Взаимопонимание между руководством фирмы и работниками не означает полной свободы в организации рабочих процессов и желании выполнять или не выполнять требования по защите конфиденциальной информации. С этой целью руководителям всех рангов и службе безопасности следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации.
Основными формами контроля могут быть:
• аттестация работников;
• отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации;
• регулярные проверки руководством фирмы и службой безопасности соблюдения работниками требований по защите информации;
• самоконтроль.
Аттестация работников представляется одной из наиболее действенных форм контроля их деятельности как в профессиональной сфере (исполнительность, ответственность, качество и эффективность выполняемой работы, профессиональный кругозор, организаторские способности, преданность делу организации и т. д.), так и в сфере соблюдения информационной безопасности фирмы.
В части соблюдения требований по защите информации проверяется знание работником соответствующих нормативных и инструктивных документов, умение применять требования этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными документами, умение общаться с посторонними лицами, не раскрывая секретов фирмы и т.д.
По результатам аттестации издается приказ (распоряжение), в котором отражаются решения аттестационной комиссии о поощрении, переаттестации, повышении в должности или увольнении сотрудников. Аттестационная комиссия может также выносить определение об отстранении сотрудника от работы с информацией и документами, составляющими секреты фирмы.
Другой формой контроля является заслушивание руководителей структурных подразделений и руководителя службы безопасности на совещании у первого руководителя фирмы о состоянии системы защиты информации и выполнении ее требований работниками подразделений. Одновременно на совещании принимаются решения по фактам нарушения работниками установленных правил защиты секретов фирмы.
Формой контроля являются также регулярные проверки выполнения сотрудниками (в том числе хорошо работающими) правил работы с конфиденциальной информацией, документами и базами данных. Проверки проводятся руководителями структурных подразделений и направлений, заместителями первого руководителя и работниками службы безопасности.
Проверки могут быть плановыми и внеплановыми (внезапными). Внезапные проверки проводятся при возникновении малейшего подозрения о разглашении или утечке информации.
Самоконтроль состоит в проверке самими руководителями и исполнителями полноты и правильности выполнения ими действующих инструктивных положений, а также в немедленном информировании службы безопасности и непосредственного руководителя о фактах утери документов, утрате по какой-либо причине ценной информации, разглашении лично или другими сотрудниками сведений, составляющих секреты фирмы, нарушении работниками порядка защиты информации.
При работе с персоналом фирмы следует сосредоточивать внимание не только на сотрудниках, работающих с конфиденциальной информацией. Под контролем должны находиться также лица, не имеющие доступа к секретам фирмы.
Следует учитывать, что эти работники могут быть посредниками в действиях злоумышленника: в проведении электронного шпионажа, создании условий для хищения документов, снятии с них копий и т.п.
Кроме того, необходимо помнить, что работники, владеющие конфиденциальной информацией, вынуждены действовать в рамках требований, регламентированных инструкцией по обеспечению режима конфиденциальности. Ограничение свободы человека в использовании информации может приводить к стрессам, нервным срывам. Сохранение чего-то в тайне противоречит потребности человека в общении путем обмена информацией. В связи с этим особенно важно, чтобы психологический настрой коллектива и отдельных работников всегда находился в центре внимания руководства фирмы и службы безопасности.
В случае установления фактов невыполнения любым из руководителей или работников требований по защите информации к ним в обязательном порядке должны применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка. Важно, чтобы наказание было неотвратимым и своевременным, не взирая на должностной уровень работника и его взаимоотношения с руководством фирмы.
Одновременно с виновным лицом ответственность за разглашение сведений, составляющих секреты фирмы, несут руководители фирмы и ее структурных подразделений, направлений деятельности, филиалов, т.к. они полностью отвечают за разработку и реализацию мер, обеспечивающих информационную безопасность всех видов деятельности фирмы.
Информационная база для контроля работы персонала, владеющего конфиденциальной информацией, формируется на основе анализа степени осведомленности работников в секретах фирмы. Эта работа входит в состав комплексного аналитического исследования по поиску и обнаружению каналов утраты персоналом конфиденциальной информации. Объектами комплексного аналитического исследования являются: выявление, классификация и постоянное изучение источников и объективных каналов распространения конфиденциальной информации, а также обнаружение и анализ степени опасности источников угрозы информации. Важен превентивный контроль безопасности ценной информации.
Одновременно подлежат специальному (экстремальному) учету все замеченные несанкционированные или ошибочные действия персонала с документами и информацией, нарушения системы доступа к информации и правил работы с конфиденциальными документами и базами электронных данных. Подобные факты подлежат оперативному, тщательному сравнительному анализу, а результаты анализа должны докладываться непосредственно первому руководителю фирмы.
В целях превентивного контроля рекомендуются следующие учетные и аналитические действия по отношению к персоналу, который обладает или может обладать конфиденциальной информацией:
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
• анализ реального состава известной персоналу конфиденциальной информации и динамики ее распределения по структурным подразделениям фирмы;
• анализ степени владения конфиденциальной информацией руководством фирмы, руководителями структурных подразделений, направлений деятельности и каждым работником, т.е. учет уровня и динамики их реальной осведомленности в секретах фирмы;
• анализ выявленных потенциальных и реальных источников угрозы персоналу в целом и каждому отдельному работнику с целью завладеть ценной информацией фирмы (конкурентов, соперников, криминальных структур и отдельных преступных элементов);
• анализ эффективности защитных мер, предпринятых по отношению к персоналу, их действенности в обычных условиях и при активных действиях злоумышленника.
Своевременный учет состава конфиденциальной информации, известной каждому из работников фирмы, является наиболее информативной частью аналитической работы в целом. Учитываются любые контакты любого работника фирмы с конфиденциальными сведениями, как санкционированные, так и случайные (ошибочные). Подлежит также учету выявленное несанкционированное ознакомление с информацией, к которой работник не имел разрешения на доступ, в том числе несанкционированное ознакомление с информацией работника, вообще не имеющего допуска для работы с конфиденциальной информацией.
Для учета и последующего анализа степени осведомленности работников в секретах фирмы ведется специальная учетная форма. Традиционная (карточная) или электронная учетная форма должна содержать ряд предметных зон, позволяющих сопоставлять функциональные обязанности сотрудника и состав конфиденциальной информации, полученной сотрудником, и который должен соответствовать выполняемым видам работы.
Целесообразно включить в учетную форму следующие зоны:
• зона штатных функциональных обязанностей работника, при реализации которых используется конфиденциальная информация (по утвержденной должностной инструкции);
• зона изменений и дополнений, внесенных в функциональные обязанности работника, с указанием документа-основания, его даты и фамилии руководителя, подписавшего документ;
• зона стандартного состава конфиденциальные сведений или их индексов, по перечню конфиденциальной информации фирмы, к которым допущен работник в соответствии с должностной инструкцией (с указанием наименования документа о допуске, его даты, номера и фамилии руководителя, подписавшего документ);
• зона изменений и дополнений в составе конфиденциальных сведений, к которым допускается работник в связи с пересмотром его должностных обязанностей (с указанием наименований и дат документов о допуске, фамилий руководителей, подписавших документы);
• зона документированной информации (документов), с которой знакомится или работает сотрудник, с указанием наименований документов, их дат и номеров, краткого содержания, целевого использования содержащихся в документах конфиденциальных сведений или их индексов по перечню, фамилий руководителей, разрешивших работу с документами;
• зона недокументированной конфиденциальной информации, которая стала известна работнику, с указанием даты и цели ознакомления, фамилии руководителя, разрешившего ознакомление, состава конфиденциальных сведений или их индексов по перечню;
• зона обнаруженного несанкционированного ознакомления работника с конфиденциальной информацией с указанием даты ознакомления, условий или причин ознакомления, фамилии виновного работника, места ознакомления, состава конфиденциальных сведений или их индексов по перечню.
Анализ осуществляется сравнением содержания записей в зонах и индексов известной сотруднику конфиденциальной информации, т.е. ведется поиск несоответствия.
По фактам разглашения или утечки конфиденциальной информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации организуется служебное расследование. Служебное расследование проводит специальная комиссия, формируемая приказом первого руководителя фирмы. Расследование предназначено для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного фирме ущерба. По результатам расследования даются рекомендации по устранению причин случившегося.
План проведения служебного расследования:
• определение возможных версий случившегося (утрата, хищение, уничтожение по неосторожности, умышленная передача сведений, неосторожное разглашение и т.д.);
• определение (планирование) конкретных мероприятий по проверке версий (осмотр помещений, полистная проверка документации, опрос сотрудников, взятие письменного объяснения у подозреваемого лица и т. д.);
• назначение ответственных лиц за проведение каждого мероприятия;
• указание сроков проведения каждого мероприятия;
• определение порядка документирования;
• обобщение и анализ выполненных действий по всем мероприятиям;
• установление причин утраты информации, виновных лиц, вида и объема ущерба;
• передача материалов служебного расследования с заключительными выводами первому руководителю фирмы для принятия решения.
При проведении служебного расследования все мероприятия обязательно документируются в целях последующего комплексного анализа выявленного факта.
Обычно анализируются следующие виды документов:
• письменные объяснения опрашиваемых лиц, составляемые в произвольной форме;
• акты проверки документации и помещений, где указываются фамилии проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц и Дата;
• другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т. д.).
Служебное расследование проводится в кратчайшие сроки. По результатам анализа составляется заключение о результатах проведенного служебного расследования, в котором подробно описывается проведенная работа, указываются причины и условия случившегося и полный анализ происшедшего.
Контроль защиты информации
Организация защиты информации на объектах, содержащих охраняемые сведения включает в себя следующие действия:
• выявление прямых и косвенных демаскирующих признаков,
• оценка возможностей различных видов ТСР и выявление опасных сил и средств технической разведки,
• разработка и реализация мер защиты информации,
• контроль эффективности зашиты информации.
Для успешного решения перечисленных задач необходимо по каждому этапу проводить оценку возможностей разведки.
Важнейшее и необходимое направление работ по защите информации - контроль эффективности защиты. Этот вид деятельности проводится прежде всего силами службы безопасности, а также руководителями структурных подразделений. Контроль инженерно-технической защиты является составной частью контроля зашиты информации в организации и заключается, прежде всего, в определении (измерении) показателей эффективности защиты техническими средствами и сравнении их с нормативными.
В настоящее время используются расчетные, расчетно-инструментальные и инструментальные методы контроля эффективности защиты информации.
Кроме того, различают следующие виды контроля:
• предварительный;
• периодический;
• постоянный.
Предварительный контроль проводится при любых изменениях состава, структуры и алгоритма функционирования системы защиты информации, в том числе:
• после установки нового технического средства защиты или изменении организационных мер;
• после проведения профилактических и ремонтных работ средств защиты;
• после устранения выявленных нарушений в системе защиты.
Периодический контроль осуществляется с целью обеспечения систематического наблюдения за уровнем защиты. Он проводится выборочно (применительно к отдельным темам работ, структурным подразделениям или всей организации) по планам, утвержденным руководителем организации, а также вышестоящими органами.
Постоянный контроль осуществляется выборочно силами службы безопасности и привлекаемых сотрудников организации с целью объективной оценки уровня защиты информации и выявления слабых мест в системе защиты информации. Кроме того, такой контроль оказывает психологическое влияние на сотрудников, вынуждая их работать качественнее.
Кроме того, существуют организационные и технические меры контроля.
При контроле эффективности противодействие TCP используются в основном инструментальные и инструментально-расчетные методы оценки возможностей средств разведки. При инструментальном методе используется аппаратура контроля с характеристиками, близкими к характеристикам средства разведки противника. Поэтому результаты контроля позволяют непосредственно определять возможности TCP. По обнаружению и анализу демаскирующих признаков защищаемого объекта. При инструментально-расчетном методе используется аппаратура с чувствительностью, ниже требуемой при инструментальном методе. Поэтому контроль демаскирующих признаков проводится на небольших по сравнению с дальностью разведки расстояниях и затем производится пересчет результатов измерений в показатели возможностей реальных средств разведки.
При проведении технического контроля эффективности противодействия (ПД) РРТР (радио- и радиотехнической разведке) осуществляется измерение параметров излучений РЭС с помощью специальной аппаратуры.
В зависимости от условий функционирования РЭС и характера реализованных мер по ПД РРТР задачами технического контроля могут быть:
• определение зон возможной РРТР;
• контроль мощности излучения РЭС на границе контролируемой территории;
• контроль вводимых ограничений на работу РЭС с излучением;
• определение величины ослабления излучений РЭС средствами пассивной радиотехнической маскировки.
Под зоной возможной разведки излучений РЭС понимается часть земной поверхности (пространства) вокруг РЭС, на границе которой спектральная плотность потока мощности излучений этого РЭС равна допустимому значению (норме).
Принцип построения зоны возможной разведки заключается в определении на радиальных направлениях от РЭС дальностей, на которых спектральная плотность потока мощности достигает установленного нормированного значения. Определение этих дальностей в зависимости от чувствительности применяемой аппаратуры контроля может производиться инструментальным или инструментально-расчетным методом.
При инструментальном методе определение границы зоны возможной разведки производится с помощью высокочувствительной аппаратуры путем последовательных измерений спектральной плотности потока мощности излучений РЭС на различных дальностях/Минимальная дальность от РЭС до аппаратуры контроля, на которой спектральная плотность потока мощности излучений достигает допустимого значения (нормы) и будет в данном направлении.
При использовании аппаратуры с чувствительностью ниже требуемой применяется инструментально-расчетный метод. В этом случае спектральная плотность потока мощности излучений РЭС измеряется на более близких по сравнению с дальностью возможной разведки расстояниях, а затем по определенной методике производится пересчет результатов измерений в дальность возможной разведки на заданном направлении.
При контроле мощности излучения РЭС на границе контролируемой территории может использоваться инструментальный и инструментально-расчетный метод. В первом случае производятся измерения реальных значений спектральной плотности потока мощности на границе контролируемой территории. При инструментально-расчетном методе измерения производятся на контролируемой территории, а полученные значения спектральной плотности потока мощности пересчитываются на границу контролируемой территории.
Контроль выполнения вводимых ограничений на работу РЭС с излучением проводится с целью определения правильности выбора и соблюдения ограничений в работе РЭС на излучение. Он включает проверку территориальных, энергетических, пространственных и временных ограничений. В работе РЭС на излучение, а также ограничений по параметрам излучений РЭС, подлежащих защите от TCP. Проверка территориальных, энергетических и пространственных ограничений заключается в определении с помощью аппаратуры контроля соблюдения норм ПД РРТР на границе контролируемой территории или границах секторов запрета работы РЭС с излучением.
Проверка временных ограничений в работе РЭС на излучение заключается в определении времени выключения и включения контролируемого РЭС по моментам пропадания и появления сигнала в аппаратуре контроля. При этом считается, что временные ограничения в работе РЭС соблюдаются, если РЭС выключается не позже и включается не раньше соответственно времени введения и отмены запрета на работу РЭС с излучением.
Проверка ограничений по параметрам излучений РЭС заключается в определении с помощью аппаратуры контроля значений характеристик излучений контролируемого РЭС и сравнении их с разрешенными значениями.
При применении средств пассивной радиотехнической маскировки (экранированных помещений и камер, экранов, эквивалентов антенн, поглощающих насадок и других средств) определяется величина ослабления излучений РЭС этими средствами. При этом сравниваются уровни сигналов или дальности возможной разведки для РЭС со средствами радиотехнической маскировки и без них, для каждой полосы частот, и определяется эффективность экранирования.
Измерения должны проводиться со всех сторон, в том числе и с крыши экранированного помещения. В качестве эффективности экранирования из полученных величин берется наименьшее значение для каждой полосы частот.
Полученная величина сравнивается с паспортными данными проверяемого средства, и на основании этого оценивается эффективность средства радиотехнической маскировки.
Контроль эффективности противодействия видовой разведки может осуществляться инструментально-расчетным и инструментальным методами. Выбор метода контроля в конкретной ситуации осуществляется исходя из требований к точности определения показателей эффективности противодействия, требований к продолжительности контроля, а также исходя из наличия специальной контрольно-измерительной аппаратуры.
При инструментально-расчетном методе контроля сначала проводится измерение набора параметров, характеризующих объект защиты и условия ведения разведки.
При противодействии оптической разведке могут измеряться:
• метеорологическая дальность видимости или коэффициент пропускания атмосферы;
• спектральные коэффициенты яркости объекта и фона (при противодействии оптической разведке в видимом диапазоне) или эффективная разность радиационных температур объекта и фона (при противодействии инфракрасной разведке);
• уровни естественной освещенности и т.д.
На основании измеренных значений параметров объекта, фона и среды осуществляется расчет нормируемых показателей эффективности противодействия конкретному виду радиолокационной или оптической разведки.
При инструментальном методе контроля выполняется съемка местности (применительно к радиолокационной, фотографической или оптико-электронной разведкам) и наблюдение (применительно к визуально оптической разведке) объектов в условиях, соответствующих условиям ведения разведки, с последующим дешифрированием полученных изображений и расчетом реальных значений показателей эффективности противодействия.
Для этих целей могут использоваться отечественные воздушные и космические системы наблюдения с характеристиками, аналогичными иностранным средствам видовой разведки. Более часто используется моделирование возможностей видовой разведки за счет размещения специальной аппаратуры контроля с худшими характеристиками углового разрешения на более близком расстоянии. Так, процесс космической оптической разведки может быть адекватно заменен фотографированием объекта даже бытовым фотоаппаратом с такой высоты полета вертолета, при которой обеспечивается одинаковое линейное разрешение на местности.
Для оценки эффективности противодействия визуально-оптической разведке, а в некоторых случаях и другим средствам оптической разведки допускается привлечение групп операторов-наблюдателей, имеющих опыт работы с приборами ночного видения и ознакомленных с демаскирующими признаками объекта защиты. По результатам серии наблюдений находятся оценки показателей эффективности противодействия оптической разведке.
Технический контроль (инструментальная проверка) объектов заключается в проведении определенных измерений с помощью контрольно-измерительной аппаратуры с целью проверки эффективности специальной защиты технических средств, систем и объектов от возможной утечки информации по техническим каналам.
Методы и средства измерений при проведении инструментального контроля имеют ряд характерных особенностей. К их числу относятся:
1. Широкий диапазон частот, в котором проводятся измерения.
2. Многообразие сигналов, циркулирующих в различных звеньях ТСОИ и вспомогательных системах и средствах. Эти сигналы могут быть импульсными или непрерывными, периодическими или случайными, низкочастотными или высокочастотными, узкополосными или широкополосными. Спектры измеряемых сигналов могут быть дискретными, непрерывными или иметь смешанную структуру.
3. Специфические средства измерений. В целях измерений используется различная измерительная и вспомогательная аппаратура: эталонные генераторы стандартных сигналов, селективные вольтметры, измерительные антенны и датчики поля, измерители напряженности поля и мощности, анализаторы спектра, программно-аппаратные комплексы контроля, а также эквиваленты сети, измерительные фильтры, согласующие трансформаторы, переходные устройства и т.д.
4. Разнообразие методик измерения, обусловленное необходимостью измерения параметров электромагнитных и акустических полей, электрических сигналов в токоведущих цепях и конструкциях, а также других сигналов, образующихся в результате различного рода преобразований (электроакустических, виброакустических и т.д.).
При проведении технического контроля проверяется эффективность принятых мер специальной защиты объектов от утечки информации за счет:
• побочных электромагнитных излучений;
• наводок побочных электромагнитных излучений на различные проводники и другие токопроводящие конструкции;
• высокочастотного навязывания;
• электроакустических преобразований;
• акустических колебаний;
• неравномерности потребления тока в сети электропитания.
При проведении технического контроля защиты объектов от утечки информации за счет побочных (нежелательных) электромагнитных излучений технических средств осуществляется измерение параметров излучений с помощью специальной аппаратуры. К числу измеряемых параметров сигналов относятся частота, ширина спектра, уровень сигнала и т.д.
Измерения проводятся в соответствии с определенными методиками в заданном диапазоне частот (например, при измерении уровня напряженности электрической составляющей электромагнитного поля ПЭМИ ЭВТ контроль ведется в диапазоне частот от 10 Гц до 1000 МГц).
Для измерения частоты сигнала могут быть использованы электронно-счетные частотомеры, измерительные приемники, селективные вольтметры и анализаторы спектра.
Для измерения уровня напряженности электромагнитного поля применяются измерительные устройства, состоящие из измерительной (калиброванной) антенны с известной действующей высотой h и приемника с калиброванным усилителем и вольтметром.
Напряженности электрической E и магнитной H составляющих определяют по измеренному на входе приемника значению напряжения Un.
На результаты измерения напряженности поля или плотности потока мощности существенное влияние оказывает форма сигнала. Поэтому важно, чтобы измерительная аппаратура реагировала на сигналы той формы, которые подлежат измерению. Это достигается выбором характеристик детектора, ширины полосы пропускания, динамического диапазона, времени накопления и других параметров измерительной аппаратуры.
Измерение уровня ПЭМИ может осуществляться либо на границе контролируемой территории, либо в непосредственной близости от контролируемого объекта на расстоянии, определяемом методикой измерения.
В последнем случае осуществляется пересчет результатов измерений на расстояние, соответствующее границе контролируемой территории. Измерение параметров ПЭМИ проводится для каждого технического средства, входящего в состав проверяемого объекта. По результатам измерений рассчитывают необходимый радиус контролируемой территории для каждого технического средства и объекта в целом.
Ряд технических средств и систем подлежит проверке на отсутствие самовозбуждения. Такая проверка проводится с использованием специальных тестовых сигналов по определенным методикам в заданных диапазонах частот.
Технический контроль защиты объектов от утечки за счет наводок осуществляется путем измерения напряжений и токов опасных сигналов в проводниках с помощью селективных вольтметров, измерителей радиопомех и других средств.
В качестве входных устройств используется эквивалент сети, пробник, токосъемник, измерительное сопротивление и т.д.
Эквивалент сети – это устройство, включаемое в сеть питания и предназначенное для создания регламентированного сопротивления нагрузки при частоте измерения. Кроме того, эквивалент сети исключает возможность проникновения помех из сети питания на вход измерительной аппаратуры и является согласующим устройством между высоковольтной сетью питания и высокочувствительными входными цепями измерительной аппаратуры.
Поиск, обнаружение и измерение параметров опасных сигналов осуществляется в диапазоне от 50 Гц до 1 ГГц. Измерения проводятся в каждом сетевом проводе.
Результаты измерений уровней напряжений (токов) опасных сигналов используются для расчета отношения «опасный сигнал/шум» в проверяемой цепи для каждой контролируемой частоты.
Если отношение не превышает заданного нормативно-технической документацией уровня, то считают, что возможность утечки информации с данного средства исключена. В противном случае необходимы дополнительные меры защиты.
Проведение технического контроля защиты объектов от утечки информации за счет высокочастотного навязывания осуществляется путем воздействия на технические средства, функционирующие в тестовом режиме, высокочастотных (навязываемых) электромагнитных колебаний. Обнаружение в цепях технического средства или в окружающем его пространстве навязываемого высокочастотного сигнала, промоделированного тестовым сигналом, свидетельствует о наличии утечки информации.
При контроле явления навязывания в линии измерительная аппаратура подключается к этой линии через соответствующее входное устройство, обеспечивающее развязку линии и подключаемых к ней устройств.
При контроле явления навязывания по полю прием излучаемых линией высокочастотных колебаний осуществляется с помощью измерительной антенны, подключаемой ко входу измерительного приемника.
Наличие на выходе измерительного приемника низкочастотного тестового сигнала с частотой F= 1000 Гц свидетельствует о том, что канал утечки информации за счет высокочастотного навязывания существует.
При наличии посторонних проводов, имеющих параллельный пробег с проводами и соединительными линиями технического средства обработки информации, контроль защиты от утечки за счет навязывания проводится и в этих проводах, играющих в рассматриваемом случае роль случайных приемных антенн.
В таких ситуациях подключение измерительной аппаратуры к посторонним проводам, проходящим параллельно проводам или соединительным линиям контролируемого технического средства, также осуществляется через входные устройства.
Возможен вариант реализации высокочастотного навязывания путем подключения аппаратуры навязывания к посторонним проводам, имеющим параллельный пробег с проводами или соединительными линиями технических средств обработки информации. В этих случаях посторонние провода играют роль случайных передающих и приемных антенн. Технический контроль защиты от утечки информации за счет навязывания в таких ситуациях может быть осуществлен путем подключения аппаратуры навязывания и аппаратуры контроля к этим посторонним проводам.
Проведение технического контроля защиты систем и средств информатизации и связи от утечки информации за счет высокочастотного навязывания по соединительным проводам и линиям осуществляется в широком диапазоне частот навязываемых сигналов (до 400 МГц). Контроль эффективности защиты информации от утечки за счет электроакустических преобразований.
Рассматриваемый вид технического контроля предназначен для обнаружения и измерения уровней опасных сигналов, возникающих в технических средствах обработки информации и соединительных линиях за счет микрофонного эффекта (т.е. за счет преобразования акустических колебаний в электрические сигналы).
К элементам технических средств, обладающим свойствами электроакустических преобразователей, относятся динамические головки громкоговорителей: микрофонные и телефонные капсюли, электрозвонки, электромагниты, трансформаторы и т.д.
Система контроля информации
Информационные потоки в компании по важности аналогичны кровеносной системе человека. На данном занятии школы менеджмента мы рассмотрим роль и важность информации в работе менеджера, характеристики полезной информации, обозначим, каким образом информационные системы участвуют в контроле. Также немного остановимся на типах информационных систем, применяемых в компаниях.
Дадим определения ключевых понятий: информация и данные. Данные - это сведения, факты, величины. Информация - это данные, которые организованы таким образом, чтобы приносить пользу людям.
Например, характеристика принтера - скорость печати 10 страниц. Минуту – это данные. Данными так же является средний объем печатаемых документов, скажем, 1000 страниц в час. Вывод о том, что скорость данного принтера недостаточна для того, чтобы обеспечить существующие потребности печати (10 с. в мин х 60 мин < 1000 с.), - это информация.
Информация всегда была и остается неотъемлемой частью работы любого менеджера. Менеджмент сам по себе может быть представлен как процесс сбора и получения, обработки и распространения информации.
Руководитель ежедневно получает информацию и данные в различных формах:
Например, получив служебную записку от подчиненного о возможных путях решения возникшей проблемы, менеджер дает указание решить проблему тем или иным способом, либо, получив письмо, руководитель дает своему помощнику задание - подготовить ответ.
Другая часть информации может быть отложена с тем, чтобы найти ей применение в будущем.
Например, получено письмо, содержащее деловое предложение, которое может быть интересно при заключении нового договора на поставку.
Частично полученная информация используется для создания новой информации.
Скажем, на основе полученных от подчиненных отчетов об их деятельности менеджер составляет отчет для передачи вышестоящему руководителю.
Некоторая часть полученной информации передается заинтересованным лицам.
Например, просматривая деловую прессу, менеджер обнаруживает информацию или данные, которые могут быть интересны его коллеге.
Оставшаяся ненужная часть информации отбрасывается.
Необходимость управлять информацией (сортировать, оценивать, упорядочивать, хранить в удобном и доступном виде) и контролировать ее растет вместе с ростом объемов самой информации.
Следующее важное понятие: информационные ресурсы - весь имеющийся объем информации в информационной системе, где под информационными системами подразумеваются как собственно информационные системы, так и библиотеки, архивы, банки данных. Другими словами, информационные ресурсы - это организационно оформленная и систематизированная совокупность целенаправленных данных, обеспечивающих взаимодействие между элементами компании, а также между компанией и внешней средой.
Деловую информацию можно классифицировать:
• по расположению источника информации по отношению к компании: внешняя и внутренняя информация;
• целевому назначению информации: рыночная, геополитическая, финансовая информация;
• характеру получения: первичная и вторичная информация.
Источниками внешней информации являются экономические, социальные, технологические, политические и другие отношения предприятия с клиентами, поставщиками, посредниками, конкурентами, партнерами, собственниками, государственными органами.
Информация из внешней среды часто приблизительна, неточна, неполна, противоречива, имеет вероятностный характер, а следовательно, требует особого внимания и нестандартных процедур обработки.
Можно выделить следующие виды внешней информации по целевому назначению:
• Рыночная информация включает сведения, мнения специалистов о рынках, товарах и перспективах их развития.
• Информация о конкурентах. Эта информация может касаться используемых конкурентами производственных технологий, маркетинговой политики, специалистов, поставщиков сырья.
• Макроэкономическая и геополитическая информация - это информация о состоянии экономики страны, экономических и политических взаимоотношениях между странами. Как правило, эта информация требуется компаниям для разработки долгосрочной стратегии.
• Информация о поставщиках и потенциальных поставщиках. Данная информация характеризует такие показатели, как расположение, надежность, качество и время доставки.
• Внешняя финансовая информация характеризует процентные ставки, валютные курсы, динамику курсов финансовых инструментов, движение на рынке капитала и т. д.
• Информация из государственных органов и органов управления включает законы, постановления, сообщения налоговых органов.
Внутренняя деловая среда формируется совокупностью структурных подразделений предприятия, а также технологическими, социальными, экономическими и другими отношениями между ними. Они порождают плановую, контрольную, учетную, научно-техническую, аналитическую и другую информацию.
В отличие от внешней информации информация внутренней среды, как правило, точная и достаточно полно отражает финансово-хозяйственное состояние предприятия.
Обработка внутренней информации обычно осуществляется с помощью стандартных формализованных процедур документооборота и внутрифирменного электронного документооборота.
По целевому назначению внутренняя информация может быть разделена на следующие категории:
- Информация о производстве и сбыте:
• издержки,
• производительность труда,
• качество продукции,
• отходы производства,
• поставки,
• методы и каналы сбыта.
- Информация о трудовых ресурсах:
• уровень квалификации и обучение персонала,
• расходы на кадровое обеспечение.
- Внутренняя финансовая информация:
• финансовые показатели работы фирмы по данным бухгалтерских балансов и другой отчетности.
Как и любая классификация, приведенная классификация достаточно условна, однако она позволяет понять структуру внешней и внутренней информации, необходимой для обеспечения выживаемости и конкурентоспособности компании.
Информация может быть получена в результате деятельности компании. Такую информацию называют первичной. Если же информация получена из каких-то уже имеющихся источников (газет, журналов, служб деловой информации, торговых ассоциаций, компаний, специализирующихся на сборе информации), она считается вторичной.
Информация необходима для процесса принятия решений. Поддержка процесса принятия решений может быть эффективной при условии обеспечения следующих свойств информации:
• Достоверность. Информация считается достоверной, если она не искажает реальное положение дел.
• Полнота. Информация полна, если ее достаточно для понимания, принятия решений.
• Объективность. Объективной считается информация, на которую методы обработки оказывают наименьшее субъективное влияние.
• Доступность. Доступность информации - это мера возможности ее получения.
• Актуальность. Актуальная информация соответствует текущей действительности.
• Понятность. Информация является понятной, если она выражена языком, доступным людям, для которых она предназначена.
• Своевременность. Информация своевременна, если она предоставлена в нужный момент и несет в себе сведения, необходимые для ее понимания и принятия решений.
• Ценность. Ценность информации отражает степень снижения состояния неопределенности.
Информационный менеджмент - процесс, направленный на обеспечение персонала компании, клиентов и поставщиков своевременной, полезной, актуальной, достоверной информацией с целью выполнения миссии компании.
Информационный менеджмент включает: планирование, прогнозирование, организацию, координацию, контроль деятельности организации в сфере информации, информационных технологий и систем.
Информационный менеджмент направлен, прежде всего, на управление информационными ресурсами, которое включает: оценку информационных потребностей на каждом уровне и в рамках каждой функции управления (планирование и прогнозирование); изучение документооборота организации, его рационализацию; стандартизацию типов и форм документов, типизацию информации и данных (организация); преодоление проблемы несовместимости типов данных; создание и поддержку систем управления данными (координация).
Информация является как инструментом контроля, так и его предметом. Во-первых, именно в результате развития информационных технологий и информационных систем появилась возможность точно фиксировать результаты каждой операции процесса производства или бизнес-процесса и впоследствии анализировать, координировать и оптимизировать их. Большинство современных методов и инструментов контроля реализуемы только с помощью информационных технологий и систем, особенно в тех случаях, когда сами процессы осуществляются с использованием компьютерной техники и информационных систем.
Скажем, отследить состояние (этап, который он проходит) проекта документа в системе электронного документооборота можно только имея соответствующие возможности в этой системе.
Во-вторых, информация является предметом пристального контроля. Если представить процесс работы с информацией в компании в виде трех крупных этапов: получение информации, обработка, передача информации во внешнюю среду, то на каждом из этапов будет осуществляться контроль.
На этапе получения информации, прежде всего, должна отсеиваться (или фильтроваться) вредоносная (вирусы и другие вредоносные программы) и мусорная (спам) информация. Оставшаяся информация оценивается в соответствии с характеристиками полезной информации (см. выше), скажем, неактуальная информация или информация, полученная из непроверенных источников, также должна быть исключена.
На этапе обработки необходимо проконтролировать, во-первых, то, что в обработку поступает именно та информация, которая должна быть обработана, во-вторых, что используются соответствующие методы и средства обработки (информационные технологии и информационные системы, см. ниже), и в-третьих, что информация используется эффективно, то есть полученные результаты используются в процессе реализации различных функций менеджмента: при планировании, прогнозировании, принятии решений, организации, мотивации, контроле.
При выходе информации из компании (передаче информации во внешнюю среду) контроль отслеживает, не происходит ли утечки информации, соблюдаются ли внутренние положения и инструкции по информационной безопасности и защите информации, а также осуществляется ли мониторинг формы исходящей информации на предмет соответствия различным регулирующим и нормативным документам (то есть соблюдение правил оформления бумажных и безбумажных документов).
Прежде чем перейти к понятию "информационная система", остановимся на понятии "информационная технология". Информационные технологии - это процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Информационная технология включает:
• комплекс технических средств, состоящий из средств вычислительной, коммуникационной и организационной техники;
• комплекс программных средств, состоящий из системного (общего или инфраструктурного) и прикладного программного обеспечения;
• организационно-методическое обеспечение, включающее инструктивные и нормативно-методические материалы по организации работы управленческого и технического персонала в рамках конкретной информационной технологии.
Термин информационная система в современной практике употребляется в двух трактовках. В первом случае - это комплексное понятие, характеризующее совокупность информации, информационных ресурсов, информационных технологий, а также персонала: пользователей (к примеру, бухгалтер, маркетолог, кладовщик и др.) и профессионалов (системный администратор, программист и т. п.), работающих и поддерживающих информационные системы. То есть все элементы, участвующие в создании, обработке, использовании, передаче информации и информационных ресурсов. Во втором - под "информационной системой" подразумевают некоторую программу или приложение.
Все программы в компании делятся на две большие категории: инфраструктурные приложения и бизнес-приложения.
Инфраструктурные приложения. Инфраструктурные приложения предназначены для того, чтобы обеспечить и поддержать работу бизнес-приложений.
К инфраструктурным приложениям относятся:
• Языки программирования и системы разработки приложений. Их назначение заключается в том, чтобы при необходимости создать новое бизнес-приложение, то есть создать программу, выполняющую необходимую задачу пользователя.
• Предположим, в компании есть система электронного документооборота и система управления кадрами. Для того чтобы данные попадали из одной системы в другую, необходимо создать программу, которая позволит это делать.
• Системы управления базами данных и хранилища данных предназначены для организации и хранения различных данных компании.
• Системы бизнес-анализа (Business Intelligence - BI). В данную группу входит программное обеспечение, предоставляющее методы анализа, оценки, поиска, прогнозирования, оптимизации, пригодные для применения в самых различных областях.
• Программное обеспечение для управления корпоративной сетью и системами. Так же как и любому компьютеру для работы нужна операционная система, корпоративным сетям необходима система, управляющая их работой.
• Программное обеспечение по безопасности компании включает как простейшие антивирусные пакеты, так и сложные корпоративные системы информационной безопасности.
Бизнес-приложения. Бизнес-приложения, в свою очередь, направлены на решение уже конкретных задач бизнес-пользователей.
Например, менеджеров отдела снабжения, бухгалтеров, маркетологов, инженеров.
Выделим некоторые группы бизнес-приложений:
• Управление ресурсами предприятия (Enterprise Resource Planning -ERP). Основными функциями подобных систем являются: оперативный контроль и регулирование, оперативный учет и анализ, перспективное и оперативное планирование, бухгалтерский учет, управление сбытом, снабжением и другие экономические и организационные задачи.
• Управление взаимоотношениями с клиентами (Customer Relationship Management - CRM). Эта группа систем направлена на автоматизацию маркетинга, деятельности торговых представителей, службы поддержки и обслуживания клиентов, организацию центров обработки вызовов и контакт-центров, техническую поддержку клиентов.
• Управление логистической сетью (Supply Chain Management - SCM). Данные системы направлены на синхронизацию спроса и предложения, осуществляемую с минимальными затратами. Основными функциями БСМ - системы являются:управление складами, управление поставками (транспорт, организация торговых площадок).
• Программное обеспечение для проектирования и дизайна (системы автоматизации инженерных разработок CAE - Computer Aided Engeneering, системы управления разработкой продукта PDM -Product Design Management, системы компьютерной поддержки дизайна CAD - Computer Aided Design). Предназначены для автоматизации функций инженеров-проектировщиков, конструкторов, архитекторов, дизайнеров, а также руководителей конструкторских подразделений при создании новой техники или технологии. Основными функциями подобных систем являются: инженерные расчеты, создание графической документации (чертежей, схем, планов), создание проектной документации, моделирование проектируемых объектов.
• Системы управления знаниями и информационным взаимодействием. В эту группу входят:
• электронная почта и ведение календаря; системы поддержки групповой работы - GroupWare; Например, Lotus Notes/Domino, Outlook/Projects/Exchange.
• приложения, позволяющие организовать информационное взаимодействие в реальном времени;
• Чаты, ICQ, IP-телефония.
• приложения управления содержимым и документами.
Данные программы предназначены для организации, хранения и использования корпоративных знаний и контента, а также для управления доступом к ним и обеспечения их безопасности. Системы электронного документооборота предназначены для обеспечения хранения, поиска, управления версиями, маршрутизации и других этапов жизненного цикла документа.
В заключение нужно сказать, что информационные системы, с одной стороны, позволяют решать многие задачи и проблемы бизнеса, а с другой стороны - сами требуют полнофункционального управления на всех уровнях компании.
Контроль информации организации
Сегодня большинство компаний пришли к пониманию того, что активность подчиненных в течение рабочего дня целесообразно контролировать. Как показывает практика контроля в организациях, это очень легко сделать на базе рабочих компьютеров с помощью специального программного обеспечения. Но как сотрудники должны воспринимать подобные действия руководства: как необходимость или глупую прихоть начальства, которому захотелось играть в шпионов и контрразведчиков? Чтобы разобраться, необходимо ответить на другой важный вопрос: для чего нужен контроль в организации?
Понять мотивы поведения и причины управленческих решений начальства поможет базовая установка: между начальством и сотрудниками устанавливаются экономические отношения, и двум сторонам придется научиться взаимодействовать. Правила известны: за указанную плату работодатель покупает знания и умения своего работника на определенный период времени, а работник – обязуется своевременно выполнять порученные ему задания.
И вполне естественно, что в организации возникают конфликты интересов. С одной стороны, работодатель старается переложить как можно больше обязанностей на плечи сотрудников с учетом минимальной заработной оплаты. Работник, с другой стороны, старается за ту же зарплату делать как можно меньше работы и по мере возможности требует повышения заработной платы и перспектив карьерного роста. В данной ситуации возможность сотрудника уйти на новое место работы сдерживает повышенную требовательность начальства, а благодаря системе контроля работодатель может контролировать рабочий процесс и вести учет рабочего времени.
В современных организациях прослеживается тенденция к контролю рациональности и эффективности труда сотрудников. Очень часто на современных предприятиях происходит утечка корпоративной информации: бизнес-планов, финансовых отчетов; бухгалтерских документов; личных данных клиентов; контактов компаньонов и других важных данных.
Более трети современных крупных отечественных компаний пострадали из-за информационной утечки. И в связи с принятием закона №152-ФЗ «О персональных данных» показатели стали существенно расти.
Случается, и довольно часто, что для контроля за сотрудниками нет объективных, обоснованных причин, да и сами сотрудники не всегда дают повод обвинять их в неправомерных действиях. Значит, работодатель просто хочет держать все под контролем и постоянно быть в курсе того, чем занимаются работники для подстраховки, или как подтверждение страхов по поводу того, что сотрудники строят козни начальству. И все же подобные «параноидальные» мотивы контроля в организации в большинстве случаев нетипичны и в реальной жизни редко встречаются.
Современные руководители предприятий производят контроль за своими сотрудниками без особого энтузиазма. Хотя понимают, что это нужный элемент ведения бизнеса, прекрасно осознают положительные и негативные стороны контроля.
А вот сотрудники организации, процесс работы которых становятся полностью прозрачным, наоборот, реагируют с недовольством и порой даже проявляют агрессию. К общему сожалению, не каждый работник способен смириться и принять тот факт, что контроль рабочих процессов и анализ продуктивности сотрудников — не прихоть, а нужные и важные меры.
Наоборот, отсутствие контроля в организации должно насторожить сотрудника, особенно претендента на открытую вакансию. Если руководство не беспокоится о защите собственных интересов, не считает нужным следить за тем, протекает процесс работы в коллективе продуктивно или «буксует», то вполне вероятно, однажды он не сочтет нужным беспокоится об интересах сотрудников – перестанет своевременно и полно платить за работу.
Нередко в организациях, особенно с уже давно сформировавшимся коллективом, при введении системы контроля находятся сотрудники с демонстративным желанием уйти из организации. Мотивация протеста всегда сводится к одном и тому же аргументу: начальство ограничивают право на частную жизнь и личную свободу. Это естественно, ведь никому не нравится находится «под микроскопом» с девяти до шести с понедельника по пятницу.
Редко наемные сотрудники задумываются о том, что система контроля вводится в организации с целью сохранить конфиденциальную информацию и повысить продуктивность работы всего коллектива, чтобы обеспечить благополучие компании, а значит, и рабочие места, и рост зарплаты.
Так что почти всегда сотрудники пытаются обойти систему контроля. Предупредить протесты в коллективе при внедрении системы контроля поможет простой алгоритм.
Если раньше в компании не применяли контроль рабочего времени, прежде всего, надо честно рассказать, почему именно теперь требуется следить за занятостью сотрудников. Объяснить, что дело не в утрате доверия, а в объективных причинах.
Например, необходимо сохранить бизнес в кризис, а для этого:
- сократить издержки;
- препятствовать воровству и мошенничеству;
- оптимизировать бизнес-процессы;
- объективно оценить заслуги каждого сотрудника.
Чтобы сотрудники более свободно выражали сомнения, возмущения и претензии к руководству, опрос лучше всего проводить анонимно. В дополнение к сбору обратной связи будет не лишне провести общее собрание с участием юриста. Пусть специалист разъяснит положения части 1 статьи 22 Трудового кодекса, где закреплено право работодателя контролировать исполнение работником трудовых обязанностей и использование им оборудования и других технических средств, предоставленных нанимателем для работы.
Сотрудникам кажется, что плюсов у контроля нет совсем. Очевидная, хотя и нематериальная выгода заключается в том, что руководитель видит, как нагружен каждый сотрудник в организации, и может равномерно распределить задачи, что избавляет от переработок и их последствий вроде сниженной мотивации, профессионального выгорания и т.д.
В трудовом договоре необходимо закрепить правила использования информационных ресурсов и технических средств организации. Сотрудников также следует уведомить под подпись о том, что в компании внедряется контроль за качеством выполняемой работы. Точные формулировки зависит от того, какие виды контроля и программные инструменты используются в компании. Документы послужат страховкой на случай необоснованных претензий со стороны сотрудников, а если дело дойдет до разбирательства в суде – пригодятся для обоснования законности средств контроля.
Контроль средств массовой информации
Вступили в силу изменения в Закон Российской Федерации № 2124-I «О средствах массовой информации», касающиеся новых требований, предъявляемых к выходным данным сетевых изданий.
Обязательной к опубликованию в выходных данных является следующая информация:
- наименование (название) средства массовой информации (должно полностью соответствовать наименованию (названию), указанному в свидетельстве о государственной регистрации СМИ);
- учредитель (соучредители) СМИ;
- фамилия, инициалы главного редактора;
- адрес электронной почты и номер телефона редакции;
- знак информационной продукции в случаях, предусмотренных Федеральным законом № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию»;
- зарегистрировавший СМИ орган и регистрационный номер свидетельства о государственной регистрации СМИ.
Вопрос: О принятии мер к средствам массовой информации за распространение ими информации, не соответствующей действительности, порочащей честь и достоинство гражданина или организации.
Ответ: Законом Российской Федерации № 2124-1 «О средствах массовой информации» (далее – Закон) определен порядок рассмотрения претензий к средствам массовой информации за распространение сведений, не соответствующих действительности, порочащих честь и достоинство граждан или организации.
В соответствии со ст. 43 Закона гражданин, его законные представители или организация вправе потребовать от редакции опровержения не соответствующих действительности и порочащих их честь и достоинство сведений, которые были распространены в данном средстве массовой информации.
Если редакция СМИ не располагает доказательствами того, что распространенные сведения соответствуют действительности, она обязана опровергнуть их в том же средстве массовой информации. Статья 44 Закона обязывает редакцию в течение месяца со дня получения требования об опровержении, либо его текста в письменной форме уведомить гражданина или организацию о предполагаемом сроке распространения опровержения, либо об отказе в его распространении с указанием оснований отказа. Основания отказа в опровержении регламентируются статьей 45 Закона.
Отказ в опровержении либо нарушение установленного Законом порядка опровержения могут быть в течение года со дня распространения опровергаемых сведений обжалованы в суде в соответствии с гражданским и гражданско-процессуальным законодательством Российской Федерации.
Кроме того, ст. 129 Уголовного кодекса Российской Федерации (далее – УК РФ) предусматривает ответственность за клевету, т.е. распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его репутацию.
В соответствии с Уголовно-процессуальным кодексом Российской Федерации дела о преступлениях, предусмотренных ч. 1 ст. 129 УК РФ, возбуждаются не иначе как по жалобе потерпевшего. Органом, защищающим честь и достоинство гражданина, на основании ст. 46 Конституции Российской Федерации, является суд.
Роскомнадзор не уполномочен принимать решение о наличии в содержании материалов СМИ информации, не соответствующей действительности, порочащей честь и достоинство гражданина, не вправе обязать редакцию опубликовать опровержение.
Только после вступления в законную силу решения суда, установившего факт клеветы, Роскомнадзор вправе рассматривать вопрос о применении в отношении редакции СМИ мер, предусмотренных законодательством Российской Федерации о средствах массовой информации.
Вопрос: О субтитровании и сурдопереводе телевизионных программ для людей с ограниченными возможностями по слуху.
Ответ: Роскомнадзор не имеет законных оснований обязать вещателя включить в программную концепцию вещания передачи с субтитрами или сурдопереводом. Трансляция в эфире программ с субтитрами или сурдопереводом не предусмотрена в качестве лицензионного условия осуществления телевизионного вещания лицензиатами.
Вопрос: О принятии мер к интернет-сайтам, не зарегистрированным в качестве СМИ, за распространение в сети Интернет ненадлежащего контента (например, материалов, содержащих признаки экстремистской деятельности, нецензурную лексику, пропагандирующих порнографию и т.п.).
Ответ: Роскомнадзор в соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства Российской Федерации № 228, осуществляет государственный контроль и надзор за соблюдением законодательства Российской Федерации в сфере средств массовой информации и массовых коммуникаций, телевизионного вещания и радиовещания.
Контроль за интернет-сайтами, не зарегистрированными в качестве СМИ, не входит в функции Роскомнадзора.
Принятие мер за распространение ненадлежащего контента в сети Интернет на сайтах, не зарегистрированных в качестве СМИ, относится к компетенции правоохранительных органов.
Вопрос: Относится ли контроль за соблюдением законодательства о рекламе к функциям Роскомнадзора?
Ответ: В соответствии с постановлением Правительства РФ №189 надзор и контроль за соблюдением законодательства о рекламе осуществляет Федеральная антимонопольная Служба Российской Федерации.
Контроль сбора информации
Маркетинговое исследование - это процесс поиска, сбора, обработки данных и подготовки информации для принятия оперативных и стратегических решений в системе предпринимательства.
Соответственно данное определение четко определяет основные этапы проведения любого маркетингового исследования:
• разработка концепции исследования;
• поиск и сбор информации;
• обработка данных;
• подготовка итоговой аналитической записки (отчета).
В зависимости от используемых источников информации исследования делятся на:
• кабинетные;
• полевые.
Однако, на практике, полевые и кабинетные исследования дополняют друг друга, решая свой конкретный круг вопросов.
Кабинетное исследование - поиск, сбор и анализ уже существующей вторичной информации ("исследование за письменным столом"). Вторичная информация представляет собой данные, собранные ранее для целей, отличных от решаемых в настоящий момент. Основными достоинствами работы с вторичной информацией являются: небольшая стоимость работ, поскольку не нужен сбор новых данных; быстрота сбора информации; наличие нескольких источников информации; относительная достоверность информации из независимых источников; возможность предварительного анализа проблемы. Очевидными недостатками работы с вторичной информацией являются: частое несоответствие вторичных данных целям проводимого исследования, в силу общего характера последних; информация, зачастую является устаревшей; методология и инструментарий, с помощью которых собраны данные, могут не соответствовать целям настоящего исследования. В связи с этим, зачастую кабинетное исследование дополняется параллельным проведением нескольких экспертных интервью для повышения валидности информации.
Полевое исследование - поиск, сбор и обработка данных специально для конкретного маркетингового анализа. Любое полевое исследование основывается на первичной информации, иными словами на только что полученных данных для решения конкретной исследуемой проблемы. Основные достоинства первичной информации: данные собираются в строгом соответствии с точными целями исследовательской задачи; методология сбора данных строго контролируется. Главным недостатком сбора полевой информации являются значительные затраты материальных и трудовых ресурсов.
В зависимости от используемых инструментов (методов) сбора полевой (первичной) информации исследования можно разделить на:
• количественные;
• качественные.
Зачастую, практическая реализация маркетинговых исследований требует комплексного подхода - совместного использования количественных и качественных методик.
Количественные исследования это основной инструмент получения необходимой информации для планирования и принятия решений в случае, когда необходимые гипотезы относительно поведения потребителей уже сформированы. В основе методик количественных исследований всегда лежат четкие математические и статистические модели, что позволяет в результате иметь не мнения и предположения, а точные количественные (числовые) значения изучаемых показателей. На основе результатов количественных исследований можно рассчитывать необходимые объемы производства, рентабельность, формировать цену, параметры продукта, находить незанятые ниши рынка и многое другое. Основная заслуга количественных исследований в том, что они снижают риск принятия неправильных решений и выбора неточных параметров планирования. Уверенность в том, что и без исследований все известно о рынке, часто оборачивается недостаточно продуманными и недостаточно эффективными действиями на рынке и напоминает метод проб и ошибок.
Количественные исследования являются наиболее адекватным способом численной оценки:
• емкости рынка и структуры предложения и спроса;
• объемов продаж операторов рынка;
• перспектив развития продукта;
• эффективности различных направлений деятельности компаний по поддержке и продвижению продукта;
• направлений развития продуктового портфеля и отдельных его составляющих;
• эффективности рекламной деятельности;
• эффективности работы дистрибьюторской сети;
• реакции потребителей на возможные маркетинговые действия производителя.
Качественные исследования в отличие от количественных фокусируются не на статистических измерениях, а опираются на понимание, объяснение и интерпретацию эмпирических данных и являются источником формирования гипотез и продуктивных идей. Проще говоря, они отвечают не на вопрос "сколько?", а на вопросы "что?" "как?" и "почему?". В качественных исследованиях широко используются проективные и стимулирующие техники - неструктурированные, недирективные способы задавать вопросы, которые помогают исследователю раскрыть мотивы, верования, установки, отношения, предпочтения, ценности, степень удовлетворенности, проблемы респондентов и пр. относительно продуктов или брендов. Проективные техники способствуют преодолению таких трудностей коммуникации, как вербализация чувств, отношений и т.п., а также выявлению латентных мотивов, неявных установок, вытесняемых чувств и пр.
Наибольшее применение качественные исследования находят при изучении:
• моделей потребления, покупательского поведения и факторов, определяющих выбор;
• отношения к продуктам, брендам и компаниям;
• степени удовлетворенности существующими продуктами;
• покупательских намерений.
Немаловажное значение качественные исследования играют при разработке новых продуктов, где эти исследования позволяют:
• понять, существует ли на исследуемом рынке ниша для нового продукта;
• выявить отношение к новым продуктам (или концепциям продуктов).
Использование качественных исследований на этапе стратегической разработки концепции бренда, обеспечивая возможность:
• генерации комплекса идей относительно концепции позиционирования бренда;
• оценки концепции бренда;
• генерации идеи относительно креативного воплощения стратегических концепций;
• оценки элементов маркетинговой коммуникации (названия, логотипа, упаковки, TV рекламы и пр.).
Ещё одной областью приложения качественной методологии являются так называемые диагностические исследования. Очевидно, что восприятие продукта и рекламы потребителями меняется со временем. Качественные исследования в таких случаях помогают определить уровень, направление и характер изменений восприятия бренда и рекламы со временем.
Кроме того, качественная методология может быть использована при проведении тактических исследований для выбора наиболее успешного варианта исполнения (execution) рекламы, упаковки, логотипа. Для тестирования могут быть предложены альтернативные варианты визуальных, текстовых и пр. элементов конкретного исполнения уже созданной рекламы, упаковки и пр.
Несмотря на огромное количество разнообразных исследовательских методик и техник, общая схема мероприятий, реализуемых в рамках рыночных исследований, достаточно проста и понятна.
Основными источниками получения маркетинговой информации являются:
• Интервью и опросы;
• Регистрация (наблюдение);
• Эксперимент;
• Панель;
• Экспертная оценка.
Интервью (опрос) - выяснение позиции людей или получение от них справки по какому-либо вопросу. Опрос - это наиболее распространенная и важнейшая форма сбора данных в маркетинге. Приблизительно 90% исследований используют этот метод. Опрос может быть устным (личным) или письменным.
При письменном опросе участники получают опросные листы (анкеты), которые они должны заполнить и отдать по назначению. Обычно, в письменных опросах используются закрытые вопросы, ответы на которые заключаются в выборе одного из приведенных. Обычно, при письменных опросах, опросный лист рассылается представителям целевой аудитории, по средствам электронной почты, почтовой рассылки или факсимильной связи. Основным недостатком, ограничивающим использование данного метода, является длительный период и низкий процент (в среднем 3%) возврата заполненных анкет.
Личные (Face-to-face) и телефонные опросы принято называть интервью.
Телефонные интервью - это относительно дешевый метод проведения опросов любого уровня точности с точки зрения построения выборки (географическое расположение респондентов не имеет принципиального значения с точки зрения стоимости проведения интервью). Данный метод применим только в количественных исследованиях.
Однако существуют объективные недостатки использования данного метода:
• не совсем полный контроль понимания и искренности респондента;
• нет возможности предъявлять визуальные материалы (образцы, карточки с вариантами ответов);
• нереализуемость длительных интервью (по телефону сложно удержать внимание собеседника более 15 минут);
• в городах с недостаточным уровнем телефонизации невозможно получить репрезентативную выборку.
Интервью face-to-face могут быть формализованные и неформализованные.
При формализованном интервью имеется конкретная схема проведения опроса (обычно это опросный лист, содержащий заранее подготовленные четкие формулировки вопросов и продуманные модели ответов на них). Формализованное интервью теряет большую часть своего смысла, если ответы респондентов не анализируются в плоскости их социальных и демографических (отраслевых и географических) характеристик. Поэтому он предполагает обязательно заполнение "паспортички", куда вносятся те данные о каждом респонденте, необходимость которых диктуется опять - таки исследовательской программой. Подобные интервью проводятся на улице, в магазинах, на общественных мероприятиях, по месту жительства респондентов (поквартирные опросы), и т.п. Наибольшее применение формализованные опросы получили при реализации количественных исследований. Основными недостатками данного метода являются: относительно высокая стоимость и незначительный географический охват.
Неформализованные интервью - это специфический метод сбора информации, при котором имеются только тема и цель. Конкретной схемы проведения опроса, нет. Это дает возможность выявления глубинных мотивов действий потребителя, изучения как рациональных, так и иррациональных причин его покупательского поведения. На практике, неформализованные интервью используются при проведении качественных исследований. Неформализованные интервью бывают индивидуальные и групповые.
Индивидуальные неформализованные интервью проводятся с респондентом один на один в форме диалога, при этом респондент имеет возможность высказать развернутые суждения по исследуемой задаче. Можно выделить такие формы проведения индивидуальных неформализованных интервью, как глубинные интервью и холл - тесты.
Глубинные интервью - представляют собой серию индивидуальных интервью по заданной тематике, проводимых согласно путеводителю обсуждения. Интервью проводит специально обученный интервьюер высокой квалификации, который хорошо разбирается в теме, владеет техникой и психологическими приемами ведения беседы. Каждое интервью проходит в течение 15-30 минут и сопровождается активным участием респондента - он раскладывает карточки, рисует, пишет и т.д. Глубинные интервью, в отличие от структурированных, применяемых в количественном опросе, позволяют глубже проникнуть в психологию респондента и лучше понять его точку зрения, поведение, установки, стереотипы и т.д. Глубинные интервью, несмотря на большие (в сравнении с фокус-группами) затраты времени, оказываются весьма полезными в ситуациях, когда атмосфера групповой дискуссии нежелательна. Это бывает необходимым при изучении отдельных проблем и ситуаций, о которых не принято говорить в широком кругу, или когда индивидуальные точки зрения могут резко отличаться от социально одобряемого поведения - например, при обсуждении вопросов взаимоотношения полов, секса, некоторых заболеваний, скрытых политических убеждений и т.п. Глубинные интервью применяются при тестировании и проработке начальных рекламных разработок (креативных идей), когда требуется получить непосредственные, индивидуальные ассоциации, реакции и восприятие - без оглядки на группу. При этом оптимальным является сочетание метода глубинных интервью и фокус - групп с одними и теми же респондентами. И, наконец, глубинные интервью незаменимы при проведении качественных исследований, когда особенности целевой группы делают невозможным сбор респондентов на фокус-группу - т.е. в одно время в одном месте на 2-3 часа. Например, когда речь идет о занятых бизнесменах, богатых горожанах, узких профессиональных группах и т.п.
Холл - тесты - это личные полуформализованные интервью в специальном помещении. Как правило, используются помещения в библиотеках, магазинах, холлах административных зданий и т.п. Респондент и интервьюер садятся за столик, и интервью проходит в режиме структурированной беседы.
Необходимость холл - теста, как правило, вызвана одной из нескольких причин:
• тестирование громоздких образцов, которые неудобно носить по квартирам или нет уверенности, что в квартире найдется возможность провести интервью в нормальных условиях;
• тестирование ограничено количеством образцов;
• использование спец. аппаратуры (например, теле-видео) для демонстрации тестируемого материала;
• интервью проводится в местах скопления потенциальных респондентов, но оно сложное и не подходящее для разговора "на ногах".
Холл - тесты формально относится к количественным методам получения информации. С качественными методами холл - тест роднит то, что информация получается на относительно небольшой направленной выборке (от 100 до 400 человек), а также то, что респондента просят прокомментировать (объяснить) свое поведение. Для проведения холл - теста представители целевой группы (потенциальные потребители) приглашаются в помещение ("hall"), оборудованное для дегустации товаров и/или просмотра рекламы, где им предоставляется возможность продемонстрировать свою реакцию на тестируемый материал и объяснить причину своего выбора. В ходе ответов на вопросы анкеты определяются критерии выбора, частота и объем потребления марок изучаемой товарной группы. Метод применяется для оценки потребительских свойств нового товара: вкус, запах, внешний вид и т.п. Метод также используется при тестировании элементов товарной марки, упаковки, аудио - и видеороликов, рекламных обращений (узнаваемость рекламного сообщения, запоминаемость, достоверность, убедительность, понимание первичной и вторичной идеи рекламы, слогана и т.д.) и т.п.
Групповое неформализованное интервью (фокусированное интервью, фокус - группа) - представляет собой групповое обсуждение интересующих вопросов представителями целевой аудитории. "Фокус" в такой группе - на субъективном опыте людей, которые дают свое понимание и объяснение заданной темы, включая все её нюансы. Ход беседы управляется модератором по заранее разработанному плану и фиксируется на видеоплёнку. Как правило, в ходе дискуссии используются различные проективные методики, позволяющие узнать "реальное" отношение потребителей к исследуемому предмету, получив гораздо более глубокую и подробную информацию, чем на уровне "обычного" общения. Обычно люди не задумываются специально над теми вопросами, которые обсуждаются на группе, или не имеют возможности сопоставить свое мнение с мнениями других людей. В ходе фокус группы респондентов просят не просто оценить что-либо по принципу "нравится - не нравится", но и объяснить свою точку зрения. А последующий квалифицированный анализ полученных результатов позволяет понять психологические механизмы формирования того или иного мнения участников группы. Основным недостатком данного метода является тенденциальный характер результатов. Иными словами результаты фокусированных интервью нельзя выразить в числовом выражении, для дальнейшей экстраполяции на генеральную совокупность объектов исследований. Поэтому на практике фокус - групповая методика используется в сочетании с количественными методами исследований.
Наблюдение (регистрация) представляет собой форму маркетинговых исследований, с помощью которых осуществляется систематическое, планомерное изучение поведения того или иного объекта или субъекта. Наблюдение, в отличие от опроса не зависит от готовности наблюдаемого объекта сообщать информацию. Наблюдение - это процесс открытого или скрытого от наблюдаемого сбора и регистрации событий или особых моментов, связанных с поведением изучаемого объекта. Предметом наблюдений могут быть свойства и поведение индивидуумов; перемещение вещей, товаров и т.п. Недостатком наблюдений является невозможность выявления мнений, представлений, знаний людей. Поэтому на практике наблюдения обычно используются совместно с другими методами исследований.
Эксперимент - это исследование влияния одного фактора на другой при одновременном контроле посторонних факторов. Эксперименты подразделяются на лабораторные, проходящие в искусственной обстановке (тест продукта), и полевые, протекающие в реальных условиях (тест рынка). Основными недостатками, данного метода являются значительная стоимость и длительность проведения, что существенно ограничивает применение этого метода в практических исследованиях.
Панель - это повторяющийся сбор данных у одной группы опрашиваемых через равные промежутки времени. Таким образом, панель - это вид непрерывной выборки. Она позволяет зафиксировать изменения наблюдаемых величин, характеристик. Панельный опрос используют при изучении мнений потребителей определенной группы за какой-либо промежуток времени, когда определяются их потребности, привычки, вкусы, рекламации. Недостатками использования панелей являются: "смертность" панели, проявляющаяся в постепенном отказе участников от сотрудничества или переходе в другую потребительскую категорию, и "эффект панели", заключающийся в сознательном или бессознательном изменении образа поведения участников, находящихся под длительным контролем.
Экспертная оценка - это оценка исследуемых процессов квалифицированными специалистами - экспертами. Подобная оценка особенно необходима, когда невозможно получит неопосредованную информацию о каком-либо процессе или явлении. На практике для проведения экспертных оценок чаще всего применяют дельфи-метод, метод мозговой атаки и метод синектики.
Дельфи-метод - форма опроса экспертов, при которой их анонимные ответы собираются в течении нескольких туров и через ознакомление с промежуточными результатами получают групповую оценку исследуемого процесса.
Метод мозговой атаки заключается в неконтролируемой генерации и спонтанном переплетении идей участниками группового обсуждения проблемы. На этой базе возникают цепочки ассоциаций, которые могут привести к неожиданному решению проблемы.
Синектика считается методом с высоким творческим потенциалом. Идея метода заключается в постепенном отчуждении исходной проблемы путем построения аналогий с другими областями знаний. После многоступенчатых аналогий производится быстрый возврат к исходной задаче.
В ходе обработки и анализа данных маркетингового исследования первым этапом является частотный анализ. Далее следует описание статистических показателей изучаемых признаков.
Среди таковых основными можно отметить следующие показатели:
- Среднее (средняя арифметическая величина) - частное от деления суммы всех значений признака на их число. Оно определяется как сумма значений, деленное на их количество. Характеризует какую-либо совокупность в целом. Используется только для характеристики интервальных и порядковых шкал.
- Дисперсия - величина, равная среднему значению квадрата отклонений отдельных значений признаков от средней. Используется только для характеристики интервальных и порядковых шкал.
- Среднее линейное отклонение - величина, равная среднему значению модуля отклонений отдельных значений признаков от средней. Используется только для характеристики интервальных и порядковых шкал.
- Среднее квадратическое отклонение - величина, равная квадратному корню из дисперсии. Это мера разброса измеренных величин. Используется только для характеристики интервальных и порядковых шкал.
- Коэффициент вариации - отношение среднего квадратического отклонения к среднему арифметическому. Используется только для характеристики метрических шкал.
- Минимальное значение - это наименьшее значение переменной, встретившееся в массиве данных.
- Максимальное значение - это наибольшее значение переменной, встретившееся в массиве данных.
- Медиана - значение переменной у той единицы совокупности, которая расположена в середине ранжированного ряда частотного распределения. Отсекает половину ряда распределения. Используется только для характеристики метрических шкал.
- Верхний квартиль - значение признака, отсекающее 3/4 ряда распределения. Используется только для характеристики метрических шкал.
- Нижний квартиль - значение признака, отсекающее 1/4 часть ряда распределения. Используется только для характеристики метрических шкал.
- Мода - наиболее часто встречающееся значение переменной, т.е. значение, с которым наиболее вероятно можно встретиться в массиве.
- Частота - численное значение признака (количество ответов респондентов). Используется для всех видов шкал.
- Валидный процент - доля численного значения признака от общей численности совокупности. Используется для всех видов шкал.
Вторым этапом обработки и анализа данных маркетингового исследования является описание корреляционных связей между изучаемыми переменными. Корреляция представляет собой меру зависимости переменных. Существует несколько коэффициентов корреляции, указывающие на тесноту связи между исследуемыми переменными. Коэффициенты корреляции изменяются в пределах от +1 до -1. Если коэффициент корреляции равен -1, то переменные имеют строгую отрицательную зависимость (чем выше, тем ниже), если коэффициент корреляции равен +1, то переменные имеют строгую положительную зависимость (чем выше, тем выше). Следует отметить, что если коэффициент равен нулю, то связь между переменными отсутствует.
Среди наиболее известных и часто применяемых коэффициентов корреляции можно назвать:
Проверка выдвинутых исследовательских гипотез производится с помощью корреляционного, дисперсионного или факторного анализов. В следствие проведенного анализа данных, выдвинутая гипотеза подтверждается или отвергается, что в любом случае говорит о полученном результате.
Conjoint analysis (совместный анализ) Метод анализа, предназначенный для оценки и сравнения атрибутов продуктов с целью выявления тех из них, которые оказывают наибольшее влияние на покупательские решения. Метод "Conjoint analysis" - лучшая технология для измерения важности того или иного фактора из-за того, что он заставляет респондента думать не о том, что важно, а только о его предпочтении. Достоинством метода является возможность выявить латентные факторы, влияющие на поведение потребителей. С помощью данного метода можно выделить оптимальную комбинацию свойств продукта, оставив продукт в приемлемой ценовой категории.
Кластерный анализ - это совокупность методов, позволяющих классифицировать многомерные наблюдения, каждое из которых описывается неким набором переменных. Целью кластерного анализа является образование групп схожих между собой объектов, которые принято называть кластерами. При помощи кластерного анализа можно производить сегментацию рынка (например, выделение приоритетных групп потребителей). Применение методов кластеризации к сегментированию основано на следующих предположениях. Во-первых, считается, что по значениям переменных, которыми описываются свойства потребителей, можно выделить группы схожих потребителей. Во-вторых, считается, что на выделяемом сегменте можно достигнуть лучших маркетинговых результатов по продвижению продукции. Полагается, что более значимо для маркетингового результата, объединение потребителей в группу с учетом мер близости друг к другу. Для обоснования данных предположений используется метод дисперсионного анализа.
Дисперсионный анализ. С помощью дисперсионного анализа исследуют влияние одной или несколько независимых переменных на одну зависимую переменную или на несколько зависимых переменных. Метод статистического анализа, позволяющий определить достоверность гипотезы о различиях в средних значениях на основании сравнения дисперсий (отклонений) распределений (например, можно проверить гипотезу о различиях двух групп потребителей, выделенных при помощи кластеризации). В отличие от корреляционного анализа дисперсионный анализ не дает возможности оценить тесноту связи между переменными.
Регрессионный анализ. Статистический метод установления зависимости между независимыми и зависимыми переменными. Регрессионный анализ на основе построенного уравнения регрессии определяет вклад каждой независимой переменной в изменение изучаемой (прогнозируемой) зависимой переменной величины. В маркетинге часто используется для прогнозирования спроса.
Факторный анализ. Совокупность методов, которые на основе реально существующих связей признаков (или объектов) позволяют выявлять латентные (или скрытые) обобщающие характеристики изучаемых явлений и процессов. Главными целями факторного анализа являются сокращение числа переменных и определение структуры взаимосвязей между переменными, то есть классификация переменных. При сокращении числа переменных итоговая переменная включает в себя наиболее существенные черты объединяемых переменных. Классификация подразумевает выделение нескольких новых факторов из переменных связанных друг с другом. В маркетинге этот метод используется в связи с углублением анализа потребительского поведения, развитием психографики и т.п. задач, в которых необходимо выявление явно не наблюдаемых факторов.
Результаты полевых исследований представляют собой значительные массивы переменных, которые достаточно сложны для обработки "ручным методом". На сегодняшний день, в арсенале исследователей имеется множество программных пакетов, позволяющих оптимизировать и упростить процедуру анализа. Наибольшее распространение получили такие пакеты, как Vortex, SPSS, Statistica.
Программа "VORTEX" предназначена для:
• ввода первичной информации, собранной в ходе прикладного маркетингового или социологического исследования;
• обработки и анализа этой информации;
• представления полученных результатов анализа в виде таблиц, текстов, графиков и диаграмм с возможностью их переноса в Microsoft Word и другие приложения Windows/NT.
Возможности анализа информации:
• Программа Vortex позволяет производить описательную статистику изучаемых переменных (расчет статистических показателей: среднее, мода, медиана, квартили, дисперсия, среднеквадратическое отклонение, коэффициент вариации, скос, эксцесс и др.);
• Позволяет производить сегментирование потребителей по нескольким признакам, а также описание выделенных целевых групп (выделение контекстов - подмассивов документов для углубленного анализа, например, только мужчин или только респондентов в возрасте 20-25 лет);
• При помощи программы Vortex можно проводить корреляционный анализ, позволяющий выявить зависимости изучаемых факторов, влияющих на маркетинговый результат (расчет для таблиц двухмерного распределения коэффициентов корреляции Пирсона, Гамма, Лямбда, Крамера, Юла, Фишера, критериев X-квадрат, Стьюдента, определение статистической значимости).
SPSS для Windows - это модульный, полностью интегрированный, обладающий всеми необходимыми возможностями программный продукт, предназначенный для всех этапов аналитического процесса: планирования, сбора данных, доступа к данным и управления данными, анализа, создания отчетов и распространения результатов. SPSS для Windows - это лучшее программное обеспечение, позволяющее решать бизнес - проблемы и исследовательские задачи, используя статистические методы.
Программное обеспечение SPSS позволяет проводит частотный анализ, описательную статистику, корреляционный анализ, дисперсионный анализ, кластерный анализ, факторный анализ, а также регрессионный анализ.
При помощи аналитических возможностей программы SPSS можно получить следующие данные:
• Наиболее выгодные сегменты рынка;
• Стратегии позиционирования товаров/услуг относительно аналогичных товаров/услуг конкурентов;
• Оценка качество товара/услуги клиентами;
• Перспективы развития, новые возможности для роста;
• Подтверждение или опровержение исследовательских гипотез.
Statistica - это универсальная интегрированная система, предназначенная для статистического анализа и визуализации данных, управления базами данных и разработки пользовательских приложений, содержащая широкий набор процедур анализа для применения в научных исследованиях, технике, бизнесе.
Statistica - это современный пакет статистического анализа, в котором реализованы все новейшие компьютерные и математические методы анализа данных. Опыт многих людей, успешно работающих с пакетом, свидетельствует о том, что возможность доступа к новым, нетрадиционным методам анализа данных (а Statistica предоставляет такие возможности в полной мере) помогает находить новые способы проверки рабочих гипотез и исследования данных.
Программное обеспечение Statistica позволяет проводить следующие процедуры обработки статистических данных:
• Описательные статистики;
• Анализ многомерных таблиц;
• Многомерная регрессия;
• Дискриминантный анализ;
• Анализ соответствий;
• Кластерный анализ;
• Факторный анализ;
• Дисперсионный анализ и многое другое.
Средства контроля защиты информации
Проверка защищенности информации от НСД заключается в проверке соответствия эффективности мероприятий по защите информации установленным требованиям или нормам по безопасности информации. Тестируются все группы средств защиты от НСД, рассмотренные нами в предыдущих лекциях.
Проверяется соответствие описания технологического процесса обработки и хранения защищаемой информации реальному процессу.
Оценивается возможность переноса информации большего уровня конфиденциальности на информационный носитель меньшего уровня.
Проводится анализ разрешенных и запрещенных связей между субъектами и объектами доступа с привязкой к конкретным ОТСС и штатному персоналу.
Оценивается соответствие разрешенных и запрещенных связей разрешительной системе доступа персонала к защищаемым ресурсам на всех этапах обработки.
Проверка, как правило, осуществляется с использованием программных и программно-аппаратных средств контроля защищенности. В качестве примера рассмотрим продукты одной фирмы ООО "Центр управления финансами".
Средство контроля защищенности от НСД "Ревизор 2 ХР" предназначено для контроля полномочий доступа к информационным ресурсам.
Реализуемые функции:
• отображение всей информации, содержащейся в ПРД (возможен только просмотр);
• сравнение структуры ресурсов АРМ, описанной в ПРД, с реальной структурой ресурсов;
• создание отчета по результатам сравнения;
• построение плана тестирования объектов АРМ;
• проверка реальных прав доступа пользователей к объектам доступа;
• создание отчета по результатам тестирования.
Сетевой сканер "Ревизор сети" версия 3.0 предназначен для обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения, использующего протоколы стека TCP/IP. Система имеет широкие возможности, одной из которых является поиск уязвимостей, содержащихся в базе данных угроз и уязвимостей ФСТЭК, рассмотренных нами ранее.
Средство фиксации и контроля исходного состояния программного комплекса предназначено для контроля подсистемы обеспечения целостности.
Основные возможности программы:
• фиксация исходного состояния программного комплекса;
• контроль исходного состояния программного комплекса;
• фиксация и контроль каталогов;
• контроль различий в заданных файлах (каталогах);
• возможность работы с длинными именами файлов и именами, содержащими символы кириллицы.
Следует отметить, что к средствам контроля эффективности мер защиты информации, как и к производителям таких средств, предъявляются достаточно жесткие требования. В соответствии с "Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации", утвержденным Постановлением Правительства №171, разработка и производство технических средств контроля эффективности мер защиты информации подлежит лицензированию. А сами разрабатываемые и производимые средства контроля эффективности мер защиты должны иметь сертификат соответствия ФСТЭК по требованиям Постановления Правительства РФ N 608 "О сертификации средств защиты информации".
Контроль эффективности защиты завершается оформлением Заключения с краткой оценкой соответствия объекта информатизации по безопасности информации, конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями, совершенствованию этой системы, рекомендациями по контролю функционирования объекта информатизации. К Заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.
Контроль финансовой информации
Одним из немаловажных уровней финансового менеджмента внутри компании можно назвать внутренний финансовый контроль. Это проводимая предприятием проверка осуществления и гарантии выполнения любых управленческих решений в сфере финансовой деятельности, организуемая, чтобы реализовывать финансовую стратегию и предотвращать кризисные ситуации, которые могут стать причиной банкротства бизнеса.
Чтобы повысить уровень эффективности управления, руководители хозяйствующих субъектов и иных структур (включая государственные) приходят к пониманию потребности формирования в своем подчинении специализированных подразделений для выполнения финансового контроля в управляемых ими организациях. Внутренний финансовый контроль – независимая от внешнего влияния деятельность хозяйствующего субъекта или органа управления по проверке/оценке своей работы, проводимая им в личных интересах. Хотя внутренний контроль и осуществляется руководителем, который его создал, он должен быть, насколько это возможно, функционально и организационно автономным.
Цель внутреннего контроля – помощь руководящему звену хозяйствующего субъекта или органа управления (в т.ч. государственного) в продуктивном осуществлении своих функций. Внутренние контролеры обеспечивают доведение до руководства информации, полученной на основе анализа и оценки, советов и определенных данных, основанных на материалах проверок. Благодаря этим сведениям руководители принимают решения о необходимых для ликвидации обнаруженных недочетов (в том случае, если они имеются) мероприятиях и могут оценить, какие участки обладают резервами для увеличения эффективности.
Резюмируя, можно сказать, что внутренний контроль:
• организуется внутри компании (или структуры управления) ее служащими (контролерами);
• создается по решению руководящего звена предприятия (или органа управления);
• его данные обычно предназначаются для управленческого персонала компании;
• создается и финансируется из бюджета организации.
Контроль финансовой деятельности фирмы ведется экономическими подразделениями компании: бухгалтерским и финансовым отделами, службой финансового менеджмента. Именно они следят за финансово-хозяйственной деятельностью предприятия, его филиалов и дочерних организаций.
Основные задачи финансового контроля в организации:
1. Помощь в установлении баланса между потребностью в финансовых ресурсах, объемами денежной прибыли и фондами народного хозяйства.
2. Формирование гарантий по соблюдению законодательных и нормативных актов, в т.ч. нормативов налогообложения предприятий, принадлежащих разным организационно-правовым формам.
3. Помощь в целесообразной трате материальных ценностей и финансовых средств в компаниях и бюджетных учреждениях, поддержка в осуществлении адекватного и грамотного ведения бухучета и всех форм отчетности.
4. Обнаружение внутрипроизводственных потенциалов для увеличения денежных ресурсов, включая резервы по уменьшению себестоимости и увеличению прибыльности.
5. Создание гарантий по исполнению вовремя и в полном объеме финансовых обязательств перед государственным бюджетом.
6. Финансовый контроль помогает в формировании качественного уровня отдачи внешнеэкономической деятельности компаний (в том числе по операциям с валютой и пр.).
Функции финансового контроля в организации:
1. Мониторинг хода достижения финансовых целей, которые формулируются системой плановых финансовых показателей и нормативов.
2. Расчет уровня отклонения реальных итогов деятельности от запланированных.
3. Диагностика по показателям расхождений регресса на финансовом уровне компании и серьезного уменьшения скорости ее денежного роста.
4. Создание оперативных управленческих решений для упорядочивания финансовой деятельности фирмы с опорой на поставленные цели.
5. Когда это неизбежно, коррекция выбранных задач и показателей финансового роста в контакте с переменами во внешней среде, конъюнктурой финансового рынка и внутренними условиями осуществления хозяйственной деятельности компании.
Данные функции иллюстрируют тот факт, что контроль финансовой деятельности предприятия не исчерпывается проведением внутреннего контроля подобной деятельности и операций. Финансовый контроль – продуктивная система, которая координирует и обеспечивает условия для выстраивания связи между созданием базы данных, финансовым анализом, планированием и внутренним финансовым контролем.
По каким принципам осуществляется финансовый контроль в организации:
1. Его деятельность направлена на претворение в реальность сформированного финансового плана предприятия. Увеличение продуктивности финансового контроля связано с таким нюансом, как стратегический характер, который обязан демонстрировать ключевые приоритеты развития компании. Подобная ситуация характеризует уменьшение количества контролируемых финансовых мероприятий как целенаправленное. Нет ни необходимости, ни особой пользы в масштабном тотальном контроле над всеми сегодняшними операциями, т.к. это отвлекающий фактор для менеджеров. Они будут переключаться с глобальных целей управления финансовой деятельностью.
2. Финансовый контроль должен быть многофункциональным. Речь идет и об обеспечении контроля тех показателей финансового прогресса всей компании (плюс её обособленных центров ответственности), занимающих лидирующие позиции в плане этой организации, и о необходимости учреждения отдельных центров ответственности. Финансовый контроль должен создавать условия для проведения сравнительного анализа тех данных, которые находятся под контролем, со средним значением этих же параметров по отрасли, и позволять проводить корреляцию подконтрольных финансовых показателей.
3. Финансовый контроль необходимо настроить на количественные модели. В том случае если контролируемые стандарты деятельности компании принимают вид количественных эквивалентов, контрольные действия становятся намного более эффективными. При этом нельзя забывать и о качественных аспектах, которые, в свою очередь, необходимо выражать в парадигме количественных стандартов. При таком подходе не возникнет проблем различного понимания качественных аспектов.
4. Методы финансового контроля должны соответствовать особенностям методов финансового анализа и планирования. Когда вы находитесь на стадии составления плана и внедрения контроля, в первую очередь нужно обращать внимание на полный спектр рассмотренных до этого момента систем и методов финансового планирования (когда подготавливаются стандарты контроля) и анализа (когда разрабатываются показатели, иллюстрирующие реальное положение дел предприятия, и определяются причины несоответствия этих значений стандартам).
5. Операции контроля должны осуществляться своевременно, т.е. контрольные функции будут проводиться не просто быстро/часто. Эти периоды должны быть адекватны периоду проведения отдельно взятых операций, которые связаны с формированием итогов финансовой деятельности. Принципиальный нюанс своевременности финансового контроля возможно определить следующим образом: смысл в том, чтобы заранее уведомлять о потенциальном кризисном развитии, а значит, создавать условия для ликвидации текущих несоответствий еще до того момента, как они превратятся в серьезную проблему.
6. Организация финансового контроля должна быть максимально гибкой. Внутренний финансовый контроль необходимо выстраивать, учитывая потенциальную адаптацию к появляющимся финансовым инструментам, нормам и видам осуществления деятельности в сфере инвестиций и финансов, к новым технологическим решениям и способам проведения финансовых операций. Если система не обладает гибкостью, то она не принесет особой пользы и в тех областях контроля финансовой деятельности, для которых первоначально создавалась.
7. Модель финансового контроля должна быть простой. Причина данного утверждения в том, что контролирующим менеджерам нужно будет прикладывать меньше усилий, если методы внутреннего финансового контроля (выстроенного с учетом его целей) будут отличаться простотой форм. Если контроль финансовой деятельности осуществляется более сложными методами, то есть риск, что руководители не поймут или окажутся не способны поддерживать такую систему, в которой может возникнуть необходимость значительного увеличения объема информации для его реализации.
8. Финансовый контроль должен обладать таким качеством, как экономичность. Траты на его ведение должны уменьшаться в зависимости от адекватности производимого контролем эффекта. Значит, масштаб трат, необходимых для контроля, не должен быть больше того эффекта (уменьшение расходов, рост денежных поступлений и т.п.), который ожидается получить в ходе его реализации.
Форма контроля финансовой деятельности – это конкретное выражение и организация контрольных мероприятий. Финансовый контроль имеет различные формы, которые могут быть классифицированы по определенным параметрам.
Основными из них следует назвать период осуществления контроля и период проведения проверяемых финансово-хозяйственных операций.
Их соотношение лежит в основе выделения трех главных форм контроля:
- Предварительный контроль проводится до проверяемых операций. Его осуществляют в момент создания, обзора и одобрения проектов бюджетов, финансовых планов хозяйствующих субъектов, смет доходов и расходов учреждений и предприятий, проектов законодательных актов, договорных соглашений, учредительных документов и пр. Он помогает уже в момент планирования и прогнозирования предотвратить потенциальные недочеты действующего законодательства и нецелевого или нерационального расходования финансов, обнаружить резервы дополнительных финансовых ресурсов.
- Текущий контроль (оперативный) идет одновременно с совершением хозяйственных и финансовых мероприятий, выполнением планов, бюджетов. Он дает возможность обнаруживать и координировать постоянно трансформирующиеся хозяйственные ситуации, упреждать убытки, финансовые правонарушения, нецелевое расходование средств, учитывая информацию первичной документации, оперативного и бухгалтерского учета, инвентаризаций и визуального мониторинга.
- Последующему контролю подлежат результаты образования и расходования денежных ресурсов. Проводится исследование полноценности их комплектования, законности, а также адекватности и оправданности использования при исполнении бюджетов, соответствия финансовым планам субъектов хозяйствования, сметам бюджетных учреждений. В завершении оценки расходования ценностей любого уровня (будь то деньги, труд или материальные ресурсы), законности совершенных действий, финансовых итогов осуществляется процесс анализа финансово-хозяйственной деятельности. Дальнейший контроль имеет такую особенность, как углубленное изучение на выбранном отрезке времени. Его итоги напрямую связаны с итогами предварительного и текущего контроля, а это дает возможность обнаружить недостатки их осуществления. Если говорить о характере материала для реализации контроля, то можно назвать документальный (формальный) контроль и фактический.
- Формальный (документальный) контроль осуществляется на основании первичной документации, регистров бухучета, бухгалтерских, статистических и оперативно-технических отчетов, нормативной, проектно-конструкторской, технологической и прочей документации.
- Фактический контроль финансовой деятельности основывается на обработке и оценке действительного положения объектов проверки по собранным в ходе осмотра материалам (пересчет, взвешивание, лабораторный анализ и пр.), в связи с этим его нельзя рассматривать как всеобъемлющий в связи с непрерывностью хозяйственного процесса. Полнота и неоспоримая доказательность первичных документов и учетных записей в случае надобности определяются благодаря специальным приемам фактического контроля. Оба вида контроля работают не отдельно, а в ситуации взаимного дополнения.
Существует несколько методов финансового контроля (приемов и способов его ведения):
- Проверки – обращение к отдельным аспектам финансовой деятельности через отчетную и расходную документацию. Далее выстраивается план ликвидации обнаруженных недочетов.
- Обследование характеризуется большим охватом (относительно проверок) финансово-экономических показателей контролируемого экономического субъекта, чтоб дает возможность оценить его финансовое состояние/потенциальные перспективы роста.
- Анализ финансовой деятельности включает подробный анализ периодической/годовой финансово-бухгалтерской отчетности для получения возможности оценки итогов данной деятельности, состояния обеспеченности собственным капиталом и продуктивности его использования.
- Наблюдение (мониторинг) – непрерывный анализ результативности текущей финансовой деятельности. Мониторинг необходим для обнаружения расхождений между фактическими результатами и плановыми показателями, после чего осуществляется их ликвидация.
Наблюдение текущей деятельности содержит следующие уровни:
1. Анализ и контроль текущей деятельности.
2. Установление главных для предприятия видов, показателей финансовой стабильности и показателей, диагностирующих риск его банкротства, в качестве объектов наблюдения.
3. Назначение сотрудников для выполнения мониторинга, определение их полномочий и степени ответственности.
4. Проработка плана и сроков выполнения оперативной финансовой отчетности.
5. Создание, коррекция и исправление оценочных показателей оперативной экономической деятельности предприятия и амплитуды их несовпадений с предусмотренными величинами.
6. Обнаружение причин несоответствия имеющихся показателей плановым.
7. Оценка адекватности системы нормативных показателей и данных, которые предполагаются по итогам, а также оперативно-тактических задач, стоящих перед организацией, ее финансовому состоянию и месту на рынке.
Чтобы обеспечить эффективность управления предприятием, создаются уровни внутреннего контроля. Обычно это системы, которые основываются на линейных или функциональных принципах, которые часто применяются одновременно. Они строятся на распределении контрольных обязанностей отдельных служб и их менеджеров.
Уже несколько лет популярностью в странах с развитой рыночной экономикой пользуется контроллинг. Это современная система внутреннего финансового контроля на предприятиях. Ее принципиальные аспекты сложились еще в 1980 году, когда появилась необходимость изобретения активных методов упреждения кризисных ситуаций, после которых компания объявлялась банкротом. В основе контроллинга лежит ключевой принцип «управления по отклонениям», когда сопоставляются ключевые плановые (нормативные) и фактические показатели, а после определяются их расхождения, общие точки и взаимозависимости, чтобы можно было принять меры по нормализации деятельности. В современных условиях контроллинг распространяется и у нас.
Из каких этапов состоит организация финансового контроля:
Этап 1. Фиксируется объект финансового контроля. Для предприятий с позицией целевой ориентации поиск объекта является единым условием для создания моделей любого вида контроля. Управленческие решения в значимых для экономической деятельности компании аспектах – объект финансового контроля.
Этап 2. Выбор сферы и видов финансового контроля. С учетом структуры можно назвать следующие виды контроля:
• стратегический;
• текущий;
• оперативный. Частота осуществления функций контроля и его сфера зависят от выбранного вида.
Этап 3. Создание иерархии приоритетов показателей, находящихся под контролем. Все типы финансового контроля и их показатели распределяются по значимости. В систему приоритетов первого уровня вносятся ключевые показатели данного вида контроля. Далее определяются системы приоритетов второго уровня, показатели которого имеют факторную связь с показателями приоритетов первого уровня. Подобно этому составляются системы приоритетов дальнейших уровней. Такой комплекс подконтрольных показателей уменьшает сложность подхода к их разложению при дальнейшей трактовке оснований расхождения реальных величин и оговоренных в соответствующих заданиях. Системы приоритетов для отдельных типов центров ответственности, направлений экономической деятельности предприятия, для каждой из сторон создания, распределения и применения финансовых ресурсов иногда характеризуются по-разному. Нужно разработать условия для иерархической сводимости всех показателей, находящихся под контролем, на уровне компании и их сводимости по отдельным направлениям финансовой деятельности, когда формируется система приоритетов.
Этап 4. Генерирование системы количественных стандартов контроля. Этапы определения и выстраивания списка подконтрольных финансовых показателей заканчивают этап определения количественных норм по каждому этапу. Количественные стандарты имеет смысл фиксировать и в абсолютных, и в относительных значениях, которые могут быть стабильными или подвижными (применяются во время контроля значений гибких бюджетов, для внесения поправок в стандарты, если меняется учетная ставка, скорость и уровень инфляции и др.). Целевые стратегические нормативы, показатели текущих планов и бюджетов, система государственных или установленных организацией норм и нормативов и пр. могут восприниматься в качестве стандартов.
Этап 5. Составление плана мониторинга показателей финансового контроля. Мониторинг («следящая система») – база финансового контроля, наиболее активная часть схемы. Система финансового мониторинга – сложившийся в компании комплекс непрерывного контроля над показателями финансовой деятельности, вычисления количественных несоответствий фактических и плановых результатов и поиска оснований для такого рода расхождений.
Этап 6. Создание моделей алгоритмов мероприятий, целью которых является ликвидация отклонений. Это завершающий этап финансового контроля на предприятии.
Здесь можно говорить о существовании трех алгоритмов в реакциях менеджеров:
1. «Не пытаться ничего изменить», так как отрицательные отклонения во много раз меньше предусмотренного уровня, ниже которого они не должны опускаться.
2. «Устранить расхождения». Инициируется, когда начинают поиск и реализуют резервы с учетом многочисленных и специфических моментов экономической деятельности и отдельных финансовых операций для воплощения в жизнь показателей разного уровня. Сюда можно отнести, например, оправданность ввода режима экономии, включения в деятельность системы финансовых резервов и т.д.
3. «Внести изменения в саму модель показателей по планам и нормативам». Алгоритм срабатывает, когда невозможна нормализация параметров экономической деятельности или она затруднена. Тогда проводится финансовый мониторинг, и на основании имеющихся данных озвучиваются рекомендации по потенциальным нововведениям в целевых стратегических нормативах, показателях финансовых планов, отдельных бюджетов. В некоторых критических ситуациях целесообразно прекратить отдельные производственные, инвестиционные и финансовые операции или вообще на некоторое время заморозить работу некоторых центров затрат и инвестиций.
Контроль доступа информации
Информационная безопасность сегодня — одна из перспективных, сложных и быстроразвивающихся сфер IT. Ситуация в IT-отрасли как никогда интересует мировое сообщество, многочисленные взломы и киберудары по таким крупным структурам, как торговые сети, банки, объекты энергетической и промышленной инфраструктуры вызывают тревогу. Обостренный интерес к данной области подтверждают регулярно проводимые международные и внутригосударственные конференции и съезды по теме защиты информации.
Считается, что наиболее опасные внутрисетевые угрозы создаются сотрудниками, допущенными к конфиденциальной информации компаний. Их неправомерные действия могут быть как случайными, так и преднамеренными.
В разных источниках внутренние нарушители ИТ-безопасности именуются по-разному, однако основные их типы таковы:
• халатные;
• обиженные;
• манипулируемые, или внедренные.
Халатные (неосторожные) работники встречаются в любом коллективе. Они действуют незлонамеренно, вследствие своей несобранности могут нарушить правила хранения конфиденциальной информации: например, взять работу на дом, в командировку, при этом потерять съемный диск или допустить к этой информации знакомых. Несмотря на «безобидный» характер нарушения, ущерб от него может быть самым плачевным. Так, от рук хакеров пострадала компания Uber, у которой были украдены личные данные 50 миллионов клиентов и семи миллионов таксистов со всего мира. Это произошло из-за небрежности программистов компании, нарушивших элементарные принципы безопасности и хранивших все пароли в одном месте. Хакеры сумели продать хозяевам базы данных свое молчание за 100 тысяч долларов и не стали выкладывать данные в Сеть, но об этом случае через год все равно стало известно.
Обиженные сотрудники часто недовольны оценкой их деятельности в компании, низким материальным вознаграждением за свой труд или собственным местом в иерархии организации. Как правило, эта категория нарушителей не планирует уходить из компании, но пытается нанести ей материальный вред — уничтожить документальную информацию или материальные ценности. При этом нарушитель действует самостоятельно. Известны случаи передачи важной на взгляд сотрудника информации теневым структурам или прессе. В эту же разновидность можно отнести людей, которые собрались уволиться из фирмы, не сообщив об этом начальству, и начали действовать в ущерб работодателю. Они могут скопировать клиентскую базу и тем самым зарекомендовать себя у нового наемщика или использовать ее с целью создания собственного конкурентоспособного бизнеса. Из-за злонамеренных действий сотрудника компанией StarNet в Молдавии персональная информация (в том числе паспортные данные) 53-х тысяч физических и юридических лиц попала в Сеть.
Манипулируемые извне — третья и, возможно, самая опасная категория нарушителей, поскольку у них есть заказчики. Такие сотрудники могут быть завербованными и внедренными в компанию с целью похищения конкретной информации. Иногда они действуют под страхом физических увечий и расправы, но чаще — с целью получения серьезной материальной суммы в качестве вознаграждения. Их опасность заключается также в возможном оснащении техническими устройствами для обхода внутриорганизационной защиты.
Компания Ernst&Young, проводящая ежегодные исследования ИТ-проблем, сообщает, что 89% банков по всему миру ставят кибербезопасность в основные приоритеты.
Как видим, цели и причины неправомерных действия у нарушителей безопасности информационных систем бывают разными. Но в любом случае информационные данные, ценные документы и материалы должны быть под надежной защитой. Продумывая политику информационной безопасности компании, необходимо выстроить грамотную стратегию, разграничив права доступа между специалистами организации.
Комплексного решения, способного на 100% защитить компанию от воздействия внутренних и внешних угроз, не существует. Но поставщики услуг в сфере ИТ-безопасности предлагают разные варианты, которые позволяют контролировать значительную часть угроз, выполняя ряд задач.
Задача блокировки от несанкционированного доступа к корпоративной сети решается с помощью межсетевого экранирования, которое позволяет, используя объемный спектр контекстных данных, определять политику безопасности и обеспечивать ее соблюдение. Благодаря инновационным разработкам последних лет появляются возможности глубокого анализа трафика и гибкой настройки политики. Наиболее современные системы позволяют проводить глубокий анализ пакетов, аутентификацию пользователей, предотвращать вторжения (IPS, intrusion prevention system). Корпоративные межсетевые экраны, в которых испытывают потребности крупные компании, характеризуются масштабируемостью, надежностью и управляемостью.
Для исключения нецелевого использования служебной электронной почты необходим контент-анализ каждого письма. Передовые разработки дают возможность анализировать не только формальное содержимое сообщения, но и вложения, которые могут быть как графическими, так текстовыми или представленными в виде ссылки.
Решения, к которым прибегают для исключения возможности нецелевого использования информационных ресурсов, подразумевают применение средств против утечки конфиденциальных данных. Ряд программных продуктов проверяют исходящий трафик на содержание в нем такой информации. Но для этого администратор вручную указывает те данные, которые не должны быть утеряны. Однако эта проблема не решена до конца. Возможность разглашения конфиденциальной информации сохраняется в чатах, форумах, почтовых сервисах. С целью предотвращения подобных действий многие работодатели, которые хранят массу персональной информации о клиентах (к примеру, банки), блокируют соцсети и другие популярные сайты.
Фильтрация web-трафика осуществляется за счет базы данных URL-адресов, классифицированной по темам записей. Каждая запрашиваемая сотрудниками страница отфильтровывается и затем относится к определенной категории: почтовой, порнографической, туристической и другим. В случае необходимости автоматизированная система проводит анализ контента и определяет тематику страницы. Этот способ помогает администратору настроить группам пользователей права на доступ к страницам конкретных категорий.
Согласно исследованию компании InfoWatch, российские организации больше всего озабочены утечкой конфиденциальной информации. Почти все (98% опрошенных) ставят эту угрозу на первое место. Другие опасности волнуют значительно меньше: 62% — искажение информации, 15% — сбои информационных систем из-за халатности сотрудников, 7% — потеря данных, 6% — кража оборудования, 28% — другие проблемы.
Системы контроля и управления доступом подразумевают физическую и сетевую охрану. К первой относятся охранники, всякого рода замки, системы биометрической идентификации, которые организуют пропускной режим в здание, фиксируют время входа и выхода сотрудников. Аналогичной защиты требуют и информационные системы: замками в ней становятся логины и пароли, а сторожами — администраторы и специальные программные продукты.
Для организаций с развитой сетевой инфраструктурой стандартных средств информационной безопасности (межсетевые экраны, шлюзы безопасности или IPS) недостаточно. Для эффективной работы по управлению доступом созданы программные продукты Network Access Control (NAC).
Они осуществляют:
• контроль доступа в сеть за счет аутентификации;
• проверку соответствия политике безопасности состояния подключаемых технических устройств;
• инвентаризацию устройств и сетевых приложений корпоративной сети;
• ограничивают гостевой доступ к ресурсам.
Контроль доступа в сеть осуществляется благодаря распознаванию нового MAC- и IP-адреса (для устройств VPN — по итогам построение туннеля, для систем на базе DHCP — после запроса DHCP от нового устройства). Сервер принятия решений инициирует проверку устройства на безопасность. После отправки запрошенных данных от устройства на внутренние серверы (антивирус, сервер обновлений программного обеспечения, LDAP) каждым из них принимается решение о степени соответствия устройства. В итоге новое устройство получает доступ к сети, который может быть полным или ограниченным.
Наипростейший способ применения NAC — запрет на доступ устройств, не отвечающих политике информационной безопасности компании. Условиями доступа в сеть могут быть установленный корпоративный антивирус, регулярные обновления ОС и т.д. Несоблюдение хотя бы одного правила станет основанием для запрета доступа в сеть.
Во многих компаниях с помощью виртуальных локальных сетей (VLAN) выполняется сегментирование — разделение сетей по отделам и структурам компании. По отношению сотрудника к конкретному подразделению NAC позволяет подключить его к соответствующему сегменту VLAN. Для этого необходима корпоративная служба каталогов.
Контроль доступа осуществляется и за счет разделения сети на рабочий и карантинный сегменты. В карантинный попадают устройства, не соответствующие установленной политике. В этой «зоне» установлены серверы обновлений, которые приводят компьютеры или иные устройства в соответствие с принятой политикой ИТ-безопасности. То есть в этом случае NAC не только проверяет устройство на соответствие условиям политики безопасности, но и заставляет выполнять ее. Программы NAC сопутствуют обновлению ОС, антивируса, включению межсетевого экрана. В случае соответствия условиям компьютер вновь относится к рабочему сегменту.
Число сегментов корпоративной сети компании может быть неограниченным. При помощи NAC на основании информации, получаемой от компьютеров, доступ к определенным ресурсам может быть предоставлен сотрудникам, гостям, партнерам и другим категориям пользователей, относящихся к установленным в сети сегментам.
NAC может контролировать и состояние устройств, подключенных дистанционно. Во время удаленного подключения к корпоративной сети также проводится проверка компьютера на соответствие политике безопасности, после чего принимается решение.
Ряд производителей предлагает системы предотвращения вторжений на уровне хоста. Эти решения часто сочетаются с решениями на базе сети: внедрением коммутаторов доступа и специализированных устройств.
Для успешного функционирования любой системы контроля и управления доступом компании нужно определиться с целями. Для этого необходимо взаимодействие разных отделов, отвечающих за работу сети, серверов и за обеспечение информационной безопасности. Внедрение системы возможно только после тщательной проработки ее рабочей модели.
На каждую проблему найдется решение. Программ контроля управления доступом существует множество. Например, грамотную работу с клиентами осуществляет компания GFI, предлагающая более десяти программных продуктов, ориентированных как на малый и средний бизнес с поддержкой окружений малой мощности, так и на крупные организации. Компания предлагает разнообразные решения для обеспечения эффективной информационной безопасности.
Программа GFI EndPointSecurity, например, борется с проблемами, вызванными использованием USB-устройств, которые, по исследованиям консалтинговой компании Gartner, являются одной из опаснейших угроз сетям. ПО дает возможность администраторам вести журнал активности действий со всевозможных дисков: медиа-проигрывателей, карт памяти, CD-дисководов, карманных компьютеров, сетевых карт, мобильных телефонов и других устройств. Кроме того, GFI EndPointSecurity блокирует попытки краж данных за счет полного контроля доступа к съемным дискам; предупреждает внедрения вирусов и неавторизованного ПО; ведет полный сетевой контроль при помощи уникальной защиты.
Дополнительный бонус — компания GFI предлагает своим потенциальным клиентам, которые не определились с выбором системы. Для них предусмотрена бесплатная онлайн-демонстрация, которая проводится с подключением к серверу с установленной программой, во время которого специалисты демонстрируют все функции ПО.
Программный комплекс DeviceLock DLP Suite включает несколько модулей, которые могут быть лицензированы в разных комбинациях в зависимости от задач служб безопасности. Компоненты ПО обеспечивают контекстный контроль каналов сетевых коммуникаций на компьютерах, полный поиск по базам данных теневого копирования и событийного протоколирования, механизмы фильтрации файлов и данных, переданных с или на сменные устройства, по почте и т.д.; сканирует сетевые ресурсы, обнаруживая файлы с критическим содержимым. Эти и другие функции программы позволяют управлять контролем доступа в крупных корпоративных сетях.
Утилита Ivanty Device Control создана с целью контроля доступа пользователей к портам ввода-вывода. Решение предупредит проникновение вредоносного ПО в сеть, предотвратит утечку конфиденциальных данных, запретит использование неавторизованных съемных устройств.
Еще один лидер в области решений по контролю доступа — программа Zecurion Zlock (Device Control), которая работает по четырем направлениям: запрет использования флеш-карт, контроль применения USB-устройств, мобильных устройств, контентная фильтрация. Есть возможность блокировки доступа в интернет при нахождении компьютера вне корпоративной сети. Эта опция удобна для контроля удаленных сотрудников. Последняя версия Zecurion Zlock 8.0 включает модуль поведенческого анализа, позволяющий автоматически выявлять подозрительную активность пользователей.
Разработчики программы Symantec Endpoint Protection позиционируют ее как самую быструю и эффективную защиту на рынке подобных ПО, благодаря использованию данных крупнейшей в мире гражданской сети анализа угроз. К преимуществам программы также относятся гибкие средства настройки политики в зависимости от характеристик и расположения пользователей, один удобный клиент и консоль управления для физических и виртуальных платформ.
Ценовая политика вендоров систем контроля и управления доступом внутри сети зависит от объема предлагаемых услуг и функционала программ, расположения центрального офиса производителя и стоимости рабочей силы. Влияют на популярность ПО разработчика и множество других субъективных факторов, о которых производители предпочитают не сообщать.
Одна из самых доступных по стоимости программ современных вендоров — GFI EndPointSecurity. Цены стартуют от 1300 рублей за лицензию на один год (до 150 устройств). В зависимости от редакции ПО, в одну лицензию входит обслуживание от одного до неограниченного числа пользователей. Для удобства клиентов на сайте есть раздел «Расчет стоимости», а также «Акции и скидки», благодаря которым можно самостоятельно выбрать подходящий вариант.
Решение DeviceLock стоит 2000 рублей за установку на один компьютер, — если требуется обслуживание от 1 до 49 компьютеров, 1900 рублей — при инсталляции на 50–199 компьютеров, 1700 рублей — на 100 и более компьютеров.
Цены на программы Ivanty Device Control и Zecurion Zlock (Device Control)рассчитываются индивидуально по запросам покупателей.
Выражение «оптом дешевле» полностью отвечает условиям покупки ПО Symantec Endpoint Protection. За одну лицензию можно заплатить 1865 рублей (при покупке на 1 год) или 3357 рублей (при покупке на 3 года). Таким образом, если вы собираетесь пользоваться лицензией дольше, годовое обслуживание выйдет дешевле.
Контроль защищенности информации
После создания системы защиты информации всегда встает два вопроса:
1. Насколько эффективно работает система защиты информации и какова реальная защищенность АС?
2. Можно ли считать построенную систему защиты комплексной?
Для ответа на первый вопрос служат системы контроля защищенности и средства контроля эффективности защиты информации. До ввода в действие ГОСТ Р 51583-2000 они не рассматривались как обязательные составляющие систем защиты информации. Примечательно, что необходимость их использования обусловлена одной причиной - высокой динамикой развития современных информационных технологий вообще и каждой конкретной АС в частности.
Действительно, постоянно появляются новые решения в области информационных технологий, обнаруживаются новые уязвимости программных и аппаратных платформ, появляются новые вирусы и т.д. В современных АС ежедневно возникают новые задачи, вынуждающие создавать новые программные, аппаратные и интеллектуальные ресурсы, отвечающие требованиям времени.
В такой ситуации невозможно говорить об организации статической системы защиты информации "раз и навсегда". Возможность гибкого реагирования на изменяющуюся среду функционирования реализуется в современных условиях за счет использования систем обнаружения вторжений и сканеров безопасности.
Вообще на основе анализа опыта работы в этой области развитие методов защиты информации можно условно разбить на три этапа:
1 этап. Защита "вручную":
• использование встроенных средств защиты информации ОС, СУБД;
• устранение уязвимостей путем корректной настройки ПО;
• ручная установка "заплаток" на используемое ПО.
2 этап. Автоматизированное обнаружение уязвимостей:
• использование внешних средств защиты информации;
• автоматизированное обнаружение уязвимостей с использованием сканеров различного типа;
• ручная установка "заплаток" на используемое ПО.
3 этап. Динамическая защита:
• комплекс средств защиты информации;
• автоматическое обнаружение или прогнозирование уязвимостей;
• автоматические блокирование атак.
В настоящее время методы защиты информации фактически находятся в самом начале третьего этапа развития, а выявление уязвимостей и оценка рисков проводится с использованием систем анализа защищенности (сканеров безопасности различных типов).
Таким образом, основные задачи, для решения которых используются системы контроля защищенности, - это автоматическое тестирование и диагностика АС в целом и отдельных ее элементов с целью оценки соответствия существующего уровня защищенности АС требованиям политики безопасности.
Одними из основных средств контроля защищенности являются сканеры безопасности и системы обнаружения вторжений.
Основные задачи, для решения которых используются сканеры безопасности, - это тестирование и диагностика корпоративных информационных систем в целом и отдельных ее элементов с целью выявления уязвимостей и потенциальных угроз безопасности ресурсов, оценивание рисков, выдача рекомендаций по устранению обнаруженных уязвимостей и нейтрализации угроз, представление соответствующих отчетов для специалистов различного уровня.
Для решения этих задач сканеры безопасности осуществляют:
• контроль состояния защищенности АС;
• тестирование и диагностику компонентов АС на различных уровнях архитектуры (как правило, это уровни сетевых сервисов, системного ПО, прикладного ПО, СУБД) путем сравнения ее характеристик (настроек) с некоторыми эталонами;
• представление результатов проверки с рекомендациями по устранению выявленных уязвимостей и нейтрализации имеющихся угроз;
• формирование отчетов, характеризующих общие уровни защищенности (например, перед тестированием и после устранения выявленных недостатков или отчет по обнаруженным уязвимостям, появившимся с последнего сканирования);
• регулярное обновление базы признаков уязвимостей (в том числе и в автоматическом режиме).
В качестве одной из наиболее ценных функциональных возможностей сканеров является обнаружение ими установленных на рабочих местах пользователей модемов, которые используются для несанкционированного выхода в сеть Интернет.
Основные задачи, для решения которых используются системы обнаружения вторжений (СОВ), - это обнаружение атак в реальном масштабе времени, их блокировка, извещение должностных лиц, устранение последствий нанесенного ущерба и принятие мер, исключающих компьютерные инциденты в будущем.
Для решения этих задач современные СОВ осуществляют:
• обнаружение информационных вторжений и злоупотреблений в сети;
• реагирование на вторжение (реконфигурация средств защиты, сбор доказательств враждебной деятельности, идентификация нарушителя);
• предоставление отчетов о результатах работы.
Интегральная эффективность СОВ определяется прежде всего их способностью в реальном масштабе времени обнаруживать и соответствующим образом реагировать на процессы, которые могут нанести существенный ущерб защищаемой корпоративной информационной системе.
В качестве наиболее интересного примера применения СОВ можно привести реализацию с ее помощью технологии "виртуальных заплаток" (оперативное устранение выявленных уязвимостей).
По данным исследования компании Forrester Research, которая проанализировала средние "дни риска" (время от публичного сообщения об уязвимости - предполагается, что атаки на нее начнутся только после этого, -до выпуска "заплатки" поставщиком ПО), время неизбежного риска до того, как администратор сможет получить "заплатку" и решить проблему, для разных операционных систем составляет от 10 дней до 1-2 месяцев.
По опыту работы среднее время установки "заплатки" составляет от 30 минут до 3 часов на один сервер и 25-30 минут на рабочую станцию. Для большой сети получаются огромные трудозатраты. Но перед тем, как принять решение об установке этой "заплатки", нужно еще провести тестирование на ее совместимость с другим программным обеспечением, чтобы не вызвать остановку всей АС. Таким образом, время между обнаружением уязвимости и реальной установкой "заплатки" может увеличиться еще в несколько раз!
В этом случае и приходит на помощь технология "виртуальных заплаток". Процесс работы этой технологии выглядит следующим образом.
Эксперты компании-разработчика системы обнаружения вторжений постоянно получают информацию и занимаются поиском новых уязвимостей и атак, а также методов защиты от них. Еще до официального опубликования информации об обнаруженных уязвимостях они готовят специальные модули обновления. Эти обновления распределяются по пользователям систем обнаружения и предотвращения вторжений.
После получения таких обновлений с помощью сканеров безопасности проводится сканирование всех защищаемых ресурсов. В случае обнаружения уязвимости на каком-либо из узлов сети (будь то сервер, рабочая станция или сетевое устройство) выдается управляющее воздействие системам обнаружения и предотвращения атак, установленным на периметре сети или на критичных серверах, блокировать соответствующую сетевую активность. Таким образом предотвращается использование выявленной уязвимости даже в случае отсутствия соответствующей "заплатки". Уже после выпуска производителем требующейся "заплатки" администратор может в спокойной обстановке реализовать процесс ее распространения и установки. Даже если эта "заплатка" оказывается каким-либо образом несовместима с другим используемым программным обеспечением, нарушитель не может воспользоваться уязвимостью, так как СОВ автоматически предотвращает эту атаку и информирует администратора о данном событии.
Таким образом, получен ответ на вопрос, можно ли считать систему защиты комплексной без использования полноценных средств контроля защищенности - он очевиден: нет!
Контроль качества информации
Адекватность информации может выражаться в трех формах:
1. Синтаксическая адекватность. Она отображает формально-структурные характеристики информации и не затрагивает ее смыслового содержания. Эта форма способствует восприятию внешних структурных характеристик, т.е. синтаксической стороны информации.
2. Семантическая (смысловая) адекватность. Эта форма определяет степень соответствия образа объекта и самого объекта. Семантический аспект предполагает учет смыслового содержания информации.
3. Прагматическая (потребительская) адекватность. Она отражает отношение информации и ее потребителя, соответствие информации цели управления, которая на ее основе реализуется. Эта форма адекватности непосредственно связана с практическим использованием информации, с соответствием ее целевой функции деятельности системы.
Качество информации определяется такими показателями, как:
Репрезентативность информации связана с правильностью ее отбора и формирования в целях адекватного отражения свойств объекта.
Важнейшее значение здесь имеют:
1. правильность концепции, на базе которой сформулировано исходное понятие;
2. обоснованность отбора существенных признаков и связей отображаемого явления.
Нарушение репрезентативности информации приводит нередко к существенным ее погрешностям.
Содержательность информации отражает семантическую емкость, равную отношению количества семантической информации в сообщении к объему обрабатываемых данных.
С увеличением содержательности информации растет семантическая пропускная способность информационной системы, так как для получения одних и тех же сведений требуется преобразовать меньший объем данных.
Наряду с коэффициентом содержательности С, отражающим семантический аспект, можно использовать и коэффициент информативности, характеризующийся отношением
Достаточность (полнота) информации означает, что она содержит минимальный, но достаточный для принятия правильного решения состав (набор показателей). Понятие полноты информации связано с ее смысловым содержанием (семантикой) и прагматикой. Как неполная, т.е. недостаточная для принятия правильного решения, так и избыточная информация снижает эффективность принимаемых пользователем решений.
Доступность информации восприятию пользователя обеспечивается выполнением соответствующих процедур ее получения и преобразования. Например, в информационной системе информация преобразовывается к доступной и удобной для восприятия пользователя форме. Это достигается, в частности, и путем согласования ее семантической формы с тезаурусом пользователя.
Актуальность информации определяется степенью сохранения ценности информации для управления в момент ее использования и зависит от динамики изменения ее характеристик и от интервала времени, прошедшего с момента возникновения данной информации.
Своевременность информации означает ее поступление не позже заранее назначенного момента времени, согласованного с временем решения поставленной задачи.
Точность информации определяется степенью близости получаемой информации к реальному состоянию объекта, процесса, явления и т.п.
Для информации, отображаемой цифровым кодом, известны четыре классификационных понятия точности:
1. формальная точность, измеряемая значением единицы младшего разряда числа;
2. реальная точность, определяемая значением единицы последнего разряда числа, верность которого гарантируется;
3. максимальная точность, которую можно получить в конкретных условиях функционирования системы;
4. необходимая точность, определяемая функциональным назначением показателя.
Достоверность информации определяется ее свойством отражать реально существующие объекты с необходимой точностью. Измеряется достоверность информации доверительной вероятностью необходимой точности, т.е. вероятностью того, что отображаемое информацией значение параметра отличается от истинного значения этого параметра в пределах необходимой точности.
Устойчивость информации отражает ее способность реагировать на изменения исходных данных без нарушения необходимой точности. Устойчивость информации, как и репрезентативность, обусловлена выбранной методикой ее отбора и формирования.
В заключение следует отметить, что такие параметры качества информации, как репрезентативность, содержательность, достаточность, доступность, устойчивость, целиком определяются на методическом уровне разработки информационных систем.
Параметры актуальности, своевременности, точности и достоверности обусловливаются в большей степени также на методическом уровне, однако на их величину существенно влияет и характер функционирования системы, в первую очередь ее надежность.
При этом параметры актуальности и точности жестко связаны соответственно с параметрами своевременности и достоверности.
Методы контроля информации
Возможно применение протокола modbus в дуплексных и полудуплексных линиях связи. Физическим уровнем протокола modbus как правило является линия стандарта RS422/RS485, однако при соединении точка-точка тот же формат команд может быть использован на любом последовательном асинхронном физическом интерфейсе, в том числе RS232. Возможно применение протокола modbus в сетевой среде поверх транспортных протоколов UDP/TCP и IPX/SPX.
Во время обмена данными могут возникать ошибки при передаче данных и логические ошибки.
Ошибки первого типа обнаруживаются при помощи фреймов символов, контроля четности и циклической контрольной суммы CRC16. Результат передается в линию связи с младшего байта.
Для сообщений об ошибках второго типа устройства могут отсылать ответы, свидетельствующие об ошибочной ситуации. Признаком того, что ответ содержит сообщение об ошибке, является установленный старший бит кода команды.
Стандартная MODBUS сеть использует два метода контроля ошибок. Контроль паритета (even/odd) и контрольная сумма. Обе эти проверки генерируются в головном устройстве. Подчиненное устройство проверяет каждый байт и все сообщение в процессе приема.
Контрольная сумма LRC.
Метод LRC проверяет содержание сообщения исключая начальный символ ":" и пару CRLF.
LRC это 1 байт. LRC вычисляется передающим устройством и добавляется в конец сообщения. Принимающее устройство вычисляет LRC в процессе приема сообщения и сравнивает его с принятым от главного. Если есть несовпадение, то имеет место ошибка.
Алгоритм генерации LRC:
1. Сложить все байты сообщения, исключая стартовый символ ':' и конечные CRLF, складывая их так, чтобы перенос отбрасывался.
2. Отнять получившееся значение от числа FF(Hex) - это является первым дополнением.
3. Прибавить к получившемуся значению 1 - это второе дополнение.
Контрольная сумма CRC.
Контрольная сумма CRC состоит из двух байт. Контрольная сумма вычисляется передающим устройством и добавляется в конец сообщения. Принимающее устройство вычисляет контрольную сумму в процессе приема и сравнивает ее с полем CRC принятого сообщения.
Алгоритм генерации CRC:
1. 16-ти битовый регистр загружается числом FF hex (все 1), и используется далее как регистр CRC.
2. Первый байт сообщения складывается по ИСКЛЮЧАЮЩЕМУ ИЛИ с содержимым регистра CRC. Результат помещается в регистр CRC.
3. Регистр CRC сдвигается вправо (в направлении младшего бита) на 1 бит, старший бит заполняется 0.
4. (Если младший бит 0): Повторяется шаг 3 (сдвиг) (Если младший бит 1): Делается операция ИСКЛЮЧАЮЩЕЕ ИЛИ регистра CRC и полиномиального числа A001 hex.
5. Шаги 3 и 4 повторяются восемь раз.
6. Повторяются шаги со 2 по 5 для следующего сообщения. Это повторяется до тех пор пока все байты сообщения не будут обработаны.
7. Финальное содержание регистра CRC и есть контрольная сумма.
Ничего не пишите и не используйте калькулятор, и помните - вы должны отвечать быстро. Возьмите 1000. Прибавьте 40. Прибавьте еще тысячу. Прибавьте 30. Еще 1000. Плюс 20. Плюс 1000. И плюс 10. Что получилось? Ответ 5000? Опять неверно.
Статью подготовил категорийный менеджер по работе с ключевыми клиентами Умберг Эмиль Дмитриевич. 
