Н. Голдуев - Обеспечение информационной безопасности бизнеса

– учредительная и лицензионная база организации (предприятия);

– специфичная информация бизнеса, которая, в свою очередь, может быть классифицирована на несколько видов, наиболее важные из них показаны в нижней части рис. 4.

Информационной основой деятельности менеджмента (см. рис. 4) является внутренняя отчетность организации и накопленные знания – аналитика и модели, систематизирующие и обобщающие информацию, необходимую для прогноза и принятия решения. Основная задача внутренней отчетности – предоставить руководству и менеджменту сжатую и своевременную информацию для быстрого и успешного принятия решений. Одновременно решается задача контроля в организации, начиная с контроля того, достигаются ли высокоуровневые, стратегические цели (бизнес-цели), и заканчивая контролем выполнения оперативно-тактических задач и контролем качества производимых продуктов.

Входные информационные потоки (информация о состоянии, предполагаемые последствия деятельности в виде прогнозов) превращаются менеджментом в управляющую информацию: оперативную – планы, распоряжения; стратегическую – цели, концепции, политики. Отношения субъект / субъект и субъект / объект, включая управление, обозначены на рисунке 4 синими линиями.

Рис. 4.Структура информационной сферы организации

Внешняя отчетность перед государственными органами (например, налоговая отчетность), регуляторами и другими организациями регулируется нормами правовой среды и, в некоторых случаях, договоренностями между организациями: партнерами по бизнесу, представителями одной отрасли и т. п. Основная проблема, связанная с внешней отчетностью – обеспечение ее соответствия требованиям законодательства или установленным правилам и договоренностям. Как правило, организации стремятся выполнить предлагаемые требования с минимальными затратами и с учетом используемых мер контроля со стороны организаций, которым отчеты готовятся. Если отсутствуют механизмы контроля, то не следует ожидать адекватного отображения действительного положения вещей в подотчетной организации. В этих случаях внешняя отчетность может быть инструментом информационного противоборства и способствовать получению преимуществ в бизнесе. Информационное воздействие состоит в формировании правдоподобных отчетных данных, не полностью или в искаженном виде отражающих внутреннее состояние и деятельность подотчетной организации. Особенно это касается отчетности для партнеров по бизнесу.

В нижней части рис. 4 приведен перечень видов информационных объектов. Совсем необязательно, чтобы любые объекты этих видов хранились в виде компьютерных баз данных или файлов. Это могут быть и бумажные документы, и даже просто договоренности между субъектами, например владельцами бизнеса, но все равно это остается информацией. Вопрос лишь в том, насколько эта информация приспособлена для автоматизированной обработки, какие следы остались на материальных носителях, имеет ли эта информация юридическую силу.

Отметим также, что информация разных видов, приведенных на рис. 4, не является статичной. Каким-то образом должна поддерживаться ее актуальность и адекватность материальному миру. Некоторые виды информации меняются медленно, например информация по персоналу. Другие, наоборот, постоянно изменяются, отслеживая состояние реальных объектов. Критичными для бизнеса являются изменчивые объекты, поскольку именно они – потенциальный источник неадекватностей, а также могут создавать риски разной природы и разной значимости для достижения целей деятельности.

Рассмотрим подробнее особенности отдельных компонентов информационной сферы.

Правовая среда бизнеса включает постановления правительства, законодательные и нормативные акты федерального уровня и уровня регуляторов, региональные законы и нормы, отраслевые стандарты и правила и прочие документы. Наличие обязательного к исполнению набора требований и правил, включая отчетность по нормам правовой среды, является своеобразной движущей силой, организующей и упорядочивающей бизнес, порой определяющей внутреннюю структуру организаций, некоторые виды деятельности и правила поведения участников бизнеса. Эта правовая среда также во многом определяет основу для внутренних нормативных документов организации.

Однако зачастую на уровне конкретной организации не удается избежать формального подхода к обеспечению соответствия законодательным актам. Деятельность, определяемая требованиями правовой среды, остается только на бумаге в виде планов и в большей или меньшей степени фиктивных отчетов, позволяющих удовлетворить потребности государственных проверяющих и регулирующих органов при получении лицензий и плановых проверках. Это может рассматриваться как элемент информационного противоборства и позволяет организации получить преимущество в бизнесе, уменьшая свои расходы на соответствующую инфраструктуру и вследствие этого не вполне соответствуя требованиям, отраженным в формально полученных лицензиях и сертификатах. Информационное воздействие состоит в предъявлении этих лицензий и сертификатов, навязывающих клиентам и другим участникам бизнеса неполную, искаженную, но правдоподобную информацию.

Важное негативное свойство правовой среды бизнеса – неполнота и противоречивость законодательной и нормативно-правовой базы. Это обеспечивает широкое поле деятельности по поиску возможностей и разработке схем для получения преимуществ в бизнесе, от незначительных, на первый взгляд, пунктов в договорных документах, влекущих за собой ущербы одной из сторон, которые трудно или невозможно предсказать (информационное противоборство), до разрушения целей других участников бизнеса и хищения чужих знаний через переманивание сотрудников.

Наконец, еще одно важное свойство – большой объем информации правовой среды, затрудняющий поиск решений, оптимальных с точки зрения успешности бизнеса и соответствия законодательству.

Каждая организация в зависимости от ее формы собственности должна иметь набор учредительных документов. Состав и содержание этих документов определяются требованиями национального законодательства. При этом довольно значительная часть существенных для деятельности требований должна быть установлена (выбрана) самой организацией (ее собственниками) из предлагаемых законодательством возможностей. Эти документы должны быть зарегистрированы установленным порядком и постоянно актуализироваться при возможных изменениях. Де-факто деятельность организации может не совпадать с заранее декларированной, что может порождать коллизии. Поэтому на временные интервалы актуализации в законодательстве наложены ограничения, требующие дополнительной регистрации (перерегистрации) в установленный срок.