6780

80

7.ЗАЩИТА ИНФОРМАЦИИ ОТ КОНКУРЕНТОВ

7.1.Политика обеспечения информационной безопасности

ворганизациях

Всистеме международной стандартизации имеется серия стандартов

ISO / IEC 27000 «Информационные технологии. Методы обеспечения безопасности». Есть соответствующие российские стандарты по управлению информационной безопасностью ГОСТ Р ИСО.МЭК 17799-2005 и

ГОСТ Р ИСО/МЭК 27001-2006.

В компаниях разрабатывается политика информационной безопас-

ности, на основании которой развертываются корпоративные стандарты обеспечения информационной безопасности, процедуры и руководства. Политика информационной безопасности – это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. Политика информационной безопасности разрабатывается как для организации в целом, так и для ее подразделений.

Политика информационной безопасности строится на определенной модели доверия. Существует три общие модели доверия:

∙либеральная: доверять всем и всегда, т.е. любой пользователь, имеет доступ к любым информационным ресурсам, независимо от их конфиденциальности;

∙запретительная: не доверять никому и никогда; она существенно ограничивает или затрудняет выполнение основных функций почти всех работников предприятия;

∙компромиссная: не доверять иногда некоторым людям; доступ к организационным ресурсам по мере необходимости по запросам от пользователей, затем использование информации контролируется с помощью специальных систем, позволяющих обнаруживать нарушение доверия (конфиденциальности), о котором сообщается всем работникам компании.

Различают административную безопасность, которая обеспечивается людьми, и техническую безопасность, которая реализуется с помощью оборудования и программ.

Перевод информации в категорию коммерческой или служебной тайны позволяет защитить ее юридически.

Политика безопасности должна обеспечивать разумный баланс между защитой и эффективностью работы сотрудников, т.е. не снижать результативность их работы. Она должна пересматриваться и совершенствоваться по заранее установленной процедуре.

Цель политики информационной безопасности – обеспечить устойчивое развитие организации, повышение ее конкурентоспособности за счет нейтрализации информационных угроз ее активам и потенциалу. Задачами являются все те меры, которые необходимы для реализации этой цели.

81

Принципы построения политики информационной безопасности. Она должна:

∙быть системной, охватывать все элементы, условия и факторы защиты информации;

∙быть комплексной или междисциплинарной;

∙быть научно обоснованной и технически реализуемой;

∙быть эшелонированной, т.е. многоуровневой защитой с использованием разнообразных защитных средств;

∙обеспечивать эффективную и непрерывную защиту информации;

∙обеспечивать золотую середину между надежностью защиты и затратами на защиту;

∙гарантировать невозможность миновать защитные средства, т.е. все информационные потоки должны проходить информационные фильтры;

∙проводить мониторинг уровня защиты, выявлять и усиливать самое слабое звено, которым чаще всего является человек;

∙быть простой в управлении защитными средствами, обеспечивать наблюдаемость и контролируемость защитных мер.

7.2.Система управления информационной безопасностью

ворганизации

Исходными данными для построения системы безопасности являют-

ся:

∙информация о внешней среде предприятия;

∙потребности организации в информационной безопасности;

∙описание бизнес-процессов;

∙информация, необходимая для контроля успешности деятельности по информационной безопасности;

∙стандарты в области управления предприятием и выделяемые на это ресурсы;

∙информационные модели деятельности организации.

Основные виды деятельности по управлению информационной безопасностью:

1.Создание документов (правил, норм, процедур), регламентирующих работу по информационной безопасности для всех подразделений организации.

2.Обучение персонала и работа с ним по вопросам информационной безопасности.

3.Заказы на приобретение, поставку и регламентацию использования сервисов и систем по информационной безопасности.

82

4.Контроль за обеспечением информационной безопасности (выявление нарушений в системе информационной безопасности, мониторинг и аудит информационной безопасности).

5.Идентификация сигналов опасности в отношении интересов и целей организации в информационной среде.

6.Разработка и реализация мер по нейтрализации информационных

угроз.

Вобщем виде деятельность по управлению информационной безопасности можно представить в виде модели, которую предложила компания Sisko Systems. В центре модели – политика безопасности, которая реализуется с помощью следующих элементов:

1.Защита. Это конкретизация и применение описанных в политике информационной безопасности мер.

2.Мониторинг – выявление нарушений политики информационной безопасности в режиме реального времени.

3.Тестирование (внутренний и внешний аудит) для оценки эффективности используемых защитных мер, которое позволяет определить, насколько текущее состояние дел соответствует правилам и процедурам политики информационной безопасности.

4.Улучшение защитных мер и политики информационной безопас-

ности.

Еще одним примером успешной реализации системы управления информационной безопасностью является модель компании Axent, полу-

чившая название Lifecycle Security.

1.Политики, стандарты, процедуры и метрики информационной безопасности. На этом первом этапе задаются критерии оценки информационной безопасности и способы ее обеспечения.

2.Оценка рисков информационной безопасности. Выявляются угрозы информационной безопасности, идентифицируется уязвимость активов

иопределяется ущерб от возможной реализации угроз. Оценка рисков становится основой для разработки плана действий.

3.Разработка плана обеспечения информационной безопасности. В соответствии с приоритетами распределяются ресурсы, определяются стратегические и тактические защитные меры.

4.Выбор и реализация решений по обеспечению информационной безопасности.

5.Проведение обучения сотрудников по вопросам обеспечения информационной безопасности.

6.Мониторинг информационной безопасности помогает выявить инциденты, т.е. оперативно контролировать эффективность системы управления информационной безопасностью.

7.Реакция на нарушения информационной безопасности и ее восстановление до заданного уровня.

83

Система управления информационной безопасностью работает нормально, если она правильно определила критерии оценки эффективности снижает риски информационной безопасности, проводит инвестиции в обеспечение информационной безопасностью и постоянно совершенствуется.

7.3. Опросы в организациях и защита информации

Известна общая тенденция: объем предоставляемой фирмами информации о себе постоянно увеличивается. Значительная часть того, что пишется в годовых отчетах, содержится в интервью и выступлениях, публикуется в СМИ, формально не является обязательной. Чтобы разработать собственную стратегию, каждая компания должна иметь информацию о том, что планируют делать ее конкуренты.

Каждый участник рынка собирает информацию о своих конкурентах. О нашей организации также кто-то постоянно собирает информацию. Это неизбежно. Каковы возможные последствия этого? Как к этому относиться? Это нам выгодно или это для нас опасно? Немалое число менеджеров ищут ответы на эти вопросы. Неудачные ответы могут привести к потере позиции организации на рынке или к банкротству.

Что делать, если о нашем предприятии кто-то собирает инфор-

мацию с помощью опросов? Нужно постараться получить ответы на следующие вопросы.

1.Получение какой информации конкурентами о нашей компании мы считаем полезным? Может быть, информация будет способствовать реализации нашей стратегии, усилению позиции нашей компании на рынке?

2.Какую информацию мы готовы предоставить, если точно такую же информацию будут представлять о себе другие участники рынка?

3.Получение какой информации о нашей организации мы считаем недопустимым или несвоевременным?

4.Что делать, если нам не очевидно, как будет использоваться собираемая о нас информация?

Утечка конфиденциальной информации, которая может быть использована для недобросовестной конкуренции как внутри страны, так и за

еепределами.

Каким образом утечка конфиденциальной информации в опро-

сах может нанести вред компании? В сложной системе, какой является любое предприятие, всегда есть уязвимые места: а) при нарушении в таких местах система перестает функционировать или развиваться; б) разрушение их не требует больших усилий, времени и средств.

Проблема для конкурентов состоит в том, что эти слабые места неочевидны со стороны, их необходимо вычислить. Есть общие для рынка

84

слабые места, но есть и свои, особенные для каждого предприятия и рынка.

Мы полагаем, что в самом общем виде существуют две цели экономического нападения:

1)вызвать кризис, т.е. сделать невозможным на какое-то время нормальное функционирование предприятия, в результате оно теряет свои позиции на рынке;

2)разрушить потенциал будущего развития предприятия, ограничить или сделать невозможным наращивание этого потенциала и тем самым снизить конкурентоспособность предприятия в будущем, т.е. обречь его в будущем на поражение.

Вывод очевиден: не следует предоставлять информацию, используя которую конкуренты могут нанести упреждающий удар, разрушающий стратегический потенциал развития предприятия или его позицию на рынке. Мы не должны предоставлять информацию, которая позволяет вычислить наши уязвимые места и вызвать кризис в развитии предприятия.

Означает ли это, что предприятия должны отказываться от уча-

стия коммуникациях? Нет. Необходимо реализовать систему мер, снижающих вероятность утечки конфиденциальной информации к минимуму. Как подсказывает наш опыт, необходимо обеспечить следующие условия.

Вся информация, передаваемая компанией во внешнюю и внутрен-

нюю среду, должна исходить из одного источника (руководителя) или контролироваться им. Так делают самые крупные и успешные компании – лидеры глобальных рынков. Скажем, от руководителя службы по связям с общественностью. Задача этого руководителя – создавать и передавать информацию, которая поддерживает стратегию развития предприятия и способствует усилению его позиции на рынке. Такая практика соответствует современной концепции интегрированных коммуникаций предприятий.

При руководителе службы связей с общественностью обычно работает команда, состоящая из представителей служб безопасности, маркетинга, стратегического развития, финансовой, технической и др. Эти люди должны определять, к примеру, стоит или нет принимать участие в тех или иных опросах, кто должен отвечать на вопросы анкеты, какая информация может быть передана. Одни предприятия будут стремиться к максимально полной передаче информации, другие будут тщательно выбирать ответы, третьи могут отказаться от участия в опросе.

Работники должны знать, что им запрещено передавать информа-

цию о компании, на которой они работают, без согласования с руководителем, отвечающим за коммуникации. За нарушение этого правила долж-

но последовать наказание вплоть до увольнения с предприятия и трудностей при устройстве на работу на аналогичные предприятия.

85

Руководитель, отвечающий за внешние коммуникации, и его команда

должны накапливать и анализировать информацию о том, кто, как и для чего собирает сведения об их компании. Если речь идет об опросах, то что известно о зарубежных и российских исследовательских центрах, проводящих опросы на предприятиях? К примеру, в Российской и Международной торгово-промышленных палатах? Как часто и для чего проводятся такие опросы? Кто их заказчик и кто будет готовить отчет (проводить анализ), какова их репутация? Как используются результаты опросов? Где и для чего публикуются их результаты? Одно дело, если это широко известные мониторинги (экономические барометры), результаты которых вывешиваются в Интернете и находятся в каждой серьезной библиотеке, другое дело – специальные исследования для узкой группы аналитиков и инвесторов, результаты которых публикуются не полностью и нерегулярно.

Почему и как было отобрано именно наше предприятие? Кто интервьюеры и руководитель опросного подразделения? Как конкретно они обеспечивают правила проведения опросов: конфиденциальность информации, невозможность идентифицировать ответы с конкретным предприятием?

Врезультате предприятие получает возможность принимать участие

внаиболее значимых и полезных опросах, и не принимать участие в сомнительных.

К примеру, проводится опрос, в котором изучается мнение менеджеров предприятий о ценах и дефицитности поставляемых материалов. Специалисты знают, для развития каких технологий определенные сырье и материалы являются критически важными. И если мы предоставляем информацию о динамике цен на такие сырье и материалы, о степени их дефицитности, то мы указываем конкурентам свои уязвимые места. Если такие сырье и материалы импортируем, а источники их поставок ограничены и находятся под контролем наших конкурентов, то наша компания становится незащищенной от давления (манипулирования) извне.

Решение об участии в том или ином опросе не должно принимать каждое предприятие в отдельности. Правила участия предприятий в опро-

сах должны формироваться отраслевыми союзами предприятий. Отрас-

левые союзы российских производителей, на наш взгляд, – это эффективная форма выработки общих правил поведения на рынке, в т.ч. правил обеспечения информационной безопасности.

При отраслевых союзах российских производителей целесообразно иметь советы (комитеты) по информационной безопасности, которые должны определять правила поведения предприятий в коммуникационных процессах. Они должны накапливать информацию о тех, кто запрашивает данные, кто проводит исследования, и сообщать результаты своего анализа всем участникам рынка (отрасли).

87

– инвестировать, чтобы удержать положение на рынке снижающейся привлекательности;

– инвестировать, чтобы улучшить положение высокой привлекательности отрасли;

–« собирать» сильную позицию для формирования

финансовых ресурсов с целью вложить их в ином месте.

Принимаются решения об изменении позиционирования подразделений компаний на рынке под влиянием изменений в окружающей среде или в стратегии компании.

8.2.Оценка предлагаемого компанией качества в сравнении

срынком (закусочные)

Это инструмент анализа потребительской ценности. Выявляются критерии оценки работы закусочных, потребители оценивают значимость каждого критерия и качество работы каждой из компаний-конкурентов компании по этим критериям. Затем оценки значимости и качества перемножаются, и каждая фирма получает оценку своей работы рынком качества (табл. 7).

Т а б л и ц а 7

Оценка качества работы закусочных

В целом качество работы компании оценивается выше рыночного в соотношении 1.09 : 1. Анализ выявляет сильные и слабые стороны компании. Ее относительное преимущество – во вкусе, любви детей, расположении и дополнительных предложениях. Относительный недостаток – в телерекламе и чистоте.

88

8.3. Анализ сильных и слабых сторон позиции банков на региональном рынке банковских услуг

Мы провели исследование, целью которого было определить структуру регионального корпоративного рынка банковских услуг и позиции на нем ряда банков. Исследование проведено под руководством В.Я. Захарова в 1994-1995 гг. Опрошено 400 руководителей организаций – клиентов различных банков. Выборка случайная систематическая по отраслевым спискам организаций.

Первая задача исследования – оценить прозрачность рынка для его участников. Оказалось, что банковский рынок был непрозрачным для руководители организаций – клиентов банков. По семибалльной шкале

(где 7 - знаю этот банк очень хорошо, а 1 - ничего об этом банке не знаю) руководители организаций оценили свою осведомленность о банках следующим образом:

Как видим, почти все руководители организаций оценивали свою информированность о банках в пределах от 2-х до 3-х баллов по 7- балльной шкале, т.е. скорее как неудовлетворительную, чем удовлетворительную. Хотя 70% из них бывали в своих банках раз в неделю и чаще. Их не устраивает низкая осведомленность, в такой ситуации для многих руководителей дальнейшие изменения в судьбе банков, с которыми они работали, становятся полной неожиданностью. Это неизбежно, когда удовлетворенность руководителей организаций работой банков (5-6 баллов) выше осведомленности о банках (2-3 балла).

Банковский рынок был фрагментарным и неустойчивым. Шел про-

цесс перестройки как финансовых, так и отраслевых рынков. Половина нижегородских предприятий пользовались услугами своего банка не более 5 лет. Показатели эффективности работы банков сильно различались. 20% руководителей организаций назвали следующие причины возможной смены банка: низкая скорость платежей, неудовлетворительная в целом работа банка, не сложились отношения с руководителями банка, высокий процент по кредитам, недоверие к банку тех, кто покупает продукцию организации.

89

И хотя 80% опрошенных руководителей не собирались по своей инициативе менять банки, было понятным, что рынок будет консолидироваться: одни банки будут терять клиентов и уходить с рынка, другие – наращивать клиентов и свои позиции на рынке. Необходимо было определить структуру рынка банковских услуг, позиции ведущих банков на рынке и тенденции их изменения.

Вторая задача исследования – определить структуру банковского рынка и тенденции ее развития.

Чтобы решить эту задачу, мы сравнили ответы руководителей предприятий на два вопроса:

-услугами какого банка пользуется сегодня ваше предприятие?

-если случится так, что в ближайшее время вы снова будете выби-

рать банк для предприятия, то какой банк вы предпочтете?

Ответы на эти вопросы распределились следующим образом (табл.

8).

На рис. 10, иллюстрирующим данные этой таблицы, хорошо видны современное состояние регионального рынка образовательных услуг и тенденции распределения клиентов между банками.

Т а б л и ц а 8 Возможные изменения структуры рынка банковских услуг