Принцип разумной достаточности. Подходы к обоснованию стоимости корпоративной системы защиты

Лекция 1: ЭКОНОМИЧЕСКИЕ АСПЕКТЫ ЗИ 1.1. Принцип разумной достаточности. Подходы к обоснованию стоимости корпоративной системы защиты Сегодня высшее руководство любой компании при осуществлении управления, по существу имеет дело только с информацией - и на ее основе принимает решения. Информация в настоящее время решает все. Вы знаете, что информация в настоящее время уже давно стала товаром, который можно покупать и продавать на рынке, иногда – за достаточно большие деньги. Как и любой товар, информация имеет свою цену, за которую она покупается и продается, и как любой ценный ресурс – подлежит защите. Отечественный ИТ-рынок в последние несколько лет динамично развивается, по оценкам экспертов его рост превышает 10% в год. При этом сектор информационной безопасности (ИБ) развивается еще более быстрыми темпами — более чем на 25% в год. Такой рост определяется в основном двумя факторами: возросшим вниманием руководства к обеспечению ИБ и недостаточным уровнем ИБ в существующих информационных системах (ИС). Понятно, что долго такие темпы роста сектора ИБ сохраняться не смогут, они замедлятся, и вопросы оценки эффективности затрат в области ИБ встанут весьма остро. Уже сейчас в отечественных ИС с повышенными требованиями в области ИБ (банковские системы, ответственные производства, и т.д.) затраты на обеспечение режима ИБ составляют до 30% всех затрат на ИС, и владельцы информационных ресурсов серьезно рассматривают экономические аспекты обеспечения ИБ. Даже в тех ИС, уровень ИБ которых явно не достаточен, у технических специалистов зачастую возникают проблемы обоснования перед руководством (владельцами информационных ресурсов) затрат на повышение этого уровня. Начальники служб автоматизации, исполнительные директора, начальники служб информационной безопасности должны иметь понятные для бизнеса аргументы для обоснования инвестиций в ИБ, т.е., по сути, представлять обоснование стоимости системы ИБ для бизнеса. Таким образом, в настоящее время комплексное управление процессами обеспечения информационной безопасностью (ИБ) подразумевает не просто бесцельное внедрение совокупности средств и систем защиты. ИБ превратилась в науку о реализации адекватного и эффективного по качеству и стоимости подхода к обеспечению защищенности всех элементов ИТ. Такой взгляд на проблему ИБ неизбежно требует определения показателей и метрик, позволяющих сравнивать защищенность различных систем ИТ, сравнивать эффективность контрмер, ранжировать угрозы и уязвимости по своей важности. Для любых компаний очень важно деньги в ЗИ вкладывать обоснованно. В информационной безопасности известен принцип разумной достаточности, который гласит следующее: Создание 100% надежной системы защиты информации невозможно в принципе, в любых случаях остается ненулевая возможность реализации какой-либо угрозы либо уязвимости. Любая система защиты информации может быть взломана, это вопрос только времени и потраченных злоумышленником средств. Поэтому бесконечно вкладывать деньги в обеспечение ИБ бессмысленно, необходимо когда-то остановиться (вопрос только в выборе этого порога). Согласно принципу разумной достаточности, стойкость СЗИ считается достаточной, если время взлома злоумышленником СЗИ превосходит время старения информации (либо некоторый разумный предел), либо стоимость взлома системы защиты информации превосходит стоимость полученной злоумышленником выгоды от взлома. В последнем случае, если злоумышленник является нормальным экономическим субъектом (не фанат, с психикой все в порядке), то он конечно не будет работать себе в убыток. Пример Возьмем парольную систему идентификации и аутентификации пользователей ОС Windows 2000. Предположим, что пользовательские пароли выбираются длиной 10 символов и используется следующий распространенный): 1. Английские малые и большие буквы. алфавит символов (наиболее 2. Цифры. 3. Специальные знаки (13 штук). Пространство атаки хэша NTLM в этом случае = (26+26+10+13)10=7510 Пространство атаки хэша в LANMAN этом случае = (26+10+13)7+(26+10+13)3=497+493. Скорость перебора паролей программой SAMInside составляет около 7*106 паролей в секунду. Тогда гарантированное время взлома составляет (497+493) / (7*106) секунд = 96889 секунд = 27 часов. В этом случае, даже если пароли менять каждый день, то вероятность взлома будет близка к единице. Если к алфавиту символов добавить русские буквы, то гарантированное время взлома составляет 41 сутки. Если пароли менять каждую неделю, то вероятность взлома будет составлять 1/7. В обоих случаях, стойкость – недостаточна, время взлома ненамного превосходит время старения информации (смена пароля). Однако, если выбрать пароль 15 символов (хеша LANMAN не будет), то гарантированное время взлома при первом наборе символов будет составлять 7515/107 секунд = 42375 млрд. лет, в этом случае даже меняя пароль один раз в год, мы получим достаточную стойкость системы защиты. Второй вариант – использовать аппаратные ключи и аппаратные устройства (однако, придется принимать во внимание их стоимость, и стоимость защищаемой информации). Существует, как минимум, два подхода к обоснованию стоимости корпоративной системы защиты. Первый подход – (наукообразный) - заключается в том, чтобы применить на практике необходимый инструментарий получения метрики и меры безопасности, а для этого привлечь руководство компании (как ее собственника) к оценке стоимости защищаемой информации, определений возможностей реализации потенциальных угроз и уязвимостей, а также потенциального ущерба. показатель, позволяющий характеризовать меру Наиболее известный безопасности, сравнивать защищенность различных систем ИТ, сравнивать эффективность контрмер – есть риск ИБ. Через риск достаточно эффективно считается наиболее экономичный вариант реализации контрмер. Второй подход (практический) состоит в следующем: можно попробовать найти инвариант разумной стоимости корпоративной системы защиты информации. Ведь существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер. Например, на рынке автострахования некоторая общая оценка разумной стоимости такой услуги, как страхование собственного автомобиля, составляет от 5 до 15% его рыночной цены - в зависимости от локальных условий эксплуатации, культуры и опыта вождения водителя, интенсивности движения, состояния дорог и т.д. Эксперты-практики в области защиты информации нашли некий оптимум, позволяющий чувствовать себя относительно уверенно, - стоимость системы ИБ должна составлять примерно 10-20% от стоимости КИС - в зависимости от уровня конфиденциальности информации (но надо их еще правильно вложить). Это и есть та самая оценка на основе практического опыта (best practice), на которую можно положиться. И на вопрос «А почему для создания адекватной целям и задачам бизнеса корпоративной системы защиты информации требуется сто тысяч долларов?» отвечать «Потому что на сегодняшний день стоимость нашей КИС составила один миллион долларов!». Очевидно, что второй подход не лишен недостатков. Здесь, скорее всего, не удастся заставить руководство глубоко осознать проблемы ИБ. Но зато можно смело прогнозировать объем бюджета на ИБ и существенно сэкономить на услугах внешних консультантов. Под риском информационной безопасности будем понимать возможные потери собственника или пользователя информации и поддерживающей инфраструктуры связанные с реализацией некоторой угрозы. 1. Риск нарушения конфиденциальности информации (информация - товар). 2. Риск нарушения целостности информации (Магнитогорск, Dr Paper). 3. Риск нарушения доступности информации, доступности сервисов – Владивосток. Организации сейчас жестко завязаны на автоматизацию, на сервисы, несут огромные потери от их простаивания (это ущерб). Не даром сейчас вводят такого рода процессы, как управление доступностью сервисов, управление непрерывностью и т.д. 1.2. Информация как товар Современное общество называется информационным. Широкое развитие средств вычислительной техники и связи позволило собирать, хранить, обрабатывать и передавать информацию в таких объемах и с такой оперативностью, информационным деятельность которые были технологиям человека, его немыслимы раньше. производственная повседневная и сфера Благодаря не новым производственная общения безгранично расширяются за счет вовлечения опыта, знаний и духовных ценностей, выработанных мировой цивилизацией, и сама экономика все в меньшей степени характеризуется как производство материальных благ и все большей - как распространение информационных продуктов и услуг. И уже вряд ли стоит возражать против сложившихся и укоренившихся в теории и практике употребления таких словосочетаний как "информация - это товар". Тем более, что отнесение информации к категории "товара" юридически закреплено законодательно: информационные ресурсы могут быть товаром. Как любой товар, информация может покупаться, продаваться, и т.д. Информация сейчас – важнейший ресурс экономики. Кто владеет информацией – владеет всем! Следующим важнейшим свойством информации, как товара, является ее цена. Главная черта рыночного ценообразования состоит в том, что реальный процесс формирования цен здесь происходит не в среде производства, а в среде реализации продукции, т.е. на рынке под воздействием спроса и предложения. Цена товара и его полезность проходят проверку рынком и окончательно формируются на рынке. Формирование цены на информационные продукты и услуги осуществляется на основе анализа рентабельности предлагаемой информации и конъюнктуры рынка. Например, создание автоматизированных баз данных. Факторами, влияющими на установление цен, являются затраты на разработку информационного продукта, качество представленной информации, а также ожидаемый Цена информации спрос в на тот или иной предпринимательской информационный деятельности продукт. может также определяться, как величина ущерба, который может быть нанесен фирме в результате использования коммерческой информации конкурентами. Или наоборот прибыли (дохода), который может быть получен фирмой в результате получения коммерческой информации. Таким образом, информация как особый вид ресурсов и фактор общественного развития становиться и особым видом продукта с присущими ему всеми свойствами товара. Наблюдается переход от индустриальной экономики к экономике, основанной на информации, на новой информационной технологии как совокупности информационно- технологических процессов. На сегодня рынок информации в России многообразен и динамичен. Активно используя самые совершенные технологии, он расширяется за счет формирования новых общественных потребностей и начинает доминировать в российской экономике наряду с энергетическим рынком. Чтобы оценить масштабность рынка информации, достаточно посмотреть на его структуру. В число основных секторов этого рынка входят:  традиционные средства массовой информации (телевидение, радио, газеты);  справочные издания (энциклопедии, учебники, словари, каталоги и т.д.);  справочно-информационные службы (телефонные службы, справочные бюро, доски объявлений и др.);  консалтинговые службы (юридические, маркетинговые, налоговые и др.);  компьютерные информационные системы и базы данных Как уже было сказано, часть информации обращающейся в фирме представляет собой конфиденциальную информацию, чаще она называется коммерческой тайной (КТ). Под КТ предприятия понимаются не относящиеся к государственным секретам сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам. Состав и объем сведений составляющих КТ, определяются руководством предприятия. Для того, чтобы иметь возможность контролировать деятельность предприятий, Правительство России выпустило 05.12.91 г. Постановление № 35 "О перечне сведений, которые не могут составлять коммерческую тайну". Перечень сведений, относящихся к КТ и носящий рекомендательный характер, может быть сгруппирован по тематическому принципу. Сведения, включенные в данный перечень, могут быть КТ только с учетом особенностей конкретного предприятия (организации). 1. Сведения о финансовой деятельности - прибыль, кредиты, товарооборот; финансовые отчеты и прогнозы; коммерческие замыслы; фонд заработной платы; стоимость основных и оборотных средств; кредитные условия платежа; банковские счета; плановые и отчетные калькуляции. 2. Информация о рынке - цены, скидки, условия договоров, спецификация продукции, объем, история, тенденции производства и прогноз для конкретного продукта; рыночная политика и планирование; маркетинг и стратегия цен; отношения с потребителем и репутация; численность и размещения торговых агентов; каналы и методы сбыта; политика сбыта; программа рекламы. 3. Сведения о производстве продукции - сведения о техническом уровне, технико-экономических характеристиках разрабатываемых изделий; сведения о планируемых сроках создания применяемых и перспективных разрабатываемых изделий; технологиях, технологических сведения о процессах, приемах и оборудовании; сведения о модификации и модернизации ранее известных технологий, процессов, оборудования; производственные мощности; состояние основных и оборотных фондов; организация производства; размещение и размер производственных помещений и складов; перспективные планы развития производства; технические спецификации существующей и перспективной продукции; схемы и чертежи новых разработок; оценка качества и эффективности. 4. Сведения о научных разработках - новые технологические методы, новые технические, технологические и физические принципы; программы НИР; новые алгоритмы; оригинальные программы. 5. Сведения о материально-техническом обеспечении - сведения о составе торговых клиентов, представителей и посредников; потребности в сырье, материалах, комплектующих узлах и деталях, источники удовлетворения этих потребностей; транспортные и энергетические потребности. 6. Сведения о персонале предприятия - численность персонала предприятия; определение лиц, принимающих решения. 7. Сведения о принципах управления предприятием - сведения о применяемых и перспективных методах управления производством; сведения о фактах ведения переговоров, предметах и целей совещаний и заседаний органов управления; сведения о планах предприятия по расширению производства; условия продажи и слияния фирм. 8. Прочие сведения - важные элементы системы безопасности, кодов и процедур доступа, принципы организации защиты коммерческой тайны. Законом РФ от 02.12.90г. "О банках и банковской деятельности" введено понятие "банковской тайны". Под банковской тайной подразумевается обязанность кредитного учреждения сохранять тайну по операциям клиентов, ограждение банковских операций от ознакомления с ними посторонних лиц, прежде всего конкурентов того или иного клиента, тайну по операциям, счетам и вкладам своих клиентов и корреспондентов. Иначе банковскую тайну можно определить как личную тайну банка. В итоге КТ банка включает КТ самого банка и личную тайну вкладчика. Нецелесообразно превращать информацию в коммерческую тайну идеи и сведения, которые общеизвестны. То есть следует различать информацию, имеющую коммерческую ценность, и информацию, представляющую научный и теоретический интерес. Американцы, например, (в "Практике защиты коммерческой тайны в США") предлагают двухчленное деление сведений, составляющих КТ: технология и деловая информация. Первая группа коммерческих секретов представляет интерес для конкурентов потому, что может быть применена ими для производства таких же товаров с использованием технических и технологических решений данного предприятия. Вторая группа - деловая информация, содержащая КТ, может учитываться конкурентом в борьбе с предприятием за рынок сбыта клиентов, покупателей, для навязывания невыгодных сделок. Коммерческая информация может быть ранжирована по степени ее важности для предприятия с тем, чтобы регулировать ее распространение среди работающих на предприятии, указывать пользователей этой информации, уровень ее защиты и т.д. Для обозначения степени важности коммерческой информации для предприятия можно предложить систему обозначения степени ее секретности: Коммерческая Коммерческая тайна тайна строго - конфиденциально конфиденциально (КТ-СК). (КТ-К). Коммерческая тайна (КТ). 1.3 Кривая затрат на информационную безопасность. Связь затрат на информационную безопасность и уровень достигаемой защищенности. Анализ кривой затрат на ИБ Общие затраты на безопасность складываются из: 1. затрат на предупредительные мероприятия; 2. затрат на контроль; 3. затрат на восполнение потерь (внешних и внутренних). С изменением уровня защищенности информационной среды изменяются величины составляющих общих затрат и, соответственно, их сумма - общие затраты на безопасность. Взаимосвязь между всеми затратами на безопасность, общими затратами на безопасность и уровнем защищенности информационной среды предприятия может быть представлена так, как это изображено на рисунке ниже. .Снижение общих затрат Из примера, представленного на рисунке видно, что достигаемый уровень защищенности измеряется в категориях «большой риск» и «риск отсутствует» (совершенная защита). Рассматривая левую сторону графика (большой риск), мы видим, что общие затраты на безопасность высоки в основном потому, что велики потери на компенсацию при нарушениях политики безопасности. Расходы же на обслуживание системы безопасности очень малы. При движении по графику вправо достигаемый уровень защищенности возрастает (снижается информационный риск). Это происходит за счет увеличения объема предупредительных мероприятий, связанных с обслуживанием системы защиты. Расходы на компенсацию НПБ уменьшаются в результате предупредительных действий. Как показано на графике, на этой стадии расходы из-за потерь падают быстрее, нежели растут затраты на предупредительные мероприятия. В результате общие затраты на безопасность становятся меньше. Изменения объема затрат на контроль незначительны. Увеличение общих затрат Если двигаться по графику вправо, за точку экономического равновесия (то есть в область, где достигаемый уровень защищенности повышается), ситуация начинает меняться. Мы видим, что стремление добиться устойчивого снижения затрат на компенсацию нарушений политики безопасности приводит к более быстрому возрастанию затрат на предупредительные мероприятия. Получается, что ценой расходования значительного объема средств удается достичь сравнительно малого снижения уровня риска. Экономическое равновесие График на рис. П7.4 отражает только общий случай, так как построен с учетом некоторых допущений, не всегда отвечающих реальным ситуациям. Первое допущение заключается в том, что предупредительная деятельность по техническому обслуживанию комплекса программно-технических средств защиты информации и предупреждению нарушений политики безопасности предприятия соответствует правилу Парето: в первую очередь рассматриваются те проблемы, решение которых дает наибольший эффект в части снижения информационного риска. Если не следовать этой модели, то вид графика станет совсем иным. В соответствии со вторым допущением предполагается, что так называемое экономическое равновесие не изменяется во времени. В реальности все обстоит несколько иначе, поскольку на графике не учитываются два важных фактора: - во-первых, предупредительная (превентивная) деятельность на практике не просто порча бумаги, она позволяет не повторять допущенные ранее ошибки; но такая деятельность требует больших затрат, и экономический баланс может сдвигаться вправо по диаграмме; во-вторых, разработчики средств защиты не успевают за активностью злоумышленников, изыскивающих все новые и новые бреши в системах защиты. Кроме того, информатизация предприятия может породить новые проблемы, решение которых потребует дополнительных предупредительных затрат. Все это в состоянии сместить экономическое равновесие по направлению к левому краю диаграммы. 1.4 Стоимостные характеристики IT-проектов и проектов ИБ Применение ИТ и СИБ в бизнесе современного предприятия обходится весьма недешево. Общая стоимость ИС зависит от множества различных факторов, начиная от выбора аппаратного и программного обеспечения, и заканчивая структурой отделов автоматизации предприятия и конечной производительностью каждого сотрудника. Значительную долю в общей стоимости информационной системы (ИС) составляют затраты на ее обслуживание, поддержку в рабочем состоянии и т. д. Когда компания решает вопрос о выборе информационной системы, выводы о затратах на обслуживание сделать гораздо сложнее. Поставщики обычно заявляют, что их система после установки работает в полностью автономном режиме. Но на практике поддержка в работоспособном состоянии информационной системы в любом случае будет требовать вложений, так как правила игры в бизнесе постоянно изменяются, и любая компания должна к ним приспосабливаться. Обычно нужно оценить расходы, связанные с владением покупкой на протяжении нескольких лет. Методы такой оценки существуют и известны под названием TCO - total cost of ownership, или совокупная стоимость владения, которая помогает оценить затраты, связанные с использованием всех составляющих элементов ИС за период их жизненного цикла. В принципе модель ТСО призвана помочь руководителям ИТ-отделов (в том числе ответственным за безопасность) распределить средства таким образом, чтобы добиться максимальной отдачи от инвестиций в ИТ и при этом уложиться в бюджет, выделенный на внедрение. ТСО нередко оказывается решающим фактором при выборе и внедрении (или при отказе от внедрения) какого-либо информационного продукта. Не менее важным является вопрос о том как снизить ТСО. По экспертным оценкам, при правильном подходе к снижению непродуктивных затрат, реальная экономия может составить до трети общих расходов на ИТ. Основными направлениями снижения ТСО можно назвать:  внедрение аутсорсинга;  максимальную централизацию обработки и хранения информации, централизация средств администрирования (Site Protector);  уменьшение числа специализированных элементов (прежде всего компьютеров с прикладным ПО);  перенос прикладного ПО на серверы приложений;  обеспечение возможности входа в систему с любой точки;  обеспечение единообразного доступа, как по внутренней, так и по внешней телекоммуникационным сетям. Конечный смысл оценки TCO в том, чтобы заранее определить узкие места и минимизировать затраты, заранее предвидеть все сложности и сообщить о них клиенту, а главное, попытаться предупредить эти проблемы еще на этапе внедрения. Ключевым моментом является сравнение ТСО данного IT-проекта (например, ТСО в пересчете на одного пользователя системы) с ТСО других компаний аналогичного профиля. Сравнение происходит как правило со средними показателями по отрасли (аналогичным компаниям) и с «лучшими в группе». Средние и лучшие показатели рассчитываются и отслеживаются экспертами Gartner Group по многим предприятиям различных отраслей. Лекция 2: «SWOT-анализ» SWOT-анализ — метод стратегического планирования, заключающийся в выявлении факторов внутренней и внешней среды организации и разделении их на четыре категории: 1. Strengths (сильные стороны), 2. Weaknesses (слабые стороны), 3. Opportunities (возможности), 4. Threats (угрозы). Сильные (S) и слабые (W) стороны являются факторами внутренней среды объекта анализа, (то есть тем, на что сам объект способен повлиять); возможности (O) и угрозы (T) являются факторами внешней среды (то есть тем, что может повлиять на объект извне и при этом не контролируется объектом). Например, предприятие управляет собственным торговым ассортиментом — это фактор внутренней среды, но законы о торговле не подконтрольны предприятию — это фактор внешней среды. Рисунок 1 – категории SWOT-анализа Правила проведения SWOT анализа Перед тем как приступить к составлению SWOT анализа необходимо усвоить ряд правил: 1. Нужно выбрать максимально конкретную область исследования. Если вы выбрали слишком широкую область, то выводы будут не конкретными и слабо применимыми. 2. Четкое разделение элементов SWOT. Не нужно путать сильные стороны и возможности. Сильные и слабые стороны – это внутренние особенности организации, ей подвластные. Возможности и угрозы связаны с внешней средой и напрямую неподвластны влиянию организации, организация может лишь менять свой подход и подстраиваться под них. 3. Избегайте субъективности. Наивно будет опираться на ваше мнение если с ним не согласен рынок. Возможно вы считаете ваш продукт уникальным, но об этом стоит прежде всего спросить потребителей. Без них ваше личное мнение не имеет никакого значения. 4. Старайтесь использовать мнение как можно большего количества людей. Чем больше выборка, тем точнее исследование. 5. Максимально конкретные и точные формулировки. Я часто спрашиваю у подчиненных – «что нужно делать чтобы больше зарабатывать?» Почти всегда мне отвечают, что нужно больше работать. Это не конкретная формулировка, не ясно какие конкретные действия в какое время должен совершать человек. Используя эти не сложные правила можно перейти к составлению SWOT матрицы. Визуальное представление Для удобства работы аккумулируемые данные представляют в виде таблицы следующего вида: Таблица 1 – визуальное представление исходных данных SWOT-анализа Положительное влияние Отрицательное влияние Strengths (свойства проекта или Weaknesses Внутренняя среда коллектива, (свойства, дающие ослабляющие проект) преимущества перед другими в отрасли) (внешние Threats Opportunities Внешняя среда вероятные факторы, дающие вероятные (внешние факторы, дополнительные возможности по которые могут осложнить достижению цели) достижение цели) Первая строчка и первый столбец указаны просто для удобства понимания, их рисовать не обязательно если вы хорошо понимаете метод SWOT анализа. Анализ сильных и слабых сторон Как не удивительно, но именно с описанием сильных сторон возникает больше всего проблем у людей, взявшихся за SWOT анализ впервые. В целом вы можете попросить помощи в оценке своих сотрудников, друзей и знакомых, но лучше научиться анализировать самостоятельно. Сильные и слабые стороны оцениваются по одним и тем же параметрам. В бизнесе сильные стороны оцениваются прежде всего по следующим параметрам:  уникальность  менеджмент вашего предложения; и человеческие ресурсы в целом (прежде всего компетентность и опыт персонала);  наличие чёткой системы: бизнес процессы и понимание сотрудников что делать;  финансы  чётко и доступ к деньгам; организованный отдел продаж. Это очень важный фактор успеха, отсутствие отдела продаж — это серьёзная преграда и поглотитель остальных ресурсов;  продуманность  наличие маркетинговой политики; издержек на производство. При проведении SWOT анализа своей личности можно опираться на следующие критерии:  образование и знания;  опыт и ваши умения;  связи в обществе, полезные знакомства и прочие возможности использовать административный ресурс;  узнаваемость  наличие и авторитет; материальных ресурсов; При анализе сильных сторон стоит ориентироваться на то, что вы любите делать и что у вас получается хорошо. Как правило, то что мы не любим у нас получается хуже. Анализ возможностей и угроз Возможности и угрозы создают изменения среды и те изменения, которые можете предпринять лично вы. Стоит отметить, что для анализа внешней ситуации на рынке, а тем более для прогнозирования бедующего рынка нужно обладать серьёзной квалификацией. Предугадать что произойдёт очень трудно и стоит опираться, прежде всего, на текущие факты и тенденции. При этом, делая долгосрочное планирование нужно учитывать, в том числе и самый пессимистичный сценарий развития ситуации. Возможности и угрозы в бизнесе, прежде всего, оцениваются по следующим параметрам: 1. Тенденции рынка. Увеличение или снижение спроса. 2. Экономическое положение в стране. В годы роста экономики бизнес при прочих равных будет расти соразмерно с ростом экономики, и наоборот. 3. Конкуренция, отсутствие конкурентов сегодня не гарантирует их отсутствие завтра. Приход на рынок крупного игрока, может перевернуть отрасль с ног на голову. 4. Изменения инфраструктуры. Крупные изменения в инфраструктуре могут сулить как прибыль, так и убытки. 5. Законодательство и политические тенденции. 6. Технологические перевороты. Прогресс неизбежно уничтожает целые отрасли, создавая при этом новые. В любой сфере бизнеса есть свои эксперты и профессионалы, для составления качественной SWOT матрице, можно обратиться к ним за советом и экспертным мнением. Применение Задача SWOT-анализа — дать структурированное описание ситуации, относительно которой нужно принять какое-либо решение. Выводы, сделанные на его основе, носят описательный характер без рекомендаций и расстановки приоритетов. Для более полной отдачи от метода используется также построение вариантов действий, основанных на пересечении полей. Для этого последовательно рассматривают различные сочетания факторов внешней среды и внутренних свойств компании. Рассматриваются все возможные парные комбинации и выделяются те, что должны быть учтены при разработке стратегии. 1. Поле СИВ показывает, какие сильные стороны необходимо использовать, чтобы получить отдачу от возможностей во внешней среде. 2. Поле СЛВ показывает, за счет каких возможностей внешней среды организация сможет преодолеть имеющиеся слабости. 3. Поле СИУ показывает, какие силы необходимо использовать для устранения угроз. 4. Поле СЛУ показывает, от каких слабостей необходимо избавиться, чтобы попытаться предотвратить нависшую угрозу. Таблица 2 – комбинации в SWOT-анализе Возможности Угрозы Сильные стороны СИВ СИУ Слабые стороны СЛВ СЛУ Поскольку SWOT-анализ в общем виде не содержит экономических категорий, его можно применять к любым организациям, отдельным людям и странам для построения стратегий в самых различных областях деятельности. Преимущества и недостатки SWOT-анализ эффективен при осуществлении начальной оценки текущей ситуации, однако он не может заменить выработку стратегии или качественный анализ динамики. Сильные стороны SWOT-анализа: 1. Это универсальный метод, который применим в самых разнообразных сферах экономики и управления. Его можно адаптировать к объекту исследования любого уровня (продукт, предприятие, регион, страна и пр.). 2. Это гибкий метод со свободным выбором анализируемых элементов в зависимости от поставленных целей (например, можно анализировать город только с точки зрения туризма или только с точки зрения работы транспорта и т.д.). 3. Может использоваться как для оперативной оценки, так и для стратегического планирования на длительный период. 4. Использование метода, как правило, не требует специальных знаний и наличия узкопрофильного образования. Недостатки: 1. SWOT-анализ показывает только общие факторы. Конкретные мероприятия для достижения поставленных целей надо разрабатывать отдельно. 2. Зачастую при SWOT-анализе происходит лишь перечисление факторов без выявления основных и второстепенных, без детального анализа взаимосвязей между ними. 3. Анализ даёт в большей степени статичную картинку, чем видение развития в динамике. 4. Результаты SWOT-анализа, как правило, представлены в виде качественного описания, в то время как для оценки ситуации часто требуются количественные параметры. 5. SWOT-анализ является довольно субъективным и чрезвычайно зависит от позиции и знаний того, кто его проводит. 6. Для качественного SWOT-анализа необходимо привлечение больших массивов информации из самых разных сфер, что требует значительных усилий и затрат. Примеры SWOT-анализа Рассмотрим методику SWOT-анализа на примере компании McDonald’s. Рисунок 2 - SWOT-анализ компании McDonald’s Так же примером может быть SWOT-анализ личности. Рассмотрим на примере художника. Рисунок 3 - SWOT-анализ художника