Глава 4 Работа с воронкой продаж: основные требования Итак, воронка продаж – это и есть, по сути, ваш бизнес, его структура. Необходимо постоянно измерять показатели воронки продаж, отслеживая конверсию на каждом из перечисленных выше этапов.Это можно делать с помощью

Глава 9 Принцип товарной матрицы и матрицы услуг Самое первое, о чем нужно сказать, – так называемый товар-локомотив. Его цель – генерировать потенциальных клиентов, привлекая их к вам на сайт, в магазин, куда угодно.Классный пример – в продуктовой сфере. Очень часто в

Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:

1. Весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе.

2. Значительное число фирм, специализирующихся на решении вопросов защиты информации.

3. Достаточно четко очерченная система взглядов на эту проблему.

4. наличие значительного практического опыта и другое.

И тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют устойчивую тенденцию к росту.

Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов.

Причем в этом должны активно участвовать:

· профессиональные специалисты;

· администрация;

· сотрудники;

· пользователи.

Из этого следует, что:

1. Обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий.

2. Безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм – систему защиты информации . При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий.

3. Никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.

С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту от внутренних и внешних угроз.

Таким образом, под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.

Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.

С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

1. Непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации.

2. Плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации).

3. Целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд.

4. Обоснованной. Сложность решаемых задач, большой объем работ, а также ограниченность ресурсов вызывают необходимость глубокого научного обоснования принимаемых решений по защите информации. При обосновании необходимости защиты надо исходить из внешнеполитических, оборонных и экономических интересов госу­дарства, закладывая в решение проблем передовые научно-техни­ческие идеи и достижения.

5. Достаточной. Означает необходимость поиска надежных мер защиты, избегая излишних затрат. Обеспечивается применением наиболее совершенных методов и средств защиты. Способствует соблюдению баланса интересов государства и отдельных органи­заций (предприятий), граждан.

6. Гибкой в управлении. Ввиду многочисленности защищаемых объектов и сведений, возможного резкого изменения разведобстановки, условий защиты и важности защищаемой информации нуж­на гибко управляемая структура, обеспечивающая способность прогнозирования угроз и их упреждающую нейтрализацию, опе­ративную и эффективную ликвидацию последствий угрозы. Обес­печивается главным образом высокой степенью автоматизации средств и систем защиты и наличием быстродействующей обрат­ной связи.

7. Конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб.

8. Активной. Защищать информацию необходимо с достаточной степенью настойчивости

9. Надежной. Методы и формы защиты должны быть надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены.

10. Своевременной. Своевременность диктует необходимость заблаговременной, до начала проведения секретных работ, разработки мер защиты и контроля. Несвоевременное проведение мероприятий по защите может не только снизить ее эффективность, но и привести к об­ратному результату.

11. Универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации.

12. Комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита – это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимно обусловливающих друг друга сторон, свойств, тенденций.

Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:

1. Охватывать весь технологический комплекс информационной деятельности.

2. Быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа.

3. Быть открытой для изменения и дополнения мер обеспечения безопасности информации.

4. Быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность, злоумышленников относительно ее возможностей.

5. Быть простой для технического обслуживания и удобной для эксплуатации пользователями.

6. Быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации.

7. Быть комплексной, обладать целостностью, означающей, что ни одна часть не может быть изъята без ущерба для всей системы.

К системе защиты информации предъявляются также определенные требования :

· четкость определения полномочий и прав пользователей на доступ к определенным видам информации;

· предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;

· сведение к минимуму числа общих для нескольких пользователей средств защиты;

· учет случаев и попыток несанкционированного доступа к конфинденциальной информации;

· обеспечение оценки степени конфинденциальной информации;

· обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.

Исторически сложившийся подход к классификации государственной информации (данных) по уровням требований к ее защищенности основан на рассмотрении и обеспечении только одного свойства информации - ее конфиденциальности (секретности). Требования же к обеспечению целостности и доступности информации, как правило, лишь косвенно фигурируют среди общих требований к системам обработки этих данных. Считается, что раз к информации имеет доступ только узкий круг доверенных лиц, то вероятность ее искажения (несанкционированного уничтожения) незначительна. Низкий уровень доверия к АС и предпочтение к бумажной информационной технологии еще больше усугубляют ограниченность данного подхода.

Если такой подход в какой-то степени оправдан в силу существующей приоритетности свойств безопасности важной государственной информации, то это вовсе не означает, что его механический перенос в другую предметную область (с другими субъектами и их интересами) будет иметь успех.

Во многих областях деятельности (предметных областях) доля конфиденциальной информации сравнительно мала. Для коммерческой и персональной информации, равно как и для государственной информации, не подлежащей засекречиванию, приоритетность свойств безопасности информации может быть иной. Для открытой информации, ущерб от разглашения которой несущественен, важнейшими могут быть такие качества, как доступность, целостность или защищенность от неправомерного тиражирования. К примеру, для платежных (финансовых) документов самым важным является свойство их целостности (достоверности, неискаженности). Затем, по степени важности, следует свойство доступности (потеря платежного документа или задержка платежей может обходиться очень дорого). Требований к обеспечению конфиденциальности отдельных платежных документов может не предъявляется вообще.

Попытки подойти к решению вопросов защиты такой информации с позиций традиционного обеспечения только конфиденциальности, терпят провал. Основными причинами этого, на наш взгляд, являются узость существующего подхода к защите информации, отсутствие опыта и соответствующих проработок в плане обеспечения целостности и доступности информации, не являющейся конфиденциальной.

Развитие системы классификации информации по уровням требований к ее защищенности предполагает введение ряда степеней (градаций) требований по обеспечению каждого из свойств безопасности информации: доступности, целостности, конфиденциальности и защищенности от тиражирования. Пример градаций требований к защищенности:

· нет требований;

· низкие;

· средние;

· высокие;

· очень высокие.

Количество дискретных градаций и вкладываемый в них смысл могут различаться. Главное, чтобы требования к защищенности различных свойств информации указывались отдельно и достаточно конкретно (исходя из серьезности возможного наносимого субъектам информационных отношений ущерба от нарушения каждого из свойств безопасности информации).

В дальнейшем любой отдельный функционально законченный документ (некоторую совокупность знаков), содержащий определенные сведения, вне зависимости от вида носителя, на котором он находится, будем называть информационным пакетом .

К одному типу информационных пакетов будем относить пакеты (типовые документы), имеющие сходство по некоторым признакам (по структуре, технологии обработки, типу сведений и т.п.).

Задача состоит в определении реальных уровней заинтересованности (высокая, средняя, низкая, отсутствует) субъектов в обеспечении требований к защищенности каждого из свойств различных типов информационных пакетов, циркулирующих в АС.

Требования же к системе защиты АС в целом (методам и средствам защиты) должны определяться, исходя из требований к защищенности различных типов информационных пакетов, обрабатываемых в АС, и с учетом особенностей конкретных технологий их обработки и передачи (уязвимости).

В одну категорию объединяются типы информационных пакетов с равными приоритетами и уровнями требований к защищенности (степенью важности обеспечения их свойств безопасности: доступности, целостности и конфиденциальности).

Предлагаемый порядок определения требований к защищенности циркулирующей в системе информации представлен ниже:

1. Составляется общий перечень типов информационных пакетов, циркулирующих в системе (документов, таблиц). Для этого с учетом предметной области системы пакеты информации разделяются на типы по ее тематике, функциональному назначению, сходности технологии обработки и т.п. признакам.

2. На последующих этапах первоначальное разбиение информации (данных) на типы пакетов может уточняться с учетом требований к их защищенности.

Затем для каждого типа пакетов, выделенного в первом пункте, и каждого критического свойства информации (доступности, целостности, конфиденциальности) определяются (например, методом экспертных оценок):

· перечень и важность (значимость по отдельной шкале) субъектов, интересы которых затрагиваются при нарушении данного свойства информации;

· уровень наносимого им при этом ущерба (незначительный, малый, средний, большой, очень большой и т.п.)и соответствующий уровень требований к защищенности.

При определении уровня наносимого ущерба необходимо учитывать:

· стоимость возможных потерь при получении информации конкурентом;

· стоимость восстановления информации при ее утрате;

· затраты на восстановление нормального процесса функционирования АС и т.д.

Если возникают трудности из-за большого разброса оценок для различных частей информации одного типа пакетов, то следует пересмотреть деление информации на типы пакетов, вернувшись к предыдущему пункту методики.

3. Для каждого типа информационных пакетов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности по каждому из свойств информации (при равенстве значимости субъектов выбирается максимальное значение уровня).

Пример оценки требований к защищенности некоторого типа информационных пакетов приведен в таблице 1.

Таблица 1

Оценка требований к защищенности информационных пакетов

Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию.

С учетом этого система защиты информации может иметь:

1. Правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия.

2. Организационное обеспечение . Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и другими.

3. Аппаратное обеспечение. Предполагается широкое использование технических средств как для защиты информации, так и для обеспечения деятельности собственно СЗИ.

4. Информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности.

5. Программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации.

6. Математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты.

7. Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации.

8. Нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.

Сущность и классификация информации

Тема 8. Организационные коммуникации

Вопросы:

1. Сущность и классификация информации

2. Требования к информации

Информация (лат. informatio - разъяснения, изложение): первоначально - сведения передаваемые людьми устным, письменным или другим способом (с помощью условных сигналов технических средств и т.д.); с середины XX в. - общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, обмен сигналами в животном и растительном мире; передачу сигналов от клетки к клетке, от организма к организму.

Существуют две точки зрения на природу информации:

♦ атрибутивная. Согласно этой точке зрения информация относится к всеобщим свойствам материи, таким, как движение, неоднородность, системность, структурность, разнообразие, тождество и др. Информация присуща живой и неживой природе. Сторонники атрибутивного подхода выделяют универсализм информации, утверждают, что можно выявить информационные процессы не только в журналистике, социологии, экономике, но и в искусственно созданных системах управления, в теории автоматов и роботов и др.;

♦ функционально-кибернетическая. Согласно этой точке зрения информация присуща не всем, а только живым формам материи. Она появляется на определенной стадии развития материального мира, когда становятся возможными сложные, динамичные, самоуправляемые, саморазвивающиеся системы, высшим представителем которых выступает человек.

Под управленческой информацией принято понимать определенные новые сведения, совокупность некоторых данных, знания о фатах, событиях или состоянии управляемого объекта, которые используются в процессе управления или побуждают к некоторым действиям.

Для управленческого персонала организации (предприятия) информация является предметом, средством и результатом труда.

Информация имеет следующие основные свойства и признаки:

♦ передается посредством сигнала - носителя информации;

♦ всегда имеет количественные и качественные параметры;

♦ не исчезает в процессе использования, а может использоваться многократно;

♦ способна накапливаться беспредельно;

♦ имеет ценность и полезность, что определяется своевременностью, затратами на ее получение, степенью использования и результативностью.

Основная задача руководителя любого уровня - эффективное использование имеющихся в его распоряжении ресурсов для достижения поставленных целей. К ресурсам руководителя наряду с традиционными - трудовыми, материальными, финансовыми - относятся также информация, знания и время.

Значение информации для управления организацией определяется во-первых, тем, что она является важнейшим, особого рода ресурсом руководителя.

Во-вторых, выступает как основа процесса управления. Посредством различных операций с информацией осуществляются циклически повторяющиеся стадии процесса управления. С помощью информации осуществляются взаимосвязи между субъектом и объектом управления, а также внутри субъекта управления. Информация передается по каналам прямой и обратной связи, связывая тем самым субъект и объект управления.

В-третьих, информация выступает как основа коммуникаций в системе управления. С ее помощью осуществляются коммуникации предприятия с внешней средой - потребителями, поставщиками, конкурентами, государственными органами, правительственными агентствами и другими, а также между структурными подразделениями предприятия.

В-четвертых, информация является ресурсом управленческого труда. Нa основе исходной информации путем циклически повторяющихся стадий управленческого процесса органы управления принимают решения, организуют и контролируют их исполнение.

Под данными обычно понимаются сведения, сообщения, записанные наблюдения, знания, которые в настоящий момент не оказывают воздействия на поведение. Данные могут превратиться в информацию, если такое воздействие на поведение будет иметь место. Данные превращаются в информацию, если управляющий осознал их значение. С точки зрения принятия решений можно утверждать, что информацией являются используемые данные. Это важно помнить при построении управленческой информационной системы, поскольку работником, ответственным за принятие решений, данные должны даваться в виде информации, на основании которой могут быть предприняты или иные действия.

Информационная система управления организацией должна обеспечить:

- полноту информации для каждого звена информационной системы, которая определяется как отношение полученной информации к информации, необходимой для управления;

-полезность и ценность информации, т.е. когда информация используется и руководителем принимаются управленческие решения. Поэтому информационные потоки в системе управления должны быть адресными и направляться конкретным руководителям и специалистам управленческого аппарата;

- точность и достоверность информации, т.к. принятие решений на основе недостаточно точных или недостоверных данных увеличивает риск ошибок и неверных решений;

- своевременность поступления информации, в обратном случае орган управления будет бездействовать в ситуации, когда объект управления ждет управляющего воздействия, в результате чего теряется управляемость объектом;

- экономичность и эффективность обработки информации в принципе являются комплексными критериями и показателями, получаемым путем сопоставления результатов управления с затратами на функционирование информационной системы.

Для оценки эффективности самих информационных систем можно использовать следующие показатели:

Производительность как затраты времени на обработку установленного объема данных при сохранении надежности этих данных;

Пропускная способность системы, т.е. объем данных, которые информационная система может выдать в пригодной для принятия решений форме;

Скорость и быстродействие системы, которые определяются количеством обрабатываемых данных в единицу времени;

Надежность, т.е. вероятность бесперебойной работы системы в течение определенного периода времени;

Расходы на единицу данных, обрабатываемых системой;

Расходы на информационную систему и окупаемость затрат.

Рекомендуем почитать

Свойства крови

Английская сказка Jack and the Beanstalk Джек и волшебные бобы читать

Лейкоциты

Проверка медицинской книжки

Капилляры, вены и артерии

Почему нельзя говорить аллах акбар?

Анализы крови

Волчье лыко: описание кустарника, фото

Профилактика

Белый гриб условно съедобный

Группы крови

Как определить лицо глагола?