Обеспечение информационной безопасности бизнеса
Шрифт:
2.1.1. Модели непрерывного совершенствования и корпоративное управление
Наряду с тезисом, вынесенным в преамбулу раздела, представляется необходимым сформулировать еще ряд тезисов, имеющих прямое и /или косвенное отношение к вопросам управления (даже не только и не столько управления, сколько обеспечения) информационной безопасности организации, как в целях улучшения (совершенствования), так и для целей поддержания (сохранения) безопасности на заданном уровне:
— в теории нет разницы между теорией и практикой, а на практике есть;
— безопасность и сложность несовместимы;
— безопасность всегда имеет тенденцию к ослаблению;
— любое изменение, вносимое в систему (операционную среду организации), в первую очередь ослабляет ее безопасность.
Обсуждая
Информация о наличии организационных структур в практике управления (менеджмента) обнаружена еще на глиняных табличках, датированных III тыс. до н. э. Однако, хотя само управление достаточно старо, идея управления как научной дисциплины, профессии, области исследований относительно нова. В наши дни в сфере управления организационно-техническими системами накоплен богатейший опыт, позволивший в начале ХХ в. определить управление как целостное направлении науки и техники, имеющее свои ветви и течения, приверженцев и оппонентов. Преимущественно началом ХХ в. датируется наибольшее число ветвей науки управления, получивших широкое распространение в наши дни. Одной из первых работ можно отметить «Принцип научного менеджмента» [2], опубликованный в 1911 г. Фредериком Тейлором, традиционно считающийся началом признания управления наукой и самостоятельной областью исследований. Понятия о систематизированном управлении организацией стали формироваться в середине XIX в. Успехи в теории управления всегда зависели от успехов в других, связанных с управлением областях, таких как инженерные науки, психология, социология, математика и др. По мере развития этих областей знаний теоретики и практики управления узнавали все больше о факторах, влияющих на успех организации. Руководители организаций, предприниматели, ученые стали глубже осознавать влияние внешних по отношению к организации сил и условий. Специальные исследования позволили разработать новые подходы в управлении.
Существенное влияние на используемые модели управления оказывали факторы экономической и социальной среды организаций, общественный строй и др. Перемены 1990-х гг. привели к востребованности в российской практике международного опыта, включающего принципы, модели, стандарты и практики управления, адаптированного к национальным условиям.
В то же время многое, имеющее отношение к управлению, определяется целями и задачами, решению которых должна отвечать система управления (объекта, деятельности, организации и т. п.).
Любая организация создается и функционирует для реализации каких-либо задач. Даже если взять абстрактный случай, когда организация создается не для достижения ею каких-либо целей, а для того, чтобы она номинально существовала, то для целей самосохранения компания обязана поддерживать некоторые виды деятельности (процессы) и иметь соответствующую систему управления.
Обобщенная модель корпоративного управления приведена на рис. 13. Корпоративное управление в общем случае имеет два уровня: «управление должностных лиц через совет директоров, выбираемый акционерами» и «управление деятельностью (бизнес-процессами/деловыми операциями), осуществляемое должностными лицами». Это верхний уровень управления, который следует иметь в виду всякий раз, когда идет речь о высшем руководстве организации, принимающем значимые решения в сфере менеджмента информационной безопасности бизнеса.
Если должностные лица не управляют корпорацией, управление должностных лиц через совет директоров, выбираемый акционерами, ничего не значит
Понятие «менеджмент» является для России заимствованным (американское определение менеджмента — «делать что-либо руками других» [3]). Несмотря на то что в последние десятилетия оно получило достаточно широкое распространение как в сфере экономики и финансов, так и в производственной деятельности, в среде специалистов по защите информации, структур, регулирующих вопросы технической защиты информации, чаще всего используются понятие «управление», нежели «менеджмент». В гармонизируемых в России в последнее десятилетие международных стандартах по информатизации и информационной безопасности англоязычное понятие management переводится и как «управление», и как «администрирование». В то же время понятия «менеджмент» и «управление» имеют свои, давно сформировавшиеся определения, данные в гармонизированных в России международных стандартах качества серии ГОСТ Р ИСО 9000, а также базовых модельных стандартах менеджмента риска и безопасности, таких как ГОСТ Р 51897 [4] и ГОСТ Р 51898 [5], отражающих гармонизированные (адаптированные) международные модельные руководства.
Так в стандартах ГОСТ Р ИСО 9000 понятие менеджмент определено как «скоординированная деятельность по руководству и управлению организацией». При этом поясняется, что «в английском языке термин “management” иногда относится к людям, т. е. к лицу или группе работников, наделенных полномочиями и ответственностью для руководства и управления организацией. Когда “management” используется в этом смысле, его следует всегда применять с определяющими словами с целью избежания путаницы с понятием “management”, определенным выше. Например, не одобряется выражение “руководство должно…”, в то время как “высшее руководство должно…” — приемлемо».
Для определенных практических целей представляется возможным использование как понятия «менеджмент», так и «управление» — как наиболее привычного для российских специалистов, четко определяя при этом то, что мы понимаем под этими понятиями в каждом конкретном случае.
По аналогии с неуправленческими видами деятельности предпринимались попытки выделить в процессе менеджмента определенные функции — концептуальные элементы в содержании работы руководителя. Результатом явилась функциональная модель управления, перекликающаяся с определенными Анри Файолем в 1916 г. административными операциями (предвидение, организация, распорядительство, координирование и контроль). Данная модель представляет процесс управления в виде замкнутого цикла: планирование — организация — мотивация (лидерство) — контроль.
Безусловно, функциональная модель представляет собой скорее абстракцию; как показали исследования Генри Минцберга, практическая сторона работы менеджера в значительной мере неструктурированна, дискретна и спонтанна. Минцберг выявил четыре общепринятых мифа (заблуждения) относительно содержания управленческого труда.
Миф № 1: работа менеджера (в российской практике — управленца того или иного звена и уровня) состоит в систематическом и сознательном планировании. Примеров такой позиции множество. Но ни один из исследователей не приводит достаточных свидетельств в ее пользу.
Факты. Целый ряд исследований показывает, что менеджерам приходится работать в чрезвычайно высоком темпе. Основные черты процесса управленческого труда — краткость, разнообразие и непрерывность. Менеджеры ориентированы прежде всего на действие.
Миф № 2: у хорошего менеджера нет никаких текущих обязанностей. Говорят, что менеджеры все время заняты разработкой грандиозных планов и распоряжениями, а все текущую работу поручают другим — не дело менеджера заниматься мелочами. Если воспользоваться распространенным сравнением, то можно сказать, что хороший менеджер, как и хороший дирижер, все отшлифовывает заранее, а затем сидит и наслаждается результатами своего труда, лишь реагируя на те или иные непредвиденные обстоятельства.