(в документе рассматриваются вопросы обеспечения доступности).
Бизнес компании сосредоточен именно на бизнесе, на получении прибыли, а не на ИТ или ИБ. Используемые в компании меры и средства по защите данных должны быть направлены на управление информационными бизнес-активами. Проведение простого анализа данных, в отрыве от их ценности для бизнеса, может дать неадекватные результаты. В настоящем документе рассматривается подход к оценке данных с точки зрения их критичности для бизнеса, а также к выбору эффективной стратегии защиты данных компании.
Обзор
Защита данных и приложений компании включает в себя гораздо больше, чем просто выполнение рутинных операций резервного копирования. Защита информационных бизнес-активов должна обеспечиваться на протяжении всего их жизненного цикла – с точки зрения сохранения, восстановления и обеспечения доступности. Рациональный и эффективный подход к защите данных может помочь компании быстрее адаптироваться к изменениям и расширению возможностей. Например:
- Обеспечить постоянную работу приложений, возможность обслуживания клиентов, создать благоприятные условия для бизнеса компании.
- Мминимизировать тяжесть последствий и продолжительность их влияния в случае потери файлов или возникновения чрезвычайной ситуации.
- Реализовать экономически эффективные меры, направленные на соблюдение требований безопасности, которым должна соответствовать компания, снизить риски и стоимость обеспечения этого соответствия.
Управление данными
Частота изменений: Динамические и Статические
Задумайтесь на минуту о данных и их значении для бизнеса. Наверняка в вашей компании есть файлы, которые используются и изменяются ежедневно. Например, когда вы используете систему ERP или бухгалтерские программы, они вносят изменения в свои базы данных каждый раз, когда вы открываете новый счет или вводите данные очередной транзакции. Это называется динамическими данными.
Кроме них есть файлы, которые никогда не изменяются после своего создания. Примером может служить текст коммерческого предложения, которое вы только что написали и отправили потенциальному клиенту. Другим примером могут быть фотографии, видеозаписи, файлы презентаций, отчеты и т.п. Такие данные называются статическими . Скорее всего, как и у большинства других компаний, в вашей компании больше статических данных, чем динамических.
Критичность для бизнеса
Еще одним аспектом, который нужно обдумать, является степень важности (критичности, ценности) этих данных для бизнеса. Некоторые данные имеют критическое значение – бизнес компании будет разрушен в случае их утраты (это может быть потеря доходов, правовые последствия и т.д.).
Какие данные являются критичными для компании, зависит от нее самой. Для некоторых компаний, самым критичным ресурсом является электронная почта, для других – данные учета операций с клиентами и контрагентами. Самый простой способ определить, какие данные критичны именно для вашей компании, это задать себе и руководителям подразделений компании вопрос: «что произойдет, если это приложение отключится или данные будут утрачены? Что произойдет, если мы не сможем сразу восстановить приложение или данные?» .
Наверняка в компании есть и некритичные данные. Например, черновики подготовленной вами презентации, маркетинговые материалы проведенной рекламной компании и т.п. Вряд ли компания прекратит свою работу, если вы не сможете быстро получить доступ к таким данным.
Подход к выбору стратегии защиты данных
Шаги Процесса определения стратегии защиты данных
Как мы уже говорили, ключ к реализации эффективной и результативной стратегии защиты данных компании заключается в том, чтобы сначала проанализировать и определить ценность этих данных. Только тогда можно будет установить четкий набор бизнес-требований для их защиты. Если вы потратите время, чтобы понять данные и определить бизнес-требования по их защите, вы получите значительные преимущества. Если вы все сделаете правильно, вы сможете обеспечить высокую доступность приложений, что поможет сотрудникам компании обслуживать клиентов, а компании - получать прибыль. Вы сможете снизить количество сбоев. Вы сможете получать своевременный доступ к архивным данным для обеспечения соответствия внешним требованиям или для их использования в новых приложениях.
1. Определить набор «Классов данных»
Классы данных – это группы данных, которые имеют схожий уровень критичности для бизнеса, а также похожую частоту изменений. Будет довольно затруднительно использовать отдельный подход для защиты каждого набора данных. Группировка данных в классы, в которых данные имеют аналогичные характеристики, позволит вам реализовать менее сложную стратегию.
Как уже говорилось ранее, самый простой способ классифицировать данные, заключается в определении критичности и частоты изменений для всех основных наборов данных, с последующим выявлением общих признаков в результатах. Классификация данных в вакууме, основываясь на одних предположениях, может обернуться сплошными проблемами. Вам необходимо привлечь других сотрудников компании к проведению классификации данных (например, руководителей бизнес-подразделений, обслуживающий персонал и т.д.). Вам, безусловно, придется пойти на некоторые компромиссы, чтобы ограничить общее количество классов данных. Для средней компании количество классов должно быть от трех до пяти.
2. Определите требования по восстановлению
Для каждого класса данных, нужно определить требования по восстановлению. Есть два основных требования, которые нужно определить:
- Целевое время восстановления (RTO – Recovery time objective). Это время от момента сбоя или аварии (потери доступа к данным) до момента восстановления работы. Это время требуется для физического восстановления данных или приложений. Управление временем восстановления данных имеет очень важное значение для компании, это время должно быть зафиксировано в виде четкого требования. Нужно стремиться к тому, чтобы максимально сократить время RTO, но необходимая для этого процедура восстановления должна оставаться экономически целесообразной для компании.
- Целевая точка восстановления (RPO – Recovery point objective). Это момент времени, на который будут актуальны данные после их восстановления. Например, если будет восстановлен файл, резервная копия которого была сделана вчера, то значение RPO равно одному дню. Точка восстановления данных, которые изменяются очень часто, также должна быть зафиксирована в виде четкого требования. Нужно стремиться к тому, чтобы точка RPO находилась как можно ближе к текущему моменту времени, но необходимая для этого процедура восстановления также должна оставаться экономически целесообразной для компании.
- Насколько быстро мы должны восстановить данные или приложение после инцидента и возобновить работу? Что случиться, если данные будут недоступны час? Два часа? Четыре часа? Восемь часов? Сутки? Неделю?
- Какое влияние окажет потеря недавно созданных данных?
3. Создайте Стратегию защиты данных
Ключевые соображения:
- Компромисс выбора решения для резервного копирования / восстановления данных. Выбор правильного решения для защиты данных компании требует определения RTO и RPO для различных классов данных. Окончательный выбор решения должен обеспечивать баланс между потребностями бизнеса и стоимостью решения.
- Вопрос архивирования статических данных
- Архив должен обеспечивать долгосрочную защиту данных для соблюдения предъявляемых к компании требований по срокам хранения документов.
- Архив должен позволять использовать исторические данные в новых приложениях.
- Отделение данных в архив (архивирование) должно повышать производительность работы систем компании. Такое повышение производительности реализуется следующими способами:
- Когда статические данные перемещаются в архив, они больше не смешиваются с динамическими данными, поэтому пропадает необходимость в их регулярном резервном копировании. В большинстве случаев это позволяет значительно снизить время создания полной резервной копии и необходимый для нее объем свободного места на резервном носителе информации. Кроме того, отделение статических данных от динамических может значительно сократить время, необходимое для поиска файлов.
- Резервное копирование на диск . Использование технологий резервного копирования динамических данных на дисковые хранилища для возможности их быстрого восстановления (а также создания копий для аварийного восстановления информации) позволит вам получить максимальную отдачу от инвестиций в защиту данных. Такой способ резервного копирования данных существенно сокращает время их восстановления, а также административные издержки на сопровождение процесса резервного копирования.
- Защита данных в режиме реального времени . Использование технологии защиты данных в режиме реального времени позволяет компании получить минимальные значения RTO и RPO. Лучшие из таких решений позволяют восстановить данные на любой момент времени с точностью до секунды, а некоторые из них также позволяют обеспечить высокую доступность для приложений, обеспечивая их отказоустойчивость и возвращая их к работе за секунды.
Насколько важны данные для вашей компании? После того как вы провели классификацию и определили соответствующие стратегии для управления каждым из них, вы можете выбрать набор решений по обеспечению защиты данных, которые лучше всего соответствуют требованиям именно вашей компании.
Выбранные вами решения по защите данных должны соответствовать потребностям компании и предоставлять экономически эффективный подход к управлению различными типами данных в среде компании. Они также должны быть:
- Простыми для внедрения и управления. Простота использования – это очень важное требование. Хотя вы понимаете необходимость защиты данных, но у вас есть множество и других обязанностей, поэтому, вероятно, у вас не будет времени на то, чтобы стать экспертом по защите данных. Мы хотим, чтобы свет включался, когда мы нажимаем на переключатель - вряд ли нам понравится, если для этого нужно будет вызвать электрика. Поэтому решение по защите данных должно быть легко внедрить и использовать в дальнейшем. Удобство использования позволит существенно сократить затраты на персонал для выполнения задач по защите данных.
- Экономически эффективными . Компания хочет свести к минимуму стоимость технологии защиты ваших данных. Лучше сделать это с помощью комбинации решений по хранению данных, которыми можно прозрачно управлять и которые смогут удовлетворить потребности бизнеса при минимально возможных затратах. Проведенная работа по идентификации и классификации данных на основе степени их критичности и частоты изменения, позволит вам купить именно то, что лучше всего соответствует потребностям вашей компании.
- Безопасность . Необходима уверенность, что ваши данные компании находятся в безопасности, обеспечивается конфиденциальность ценных данных, в т.ч. сведений о сотрудниках компании, клиентах и партнерах. Поэтому процесс создания, дальнейшего хранения и использования резервных копий данных должен обеспечивать такой же уровень безопасности, что и в основной системе, в которой они хранятся. Часто это означает необходимость шифрования данных в резервных копиях.
- Комплексность . Решение по защите данных должно быть способно автоматически учитывать потребности всех систем, использующихся в вашей среде, в т.ч. любых устройств, подключенных к сети. Компании любых размеров нередко сталкиваются с проблемами эффективности защиты данных на рабочих станциях, ноутбуках и других мобильных устройствах. Выбранное решение должно быть способно выявлять факты подключения к сети мобильных устройств и собирать необходимые сведения для обеспечения защиты.
- Масштабируемость . Продумайте вопросы, касающиеся ожидаемых изменений в компании в течение ближайших нескольких лет. При выборе решения для защиты данных обязательно учтите эти ожидания. Если существует высокая вероятность значительных изменений требований к защите данных, очень важно, чтобы выбранное решение было адаптируемым и масштабируемым. Удаление дубликатов файлов может позволить вам лучше справляться с ростом объема данных с течением времени, а также поддерживать рентабельность стратегии защиты данных.
- Надежность производителя . Следует убедиться, что производитель выбранного решения по защите данных обладает большим опытом и глубокими знаниями в этом вопросе.
Выбор решения, которое просто в развертывании и управлении, экономически эффективно, надежно, комплексно, масштабируемо и произведено надежным производителем займет немало времени. Однако это позволит успешно внедрить и использовать его, обеспечив надежную защиту данных компании. Вам не обязательно становиться экспертом по защите данных, но вы должны очень хорошо понимать потребности вашей компании в отношении защиты данных.
6. Заключительные положения
Как уже говорилось в этом документе, процесс классификации данных является первым и очень важным шагом в процессе обеспечения надежной защиты приложений и данных компании. Классификация данных должна проводиться совместно различными подразделениями компании. Слишком часто отсутствует связь между подразделениями ИТ, ИБ и теми, кто непосредственно работает с данными – руководителями бизнес-подразделений. Возьмем, к примеру, отказ сервера корпоративной электронной почты. Администратор этого сервера оценил, что для выяснения проблемы и ее исправления требуется не более 24 часов, считая это время приемлемым для компании. Однако, когда такой отказ происходит, генеральный директор начинает каждые 20 минут звонить ИТ-директору, чтобы уточнить текущее состояние решения проблемы, при этом каждый следующий их диалог содержит все меньше любезностей. Оказывается, что для компании RTO, равное для этой системы 24 часам, является неприемлемым, а принятое ИТ-департаментом решение просто не учитывало реальные потребности подразделений компании. В действительности, в этой компании корпоративная электронная почта должна была быть классифицирована, как имеющая критическое значение для бизнеса, и ее защита должна реализовываться соответствующим образом. Непонимание этого (или недостаток связи с бизнес-подразделениями), может привести к плачевным последствиям, как для отдельных сотрудников, так и для компании в целом.
Конечно, даже если корпоративная электронная почта не является «критически важной» она все равно может стать причиной проблем для ИТ-департамента и пользователей, вызванных неправильным выбором окна для резервного копирования или глубиной восстановления почты. Поэтому нужно очень внимательно и осторожно проводить классификацию данных, ведь отсутствие проблем у пользователей - это очень критичный для бизнеса вопрос. В нашем примере с сервером электронной почты, если его резервное копирование занимает несколько часов, должны использоваться специальные технологии, которые позволят не причинять пользователям проблем в процессе копирования. Если мы будем при выборе стратегии защиты данных основываться только на уровне классификации системы электронной почты (не критична для бизнеса), мы могли бы выбрать обычные средства резервного копирования. Однако это приведет к сложностям в работе пользователей, и выбранное решение будет не лучшим.
Иными словами, нужно учитывать, что помимо требований RTO и RPO, нужно учитывать и другие вопросы (например, слишком большое окно резервного копирования, неправильный выбор времени резервного копирования). Даже некритичные для бизнеса данные могут требовать внедрения определенных технологий для их защиты. Эти технологии не должны быть чрезмерными и не должны приводить к возникновению дополнительных проблем у пользователей.
Решения по защите данных могут защитить инвестиции в бизнес компании. Все зависит от того, насколько правильно они реализованы. Следует в первую очередь сосредоточиться на потребностях бизнеса, а не на технологиях.
Стратегия - это общая, рассчитанная на перспективу руководящая установка при организации и обеспечении соответствующего вида деятельности, направленная на то, чтобы наиболее важные цели этой деятельности достигались при наиболее рациональном расходовании имеющихся ресурсов.
Организация защиты информации в самом общем виде может быть определена как поиск оптимального компромисса между потребностями в защите и необходимыми для этих целей ресурсами.
Потребности в защите обуславливаются, прежде всего, важностью и объемами защищаемой информации, а также условиями ее хранения, обработки и использования. Эти условия определяются уровнем (качеством) структурно-организационного построения объекта обработки информации, уровнем организации технологических схем обработки, местом и условиями расположения объекта и его компонентов и другими параметрами.
Размер ресурсов на защиту информации может быть ограничен определенным пределом либо определяется условием обязательного достижения требуемого уровня защиты. В первом случае защита должна быть организована так, чтобы при выделенных ресурсах обеспечивался максимально возможный уровень защиты, а во втором - чтобы требуемый уровень защиты обеспечивался при минимальном расходовании ресурсов.
Сформулированные задачи есть не что иное, как прямая и обратная постановки оптимизационных задач. Существует две проблемы, затрудняющие формальное решение.
Первая - процессы защиты информации находятся в значительной зависимости от большого числа случайных и трудно предсказуемых факторов, таких как поведение злоумышленника, воздействие природных явлений, сбои и ошибки в процессе функционирования элементов системы обработки информации и др.
Вторая - среди средств защиты весьма заметное место занимают организационные меры, связанные с действием человека.
Обоснование числа и содержания необходимых стратегий будем осуществлять по двум критериям: требуемому уровню защиты и степени свободы действий при организации защиты. Значения первого критерия лучше всего выразить множеством тех угроз, относительно которых должна быть обеспечена защита:
от наиболее опасных из известных (ранее появившихся) угроз;
от всех известных угроз;
от всех потенциально возможных угроз.
Второй критерий выбора стратегий защиты сводится к тому, что организаторы и исполнители процессов защиты имеют относительно полную свободу распоряжения методами и средствами защиты и некоторую степень свободы вмешательства в архитектурное построение системы обработки информации, а также в организацию и обеспечение технологии ее функционирования. По этому аспекту удобно выделить три различные степени свободы:
никакое вмешательство в систему обработки информации не допускается. Такое требование может быть предъявлено к уже функционирующим системам обработки информации и нарушение процесса их функционирования для установки механизмов защиты не разрешается;
к архитектурному построению системы обработки информации и технологии ее функционирования допускается предъявлять требования неконцептуального характера. Другими словами, допускается приостановка процесса функционирования системы обработки информации для установки некоторых механизмов защиты;
требования любого уровня, обусловленные потребностями защиты информации, принимаются в качестве обязательных условий при построении системы обработки информации, организации и обеспечения их функционирования.
Практически можно выделить три основные стратегии:
Так, выбирая оборонительную стратегию, подразумевают, что при недопущении вмешательства в процесс функционирования системы обработки информации можно нейтрализовать лишь наиболее опасные угрозы. Например, данная стратегия, применяемая для существующего объекта, может включать разработку организационных мер использование технических средств по ограничению несанкционированного допуска к объекту. Упреждающая стратегия предполагает тщательное исследование возможных гроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. При этом нет смысла на данном этапе рассматривать ограниченное множество подобных угроз.
Стратегия - это общая, рассчитанная на перспективу руководящая установка при организации и обеспечении соответствующего вида деятельности, направленная на то, чтобы наиболее важные цели этой деятельности достигались при наиболее рациональном расходовании имеющихся ресурсов.
Организация защиты информации в самом общем виде может быть определена как поиск оптимального компромисса между потребностями в защите и необходимыми для этих целей ресурсами.
Потребности в защите обусловливаются прежде всего важностью и объемами защищаемой информации, а также условиями ее хранения, обработки и использования. Эти условия определяются уровнем (качеством) структурно-организационного построения объекта обработки информации, уровнем организации технологических схем обработки, местом и условиями расположения объекта и его компонентов и другими параметрами.
Размер ресурсов на защиту информации может быть ограничен определенным пределом либо определяется условием обязательного достижения требуемого уровня защиты. В первом случае защита должна быть организована так, чтобы при выделенных ресурсах обеспечивался максимально возможный уровень защиты, а во втором - чтобы требуемый уровень защиты обеспечивался при минимальном расходовании ресурсов.
Сформулированные задачи есть не что иное, как прямая и обратная постановка оптимизационных задач. Существует две проблемы, затрудняющие формальное решение.
Первая - процессы защиты информации находятся в значительной зависимости от большого числа случайных и труднопредсказуемых факторов, таких, как поведение злоумышленника, воздействие природных явлений, сбои и ошибки в процессе функционирования элементов системы обработки информации и др.
Вторая - среди средств защиты весьма заметное место занимают организационные меры, связанные с действием человека.
Обоснование числа и содержания необходимых стратегий будем осуществлять по двум критериям: требуемому уровню защиты и степени свободы действий при организации защиты. Значения первого критерия лучше всего выразить множеством тех угроз, относительно которых должна быть обеспечена защита:
1) от наиболее опасных из известных (ранее появившихся) угроз;
2) ото всех известных угроз;
3) ото всех потенциально возможных угроз.
Второй критерий выбора стратегий защиты сводится к тому, что организаторы и исполнители процессов защиты имеют относительно полную свободу распоряжения методами и средствами защиты и некоторую степень свободы вмешательства в архитектурное построение системы обработки информации, а также в организацию и обеспечение технологии ее функционирования. По этому аспекту удобно выделить три различные степени свободы.
1. Никакое вмешательство в систему обработки информации не допускается. Такое требование может быть предъявлено к уже функционирующим системам обработки информации, и нарушение процесса их функционирования для установки механизмов защиты не разрешается.
2. К архитектурному построению системы обработки информации и технологии ее функционирования допускается предъявлять требования неконцептуального характера. Другими словами, допускается приостановка процесса функционирования системы обработки информации для установки некоторых механизмов защиты. 3. Требования любого уровня, обусловленные потребностями защиты информации, принимаются в качестве обязательных условий при построении системы обработки информации, организации и обеспечении их функционирования.
Практически можно выделить три основные стратегии.
Таблица Стратегии защиты информации
Так, выбирая оборонительную стратегию, подразумевают, что при недопущении вмешательства в процесс функционирования системы обработки информации можно нейтрализовать лишь наиболее опасные угрозы. Например, данная стратегия, применяемая для существующего объекта, может включать разработку организационных мер использования технических средств по ограничению несанкционированного допуска к объекту. Упреждающая стратегия предполагает тщательное исследование возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. При этом нет смысла на данном этапе рассматривать ограниченное множество подобных угроз.
Рассматриваются вопросы организации системы защиты информации на предприятии. Определяются методологические подходы к технологии построения, принципы управления комплексной системой защиты информации (КСЗИ). Особое внимание уделено проблеме «человеческого фактора».
Для специалистов, преподавателей, студентов и всех интересующихся проблематикой защиты информации.
Книга:
1.5. Стратегии защиты информации
1.5. Стратегии защиты информации
Осознание необходимости разработки стратегических подходов к защите формировалось по мере осознания важности, многоаспектности и трудности защиты и невозможности эффективного ее осуществления простым использованием некоторого набора средств защиты.
Под стратегией вообще понимается общая направленность в организации соответствующей деятельности, разрабатываемая с учетом объективных потребностей в данном виде деятельности, потенциально возможных условий ее осуществления и возможностей организации.
Известный канадский специалист в области стратегического управления Г. Минцберг предложил определение стратегии в рамках системы «5-Р». По его мнению, она включает:
1) план (Plan) - заранее намеченные в деталях и контролируемые действия на определенный срок, преследующие конкретные цели;
2) прием, или тактический ход (Ploy), представляющий собой кратковременную стратегию, имеющую ограниченные цели, могущую меняться, маневр с целью обыграть противника;
3) модель поведения (Patten of behaviour) - часто спонтанного, неосознанного, не имеющего конкретных целей;
4) позицию по отношению к другим (Position in respect to others);
5) перспективу (Perspective).
Задача стратегии состоит в создании конкурентного преимущества, устранении негативного эффекта нестабильности окружающей среды, обеспечении доходности, уравновешении внешних требований и внутренних возможностей. Через ее призму рассматриваются все деловые ситуации, с которыми организация сталкивается в повседневной жизни.
Способность компании проводить самостоятельную стратегию во всех областях делает ее более гибкой, устойчивой, позволяет адаптироваться к требованиям времени и обстоятельствам.
Стратегия формируется под воздействием внутренней и внешней среды, постоянно развивается, ибо всегда возникает что-то новое, на что нужно реагировать.
Факторы, которые могут иметь для фирмы решающее значение в будущем, называются стратегическими. По мнению одного из ведущих западных специалистов Б. Карлофа, они, влияя на стратегию любой организации, придают и специфические свойства. К таким факторам относятся:
1) миссия, отражающая философию фирмы, ее предназначение. При пересмотре миссии, происходящем в результате изменения общественных приоритетов;
2) конкурентные преимущества, которыми организация обладает в своей сфере деятельности по сравнению с соперниками или к которым стремится (считается, что они оказывают на стратегию наибольшее влияние). Конкурентные преимущества любого типа обеспечивают более высокую эффективность использования ресурсов предприятия;
3) характер выпускаемой продукции, особенности ее сбыта, послепродажного обслуживания, рынки и их границы;
4) организационные факторы, среди которых выделяется внутренняя структура компании и ее ожидаемые изменения, система управления, степень интеграции и дифференциации внутренних процессов;
5) располагаемые ресурсы (материальные, финансовые, информационные, кадровые и пр.). Чем они больше, тем масштабнее могут быть инвестиции в будущие проекты. Сегодня для разработки и реализации стратегии огромное значение имеют, прежде всего, структурные, информационные и интеллектуальные ресурсы. Сравнивая значения параметров наличных и требующихся ресурсов, можно определить степень их соответствия стратегии;
6) потенциал развития организации, совершенствования деятельности, расширения масштабов, роста деловой активности, инноваций;
7) культура, философия, этические воззрения и компетентность управленцев, уровень их притязаний и предприимчивости, способность к лидерству, внутренний климат в коллективе.
На стратегический выбор влияют: риск, на который готова идти фирма; опыт реализации действующих стратегий, позиции владельцев, наличие времени.
Рассмотрим особенности стратегических решений. По степени регламентированности они относятся к контурным (предоставляют широкую свободу исполнителям в тактическом отношении), а по степени обязательности следования главным установкам - директивным.
По функциональному назначению такие решения чаще всего бывают организационными или предписывающими способ осуществления в определенных ситуациях тех или иных действий. С точки зрения предопределенности, это решения запрограммированные. Они принимаются в новых, неординарных обстоятельствах, когда требуемые шаги трудно заранее точно расписать. С точки зрения важности, стратегические решения кардинальны: касаются основных проблем и направлений деятельности фирмы, определяют основные пути развития ее в целом, отдельных подразделений или видов деятельности на длительную перспективу (не менее 5–10 лет). Они вытекают прежде всего из внешних, а не из внутренних условий, должны учитывать тенденции развития ситуации и интересы множества субъектов. Практическая необратимость стратегических решений обусловливает необходимость их тщательной и всесторонней подготовки. Стратегическим решениям присуща комплексность. Стратегия обычно представляет собой не одно, а совокупность взаимосвязанных решений, объединенных общей целью, согласованных между собой по срокам выполнения и ресурсам. Такие решения определяют приоритеты и направления развития фирмы, ее потенциала, рынков, способы реакции на непредвиденные события. Практика сформировала следующие требования к стратегическим решениям:
1. Реальность, предполагающая ее соответствие ситуации, целям, техническому и экономическому потенциалу предприятия, опыту и навыкам работников и менеджеров, культуре, существующей системе управления;
2. Логичность, понятность, приемлемость для большинства членов организации, внутренняя целостность, непротиворечивость отдельных элементов, поддержка ими друг друга, порождающая синергетический эффект;
3. Своевременность (реализация решения должна успеть приостановить отрицательное развитие ситуации или не позволить упустить выгоду);
4. Совместимость со средой, обеспечивающая возможность взаимодействия с ней (стратегия находится под влиянием изменений в окружении предприятия и сама может формировать эти изменения);
6. Сохранение свободы тактического маневра;
7. Устранение причин, а не следствий существующей проблемы;
8. Четкое распределение по уровням организации работы по подготовке и принятию решений, а также ответственности за них конкретных лиц;
9. Учет скрытых и явных, желательных и нежелательных последствий, которые могут возникнуть при реализации стратегии или отказе от нее для фирмы, ее партнеров; от существующего законодательства, этической стороны дела, допустимого уровня риска и пр.
Разработка научно обоснованной системы стратегий организации как ключевого условия ее конкурентоспособности и долгосрочного успеха является одной из основных функций ее менеджеров, прежде всего высшего уровня. От них требуется:
Выделять, отслеживать и оценивать ключевые проблемы;
Адекватно и оперативно реагировать на изменения внутри и в окружении организации;
Выбирать оптимальные варианты действий с учетом интересов основных субъектов, причастных к ее деятельности;
Создавать благоприятный морально-психологический климат, поощрять предпринимательскую и творческую активность низовых руководителей и персонала.
Стратегические ресурсы – это средства достижения цели или решения стратегических вопросов.
Традиционные ресурсы:
Технические (производственные мощности);
Технологические (способ исполнения);
Кадровые;
Пространственные (размещение фирмы);
Информационные ресурсы;
Финансовые ресурсы;
Организационная структура предприятия.
Стратегические ресурсы – это возможность использования традиционных ресурсов с целью решения стратегических вопросов.
Стратегические ресурсы делятся на позволяющие фирме адекватно реагировать на из-менения внешней среды и позволяющие фирме расширять и совершенствовать свои внут-ренние предельные возможности.
Основные стратегические ресурсы:
1. Способность компании проводить макроэкономический анализ ситуации в необхо-димых масштабах.
2. Способность компании своевременно обнаруживать актуальные нужды, потребно-сти, запросы потенциальных покупателей (маркетинговые исследования).
3. Способность фирмы проводить анализ экономической конъюнктуры рынков това-ров и услуг.
4. Способность проведения анализа конъюнктуры рынков факторов производства.
5. Способность анализировать деятельность групп стратегического влияния.
6. Способность компании выдвигать конкурентоспособные идеи в области конструи-рования, технологии и т. д.
7. Способность компании реализовывать конкурентоспособные идеи в сфере своего функционирования.
8. Способность компании обеспечивать свою независимость от изменения конъюнк-туры рынка.
9. Способность фирмы поддерживать свой конкурентный статус за счет управления стратегическими зонами хозяйствования.
Факторы, связанные с внутренним потенциалом фирмы отражают:
1. Способность фирмы обеспечивать внутреннюю гибкость организации за счет ос-нащения производственного процесса адаптивными средствами технического и технологи-ческого оснащения.
2. Способность фирмы обеспечивать внутреннюю гибкость за счет использования эффективных технологий.
3. Способность обеспечить внутреннюю гибкость организации за счет соответст-вующего изменения кадрового потенциала.
4. Способность компании осуществлять изменения плановых решений адекватно из-менениям целей.
5. Способность обеспечить уровень конкурентоспособности товаров и услуг, требуе-мый для захвата лидерства в обслуживаемых или перспективных сегментах рынка.
6. Способность обеспечить выпуск товаров и услуг в объемах, соответствующих по-тенциальному спросу на соответствующем сегменте рынка с учетом нынешнего положения фирмы и потенциальной доли захвата рынка.
7. Способность обеспечить высшую эффективность функционирования за счет ра-ционального использования инвестиционных возможностей.
8. Способность обеспечить эффективную разработку и реализацию стратегической программы.
Процесс стратегического планирования
Этапы стратегического планирования:
1. Диагностика. На этом этапе определяется нынешнее состояние организации, со-стояние внешней среды, цели стратегического развития, устанавливаемые приоритеты в раз-витии, определенные методы планирования.
2. Дирекционный этап – посвящен пути достижения заданной цели.
Выбор стратегии: разработка альтернатив, оценка, выбор одной альтернативы, которая будет реализовываться. Регулирование конфликтов, связанных со стратегией разработки стратегического плана.
3. Реализация самой стратегии и контроль (создание стратегической программы, опе-
рационные планы, ситуационные планы и контроль за выполнением).
Традиционная схема для реализации данного алгоритма основана на том, что компа-ния имеет большие возможности для влияния на свой будущий курс.
Достоинства стратегического планирования как формы управления:
1. Служит способом формирования идеологии.
2. Служит механизмом для адаптации к внешней среде.
3. Контроль.
Дополнительно к указанным достоинствам:
4. Улучшение процесса принятия решений в организации, совершенствование управ-ления.
5. Улучшение результатов функционирования организации.
6. Долгосрочное размещение ресурсов.
7. Механизм идентификации возможностей фирм.
8. Способ координации в деятельности отдельного подразделения, регулирование конфликтов.
9. Способ установления целей фирмы.
10. Способ критического анализа деятельности фирмы.
11. Способ повышения квалификации управляющего персонала.
Проблемы, которые создает стратегическое планирование для организации, следующие:
Точную картину будущего дать невозможно, поэтому главное – определение на-правлений деятельности организации;
Субъективизм стратегического планирования – нет общих правил;
Для данного процесса требуется большое количество ресурсов, в том числе ресур-сов времени;
На основании изложенного напрашивается вывод: при всех достоинствах стратегиче-ского управления эта форма не обладает универсальностью в управлении.
Подтвердите или опровергните приведенные ниже утверждения ответами: да – нет
1. Стратегическое планирование – это разработка философии деятельности фирмы на долгосрочный период.
2. Стратегия планирования – одна из функций управления.
3. В стратегическом планировании не рассматривается философия деятельности фирмы.
4. Маркетинг определяет цели деятельности фирмы, а стратегическое планирование обеспечивает достижение этих целей.
5. Предпосылки стратегического планирования:
Наличие крупного бизнеса;
Общая тенденция демократизации управления;
Усиление роли информации как фактора деятельности фирм;
Наличие накопленных знаний.
6. Теоретические предпосылки стратегического планирования:
Теория фирмы;
Методы планирования;
Теория менеджмента.
7. Альтернативные теории фирмы:
Фирма рассматривается как рациональный субъект;
Замкнутость деятельности фирмы;
Деятельность фирмы определяется внешними условиями ее функционирования.
8. Неоклассическая теория:
Фирма – открытая система;
Фирма не является неделимым субъектом;
На деятельность фирмы влияет не только внешняя, но и внутренняя среда.
9. Теория промышленной организации не анализирует принципы поведения фирмы в зависимости от структуры отрасли.
10. Теория финансовых рынков и портфельных инвестиций определяет принципы формирования рациональных инвестиций.
11. Теория инновационного развития и концепция жизненного цикла продукции не определяет технологические тенденции развития.
12. Трансакционная сделка: целью создания фирмы является стремление минимизации издержек на содержание сделки.
13. Поведенческая экономическая теория не осуществляет анализ поведения фирм в зависимости от их психологии.
14. Теория конкурентных преимуществ: у товара есть свое конкурентное преимущест-во преимущественно при относительно высокой цене.
15. Прогнозирование – это несистематический анализ определенного набора факторов с целью предвидения имеющихся возможностей.
16. Для эффективной реализации плана необходимо вовлечение всего персонала в со-гласование плана.
17. Основные требования к планированию:
Систематичность;
Высокое качество информации;
Психологические моменты;
Предусматривание не только целей, но и способов реализации.
18. Особенности стратегического планирования:
Разработка плана – это база, т. е. концепция развития;
Предполагает в большей степени изучение альтернатив;
Адаптивность стратегического планирования: трактовка как процесс адаптации ор-ганизации к постоянно изменяющейся окружающей среде;
Многообразие инструментов, используемых при разработке плана.
19. Методы менеджмента:
Ситуационный анализ;
Управление, ориентированное на результаты;
Связка между стратегическим планированием и маркетингом;
Управление инновациями;
Управление персоналом;
Планирование проектов.
20. Стратегическое планирование в узком понимании – особая функция управления.
21. Стратегическое планирование в широком понимании – это не процесс моделиро-вания будущего.
22. Способ аллокации не решается непосредственно фирмой.
23. Технологическое ограничение: из определенного объема ресурсов при данной тех-нологии можно произвести не более…
24. Рыночное ограничение – свобода фирмы в установлении цен ограничивается дей-ствием конкурентов и государством.
25. Бюджетное ограничение: фирма из своих доходов не должна покрывать свои обя-зательства.
26. Бюджетное ограничение не может изменяться от мягкого до жесткого.
27. Жесткое ограничение – компания четко должна оплачивать свои обязательства.
28. Спектр условий бюджетных ограничений зависит от:
Статуса фирмы;
Степени развития рыночной системы;
Связи самой фирмы.
29. Стратегия фирмы – это одна из форм долгосрочного перспективного сочетания ог-раничений на деятельность фирмы.
30. Риск – неочевидность наступления определенного результата.
31. Каждая фирма не действует в определенных условиях внешней и внутренней среды.
32. Основные стратегические вопросы в целом – это проблемы, которые жизненно важны для деятельности фирмы.
33. Жизненно важные вопросы деятельности фирмы:
Направления деятельности фирмы;
Источники развития деятельности;
Формирование структуры управления;
Характер отношений компании с внешней средой;
Возможные результаты деятельности фирмы;
Возможные противоречия и конфликты, способные повлиять на принципиальные параметры деятельности организации.
34. Формы реакции фирмы на стратегические вопросы:
Моделирующий подход;
Командное изучение вопроса;
Стратегический анализ.
35. Стратегические ресурсы – это средства достижения цели или решение стратегиче-ских задач.
36. Стратегические ресурсы – это невозможность использования традиционных ресур-сов с целью решения стратегических вопросов.
37. Основные стратегические ресурсы:
Способность фирмы проводить анализ экономической конъюнктуры рынков това-ров и услуг.
Способность анализирования деятельности групп стратегического влияния.
Способность фирмы поддерживать свой конкурентный статус за счет управления стратегическими законами хозяйствования.
38. Факторы, связанные с внутренним потенциалом фирмы отражают:
Способность фирмы обеспечивать внутреннюю гибкость за счет использования
эффективных технологий;
Способность обеспечивать эффективную разработку и реализацию стратегической
программы.
39. Первый этап стратегического планирования – посвящен пути достижения заданной цели.
40. Достоинства стратегического планирования как формы управления:
Служит способом формирования идеологии;
Служит механизмом адаптации к внешней среде;
Контроль.
41. Проблемы стратегического планирования для организации:
Точную картину будущего дать невозможно;
Субъективизм стратегического планирования;
Реализация стратегии требует проведения изменений в организации;
Усиление бюрократизации в управлении.
2. ЦЕЛЕВЫЕ ФУНКЦИИ ФИРМЫ