Главная Ндс Энциклопедия маркетинга. Инвестировать для защиты позиции на растущем рынке

Энциклопедия маркетинга. Инвестировать для защиты позиции на растущем рынке

Виды угроз безопасности информации, защищаемой техническими средствами.

Под безопасностью информации следует понимать условия хранения, обработки и передачи информации, при которых обеспечивается ее защита от угроз уничтожения, изменения и хищения. Следует различать потенциальную и реальную безопасность. Потенциальная безопасность информации, как и любого другого объекта или субъекта, существует всегда. Безопасность информации оценивается двумя показателями: вероятностью предотвращения угроз и временем, в течение которого обеспечивается определенный уровень безопасности. Эти показатели взаимозависимые. При заданных конкретных мерах по защите обеспечить более высокий уровень безопасности возможно в течение более короткого времени. Информация постоянно подвергается случайным или преднамеренным воздействиям - угрозам: хищению, изменению, уничтожению. В общем случае эти угрозы реализуются в результате: 1) действий злоумышленников: людей, занимающихся добыванием информации в интересах государственной и коммерческой разведки, криминальных элементов, непорядочных сотрудников или просто психически больных людей; 2) разглашения информации людьми, владеющими секретной или конфиденциальной информацией; 3) утери носителей с информацией (документов, машинных носителей, образцов материалов и др.); 4) несанкционированного распространения информации через поля и электрические сигналы, случайно возникающие в электрических и радиоэлектронных приборов в результате их старения, некачественного конструирования (изготовления) и нарушений правил эксплуатации; 5) воздействий стихийных сил, прежде всего, огня во время пожара и воды в ходе тушения пожара и протечками в трубах водоснабжения; 6)сбоев в работе аппаратуры сбора, обработки, хранения и передачи информации, вызванных ее неисправностями, а также непреднамеренных ошибок пользователей или обслуживающего персонала; 7) воздействия мощных электромагнитных и электрических промышленных и природных помех. Несанкционированное распространение (утечка) информации может происходить в результате: 1) наблюдения за источниками информации; 2) подслушивания конфиденциальных разговоров и акустических сигналов; 3) перехвата электрических, магнитных и электромагнитных полей, электрических сигналов и радиационных излучений; 4) несанкционированного распространения материально-вещественных носителей за пределы организации. Наблюдение включает различные формы: визуальное, визуально-оптическое (с помощью оптических приборов), телевизионное и радиолокационное наблюдение, фотографирование объектов в оптическом и инфракрасном диапазонах. Учитывая распространенность акустической информации при общении людей, подслушивание, прежде всего, речевой информации вызывает одну из наиболее часто встречающихся угроз безопасности информации - ее копирование. Подслушивание звуков, издаваемых механизмами во время испытаний или эксплуатации, позволяет специалистам определить конструкцию, новые узлы и технические решения излучающих эти звуки механизмов. Перехват полей и электрических сигналов, содержащих информацию, осуществляется путем их приема злоумышленником и съема с них информации, а также анализа сигналов с целью получения сигнальных признаков. Наблюдение, перехват и подслушивание информации, проводимые с использованием технических устройств, приводят к ее утечке по техническим каналам.

Стратегии защиты информации в организации (предприятии).

Под стратегией вообще понимается общая направленность в организации соответствующей деятельности, разрабатываемая с учетом объективных потребностей в данном виде деятельности, потенциально возможных условий ее осуществления и возможностей организации. Задача стратегии состоит в создании конкурентного преимущества, устранении негативного эффекта нестабильности окружающей среды, обеспечении доходности, уравновешении внешних требований и внутренних возможностей. Через ее призму рассматриваются все деловые ситуации, с которыми организация сталкивается в повседневной жизни. Исходный момент формирования стратегии - постановка глобальных качественных целей и параметров деятельности, которые организация должна достичь в будущем. В результате увязки целей и ресурсов формируются альтернативные варианты развития, оценка которых позволяет выбрать лучшую стратегию. Единых рецептов выработки стратегий не существует. В одном случае целесообразно стратегическое планирование (программирование); в другом - ситуационный подход. В соответствии с наиболее реальными вариантами сочетаний значений рассмотренных факторов выделено три стратегии защиты: 1)оборонительная - защита от уже известных угроз, осуществляемая автономно, т. е. без оказания существенного влияния на информационно-управляющую систему; 2)наступательная - защита от всего множества потенциально возможных угроз, при осуществлении которой в архитектуре информационно-управляющей системы и технологии ее функционирования должны учитываться условия, продиктованные потребностями защиты; 3)упреждающая - создание информационной среды, в которой угрозы информации не имели бы условий для проявления

Перечень основных документов отрабатываемых службой защиты информации в организации и их краткое содержание.

В Уставе организации (основном документе, в соответствии с которым организация осуществляет свою деятельность), во всех положениях о структурных подразделениях организации (департаментов, управлений, отделов, служб, групп, секторов и т.п.) и в функциональных обязанностях всех сотрудников, участвующих в процессах автоматизированной обработки информации, должны быть отражены требования по обеспечению информационной безопасности при работе в АС. Задачи организации и функции по ОИБ ее подразделений и сотрудников в перечисленных выше документах должны формулироваться с учетом положений действующего в России законодательства по информатизации и защите информации (Федеральных Законов, Указов Президента РФ, Постановлений Правительства РФ и других нормативных документов). Конкретизация задач и функций структурных подразделений, а также детальная регламентация действий сотрудников организации, их ответственность и полномочия по вопросам ОИБ при эксплуатации АС должны осуществляться как путем дополнения существующих документов соответствующими пунктами, так и путем разработки и введения в действие дополнительных внутренних организационно-распорядительных документов по ОИБ.

В целях обеспечения единого понимания всеми подразделениями и должностными лицами (сотрудниками) организации проблем и задач по обеспечению безопасности информации в организации целесообразно разработать «Концепцию обеспечения информационной безопасности» организации. В Концепции должны определяться основные задачи по защите информации и процессов ее обработки, намечаться подходы и основные пути решения данных задач. Необходимым элементом организации работ по обеспечению безопасности информации, является категорирование, то есть определение требуемых степеней защищенности (категорий) ресурсов АС (информации, задач, каналов взаимодействия задач, компьютеров). Для обеспечения управления и контроля за соблюдением установленных требований к защите информации организации необходимо разработать и принять «Положение об определении требований по защите (категорировании) ресурсов» в АС организации. Целесообразно введение классификации защищаемой информации, включаемой в «Перечень информационных ресурсов, подлежащих защите», не только по уровню конфиденциальности (конфиденциально, строго конфиденциально и т.д.), но и по уровню ценности информации. В данном Перечне необходимо также указывать подразделения организации, являющиеся владельцами конкретной защищаемой информации и отвечающие за установление требований к режиму ее защиты. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно специальной "Инструкции по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы". Меры безопасности при вводе в эксплуатацию новых рабочих станций и серверов, а также при изменениях конфигурации технических и программных средств существующих компьютеров в АС должны определяться "Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств компьютеров АС". Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должна осуществляться в соответствии с утвержденным «Порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию». «Инструкция по организации антивирусной защиты» должна регламентировать организацию защиты АС от разрушающего воздействия компьютерных вирусов и устанавливать ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих АС, за их ненадлежащее выполнение. «Инструкция по организации парольной защиты» призвана регламентировать процессы генерации, смены и прекращения действия паролей пользователей в автоматизированной системе организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями. При использовании в некоторых подсистемах АС средств криптографической защиты информации и средств электронной цифровой подписи необходим еще один документ, регламентирующий действия конечных пользователей, - «Порядок работы с носителями ключевой информации». Для пользователей защищенных АРМ (на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые дополнения к функциональным обязанностям и технологическим инструкциям, закрепляющие требования по обеспечению информационной безопасности при работе в АС и ответственность сотрудников за реализацию мер по обеспечению установленного режима защиты информации.

Билет 9

1. Семейство международных стандартов на системы менеджмента информационной безопасности.

Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению. Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее.

Некоторые стандарты данного семейства:

ISO 27000 ISO/IEC 27000:2009 Information technology. Security techniques. Information security management systems. Overview and vocabulary - Определения и основные принципы. Выпущен в июле 2009г.

ISO 27001 ISO/IEC 27001:2005/BS 7799-2:2005 Information technology. Security techniques. Information security management systems. Requirements - Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования. Выпущен в октябре 2005г.

ISO 27002 ISO/IEC 27002:2005, BS 7799-1:2005,BS ISO/IEC 17799:2005 Information technology. Security techniques. Code of practice for information security management - Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью. Выпущен в июне 2005г.

ISO 27003 ISO/IEC 27003:2010 Information Technology. Security Techniques. Information Security Management Systems Implementation Guidance - Руководство по внедрению системы управления информационной безопасностью. Выпущен в январе 2010г.

ISO 27004 ISO/IEC 27004:2009 Information technology. Security techniques. Information security management. Measurement - Измерение эффективности системы управления информационной безопасностью. Выпущен в январе 2010г.

ISO 27005 ISO/IEC 27005:2008 Information technology. Security techniques. Information security risk management - Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности. Выпущен в июне 2008г.

2. Защита права на личную информацию с ограниченным доступом.

(ФЗ от 27.07.06 №149 «Об информации информационных технологиях и о защите информации») Обладатель информации, если иное не предусмотрено федеральными законами, вправе: 1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа; 2) использовать информацию, в том числе распространять ее, по своему усмотрению; 3)передавать информацию другим лицам по договору или на ином установленном законом основании; 4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами; 5) осуществлять иные действия с информацией или разрешать осуществление таких действий.

Обладатель информации при осуществлении своих прав обязан: 1) соблюдать права и законные интересы иных лиц; 2)принимать меры по защите информации; 3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Так же защита прав на личную информацию прописана в ФЗ №152 «О персональных данных» Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

3. Организация подготовки и проведения совещаний и заседаний по конфиденциальным вопросам .

В ходе повседневной деятельности предприятий, связанной с использованием конфиденциальной информации, планируются и проводятся служебные совещания, на которых рассматриваются или обсуждаются вопросы конфиденциального характера. Мероприятия по защите информации проводятся при подготовке, в ходе проведения и по окончании совещания. В работе руководства и должностных лиц предприятия по защите информации при проведении совещания важное место занимает этап планирования конкретных мероприятий, направлениях на исключение утечки конфиденциальной информации и на ее защиту. Планирование мероприятий по защите информации проводится заблаговременно до начала совещания и включает выработку конкретных мер, определение ответственных за их реализацию должностных лиц (структурных подразделений), а также сроков их осуществления. При планировании совещания предусматривается такая очередность рассмотрения вопросов, при которой будет исключено участие в их обсуждении лиц, не имеющих к ним прямого отношения.

План мероприятий по защите информации при проведении совещания с участием представителей сторонних организаций содержит следующие основные разделы. 1)Определение состава участников и их оповещение - порядок формирования списка лиц, привлекаемых к участию в совещании, и перечня предприятий, которым необходимо направить запросы с приглашениями. 2)Подготовка служебных помещений, в которых планируется проведение совещания, - работа по выбору служебных помещений и проверке их соответствия требованиям по защите информации; необходимость и целесообразность принятия дополнительных организационно-технических мер, направленных на исключение утечки информации; оборудование рабочих мест участников совещания; порядок использования средств звукоусиления, кино- и видеоаппаратуры. 3)Определение объема обсуждаемой информации - порядок определения перечня вопросов, выносимых на совещание, и очередности их рассмотрения, оценки степени их конфиденциальности. 4)Организация пропускного режима на территории и в служебных помещениях, в которых проводится совещание - виды пропусков и проставляемых на них условных знаков или шифров для прохода в конкретные служебные помещения; порядок их учета, хранения, выдачи и выведения из действия; количество и регламент работы основных и дополнительных контрольно-пропускных пунктов для прохода участников совещания на территорию и в служебные помещения. 5)Организация допуска участников совещания к рассматриваемым вопросам - мероприятия, касающиеся непосредственного допуска участников к вопросам, выносимым на совещание, с учетом порядка их обсуждения и степени конфиденциальности информации, к которой допущен каждый участник совещания. 6)Осуществление записи (стенограммы), фото-, кино-, видеосъемки совещания - порядок и возможные способы записи, съемки, стенографирования хода совещания и обсуждаемых вопросов с учетом их конфиденциальности. 7)Меры по защите информации непосредственно при проведении совещания - порядок и способы охраны служебных помещений, меры по исключению проникновения в них посторонних лиц, а также участников совещания, не участвующих в рассмотрении конкретных вопросов; мероприятия по предотвращению утечки информации по техническим каналам, силы и средства, задействованные при проведении этих мероприятий; конкретные меры, исключающие визуальный просмотр и прослушивание ведущихся переговоров и обсуждения участниками совещания вопросов конфиденциального характера. 8) Организация учета, хранения, выдачи и рассылки материалов совещания - порядок учета, хранения, размножения, выдачи, рассылки и уничтожения материалов совещания, а также рабочих тетрадей или блокнотов, предназначенных для записи обсуждаемых вопросов; 9)Оформление документов лиц, принимавших участие в совещании, - порядок и сроки оформления документов, подтверждающих право доступа участников совещания к конфиденциальной информации, предписаний или доверенностей на участие в совещании. 10) Проверка и обследование места проведения совещания после его окончания - мероприятия по организации и проведению визуальной проверки, а также проверки с использованием специальных технических средств помещений, в которых проводилось совещание, в целях выявления забытых участниками совещаний технических устройств, носителей конфиденциальной информации и личных вещей. 11) Организация контроля за выполнением требований по защите информации - порядок, способы и методы контроля полноты и качества проводимых мероприятий, направленных на предотвращение утечки и разглашения конфиденциальной информации.

Билет 10

1. Принципы добывания и обработки информации техническими средствами.

Добывание информации осуществляется постоянно легальными способами и при недостаточности полученной этими способами информации - путем проведения тайных операций. Легальное добывание информации проводится путем изучения и обработки публикаций по интересующих разведку вопросом в средствах массовой информации, журналах, трудах и др. Нужную информацию можно найти в материалах, имеющих непосредственное отношение к деятельности фирмы: в соглашении о лицензиях, статьях и докладах, годовых отчетах фирм, рекламной литературе и др. Добывание информации в общем случае представляет процесс, который начинается с момента постановки задачи ее пользователями руководством) до момента предоставления пользователям информации, соответствующей поставленным задачам и требованиям. Технология добывания информации включает следующие этапы: 1)организация добывания; 2)добывание данных и сведений; 3) информационная работа. Организация добывания информации предусматривает: 1) декомпозицию (структурирование) задач, поставленных пользователями; 2)разработку замысла операции по добыванию информации; 3)планирование; 4)постановка задач исполнителям; 5)нормативное и оперативное управление действиями исполнителей и режимами работы технических средств. Сведения и данные добываются соответствующими органами путем поиска источников информации и ее носителей, их обнаружение, установление разведывательного контакта с ними, получения данных и сведений. Сведения и данные представляют фрагменты информации и отличаются друг от друга тем, что данные снимаются непосредственно с носителя, а сведения - проанализированные данные. Поиск объектов разведки (источников и носителей информации) производится в пространстве и во времени, а для носителей в виде полей и электрического тока - также по частоте сигнала. Поиск завершается обнаружением объектов разведки и получением от них данных. Обнаружение интересующих разведку объектов в процессе поиска производится по их демаскирующим признакам и заключается в процедуре выделения объекта на фоне других объектов. Основу процесса обнаружения составляет процедура идентификации - сравнение текущих признаковых структур, формируемых в процессе поиска, с эталонной признаковой структурой объекта разведки. Если эталонная признаковая структура отсутствует или принадлежность их объекту вызывает сомнение, то процессу поиска объекта разведки предшествует этап поиска его эталонных (достоверных) признаков. Добытые данные, как правило, разрозненные. Они преобразуются в информацию, отвечающую на поставленные задачи, в ходе информационной работы, выполняемую органами сбора и обработки информации. Информационная или аналитическая работа включает следующие процессы: 1)сбор данных и сведений от органов добывания; 2)видовая обработка; 3)комплексная обработка. Данные и сведения (в случае предварительной обработки данных в органе добывания) передаются в орган видовой обработки. Необходимость видовой обработки обусловлена различиями языков признаков, добываемых органами различных видов. В ходе видовой и комплексной обработки формируются первичные и вторичные сведения на основе методов синтеза информации и процедур идентификации и интерпретации данных и сведений.

2. Объекты защиты информации на предприятии. Принципы их формирования и классификации.

Объект защиты информации - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации. В обобщенный перечень объектов защиты информации входят: 1)информационные ресурсы или собственно информация в содержательно-тематическом смысле; 2)системы формирования, распространения, хранения, обработки и использования информационных ресурсов; 3)информационная инфраструктура – объединение предыдущей системы со средствами передачи информации между субъектами информационных отношений (со средствами, образующими информационные коммуникации). Принципиальное значение имеет однозначное определение и единый подход к формированию полных перечней объектов и элементов. Основным методом формирования перечней является структурно-логический анализ архитектурной топологий АС, технологических схем обработки информации, с выделением фрагментов. Структуризация АС на объекты защиты предполагает: 1)повышение эффективности процесса защиты данных за счет полного охвата всех информационных объектов; 2)рациональное распределение защитных ресурсов в соответствии с важностью, обрабатываемой и хранимой в типовых структурных компонентах ИС информации; 3)приведение динамики процесса защиты данных в соответствие с динамикой их обработки и использования. Информация является предметом защиты, но защищать ее как таковую невозможно, поскольку она не существует сама по себе, а фиксируется (отображается) в определенных материальных объектах. Согласно ГОСТ 50922-96 «Защита информации. Основные термины и определения», носитель информации - это «физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов». Носители защищаемой информации можно классифицировать как: 1)документы; 2)изделия (предметы); 3)вещества и материалы; 4)электромагнитные, тепловые, радиационный и другие излучения; 5)акустические и другие поля и т. п. Кроме того, объектами защиты должны быть: 1)средства отображения, обработки, воспроизведения и передачи конфиденциальной информации, в том числе: ЭВМ, средства видео- звукозаписывающей и воспроизводящей техники; 2)средства транспортировки носителей конфиденциальной информации; 3)средства радио- и кабельной связи, радиовещания телевидения, используемые для передачи конфиденциальной информации; 4)системы обеспечения функционирования предприятия (электро-, водоснабжение, кондиционирование и др.); 5)технические средства защиты информации и контроля за ними. 6)Выпускаемая продукция (изделия). 7)Технологические процессы изготовления продукции, которые включают в себя как технологию производства продукции, так и применяемые при ее изготовлении компоненты (средства производства): оборудование, приборы, материалы, вещества, сырье, топливо и др. 8)Физические поля, в которых информация фиксируется путем изменения их интенсивности, количественных характеристик, отображается в виде сигналов, а в электромагнитных полях и в виде образов. 9)Прилегающая территория к предприятию. Чтобы обеспечить защиту, необходимо защищать и объекты, которые являются подступами к носителям, 10)Здания предприятия 11)Помещения. Защита зданий является вторым рубежом защиты носителей.

3. Порядок оформления документов, необходимых для получения лицензий в области защиты конфиденциальной информации.

Положение о лицензировании деятельности по технической защите конфиденциальной информации Утверждено постановлением Правительства Российской Федерации от 15 августа 2006 г. № 504. Лицензирование деятельности по технической защите конфиденциальной информации осуществляет ФСТЭК. Для получения лицензии соискатель лицензии направляет или представляет в лицензирующий орган следующие документы: 1) заявление о предоставлении лицензии с указанием наименования и организационно-правовой формы юридического лица, места его нахождения; лицензируемого вида деятельности, который намерены осуществлять; 2)копии учредительных документов и копия свидетельства о государственной регистрации соискателя лицензии в качестве юридического лица - для юридического лица; 3) копия свидетельства о государственной регистрации гражданина в качестве индивидуального предпринимателя - для индивидуального предпринимателя; 4) копия свидетельства о постановке соискателя лицензии на учет в налоговом органе; 5) документ, подтверждающий уплату лицензионного сбора; 6)копии документов, подтверждающих квалификацию специалистов по защите информации; 7)копии документов, подтверждающих право собственности, право хозяйственного ведения или оперативного управления на помещения, предназначенные для осуществления лицензируемой деятельности, либо копии договоров аренды; 8)копии аттестатов соответствия защищаемых помещений требованиям безопасности информации; 9) копии технического паспорта АС с приложениями, акта классификации АС по требованиям безопасности информации, плана размещения основных и вспомогательных технических средств и систем, аттестата соответствия АС требованиям безопасности информации, а также перечень защищаемых в АС ресурсов с подтверждением степени конфиденциальности каждого ресурса; 10)копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для ЭВМ и БД; 11)сведения о наличии производственного и контрольно-измерительного оборудования, средств ЗИ и средств контроля защищенности информации, с приложением копий документов о поверке контрольно-измерительного оборудования; 12)сведения об имеющихся у соискателя лицензии нормативных правовых актах, нормативно-методических и методических документах по вопросам технической ЗИ. Лицензирующий орган проводит проверку полноты сведений, содержащихся в документах, представленных в соответствии с пунктом 5 настоящего Положения. В случае выявления неполноты сведений лицензирующий орган в срок, не превышающий 15 дней, вручает соискателю лицензии уведомление о необходимости представления недостающих сведений. При рассмотрении заявления о предоставлении лицензии лицензирующий орган проводит проверку достоверности сведений о соискателе лицензии, заявлении и документах, а также проверку возможности выполнения соискателем лицензии лицензионных требований и условий в порядке, предусмотренном статьей 12 Федерального закона "О лицензировании отдельных видов деятельности". Лицензирующий орган принимает решение о предоставлении или об отказе в предоставлении лицензии в срок, не превышающий 45 дней с даты поступления в лицензирующий орган заявления о предоставлении лицензии и документов, предусмотренных пунктом 5 настоящего Положения. Указанное решение оформляется соответствующим актом лицензирующего органа.

Билет 11

1. Российские стандарты в области информационной безопасности.

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России

ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Госстандарт России

ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России

ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России

ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России

ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России

Стратегия - это общая, рассчитанная на перспективу руководящая установка при организации и обеспечении соответствующего вида деятельности, направленная на то, чтобы наиболее важные цели этой деятельности достигались при наиболее рациональном расходовании имеющихся ресурсов.

Организация защиты информации в самом общем виде может быть определена как поиск оптимального компромисса между потребностями в защите и необходимыми для этих целей ресурсами.

Потребности в защите обуславливаются, прежде всего, важностью и объемами защищаемой информации, а также условиями ее хранения, обработки и использования. Эти условия определяются уровнем (качеством) структурно-организационного построения объекта обработки информации, уровнем организации технологических схем обработки, местом и условиями расположения объекта и его компонентов и другими параметрами.

Размер ресурсов на защиту информации может быть ограничен определенным пределом либо определяется условием обязательного достижения требуемого уровня защиты. В первом случае защита должна быть организована так, чтобы при выделенных ресурсах обеспечивался максимально возможный уровень защиты, а во втором - чтобы требуемый уровень защиты обеспечивался при минимальном расходовании ресурсов.

Сформулированные задачи есть не что иное, как прямая и обратная постановки оптимизационных задач. Существует две проблемы, затрудняющие формальное решение.

Первая - процессы защиты информации находятся в значительной зависимости от большого числа случайных и трудно предсказуемых факторов, таких как поведение злоумышленника, воздействие природных явлений, сбои и ошибки в процессе функционирования элементов системы обработки информации и др.

Вторая - среди средств защиты весьма заметное место занимают организационные меры, связанные с действием человека.

Обоснование числа и содержания необходимых стратегий будем осуществлять по двум критериям: требуемому уровню защиты и степени свободы действий при организации защиты. Значения первого критерия лучше всего выразить множеством тех угроз, относительно которых должна быть обеспечена защита:

от наиболее опасных из известных (ранее появившихся) угроз;

от всех известных угроз;

от всех потенциально возможных угроз.

Второй критерий выбора стратегий защиты сводится к тому, что организаторы и исполнители процессов защиты имеют относительно полную свободу распоряжения методами и средствами защиты и некоторую степень свободы вмешательства в архитектурное построение системы обработки информации, а также в организацию и обеспечение технологии ее функционирования. По этому аспекту удобно выделить три различные степени свободы:

никакое вмешательство в систему обработки информации не допускается. Такое требование может быть предъявлено к уже функционирующим системам обработки информации и нарушение процесса их функционирования для установки механизмов защиты не разрешается;

к архитектурному построению системы обработки информации и технологии ее функционирования допускается предъявлять требования неконцептуального характера. Другими словами, допускается приостановка процесса функционирования системы обработки информации для установки некоторых механизмов защиты;

требования любого уровня, обусловленные потребностями защиты информации, принимаются в качестве обязательных условий при построении системы обработки информации, организации и обеспечения их функционирования.

Практически можно выделить три основные стратегии:

Так, выбирая оборонительную стратегию, подразумевают, что при недопущении вмешательства в процесс функционирования системы обработки информации можно нейтрализовать лишь наиболее опасные угрозы. Например, данная стратегия, применяемая для существующего объекта, может включать разработку организационных мер использование технических средств по ограничению несанкционированного допуска к объекту. Упреждающая стратегия предполагает тщательное исследование возможных гроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. При этом нет смысла на данном этапе рассматривать ограниченное множество подобных угроз.

(в документе рассматриваются вопросы обеспечения доступности).

Бизнес компании сосредоточен именно на бизнесе, на получении прибыли, а не на ИТ или ИБ. Используемые в компании меры и средства по защите данных должны быть направлены на управление информационными бизнес-активами. Проведение простого анализа данных, в отрыве от их ценности для бизнеса, может дать неадекватные результаты. В настоящем документе рассматривается подход к оценке данных с точки зрения их критичности для бизнеса, а также к выбору эффективной стратегии защиты данных компании.

Обзор

Защита данных и приложений компании включает в себя гораздо больше, чем просто выполнение рутинных операций резервного копирования. Защита информационных бизнес-активов должна обеспечиваться на протяжении всего их жизненного цикла – с точки зрения сохранения, восстановления и обеспечения доступности. Рациональный и эффективный подход к защите данных может помочь компании быстрее адаптироваться к изменениям и расширению возможностей. Например:

Обеспечить постоянную работу приложений, возможность обслуживания клиентов, создать благоприятные условия для бизнеса компании.
Мминимизировать тяжесть последствий и продолжительность их влияния в случае потери файлов или возникновения чрезвычайной ситуации.
Реализовать экономически эффективные меры, направленные на соблюдение требований безопасности, которым должна соответствовать компания, снизить риски и стоимость обеспечения этого соответствия.

Реализация эффективной стратегии защиты данных начинается с оценки данных компании и определения набора бизнес-требований по их защите. Существует довольно простой подход, который основан на частоте изменения данных и их критичности для бизнеса. Этот подход применим независимо от того, какой объем данных есть у компании. Требования к организации эффективной защиты доступности приложений и данных должны учитывать особенности бизнеса компании и основываться на ценности данных для бизнеса.

Управление данными

Частота изменений: Динамические и Статические

Задумайтесь на минуту о данных и их значении для бизнеса. Наверняка в вашей компании есть файлы, которые используются и изменяются ежедневно. Например, когда вы используете систему ERP или бухгалтерские программы, они вносят изменения в свои базы данных каждый раз, когда вы открываете новый счет или вводите данные очередной транзакции. Это называется динамическими данными.

Кроме них есть файлы, которые никогда не изменяются после своего создания. Примером может служить текст коммерческого предложения, которое вы только что написали и отправили потенциальному клиенту. Другим примером могут быть фотографии, видеозаписи, файлы презентаций, отчеты и т.п. Такие данные называются статическими . Скорее всего, как и у большинства других компаний, в вашей компании больше статических данных, чем динамических.

Критичность для бизнеса

Еще одним аспектом, который нужно обдумать, является степень важности (критичности, ценности) этих данных для бизнеса. Некоторые данные имеют критическое значение – бизнес компании будет разрушен в случае их утраты (это может быть потеря доходов, правовые последствия и т.д.).

Какие данные являются критичными для компании, зависит от нее самой. Для некоторых компаний, самым критичным ресурсом является электронная почта, для других – данные учета операций с клиентами и контрагентами. Самый простой способ определить, какие данные критичны именно для вашей компании, это задать себе и руководителям подразделений компании вопрос: «что произойдет, если это приложение отключится или данные будут утрачены? Что произойдет, если мы не сможем сразу восстановить приложение или данные?» .

Наверняка в компании есть и некритичные данные. Например, черновики подготовленной вами презентации, маркетинговые материалы проведенной рекламной компании и т.п. Вряд ли компания прекратит свою работу, если вы не сможете быстро получить доступ к таким данным.

Подход к выбору стратегии защиты данных

Шаги Процесса определения стратегии защиты данных

Как мы уже говорили, ключ к реализации эффективной и результативной стратегии защиты данных компании заключается в том, чтобы сначала проанализировать и определить ценность этих данных. Только тогда можно будет установить четкий набор бизнес-требований для их защиты. Если вы потратите время, чтобы понять данные и определить бизнес-требования по их защите, вы получите значительные преимущества. Если вы все сделаете правильно, вы сможете обеспечить высокую доступность приложений, что поможет сотрудникам компании обслуживать клиентов, а компании - получать прибыль. Вы сможете снизить количество сбоев. Вы сможете получать своевременный доступ к архивным данным для обеспечения соответствия внешним требованиям или для их использования в новых приложениях.

1. Определить набор «Классов данных»

Классы данных – это группы данных, которые имеют схожий уровень критичности для бизнеса, а также похожую частоту изменений. Будет довольно затруднительно использовать отдельный подход для защиты каждого набора данных. Группировка данных в классы, в которых данные имеют аналогичные характеристики, позволит вам реализовать менее сложную стратегию.

Как уже говорилось ранее, самый простой способ классифицировать данные, заключается в определении критичности и частоты изменений для всех основных наборов данных, с последующим выявлением общих признаков в результатах. Классификация данных в вакууме, основываясь на одних предположениях, может обернуться сплошными проблемами. Вам необходимо привлечь других сотрудников компании к проведению классификации данных (например, руководителей бизнес-подразделений, обслуживающий персонал и т.д.). Вам, безусловно, придется пойти на некоторые компромиссы, чтобы ограничить общее количество классов данных. Для средней компании количество классов должно быть от трех до пяти.

2. Определите требования по восстановлению

Для каждого класса данных, нужно определить требования по восстановлению. Есть два основных требования, которые нужно определить:

Целевое время восстановления (RTO – Recovery time objective). Это время от момента сбоя или аварии (потери доступа к данным) до момента восстановления работы. Это время требуется для физического восстановления данных или приложений. Управление временем восстановления данных имеет очень важное значение для компании, это время должно быть зафиксировано в виде четкого требования. Нужно стремиться к тому, чтобы максимально сократить время RTO, но необходимая для этого процедура восстановления должна оставаться экономически целесообразной для компании.

Целевая точка восстановления (RPO – Recovery point objective). Это момент времени, на который будут актуальны данные после их восстановления. Например, если будет восстановлен файл, резервная копия которого была сделана вчера, то значение RPO равно одному дню. Точка восстановления данных, которые изменяются очень часто, также должна быть зафиксирована в виде четкого требования. Нужно стремиться к тому, чтобы точка RPO находилась как можно ближе к текущему моменту времени, но необходимая для этого процедура восстановления также должна оставаться экономически целесообразной для компании.

Ключевые вопросы, которые должны быть рассмотрены на этом шаге:

Насколько быстро мы должны восстановить данные или приложение после инцидента и возобновить работу? Что случиться, если данные будут недоступны час? Два часа? Четыре часа? Восемь часов? Сутки? Неделю?
Какое влияние окажет потеря недавно созданных данных?

Получать ответы на эти вопросы нужно у представителей бизнес-подразделений, а не только у сотрудников ИТ и ИБ. Это поможет лучше понять последствия простоя системы или потери данных.

3. Создайте Стратегию защиты данных

Ключевые соображения:

Компромисс выбора решения для резервного копирования / восстановления данных. Выбор правильного решения для защиты данных компании требует определения RTO и RPO для различных классов данных. Окончательный выбор решения должен обеспечивать баланс между потребностями бизнеса и стоимостью решения.

Вопрос архивирования статических данных

Архив должен обеспечивать долгосрочную защиту данных для соблюдения предъявляемых к компании требований по срокам хранения документов.
Архив должен позволять использовать исторические данные в новых приложениях.
Отделение данных в архив (архивирование) должно повышать производительность работы систем компании. Такое повышение производительности реализуется следующими способами:

Когда статические данные перемещаются в архив, они больше не смешиваются с динамическими данными, поэтому пропадает необходимость в их регулярном резервном копировании. В большинстве случаев это позволяет значительно снизить время создания полной резервной копии и необходимый для нее объем свободного места на резервном носителе информации. Кроме того, отделение статических данных от динамических может значительно сократить время, необходимое для поиска файлов.

Резервное копирование на диск . Использование технологий резервного копирования динамических данных на дисковые хранилища для возможности их быстрого восстановления (а также создания копий для аварийного восстановления информации) позволит вам получить максимальную отдачу от инвестиций в защиту данных. Такой способ резервного копирования данных существенно сокращает время их восстановления, а также административные издержки на сопровождение процесса резервного копирования.

Защита данных в режиме реального времени . Использование технологии защиты данных в режиме реального времени позволяет компании получить минимальные значения RTO и RPO. Лучшие из таких решений позволяют восстановить данные на любой момент времени с точностью до секунды, а некоторые из них также позволяют обеспечить высокую доступность для приложений, обеспечивая их отказоустойчивость и возвращая их к работе за секунды.

Для большинства средних компаний количество классов данных и связанных с ними стратегий защиты обычно равняется трем. Например:

4. Выбор правильного решения для защиты данных, соответствующего бизнес-стратегии

Насколько важны данные для вашей компании? После того как вы провели классификацию и определили соответствующие стратегии для управления каждым из них, вы можете выбрать набор решений по обеспечению защиты данных, которые лучше всего соответствуют требованиям именно вашей компании.

Выбранные вами решения по защите данных должны соответствовать потребностям компании и предоставлять экономически эффективный подход к управлению различными типами данных в среде компании. Они также должны быть:

Простыми для внедрения и управления. Простота использования – это очень важное требование. Хотя вы понимаете необходимость защиты данных, но у вас есть множество и других обязанностей, поэтому, вероятно, у вас не будет времени на то, чтобы стать экспертом по защите данных. Мы хотим, чтобы свет включался, когда мы нажимаем на переключатель - вряд ли нам понравится, если для этого нужно будет вызвать электрика. Поэтому решение по защите данных должно быть легко внедрить и использовать в дальнейшем. Удобство использования позволит существенно сократить затраты на персонал для выполнения задач по защите данных.

Экономически эффективными . Компания хочет свести к минимуму стоимость технологии защиты ваших данных. Лучше сделать это с помощью комбинации решений по хранению данных, которыми можно прозрачно управлять и которые смогут удовлетворить потребности бизнеса при минимально возможных затратах. Проведенная работа по идентификации и классификации данных на основе степени их критичности и частоты изменения, позволит вам купить именно то, что лучше всего соответствует потребностям вашей компании.

Безопасность . Необходима уверенность, что ваши данные компании находятся в безопасности, обеспечивается конфиденциальность ценных данных, в т.ч. сведений о сотрудниках компании, клиентах и партнерах. Поэтому процесс создания, дальнейшего хранения и использования резервных копий данных должен обеспечивать такой же уровень безопасности, что и в основной системе, в которой они хранятся. Часто это означает необходимость шифрования данных в резервных копиях.

Комплексность . Решение по защите данных должно быть способно автоматически учитывать потребности всех систем, использующихся в вашей среде, в т.ч. любых устройств, подключенных к сети. Компании любых размеров нередко сталкиваются с проблемами эффективности защиты данных на рабочих станциях, ноутбуках и других мобильных устройствах. Выбранное решение должно быть способно выявлять факты подключения к сети мобильных устройств и собирать необходимые сведения для обеспечения защиты.

Масштабируемость . Продумайте вопросы, касающиеся ожидаемых изменений в компании в течение ближайших нескольких лет. При выборе решения для защиты данных обязательно учтите эти ожидания. Если существует высокая вероятность значительных изменений требований к защите данных, очень важно, чтобы выбранное решение было адаптируемым и масштабируемым. Удаление дубликатов файлов может позволить вам лучше справляться с ростом объема данных с течением времени, а также поддерживать рентабельность стратегии защиты данных.

Надежность производителя . Следует убедиться, что производитель выбранного решения по защите данных обладает большим опытом и глубокими знаниями в этом вопросе.

5. Развертывание, мониторинг и улучшение

Выбор решения, которое просто в развертывании и управлении, экономически эффективно, надежно, комплексно, масштабируемо и произведено надежным производителем займет немало времени. Однако это позволит успешно внедрить и использовать его, обеспечив надежную защиту данных компании. Вам не обязательно становиться экспертом по защите данных, но вы должны очень хорошо понимать потребности вашей компании в отношении защиты данных.

6. Заключительные положения

Как уже говорилось в этом документе, процесс классификации данных является первым и очень важным шагом в процессе обеспечения надежной защиты приложений и данных компании. Классификация данных должна проводиться совместно различными подразделениями компании. Слишком часто отсутствует связь между подразделениями ИТ, ИБ и теми, кто непосредственно работает с данными – руководителями бизнес-подразделений. Возьмем, к примеру, отказ сервера корпоративной электронной почты. Администратор этого сервера оценил, что для выяснения проблемы и ее исправления требуется не более 24 часов, считая это время приемлемым для компании. Однако, когда такой отказ происходит, генеральный директор начинает каждые 20 минут звонить ИТ-директору, чтобы уточнить текущее состояние решения проблемы, при этом каждый следующий их диалог содержит все меньше любезностей. Оказывается, что для компании RTO, равное для этой системы 24 часам, является неприемлемым, а принятое ИТ-департаментом решение просто не учитывало реальные потребности подразделений компании. В действительности, в этой компании корпоративная электронная почта должна была быть классифицирована, как имеющая критическое значение для бизнеса, и ее защита должна реализовываться соответствующим образом. Непонимание этого (или недостаток связи с бизнес-подразделениями), может привести к плачевным последствиям, как для отдельных сотрудников, так и для компании в целом.

Конечно, даже если корпоративная электронная почта не является «критически важной» она все равно может стать причиной проблем для ИТ-департамента и пользователей, вызванных неправильным выбором окна для резервного копирования или глубиной восстановления почты. Поэтому нужно очень внимательно и осторожно проводить классификацию данных, ведь отсутствие проблем у пользователей - это очень критичный для бизнеса вопрос. В нашем примере с сервером электронной почты, если его резервное копирование занимает несколько часов, должны использоваться специальные технологии, которые позволят не причинять пользователям проблем в процессе копирования. Если мы будем при выборе стратегии защиты данных основываться только на уровне классификации системы электронной почты (не критична для бизнеса), мы могли бы выбрать обычные средства резервного копирования. Однако это приведет к сложностям в работе пользователей, и выбранное решение будет не лучшим.

Иными словами, нужно учитывать, что помимо требований RTO и RPO, нужно учитывать и другие вопросы (например, слишком большое окно резервного копирования, неправильный выбор времени резервного копирования). Даже некритичные для бизнеса данные могут требовать внедрения определенных технологий для их защиты. Эти технологии не должны быть чрезмерными и не должны приводить к возникновению дополнительных проблем у пользователей.

Решения по защите данных могут защитить инвестиции в бизнес компании. Все зависит от того, насколько правильно они реализованы. Следует в первую очередь сосредоточиться на потребностях бизнеса, а не на технологиях.

Потребности в защите обусловливаются прежде всего важностью и объемами защищаемой информации, а также условиями ее хранения, обработки и использования. Эти условия определяются уровнем (качеством) структурно-организационного построения объекта обработки информации, уровнем организации технологических схем обработки, местом и условиями расположения объекта и его компонентов и другими параметрами.

Сформулированные задачи есть не что иное, как прямая и обратная постановка оптимизационных задач. Существует две проблемы, затрудняющие формальное решение.

Первая - процессы защиты информации находятся в значительной зависимости от большого числа случайных и труднопредсказуемых факторов, таких, как поведение злоумышленника, воздействие природных явлений, сбои и ошибки в процессе функционирования элементов системы обработки информации и др.

1) от наиболее опасных из известных (ранее появившихся) угроз;

2) ото всех известных угроз;

3) ото всех потенциально возможных угроз.

1. Никакое вмешательство в систему обработки информации не допускается. Такое требование может быть предъявлено к уже функционирующим системам обработки информации, и нарушение процесса их функционирования для установки механизмов защиты не разрешается.

2. К архитектурному построению системы обработки информации и технологии ее функционирования допускается предъявлять требования неконцептуального характера. Другими словами, допускается приостановка процесса функционирования системы обработки информации для установки некоторых механизмов защиты. 3. Требования любого уровня, обусловленные потребностями защиты информации, принимаются в качестве обязательных условий при построении системы обработки информации, организации и обеспечении их функционирования.

Практически можно выделить три основные стратегии.

Таблица Стратегии защиты информации

Так, выбирая оборонительную стратегию, подразумевают, что при недопущении вмешательства в процесс функционирования системы обработки информации можно нейтрализовать лишь наиболее опасные угрозы. Например, данная стратегия, применяемая для существующего объекта, может включать разработку организационных мер использования технических средств по ограничению несанкционированного допуска к объекту. Упреждающая стратегия предполагает тщательное исследование возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. При этом нет смысла на данном этапе рассматривать ограниченное множество подобных угроз.

Роджер Бест Глава из книги «Маркетинг от потребителя»
Издательство "Манн, Иванов и Фербер"

Intel - мировой лидер на рынке микропроцессоров. Многие годы доля Intel сохранялась на уровне 85% - и это в условиях растущего рынка. Стратегический план был нацелен на сохранение доли рынка, что, в свою очередь, обеспечивало рост выручки, несмотря на усиление конкуренции. Как показано на рис. 1, стратегия, направленная на сохранение собственной позиции, позволила компании поддерживать невероятно высокую маржу, благодаря чему на протяжении пяти лет росли и операционная прибыль, и эффективность маркетинговых мероприятий Intel. Расходы компании на маркетинг, продажи и управление обычно оставались на уровне 15-20%, а в 2003 году снизились до 14,3% от объема продаж. Рекламные издержки составляют свыше 40% всего маркетингового бюджета Intel, предназначенного для поддержания уровня информированности рынка о бренде. В 2003 году благодаря этой стратегии эффективность маркетинговых мероприятий компании составила $12,8 млн; доходность маркетинговых затрат относительно выручки составила 42,2%. Компании удалось понизить долю маркетинговых расходов относительно выручки, поэтому прибыль от инвестиций в маркетинг выросла до 297%. Благодаря выбранной стратегии компания продолжает поддерживать рост выручки и увеличивает стоимость акционерного капитала.

Рис. 1. Стратегия Intel, направленная на поддержание доли рынка

Оперируя на менее привлекательных рынках или оказавшись в ситуации, когда ресурсы серьезно ограничены, компания может быть вынуждена сокращать свою долю рынка, пытаясь при этом оптимизировать соотношение размера доли рынка и уровня прибыльности. Иногда компании приходится и вовсе уходить с рынка - либо постепенно (пожиная плоды), либо быстро (распродавая активы). Каждая из оборонительных стратегий предназначена для максимизации или поддержания уровня прибыли на краткосрочном отрезке времени либо для минимизации краткосрочных убытков. В этой главе мы рассмотрим варианты оборонительных стратегий и обсудим их роль в достижении краткосрочных и долгосрочных операционных показателей компании.

Наступательные стратегические планы

Основой успешной работы компании Intel на протяжении многих лет была ее способность успешно реализовывать стратегию, направленную на сохранение существующей доли рынка микропроцессоров. Сокращение доли рынка привело бы к снижению объема продаж, выручки и уровня эффективности маркетинговых операций. Однако не стоит думать, что для реализации оборонительной стратегии по защите собственной доли рынка достаточно постоянного объема необходимых ресурсов. Для поддержания существующей доли на рынке, растущем на 15-20% в год, Intel вынуждена постоянно выпускать новые продукты и увеличивать маркетинговый бюджет. Без этого доля компании на рынке наверняка начнет сокращаться.

В общем случае компании, имеющие значительную долю на растущем или зрелом рынке, используют оборонительные стратегии, чтобы поддержать положительный денежный поток и обеспечить требуемый уровень прибыльности. Без таких оборонительных планов уровень прибыльности компаний в краткосрочной перспективе был бы недостаточным, а у бизнеса не хватало бы ресурсов для реализации долгосрочных наступательных планов.

Рассмотрим в качестве примера ситуацию, представленную на рис. 2. Компания действует на четырех рынках и на одном из них теряет деньги. Первый рынок (М1) находится в стадии созревания, и компания контролирует значительную долю этого рынка. Ее стратегический план направлен на поддержание существующей доли. Второй рынок (М2) находится в стадии медленного роста. Стратегическая цель компании на этом рынке - увеличивать собственную долю. Третий рынок (М3) можно охарактеризовать как быстро растущий, и здесь компания стремится сохранить существующую долю. На четвертом рынке (М4) компания теряет деньги; этот рынок признан для нее непривлекательным. Стратегический план для М4 основан на использовании существующих возможностей при максимизации краткосрочной прибыли и постепенном уходе с рынка. Пятый стратегический план связан с выходом на новый привлекательный рынок (М5). Здесь компания вначале будет терять деньги, но в целом этот рынок может стать основой для будущего роста бизнеса, улучшения рыночной позиции компании и поддержания оптимального баланса наличности в долгосрочной перспективе.

Рис. 2. Стратегическое планирование и операционные результаты

С помощью пяти маркетинговых стратегий компания надеется увеличить объем выручки и повысить прибыльность, увеличивая или защищая собственную долю рынка или постепенно уходя с рынка . Каждый из планов важен для краткосрочных и долгосрочных показателей продаж и прибыльности компании. На двух рынках необходимо реализовать оборонительные стратегии, чтобы защитить существующую долю компании. На одном из рынков компания предпочитает использовать стратегию медленного выхода, пытаясь получить максимум прибыли в краткосрочной перспективе.

Основная цель оборонительной стратегии - поддержать необходимый уровень прибыльности бизнеса и сохранить позицию компании на стратегически важных рынках, куда стоит инвестировать. Косвенная цель - корректировать прибыльность в ситуациях, когда компания утрачивает потенциал для серьезного роста. На рис. 3 представлены варианты оборонительных стратегии, которые могут использоваться компаниями в разных ситуациях.

Рис. 3. Стратегические планы и оборонительные стратегии

Как показано на рис. 4, компания может оказаться перед выбором из нескольких возможных оборонительных стратегии, в зависимости от рыночной привлекательности и конкурентных преимуществ. Например, обладая серьезными конкурентными преимуществами на привлекательном рынке, компания может делать выбор между поддержанием собственной доли или ее увеличением. В любом случае суть оборонительной стратегии - в максимизации краткосрочной прибыльности и поддержании или улучшении позиции компании на рынке.

Рис. 4. Портфель продуктов компании и оборонительные стратегии

Оборонительная стратегия № 1: защитить позицию на рынке

Нередко в условиях жесткой конкуренции, будь то спорт или бизнес, лучшим способом защиты оказывается нападение. Случается, что компании, доминирующие на рынке и обладающие серьезными конкурентными преимуществами, постепенно начинают вести себя все более беззаботно, ошибочно полагая, что они непобедимы. Рано или поздно такой недостаток бдительности приводит к тому, что верх берут более агрессивные конкуренты. Сохранение и поддержание солидной доли привлекательного и растущего рынка, а также собственных конкурентных преимуществ требует от компаний-лидеров постоянных инвестиций.

Оборонительная стратегия 1А: защитить долю рынка

Во многих областях компании-лидеры имеют долю рынка свыше 50%. В зависимости от специфики каждого рынка условия, в которых лидерам приходится отстаивать свою позицию, существенно варьируются. Например, Campbell Soup имеет 60% зрелого американского рынка готовых супов. Доля Gillette на рынке бритвенных принадлежностей и лезвий, тоже достигшем стадии зрелости, составляет 70%. Kodak контролирует более 60% угасающего американского рынка пленок для фотоаппаратов. Оборонительные стратегии этих компаний в условиях медленно растущих зрелых рынков существенно отличаются от тех, которые другие компании используют на быстро растущих рынках. Например, Intel обладает 85% быстро растущего рынка компьютерной техники; Microsoft контролирует 95% стремительно развивающегося рынка операционных систем для персональных компьютеров. В этом случае от обеих компаний требуются огромные маркетинговые усилия, чтобы не потерять ведущую позицию на растущих рынках. Тем не менее все компании-лидеры имеют схожие задачи - инвестировать с целью защиты собственной доли рынка. В зависимости от ситуации на том или ином рынке оборонительная стратегия, связанная с защитой доли рынка компании, может реализовываться в разных формах.

Инвестировать для защиты позиции на растущем рынке

Для защиты собственной позиции на растущем рынке компания должна прилагать гораздо более серьезные, чем на зрелом рынке, маркетинговые усилия и осуществлять более масштабные инвестиции в развитие новых продуктов. Чем быстрее растет рынок, тем больше ресурсов требуется от компании, чтобы сохранить существующую долю на этом рынке. Если компания не инвестирует в достаточном объеме, ее доля на таком рынке, скорее всего, начнет уменьшаться. Таким образом, в условиях растущего рынка риск утраты собственной позиции для компании гораздо выше, чем на медленно растущем рынке. Поэтому для сохранения своей позиции в такой ситуации компания, использующая оборонительную стратегию, вынуждена идти на серьезные расходы.

Анализ статистики влияния маркетинговых стратегий на прибыль компаний (PIMS - Profit Impact of Marketing Strategies) показывает, что при росте рынка на 1% изменение доли компании, оперирующей на нем, составляет в среднем -0,4%. Это означает, что если рынок растет на 10% в год, то сокращение доли рынка компании, не реализующей соответствующую оборонительную стратегию, составит 4% в год. Если компания контролирует 20% от общего объема рынка и этот рынок растет на 10% в год, то доля рынка этой компании за пять лет сократится на 4%, если не будут предприняты меры, позволяющие компенсировать негативный эффект от роста рынка. При росте рынка на 15% в год доля отдельно взятой компании на этом рынке будет уменьшаться еще быстрее (см. рис. 5).

Рис. 5. Темпы роста рынка и размывание доли отдельной компании

Можно предположить, что влияние роста рынка на величину доли компании может быть неодинаковым в разных секторах экономики. Рис. 5 показывает, что на деле эта зависимость везде примерно одинакова. Можно утверждать, что влияние темпов роста рынка на размывание доли отдельных компаний на этом рынке сопоставимо для разных отраслей.

Инвестировать для защиты позиции лидера на рынке

Компании-лидеры, например, Eastman Kodak, Campbell Soup, Cisco Systems, имеют сильную позицию на рынке, где получают значительную долю от своей совокупной прибыли и выручки. От результатов работы на этом рынке серьезно зависят операционные показатели каждой из компаний в целом. Оборонительные стратегии, направленные на защиту доли ключевого рынка, позволяют обеспечить краткосрочную прибыльность компании и гарантируют наличие средств для инвестирования в реализацию наступательных стратегий с целью роста и увеличения прибыльности в долгосрочной перспективе.

Сложно представить, что обладание большой долей рынка может препятствовать сохранению своей доли. Однако статистика показателей влияния маркетинговых стратегий на прибыль (PIMS) показывает, что существует обратная зависимость между скоростью изменения доли рынка компании и размером этой доли. Как показано на рис. 6, у среднестатистической компании наблюдается снижение доли на рынке в размере примерно -0,08% на каждый процент доли. Это означает, что компания, контролирующая около 30% рынка, может ожидать, что ее доля будет сокращаться на 2,4% в год. Через пять лет ее доля рынка составит 26,5%. Компания, контролирующая всего 10% от общего рынка, понесет меньшие потери - ее доля гораздо меньше, и за пять лет она уменьшится до 9,6%.

Рис. 6. Размывание доли рынка и существующая доля рынка компании

Таким образом, сохранение контроля над значительной долей рынка даже без учета влияния внешних факторов, ведущих к размыванию доли рынка, таких как рост объема рынка в целом, действия существующих конкурентов или появление новых игроков, требует от компаний серьезных инвестиций. Становится понятно, насколько серьезно существующая позиция компании на рынке и скорость роста самого рынка влияют на размывание доли рынка компании. В свое время подобное влияние ощутили на себе Eastman Kodak, IBM, АТ&Т, General Motors и другие крупные компании. По статистике, корреляция между размером доли рынка компании и скоростью изменения этой доли приблизительно одинакова для разных отраслей бизнеса (рис. 6). Как мы уже видели, подобная зависимость существует и в ситуации растущего рынка.

Для того чтобы успешно контролировать значительную долю рынка, компании должны постоянно повышать конкурентные преимущества и предпринимать новые шаги в области маркетинга. Компания-лидер, решая сократить в текущем году маркетинговые расходы ради повышения прибыльности, рискует получить в следующем году снижение прибыли и уменьшение собственной доли рынка. Компании-лидеры должны: 1) постоянно инвестировать в развитие новых продуктов, 2) совершенствовать продукты и услуги быстрее, чем конкуренты, и 3) поддерживать маркетинговые расходы на уровне, достаточном для сохранения позиции на рынке .

Инвестировать для защиты второстепенной позиции на рынке

Разумеется, не всякая компания может быть лидером рынка. На рис. 7 представлены 4 варианта структуры рынка, каждый из которых включает и лидеров, и последователей. Компания, занимающая второе место по размеру доли рынка, но не сильно отстающая от лидера (рынок II), оказывается в ситуации непростого выбора. Должна ли она атаковать лидера, используя наступательную стратегию увеличения доли рынка? Или ей лучше защищать собственную долю и максимизировать прибыли? Многое зависит от того, насколько сильна позиция лидера рынка и его решимость отстаивать существующую позицию, а также от того, какими ресурсами располагает компания-последователь и каков запланированный уровень прибыльности. На основе этих факторов принимается решение о выборе той или иной стратегии. Что представляет собой успешная стратегия для компании-последователя, занимающей второе место на рынке?

Рис. 7. Структура рынка и позиция существующих игроков

На рис. 8 представлено описание двух среднестатистических компаний-последователей, занимающих второе место на рынке, - одна из них добилась прибыльности выше среднего уровня, а другая показывает прибыльность ниже среднего уровня. С точки зрения конкурентных преимуществ компания с более высоким уровнем прибыльности добивается и более высокого качества продукции, благодаря чему создает большую ценность для потребителей, реализует товар по более высокой цене и получает более высокую маржу. Такие компании более агрессивно инвестируют в маркетинг - расходы на маркетинг у них выше и как процент от выручки, и в абсолютном выражении по сравнению с аналогичными расходами конкурентов. В результате увеличивается и доля рынка, и процент использования производственных мощностей и прочих ресурсов.

Рис. 8. Стратегии более и менее успешных компаний-последователей

Компании-последователи больше других инвестируют в исследования и разработки, если считать в процентах от выручки. Благодаря этому компании получают технологические преимущества, что, как правило, выражается в более высоком качестве продукции. Таким образом, компании-последователи, добившиеся высокого уровня прибыльности, защищают свою позицию на рынке с помощью инвестиций в исследования и разработки, а также в маркетинг. Как мы уже говорили, без подобных инвестиций бизнес не может поддерживать собственное положение даже на медленно растущем рынке.

Инвестировать для защиты нишевой позиции на рынке

Стратегическое решение о том, основывать ли развитие компании на долгосрочном наступательном или оборонительном маркетинговом плане, приходится принимать и компаниям, работающим в узкой нише рынка. Например, одна из нишевых компаний, представленных на рис. 7, может сделать выбор в пользу наступательной стратегии, чтобы попытаться конкурировать с лидерами рынка. А может быть, ситуация на рынке вынудит компанию использовать оборонительную стратегию, чтобы защитить свою нишу. Во многих случаях нишевые компании по сути - те же лидеры, работающие в более узком сегменте общего рынка. И лидеры, и компании-последователи, и нишевые компании могут в определенных ситуациях использовать оборонительные стратегии, чтобы защитить свое положение на рынке.

В отдельной нише рынка может работать как небольшой бизнес, ресурсы которого ограниченны, так и крупная фирма, получающая высокую прибыль в небольшом сегменте, не стремящаяся доминировать на рынке . В обоих случаях компания является лидером в своей нише, но ее доля в рамках рынка в целом невелика по сравнению с долей лидера. Перед компанией, лидирующей в отдельной нише, встают те же задачи, связанные с защитой собственной позиции, что и перед лидером рынка.

На рис. 9 представлено описание двух среднестатистических компаний - одна из них контролирует серьезную долю рынка, а доля другой невелика. Как видим, эти компании имеют лишь два сходства: относительное качество продукта и относительные расходы на продвижение товара. Компания должна стремиться не только к более высокому качеству продукта, но и к максимальному охвату рынка и как можно более частым контактам с потребителем - это решающие факторы успешной деятельности любой компании, независимо от того, насколько велика ее доля рынка.

Рис. 9. Стратегии для прибыльных бизнесов - лидеров рынка и нишевых компаний

Для того чтобы добиться более высокой прибыльности, чем в среднем по отрасли, нишевая компания должна минимизировать издержки . Так как компания оперирует лишь в узкой нише, ее ассортимент довольно узок, издержки по созданию новых продуктов невелики, рекламные расходы ниже, чем у конкурентов. Кроме того, цены на продукцию такой компании могут быть несколько ниже, чем цены конкурентов. Если принять среднюю цену в товарной группе за 100, то цена на продукцию нишевой компании окажется на уровне 96. А вот качество продукции по сравнению с тем, что предлагают конкуренты, можно оценить примерно на 123 (если средний уровень принять за 100). Получается, что продукция успешной компании, работающей в определенной нише, имеет вполне осязаемую ценность для потребителей:

Потребительская ценность = относительные преимущества - относительная цена = 123 - 96 = 27

Как показано на рис. 10, компания, работающая в отдельной нише и поэтому контролирующая лишь небольшую долю рынка, создает для потребителя большую ценность, а потому оказывается более прибыльной. Такой бизнес добивается более высокой прибыли по сравнению с компанией, владеющей большей долей рынка, но ценность продукции которой в восприятии потребителей невелика. Для достижения успеха в отдельной нише рынка компания должна добиться точного соответствия свойств продукта потребностям целевой аудитории, обеспечить оптимальный охват выбранной аудитории и убедить потребителей в том, что предлагаемая продукция обладает высокой ценностью.

Рис. 10. Восприятие ценности продукта потребителями, доля рынка и прибыльность

Оборонительная стратегия 1В: удержать потребителя

Защита собственной доли рынка - это оборонительная стратегия, благодаря которой многие компании стали успешными. Однако решение сохранять контроль над 30% рынка может по-разному влиять на прибыльность компании в зависимости от того, какова доля удержанных клиентов.

Рассмотрим в качестве примера две компании, для каждой из которых средняя маржа на одного потребителя составляет $400 в первый год и растет на $25 каждый год, пока потребитель использует продукты или услуги компании. Предположим также, что привлечение нового потребителя обходится каждой компании в $500, а удержание существующего потребителя требует $100 в год. Как показано на рис. 11, имея 75% удержанных потребителей, компания сохраняет потребителя в среднем на 4 года. Если этот показатель составляет 80%, то потребитель продолжает использовать продукты или услуги компании в среднем пять лет. Это приносит компании дополнительные $199, если дисконтировать получаемую на протяжении пяти лет маржу к показателям сегодняшнего дня.

Рис. 11. Влияние различных стратегий удержания потребителей на прибыль

чевидно, что компания, которой удается добиться более высокой доли удержанных потребителей, становится и более прибыльной, даже если ее доля рынка неизменна. Независимо от того, является ли компания лидером на рынке, последователем или оперирует в узкой нише, она может добиваться прибыли, поддерживая собственную позицию с помощью оборонительной стратегии, одновременно увеличивая количество повторных клиентов.

оборонительная стратегия № 2: оптимизировать позицию на рынке

На стадиях позднего роста и зрелости продукта маркетинговая деятельность компании на товарных рынках требует особого внимания с точки зрения оптимизации и эффективности. Как показано на рис. 12, именно на поздних стадиях развития продукта компания добивается максимальной прибыли от реализации. В тот момент, когда объем производства приближается к максимально возможному для конкретного рынка, но маржа при этом остается высокой, компании удается получать максимальную прибыль. По мере замедления роста продаж необходимо начать уменьшение маркетинговых расходов. Как показано на рис. 13, при правильном управлении объемом продаж, размером маржи и маркетинговыми расходами компания может добиваться максимальной прибыли в течение всего жизненного цикла продукта. Если компания инвестирует в маркетинг слишком много или неверно управляет ценой и маржой, то на поздних стадиях развития продукта она рискует упустить возможность получения максимальной прибыли.

Рис. 12. Жизненный цикл продукта и рентабельность маркетинга

Рис. 13. Жизненный цикл продукта и факторы рентабельности маркетинга

Оборонительная стратегия 2А: максимизировать чистую эффективность маркетинговых мероприятий

Эта стратегия предполагает продуманное управление маржой и эффективное использование маркетинговых ресурсов. На поздних стадиях жизненного цикла продукта компания уже не может себе позволить ни ошибки в определении цены, ни излишние маркетинговые затраты на продукт - в отличие от ранних стадий развития продукта, когда подобные промахи несложно исправить, увеличив объем продаж. Для достижения максимальной эффективности маркетинговых мероприятий компания должна обеспечить оптимальное соотношение маржи и цены, а не цены и объема продаж.

Стратегии, основанные на сбалансированности цены и объема продаж, используемые на ранних стадиях развития продукта, обеспечивают рост объема продаж, выручки и более высокую отдачу от маркетинговых вложений. На стадиях же позднего роста и зрелости снижение цен, а значит, и снижение маржи, не даст роста объема продаж. Дело в том, что возможности для роста рынка на этом этапе серьезно ограничены, и конкуренты, скорее всего, воспользуются падением объема продаж. Стратегическая маркетинговая задача - найти правильную комбинацию маржи и объема, при которой валовая прибыль была бы максимальной:

Валовая прибыль = объем (единиц товара) х маржа на единицу товара = рыночный спрос х доля рынка х (цена - переменные издержки)

Управление размером маржи - это первый шаг к оптимизации рыночной позиции. Например, на рынке персональных компьютеров эластичность цены для большинства позиций составляет около -2. Маржа от продажи большинства персональных компьютеров составляет не более 20%. По мере приближения рынка персональных компьютеров к стадии зрелости компаниям, оперирующим на этом рынке, стоит пересмотреть ценовую политику, чтобы оптимизировать прибыль в условиях замедляющегося роста. На рис. 14 показано, как изменится прибыль, если компания решает понизить цены на 10% с целью увеличения объема продаж и оптимизации позиции на рынке. Предположим, что персональный компьютер продается за $2000, маржа равна 20%, ценовая эластичность составляет -2.

Рис. 14. Влияние изменения цен на персональные компьютеры на прибыль от их продажи

Как видим, в результате снижения цены объем продаж увеличится на 20%, доля рынка увеличится на 1%, выручка вырастет на $16 млн. В компании, ориентированной на максимизацию продаж, такой результат был бы воспринят как серьезный успех. Однако из-за уменьшения маржи, связанного с падением цены, компания на самом деле заработает на $16 млн меньше.

Если в условиях зрелого рынка компания изберет стратегию увеличения цены на 10%, это приведет к снижению объемов продаж, уменьшению доли рынка и снижению выручки. Тем не менее такая оборонительная стратегия позволит компании получить дополнительные $8 млн валовой прибыли. Если приоритетной стратегической задачей является оптимизация рыночной позиции и максимизация прибыли, тогда имеет смысл повышать цену. Снижение маркетинговых расходов на этом этапе жизненного цикла продукта может также повысить эффективность маркетинговых мероприятий:

Чистая эффективность = валовая прибыль - маркетинговые расходы = маркетинговых = валовая прибыль - (издержки по привлечению потребителей + мероприятий + издержки по удержанию потребителей)

В условиях снижения рыночного спроса необходимо сократить инвестиции в маркетинг, связанные с привлечением новых потребителей, и сконцентрировать основные маркетинговые расходы на удержании существующих потребителей. Вспомним, что привлечение новых потребителей обходится компании в 5-10 раз больше, чем удержание уже существующих. Кроме того, на рынке, который приближается к пику своего потенциала, появляется все меньше новых потребителей. На этом этапе компания должна стремиться поддерживать существующую долю рынка при минимальных маркетинговых расходах, если доля удержанных потребителей уже достаточно велика. При небольшом количестве удержанных потребителей компания не сможет добиться максимальной прибыли, так как ей придется тратить слишком много на привлечение новых клиентов, чтобы поддержать существующий объем продаж и сохранить собственную долю рынка.

Оборонительная стратегия 2В: сузить рыночный фокус

Как показано на рис. 4, сложившийся портфель продуктов компании может допускать использование различных оборонительных стратегий.

Должна ли компания инвестировать для усиления своих конкурентных преимуществ? Или тратить больше на защиту собственной доли рынка? Или сконцентрировать усилия на более узком сегменте для максимизации прибыли? В зависимости от ситуации на рынке любая из упомянутых стратегий может обеспечить достижение цели.

Стратегия, связанная с сужением рыночного фокуса, наиболее оправдывает себя в двух ситуациях: когда компания не обладает достаточным количеством ресурсов для инвестирования, чтобы защитить существующую позицию на рынке, или когда концентрация на более узком сегменте может обеспечить компании более высокую прибыль.

Фокусирование на более узком сегменте рынка требует стратегии оборонительного характера, которая предполагает сужение рыночного фокуса и уменьшение доли рынка ради повышения прибыльности. При таком подходе вероятно снижение выручки и уменьшение маркетингового бюджета, но при этом компания может добиться более высокого уровня прибыльности по отношению к объему выручки . Как показано на рис. 15, смысл сужения рыночного фокуса - в повышении эффективности. В этой ситуации инструменты, традиционные для массового рынка, оказываются менее действенными, чем сужение рыночного фокуса. Хотя при использовании новой стратегии объем продаж и прибыль снижаются, отдача от маркетинговых мероприятий компании повышается с 2 до 3 долларов на каждый доллар, затраченный на маркетинг. Компании приходится сокращать объем продаж ради повышения эффективности и прибыльности.

Рис. 15. Избирательный рыночный фокус, маркетинговые ресурсы и маркетинговая продуктивность

Оборонительная стратегия № 3: максимизировать выручку, уходить с рынка

В жизненном цикле любого товарного рынка наступает момент, когда рынок начинает терять привлекательность. Теперь компания должна сконцентрировать усилия на управлении краткосрочной прибылью, независимо от конкурентных преимуществ. На некоторых зрелых или угасающих рынках компания может обеспечить существенный денежный поток, используя оборонительную стратегию максимизации выручки. В других случаях лучшей оборонительной стратегией может быть постепенный уход с рынка (то, что мы в предыдущих главах называли «пожинать плоды») или быстрый выход с рынка (нередко связанный с реализацией некоторых активов). В любом случае оборонительная стратегия разрабатывается для максимизации денежного потока в краткосрочной перспективе.

Оборонительная стратегия 3А: обеспечить необходимый денежный поток

На многих рынках, достигших зрелости, спрос остается существенным долгие годы. Не имея возможности оптимизировать позицию на рынке, компания может принять решение все же остаться на нем с целью извлечения краткосрочной прибыли. Такая оборонительная стратегия требует лишь минимальных маркетинговых ресурсов и чаще всего предполагает снижение цен. Многие компании продают товары, достигшие стадии зрелости, именно так - по цене ниже, чем у конкурентов, и без дополнительных услуг. Как правило, такие товары не рекламируются и нередко продаются без отсрочки платежа. Цель продавца - максимизировать прибыль в ближайшей перспективе. Через некоторое время наступает момент, когда и эта тактика исчерпывает себя. Тогда компания принимает решение уходить с рынка.

Оборонительная стратегия 3В: постепенный или быстрый уход с рынка

В какой-то момент у компании с определенным составом портфеля продуктов может возникнуть необходимость покинуть рынок. В этом случае компания должна сделать выбор между медленным уходом (пожинать плоды) и быстрым выходом (прекратить деятельность на рынке и реализовать активы). Если постепенный уход обещает дополнительные прибыли, есть смысл выбрать именно эту стратегию и получить дополнительную прибыль. Но если компания уже теряет средства, целесообразно быстро прекратить операции и уступить свою долю рынка. В этом случае прибыль в краткосрочной перспективе также повышается, так как компания перестает терять деньги.

Постепенный уход с рынка: цена

Если компания продолжает работать на рынке, который перестал быть для нее привлекательным и где ее конкурентные преимущества не так сильны, ее стратегическая позиция постепенно ослабевает, а прибыль начинает стремительно уменьшаться . Когда стратегия сужения фокуса не обеспечивает желаемых операционных результатов, стоит задуматься об уходе с рынка. Однако вместо того чтобы уступить свою долю конкурентам и прекратить операции, компания может попробовать следующую краткосрочную стратегию: систематически поднимать цены и снижать маркетинговые затраты .

Например, рассмотрим ситуацию, представленную на рис. 16. Два из пяти продуктов компании, оперирующей в химическом секторе, не приносят достаточно выручки, чтобы покрыть расходы на маркетинг, связанный с ними. Конкурентные преимущества компании в целом находятся на среднем уровне. Рынок при этом становится все менее привлекательным. По мнению руководства, наилучший выход в данной ситуации - продать бизнес. Но быстро найти покупателя не удается, поэтому принято решение использовать стратегию постепенного ухода с рынка.

Рис. 16.

Цена на силиконовые пигменты, основные и специализированные продукты сразу была поднята на 10-19%. Одновременно цены на основные цвета и усилители цвета поднялись сначала на 10%, а через 6 месяцев - еще на 10%. В целом цена на основные цвета возросла на 22,5%, а на усилители цвета - на 25%. Кроме того, были снижены маркетинговые расходы. Реакция рынка была вполне предсказуема. Объем продаж силиконовых пигментов, основных и специализированных продуктов упал на 14-18%. Продажи значительно прибавивших в цене основных цветов и усилителей цвета сократились на 33% и 35% соответственно. Однако через 18 месяцев отток потребителей замедлился. Как показано на рис. 17, рост цен частично компенсировал потерю объема продаж - выручка упала с $183 млн до $170 млн. Более того, каждый из продуктов теперь обеспечивал положительную маркетинговую эффективность. Общая эффективность маркетинга увеличилась более чем вдвое, с $16 млн до $36,1 млн.

Рис. 17. Операционные результаты компании, производящей химическую продукцию

При таких операционных показателях оказалось совсем несложно найти покупателя. Вы можете спросить, почему, добившись прибыли, компания не продолжила работу в этом сегменте. Во-первых, уровень прибыльности по-прежнему был ниже, чем в среднем по компании. Деятельность этого подразделения негативно влияла на показатели работы компании в целом и уменьшала акционерную стоимость. Во-вторых, рынок оставался непривлекательным, и компания не отказалась от своих намерений использовать высвобождающиеся ресурсы на более привлекательном рынке.

Постепенный уход с рынка: маркетинговые ресурсы

Во многих случаях компания не имеет возможности поднять цены, чтобы максимизировать краткосрочную прибыль. Например, цены на прохладительные напитки поднять непросто. В этом случае компания может принять решение снизить маркетинговый бюджет на подобные продукты и уменьшить свою долю рынка. Например, бренд прохладительных напитков Slice, выпускаемых PepsiCo, имеет небольшую долю рынка и лишь минимальный маркетинговый бюджет. Доля этого бренда составляет менее 5% от всего сегмента напитков на основе лимона и лайма - сравните со Sprite, который занимает 56% этого сегмента. Pepsi пыталась с помощью разных стратегий оживить бренд или изменить его позиционирование, но доля рынка оставалась небольшой. Перестав расходовать средства на маркетинговую поддержку Slice, Pepsi пытается получить максимально возможную прибыль от реализации напитков под этим брендом, постепенно уходя с рынка.

На рынках потребительских товаров, где рекламная активность конкурентов велика, компания рискует потерять значительную часть рынка, уменьшая рекламный бюджет. Статистика, основанная на данных исследования влияния маркетинговых стратегий на прибыль компании (PIMS), показывает, что скорость изменения доли рынка компании находится в прямой зависимости от изменения размера рекламного бюджета. Ниже мы приводим расчет скорости уменьшения доли рынка компании после сокращения рекламного бюджета на 25% в течение трех лет. Если доля рынка в первый год составляла 10%, то через три года в результате снижения маркетинговой активности она уменьшится до 9,6%:

Доля рынка = доля рынка (1,00 + (0,05 х изменение рекламного бюджета))3 = (3 года) = 10% х (1,00 + (0,05 х (- 0,25)) = 10% х (1,00 - 0,0125)3 = 10% х 0,96 = 9,6%

Если рекламный бюджет достаточно велик, такая стратегия может обеспечить серьезную экономию. Пока продукт приносит адекватную маржу, компания может повышать краткосрочную прибыль, снижая маркетинговые издержки и постепенно уменьшая долю рынка. Прибыль, получаемая от операций на рынке, который решено постепенно покинуть, как правило, реинвестируется в более привлекательные товарные рынки.

Быстрый уход с рынка

Одно из самых сложных решений для любой компании - немедленно избавиться от продукта, который перестал быть привлекательным, и попытаться реализовать некоторые активы. Очень сложно прекратить производство продуктов, с которых компания начинала свою деятельность, а также тех, в которые вложено много средств и сил. В результате компании слишком долго пребывают в невыгодной рыночной позиции со слабыми или весьма посредственными конкурентными преимуществами.

На рис. 18 представлен ассортимент часов и таймеров, которые General Electric производила в конце 1970-х годов. Многие из них продавались на малопривлекательных рынках, имели слабые конкурентные преимущества. Со временем компания отказалась от всех этих продуктов, так как ни один из них не соответствовал ее общим операционным задачам.

Рис. 18. Стратегия General Electric по выходу с непривлекательных рынков

Выход компании из того или иного сегмента рынка осуществляется путем продажи этой части бизнеса либо путем прекращения операций и распродажи активов. В большинстве случаев компании стремятся найти покупателя на действующий бизнес. Такой подход, как правило, обеспечивает более высокую выручку от реализации и сохраняет рабочие места для персонала.

Стратегия быстрого ухода с рынка не всегда может быть реализована. К примеру, компания, подписавшая контракт с государством на 25 лет на производство военных ракет, не сможет быстро прекратить работу - у нее есть обязательство совершать поставки в течение определенного срока. Производителям фармацевтической и иной медицинской продукции, которая может быть жизненно важна для потребителей, тоже иногда сложно прекратить операции - по этическим или юридическим соображениям. Да и без таких ограничений быстрый уход с рынка, если не удается найти покупателя, оказывается крайне сложным.

Выбор оборонительной стратегии

Рассмотрим компанию, привлекательность портфеля продуктов которой ниже, чем в среднем на рынке, и конкурентные преимущества которой не выделяют ее на фоне других участников рынка. Чистая эффективность маркетинговых мероприятий составляет $25 млн в год. Компания получает неплохую прибыль, но при отсутствии серьезных конкурентных преимуществ и на недостаточно привлекательном рынке использовать наступательную стратегию для увеличения собственной доли было бы неразумно. Но и при существующем положении компания получает прибыль, поэтому говорить о постепенном уходе с рынка пока рано. Остается две альтернативы: защита существующей доли или сужение рыночного фокуса.

Из рис. 19 видно, что если компания решает использовать стратегию защиты собственной доли рынка, ей придется инвестировать в маркетинг, исследования и разработки, чтобы сохранить контроль над 30% рынка. В этой ситуации можно ожидать, что в течение трех ближайших лет компания получит $240 млн в качестве выручки. Чистая эффективность маркетинговых мероприятий составит $30 млн; однако и маркетинговые расходы потребуют $30 млн. Получается, что при реализации стратегии, направленной на защиту существующей доли рынка, продуктивность маркетинговых мероприятий составит 1,0 - расходы равны эффективности.

Рис. 19. Выбор между двумя альтернативными оборонительными стратегиями

Возможна и другая стратегия - сузить рыночный фокус и сконцентрироваться на более узком сегменте. Реализуя эту стратегию, компания намеренно сократит собственную долю с 30% до 20%. При этом средняя цена и маржа на единицу товара возрастут, а расходы на маркетинг сократятся. В результате выручка уменьшится на $60 млн, но чистая эффективность маркетинговых мероприятий увеличится с $30 млн до $40 млн. При расходах на маркетинг в 20 млн продуктивность маркетинговых мероприятий составит 2,0 - вдвое больше, чем при стратегии защиты существующей доли рынка.

Компании сталкиваются с огромным разнообразием маркетинговых ситуаций и должны иметь четко определенный набор операционных целей. Некоторые из этих целей относятся к краткосрочным, другие оказываются более долгосрочными. Сформулировав операционные цели и определив свое место на каждом отдельном рынке, компания должна выработать комплекс стратегических планов, в который, как правило, входят и наступательные, и оборонительные стратегии. Наступательные стратегии предназначены в большей степени для роста и увеличения доли рынка, а оборонительные позволяют обеспечить краткосрочную прибыльность и защитить существующую позицию на рынке. И те и другие одинаково важны для достижения операционных целей бизнеса.

Резюме

Компании имеют краткосрочные обязательства перед инвесторами - достичь финансовых результатов, связанных с ростом и уровнем прибыльности. В то же время интересы инвесторов и сотрудников любой компании предполагают необходимость комплекса стратегических планов, призванных улучшить положение компании в долгосрочной перспективе. Основное предназначение оборонительной стратегии - защитить позиции компании на стратегических рынках, одновременно обеспечив краткосрочный рост и прибыльность в соответствии с поставленными перед компанией задачами.

Оборонительные стратегические планы непосредственно определяют уровень прибыльности, которого компания может достичь в краткосрочной перспективе, и позволяют защитить существующую рыночную позицию компании для обеспечения прибыли в будущем. Как правило, компаниям приходится использовать оборонительные стратегии для защиты позиций на стратегически важных рынках. Например, компания может решить защищать свою долю на привлекательном для нее рынке, где ее конкурентные преимущества сильнее, чем у остальных игроков. Оборонительная стратегия защиты доли рынка может также включать мероприятия по удержанию существующих потребителей. Реализация данной стратегии позволяет увеличить прибыль, при том что доля рынка и размер выручки остаются практически неизменными. Компания может принять решение сфокусировать усилия на более узком сегменте рынка, чтобы использовать имеющиеся ресурсы более продуктивно, сохранить позицию в выбранном сегменте и получить более высокую прибыль.

Сохранение контроля над определенной долей рынка требует дополнительных маркетинговых усилий. Рыночные факторы - скорость роста рынка, размер доли рынка, появление новых конкурентов - способствуют размыванию существующей доли рынка, если им не противопоставить спланированные действия по усилению конкурентных преимуществ или дополнительные маркетинговые мероприятия. Ослабление конкурентных преимуществ компании в области продаж новых продуктов, качества продукции и обслуживания также приводят к размыванию доли рынка компании - как и снижение коммерческой активности и эффективности маркетинговых коммуникаций.

В условиях менее привлекательных рынков, находящихся на стадии позднего роста или зрелости, возможности для дальнейшего роста бизнеса становятся все более ограниченными, а маржа снижается. Компания может принять решение об отказе от оборонительной стратегии «инвестировать для защиты доли рынка» в пользу другой стратегии - «инвестировать для оптимизации позиции на рынке». Стратегия максимизации прибыли может предполагать повышение цен и уменьшение как объемов продаж, так и выручки, и/или сокращение маркетинговых расходов до уровня, достаточного лишь для удержания существующих потребителей. Используя стратегию концентрации на более узком сегменте, компания идет еще дальше, поднимая цены так, чтобы сократить число потребителей до оптимального и обеспечить более высокие прибыли на единицу продукции при уменьшении объема продаж.

Оказавшись на непривлекательном рынке или имея незначительные конкурентные преимущества, компания может принять решение об уходе с рынка. Если операции на этом рынке могут приносить прибыль в краткосрочной перспективе, стоит использовать стратегию постепенного ухода. Такая стратегия предполагает повышение цен или сокращение маркетинговых расходов, а иногда и то и другое. Реализация такого оборонительного стратегического плана позволяет компании постепенно прекращать операции на рынке, не теряя при этом прибыли. Если же компания уже теряет деньги на каком-то из рынков или хотела бы освободить используемые ресурсы для реинвестирования в более привлекательной области, есть смысл прекращать операции немедленно. Стратегия быстрого выхода с рынка, как правило, предполагает продажу части бизнеса, связанной с непривлекательным рынком, с целью максимизации выручки от реализации материальных и нематериальных активов. Если осуществить продажу не удается, компания обычно принимает решение просто прекратить операции. Однако в некоторых случаях прекращение операций на непривлекательном рынке оказывается невозможным в силу юридических или этических соображений. Нередко компании слишком долго не решаются расстаться с частью бизнеса, которая давно перестала быть эффективной. Не освободив ресурсы вовремя, компания упускает возможность реинвестирования в реализацию наступательных стратегий на более привлекательных рынках, которые могли бы обеспечить рост выручки, увеличение доли рынка и повышение уровня прибыльности бизнеса в будущем.

Рыночная логика и стратегическое мышление

Как оборонительные стратегии способствуют реализации операционных целей компании (объем продаж, доля рынка, прибыльность)?
В чем различие между наступательными и оборонительными стратегиями?
Почему защитить долю в условиях растущего рынка сложнее, чем на медленно растущем или не растущем рынке?
Почему компаниям-лидерам приходится работать больше, чем их последователям, чтобы защитить собственную долю рынка?
Какие аспекты операционной деятельности позволяют компании-последователю достичь того же уровня прибыльности, которого может достичь лидер рынка?
На какие аспекты позиционирования и маркетинговых усилий нужно обратить особое внимание для того, чтобы достичь высокого уровня прибыльности при намеренном сужении рыночного фокуса в рамках отдельной ниши?
Компания, ценность продукции которой для потребителя достаточно высока, может добиться высоких прибылей, используя нишевую стратегию сужения рыночного фокуса. Почему?
Как оборонительные стратегии влияют на долгосрочную позицию компании на рынке и уровень прибыльности?
Сравните оборонительную стратегию, направленную на защиту доли рынка компании, со стратегией ухода с рынка. Как каждая из них влияет на краткосрочную прибыль и позицию компании на рынке?
Почему компания решает использовать стратегию сужения рыночного фокуса и концентрирует усилия на отдельном узком сегменте рынка?
Каковы основные задачи стратегии, связанной с максимизацией денежного потока?
При каких условиях компания принимает решение уйти с рынка, вместо того чтобы продолжать защищать свою долю?
Когда компания должна использовать стратегию постепенного ухода с рынка и как такая стратегия влияет на прибыльность компании в краткосрочной перспективе?
Когда компания должна использовать стратегию быстрого ухода с рынка и как такая стратегия влияет на прибыльность компании в краткосрочной перспективе?
Почему компании продолжают поддерживать проекты, которые занимают наименее выгодные позиции в общем портфеле продуктов, вместо того чтобы просто уйти с этих рынков?

Инструменты маркетинга: оценка эффективности

Доступ к каждому из указанных инструментов эффективности маркетинга можно получить на сайте rogerjbest.com или prenhall.com/best.

Donald Potter, “Strategy to Succeed in Hostile Markets,” California Management Review (Fall 1994): 65-82.

Sidney Schoeffer, “Market Position: Build, Hold or Harvest,” PIMS Letter No. 3 (1978): 1-10.

Philip Kotler and Paul Bloom, “Strategies for High-Market Share Companies,” Harvard Business Review (November-December 1975): 63-72.

Donald Clifford and Richard Cavanagh, The Winning Performance: How America’s High and Mid-Size Growth Companies Succeed (New York: Bantam Books, 1985).

Carolyn Woo and Arnold Cooper, “The Surprising Case for Low Market Share,” Harvard Business Review (November-December 1982): 106-113.

Robert Linneman and John Stanton Jr., “Mining for Niches,” Business Horizons (May-June 1992): 43-51.

Robert Hamermesh and Steven Silk, “How to Compete in Stagnant Industries,” Harvard Business Review (September-October 1979): 161-168.

V. Cook and R. Rothberg, “The Harvesting of USAUTO?” Journal of Product Innovation Management (1980): 310-322.

Kathryn Rudie Harrigan, “Strategies for Declining Businesses,” Journal of Business Strategy (Fall 1980): 27.

George Seiler, “Colorful Chemicals Cuts Its Losses”, Planning Review (January-February 1987): 16-22.

Бухгалтеру о налогах и кадрах. Налоги, бухгалтерия, отчетность, ККМ