у множе­ства компонентов системы, которых не было до объединения дан­ных компонентов в систему. При этом данные новые свойства и качества могут быть как отрицательными, так и положительными с точки зрения целей системы (цели (функции) компонентов системы не всегда совпадают с целями (функциями) системы);

мультипликативность— как позитивные, так и негативные эф­фекты функционирования компонентов в системе обладают свойством умножения, а не сложения;

взаимодействие и взаимозависимость системы и внешней среды;

структурность — возможны декомпозиция системы на компо­ненты, установление связей между ними;

иерархичность — каждый компонент системы может рассмат­риваться как система (подсистема) более широкой глобальной системы;

непрерывность функционирования (эволюция, стагнация, дег­радация);

целенаправленность — система всегда рассматривается отно­сительно некоторой (ых) цели (ей);

адаптивность — изначальное стремление к состоянию устой­чивого равновесия, которое предполагает адаптацию парамет­ров системы к изменяющимся параметрам внешней среды (од­нако «неустойчивость» не во всех случаях является дисфункциональной для системы, она может выступать и в ка­честве условия динамического развития);

альтернативность путей функционирования и развития;

наследственность;

приоритет интересов системы более широкого (глобального) уровня перед интересами ее компонентов или подсистем (на­пример, иерархические системы. Классическим примером та­кой системы является банк, имеющий сеть филиалов и кассо­вых центров, где каждый из филиалов и кассовых центров являет собой собственно систему, подчиненную головной орга­низации или центральному аппарату).

Примерами систем различной природы и архитектуры являются:

организация;

компьютерная система;

нервная система человека;

операционная система;

периодическая система химических элементов Менделеева;

система счисления;

солнечная система;

система уравнений;

техническая система;

файловая система;

экономическая система.

Понятие «система» используется и изучается уже давно и практи­чески во всех сферах деятельности людей [1]. Особый интерес к это­му понятию был проявлен в 60-80-е годы, когда появились основопо­лагающие работы по общей теории систем. Однако большинство современных авторов отмечает, что до сих пор нет единых методик не только синтеза, но и анализа систем, которые можно было бы при­менять в любой отрасли деятельности [2]. Основные идеи системного подхода были представлены в трудах известных ученых [3-11] и др.

В то же время приведенные выше основные постулаты и общие свойства систем в различных прикладных задачах должны рассматри­ваться не столь догматично (идеально), т.к. специфика той или иной системы, а также цели, для которых совокупность объектов рассмат­ривается как система, могут быть и не присущи данной отдельно взя­той системе (с чем часто и сталкиваются специалисты и службы безо­пасности). В общем случае система, например организация, может не обладать некоторыми характерными системными признаками, т.к., на­пример, ее структура может быть до некоторой степени неопределен­ной, а стало быть, не могут быть идентифицированы все ее элементы, или же система может быть нецеленаправленной, выделенной не под некоторую цель, а из иных потребностей, и, следовательно, не иметь определенной четко заданной функции или цели. Существует и такое мнение, что смысл системного подхода заключается в идее «черного ящика», исследование которого осуществляется путем изучения его реакций на оказываемые на него воздействия, что в принципе приме­нимо и применяется на практике аудиторами, но сопряжено с опреде­ленными условиями.

Другим недостатком системного подхода, отмечаемого, например, СИ. Материным [2], является то, что в общем случае способ анализа системы определяется не только целью анализа, но и субъективным ре­шением аналитика, т.к. априорно способ анализа в отсутствие сведе­ний по конкретному объекту оценки (системе) не определен во всех необходимых деталях. Аналогичная проблема возникает и при синтезе системы (сборке из частей целого), т.к. в большинстве случаев отсут­ствуют в необходимых деталях сведения по формальным операциям над множеством частей, хотя декларируется, что при соединении частей об­разуется новое свойство (системный эффект как свойство целого).

Немаловажным для практики оценочной деятельности является учет свойств иерархических систем. Среди таких свойств выделяют:

двойственность качеств элементов в системе — элемент одно­временно обладает индивидуальными и системными качества­ми. Персонал организации, являясь элементом системы — орга­низации, сохраняя свои индивидуальные качества, теряет полный спектр исходных качеств. Системное качество как бы забивает проявление собственных качеств элементов. Но пол­ностью этого не происходит никогда. Чем сложнее иерархи­ческая структура системы, тем выше ее индивидуальные каче­ства, тем четче они выступают в надсистеме, тем менее она связана с другими элементами (системами) надсистемы. На более низких уровнях происходит упрощение элементов (сис­темам не нужны «сложные» вещи, нужна простая полезная функция). В результате этого вещи начинают утрачивать свою самобытность, конкретную индивидуальность, становятся без­различными к своей вещественной индивидуальной форме. Утрата индивидуальности — это цена, «заплаченная» элемен­тами за приобретенную ими способность выражать отдельные стороны системных связей в иерархии (человек на производ­стве не субъект, не неповторимая индивидуальность, не тво­рец своих обстоятельств, он в общем случае элемент произ­водственного процесса);

диктат верхних уровней над нижними — основной порядок иерархии. Самый нижний уровень иерархии — рабочий орган или его рабочая часть (в каждой подсистеме свой рабочий орган). Поэтому все управляющие воздействия (сигналы) и энергия обязательно доходят до рабочего органа, заставляя его функционировать строго определенным образом; нечувствительность верхних уровней к изменениям на нижних, и наоборот — чувствительность нижних уровней к изменени­ям на верхних. Главное для надсистемы — выполнение подси­стемами своих функций;

выделение полезных функций на уровнях иерархии. Правиль­но организованная иерархическая структура выделяет на каж­дом уровне полезную функцию, эти функции складываются (взаимно усиливаются) на следующем уровне, при этом вред­ные функции на каждом уровне либо подавляются, либо к ним не добавляются новые. Самый верхний уровень иерархии вы­полняет обычно только стратегические и согласовательные

функции. При этом, чем выше уровень иерархии, тем более гибкой является структура, менее жесткие связи между эле­ментами, легче переставлять их и заменять. На нижних уров­нях более жесткая иерархия и связи. Рисунок 1 иллюстрирует типичный пример иерархической системы [12]. В заключение рассмотрения основ «системного подхода» остано­вимся еще на одном понятии — «сложность системы». Данное по­нятие носит, скорее, абстрактный, чем практический характер. Объяс­няется это тем, что пока не сложилось не только четкого определения понятия сложности, но и неясно, как измерить или оценить слож­ность и какими могут быть критерии и шкала такой оценки. Опреде­ление сложности через количество элементов системы (однородных или же иных) не отражает сути понятия сложности, а более тяготеет к размерности или же масштабу системы — «большая/средняя/ма­лая система».

Система

Система

Элемент системы

Система

Элемент системы

Элемент системы

Система

Система

Элемент системы

Элемент системы

Элемент системы

Элемент системы

Элемент системы

Элемент системы

Рис. 1. Иерархическая система

Наиболее заслуживающим внимания является определение поня­тия сложности через степень зависимостей и взаимосвязей, включая общности и различия, компонентов (элементов) некоторой целевой системы (рис. 2).

Интуитивно человек именует сложным то, что затруднительно для его восприятия или понимания, а то, что «прозрачно», доступно для подсчета или же вычислений, имеет в наличии ясные значения параметров объек­та исследования, обычно не представляет для него сложности.

Рассматривая общности и различия компонентов (элементов) не­которой целевой системы, мы неизбежно приходим к необходимости оценки того, насколько эти общности и различия элементов системы влияют на состояние (цели) системы. Причем элементы системы мо­гут, что называется, быть однополярными и разнополярными. На прак­тике мы часто видим, как однополярные элементы системы, которые вне системы потенциально не могут иметь ничего общего (попробуй­те соединить однополюсные части магнита), в составе системы имеют связи, включая общие части (область пересечения элементов систе­мы — см. рис. 2). Это, по сути, может являться следствием воздей-

ствия неких процессов при рождении системы или в процессе ее де­ятельности. Данное состояние элементов системы не может быть ус­тойчивым, что непременно скажется в будущем на общем состоянии системы.

Общности и различия элементов системы не всегда выявляемы и «прозрачны» для исследователя, но их наличие непременно сказыва­ется на функционировании и жизни системы. Рассматривая организа­цию, мы знаем, что практически каждый ее компонент в той или иной мере связан с одними или более другими ее компонентами (как в рамках производственных задач, так и за их рамками), что сказывает­ся на результатах деятельности организации. Выявить и оценить та­кие связи, общности и различия весьма затруднительно, что и порож­дает «сложность» полноценного восприятия организации как системы.

.1.1. «Процессный подход»

Любая организация создается и функционирует для реализации тех или иных задач. Даже если взять абстрактный случай, когда органи­зация создается не для достижения ею каких-либо целей, а для того, чтобы она номинально существовала, то в целях самосохранения она обязана поддерживать некоторые виды деятельности (процессы). Пос­ледние десятилетия все большее распространение получил так назы­ваемый процессный подход, который рассматривает требования к де­ятельности в рамках системы (организации или ее подразделения) в виде процессов, ориентированных на достижение конечных результа­тов. При этом организация самих процессов может иметь как вло­женную, так и иерархическую структуру или комбинацию указанных структур.

Стандартно понятие «процесс» определяется как «совокупность взаимосвязанных или взаимодействующих видов деятельности, пре­образующая входы в выходы»1 [13]. Эти виды деятельности требуют распределения ресурсов, таких, как кадры и материалы. Рисунок 3 иллюстрирует общее представление процесса.

Со следующими примечаниями: 1) входами к процессу обычно являются выходы других процессов; 2) процессы в организации, как правило, планируются и осуществляются в управляемых условиях с целью добавления ценности; 3) процесс, в котором подтверж­дение соответствия конечной продукции затруднено или экономически нецелесообраз­но, часто относят к «специальному процессу».

Вход

Специфицированные требования — (включая ресурсы)

> 

Взаимосвязанные или взаимодействующие виды деятельности и методы контроля

Рис. 3. Обобщенное представление процесса

Основное преимущество процессного подхода при сравнении с другими подходами заключается в менеджменте и контроле взаимо­действия между различными процессами и связующими звеньями в контексте функциональной иерархии (организационно-штатной струк­туры) организации.

Входы и намеченные выходы могут быть осязаемыми (оборудова­ние, материалы или компоненты) или неосязаемыми (энергия или информация). Выходы также могут быть и непредусмотренными (от­ходы или загрязнение).

Каждый процесс имеет клиентов и другие заинтересованные сто­роны (внутренние либо внешние по отношению к организации), кото­рые затрагиваются процессом и которые определяют требуемые вы­ходы в соответствии со своими потребностями и ожиданиями. Для надлежащего контроля процесса (рис. 3) должна использоваться сис­тема сбора данных, которые могут быть проанализированы для обес­печения информации о том, насколько эффективно функционирует процесс и имеется ли потребность в корректирующих мерах или со­вершенствовании.

Как отмечается в руководстве ИСО для использования стандартов серии ИСО 9000 [14], все процессы должны действовать в соответ-

ствии с целями организации и быть предназначены для увеличения ценности, соответствующего объему и сложности организации. При этом эффективность и продуктивность процесса (рис. 3) могут оцени­ваться посредством внутренних или внешних процессов проверки.

Целью процессного подхода является увеличение эффективности и продуктивности организации в достижении определенных ею целей.

Преимущества процессного подхода, как отмечается в [14], таковы:

интеграция и регулирование процессов, для того чтобы сде­лать возможным достижение запланированных результатов;

возможность сосредоточения усилий на эффективности и про­дуктивности процесса;

вселение уверенности в клиентов и другие заинтересованные стороны в отношении целенаправленного функционирования организации;

прозрачность операций в организации;

более низкие расходы и более короткая продолжительность производственного цикла в результате эффективного исполь­зования ресурсов;

улучшенные, последовательные и предсказуемые результаты;

обеспечение возможностей для целевых и приоритетных ини­циатив по совершенствованию;

—        содействие вовлечению людей и прояснению их обязанностей. В рамках организации в контексте процессного подхода с учетом

[14] могут быть идентифицированы следующие виды процессов:

процессы менеджмента (управления) организации включают процессы, относящиеся к стратегическому планированию, уста­новлению политик, постановке целей, обеспечению коммуни­кации, обеспечению доступности необходимых ресурсов и про­веркам, проводимым руководством;

процессы менеджмента ресурсов включают все процессы обес­печения ресурсами, которые необходимы для процессов менед­жмента организации, реализационных процессов и процессов измерения;

реализационные (основные производственные и вспомогатель­ные) процессы включают все процессы, обеспечивающие на­меченный результат деятельности для организации;

процессы измерения, анализа и совершенствования включают процессы, необходимые для измерения и сбора данных для ана-

лиза функционирования и совершенствования эффективности и продуктивности; процессы измерения, мониторинга и аудита, корректирующие и предупредительные меры. Они являются ин­тегрирующей частью процессов менеджмента, менеджмента ресурсов и реализационных процессов. Структура организаций обычно представляет собой иерархию фун­кциональных единиц. Менеджмент организацией обычно осуществля­ется вертикально с разделением ответственности за намеченные вы­ходы между функциональными единицами. Конечный потребитель или другая заинтересованная сторона не всегда отчетливо представляют­ся всеми сторонами, вовлеченными в производственную и управлен­ческую деятельности. В результате проблемы, возникающие на грани­цах взаимодействия структурных подразделений, часто считаются менее приоритетными, чем краткосрочные цели функциональных еди­ниц в организации. Это ведет к незначительному совершенствованию для заинтересованных сторон или к полному отсутствию совершен­ствования, т.к. действия обычно сосредоточиваются на функциях, а не на общей пользе для организации.

Процессный подход вводит так называемый горизонтальный ме­неджмент, пересекающий барьеры между различными функциональ­ными единицами и обращающий их внимание на основные цели орга­низации.

Функционирование организации может быть усовершенствовано посредством использования процессного подхода. Осуществление менеджмента процессов будет таким же, как и в случае системы, — путем создания и осмысления сети процессов и их взаимодействий.

Выходы одного процесса могут являться входами для других про­цессов и могут быть связаны в общую сеть или систему (общие при­меры взаимодействия процессов приведены на рис. 4 и 5).

Для целей практического применения процессного подхода в дея­тельности организации применяются соответствующие методы моде­лирования, такие как IDEF. Методология IDEF разработана в поддерж­ку программы интегрированной компьютеризации производства ICAM1, направленной на увеличение эффективности промышленных предпри­ятий посредством широкого внедрения компьютерных (информацион-

Программа ICAM (Integrated Computer Aided Manufacturing) была принята в конце 70-х гг. в США.

Выходы других процессов

Выходы других процессов

Входы для А

—н

Процесс А

Выходы А

Входы для В

Входы для С

Процесс В

Процесс С

Выходы В

Входы для D

Выходы С

Процесс D

Выходы D

Рис. 4. Пример общей процессной последовательности

Процессы менеджмента