Logo GenDocs.ru


Поиск по сайту:  


Гришина Н.В. Организация комплексной системы защиты информации - файл 1.doc


Гришина Н.В. Организация комплексной системы защиты информации
скачать (5970.2 kb.)

Доступные файлы (1):

1.doc5971kb.16.12.2011 08:27скачать

содержание

1.doc

  1   2   3   4   5   6   7   8
Реклама MarketGid:



Н. В. Гришина
ОРГАНИЗАЦИЯ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Москва «Гелиос АРВ»

2007

УДК 004.239.056(075) ББК 32.973.202-018.2 Г32

Гришина Н. В.

Г32 Организация комплексной системы защиты инфор­мации. — М.: Гелиос АРВ, 2007. — 256 с, ил. ISBN 978-5-85438-171-0
Рассматриваются вопросы организации системы защиты ин­формации на предприятии. Определяются методологические под­ходы к технологии построения, принципы управления комплекс­ной системой защиты информации (КСЗИ). Особое внимание уде­лено проблеме «человеческого фактора».

Для специалистов, преподавателей, студентов и всех интересу­ющихся проблематикой защиты информации.
ББК 32.973.202-018.2

ISBN 978-5-85438-171-0

© Гришина Н. В., 2007 © Оформление. Издательство «Гелиос АРВ», 2007

ВВЕДЕНИЕ

На рынке защиты информации предлагается много от­дельных инженерно-технических, программно-аппарат­ных, криптографических средств защиты информации. В литературе по защите информации можно найти описа­ние методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым эле­ментом системы и вместе с тем самым трудно формализуе­мым и потенциально слабым ее звеном.

Создание системы защиты информации (СЗИ) не явля­ется главной задачей предприятия, как, например, произ­водство продукции и получение прибыли. Поэтому созда­ваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть эконо­мически оправданным. Тем не менее она должна обеспечи­вать защиту важных информационных ресурсов предпри­ятия от всех реальных угроз.

В книге предложен комплексный подход к организа­ции защиты информации (ЗИ) на предприятии. При этом объектом исследования является не только информацион­ная система, но и предприятие в целом.

Рассматриваются концептуальные основы защиты ин­формации, раскрывающие сущность, цели, структуру и стратегию защиты.

Анализируются источники, способы и результаты де­стабилизирующего воздействия на информацию, а также каналы и методы несанкционированного доступа к инфор­мации. Определяются методологические подходы к орга­низации и технологическому обеспечению защиты инфор­мации на предприятии. Представлена архитектура, этапы

построения, принципы управления комплексной системой защиты информации (КСЗИ). Особое внимание уделено проблеме «человеческого фактора».

Предложенный подход к защите информации обеспе­чит целостное видение проблемы, повышение качества, следовательно, и надежности защиты информации.

Следует подчеркнуть, что автор умышленно уходит от понятия «информационная безопасность», используя тер­мин «защита информации».

^ Информационную безопасность принято рассматри­вать как обеспечение состояния защищенности:

  1. личности, общества, государства от воздействия недоброкачественной информации;

  2. информации и информационных ресурсов от не­правомерного и несанкционированного воздействия посто­ронних лиц;

  3. информационных прав и свобод гражданина и че­ловека.

Поскольку в книге не рассматриваются вопросы защи­ты от воздействия недобросовестной информации, автор посчитал необходимым использовать более «узкий» тер­мин.

1. Сущность и задачи комплексной системы защиты информации
1.1. Подходы к проектированию систем защиты информации

Бытует мнение, что проблемы защиты информации от­носятся исключительно к информации, обрабатываемой компьютером. Это, по-видимому, связано с тем, что ком­пьютер, и в частности персональный компьютер, является «ядром», центром хранения информации. Объект информа­тизации, по отношению к которому направлены действия по защите информации, представляется более широким по­нятием по сравнению с персональным компьютером. Что же представляет собой объект информатизации и каково его место на предприятии?

ГОСТ РФ 51275-99 определяет объект информатиза­ции как «совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответ­ствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объ­ектов (зданий, сооружений, технических средств), в кото­рых они установлены, или помещения и объекты, предна­значенные для ведения конфиденциальных переговоров»1.

Слово «совокупность» в данном определении указыва­ет на то, что объект информатизации это единая информа­ционная система, охватывающая в целом предприятие, уч­реждение, организацию.

В реальной жизни все эти отдельные «объекты инфор­матизации» расположены в пределах одного предприятия и представляют собой единый комплекс компонентов, свя­занных общими целями, задачами, структурными отноше­ниями, технологией информационного обмена и т. д.

Современное предприятие — большое количество раз­нородных компонентов, объединенных в сложную систему для выполнения поставленных целей, которые в процессе функционирования предприятия могут модифицироваться. Многообразие и сложность влияния внутренних и внешних факторов, которые часто не поддаются строгой количест­венной оценке, приводят к тому, что эта сложная система может обретать новые качества, не свойственные составля­ющим ее компонентам.

Характерной особенностью подобных систем является прежде всего наличие человека в каждой из составляющих ее подсистем и отдаленность (разделенность) человека от объекта его деятельности. Это происходит в связи с тем, что множество компонентов, составляющих объект ин­форматизации, интегрально может быть представлено со­вокупностью трех групп систем: 1) люди (биосоциальные системы); 2) техника (технические системы и помещения, в которых они расположены); 3) программное обеспечение, которое является интеллектуальным посредником между человеком и техникой (интеллектуальные системы). Сово­купность этих трех групп образует социотехническую сис­тему. Такое представление о социотехнических системах является достаточно широким и может быть распростра­нено на многие объекты. Круг наших интересов ограничи­вается исследованием безопасности систем, предназначен­ных для обработки поступающей на их вход информации и выдачи результата, т. е. социотехнических систем инфор­мационного типа.

Если обратиться к истории этой проблемы, то можно условно выделить три периода развития средств защиты информации (ЗИ):

первый относится к тому времени, когда обработка

информации осуществлялась по традиционным (ручным, бумажным) технологиям;

второй — когда для обработки информации на регу-
лярной основе применялись средства электронной вычис-
лительной техники первых поколений;

третий — когда использование средств электронно-
вычислительной техники приняло массовый и повсемест-
ный характер (появление персональных компьютеров).

g 60-70 гг. проблема защиты информации решалась достаточно эффективно применением в основном организа­ционных мер. К ним относились: режимные мероприятия, охрана, сигнализация и простейшие программные средства защиты информации. Эффективность использования этих средств достигалась за счет концентрации информации в определенных местах (спец. хранилища, вычислительные центры), что способствовало обеспечению защиты относи­тельно малыми средствами.

«Рассосредоточение» информации по местам хране­ния и обработки обострило ситуацию с ее защитой. Поя­вились дешевые персональные компьютеры. Это дало воз­можность построения сетей ЭВМ (локальных, глобальных, национальных и транснациональных), которые могут ис­пользовать различные каналы связи. Эти факторы способс­твуют созданию высокоэффективных систем разведки и получения информации. Они нашли отражение и в совре­менных предприятиях.

Современное предприятие представляет собой слож­ную систему, в рамках которой осуществляется защита ин­формации.

Рассмотрим основные особенности современного предприятия:

  1. сложная организационная структура;

  2. многоаспектность функционирования;

  3. высокая техническая оснащенность;

  1. широкие связи по кооперации;

  2. необходимость расширения доступа к информации;

— всевозрастающий удельный вес безбумажной тех­нологии обработки информации:

  1. возрастающий удельный вес автоматизированных процедур в общем объеме процессов обработки дан­ных;

  2. важность и ответственность решений, принимаемых в автоматизированном режиме, на основе автоматизи­рованной обработки информации;

  3. высокая концентрация в автоматизированных систе­мах информационных ресурсов;

  4. большая территориальная распределенность компо­нентов автоматизированных систем;

  5. накопление на технических носителях огромных объ­емов информации;

  6. интеграция в единых базах данных информации раз­личного назначения и различной принадлежности;

  7. долговременное хранение больших объемов инфор­мации на машинных носителях;

  8. непосредственный и одновременный доступ к ресур­сам (в т. ч. и к информации) автоматизированных сис­тем большого числа пользователей различных катего­рий и различных учреждений;

  9. интенсивная циркуляция информации между компо­нентами автоматизированных систем, в том числе и удаленных друг от друга.

Таким образом, создание индустрии переработки ин­формации, с одной стороны, создает объективные предпо­сылки для повышения уровня производительности труда и жизнедеятельности человека, с другой стороны, порождает целый ряд сложных и крупномасштабных проблем. Одной из них является обеспечение сохранности и установленно­го статуса информации, циркулирующей и обрабатывае­мой на предприятии.

^ 1.2. Понятие комплексной системы защиты информации

Работы по защите информации у нас в стране ведут­ся достаточно интенсивно и уже продолжительное время. Накоплен существенный опыт. Сейчас уже никто не дума­ет, что достаточно провести на предприятии ряд органи­зационных мероприятий, включить в состав автоматизи­рованных систем некоторые технические и программные средства — и этого будет достаточно для обеспечения бе­зопасности.

Главное направление поиска новых путей защиты ин­формации заключается не просто в создании соответс­твующих механизмов, а представляет собой реализацию регулярного процесса, осуществляемого на всех этапах жизненного цикла систем обработки информации при ком­плексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используе­мые для ЗИ, наиболее рациональным образом объединяют­ся в единый целостный механизм — причем не только от злоумышленников, но и от некомпетентных или недоста­точно подготовленных пользователей и персонала, а также нештатных ситуаций технического характера.

Основной проблемой реализации систем защиты явля­ется:

  1. с одной стороны, обеспечение надежной защиты, находящейся в системе информации: исключение случай­ного и преднамеренного получения информации посто­ронними лицами, разграничение доступа к устройствам и ресурсам системы всех пользователей, администрации и обслуживающего персонала;

  2. с другой стороны, системы защиты не должны со­здавать заметных неудобств пользователям в ходе их рабо­ты с ресурсами системы.

8

9

Проблема обеспечения желаемого уровня защиты ин­формации весьма сложная, требующая для своего решения не просто осуществления некоторой совокупности науч­ных, научно-технических и организационных мероприятий и применения специальных средств и методов, а создания целостной системы организационно-технологических ме­роприятий и применения комплекса специальных средств и методов по ЗИ.

На основе теоретических исследований и практичес­ких работ в области ЗИ сформулирован системно-концеп­туальный подход к защите информации.

Под системностью как основной частью системно-кон­цептуального похода понимается:

  1. системность целевая, т. е. защищенность информа­ции рассматривается как основная часть общего понятия качества информации;

  2. системность пространственная, предлагающая вза­имоувязанное решение всех вопросов защиты на всех ком­понентах предприятия;

  3. системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии планам;

  4. системность организационная, означающая единс­тво организации всех работ по ЗИ и управления ими.

Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обос­нованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также целенаправлен­ной организации всех работ по ЗИ.

Комплексный (системный) подход к построению лю­бой системы включает в себя: прежде всего, изучение объ­екта внедряемой системы; оценку угроз безопасности объ­екта; анализ средств, которыми будем оперировать при построении системы; оценку экономической целесооб­разности; изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности; со­отношение всех внутренних и внешних факторов; возмож­ность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца.

Комплексный (системный) подход — это принцип рас­смотрения проекта, при котором анализируется система в целом, а не ее отдельные части. Его задачей является опти­мизация всей системы в совокупности, а не улучшение эф­фективности отдельных частей. Это объясняется тем, что, как показывает практика, улучшение одних параметров часто приводит к ухудшению других, поэтому необходи­мо стараться обеспечить баланс противоречий требований и характеристик.

Комплексный (системный) подход не рекомендует приступать к созданию системы до тех пор, пока не опре­делены следующие ее компоненты:

  1. ^ Входные элементы. Это те элементы, для обработки которых создается система. В качестве входных элементов выступают виды угроз безопасности, возможные на дан­ном объекте;

  2. Ресурсы. Это средства, которые обеспечивают со­здание и функционирование системы (например, матери­альные затраты, энергопотребление, допустимые размеры и т. д.). Обычно рекомендуется четко определять виды и допустимое потребление каждого вида ресурса как в про­цессе создания системы, так и в ходе ее эксплуатации;

  3. ^ Окружающая среда. Следует помнить, что любая реальная система всегда взаимодействует с другими систе­мами, каждый объект связан с другими объектами. Очень важно установить границы области других систем, не под­чиняющихся руководителю данного предприятия и не вхо­дящих в сферу его ответственности.

Характерным примером важности решения этой за­дачи является распределение функций по защите инфор­мации, передаваемой сигналами в кабельной линии, про­ходящей по территориям различных объектов. Как бы ни устанавливались границы системы, нельзя игнорировать ее взаимодействие с окружающей средой, ибо в этом случае принятые решения могут оказаться бессмысленными. Это справедливо как для границ защищаемого объекта, так и для границ системы защиты;

  1. ^ Назначение и функции. Для каждой системы должна быть сформулирована цель, к которой она (система) стре­мится. Эта цель может быть описана как назначение систе­мы, как ее функция. Чем точнее и конкретнее указано на­значение или перечислены функции системы, тем быстрее и правильнее можно выбрать лучший вариант ее построе­ния. Так, например, цель, сформулированная в самом об­щем виде как обеспечение безопасности объекта, заставит рассматривать варианты создания глобальной системы за­щиты. Если уточнить ее, определив, например, как обеспе­чение безопасности информации, передаваемой по каналам связи внутри здания, то круг возможных решений сущест­венно сузится. Следует иметь в виду, что, как правило, гло­бальная цель достигается через достижение множества ме­нее общих локальных целей (подцелей). Построение такого «дерева целей» значительно облегчает, ускоряет и удешев­ляет процесс создания системы;

  2. ^ Критерий эффективности. Необходимо всегда рас­сматривать несколько путей, ведущих к цели, в частности нескольких вариантов построения системы, обеспечива­ющей заданные цели функционирования. Для того чтобы оценить, какой из путей лучше, необходимо иметь инстру­мент сравнения — критерий эффективности. Он должен: характеризовать качество реализации заданных функций; учитывать затраты ресурсов, необходимых для выполне-

ния функционального назначения системы; иметь ясный и однозначный физический смысл; быть связанным с ос­новными характеристиками системы и допускать количес­твенную оценку на всех этапах создания системы.


Рис. 1. Непрерывный цикл создания СЗИ

Таким образом, учитывая многообразие потенциаль­ных угроз информации на предприятии, сложность его структуры, а также участие человека в технологическом процессе обработки информации, цели защиты информа­ции могут быть достигнуты только путем создания СЗИ на основе комплексного подхода.




Процесс создания комплексной системы защиты ин­формации может быть представлен в виде непрерывного цикла, так как это показано на рис. 1.

^ 1.3. Назначение комплексной системы защиты информации

Главная цель создания системы защиты информа­ции — ее надежность. Система ЗИ — это организованная совокупность объектов и субъектов ЗИ, используемых ме­тодов и средств защиты, а также осуществляемых защит­ных мероприятий.

Но компоненты ЗИ, с одной стороны, являются состав­ной частью системы, с другой — сами организуют систему, осуществляя защитные мероприятия.

Поскольку система может быть определена как сово­купность взаимосвязанных элементов, то назначение СЗИ состоит в том, чтобы объединить все составляющие защи­ты в единое целое, в котором каждый компонент, выполняя свою функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логичес­ки и технологически. А в чем же состоит значимость комп­лексных решений в СЗИ?

Надежность защиты информации прямо пропорцио­нальна системности, т. е. при несогласованности между со­бой отдельных составляющих риск «проколов» в техноло­гии защиты увеличивается.

Во-первых, необходимость комплексных решений со­стоит в объединении в одно целое локальных СЗИ, при этом они должны функционировать в единой «связке». В качестве локальных СЗИ могут быть рассмотрены, на­пример, виды защиты информации (правовая, организаци­онная, инженерно-техническая).

Во-вторых, необходимость комплексных решении обусловлена назначением самой системы. Система должна объединить логически и технологически все составляющие защиты. Но из ее сферы выпадают вопросы полноты этих составляющих, она не учитывает всех факторов, которые оказывают или могут оказывать влияние на качество защи­ты. Например, система включает в себя какие-то объекты защиты, а все они включены или нет — это уже вне преде­лов системы.

Поэтому качество, надежность защиты зависят не только от видов составляющих системы, но и от их пол­ноты, которая обеспечивается при учете всех факторов и обстоятельств, влияющих на защиту. Именно полнота всех составляющих системы защиты, базирующаяся на анализе таких факторов и обстоятельств, является вторым назначе­нием комплексности.

При этом должны учитываться все параметры уязви­мости информации, потенциально возможные угрозы ее безопасности, охватываться все необходимые объекты за­щиты, использоваться все возможные виды, методы и средства защиты и необходимые для защиты кадровые ре­сурсы, осуществляться все вытекающие из целей и задач защиты мероприятия.

В-третьих, только при комплексном подходе система может обеспечивать безопасность всей совокупности ин­формации, подлежащей защите, и при любых обстоятель­ствах. Это означает, что должны защищаться все носители информации, во всех компонентах ее сбора, хранения, пе­редачи и использования, во все время и при всех режимах функционирования систем обработки информации.

В то же время комплексность не исключает, а, наобо­рот, предполагает дифференцированный подход к защите информации, в зависимости от состава ее носителей, видов тайны, к которым отнесена информация, степени ее конфи­денциальности, средств хранения и обработки, форм и ус-


14

15

ловий проявления уязвимости, каналов и методов несанк­ционированного доступа к информации.

Таким образом, значимость комплексного подхода к защите информации состоит:

— в интеграции локальных систем защиты;

— в обеспечении полноты всех составляющих систе­мы защиты;

— в обеспечении всеохватности защиты информации. Исходя из этого, можно сформулировать следующее

определение:

«Комплексная система защиты информации — систе­ма, полно и всесторонне охватывающая все предметы, про­цессы и факторы, которые обеспечивают безопасность всей защищаемой информации»1.

^ 1.4. Принципы построения комплексной системы защиты информации

При построении любой системы необходимо опреде­лить принципы, в соответствии с которыми она будет пос­троена. КСЗИ — сложная система, функционирующая, как правило, в условиях неопределенности, требующая значи­тельных материальных затрат. Поэтому определение ос­новных принципов КСЗИ позволит определить основные подходы к ее построению.

Принцип законности заключается в соответствии при­нимаемых мер законодательству РФ о защите информации, а в случае отсутствия соответствующих законов — другим государственным нормативным документам по защите.

В соответствии с принципом полноты защищаемой ин­формации защите подлежит не только информация, состав­ляющая государственную, коммерческую или служебную тайну, но и та часть несекретной информации, утрата кото­рой может нанести ущерб ее собственнику либо владельцу. Реализация этого принципа позволяет обеспечить и охрану интеллектуальной собственности.

Принцип обоснованности защиты информации заклю­чается в установлении путем экспертной оценки целесо­образности засекречивания и защиты той или другой ин­формации, вероятных экономических и других последствий такой защиты исходя из баланса жизненно важных интере­сов государства, общества и граждан. Это, в свою очередь, позволяет расходовать средства на защиту только той ин­формации, утрата или утечка которой может нанести дейс­твительный ущерб ее владельцу.

Принцип создания специализированных подразделе­ний по защите информации заключается в том, что такие подразделения являются непременным условием органи­зации комплексной защиты, поскольку только специали­зированные службы способны должным образом разраба­тывать и внедрять защитные мероприятия и осуществлять контроль за их выполнением.

Принцип участия в защите информации всех соприка­сающихся с нею лиц исходит из того, что защита инфор­мации является служебной обязанностью каждого лица, имеющего по роду выполняемой работы отношение к за­щищаемой информации, и такое участие дает возможность повысить качество защиты.

Принцип персональной ответственности за защиту ин­формации требует, чтобы каждое лицо персонально отве­чало за сохранность и неразглашение вверенной ему за­щищаемой информации, а за утрату или распространение такой информации оно несет уголовную, административ­ен) или иную ответственность.

Принцип наличия и использования всех необходимых сил и средств для защиты заключается в том, что КСЗИ требует, с одной стороны, участия в ней руководства пред-

Зак. 282

17

приятия и специальной службы защиты информации и всех исполнителей, работающих с защищаемой информацией, с другой стороны, использования различных организацион­ных форм и методов защиты, с третьей стороны, наличие необходимых материально-технических ресурсов, включая технические средства защиты.

Принцип превентивности принимаемых мер по защите информации предполагает априорное опережающее забла­говременное принятие мер по защите до начала разработки или получения информации. Из этого принципа вытекает, в частности, необходимость разработки защищенных инфор­мационных технологий.

Среди рассмотренных принципов едва ли можно вы­делить более или менее важные. А при построении КСЗИ важно использовать их в совокупности.

^ 1.5. Стратегии защиты информации

Осознание необходимости разработки стратегических подходов к защите формировалось по мере осознания важ­ности, многоаспектности и трудности защиты и невозмож­ности эффективного ее осуществления простым использо­ванием некоторого набора средств защиты.

Под стратегией вообще понимается общая направлен­ность в организации соответствующей деятельности, раз­рабатываемая с учетом объективных потребностей в дан­ном виде деятельности, потенциально возможных условий ее осуществления и возможностей организации.

Известный канадский специалист в области страте­гического управления Г. Минцберг1 предложил определе­ние стратегии в рамках системы «5-Р». По его мнению, она включает:

  1. план (Plan) — заранее намеченные в деталях и кон­тролируемые действия на определенный срок, преследую­щие конкретные цели;

  2. прием, или тактический ход (Ploy), представляющий собой кратковременную стратегию, имеющую ограничен­ные цели, могущую меняться, маневр с целью обыграть противника;

  3. модель поведения (Patten of behaviour) —часто спон­танного, неосознанного, не имеющего конкретных целей;

  4. позицию по отношению к другим (Position in respect to others);

5) перспективу (Perspective).

Задача стратегии состоит в создании конкурентно­го преимущества, устранении негативного эффекта неста­бильности окружающей среды, обеспечении доходности, уравновешении внешних требований и внутренних воз­можностей. Через ее призму рассматриваются все деловые ситуации, с которыми организация сталкивается в повсе­дневной жизни.

Способность компании проводить самостоятельную стратегию во всех областях делает ее более гибкой, устой­чивой, позволяет адаптироваться к требованиям времени и обстоятельствам.

Стратегия формируется под воздействием внутренней и внешней среды, постоянно развивается, ибо всегда воз­никает что-то новое, на что нужно реагировать.

Факторы, которые могут иметь для фирмы решающее значение в будущем, называются стратегическими. По мне­нию одного из ведущих западных специалистов Б. Карло-фа, они, влияя на стратегию любой организации, придают еи специфические свойства. К таким факторам относятся:

1) миссия, отражающая философию фирмы, ее предна­значение. При пересмотре миссии, происходящем в резуль­тате изменения общественных приоритетов;

  1. конкурентные преимущества, которыми организа­ция обладает в своей сфере деятельности по сравнению с соперниками или к которым стремится (считается, что они оказывают на стратегию наибольшее влияние). Конкурент­ные преимущества любого типа обеспечивают более высо­кую эффективность использования ресурсов предприятия;

  2. характер выпускаемой продукции, особенности ее сбыта, послепродажного обслуживания, рынки и их грани­цы;

  3. организационные факторы, среди которых выделя­ется внутренняя структура компании и ее ожидаемые изме­нения, система управления, степень интеграции и диффе­ренциации внутренних процессов;

  4. располагаемые ресурсы (материальные, финансо­вые, информационные, кадровые и пр.). Чем они больше, тем масштабнее могут быть инвестиции в будущие проек­ты. Сегодня для разработки и реализации стратегии огром­ное значение имеют, прежде всего, структурные, информа­ционные и интеллектуальные ресурсы. Сравнивая значения параметров наличных и требующихся ресурсов, можно оп­ределить степень их соответствия стратегии;

  5. потенциал развития организации, совершенствова­ния деятельности, расширения масштабов, роста деловой активности, инноваций;

  6. культура, философия, этические воззрения и компе­тентность управленцев, уровень их притязаний и предпри­имчивости, способность к лидерству, внутренний климат в коллективе.

На стратегический выбор влияют: риск, на который го­това идти фирма; опыт реализации действующих страте­гий, позиции владельцев, наличие времени.

Рассмотрим особенности стратегических решений. По степени регламентированности они относятся к контурным (предоставляют широкую свободу исполнителям в такти­ческом отношении), а по степени обязательности следова­ния главным установкам — директивным.

По функциональному назначению такие решения чаще всего бывают организационными или предписывающими способ осуществления в определенных ситуациях тех или иных действий. С точки зрения предопределенности, это решения ^запрограммированные. Они принимаются в но­вых, неординарных обстоятельствах, когда требуемые шаги трудно заранее точно расписать. С точки зрения важности, стратегические решения кардинальны: касаются основных проблем и направлений деятельности фирмы, определя­ют основные пути развития ее в целом, отдельных подраз­делений или видов деятельности на длительную перспек­тиву (не менее 5-10 лет). Они вытекают прежде всего из внешних, а не из внутренних условий, должны учитывать тенденции развития ситуации и интересы множества субъ­ектов. Практическая необратимость стратегических реше­ний обусловливает необходимость их тщательной и всес­торонней подготовки. Стратегическим решениям присуща комплексность. Стратегия обычно представляет собой не одно, а совокупность взаимосвязанных решений, объеди­ненных общей целью, согласованных между собой по сро­кам выполнения и ресурсам. Такие решения определяют приоритеты и направления развития фирмы, ее потенциа­ла, рынков, способы реакции на непредвиденные события. Практика сформировала следующие требования к страте­гическим решениям:

  1. Реальность, предполагающая ее соответствие ситу­ации, целям, техническому и экономическому потенциалу предприятия, опыту и навыкам работников и менеджеров, культуре, существующей системе управления;

  2. Логичность, понятность, приемлемость для боль­шинства членов организации, внутренняя целостность, не­противоречивость отдельных элементов, поддержка ими друг друга, порождающая синергетический эффект;

  3. Своевременность (реализация решения должна ус­петь приостановить отрицательное развитие ситуации или не позволить упустить выгоду);

  4. Совместимость со средой, обеспечивающая воз­можность взаимодействия с ней (стратегия находится под влиянием изменений в окружении предприятия и сама мо­жет формировать эти изменения); .

  5. Направленность на формирование конкурентных преимуществ;

6. Сохранение свободы тактического маневра;

  1. Устранение причин, а не следствий существующей проблемы;

  2. Четкое распределение по уровням организации ра­боты по подготовке и принятию решений, а также ответс­твенности за них конкретных лиц;

  3. Учет скрытых и явных, желательных и нежелатель­ных последствий, которые могут возникнуть при реализа­ции стратегии или отказе от нее для фирмы, ее партнеров; от существующего законодательства, этической стороны дела, допустимого уровня риска и пр.

Разработка научно обоснованной системы стратегий организации как ключевого условия ее конкурентоспособ­ности и долгосрочного успеха является одной из основных функций ее менеджеров, прежде всего высшего уровня. От них требуется:

  1. выделять, отслеживать и оценивать ключевые про­блемы;

  2. адекватно и оперативно реагировать на изменения внутри и в окружении организации;

  3. выбирать оптимальные варианты действий с учетом интересов основных субъектов, причастных к ее деятель­ности;

— создавать благоприятный морально-психологичес­кий климат, поощрять предпринимательскую и творчес­кую активность низовых руководителей и персонала.

Исходный момент формирования стратегии — поста­новка глобальных качественных целей и параметров де­ятельности, которые организация должна достичь в буду­щем. В результате увязки целей и ресурсов формируются альтернативные варианты развития, оценка которых поз­воляет выбрать лучшую стратегию. Единых рецептов вы­работки стратегий не существует. В одном случае целесо­образно стратегическое планирование (программирование); в другом — ситуационный подход.

Исходя из большого разнообразия условий, при кото­рых может возникнуть необходимость защиты информа­ции, общая целевая установка на решение стратегических вопросов заключалась в разработке множества стратегий защиты, и выбор такого минимального их набора, который позволял бы рационально обеспечивать требуемую защиту в любых условиях.

В соответствии с наиболее реальными вариантами со­четаний значений рассмотренных факторов выделено три стратегии защиты:

  1. оборонительная — защита от уже известных угроз, осуществляемая автономно, т. е. без оказания существен­ного влияния на информационно-управляющую систему;

  2. наступательная — защита от всего множества по­тенциально возможных угроз, при осуществлении которой в архитектуре информационно-управляющей системы и технологии ее функционирования должны учитываться ус­ловия, продиктованные потребностями защиты;

  3. упреждающая — создание информационной среды, в которой угрозы информации не имели бы условий для проявления.
  1   2   3   4   5   6   7   8

Реклама:





Скачать файл (5970.2 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации
Рейтинг@Mail.ru