Анализ существующей организационной
структуры должен выявить, какие
из нвнешних навыков и умений
являются сейчас ключевыми, кто
ими владеет, как они связанны
с ключевыми аспектами бизнеса,
к каким новым видам деятельности
нужно готовить персонал, работая
с партнером, субподрядчиком или
заказчиком, какие новые профессиональные
навыки и умения понадобятся
для реализации таких новых
деловых отношений.
Одновременно с расширением маштаба
деятельности необходимо создовать
условия для большей интеграции
внутри предприятия. Для этого
следует проанализировать все
аспекты деятельности предприятия
на протяжении ЖЦ продукции,
начиная с момента зарождения
концепции до послепродажного ведения
и поддержки продукции, а иногда и до ее
утилизации.
На предприятии, где выполнение
проекта распределено по структурным
подразделениям, различные элементы
продукта разрабатываются до
некоторой степени изолирования.
При передаче информации из одних
подразделений в другие возникает необходимость
значительных переделок и для увязки всех
элементов конструкции требуется порой
затрачивать весьма большие усилия. Такая
структура организации, называемая дивизионной,
обеспечивает управление работой функциональных
подразделений и персоналом, однако она
не дает эффективного средства для управления
ходом работ, бюджетом и сроками.
По этим причинам многие предприятия
прибегают к использованию многопрофильных
коллективов, что позволяет объединить
усилия, лучше контролировать выполнение
стоящих задач и тем самым
обеспечивать большую прозрачность
хода работ по проекту. В
многопрофильные колективы входят
специалисты маркетинга, сбыта, проектанты
и конструкторы, производственники,
сборщики и монтажники, снабженцы,
испытатели, представители службы поддержки
и обеспечения, представители основных
поставщиков и заказчиков, которые работают
в тесном контакте и имеют поддержку и
обеспечение со стороны CALS/ИПИ-системы.
Многие свременные корпорации
представляют собой виртуальные
предприятия, куда входят различные
отделения и департаменты, заказчики,
стратегические партнеры, поставщики
и субподрядчики, каналы сбыта
и распределения,мобильные офисы,
работники телекомуникаций, автономные
хозяйства и т. д. Все они
участвуют в производстве продукции
или предоставлении услуг. Для
обеспечения работоспасобности такой
сложной структуры необходимо понять,
что требуется для эффективной работы
в такой среде, и расширить концепцию эффективной
коллективной работы за пределы отдельного
предприятия (том чесле за пределы национальных
границ и часовых поясов, когда электронные
средства связи могут дать наибольшую
экономию). Когда геграфическая разобщенность
или другие причины не позволяют разместить
всех членов коллектива в одном месте,
такие «виртуальные» коллективы могут
быть объединены единым информационным
пространством путем предоставления для
обшего использования хранилещ данных,
систем автоматезированного проектирования,
средств электронной почты и т. д.
Тесные связи предприятия с
внешними участниками производственного
процесса и развитие партнерских
отношений увеличивают риски
нарушения информационной безопасности
и требуют активного контроля и гарантии
целостности и надежности используемой
информации. Это требует проведения работ
по управлению рисками в облости информационной
безопастности, аименно:
· определение масштаба защитных
мероприятий;
· определение и классификация
информации, предстовляемой для
совместного использования;
· определение угроз безопасности и требований
к безопасности;
· выбор мер защиты информации;
· документирование политики
безопасности.
Поскольку для обеспечения информационной
безопастности необходимы определенные
затраты, меры защиты должны
быть соразмерны уровню существующих
рисков. Для определения потенциальных
рисков, их возможного воздействия
на бизнес и выбора мер противодействия
в целях последующего включения
этих мер в план обеспечения
информационной безопасности необходмо
выполнить следующие мероприятия:
· првесри инвенторизацию аппаратных
средств, операционных систем, сетей
и приклодных программных средств,
которые будут использоваться
для доступа к информации;
· определить по всем ключевым бизнес-процессами
информацию, подлежащую совместному использованию,а
также с какими информационными потоками
она связона;
· провести классификацию информации
по степени ее закрытости, так
как для информации каждого
типа потребуется своя форма
защиты целостности, конфиденциальности
и доступа;
· определить и соглосовать
во избежание каких-либо недоразумений,
какая информация относится к
информации общего пользования,
зафиксировать это в ведомости
используемых данных и принять
меры по защите данных и
приклодных программных средств
ограниченного доступа;
· установить при электронном обмене
данными, какие наборы данных подлежат
обмену, а также действия, которыми должен
сопровождаться каждый случай обмена.
После определения степени конфиденциальности
информации и соответствующих
информационных потоков следует
выявить вероятные риски в облости
информационной безопасности. Основную
угрозу в среде CALS/ИПИ могут предстовлять:
· нарушение неприрывности работы
системы;
· несанкционированный доступ
к системе или данным;
· несанкционированное изменение
данных;
· несанкционированное раскрытие
данных;
· недостаточность ресурсов системы;
Кроме того, при электронном обмене
данными сушествует опасность
отказа от совершонного действия
как со стороны отпровителя,
так и со стороны получателя.
Возможность реализации каждой
из перечисленных угроз следует
сопоставить со стоимостью зашиты
от нее и исходя из этого
определить объем мер защиты.
Весьма важно обеспечить, чтобы
CALS/ИПИ-система была должным образом защищена,
но при этом следует избежать ненужных
расходов на излишние меры безопасности.
Задача заключается в том, чтобы
выбрать наиболее подходящие
меры из широкого набора потенциальных
решений, которые включают в
себя:
· физические методы обеспечения
безопасности за счет ограничения
доступа персонала в помешение;
· процедурная безопасность, которая
начинается от проверки служащих,
имеющих дело с закрытой информацией,
до контроля их подготовки
к процедурам выполнения работ;
· использование сетевых экранов,
способных изолировать сети и
хранилища данных компаний от
внешних коммуникационных сетей;
· внедрение виртуальных частных
сетей (VPN);
· антивирусная защита;
· введение жесткого контроля
за всей пересылкой файлов
путем назначения лица, выполняющего
роль «библиотекаря данных»;
· введение функций «только
для чтения» как фактического
стандарта на доступ к данным;
· метоты аутентификации по
установлению правильности и
идентификации инициаторов сообщений,
включая применение паролей доступа,
смарт-карт, криптографии и т.д.;
· должное реагирование на
случай аварийных ситуаций с
хорошо документированными и
апробированными процедурами резервирования;
· набор методов для обеспечения
целостности сообщений, включая
проверку транзакций, потверждения
сообщений, шифрование;
· надежные процессы контроля
версий и конфигурации.
Основной ЕИП виртуального предприятия
является совокупность сетей
входящих в него оргонизаций
и открытых сетей, включая Интернет.
Поэтому необходимо обеспечить:
· защиту сетей внутри организаций;
· управление доступом во внутренние
сети организаций из открытых
сетей;
· управление доступом из внутренних
сетей в открытые сети;
· безопасный обмен данными
между внутренними сетями организаций
через открытые сети.
Для защиты от несанкционированного
доступа (НСД) к данным в
рамках локальной сети организации
и отдельных компьютеров применяются
специальные програмно-технические
средства, обеспечивающие управление
доступом к данным на основе
имеющихся у пользователя полномочий.
Базовый набор функций комплекса
средств защиты от НСД включает
в себя:
· идентификацию и аутендификацию
(проверку принадлежности субъекту
доступа предъявленного идентификатора)
пользователя в начале сеанса работы;
· обеспечение доступа к данным
и возможности запуска программ
в соответствии с заданным
списком полномочий и разрешений;
· контроль целостности используемого
програмного обеспечения и данных;
· протоколирование выполняемых
действий.
Часть упомянутых функций выполняют
современные операционные системы,
но иногда эти функции могут
отсутствовать, и в этом случае
должны использоваться дополнительные
средства.
Идентификации и аутентификации
пользователей может выполняться
путем ввода имени и пароля,
использования смарт-карт (интеллектуальных
пластиковых карт) и средств считывания
данных с карт, подключаемых к компьютеру,
специальных жетонов, хронящих уникальный
код, и т. д. В особо ответственных приложениях
применяют средства идентификации, основнные
на распознавании физических характеристик
субъекта доступа ( голос, отпечаток пальца,
радужная оболочка глаза др.).