Виды угроз безопасности информации, защищаемой техническими средствами.
Под безопасностью информации следует понимать условия хранения, обработки и передачи информации, при которых обеспечивается ее защита от угроз уничтожения, изменения и хищения. Следует различать потенциальную и реальную безопасность. Потенциальная безопасность информации, как и любого другого объекта или субъекта, существует всегда. Безопасность информации оценивается двумя показателями: вероятностью предотвращения угроз и временем, в течение которого обеспечивается определенный уровень безопасности. Эти показатели взаимозависимые. При заданных конкретных мерах по защите обеспечить более высокий уровень безопасности возможно в течение более короткого времени. Информация постоянно подвергается случайным или преднамеренным воздействиям - угрозам: хищению, изменению, уничтожению. В общем случае эти угрозы реализуются в результате: 1) действий злоумышленников: людей, занимающихся добыванием информации в интересах государственной и коммерческой разведки, криминальных элементов, непорядочных сотрудников или просто психически больных людей; 2) разглашения информации людьми, владеющими секретной или конфиденциальной информацией; 3) утери носителей с информацией (документов, машинных носителей, образцов материалов и др.); 4) несанкционированного распространения информации через поля и электрические сигналы, случайно возникающие в электрических и радиоэлектронных приборов в результате их старения, некачественного конструирования (изготовления) и нарушений правил эксплуатации; 5) воздействий стихийных сил, прежде всего, огня во время пожара и воды в ходе тушения пожара и протечками в трубах водоснабжения; 6)сбоев в работе аппаратуры сбора, обработки, хранения и передачи информации, вызванных ее неисправностями, а также непреднамеренных ошибок пользователей или обслуживающего персонала; 7) воздействия мощных электромагнитных и электрических промышленных и природных помех. Несанкционированное распространение (утечка) информации может происходить в результате: 1) наблюдения за источниками информации; 2) подслушивания конфиденциальных разговоров и акустических сигналов; 3) перехвата электрических, магнитных и электромагнитных полей, электрических сигналов и радиационных излучений; 4) несанкционированного распространения материально-вещественных носителей за пределы организации. Наблюдение включает различные формы: визуальное, визуально-оптическое (с помощью оптических приборов), телевизионное и радиолокационное наблюдение, фотографирование объектов в оптическом и инфракрасном диапазонах. Учитывая распространенность акустической информации при общении людей, подслушивание, прежде всего, речевой информации вызывает одну из наиболее часто встречающихся угроз безопасности информации - ее копирование. Подслушивание звуков, издаваемых механизмами во время испытаний или эксплуатации, позволяет специалистам определить конструкцию, новые узлы и технические решения излучающих эти звуки механизмов. Перехват полей и электрических сигналов, содержащих информацию, осуществляется путем их приема злоумышленником и съема с них информации, а также анализа сигналов с целью получения сигнальных признаков. Наблюдение, перехват и подслушивание информации, проводимые с использованием технических устройств, приводят к ее утечке по техническим каналам.
Стратегии защиты информации в организации (предприятии).
Под стратегией вообще понимается общая направленность в организации соответствующей деятельности, разрабатываемая с учетом объективных потребностей в данном виде деятельности, потенциально возможных условий ее осуществления и возможностей организации. Задача стратегии состоит в создании конкурентного преимущества, устранении негативного эффекта нестабильности окружающей среды, обеспечении доходности, уравновешении внешних требований и внутренних возможностей. Через ее призму рассматриваются все деловые ситуации, с которыми организация сталкивается в повседневной жизни. Исходный момент формирования стратегии - постановка глобальных качественных целей и параметров деятельности, которые организация должна достичь в будущем. В результате увязки целей и ресурсов формируются альтернативные варианты развития, оценка которых позволяет выбрать лучшую стратегию. Единых рецептов выработки стратегий не существует. В одном случае целесообразно стратегическое планирование (программирование); в другом - ситуационный подход. В соответствии с наиболее реальными вариантами сочетаний значений рассмотренных факторов выделено три стратегии защиты: 1)оборонительная - защита от уже известных угроз, осуществляемая автономно, т. е. без оказания существенного влияния на информационно-управляющую систему; 2)наступательная - защита от всего множества потенциально возможных угроз, при осуществлении которой в архитектуре информационно-управляющей системы и технологии ее функционирования должны учитываться условия, продиктованные потребностями защиты; 3)упреждающая - создание информационной среды, в которой угрозы информации не имели бы условий для проявления
Перечень основных документов отрабатываемых службой защиты информации в организации и их краткое содержание.
В Уставе организации (основном документе, в соответствии с которым организация осуществляет свою деятельность), во всех положениях о структурных подразделениях организации (департаментов, управлений, отделов, служб, групп, секторов и т.п.) и в функциональных обязанностях всех сотрудников, участвующих в процессах автоматизированной обработки информации, должны быть отражены требования по обеспечению информационной безопасности при работе в АС. Задачи организации и функции по ОИБ ее подразделений и сотрудников в перечисленных выше документах должны формулироваться с учетом положений действующего в России законодательства по информатизации и защите информации (Федеральных Законов, Указов Президента РФ, Постановлений Правительства РФ и других нормативных документов). Конкретизация задач и функций структурных подразделений, а также детальная регламентация действий сотрудников организации, их ответственность и полномочия по вопросам ОИБ при эксплуатации АС должны осуществляться как путем дополнения существующих документов соответствующими пунктами, так и путем разработки и введения в действие дополнительных внутренних организационно-распорядительных документов по ОИБ.
В целях обеспечения единого понимания всеми подразделениями и должностными лицами (сотрудниками) организации проблем и задач по обеспечению безопасности информации в организации целесообразно разработать «Концепцию обеспечения информационной безопасности» организации. В Концепции должны определяться основные задачи по защите информации и процессов ее обработки, намечаться подходы и основные пути решения данных задач. Необходимым элементом организации работ по обеспечению безопасности информации, является категорирование, то есть определение требуемых степеней защищенности (категорий) ресурсов АС (информации, задач, каналов взаимодействия задач, компьютеров). Для обеспечения управления и контроля за соблюдением установленных требований к защите информации организации необходимо разработать и принять «Положение об определении требований по защите (категорировании) ресурсов» в АС организации. Целесообразно введение классификации защищаемой информации, включаемой в «Перечень информационных ресурсов, подлежащих защите», не только по уровню конфиденциальности (конфиденциально, строго конфиденциально и т.д.), но и по уровню ценности информации. В данном Перечне необходимо также указывать подразделения организации, являющиеся владельцами конкретной защищаемой информации и отвечающие за установление требований к режиму ее защиты. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно специальной "Инструкции по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы". Меры безопасности при вводе в эксплуатацию новых рабочих станций и серверов, а также при изменениях конфигурации технических и программных средств существующих компьютеров в АС должны определяться "Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств компьютеров АС". Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должна осуществляться в соответствии с утвержденным «Порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию». «Инструкция по организации антивирусной защиты» должна регламентировать организацию защиты АС от разрушающего воздействия компьютерных вирусов и устанавливать ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих АС, за их ненадлежащее выполнение. «Инструкция по организации парольной защиты» призвана регламентировать процессы генерации, смены и прекращения действия паролей пользователей в автоматизированной системе организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями. При использовании в некоторых подсистемах АС средств криптографической защиты информации и средств электронной цифровой подписи необходим еще один документ, регламентирующий действия конечных пользователей, - «Порядок работы с носителями ключевой информации». Для пользователей защищенных АРМ (на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые дополнения к функциональным обязанностям и технологическим инструкциям, закрепляющие требования по обеспечению информационной безопасности при работе в АС и ответственность сотрудников за реализацию мер по обеспечению установленного режима защиты информации.
Билет 9
1. Семейство международных стандартов на системы менеджмента информационной безопасности.
Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению. Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее.
Некоторые стандарты данного семейства:
ISO 27000 ISO/IEC 27000:2009 Information technology. Security techniques. Information security management systems. Overview and vocabulary - Определения и основные принципы. Выпущен в июле 2009г.
ISO 27001 ISO/IEC 27001:2005/BS 7799-2:2005 Information technology. Security techniques. Information security management systems. Requirements - Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования. Выпущен в октябре 2005г.
ISO 27002 ISO/IEC 27002:2005, BS 7799-1:2005,BS ISO/IEC 17799:2005 Information technology. Security techniques. Code of practice for information security management - Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью. Выпущен в июне 2005г.
ISO 27003 ISO/IEC 27003:2010 Information Technology. Security Techniques. Information Security Management Systems Implementation Guidance - Руководство по внедрению системы управления информационной безопасностью. Выпущен в январе 2010г.
ISO 27004 ISO/IEC 27004:2009 Information technology. Security techniques. Information security management. Measurement - Измерение эффективности системы управления информационной безопасностью. Выпущен в январе 2010г.
ISO 27005 ISO/IEC 27005:2008 Information technology. Security techniques. Information security risk management - Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности. Выпущен в июне 2008г.
2. Защита права на личную информацию с ограниченным доступом.
(ФЗ от 27.07.06 №149 «Об информации информационных технологиях и о защите информации») Обладатель информации, если иное не предусмотрено федеральными законами, вправе: 1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа; 2) использовать информацию, в том числе распространять ее, по своему усмотрению; 3)передавать информацию другим лицам по договору или на ином установленном законом основании; 4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами; 5) осуществлять иные действия с информацией или разрешать осуществление таких действий.
Обладатель информации при осуществлении своих прав обязан: 1) соблюдать права и законные интересы иных лиц; 2)принимать меры по защите информации; 3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.
Так же защита прав на личную информацию прописана в ФЗ №152 «О персональных данных» Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
3. Организация подготовки и проведения совещаний и заседаний по конфиденциальным вопросам .
В ходе повседневной деятельности предприятий, связанной с использованием конфиденциальной информации, планируются и проводятся служебные совещания, на которых рассматриваются или обсуждаются вопросы конфиденциального характера. Мероприятия по защите информации проводятся при подготовке, в ходе проведения и по окончании совещания. В работе руководства и должностных лиц предприятия по защите информации при проведении совещания важное место занимает этап планирования конкретных мероприятий, направлениях на исключение утечки конфиденциальной информации и на ее защиту. Планирование мероприятий по защите информации проводится заблаговременно до начала совещания и включает выработку конкретных мер, определение ответственных за их реализацию должностных лиц (структурных подразделений), а также сроков их осуществления. При планировании совещания предусматривается такая очередность рассмотрения вопросов, при которой будет исключено участие в их обсуждении лиц, не имеющих к ним прямого отношения.
План мероприятий по защите информации при проведении совещания с участием представителей сторонних организаций содержит следующие основные разделы. 1)Определение состава участников и их оповещение - порядок формирования списка лиц, привлекаемых к участию в совещании, и перечня предприятий, которым необходимо направить запросы с приглашениями. 2)Подготовка служебных помещений, в которых планируется проведение совещания, - работа по выбору служебных помещений и проверке их соответствия требованиям по защите информации; необходимость и целесообразность принятия дополнительных организационно-технических мер, направленных на исключение утечки информации; оборудование рабочих мест участников совещания; порядок использования средств звукоусиления, кино- и видеоаппаратуры. 3)Определение объема обсуждаемой информации - порядок определения перечня вопросов, выносимых на совещание, и очередности их рассмотрения, оценки степени их конфиденциальности. 4)Организация пропускного режима на территории и в служебных помещениях, в которых проводится совещание - виды пропусков и проставляемых на них условных знаков или шифров для прохода в конкретные служебные помещения; порядок их учета, хранения, выдачи и выведения из действия; количество и регламент работы основных и дополнительных контрольно-пропускных пунктов для прохода участников совещания на территорию и в служебные помещения. 5)Организация допуска участников совещания к рассматриваемым вопросам - мероприятия, касающиеся непосредственного допуска участников к вопросам, выносимым на совещание, с учетом порядка их обсуждения и степени конфиденциальности информации, к которой допущен каждый участник совещания. 6)Осуществление записи (стенограммы), фото-, кино-, видеосъемки совещания - порядок и возможные способы записи, съемки, стенографирования хода совещания и обсуждаемых вопросов с учетом их конфиденциальности. 7)Меры по защите информации непосредственно при проведении совещания - порядок и способы охраны служебных помещений, меры по исключению проникновения в них посторонних лиц, а также участников совещания, не участвующих в рассмотрении конкретных вопросов; мероприятия по предотвращению утечки информации по техническим каналам, силы и средства, задействованные при проведении этих мероприятий; конкретные меры, исключающие визуальный просмотр и прослушивание ведущихся переговоров и обсуждения участниками совещания вопросов конфиденциального характера. 8) Организация учета, хранения, выдачи и рассылки материалов совещания - порядок учета, хранения, размножения, выдачи, рассылки и уничтожения материалов совещания, а также рабочих тетрадей или блокнотов, предназначенных для записи обсуждаемых вопросов; 9)Оформление документов лиц, принимавших участие в совещании, - порядок и сроки оформления документов, подтверждающих право доступа участников совещания к конфиденциальной информации, предписаний или доверенностей на участие в совещании. 10) Проверка и обследование места проведения совещания после его окончания - мероприятия по организации и проведению визуальной проверки, а также проверки с использованием специальных технических средств помещений, в которых проводилось совещание, в целях выявления забытых участниками совещаний технических устройств, носителей конфиденциальной информации и личных вещей. 11) Организация контроля за выполнением требований по защите информации - порядок, способы и методы контроля полноты и качества проводимых мероприятий, направленных на предотвращение утечки и разглашения конфиденциальной информации.
Билет 10
1. Принципы добывания и обработки информации техническими средствами.
Добывание информации осуществляется постоянно легальными способами и при недостаточности полученной этими способами информации - путем проведения тайных операций. Легальное добывание информации проводится путем изучения и обработки публикаций по интересующих разведку вопросом в средствах массовой информации, журналах, трудах и др. Нужную информацию можно найти в материалах, имеющих непосредственное отношение к деятельности фирмы: в соглашении о лицензиях, статьях и докладах, годовых отчетах фирм, рекламной литературе и др. Добывание информации в общем случае представляет процесс, который начинается с момента постановки задачи ее пользователями руководством) до момента предоставления пользователям информации, соответствующей поставленным задачам и требованиям. Технология добывания информации включает следующие этапы: 1)организация добывания; 2)добывание данных и сведений; 3) информационная работа. Организация добывания информации предусматривает: 1) декомпозицию (структурирование) задач, поставленных пользователями; 2)разработку замысла операции по добыванию информации; 3)планирование; 4)постановка задач исполнителям; 5)нормативное и оперативное управление действиями исполнителей и режимами работы технических средств. Сведения и данные добываются соответствующими органами путем поиска источников информации и ее носителей, их обнаружение, установление разведывательного контакта с ними, получения данных и сведений. Сведения и данные представляют фрагменты информации и отличаются друг от друга тем, что данные снимаются непосредственно с носителя, а сведения - проанализированные данные. Поиск объектов разведки (источников и носителей информации) производится в пространстве и во времени, а для носителей в виде полей и электрического тока - также по частоте сигнала. Поиск завершается обнаружением объектов разведки и получением от них данных. Обнаружение интересующих разведку объектов в процессе поиска производится по их демаскирующим признакам и заключается в процедуре выделения объекта на фоне других объектов. Основу процесса обнаружения составляет процедура идентификации - сравнение текущих признаковых структур, формируемых в процессе поиска, с эталонной признаковой структурой объекта разведки. Если эталонная признаковая структура отсутствует или принадлежность их объекту вызывает сомнение, то процессу поиска объекта разведки предшествует этап поиска его эталонных (достоверных) признаков. Добытые данные, как правило, разрозненные. Они преобразуются в информацию, отвечающую на поставленные задачи, в ходе информационной работы, выполняемую органами сбора и обработки информации. Информационная или аналитическая работа включает следующие процессы: 1)сбор данных и сведений от органов добывания; 2)видовая обработка; 3)комплексная обработка. Данные и сведения (в случае предварительной обработки данных в органе добывания) передаются в орган видовой обработки. Необходимость видовой обработки обусловлена различиями языков признаков, добываемых органами различных видов. В ходе видовой и комплексной обработки формируются первичные и вторичные сведения на основе методов синтеза информации и процедур идентификации и интерпретации данных и сведений.
2. Объекты защиты информации на предприятии. Принципы их формирования и классификации.
Объект защиты информации - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации. В обобщенный перечень объектов защиты информации входят: 1)информационные ресурсы или собственно информация в содержательно-тематическом смысле; 2)системы формирования, распространения, хранения, обработки и использования информационных ресурсов; 3)информационная инфраструктура – объединение предыдущей системы со средствами передачи информации между субъектами информационных отношений (со средствами, образующими информационные коммуникации). Принципиальное значение имеет однозначное определение и единый подход к формированию полных перечней объектов и элементов. Основным методом формирования перечней является структурно-логический анализ архитектурной топологий АС, технологических схем обработки информации, с выделением фрагментов. Структуризация АС на объекты защиты предполагает: 1)повышение эффективности процесса защиты данных за счет полного охвата всех информационных объектов; 2)рациональное распределение защитных ресурсов в соответствии с важностью, обрабатываемой и хранимой в типовых структурных компонентах ИС информации; 3)приведение динамики процесса защиты данных в соответствие с динамикой их обработки и использования. Информация является предметом защиты, но защищать ее как таковую невозможно, поскольку она не существует сама по себе, а фиксируется (отображается) в определенных материальных объектах. Согласно ГОСТ 50922-96 «Защита информации. Основные термины и определения», носитель информации - это «физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов». Носители защищаемой информации можно классифицировать как: 1)документы; 2)изделия (предметы); 3)вещества и материалы; 4)электромагнитные, тепловые, радиационный и другие излучения; 5)акустические и другие поля и т. п. Кроме того, объектами защиты должны быть: 1)средства отображения, обработки, воспроизведения и передачи конфиденциальной информации, в том числе: ЭВМ, средства видео- звукозаписывающей и воспроизводящей техники; 2)средства транспортировки носителей конфиденциальной информации; 3)средства радио- и кабельной связи, радиовещания телевидения, используемые для передачи конфиденциальной информации; 4)системы обеспечения функционирования предприятия (электро-, водоснабжение, кондиционирование и др.); 5)технические средства защиты информации и контроля за ними. 6)Выпускаемая продукция (изделия). 7)Технологические процессы изготовления продукции, которые включают в себя как технологию производства продукции, так и применяемые при ее изготовлении компоненты (средства производства): оборудование, приборы, материалы, вещества, сырье, топливо и др. 8)Физические поля, в которых информация фиксируется путем изменения их интенсивности, количественных характеристик, отображается в виде сигналов, а в электромагнитных полях и в виде образов. 9)Прилегающая территория к предприятию. Чтобы обеспечить защиту, необходимо защищать и объекты, которые являются подступами к носителям, 10)Здания предприятия 11)Помещения. Защита зданий является вторым рубежом защиты носителей.
3. Порядок оформления документов, необходимых для получения лицензий в области защиты конфиденциальной информации.
Положение о лицензировании деятельности по технической защите конфиденциальной информации Утверждено постановлением Правительства Российской Федерации от 15 августа 2006 г. № 504. Лицензирование деятельности по технической защите конфиденциальной информации осуществляет ФСТЭК. Для получения лицензии соискатель лицензии направляет или представляет в лицензирующий орган следующие документы: 1) заявление о предоставлении лицензии с указанием наименования и организационно-правовой формы юридического лица, места его нахождения; лицензируемого вида деятельности, который намерены осуществлять; 2)копии учредительных документов и копия свидетельства о государственной регистрации соискателя лицензии в качестве юридического лица - для юридического лица; 3) копия свидетельства о государственной регистрации гражданина в качестве индивидуального предпринимателя - для индивидуального предпринимателя; 4) копия свидетельства о постановке соискателя лицензии на учет в налоговом органе; 5) документ, подтверждающий уплату лицензионного сбора; 6)копии документов, подтверждающих квалификацию специалистов по защите информации; 7)копии документов, подтверждающих право собственности, право хозяйственного ведения или оперативного управления на помещения, предназначенные для осуществления лицензируемой деятельности, либо копии договоров аренды; 8)копии аттестатов соответствия защищаемых помещений требованиям безопасности информации; 9) копии технического паспорта АС с приложениями, акта классификации АС по требованиям безопасности информации, плана размещения основных и вспомогательных технических средств и систем, аттестата соответствия АС требованиям безопасности информации, а также перечень защищаемых в АС ресурсов с подтверждением степени конфиденциальности каждого ресурса; 10)копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для ЭВМ и БД; 11)сведения о наличии производственного и контрольно-измерительного оборудования, средств ЗИ и средств контроля защищенности информации, с приложением копий документов о поверке контрольно-измерительного оборудования; 12)сведения об имеющихся у соискателя лицензии нормативных правовых актах, нормативно-методических и методических документах по вопросам технической ЗИ. Лицензирующий орган проводит проверку полноты сведений, содержащихся в документах, представленных в соответствии с пунктом 5 настоящего Положения. В случае выявления неполноты сведений лицензирующий орган в срок, не превышающий 15 дней, вручает соискателю лицензии уведомление о необходимости представления недостающих сведений. При рассмотрении заявления о предоставлении лицензии лицензирующий орган проводит проверку достоверности сведений о соискателе лицензии, заявлении и документах, а также проверку возможности выполнения соискателем лицензии лицензионных требований и условий в порядке, предусмотренном статьей 12 Федерального закона "О лицензировании отдельных видов деятельности". Лицензирующий орган принимает решение о предоставлении или об отказе в предоставлении лицензии в срок, не превышающий 45 дней с даты поступления в лицензирующий орган заявления о предоставлении лицензии и документов, предусмотренных пунктом 5 настоящего Положения. Указанное решение оформляется соответствующим актом лицензирующего органа.
Билет 11
1. Российские стандарты в области информационной безопасности.
ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России
ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Госстандарт России
ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России
ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России
ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России
ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России
(в документе рассматриваются вопросы обеспечения доступности).
Бизнес компании сосредоточен именно на бизнесе, на получении прибыли, а не на ИТ или ИБ. Используемые в компании меры и средства по защите данных должны быть направлены на управление информационными бизнес-активами. Проведение простого анализа данных, в отрыве от их ценности для бизнеса, может дать неадекватные результаты. В настоящем документе рассматривается подход к оценке данных с точки зрения их критичности для бизнеса, а также к выбору эффективной стратегии защиты данных компании.
Обзор
Защита данных и приложений компании включает в себя гораздо больше, чем просто выполнение рутинных операций резервного копирования. Защита информационных бизнес-активов должна обеспечиваться на протяжении всего их жизненного цикла – с точки зрения сохранения, восстановления и обеспечения доступности. Рациональный и эффективный подход к защите данных может помочь компании быстрее адаптироваться к изменениям и расширению возможностей. Например:
- Обеспечить постоянную работу приложений, возможность обслуживания клиентов, создать благоприятные условия для бизнеса компании.
- Мминимизировать тяжесть последствий и продолжительность их влияния в случае потери файлов или возникновения чрезвычайной ситуации.
- Реализовать экономически эффективные меры, направленные на соблюдение требований безопасности, которым должна соответствовать компания, снизить риски и стоимость обеспечения этого соответствия.
Управление данными
Частота изменений: Динамические и Статические
Задумайтесь на минуту о данных и их значении для бизнеса. Наверняка в вашей компании есть файлы, которые используются и изменяются ежедневно. Например, когда вы используете систему ERP или бухгалтерские программы, они вносят изменения в свои базы данных каждый раз, когда вы открываете новый счет или вводите данные очередной транзакции. Это называется динамическими данными.
Кроме них есть файлы, которые никогда не изменяются после своего создания. Примером может служить текст коммерческого предложения, которое вы только что написали и отправили потенциальному клиенту. Другим примером могут быть фотографии, видеозаписи, файлы презентаций, отчеты и т.п. Такие данные называются статическими . Скорее всего, как и у большинства других компаний, в вашей компании больше статических данных, чем динамических.
Критичность для бизнеса
Еще одним аспектом, который нужно обдумать, является степень важности (критичности, ценности) этих данных для бизнеса. Некоторые данные имеют критическое значение – бизнес компании будет разрушен в случае их утраты (это может быть потеря доходов, правовые последствия и т.д.).
Какие данные являются критичными для компании, зависит от нее самой. Для некоторых компаний, самым критичным ресурсом является электронная почта, для других – данные учета операций с клиентами и контрагентами. Самый простой способ определить, какие данные критичны именно для вашей компании, это задать себе и руководителям подразделений компании вопрос: «что произойдет, если это приложение отключится или данные будут утрачены? Что произойдет, если мы не сможем сразу восстановить приложение или данные?» .
Наверняка в компании есть и некритичные данные. Например, черновики подготовленной вами презентации, маркетинговые материалы проведенной рекламной компании и т.п. Вряд ли компания прекратит свою работу, если вы не сможете быстро получить доступ к таким данным.
Подход к выбору стратегии защиты данных
Шаги Процесса определения стратегии защиты данных
Как мы уже говорили, ключ к реализации эффективной и результативной стратегии защиты данных компании заключается в том, чтобы сначала проанализировать и определить ценность этих данных. Только тогда можно будет установить четкий набор бизнес-требований для их защиты. Если вы потратите время, чтобы понять данные и определить бизнес-требования по их защите, вы получите значительные преимущества. Если вы все сделаете правильно, вы сможете обеспечить высокую доступность приложений, что поможет сотрудникам компании обслуживать клиентов, а компании - получать прибыль. Вы сможете снизить количество сбоев. Вы сможете получать своевременный доступ к архивным данным для обеспечения соответствия внешним требованиям или для их использования в новых приложениях.
1. Определить набор «Классов данных»
Классы данных – это группы данных, которые имеют схожий уровень критичности для бизнеса, а также похожую частоту изменений. Будет довольно затруднительно использовать отдельный подход для защиты каждого набора данных. Группировка данных в классы, в которых данные имеют аналогичные характеристики, позволит вам реализовать менее сложную стратегию.
Как уже говорилось ранее, самый простой способ классифицировать данные, заключается в определении критичности и частоты изменений для всех основных наборов данных, с последующим выявлением общих признаков в результатах. Классификация данных в вакууме, основываясь на одних предположениях, может обернуться сплошными проблемами. Вам необходимо привлечь других сотрудников компании к проведению классификации данных (например, руководителей бизнес-подразделений, обслуживающий персонал и т.д.). Вам, безусловно, придется пойти на некоторые компромиссы, чтобы ограничить общее количество классов данных. Для средней компании количество классов должно быть от трех до пяти.
2. Определите требования по восстановлению
Для каждого класса данных, нужно определить требования по восстановлению. Есть два основных требования, которые нужно определить:
- Целевое время восстановления (RTO – Recovery time objective). Это время от момента сбоя или аварии (потери доступа к данным) до момента восстановления работы. Это время требуется для физического восстановления данных или приложений. Управление временем восстановления данных имеет очень важное значение для компании, это время должно быть зафиксировано в виде четкого требования. Нужно стремиться к тому, чтобы максимально сократить время RTO, но необходимая для этого процедура восстановления должна оставаться экономически целесообразной для компании.
- Целевая точка восстановления (RPO – Recovery point objective). Это момент времени, на который будут актуальны данные после их восстановления. Например, если будет восстановлен файл, резервная копия которого была сделана вчера, то значение RPO равно одному дню. Точка восстановления данных, которые изменяются очень часто, также должна быть зафиксирована в виде четкого требования. Нужно стремиться к тому, чтобы точка RPO находилась как можно ближе к текущему моменту времени, но необходимая для этого процедура восстановления также должна оставаться экономически целесообразной для компании.
- Насколько быстро мы должны восстановить данные или приложение после инцидента и возобновить работу? Что случиться, если данные будут недоступны час? Два часа? Четыре часа? Восемь часов? Сутки? Неделю?
- Какое влияние окажет потеря недавно созданных данных?
3. Создайте Стратегию защиты данных
Ключевые соображения:
- Компромисс выбора решения для резервного копирования / восстановления данных. Выбор правильного решения для защиты данных компании требует определения RTO и RPO для различных классов данных. Окончательный выбор решения должен обеспечивать баланс между потребностями бизнеса и стоимостью решения.
- Вопрос архивирования статических данных
- Архив должен обеспечивать долгосрочную защиту данных для соблюдения предъявляемых к компании требований по срокам хранения документов.
- Архив должен позволять использовать исторические данные в новых приложениях.
- Отделение данных в архив (архивирование) должно повышать производительность работы систем компании. Такое повышение производительности реализуется следующими способами:
- Когда статические данные перемещаются в архив, они больше не смешиваются с динамическими данными, поэтому пропадает необходимость в их регулярном резервном копировании. В большинстве случаев это позволяет значительно снизить время создания полной резервной копии и необходимый для нее объем свободного места на резервном носителе информации. Кроме того, отделение статических данных от динамических может значительно сократить время, необходимое для поиска файлов.
- Резервное копирование на диск . Использование технологий резервного копирования динамических данных на дисковые хранилища для возможности их быстрого восстановления (а также создания копий для аварийного восстановления информации) позволит вам получить максимальную отдачу от инвестиций в защиту данных. Такой способ резервного копирования данных существенно сокращает время их восстановления, а также административные издержки на сопровождение процесса резервного копирования.
- Защита данных в режиме реального времени . Использование технологии защиты данных в режиме реального времени позволяет компании получить минимальные значения RTO и RPO. Лучшие из таких решений позволяют восстановить данные на любой момент времени с точностью до секунды, а некоторые из них также позволяют обеспечить высокую доступность для приложений, обеспечивая их отказоустойчивость и возвращая их к работе за секунды.
Насколько важны данные для вашей компании? После того как вы провели классификацию и определили соответствующие стратегии для управления каждым из них, вы можете выбрать набор решений по обеспечению защиты данных, которые лучше всего соответствуют требованиям именно вашей компании.
Выбранные вами решения по защите данных должны соответствовать потребностям компании и предоставлять экономически эффективный подход к управлению различными типами данных в среде компании. Они также должны быть:
- Простыми для внедрения и управления. Простота использования – это очень важное требование. Хотя вы понимаете необходимость защиты данных, но у вас есть множество и других обязанностей, поэтому, вероятно, у вас не будет времени на то, чтобы стать экспертом по защите данных. Мы хотим, чтобы свет включался, когда мы нажимаем на переключатель - вряд ли нам понравится, если для этого нужно будет вызвать электрика. Поэтому решение по защите данных должно быть легко внедрить и использовать в дальнейшем. Удобство использования позволит существенно сократить затраты на персонал для выполнения задач по защите данных.
- Экономически эффективными . Компания хочет свести к минимуму стоимость технологии защиты ваших данных. Лучше сделать это с помощью комбинации решений по хранению данных, которыми можно прозрачно управлять и которые смогут удовлетворить потребности бизнеса при минимально возможных затратах. Проведенная работа по идентификации и классификации данных на основе степени их критичности и частоты изменения, позволит вам купить именно то, что лучше всего соответствует потребностям вашей компании.
- Безопасность . Необходима уверенность, что ваши данные компании находятся в безопасности, обеспечивается конфиденциальность ценных данных, в т.ч. сведений о сотрудниках компании, клиентах и партнерах. Поэтому процесс создания, дальнейшего хранения и использования резервных копий данных должен обеспечивать такой же уровень безопасности, что и в основной системе, в которой они хранятся. Часто это означает необходимость шифрования данных в резервных копиях.
- Комплексность . Решение по защите данных должно быть способно автоматически учитывать потребности всех систем, использующихся в вашей среде, в т.ч. любых устройств, подключенных к сети. Компании любых размеров нередко сталкиваются с проблемами эффективности защиты данных на рабочих станциях, ноутбуках и других мобильных устройствах. Выбранное решение должно быть способно выявлять факты подключения к сети мобильных устройств и собирать необходимые сведения для обеспечения защиты.
- Масштабируемость . Продумайте вопросы, касающиеся ожидаемых изменений в компании в течение ближайших нескольких лет. При выборе решения для защиты данных обязательно учтите эти ожидания. Если существует высокая вероятность значительных изменений требований к защите данных, очень важно, чтобы выбранное решение было адаптируемым и масштабируемым. Удаление дубликатов файлов может позволить вам лучше справляться с ростом объема данных с течением времени, а также поддерживать рентабельность стратегии защиты данных.
- Надежность производителя . Следует убедиться, что производитель выбранного решения по защите данных обладает большим опытом и глубокими знаниями в этом вопросе.
Выбор решения, которое просто в развертывании и управлении, экономически эффективно, надежно, комплексно, масштабируемо и произведено надежным производителем займет немало времени. Однако это позволит успешно внедрить и использовать его, обеспечив надежную защиту данных компании. Вам не обязательно становиться экспертом по защите данных, но вы должны очень хорошо понимать потребности вашей компании в отношении защиты данных.
6. Заключительные положения
Как уже говорилось в этом документе, процесс классификации данных является первым и очень важным шагом в процессе обеспечения надежной защиты приложений и данных компании. Классификация данных должна проводиться совместно различными подразделениями компании. Слишком часто отсутствует связь между подразделениями ИТ, ИБ и теми, кто непосредственно работает с данными – руководителями бизнес-подразделений. Возьмем, к примеру, отказ сервера корпоративной электронной почты. Администратор этого сервера оценил, что для выяснения проблемы и ее исправления требуется не более 24 часов, считая это время приемлемым для компании. Однако, когда такой отказ происходит, генеральный директор начинает каждые 20 минут звонить ИТ-директору, чтобы уточнить текущее состояние решения проблемы, при этом каждый следующий их диалог содержит все меньше любезностей. Оказывается, что для компании RTO, равное для этой системы 24 часам, является неприемлемым, а принятое ИТ-департаментом решение просто не учитывало реальные потребности подразделений компании. В действительности, в этой компании корпоративная электронная почта должна была быть классифицирована, как имеющая критическое значение для бизнеса, и ее защита должна реализовываться соответствующим образом. Непонимание этого (или недостаток связи с бизнес-подразделениями), может привести к плачевным последствиям, как для отдельных сотрудников, так и для компании в целом.
Конечно, даже если корпоративная электронная почта не является «критически важной» она все равно может стать причиной проблем для ИТ-департамента и пользователей, вызванных неправильным выбором окна для резервного копирования или глубиной восстановления почты. Поэтому нужно очень внимательно и осторожно проводить классификацию данных, ведь отсутствие проблем у пользователей - это очень критичный для бизнеса вопрос. В нашем примере с сервером электронной почты, если его резервное копирование занимает несколько часов, должны использоваться специальные технологии, которые позволят не причинять пользователям проблем в процессе копирования. Если мы будем при выборе стратегии защиты данных основываться только на уровне классификации системы электронной почты (не критична для бизнеса), мы могли бы выбрать обычные средства резервного копирования. Однако это приведет к сложностям в работе пользователей, и выбранное решение будет не лучшим.
Иными словами, нужно учитывать, что помимо требований RTO и RPO, нужно учитывать и другие вопросы (например, слишком большое окно резервного копирования, неправильный выбор времени резервного копирования). Даже некритичные для бизнеса данные могут требовать внедрения определенных технологий для их защиты. Эти технологии не должны быть чрезмерными и не должны приводить к возникновению дополнительных проблем у пользователей.
Решения по защите данных могут защитить инвестиции в бизнес компании. Все зависит от того, насколько правильно они реализованы. Следует в первую очередь сосредоточиться на потребностях бизнеса, а не на технологиях.
Стратегические ресурсы – это средства достижения цели или решения стратегических вопросов.
Традиционные ресурсы:
Технические (производственные мощности);
Технологические (способ исполнения);
Кадровые;
Пространственные (размещение фирмы);
Информационные ресурсы;
Финансовые ресурсы;
Организационная структура предприятия.
Стратегические ресурсы – это возможность использования традиционных ресурсов с целью решения стратегических вопросов.
Стратегические ресурсы делятся на позволяющие фирме адекватно реагировать на из-менения внешней среды и позволяющие фирме расширять и совершенствовать свои внут-ренние предельные возможности.
Основные стратегические ресурсы:
1. Способность компании проводить макроэкономический анализ ситуации в необхо-димых масштабах.
2. Способность компании своевременно обнаруживать актуальные нужды, потребно-сти, запросы потенциальных покупателей (маркетинговые исследования).
3. Способность фирмы проводить анализ экономической конъюнктуры рынков това-ров и услуг.
4. Способность проведения анализа конъюнктуры рынков факторов производства.
5. Способность анализировать деятельность групп стратегического влияния.
6. Способность компании выдвигать конкурентоспособные идеи в области конструи-рования, технологии и т. д.
7. Способность компании реализовывать конкурентоспособные идеи в сфере своего функционирования.
8. Способность компании обеспечивать свою независимость от изменения конъюнк-туры рынка.
9. Способность фирмы поддерживать свой конкурентный статус за счет управления стратегическими зонами хозяйствования.
Факторы, связанные с внутренним потенциалом фирмы отражают:
1. Способность фирмы обеспечивать внутреннюю гибкость организации за счет ос-нащения производственного процесса адаптивными средствами технического и технологи-ческого оснащения.
2. Способность фирмы обеспечивать внутреннюю гибкость за счет использования эффективных технологий.
3. Способность обеспечить внутреннюю гибкость организации за счет соответст-вующего изменения кадрового потенциала.
4. Способность компании осуществлять изменения плановых решений адекватно из-менениям целей.
5. Способность обеспечить уровень конкурентоспособности товаров и услуг, требуе-мый для захвата лидерства в обслуживаемых или перспективных сегментах рынка.
6. Способность обеспечить выпуск товаров и услуг в объемах, соответствующих по-тенциальному спросу на соответствующем сегменте рынка с учетом нынешнего положения фирмы и потенциальной доли захвата рынка.
7. Способность обеспечить высшую эффективность функционирования за счет ра-ционального использования инвестиционных возможностей.
8. Способность обеспечить эффективную разработку и реализацию стратегической программы.
Процесс стратегического планирования
Этапы стратегического планирования:
1. Диагностика. На этом этапе определяется нынешнее состояние организации, со-стояние внешней среды, цели стратегического развития, устанавливаемые приоритеты в раз-витии, определенные методы планирования.
2. Дирекционный этап – посвящен пути достижения заданной цели.
Выбор стратегии: разработка альтернатив, оценка, выбор одной альтернативы, которая будет реализовываться. Регулирование конфликтов, связанных со стратегией разработки стратегического плана.
3. Реализация самой стратегии и контроль (создание стратегической программы, опе-
рационные планы, ситуационные планы и контроль за выполнением).
Традиционная схема для реализации данного алгоритма основана на том, что компа-ния имеет большие возможности для влияния на свой будущий курс.
Достоинства стратегического планирования как формы управления:
1. Служит способом формирования идеологии.
2. Служит механизмом для адаптации к внешней среде.
3. Контроль.
Дополнительно к указанным достоинствам:
4. Улучшение процесса принятия решений в организации, совершенствование управ-ления.
5. Улучшение результатов функционирования организации.
6. Долгосрочное размещение ресурсов.
7. Механизм идентификации возможностей фирм.
8. Способ координации в деятельности отдельного подразделения, регулирование конфликтов.
9. Способ установления целей фирмы.
10. Способ критического анализа деятельности фирмы.
11. Способ повышения квалификации управляющего персонала.
Проблемы, которые создает стратегическое планирование для организации, следующие:
Точную картину будущего дать невозможно, поэтому главное – определение на-правлений деятельности организации;
Субъективизм стратегического планирования – нет общих правил;
Для данного процесса требуется большое количество ресурсов, в том числе ресур-сов времени;
На основании изложенного напрашивается вывод: при всех достоинствах стратегиче-ского управления эта форма не обладает универсальностью в управлении.
Подтвердите или опровергните приведенные ниже утверждения ответами: да – нет
1. Стратегическое планирование – это разработка философии деятельности фирмы на долгосрочный период.
2. Стратегия планирования – одна из функций управления.
3. В стратегическом планировании не рассматривается философия деятельности фирмы.
4. Маркетинг определяет цели деятельности фирмы, а стратегическое планирование обеспечивает достижение этих целей.
5. Предпосылки стратегического планирования:
Наличие крупного бизнеса;
Общая тенденция демократизации управления;
Усиление роли информации как фактора деятельности фирм;
Наличие накопленных знаний.
6. Теоретические предпосылки стратегического планирования:
Теория фирмы;
Методы планирования;
Теория менеджмента.
7. Альтернативные теории фирмы:
Фирма рассматривается как рациональный субъект;
Замкнутость деятельности фирмы;
Деятельность фирмы определяется внешними условиями ее функционирования.
8. Неоклассическая теория:
Фирма – открытая система;
Фирма не является неделимым субъектом;
На деятельность фирмы влияет не только внешняя, но и внутренняя среда.
9. Теория промышленной организации не анализирует принципы поведения фирмы в зависимости от структуры отрасли.
10. Теория финансовых рынков и портфельных инвестиций определяет принципы формирования рациональных инвестиций.
11. Теория инновационного развития и концепция жизненного цикла продукции не определяет технологические тенденции развития.
12. Трансакционная сделка: целью создания фирмы является стремление минимизации издержек на содержание сделки.
13. Поведенческая экономическая теория не осуществляет анализ поведения фирм в зависимости от их психологии.
14. Теория конкурентных преимуществ: у товара есть свое конкурентное преимущест-во преимущественно при относительно высокой цене.
15. Прогнозирование – это несистематический анализ определенного набора факторов с целью предвидения имеющихся возможностей.
16. Для эффективной реализации плана необходимо вовлечение всего персонала в со-гласование плана.
17. Основные требования к планированию:
Систематичность;
Высокое качество информации;
Психологические моменты;
Предусматривание не только целей, но и способов реализации.
18. Особенности стратегического планирования:
Разработка плана – это база, т. е. концепция развития;
Предполагает в большей степени изучение альтернатив;
Адаптивность стратегического планирования: трактовка как процесс адаптации ор-ганизации к постоянно изменяющейся окружающей среде;
Многообразие инструментов, используемых при разработке плана.
19. Методы менеджмента:
Ситуационный анализ;
Управление, ориентированное на результаты;
Связка между стратегическим планированием и маркетингом;
Управление инновациями;
Управление персоналом;
Планирование проектов.
20. Стратегическое планирование в узком понимании – особая функция управления.
21. Стратегическое планирование в широком понимании – это не процесс моделиро-вания будущего.
22. Способ аллокации не решается непосредственно фирмой.
23. Технологическое ограничение: из определенного объема ресурсов при данной тех-нологии можно произвести не более…
24. Рыночное ограничение – свобода фирмы в установлении цен ограничивается дей-ствием конкурентов и государством.
25. Бюджетное ограничение: фирма из своих доходов не должна покрывать свои обя-зательства.
26. Бюджетное ограничение не может изменяться от мягкого до жесткого.
27. Жесткое ограничение – компания четко должна оплачивать свои обязательства.
28. Спектр условий бюджетных ограничений зависит от:
Статуса фирмы;
Степени развития рыночной системы;
Связи самой фирмы.
29. Стратегия фирмы – это одна из форм долгосрочного перспективного сочетания ог-раничений на деятельность фирмы.
30. Риск – неочевидность наступления определенного результата.
31. Каждая фирма не действует в определенных условиях внешней и внутренней среды.
32. Основные стратегические вопросы в целом – это проблемы, которые жизненно важны для деятельности фирмы.
33. Жизненно важные вопросы деятельности фирмы:
Направления деятельности фирмы;
Источники развития деятельности;
Формирование структуры управления;
Характер отношений компании с внешней средой;
Возможные результаты деятельности фирмы;
Возможные противоречия и конфликты, способные повлиять на принципиальные параметры деятельности организации.
34. Формы реакции фирмы на стратегические вопросы:
Моделирующий подход;
Командное изучение вопроса;
Стратегический анализ.
35. Стратегические ресурсы – это средства достижения цели или решение стратегиче-ских задач.
36. Стратегические ресурсы – это невозможность использования традиционных ресур-сов с целью решения стратегических вопросов.
37. Основные стратегические ресурсы:
Способность фирмы проводить анализ экономической конъюнктуры рынков това-ров и услуг.
Способность анализирования деятельности групп стратегического влияния.
Способность фирмы поддерживать свой конкурентный статус за счет управления стратегическими законами хозяйствования.
38. Факторы, связанные с внутренним потенциалом фирмы отражают:
Способность фирмы обеспечивать внутреннюю гибкость за счет использования
эффективных технологий;
Способность обеспечивать эффективную разработку и реализацию стратегической
программы.
39. Первый этап стратегического планирования – посвящен пути достижения заданной цели.
40. Достоинства стратегического планирования как формы управления:
Служит способом формирования идеологии;
Служит механизмом адаптации к внешней среде;
Контроль.
41. Проблемы стратегического планирования для организации:
Точную картину будущего дать невозможно;
Субъективизм стратегического планирования;
Реализация стратегии требует проведения изменений в организации;
Усиление бюрократизации в управлении.
2. ЦЕЛЕВЫЕ ФУНКЦИИ ФИРМЫ
Стратегия - это общая, рассчитанная на перспективу руководящая установка при организации и обеспечении соответствующего вида деятельности, направленная на то, чтобы наиболее важные цели этой деятельности достигались при наиболее рациональном расходовании имеющихся ресурсов.
Организация защиты информации в самом общем виде может быть определена как поиск оптимального компромисса между потребностями в защите и необходимыми для этих целей ресурсами.
Потребности в защите обуславливаются, прежде всего, важностью и объемами защищаемой информации, а также условиями ее хранения, обработки и использования. Эти условия определяются уровнем (качеством) структурно-организационного построения объекта обработки информации, уровнем организации технологических схем обработки, местом и условиями расположения объекта и его компонентов и другими параметрами.
Размер ресурсов на защиту информации может быть ограничен определенным пределом либо определяется условием обязательного достижения требуемого уровня защиты. В первом случае защита должна быть организована так, чтобы при выделенных ресурсах обеспечивался максимально возможный уровень защиты, а во втором - чтобы требуемый уровень защиты обеспечивался при минимальном расходовании ресурсов.
Сформулированные задачи есть не что иное, как прямая и обратная постановки оптимизационных задач. Существует две проблемы, затрудняющие формальное решение.
Первая - процессы защиты информации находятся в значительной зависимости от большого числа случайных и трудно предсказуемых факторов, таких как поведение злоумышленника, воздействие природных явлений, сбои и ошибки в процессе функционирования элементов системы обработки информации и др.
Вторая - среди средств защиты весьма заметное место занимают организационные меры, связанные с действием человека.
Обоснование числа и содержания необходимых стратегий будем осуществлять по двум критериям: требуемому уровню защиты и степени свободы действий при организации защиты. Значения первого критерия лучше всего выразить множеством тех угроз, относительно которых должна быть обеспечена защита:
от наиболее опасных из известных (ранее появившихся) угроз;
от всех известных угроз;
от всех потенциально возможных угроз.
Второй критерий выбора стратегий защиты сводится к тому, что организаторы и исполнители процессов защиты имеют относительно полную свободу распоряжения методами и средствами защиты и некоторую степень свободы вмешательства в архитектурное построение системы обработки информации, а также в организацию и обеспечение технологии ее функционирования. По этому аспекту удобно выделить три различные степени свободы:
никакое вмешательство в систему обработки информации не допускается. Такое требование может быть предъявлено к уже функционирующим системам обработки информации и нарушение процесса их функционирования для установки механизмов защиты не разрешается;
к архитектурному построению системы обработки информации и технологии ее функционирования допускается предъявлять требования неконцептуального характера. Другими словами, допускается приостановка процесса функционирования системы обработки информации для установки некоторых механизмов защиты;
требования любого уровня, обусловленные потребностями защиты информации, принимаются в качестве обязательных условий при построении системы обработки информации, организации и обеспечения их функционирования.
Практически можно выделить три основные стратегии:
Так, выбирая оборонительную стратегию, подразумевают, что при недопущении вмешательства в процесс функционирования системы обработки информации можно нейтрализовать лишь наиболее опасные угрозы. Например, данная стратегия, применяемая для существующего объекта, может включать разработку организационных мер использование технических средств по ограничению несанкционированного допуска к объекту. Упреждающая стратегия предполагает тщательное исследование возможных гроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. При этом нет смысла на данном этапе рассматривать ограниченное множество подобных угроз.
Книга: Стратегическое управление - Шершнева
3.7.3. Ресурсные стратегии
Одна из главных целей стратегического управления на предприятии - обеспечение рационального распределения ресурсов между направлениями деятельности (ССО) и их эффективного использования для наилучшего достижения постав-ленных стратегических целей.Ресурсное обеспечение стратегической деятельности предприятия должно осу-наться в соответствующей форме на основе разработки ресурсных стратегий, которые спо-яють решению таких задач:
Определение перспективных потребностей предприятия в ресурсах всех необходи-ных видов;
расчет допустимых ресурсных ограничений и формирование прогрессивных норм затрат ресурсов различных типов;
Определение «зон стратегических ресурсов, возможностей их исполь-зования путем балансирования объемов и состава, сроков поставки с динами-кой использования;
разработка мероприятий по рациональному транспортировки, хранения и использования;
Использование подходов с позиции логистики относительно системы реализации ресур-менных стратегий.
Стратегические цели для того, чтобы быть достигнутыми в будущем, уже сегодня-день требуют решений по затратам ресурсов. Будущее всегда невизначе-не, поэтому затраты ресурсов всегда будут сопровождаться тем или иным уровнем риска. Совсем избавиться от этого риска невозможно; сведение риска к минимуму, как правило, требует дополнительных затрат и может быть неекономі-чним. Разрабатывая ресурсные стратегии, надо обосновывать возможный и допустимый уровни риска, который берет на себя руководство при использовании ресурсов с максимально возможной отдачей.
В условиях рыночной экономики процесс ресурсного обеспечения деятельности предприятия имеет форму процесса закупки. Для поставщика - это этап за-вершения процесса воспроизводства, для потребителя - этап, на котором финансовые ре-сурсы, денежный капитал, превращаются в один из элементов производственного про-процесса. Деятельность предприятия направлена на изучение конъюнктуры рынка с целью обеспечения своего производственного процесса с наименьшими потерями. Руко-ники предприятия на основе сформированного «портфеля» определяют количество, качество, структура, цены, сроки поставки и поставщиков по отдельным видам ресурсов, исходя из возможностей рынка, потребностей потребителей и требованиям производственных процессов, существующих на предприятии и запланированных к вводу с целью изготовле-соответствует необходимой продукции.
Ресурсные стратегии существенно зависят от ситуации на рынках, что их постача-ют. Сейчас наблюдается интенсивная предложение различных ресурсов и, как насли-док, основное внимание в ресурсных стратегиях уделяется выбору найприваблы-виших рынков, характеризующихся широким набором вариантов «цена - качество», сочетания взаимодополняющих ресурсов, географической разнообраз-ностью и т.д.
В последние годы человечество поняло ограниченность природно-сырьевых ре-сурсов (по оценкам представителей Римского клуба, пик производства сырья на душу населения Земли пришелся на конец 60-х годов ХХ века); характерной особенностью стал бурный рост цен на ресурсы. Не только украинские, но и предприятия развитых стран столкнулись с ситуацией, когда ресурсы становятся од-ним из главных ограничений (вместе с временными характеристиками), которые могут сделать невозможным осуществление каких-либо продуктивной стратегии. Дефицит отдельных ресурсов пытаются преодолеть разными путями, в том числе за счет роз-витке ресурсосберегающих технологий, использования искусственных материалов и т.п., но не всегда эти меры помогают достичь желаемых результатов. Физический недостаток ресурсов дополняется политическими ограничениями в поставках тех или других компонентов в различные страны.
Учитывая сказанное, надо отслеживать двусторонняя связь продук-тово-товарных и ресурсных стратегий: не только потребности конечных потребителей «задают» содержание продуктово-товарных стратегий и соответствующие ресурсы для их осуществления него, но и определение доступности и качества ресурсов влияют на содержание и количественные характеристики продуктовых стратегий. Это, конечно, осложнения-ет работу по разработке обоснованного «стратегического набора», но не выхо-дить за пределы привычных оценок: 1) что нужно сделать, то есть какую продукцию изготовить; 2) что можно сделать, исходя из имеющихся ресурсов.
И. Ансоф предлагает для разработки ресурсных стратегий использовать подход, аналогичный определению ССО при разработке продуктово-товарных стратегий: ресурсные потребности фирмы определять через «зоны стратегических ресур-сов» (ЗПР), которые характеризуют ситуацию с обеспечением отдельными видами ресурсов нужд предприятия.
ЗСР - сегмент рынка, где действует определенная совокупность предприятий-поставщиков, которые могут обеспечить вывод на рынок товарного ассор-тименту фирмы и способствовать ритмичному функционированию ее производственно-управленческой системы.
Каждое предприятие работает с различными ЗСР (их основные группы приведены на рис. 3.25), перечень которых предопределяется особенностями внешнего и вну-внутреннего среды.
Для каждой ЗСР разрабатываются стратегии, которые, как отмечалось, является определенной сис-темой ограничений и стратегических мероприятий, разрабатываемых предприятием с целью их преодоления. Однако на каждом конкретном отрезке времени согласования других видов стратегий с ресурсными - безусловная необходимость, что, в частности, определяет и темпы выполнения общих стратегических планов и программ. Через контроль и анализ выполнения планов и программ ресурсного обеспечения других стратегических планов и программ происходит контроль и координация системы распределения ресурсов между отдельными подразделениями, то есть реализация древнейшей, первоначальной функции, которую с самого начала осуществляло стратегическое управление еще на ранних этапах своего развития.
Рис. 3.25. Принципиальная схема структуры и взаимосвязи ресурсов предприятия
Следовательно, ресурсная стратегия - это обобщенная модель действий предприятия в ЗСР, не-обходных для достижения определенных целей посредством координации и распределения ресурсов компании между отдельными сферами ее деятельности.
На рис. 3.26 показаны основные элементы, которые надо учитывать при разра-бці ресурсных стратегий. Рис. 3.26. Ресурсные стратегии: состав и движение ресурсов
Ресурстні стратегии - тип обеспечивающих стратегий стратегического набора, в которых определяются стратегии поведения предприятия в ЗСР, формы и мето-ды поставки, политика создания страховых запасов; систем распределения и заполнения ресурсов.
Реализация ресурсных стратегий означает также формирование нового или преобразование существующего производственного потенциала предприятия, поскольку коли-чество, соотношение и целевая направленность использования ресурсов «за-дают» основные целевые характеристики производственного потенциала предпри-ва (см. подразд. 2.4).
Материально-сырьевые ресурсы
Структура и содержание стратегий зависят от отраслевой принадлежности предприятия, характера производства, местонахождение данной фирмы, формы собственности и уровня управления предприятием. Если первые три характеристи-ки «задают» перечень и структуру необходимых и доступных ресурсов, то последние две - систему принятия решений по обеспечению разработки и выполнения ресурсных стратегий.
Каждая отрасль характеризуется соответствующей фондо-, материало-, энерго - и трудоемкостью продукции, что выпускается. Одни отрасли основные расходы несут на приобретение и обслуживание машин и механизмов, другие - сыровы-ны и материалов, привлечения трудовых ресурсов. Независимо от особенностей, для обеспечения его функционирования нужны материально-сырьевые ре-сурсы, которые классифицируют на следующие группы: сырье; основные материалы; ком-ктуючі изделия; вспомогательные материалы; топливо.
Различные отрасли промышленности применяют различные материалы для изготовления соответствующей продукции. В машиностроении к основным материалам относят ме-тал и другие материалы, из которых изготавливаются детали станков на ткацкой фаб-рике - пряжа, на швейной фабрике - ткани и т.д. В каждом производстве используется достаточно широкий перечень вспомогательных материалов. Принадлежность сырья или материала к той или иной группе зависит от продукта, из них изготавливается.
Основная цель любой ресурсной стратегии заключается в том, чтобы, учетом-вши все требования продуктовых и функциональных стратегий, обеспечить предприятие сырьем, материалами, топливом, запчастями, оборудованием, трудовыми, финансовыми и информационными ресурсами.
В условиях повышения своей самостоятельности предприятия сами отвечают за необходимый перечень, количество и качество ресурсов, необходимых для ускорен-ного перехода на новые виды продукции, снятие с производства устаревшей, а также для соответствующего развития (сокращения) отдельных функциональных підси-стэм предприятия. В связи с этим предприятие определяет текущие и перспективные потребности в ресурсах, а также предусматривает необходимые меры по их обеспечению.
Основой для расчетов потребностей в ресурсах являются:
Продуктовые стратегии, где определены необходимые типы и объемы производства продукции для заполнения «стратегической пробелы»;
функциональные стратегии, где определены потребности в ресурсах для создания, поддержки, развития и сокращения деятельности отдельных функциональных под-систем предприятия;
Необходимый уровень резервов для обеспечения непрерывной функ-ционирования предприятия;
прогнозы и анализ тенденций создания и внедрения исследований, от-тельно новых материалов, технологий, производственных процессов, а также разведки новых залежей полезных ископаемых;
Методы обоснования рационального использования материальных ресурсов с учетом изменений в их структуре, замены дефицитных материалов менее где-фіцитними, использование внутренних резервов, вторичного сырья и отходов-иии;
методы обоснования рациональных норм использования ресурсов и их экономии.
В общем виде потребности в материальных ресурсах можно розрахува-ти так:
П = О Ч Н + Зп - Зо, (3.2)
Где О - объем производства определенного продукта в соответствии с выбранной продуктово-товарной стратегией;
Н - принятые нормы затрат сырья (материала) на единицу продукции, обеспечивающих необходимый уровень конкурентоспособности;
Зп - нормативный переходящий производственный запас продукта, необходимый для обеспечения непрерывного производства;
Зо - ожидаемый запас данного вида продукта на начало планового пери-оду.
Если невозможно вычислить нормы затрат на единицу продукции, как пра-вило, используют показатели затрат ресурсов на определенное количество денеж-ных единиц (100, 1000 и т. д.).
Ориентировочную потребность в материальных ресурсах на плановый период можно определить воспользовавшись методом динамических коэффициентов.
Ппл = Фр Ч Кп Ч Кн, (3.3)
где Фр - фактический объем расходов материалов на изготовление продуктов-аналогов за предыдущий период;
Кп - коэффициент роста/уменьшения объема изготовления продукта в плановом периоде по сравнению с предыдущим периодом;
Кн - коэффициент увеличения/снижения норм расходов на единицу продукции, в соответствии с разработанными для этого мерами (рис. 3.27)1.
Для Украины, экономика которой характеризуется как надвитратна, очень актуаль-ным является последний коэффициент, который, с одной стороны, повышает выход готового про-дукты из единицы сырья, а с другой - стимулирует развитие и внедрение к-сягнень НТП в производство. Важнейшими видами ресурсов, в отношении которых в первую очередь следует предусматривать стратегию их экономии (рис. 3.27), являются энергетические и другие импортные ресурсы. Каждое предприятие должно осуществлять исследования по внедрению импорто-замещающих ресурсов, которые уменьшают зависимость от внешних источников снабжения нип, экономят валюту и т.д. Принимая решение относительно содержания ресурсных стратегий, нужно учитывать еще и доступность ресурсов и их значение для производства (рис. 3.28). Рис. 3.27. Основные направления экономии материальных ресурсов и их влияние на содержание ресурсных стратегий
Рис. 3.28. Матрица «значимость ресурса - доступность ресурса»
Значение и влияние ресурсов на эффективность работы предприятия опреде-ляются ролью, которую играет тот или иной ресурс для достижения целей предприятия (например, нефть для нефтеперерабатывающего завода, катализаторы для химического производства), возможностями его замены, уровнем влияния цен отдель-ных ресурсов на показатели эффективности работы предприятия. Доступность ресурсов может быть охарактеризована через их уникальность, а также за сложность поставки. Уровень сложности оценивается в свою очередь через вероятность влияния предприятия-потребителя на своих поставщиков: чем выше уровень воздействия (например, через вертикальную интеграцию «назад»), тем меньшие сложности в снабжении.
Процесс обеспечения материально-сырьевыми ресурсами спрос-цию с помощью системы организационных, экономических и технических мероприятий, через которые происходит взаимосвязь ресурсных стратегий между собой, а также с такими функциональными стратегиями: маркетинговой стратегией - через поиск и развитие ЗПР, стратегией научных исследований и разработок - через разработку соответствующих методов взаимозаменяемости ресурсов и т.п. Анализ и план-ния альтернативных ресурсов осуществляют так же, как и «портфельный» анализ и планирование продуктово-товарных стратегий.
Отдельная проблема по обеспечению производства материально-сырьевыми ресурсами - это создание запасов. В идеальном случае, когда поставка происходит синхронно по всем составляющим, объемы ресурсов, которые ежедневно получает предприятие соответствуют программе суточного выпуска продукции. Запасы могут равняться нулю. Если потребности в ресурсах не соответствуют нужным, целесообразным, есть определенное страхование в виде «буферных запасов», которые компенсируют недостатки в снабжении. Это отражает тесную связь ресурсных стратегий и функции снабжения как деятельности по организации ис-полнения ресурсных стратегий (включая управление запасами складского го-сподарства, другие функциональные сферы логистики).
Запасы касаются не только «входящих» потоков предприятия, они являются амор-тизаторами между снабжением, производством, системой продвижения, розподі-лу и реализации. Поэтому в системе управления предприятием выделяется еще и функция складского хозяйства, которая касается размещения и ис-вания складов, системы хранения сырья, материалов, полуфабрикатов, внутренней транспортировки, контроля качества материалов и т.д.
В зависимости от места, роли, уровня преобразований в обеспечении, а также с ура-учетом субъективных факторов, можно применять разные подходы к зміс-ту ресурсных стратегий:
Для каждого вида сырья или материала разрабатывать отдельную ресурсную стратегию;
формировать стратегию для группы материалов или сырья;
Разрабатывать комплексную ресурсную стратегию для всего предприятия.
С целью непрерывного обеспечения предприятий сырьем, материала-ми, топливом и другими материально-сырьевыми ресурсами планируется пэв-ный объем оборотных средств, которые складываются из средств, вложенных в фонды обращения (товарные запасы, денежные ресурсы, необходимые для обеспечения безперер-го обращения товаров, денег в расчетах с поставщиками), и денег, вложенных в оборотные средства (тара, материалы для хозяйственных нужд, мало-ценные и быстроизнашивающиеся предметы, топливо, расходы будущих периодов). Правильная организация оборота оборотных средств возможна при условии учета связей стратегий материальных и финансовых ресурсов.
Техника и технология
Продуктовые стратегии определяют, что именно предполагается изготавливать на предприятии. Они же определяют отраслевую принадлежность предприятия, за-дают требования к технике и технологии изготовления продукции определенного типа. Итак, количество, структура и виды оборудования определяются отраслью, продукцией, предусмотренной к изготовлению продуктовыми стратегі-ямы, а также технологии переработки ресурсов в готовую продукцию.
Предприятия для определения возможностей обеспечения техникой и технологией зачастую используют их стоимостную форму - основные фонды (и в целом есть связь с инвестиционными стратегиями). В практике учета производственные фонды подразделяются на здания, сооружения, силовое оборудование, пе-редаточне оборудование, рабочие механизмы и аппараты, инструменты и принадлежности, хозяйственный инвентарь, транспорт, относительно которых принимаются решения о направлениях использования средств.
Существует тесная связь между обеспечением техникой и производственными страте-гіями. Так, потребности в отдельных видах оборудования, машинах и механизмах в на-туральному выражении определяются отдельно:
для капитального строительства и реконструкции предприятия;
Замены устаревшего оборудования на основном, вспомогательном и обслужи-ющем производстве;
комплектации продукции машиностроения;
Научно-исследовательских работ и т.д.
Потребность в машинах и оборудовании зависит от:
Объемов запланированных работ (в соответствии с продуктово-товарными стратегиями);
комплектации оборудования в соответствии с планом;
Создание комплексов машин;
создания или реконструкции производства, расширения действующих мощностей-тей;
Замены оборудования согласно новой технологии на основе научных исследований и разработок;
темпов развития производства.
Потребность в оборудовании для расширения предприятия в соответствии с определенными темпами прироста объемов производства (выполнения плановых объемов работ) можно определить по формуле:
Где Нв - норма времени на изготовление единицы продукции (выполнение единицы работ);
Опл - плановый объем производства;
Чд - число дней в плановом периоде;
С - число смен работы в плановом периоде;
Д - продолжительность рабочей смены;
Кв - коэффициент использования оборудования с учетом ремонта и нала-сованность;
Квн - средний коэффициент выполнения норм.
От числа, рассчитанного по формуле, вычитается количество имеющегося обо-рудования, что позволяет принимать решения о закупке (при положительном результате) или о продаже (при отрицательном значении) оборудования или других технических средствах. Расчет можно проводить по отдельным видам оборудования и в целом по оборудованию.
Имеющиеся техника и технология могут играть двойную роль:
1) в случае их технической отсталости - ограничение дальнейшего развития предприятия;
2) в случае их прогрессивности - конкурентного преимущества.
В зависимости от ситуации предприятие выбирает разные по содержанию и размаху изменений стратегии по техническому переоснащению, где важную роль играют издержки конверсии, а также возможности предприятия к самоинвестирования и привлечения инвестиций из внешней среды.
Трудовые ресурсы
Безусловным фактором обеспечения функционирования любого предприятия является привлечение персонала с определенными количественными, структурными и кач-ими характеристиками. С развитием общества человеческий фактор приобретает все большее значение вследствие роста общего уровня образования и куль-туры, а также требований людей об условиях жизни и труда. Это требует новых подходов к управлению в целом и создание новых рычагов управления персо-налом в частности.
Теории человеческих (трудовых) ресурсов;
теории человеческого капитала.
Теория человеческих (трудовых) ресурсов базируется на утверждении, что работник - такой же фактор производства, как и остальные ресурсов. В ранних теориях управления (в классической и ранней административной) считалось, что относиться к персоналу и управлять им можно так же, как и другими производственными ресурса-мы, используя те же инструменты и методы. Рынок труда предоставляет пред-цеві возможности нанимать нужное количество персонала требуемой квалификации. А избыток трудовых ресурсов из-за безработицы доказывает, что сделать это не ду-же трудно. Конкуренция между рабочими за престижную работу перекладывает бремя по подготовке и переподготовке кадров на их собственные плечи.
Но человек - это не только «носитель труда». Результаты исследования роли и значения персонала даже в высокотехнологичных, роботизированных производ-твах доказывают, что добавленная стоимость создается в первую очередь людьми. В произ-бничому потенциале трудовые ресурсы - наиболее активный фактор, который позволяет ему (потенциала) адаптироваться к изменениям и развиваться. С другими ресур-сами персонал объединяет то, что он должен отвечать требованиям тех направлений деятельности, которые имеет и планирует к освоению предприятие.
Трудовые ресурсы - понятие очень сложное; оно охватывает различные группы работников независимо от их роли в процессе производства, от фун-кций, которые они выполняют, квалификационного состава и т.п. Требования, виса-льные к каждой из групп рабочих - разные, поэтому при обеспечении предприятия трудовыми ресурсами применяется дифференцированный подход. Рис. 3.29
Для правильного определения подхода к формированию кадровой составляющей производственного потенциала применяют различные группировки персонала предпри-ятия.
По роли в производстве выделяют промышленно-производственный и невы-робничий персонал. В основу такого деления положен объекты их труда, а не функции. Промышленно-производственный персо
нал - это работники, занятые непосредственно в производстве продукции, а также в подразделениях обслуживания. Непромышленный персонал - это рабочие, без-посредственно не связанные с изготовлением продукции, то есть рабочие-ремонтники зданий и сооружений, работники научных лабораторий, учебных подразделений, социальных учреждений и т.д.
Такое деление до некоторой степени условно (например, научные подразделения - это мо-гутня производственная подсистема, направленная в будущее), однако она дает возможность по-обеспечить производство кадрами. Состав кадров - носителей труда - рассматривается при этом деперсоніфіковано, по категориям и группам рабочих в разрезе их-них специальностей и квалификации.
Специфика трудовых ресурсов заключается в том, что обеспечение ими предприятия связано с работой с конкретными лицами, которые имеют не только профессионально-квалификационные характеристики, но и опыт, уровень культуры, вы-утаивание, поло-возрастные различия.
Кроме того, любые изменения на предприятии обусловливают изменения требований до персонала, поэтому не надо надеяться на то, что можно удовлетворить потребности предприятия в трудовых ресурсах один раз и навсегда. Необходимо постоянно изучать потребности в персонале и возможности их удовлетворения.
Необходимые прямые и косвенные затраты (инвестиции) в соответствующие поощрения персонала для обеспечения эффективного функционирования предприятия по-стоянное растут и включают в себя:
Заработную плату, расходы на социальные нужды (социальное страхование и пенсионное обеспечение);
затраты на поиск, наем и подготовку (переподготовку) работников, которые тем выше, чем более квалифицированные кадры нужны для осуществления процесса производ-тва и управления;
Расходы на создание рабочих мест с определенными условиями труда, оборудова-нием, которое постоянно совершенствуется с развитием научно-технического прогресса и международной конкуренции.
В зависимости от отрасли экономики расходы на персонал составляют от 20 до 80 % добавленной стоимости; эта доля с принятием соответствующих законов относительно со-социального защиты населения в странах с социально ориентированной рыночной экономикой, постоянно повышается, становится почти нечувствительной к изменениям конъюнктуры на рынке труда. Все это создает определенные условия, в которых каждое предприятие разрабатывает свои стратегии в отношении трудовых ресурсов, которые очень тесно связаны с финансовыми, информационными и функциональными стратегиями (рис. 3.30).
Приведем примеры стратегий в отношении трудовых ресурсов (персонал-стратегия). Стоит отметить, что западная практика стратегического управления свидетельствует, что большинство, но не все (!) предприятия разрабатывают стратегии в отношении трудовых ресурсов, чего нельзя сказать о восточные (японские и корейские) фирмы, где personnel-strategy - одна из главных.
Стратегия в отношении трудовых ресурсов или персонала предусматривает отбор, по-помещения, закрепление, продвижение, обучение, переквалификацию, оценку, зви-льнення кадров.
Надо выделить стратегии в отношении организации и оплаты труда, которые как-теснейшим образом связаны с трудовым законодательством и деятельностью профсоюзов. Стоит отметить, что каждое предприятие старается при заключении тру-довых соглашений создать условия для эффективного использования трудовых ресурсов для работы «по призванию», а не для финансирования свободного времени своих работников.
Иногда, уже в соответствующих планах или программах, выделяется подраздел «трудовые отношения», в котором отражены установленные в результате переговоров с профсоюзами и госорганами основные ориентиры кадровой политики предпри-ятия.
Финансовые ресурсы
Рассмотрены группы ресурсов необходимы для анализа и разработки мероприятий по обеспечению ими предприятий. Практика деятельности украинских пред-приятий свидетельствует, что ресурсы, которые имеют материальную форму, как правило, нахо-дятся в центре внимания руководителей. Но неучет таких специфических ре-сурсов, как финансы, информация и энергия при определении ресурсного обеспечения предприятия, имеет сугубо практические последствия: приводит к од-нобічного, ресурсоемких развития предприятия, что в значительной степени вы-определяет стратегию его экстенсивного, затратного развития, означает потерю его конкурентоспособности.
На рис. 3.25 финансовые и информационные ресурсы занимают центральное место, поскольку связывают другие ресурсы и в некоторой степени могут их заменять. Такую роль играют преимущественно финансовые ресурсы, поэтому стратегии в отношении них тре-ба очень обоснованно разрабатывать.
Создавая финансовые стратегии, предприятия сталкиваются с противоречием в понимании их места в «стратегическом наборе»:
1) с точки зрения владельцев, финансовые стратегии - основные, поскольку должны обеспечивать их благосостояние. Главное для владельцев - накопление до-ходов и прибыли для выплаты дивидендов акционерам, снижение риска и повышение доходности предприятия. Ориентация при этом (например, акционеров) на краткосрочную доходность, которая дает «быстрые деньги»;
2) с точки зрения руководителей и работников предприятия, главное - это подаль-ше функционирования предприятия, поэтому финансовые стратегии относятся к ре-сурсних и играют роль средств в реализации других стратегий и развития предприятия вообще, определяют возможности самоинвестирования и т.д.
Кроме того, финансовые стратегии нередко вступают в противоречие с общими-мы и продуктовыми стратегиями. Например, укрепление конкурентной позиции на рынке по конкретному товару требует дополнительных инвестиций (затрат), а текущие финансовые показатели при этом могут ухудшиться.
Руководству предприятия необходимо постоянно балансировать между кратко - и долгосрочными эффектами использования финансовых ресурсов, поэтому определенные противоречия наблюдаются и в стандартных финансовых целях и стратегиях:
Увеличение внутренней стоимости капитала (для АО - акционерного);
достижение высоких темпов роста доходов и дивидендов на одну простую акцию;
Сокращение внешних источников финансирования (т.е. улучшение співвід-ношение собственного и заемного капитала) и т.д.;
совершенствование структуры капитала фирмы (соотношение между основным и оборотным капиталом).
Финансовые ресурсы, их объемы и источники формирования является фундаментом вы-полнение всех других элементов «стратегического набора». Так, закупка ресур-сел других типов зависит от наличия определенных объемов денежных ресурсов, возможностей их использования.
Источниками формирования финансовых ресурсов являются собственные источники (прибыль, амортизация, выпуск новых акций, реализация / изъятие основных фондов-что) и заемных (новые долговые обязательства в виде долго - и короткостро-ных кредитов, залогов, векселей и т.д.). Отдельными источниками могут быть прямое бюджетное финансирование, благотворительная помощь. Основой для опреде-ления источников финансирования является отчет о денежных поступлениях.
Стратегиями использования финансовых ресурсов могут быть:
капитальные вложения в «целевые рынки» (обеспечение маркетинговых стратегий): географические; определенного товара;
Инвестирование в реальный основной капитал (обеспечение производственных стратегий): для создания (приобретения) новых мощностей; для модернизации производства; на приобретение оборудования, инструментов и приборов; в акции;
уменьшение/увеличение оборотного капитала в результате стратегических вложений;
Инвестиции, связанные с развитием отдельных подсистем предприятия: НИР; маркетинга; систем управления и др.
Другим направлением использования финансовых ресурсов является выплата дивиден-дов, погашение дебиторской задолженности, формирование стратегических фон-дов.
Необходимость существования стратегических (страховых, рисковых) фондов зумо-влена вероятностными расчетами будущих поступлений, расходов, риском работы в несталому окружающей среде. Опыт работы западных корпо-раций свидетельствует о необходимости формирования определенной структуры стратегических фондов:
фондов общего корпоративного уровня;
Отдельных (связанных с общими) фондов автономных организационных образований (в виде «стратегических хозяйственных центров» («центров инвести-ций и прибыли» и др.);
специальных фондов для формирования ресурсных и функциональных потенций-лов (последние могут существовать в виде долгосрочных специальных инвести-ционных проектов и программ).
Объем работ для различных направлений обусловлены финансовыми возможностей-сознание предприятия, поскольку они имеют самый высокий уровень взаимозаменяемости с различными частями функционального и ресурсного потенциала предприятия. Теснейшим есть связь финансов с другими ресурсными стратегиями (рис. 3.31). Рис. 3.31. Стратегии ресурсного обеспечения в зависимости от фазы жизненного цикла продукта Распределение ресурсов раскрывает приоритетность в развитии отдельных направлений деятельности: важнее, с точки зрения руководителей, выделяются все необходимые ресур-сы (прежде всего финансовые). Руководители принимают решения, например, о приоритетное инвестирование в новое направление деятельности, за счет уменьшения инвестиций в уже освоены.
Стратегии на первых этапах освоения стратегического управления рассматри-лись как способа распределения ресурсов, поэтому достаточно много внимания и теперь уде-ется разработке моделей поддержки принятия решений относительно распределения ре-сурсов.
В условиях стабильного спроса и имеющегося производственного процесса, пере-бывает на первых этапах своего «жизненного цикла», могут использоваться имитационные модели движения ресурсов в зависимости от изменений в объемах производства, структуры номенклатуры и ассортимента выпускаемой продукции. Миро-ный и отечественный опыт доказал эффективность применения багатокритеріаль-ных оптимизационных задач снабжения и распределения ресурсов между различными на-прямками деятельности, обоснования уровня обеспечения производства отлич-ми ресурсами в зависимости от степени освоения новых видов изделий (например, установочной партии или серии) и т.д.
В западной практике при распределении инвестиций между различными проектами наиболее чаще используют подход, разработанный в фирме «Дюпон» на основе по-показателя ROA (return-on-assets):
, (3.5)Где NP - чистая прибыль после налогообложения; AS - активы; S - объем продаж; C - издержки; T - налоги.
В формуле (3.5) составляющая определяет оборачиваемость активов, которые разделяют на те, что легко реализуются и те, которые медленно вращаются. Это привлекает внимание к структуре активов и капитала вообще, нормы доходности как базы для движения к самоокупаемости.
Структура капитала фирмы (соотношение основного, оборотного и по-зичкового капиталов), как отмечалось, может быть главным стратегическим ориен-нтиром. Шведская консультационная фирма «Майсігма» разработал модель, которая получила название «График доходности «Майсігми», который демонстрирует, как ре-ческая норма доходности может быть увеличена благодаря ускорению оборота капитала и/или увеличению нормы доходности, которая реализуется в течение одного оборота (рис. 3.32). Этот график ориентирует разработчиков стратегии на од-ночасне учета трех переменных, определяющих уровень доходности:
относительное уменьшение удельного веса основного и вложенного в запасы МТР оборотного капитала, что ведет к ускорению его оборота;
Уменьшение массы издержек, которое дает возможность повышать норму доходности;
увеличение нормы прибыли путем повышения цен.
Рис. 3.32. График доходности «Майсігми»
Авторы предлагают уменьшать не только дебиторскую задолженность, что является основным ориентиром для предприятия, но и оборотный (вложенный в запасах) основной капитал. Кроме того, обоснованная ценовая стратегия, связанная с установлением наиболее привлекательного соотношения в системе «цена - качество» также позволяет получать дополнительные доходы, которые позволят приумножь-ти затраты на повышение качества.
Финансы как ресурс очень тесно связаны со стратегиями ценообразования. Руко-никам предприятия зачастую приходится балансировать такие взаимообусловленные виды стратегий: общие - ценовые - финансовые (в первую очередь стратегии інвестуван-ния). Здесь возможны следующие соотношения:
максимальные объемы продажи типовой продукции (лидирование за счет снижения затрат) ® снижение цен (за счет уменьшения себестоимости на ос-новые низких удельных затрат) ® рост доходов за счет расширения масштабов производства (накопление собственных средств для самоінвестуван-ния);
Такая «связка» стратегий возможна при следующих условиях:
наличии сопоставимого качества при меньших затратах и (на их основе) ценах, что способствуют интенсивной реализации больших объемов;
«устойчивого» имиджа фирмы как надежного производителя;
достаточно емкого рынка, что дает возможность загружать производственные мощностей-те;
Выпуска высококачественной продукции «под заказчика» (стратегия диференціа-ции) - гибкие или цены «престижа» («под потребителей», которые принадлежат к разным группам) - высокая доходность и стабильное развитие за счет реінвесту-ния.
Любая система стратегий требует обоснования нужных и возможных инвестиций для их выполнения, поэтому содержание финансовых стратегий пре-чатиме, в частности:
Создание, развертывание и управление активами;
использование и закрепление капитала в производственном функционировании;
Разработку мероприятий относительно наибольшего самовозрастания капитала.
В целом разработка и осуществление финансовых стратегий - это согласование финансовых потоков между стратегиями, которые создают прибыль, и теми, которые требуют дополнительных вложений в виде инвестиций. Поэтому все стратегии в «стратегическом наборе» имеют финансово-экономические характеристики, перед-всем - ожидаемые результаты и затраты, дисконтированные с учетом изменений во внешней среде (прежде всего на уровень инфляции). Чаще всего показ-никами, характеризующие стратегии, являются: прибыль, максимальная рыночная стои-мость активов, ROA, движение наличности, чистая дисконтированная стоимость (NPV), внутри-шня норма доходности, срок окупаемости и т.д.
С целью достижения высоких показателей необходимо формировать систему управления финансами предприятия, которая бы обеспечивала осуществление финансовых и ресурсных стратегий и функционирования предприятия в рыночной се-редовищі.
Информационные ресурсы
Очень специфическим ресурсом современного производства становится информация, что является условием и элементом любой производственной деятельности. Высокими темпами развиваются рынки информационных ресурсов. Все больше места в деятельности людей занимают информационные технологии, Internet. Информация в настоящее время исполь-зуется для замещения живого труда, сырья и энергии, становится необходимым эле-ментом в формировании добавленной стоимости продукции (рис. 3.33) .
Сплошные стрелки внутри матрицы отражают исторические тенденции разви-тку продуктов. Переход от индивидуального к серийному, а затем и массового производства (стрелка в ® а) сопровождается механизацией и автоматизаці-цией и обязательным в этих условиях стандартизацией продукции. Лишь в последние годы произошло сочетание автоматизации производства с ЭВМ с целью достиже-гнення его гибкости, что сопровождалось повышением «информатизации» производственных процессов и продукции. Теперь на высокотехнологичных фирмах по-соединяются преимущества крупномасштабного производства (за исключением уровня тарифам) и индивидуальных потребностей потребителей (например, изготовление авто-мобилей на заказ). Рис. 3.33. Зависимость информационного содержания продукции и уровня добавленной стоимости Сейчас продукцию различают по уровню ее информационного содержимого: информация создает добавленную стоимость более интенсивно, чем другие составляющие. Информация как важная составляющая продукции стала правилом, а не исключением и распространяется по-постепенно почти на все отрасли экономики. Однако стоит отметить, что существуют некоторые базовые отрасли промышленности, где материальные составляющие и в дальнейшем будут преобладать все остальные компоненты.
Сегодня информация становится новым источником добавленной стоимости, неотъемлемой составляющей производственного потенциала предприятия, поскольку существует и ввести подтверждается в виде результатов научных разработок, проектов и конструкторсь-ких решений, а также в виде знаний, навыков и опыта персонала предпр-тва. Информация как ресурс имеет наибольшую ценность в таком виде:
Данных о рынках сбыта, потребности и другой маркетинговой информации;
научно-технических разработок новых продуктов, материалов, технологий то-что;
Методик современных форм и методов планирования, контроля, анализа и т.п.;
разработок относительно организации производства, труда и управления;
Пакетов программ для обработки экономической, научно-технической, социально-политической информации, для поддержки системы принятия решений на произ-цтві;
документов (законов, инструкций и т.д.), которые регулируют деятельность предпри-ятия и его связи со средой;
Банки данных и знаний общего и специального направления и т.д.
Как отмечалось, особое место в производстве принадлежит трудовым ресур-сам, что являются носителями специфической информации - знаний, навыков и опыта. Нали-ность или отсутствие необходимой для данного производства информации в конкрено-тного индивида определяет его ценность для предприятия; на таких принципах подбирают сотрудников.
Информацию нельзя отнести ни к одной из привычных групп материальных ресурсов, однако без нее невозможно совместить все ресурсы в систему определенного типа с характерными признаками - производственное предприятие конкретной отрасли, научную организацию или государственное учреждение, - что различаются комбинацией ре-сурсов.
Информация регулирует потребление ресурсов, замену одних другими, а также их экономию, поскольку содержит передовой опыт функционирования процветаю сегодня-ющих предприятий. Информационные ресурсы стратегии все больше играют ре-шальную роль в повышении конкурентоспособности предприятий.
Энергетические ресурсыОтдельно надо рассмотреть энергетические ресурсы. Во-первых, это связано с тем, что для экономики Украины и для каждого предприятия они являются лімітую-чем фактором и их обеспечение и использование связаны с определенными трудностями. Во-вторых, энергия в современном производстве все чаще играет роль орудия труда, непосредственно воздействуя на предмет труда, превращая его в конечную продукцию. Еще в XIX в. русский ученый С.Подолянський отмечал, что мерой производственных возможностей общества может быть его энергетический бюджет. Большинство предприятий Украины омп-шени сейчас тщательно исследовать энергоемкость собственного производства, чтобы составить свой оптимальный энергетический бюджет в пределах существующих об-межень.
Свойства энергии как ресурса заключаются в том, что энергия легко транс-формируется из одного вида в другой. Это дает возможность приспособить ее к всех осо-бливостей производства внутри предприятия за счет использования су-путного технологическим процессам тепла, вторичных ресурсов, утилизации отходов и т.д.
Необходимость обеспечения достаточного объема энергии объясняется еще и тем, что она в определенной степени являются взаимозаменяемыми с другими ресурсами. Так, увеличение затрат энергии может объясняться не только отсутствием ее экономии, но и проц-сом замещение живого труда машинным.
Потребление энергии в материальном производстве обратно пропорционально затратам рабочей силы.
Стратегии в отношении энергетических ресурсов пронизывают всю производственную действие льнисть государства, начиная с межправительственными договоренностями, стратегий энерго-снабжения отдельных регионов, отраслей, предприятий и ведомств. Они имеют фо-рму энергетических программ и должны обеспечить взаимосвязь и взаємопогодженість действий различных субъектов хозяйствования. Разработка и внедре-ние ресурсных энергетических стратегий, исходя из специфических особен-ностей энергоснабжения в Украине, имеет специфические особенности, поля-лежат в необходимости учета каждым предприятием государственной политики в этой сфере. Энергетический рынок Украины в том виде, в каком он сейчас существует, - не эффективный, прозрачный и требует от каждого предприятия пристального внимания. Основной его недостаток - отсутствие учета интересов производителей при формировании потоков и взаимоотношений между производителями, по-стачальниками и потребителями, что приводит к дефициту энергии и долгов по ее поставке.
|
|