Жизненный цикл системы экономической безопасности предприятия

Экономическими и информационными аспектами разработки, внедрения и использования занимались многие отечественные и зарубежные специалисты и ученые [1–5], но еще существует достаточно нерешенных вопросов теоретического и практического характера.

Одним из таких нерешенных в достаточной степени вопросов является исследование жизненного цикла системы экономической безопасности (СЭБ) предприятия. Актуальность исследования подтверждается следующими фактами. За последние годы по данным исследования CSI Computer Crime and Security Survey ущерб, наносимый предприятиям в результате компьютерных махинаций, возрос в несколько раз и составил несколько миллиардов долларов в год. По всем составляющим видам сетевых атак на предприятия виден очевидный рост активности. Лишь 20% предприятий готовы или начали развивать СЭБ. Однако мало кто представляет, с чего начинается создание грамотно построенной СЭБ предприятия, каков жизненный цикл его развития, как контролировать и улучшать.

На эти и ряд других вопросов признана ответить предлагаемая статья. Также целью статьи является наглядный показ механизма развития СЭБ на всем временном интервале.
Как показали проведенные исследования (на основе социологического опроса специалистов различных предприятий в анкетной форме), распределение весовых коэффициентов влияния различных факторов на общий уровень функционирования СЭБ предприятия выглядит в форме, представленной на рис. 1.

Если рассматривать в качестве критерия функционирования СЭБ предприятия уровень ЭБ, достигаемый при ее использовании, то необходимым и достаточным условием его актуальности будет динамизм отслеживания и своевременная реакция на изменение. Тем самым будет достигаться всесторонний контроль СЭБ в реальном масштабе времени.
Применим понятия теории систем к описанию СЭБ предприятия.

С течением времени уровень ЭБ на предприятии, обеспечиваемый разработанной и внедренной СЭБ, растет. Это связано с рядом факторов, среди которых можно выделить следующие:
1) дополнительные инвестиции,
2) повышение уровня подготовки самих специалистов по ЭБ,
3) выявлением и устранением недостатков,
4) выявлением и устранением уязвимостей, брешей, люков.

Далее, как и для всех подобных систем, уровень ЭБ может достигнуть (а может и не достигнуть) своего максимального значения. Это может означать для предприятия появление экономического эффекта от внедрения, выявление всех недостатков и уязвимостей, выход СЭБ на потенциально максимальную мощность работы.

Время жизненного цикла СЭБ (рис. 2) на предприятии в фазе 1 никогда не равно 0, поскольку такие системы на предприятиях не создают с самого начала, а внедряют некие прототипы, которые потом в процессе начальной эксплуатации «затачивают» под потребности самого предприятия. Кстати говоря, по аналогичной схеме используется программное обеспечение фирмы 1С.

Конечное время жизненного цикла СЭБ на предприятии всегда существует и, на сегодня, оно соответствует времени существования (актуальности) любой ИТ-технологии. По оценкам экспертов это время в пределе равно от 0,5 до 1,5 лет. По истечении данного промежутка времени происходит моральное устаревание используемых технологий, а следовательно, и построенного на их основе программного обеспечения, и как следствие – используемой СЭБ предприятия.

Производя регулярный мониторинг СЭБ предприятия, следует помнить о практически возможном (показан точечной линией на рис. 2) и теоретически достигаемом уровне ЭБ. Между тем всегда в любых системах существовала разница, обеспечиваемая различными стохастическими событиями, непредвиденными действиями персонала предприятия, форс-мажорными обстоятельствами и другими природными факторами. Естественно, в пределах каких-то фаз эти уровни могут совпадать, но, в основном, это начальная и конечная фазы (фазы 1 и 9 на рис. 2).

На какой-то произвольной фазе совокупностью воздействия на СЭБ предприятия суммарной доли коэффициентов k2-k6 может оказать существенное влияние, уровень ЭБ предприятия оказывается вне сферы влияния нормативных актов. То есть суммарный воздействующий потенциал составляет 78%. Это может привести к резкому снижению текущего уровня ЭБ на предприятии, как показано сплошной линией на рис. 3.

Все это приводит к необходимости проведения внеочередного мониторинга (аудита) СЭБ предприятия с целью выявления, устранения и дальнейшего предотвращения подобных провалов, так как их совокупность может вообще поставить вопрос о целесообразности использования СЭБ на предприятии.

На предприятиях с длительным жизненным циклом использования СЭБ (не один–два года, а десяток и более лет), как правило, к периодическим аудитам привыкают. Но иногда может потребоваться отдельный внеплановый аудит. Необходимость во внеплановом аудите может появиться, если в какой-то области происходит технологический прорыв, например, руками хакеров создан новый хитрый «червь» или разработан эффективный метод взлома алгоритмов шифрования. Подобные ситуации становятся сигналом к тому, чтобы пересмотреть весь механизм функционирования СЭБ.

Еще один вариант развития деятельности предприятия необходимо рассмотреть – это возникновение новой формы или слияние, модификация структуры, стратегическое партнерство с другими (может быть и венчурными) компаниями.

В этом случае необходимость проведения внепланового аудита СЭБ предприятия возникает естественным путем. Кроме того, в ходе проводимой реорганизации такая необходимость может возникать несколько раз, например, аудит проводится с одной стороны (фирмой-партнером), а потом другим партнером. По итогам двух независимых мероприятий проводится сравнительный анализ. Тогда уровень ЭБ на предприятии может снижаться на данном промежутке времени несколько раз, как это показано сплошной линией на рис. 4.

Кроме того, если предприятие имеет несколько удаленных подразделений (офисов, филиалов), то может возникнуть ситуация, когда локальное изменение уровня ЭБ не отображается на ходе развития общего уровня при использовании СЭБ предприятия. Тогда необходимость проведения внеплановых аудитов удаленных подразделений возникает чаще и требует введения централизованной системы аудита всех дочерних структур предприятия.

Таким образом, при использовании серии плановых и внеплановых аудиторских проверок можно выдерживать оптимальный итоговый (общий, суммарный) уровень ЭБ предприятия, который будет в среднем соответствовать нормальному или заданному необходимому уровню ЭБ.

В соответствии с этими мероприятиями жизненный цикл СЭБ предприятия приобретает более равномерный характер, что может свидетельствовать о правильном внедрении и реализации СЭБ на предприятии.

Практика исследований на предприятиях Харькова и области показывает, что за два года уровень ЭБ предприятия может снизиться на 10–30%. Можно предположить, что если снижение ЭБ с оптимального уровня до нуля нанесет убыток в 100% (например, 10 млн. грн.), то уменьшение на 30% чревато убытком в 3 млн. грн., например при проведении аудиторной проверки удаленных подразделений предприятия. Соответственно, возможные потери на предприятии нужно оценивать исходя из того, что за пару лет произойдет снижение уровня безопасности всех доходных бизнес-процессов на 30%. Однако следует не забывать, что это теоретическая апостериорная оценка, которая в отдельных случаях может отличаться от реальной практической оценки.

В результате может возникнуть мнение, что проведение аудиторных проверок приводит к непредвиденным финансовым затратам и для самого предприятия – экономически не выгодно. Это не так, поскольку речь идет только о первичных затратах и не оговариваются последующие доходы предприятия в виде экономии финансовых средств, полученные в результате предотвращения различных экономических, финансовых, информационных и других видов потерь. Некоторые виды потерь можно рассчитать в денежном эквиваленте с помощью различных методик, например предложенной автором в работе [6].

«Время от времени необходимо проводить комплексную проверку СЭБ, чтобы выявлять бреши и устранять их до того, как этим воспользуются злоумышленники либо сойдутся вместе неблагоприятные факторы» – таков общий вывод всех профессиональных ИТ-специалистов [7].

Иногда аудиторские проверки проводят фирмы, специализирующиеся в этой области. Тогда, как правило, они выполняют весь комплекс работ таким образом, чтобы предлагаемое решение (например, разработка СЭБ предприятия) было подготовлено под их же собственное предложение. С одной стороны, это может быть положительным фактором, например для снижения стоимости выполняемых работ и оказываемых услуг. Однако, с другой стороны, руководителей предприятия это может лишить возможности проведения независимого анализа предлагаемых на рынке средств и существенно ограничит правильность выбора оптимального решения.

Как правило, взаимодействие с фирмой-аудитором состоит из нескольких этапов. На первом этапе выполняется работа аудитора и формируется отчет о том, какие бизнес-процессы выполняются на предприятии, каковы их взаимосвязи. Грамотный аудитор составит отчет так, что будет видно, где и какого рода уязвимости [7] имеются в системе, к каким последствиям они могут привести и каковы возможные потери [6].

К сожалению, не всегда специалист-аудитор дает четкие и конкретные рекомендации, каким образом эти уязвимости устраняются, поэтому необходимо требовать от него, чтобы в отчете содержался раздел, который можно назвать техническим заданием на модернизацию СЭБ предприятия. Другими словами, отчет должен содержать внятные рекомендации, но не советы, что и где нужно покупать. При этом необходимо помнить, что подобный отчет является юридическим документом, завизированным аудитором.
Следующий этап – составление подробного технического задания, с которым можно обратиться в любую профильную компанию, занимающуюся экономической или информационной безопасностью. Если проведением аудита предприятия, затем разработкой проекта модернизации СЭБ, поставками техники и ПО занималась одна компания, то все этапы будут логично связаны между собой и разногласия на их стыках сведутся к минимуму.

Если же перед специалистом (сотрудником предприятия или фирмы-аудитором) по ЭБ стоит задача решить реальную проблему в рамках предполагаемого (выделяемого) бюджета, то придется идти по иному пути, для каждого из этапов выбирая в ходе тендера исполнителя, способного лучше других (дешевле) решить поставленные задачи. В этом случае у предприятия появляется широкий спектр возможностей для оптимизации расходов. Здесь также следует помнить, что «скупой платит дважды», то есть снижение расходов на СЭБ предприятия может негативно отразится на итоговом уровне ЭБ и привести к значительным финансовым потерям. Этот эффект известен как «эффект бумеранга».

Кроме того, не следует забыть о человеческом факторе, на котором базируется уровень подготовки персонала. На сегодня у многих аудиторов есть в использовании множество различных тестов, позволяющих выявлять до 80–90% случаев непрофессиональных действий сотрудников предприятий.

В качестве дальнейшего развития данного вопроса можно предложить проведение исследований жизненного цикла СЭБ предприятия при его влиянии на основные экономические показатели развития предприятия, среди которых можно выделить чистый оборотный капитал (NWC), коэффициент текущей ликвидности (CR), коэффициент рентабельности активов (ROA) и др.

Литература:
1. Олейников, Е. А. Экономическая и национальная безопасность: [Текст]: Учебник для вузов. – М.: Экзамен, 2005. – 768 с.
2. Ярочкин В. И. Система безопасности фирмы. – М., 1997. – 185 с.
3. Домарев В. В. Безопасность информационных технологий. Методология создания систем защиты: [Текст]. – К.: ООО «ТИД «ДС», 2001. – 688 с. 4. Дорошев В. В. Рекомендации по обеспечению безопасности конфиденциальной информации согласно “Критериев оценки надежных компьютерных систем TCSEC (Trusted Computer Systems Evaluation Criteria)”, США, “Оранжевая книга” / В. В. Дорошев, В. В. Домарев // Бизнес и безопасность. – 1998. – №1. – C. 19-21.
5. Геєць В. М. Моделювання економічної безпеки: держава, регіон, підприємство: Монографія / В. М. Геєць, М. О. Кизим, Т. С. Клебанова, О. І. Черняк. – Х., 2006. – 240 с.
6. Кавун С. В. Оцінка збитку організації внаслідок мережних атак на її ресурси // Економіка розвитку. – 2007. – №1(41).– С. 83–85.
7. Кавун С. В. Информационная безопасность в би знесе – Х.: Вид. ХНЕУ, 2007. – 408 с.

Полностью статья на: Жизненный цикл системы экономической безопасности предприятия