Жизненный цикл системы экономической безопасности предприятия

Экономическими и информационными аспектами разработки, внедрения и использования занимались многие отечественные и зарубежные специалисты и ученые [1 – 5], но еще существует достаточно нерешенных вопросов теоретического и практического характера.

Одним из таких нерешенных в достаточной степени вопросов является исследование жизненного цикла системы экономической безопасности (СЭБ) предприятия. Актуальность исследования подтверждается следующими фактами.

За последние годы по данным исследования CSI Computer Crime and Security Survey ущерб, наносимый предприятиям в результате компьютерных махинаций, возрос в несколько раз и составил несколько миллиардов долларов в год. По всем составляющим видам сетевых атак на предприятия виден очевидный рост активности. Лишь 20% предприятий готовы или начали развивать СЭБ. Однако мало кто представляет, с чего начинается создание грамотно построенной СЭБ предприятия, каков жизненный цикл его развития, как контролировать и улучшать.

На эти и ряд других вопросов признана ответить предлагаемая статья. Также целью статьи является наглядный показ механизма развития СЭБ на всем временном интервал.

Практика исследований на предприятиях Харькова и области показывает, что за два года уровень ЭБ предприятия может снизиться на 10–30%. Можно предположить, что если снижение ЭБ с оптимального уровня до нуля нанесет убыток в 100% (например, 10 млн. грн.), то уменьшение на 30% чревато убытком в 3 млн. грн., например при проведении аудиторной проверки удаленных подразделений предприятия. Соответственно, возможные потери на предприятии нужно оценивать исходя из того, что за пару лет произойдет снижение уровня безопасности всех доходных бизнес-процессов на 30%. Однако следует не забывать, что это теоретическая апостериорная оценка, которая в отдельных случаях может отличаться от реальной практической оценки.

В результате может возникнуть мнение, что проведение аудиторных проверок приводит к непредвиденным финансовым затратам и для самого предприятия – экономически не выгодно. Это не так, поскольку речь идет только о первичных затратах и не оговариваются последующие доходы предприятия в виде экономии финансовых средств, полученные в результате предотвращения различных экономических, финансовых, информационных и других видов потерь. Некоторые виды потерь можно рассчитать в денежном эквиваленте с помощью различных методик, например предложенной автором в работе [6].

«Время от времени необходимо проводить комплексную проверку СЭБ, чтобы выявлять бреши и устранять их до того, как этим воспользуются злоумышленники либо сойдутся вместе неблагоприятные факторы» – таков общий вывод всех профессиональных ИТ-специалистов [7].

Иногда аудиторские проверки проводят фирмы, специализирующиеся в этой области. Тогда, как правило, они выполняют весь комплекс работ таким образом, чтобы предлагаемое решение (например, разработка СЭБ предприятия) было подготовлено под их же собственное предложение. С одной стороны, это может быть положительным фактором, например для снижения стоимости выполняемых работ и оказываемых услуг. Однако, с другой стороны, руководителей предприятия это может лишить возможности проведения независимого анализа предлагаемых на рынке средств и существенно ограничит правильность выбора оптимального решения.

Как правило, взаимодействие с фирмой-аудитором состоит из нескольких этапов. На первом этапе выполняется работа аудитора и формируется отчет о том, какие бизнес-процессы выполняются на предприятии, каковы их взаимосвязи. Грамотный аудитор составит отчет так, что будет видно, где и какого рода уязвимости [7] имеются в системе, к каким последствиям они могут привести и каковы возможные потери [6].

К сожалению, не всегда специалист-аудитор дает четкие и конкретные рекомендации, каким образом эти уязвимости устраняются, поэтому необходимо требовать от него, чтобы в отчете содержался раздел, который можно назвать техническим заданием на модернизацию СЭБ предприятия. Другими словами, отчет должен содержать внятные рекомендации, но не советы, что и где нужно покупать. При этом необходимо помнить, что подобный отчет является юридическим документом, завизированным аудитором.

Следующий этап – составление подробного технического задания, с которым можно обратиться в любую профильную компанию, занимающуюся экономической или информационной безопасностью. Если проведением аудита предприятия, затем разработкой проекта модернизации СЭБ, поставками техники и ПО занималась одна компания, то все этапы будут логично связаны между собой и разногласия на их стыках сведутся к минимуму.

Если же перед специалистом (сотрудником предприятия или фирмы-аудитором) по ЭБ стоит задача решить реальную проблему в рамках предполагаемого (выделяемого) бюджета, то придется идти по иному пути, для каждого из этапов выбирая в ходе тендера исполнителя, способного лучше других (дешевле) решить поставленные задачи. В этом случае у предприятия появляется широкий спектр возможностей для оптимизации расходов. Здесь также следует помнить, что «скупой платит дважды», то есть снижение расходов на СЭБ предприятия может негативно отразится на итоговом уровне ЭБ и привести к значительным финансовым потерям. Этот эффект известен как «эффект бумеранга».

Кроме того, не следует забыть о человеческом факторе, на котором базируется уровень подготовки персонала. На сегодня у многих аудиторов есть в использовании множество различных тестов, позволяющих выявлять до 80–90% случаев непрофессиональных действий сотрудников предприятий.

В качестве дальнейшего развития данного вопроса можно предложить проведение исследований жизненного цикла СЭБ предприятия при его влиянии на основные экономические показатели развития предприятия, среди которых можно выделить чистый оборотный капитал (NWC), коэффициент текущей ликвидности (CR), коэффициент рентабельности активов (ROA) и др.

Литература:
1. Олейников, Е. А. Экономическая и национальная безопасность: [Текст]: Учебник для вузов. – М.: Экзамен, 2005. – 768 с.
2. Ярочкин В. И. Система безопасности фирмы. – М., 1997. – 185 с.
3. Домарев В. В. Безопасность информационных технологий. Методология создания систем защиты: [Текст]. – К.: ООО «ТИД «ДС», 2001. – 688 с. 4. Дорошев В. В. Рекомендации по обеспечению безопасности конфиденциальной информации согласно «Критериев оценки надежных компьютерных систем TCSEC (Trusted Computer Systems Evaluation Criteria)», США, «Оранжевая книга» / В. В. Дорошев, В. В. Домарев // Бизнес и безопасность. – 1998. – №1. – C. 19-21.
5. Геєць В. М. Моделювання економічної безпеки: держава, регіон, підприємство: Монографія / В. М. Геєць, М. О. Кизим, Т. С. Клебанова, О. І. Черняк. – Х., 2006. – 240 с.
6. Кавун С. В. Оцінка збитку організації внаслідок мережних атак на її ресурси // Економіка розвитку. – 2007. – №1(41).– С. 83–85.
7. Кавун С. В. Информационная безопасность в би знесе – Х.: Вид. ХНЕУ, 2007. – 408 с.

Подробнее:
Жизненный цикл системы экономической безопасности предприятия

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы