Электронная документация и её защита

10.6. Проблемы организации электронного документооборота

Далее приведены основные проблемы и задачи, возникающие в большинстве случаев при внедрении автоматизированных систем управления предприятием и рекомендации по их решению.

Отсутствие постановки задачи менеджмента на предприятии. Грамотная постановка задач менеджмента является важнейшим фактором, влияющим как и на успех деятельности предприятия в целом, так и на успех проекта автоматизации. Например, совершенно бесполезно заниматься внедрением автоматизированной системы бюджетирования, если само бюджетирование не поставлено на предприятии должным образом, как определённый последовательный процесс. К сожалению, на настоящий момент в России до конца не сложился национальный подход к менеджменту, и в данный момент российское управление представляет собой гремучую смесь из теории западного менеджмента (которая во многом не является адекватной существующей ситуации) и советско-российского опыта, который, хотя и во многом гармонирует с общими жизненными принципами, но уже не отвечает жёстким требованиям рыночной конкуренции.

Поэтому первое, что необходимо сделать для того, чтобы проект внедрения автоматизированной системы управления предприятием оказался удачным - максимально формализовать все те контуры управления, которые собственно, планируется автоматизировать. В большинстве случаев, для осуществления этого не обойтись без привлечения профессиональных консультантов, но по опыту, затраты на консультантов просто не сопоставимы с убытками от проваленного проекта автоматизации.

Необходимость в частичной реорганизация структуры и деятельности предприятия при внедрении автоматизированной системы управления предприятием. Прежде чем приступать к внедрению автоматизированной системы управления на предприятии, обычно необходимо произвести частичную реорганизацию его структуры и технологий ведения бизнеса. Поэтому одним из важнейших этапов проекта внедрения является полное и достоверное обследование предприятия во всех аспектах его деятельности. На основе заключения, полученного в результате обследования, строится вся дальнейшая схема построения корпоративной информационной системы. Несомненно, можно автоматизировать все, про принципу "как есть", однако, этого не следует делать по ряду причин. Дело в том, что в результате обследования обычно фиксируется большое количество мест возникновения необоснованных дополнительных затрат, а также противоречий в организационной структуре, устранение которых позволило бы уменьшить производственные и логистические издержки, а также существенно сократить время исполнения различных этапов основных бизнес - процессов. Реорганизация может быть проведена в ряде локальных точек, где она объективно необходима, что не повлечёт за собой ощутимый спад активности текущей коммерческой деятельности.

Необходимость в изменении технологии работы с информацией, и принципов ведения бизнеса. Эффективно построенная информационная система не может не внести изменений в существующую технологию планирования бюджетирования и контроля, а также управления бизнес-процессами.

Во-первых, одними из самых важных для руководителя особенностей корпоративной информационной системы, являются модули управленческого учёта и финансового контроллинга. Теперь каждое функциональное подразделение может быть определено как центр финансового учёта, с соответствующим уровнем финансовой ответственности его руководителя. Это, в свою очередь, повышает ответственность каждого из таких руководителей и предоставляет в руки высших менеджеров эффективный инструментарий для чёткого контроля исполнения отдельных планов и бюджетов.

При наличии автоматизированной системы управления предприятием руководитель способен получать актуальную и достоверную информацию обо всех срезах деятельности компании, без временных задержек и излишних передаточных звеньев. Кроме того, информация подаётся руководителю в удобном виде "с листа" при отсутствии человеческих факторов, которые могут предвзято или субъективно трактовать информацию при передаче. Однако справедливо было бы заметить, что некоторые руководители не привыкли принимать управленческие решения по информации в чистом виде, если к ней не приложено мнение человека, который её доставил. Такой подход в принципе имеет право на жизнь и при наличии автоматизированной системы управления предприятием, однако часто он негативно отражается на объективности менеджмента.

Внедрение автоматизированной системы управления предприятием вносит существенные изменения в управление бизнес - процессами. Каждый документ, отображающий в информационном поле течение или завершение того или иного сквозного бизнес - процесса, в интегрированной системе создаётся автоматически, на основании первичного документа, открывшего процесс.

Сотрудники, ответственные за этот бизнес – процесс, лишь контролируют и, при необходимости, вносят изменения в позиции построенных системой документов.

Например, заказчик разместил заказ на продукцию, который должен быть исполнен к определённому числу месяца. Заказ вводится в систему; на основании его системой автоматически создаётся счёт (на основе существующих алгоритмов ценообразования), счёт пересылается заказчику, а заказ направляется в производственный модуль, где происходит разузлование заказанного вида продукции на отдельные комплектующие. На основе списка комплектующих в модуле закупок системой создаются заказы на их закупку, а производственный модуль соответствующим образом оптимизирует производственную программу, чтобы заказ был исполнен точно к сроку.

Естественно, в реальной жизни возможны различные варианты неустранимых срывов поставок комплектующих, поломки оборудования и т.д., поэтому каждый этап выполнения заказа должен строго контролироваться ответственным за него кругом сотрудников, которые, в случае необходимости, должны создать управленческое воздействие на систему, чтобы избежать нежелательных последствий или уменьшить их.

Существенное сокращение бумажной волокиты ускоряет процесс и повышает качество обработки заказов, поднимает конкурентоспособность и рентабельность предприятия в целом, а всё это требует большей собранности, компетенции и ответственности исполнителей. Возможно, что существующая производственная база не будет справляться с новым потоком заказов, и в неё тоже нужно будет вносить организационные и технологические реформы, которые впоследствии положительно скажутся на процветании предприятия.

При внедрении автоматизированных систем управления предприятием в большинстве случаев возникает активное сопротивление сотрудников на местах, которое является серьёзным препятствием для консультантов и вполне способно сорвать или существенно затянуть проект внедрения. Это вызвано несколькими человеческими факторами: обыкновенным страхом перед нововведениями, консерватизмом (например, кладовщику, проработавшему 30 лет с бумажной картотекой, обычно психологически тяжело пересаживаться за компьютер), опасение потерять работу или утратить свою незаменимость, боязнь существенно увеличивающейся ответственности за свои действия.

Необходимо наделить руководителя проекта внедрения достаточными полномочиями, поскольку сопротивление иногда (часто подсознательно, или в результате неоправданных амбиций) возникает даже на уровне топ-менеджеров.

Всегда подкреплять все организационные решения по вопросам внедрения изданием соответствующих приказов и письменных распоряжений.

Внедрение большинства крупных систем автоматизации управления предприятием производится по следующей технологии: на предприятии формируется небольшая (3-6 человек) рабочая группа, которая проходит максимально полное обучение работе с системой, затем на эту группу ложится значительная часть работы по внедрению системы и дальнейшему её сопровождению. Применение подобной технологии вызвано двумя факторами: во- первых, тем, что предприятие обычно заинтересовано в том, чтобы у него под рукой были специалисты, которые могут оперативно решать большинство рабочих вопросов при настройке и эксплуатации системы, а во-вторых, обучение своих сотрудников и их использование всегда существенно дешевле аутсорсинга.

Таким образом, формирование сильной рабочей группы является залогом успешной реализации проекта внедрения. Особенно важным вопросом является выбор руководителя такой группы и администратора системы. Руководитель, помимо знаний базовых компьютерных технологий, должен обладать глубокими знаниями в области ведения бизнеса и управления. В практике крупных западных компаний такой человек занимает должность CIO (Chief Information Officer), которая обычно является второй и в иерархии руководства компании. В отечественной практике, при внедрении систем такую роль, как правило, играет начальник отдела АСУ или ему аналогичного. Основными правилами организации рабочей группы являются следующие принципы:

• специалистов рабочей группы необходимо назначать с учётом следующих требований: знание современных компьютерных технологий (и желание осваивать их в дальнейшем), коммуникабельность, ответственность, дисциплинированность;
• с особой ответственностью следует подходить к выбору и назначению администратора системы, так как ему будет доступна практически вся корпоративная информация;
• возможное увольнение специалистов из группы внедрения в процессе проекта может крайне негативно отразиться на его результатах.

Поэтому членов группы следует выбирать из преданных и надёжных сотрудников и выработать систему поддержки этой преданности в течение всего проекта.

После определения сотрудников, входящих в группу внедрения, руководитель проекта должен чётко расписать круг решаемых каждым из них задач, формы планов и отчётов, а также длину отчётного периода.

Итак, проблемы управления потоками документов актуальны для любого предприятия. Но особенную остроту эти проблемы приобретают при переходе на новые компьютерные технологии проектирования, конструирования и подготовки производства, когда привычные бумажные документы заменяются электронными. В настоящее время наличие успешно действующей системы автоматизации делопроизводства и документооборота говорит о благополучии учреждения и его руководства. Это означает полную управляемость подчинённых руководству аппарата, их компетентность, солидарность, дисциплинированность и заинтересованность в максимально успешном выполнении порученного дела.

Автоматизированная система представляет возможность производить оперативный и эффективный обмен информацией между всеми участками производственного процесса, позволяет сократить время, требуемое на подготовку конкретных задач, исключить возможных появлений ошибок подготовки отчётной документации.

Внедрение автоматизированной системы обеспечит удобство в работе, рациональную организацию производства и снижение психологических нагрузок. Также снизятся физиологические нагрузки, т.к. с внедрением соответствующего программного обеспечения время, затраченное на эту же работу, существенно уменьшится. Это положительно повлияет на работоспособность работника, т.к. приведёт к уменьшению количества обрабатываемой информации, а также у персонала появится дополнительное время для анализа и принятия управленческих решений. Внедрение автоматизированной системы управления предприятием, как и любое серьёзное преобразование на предприятии, является сложным и зачастую болезненным процессом. Тем не менее, некоторые проблемы, возникающие при внедрении системы, достаточно хорошо изучены, формализованы и имеют эффективные методологии решения. Заблаговременное изучение этих проблем и подготовка к ним значительно облегчают процесс внедрения и повышают эффективность дальнейшего использования системы.

Все вышеперечисленные задачи, возникающие в процессе построения информационной системы, и методы их решения являются наиболее распространёнными и естественно, каждое предприятие имеет свою уникальную организационную специфику. При внедрении автоматизированной системы управления предприятием могут возникать различные нюансы, которые требуют дополнительного рассмотрения и поиска методов их решения.

10.7. Технологии обеспечения безопасности

При использовании любой информационной технологии следует обращать внимание на наличие средств защиты данных, программ, компьютерных систем.

Безопасность данных включает обеспечение достоверности данных и защиту данных и программ от несанкционированного доступа, копирования, изменения.

Достоверность данных контролируется на всех этапах технологического процесса эксплуатации ЭИС. Различают визуальные и программные методы контроля. Визуальный контроль выполняется на домашинном и заключительном этапах. Программный – на внутримашинном этапе. При этом обязателен контроль при вводе данных, их корректировке, т.е. везде, где есть вмешательство пользователя в вычислительный процесс. Контролируются отдельные реквизиты, записи, группы записей, файлы. Программные средства контроля достоверности данных закладываются на стадии рабочего проектирования.

Защита данных и программ от несанкционированного доступа, копирования, изменения реализуется программно-аппаратными методами и технологическими приёмами. К программно-аппаратным средствам защиты относят пароли, электронные ключи, электронные идентификаторы, электронную подпись, средства кодирования, декодирования данных. Для кодирования, декодирования данных, программ и электронной подписи используются криптографические методы. Например, в США применяется криптографический стандарт, разработанный группой IETF. Экспорту он не подлежит. Разработаны в том числе и отечественные электронные ключи, например, Novex Key для защиты программ и данных в системах Windows, DOS, Netware. Средства защиты аналогичны, по словам специалистов, дверному замку. Замки взламываются, но никто не убирает их с двери, оставив квартиру открытой.

Технологический контроль заключается в организации многоуровневой системы защиты программ и данных как средствами проверки паролей, электронных подписей, электронных ключей, скрытых меток файла, использованием программных продуктов, удовлетворяющих требованиям компьютерной безопасности, так и методами визуального и программного контроля достоверности, целостности, полноты данных.

Безопасность обработки данных зависит от безопасности использования компьютерных систем.

Компьютерной системой называется совокупность аппаратных и программных средств, различного рода физических носителей информации, собственно данных, а также персонала, обслуживающего перечисленные компоненты.

В настоящее время в США разработан стандарт оценок безопасности компьютерных систем – критерии оценок пригодности. В нём учитываются четыре типа требований к компьютерным системам:

• требования к проведению политики безопасности – security policy;
• ведение учёта использования компьютерных систем – accounts;
• доверие к компьютерным системам;
• требования к документации.

Требования к проведению последовательной политики безопасности и ведение учёта использования компьютерных систем зависят друг от друга и обеспечиваются средствами, заложенными в систему, т.е. решение вопросов безопасности включается в программные и аппаратные средства на стадии проектирования.

Нарушение доверия к компьютерным системам, как правило, бывает вызвано нарушением культуры разработки программ: отказом от структурного программирования, неисключением заглушек, неопределённым вводом и т.д. Для тестирования на доверие нужно знать архитектуру приложения, правила устойчивости его поддержания, тестовый пример.

Требования к документации означают, что пользователь должен иметь исчерпывающую информацию по всем вопросам. При этом документация должна быть лаконичной и понятной.

Только после оценки безопасности компьютерной системы она может поступить на рынок.

Во время эксплуатации ИС наибольший вред и убытки приносят вирусы. Защиту от вирусов можно организовать так же, как и защиту от несанкционированного доступа. Технология защиты является многоуровневой и содержит следующие этапы:

1. Входной контроль нового программного обеспечения или дискеты, который осуществляется группой специально подобранных детекторов, ревизоров и фильтров. Например, в состав группы можно включить Scan, Aidstest, TPU8CLS. Можно провести карантинный режим. Для этого создается ускоренный компьютерный календарь. При каждом следующем эксперименте вводится новая дата и наблюдается отклонение в старом программном обеспечении. Если отклонения нет, то вирус не обнаружен.
2. Сегментация жёсткого диска. При этом отдельным разделам диска присваивается атрибут Read Only. Для сегментации можно использовать, например, программу Manager и др.
3. Систематическое использование резидентных, программ-ревизоров и фильтров для контроля целостности информации, например Check21, SBM, Antivirus2 и т.д.
4. Архивирование. Ему подлежат и системные, и прикладные программы. Если один компьютер используется несколькими пользователями, то желательно ежедневное архивирование. Для архивирования можно использовать PKZIP и др.

Эффективность программных средств защиты зависит от правильности действий пользователя, которые могут быть выполнены ошибочно или со злым умыслом. Поэтому следует предпринять следующие организационные меры защиты:

• общее регулирование доступа, включающее систему паролей и сегментацию винчестера;
• обучение персонала технологии защиты;
• обеспечение физической безопасности компьютера и магнитных носителей;
• выработка правил архивирования;
• хранение отдельных файлов в шифрованном виде;
• создание плана восстановления винчестера и испорченной информации.

Для шифровки файлов и защиты от несанкционированного копирования разработано много программ, например Catcher, Exeb и др. Одним из методов защиты является скрытая метка файла: метка (пароль) записывается в сектор на диске, который не считывается вместе с файлом, а сам файл размещается с другого сектора, тем самым файл не удаётся открыть без знания метки.

Восстановление информации на винчестере – трудная задача, доступная системным программистам с высокой квалификацией. Поэтому желательно иметь несколько комплектов дискет для архива винчестера и вести циклическую запись на эти комплекты. Например, для записи на трёх комплектах дискет можно использовать принцип "неделя-месяц-год". Периодически следует оптимизировать расположение файлов на винчестере с помощью утилиты Speed Disk и т.п., что существенно облегчает их восстановление.