АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Роль информации в обеспечении экономической безопасности предприятия в рыночных условиях

Читайте также:
  1. II. Общие требования безопасности
  2. II. Экономия на условиях труда за счет рабочего. Пренебрежение самыми необходимыми затратами
  3. III. Блок законов по радиационной безопасности населения.
  4. III. Общее понятие об обеспечении договоров; в частности, задаток и отступное
  5. Microsoft нацеливает хранение Windows 8 на информационные центры предприятия.
  6. SWOT - анализ предприятия. Анализ возможностей и угроз.
  7. SWOT-анализ деятельности предприятия ООО «Кока-Кола»: выявление альтернативных стратегических задач
  8. V1: Понятие и показатели экономической эффективности коммерческих организаций
  9. Автоматизированная информационная поисковая система правовой информации
  10. Алфавитный подход к измерению информации.
  11. Алфавитный подход к измерению информации.
  12. Анализ бизнес-процесса предприятия «Звезда»

Каждый человек в течение своей жизни, так или иначе, связан с предприятиями (организациями). В рамках предприятия (организации) повсеместно осуществляется человеческая деятельность. Нет организаций без людей, равно как и нет людей, которым не приходится иметь дело с организациями.

Предприятие (организация) - сложный организм.

В нем переплетаются и уживаются интересы личности и групп, стимулы и ограничения, жесткая технология и инновации, безусловная дисциплина и свободное творчество, нормативные требования и неформальные инициативы.

У организаций есть свой облик, своя культура, свои традиции и репутация. Они уверенно развиваются, когда имеют обоснованную стратегию и эффективно используют ресурсы. Они перестраиваются, когда перестают отвечать избранным целям. Они погибают, когда оказываются неспособными выполнять свои задачи.

Каждое общество состоит из множества организаций, с которыми связаны все аспекты и проявления человеческой жизни - общества в целом, экономики, науки, культуры, образования, обороны, личной жизни.

Предприятие (организация) - это сознательно координируемое социальное образование с определенными границами, функционирующее на относительно постоянной основе, для достижения общей цели или целей. Под словами «сознательно координируемое» понимается управление, под «социальным образованием» - то, что организация состоит из людей или групп лиц, взаимодействующих между собой.

Предприятие (организация) имеет определенные границы, которые могут меняться со временем. Члены организации, на которых возлагаются определенные обязанности, вносят свой вклад в достижение установленных целей. Преимущество организованных групп состоит в том, что человек, входя в состав коллектива, может более успешно достичь своих целей, чем индивидуально.

Структура организации определяет, каким образом должны быть распределены задачи, кто докладывает и кому, каковы формальные координирующие механизмы и модели взаимодействия. Для нее характерны комплексность, формализация и определенное соотношение централизации и децентрализации. Определение организации предусматривает необходимость формального координирования взаимодействия работников.

Комплексность рассматривает степень дифференциации в рамках организации. Она включает уровень специализации или разделение труда, количество уровней в иерархии организации и степень территориального распределения частей организации.

Под формализацией понимаются заранее разработанные и установленные правила и процедуры, определяющие поведение работников. Некоторые организации минимально оперируют стандартными директивами. Другие имеют все типы правил, инструктирующих работников по поводу того, что они могут и чего не могут делать.

Соотношение централизации и децентрализации определяется уровнями, на которых вырабатываются и принимаются управленческие решения в организации. В некоторых организациях процесс принятия решений очень централизован, действия по разрешению проблем предпринимаются высшими руководителями, в других случаях принятие решений децентрализовано, ответственность делегируется вниз по иерархии.

Принятые соотношения централизации и децентрализации определяют характер и тип устанавливаемой организационной структуры управления.

Каждая организация имеет свое предназначение - миссию, во имя которой люди объединяются и осуществляют свою деятельность.

Осуществляя свое предназначение, организация добивается достижения определенных целей - выживания, роста, доходности. Она выпускает определенную продукцию и оказывает услуги, использует различные технологии и т.д.

Примерная характеристика предназначения организации в обобщенном виде включает:

1) предлагаемые продукты или услуги;

2) место и роль в системе рыночных отношений;

3) цели организации (выживание, рост, доходность);

4) технологию (процессы, инновации);

5) философию (базовые взгляды, ценности, мотивации);

6) внутреннюю концепцию (источники силы, степень конкурентоспособности, факторы выживания);

внешний образ, имидж (ответственность перед партнерами, потребителями, обществом в целом).

На рисунке 1 представлены этапы работы с информацией, кратко поясним их.

Выявление проблем и   Отбор   Сбор   Анализ
формирование целей   источников   информации   собранной
функционирования   информации       информации
предприятия            
 

 

 

Отбор показателей   Выбор способа   Обработка данных   Отображение
из собранных |---- S организации |---- ч инструментальными I--- полученных
источников   отобранных     средствами   результатов
    показателей        
  Рисунок 1 - Этапы работы с информацией

 

На этапе сбора информации из отобранных источников собирают нужные сведения (в том числе и из неофициальных источников). При анализе выявляют наиболее ценные, достоверные и своевременные сведения. Отбор показателей необходим для того, чтобы определить первичные, наиболее полно характеризующие функционирование хозяйствующего субъекта. Кроме того, они необходимы для получения производных показателей различных видов предметной деятельности предприятия.

На следующем этапе подбирается такая структура их организации, которая легко вписывается в имеющуюся или проектируемую информационную систему; при этом следует помнить о возможном использовании адекватных баз данных для ее обслуживания.

Этап обработки данных предполагает обеспечение имеющихся информационных потребностей с использованием программных продуктов, которыми располагает конкретный хозяйствующий субъект.

Отображение результатов означает их представление в виде, пригодном для использования без дополнительных преобразований.

В последнее время все чаще для этих целей применяют графические средства, позволяющие существенно сжимать объем данных и представлять их в обозримом виде без потери значимой информации.

Внешняя бизнес-среда, взаимодействуя с бизнес-информацию через информационную систему безопасности субъекта, оказывает воздействие на компоненты системы информации хозяйствующего субъекта.

Кроме того, информация самого предприятия необходима для продуктивного анализа, планирования, реализации и контроля его деятельности и безопасности; результат ее оказывает влияние на внешнюю бизнес-среду, через информационную систему безопасности субъекта, а также на систему информации и ее компоненты, представленные соответствующими подсистемами.

 

 

1.2 Порядок определения затрат на защиту

информации

 

Прямые и косвенные затраты на защиту информации предприятия (организации).

Как уже отмечалось, безопасность предприятия обеспечивается комплексом мер на всех этапах его жизненного цикла, его информационной системы и в общем случае складывается из стоимости:

1) проектных работ;

2) закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и AAA (средства аутентификации, авторизации и администрирования);

3) затрат на обеспечение физической безопасности;

4) обучения персонала;

5) управления и поддержки системы (администрирование безопасности);

6) аудита защиты информации;

7) периодической модернизации системы защиты информации и т.д.

Стоимостным показателем экономической эффективности комплексной системы защиты информации будет сумма прямых и косвенных затрат на организацию (модернизации), эксплуатацию и сопровождение системы защиты информации в течение года.

Он может рассматриваться как ключевой количественный показатель эффективности организации защиты информации в компании, так как позволит не только оценить совокупные затраты на защиту, но управлять этими затратами для достижения требуемого уровня защищенности предприятия.

При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или «собственностью»), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.

В свою очередь косвенные затраты отражают влияние комплексной системы безопасности и подсистемы защиты информации на служащих посредством таких измеримых показателей, как простои и «»зависания»» корпоративной системы защиты информации и комплексной системы безопасности в целом, затраты на операции и поддержку (не относящиеся к прямым затратам).

Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на комплексную систему безопасности, а выявляются явно при анализе затрат в последствии, что в конечном счете приводит к росту «скрытых» затрат компании.

Классификация затрат условна, так как сбор, классификация и анализ затрат на информационную безопасность - внутренняя деятельность предприятий, и детальная разработка перечня зависят от особенностей конкретной организации. Главное при определении затрат на систему безопасности - взаимопонимание и согласие по статьям расходов внутри предприятия.

Кроме того, категории затрат должны быть постоянными и не должны дублировать друг друга. Невозможно полностью исключить затраты на безопасность, однако они могут быть приведены к приемлемому уровню.

Некоторые виды затрат на безопасность являются абсолютно необходимыми, а некоторые могут быть существенно уменьшены или исключены. Последние - это те, которые могут исчезнуть при отсутствии нарушений безопасности или сократятся, если количество и разрушающее воздействие нарушений уменьшатся.

При соблюдении безопасности и проведении профилактики нарушений можно исключить или существенно уменьшить следующие затраты:

1) на восстановление системы безопасности до соответствия требованиям безопасности;

2) на восстановление ресурсов информационной среды предприятия;

3) на переделки внутри системы безопасности;

4) на юридические споры и выплаты компенсаций;

5) на выявление причин нарушения безопасности.

Необходимые затраты - это те, которые необходимы даже если уровень угроз безопасности достаточно низкий. Это затраты на поддержание достигнутого уровня защищенности информационной среды предприятия.

Неизбежные затраты могут включать:

1) обслуживание технических средств защиты;

2) конфиденциальное делопроизводство;

3) функционирование и аудит системы безопасности;

4) минимальный уровень проверок и контроля с привлечением специализированных организаций;

5) обучение персонала методам информационной безопасности.

Какова зависимость между затратами на информационную безопасность и уровнем защищенности предприятия?

Сумма всех затрат на повышение уровня защищенности предприятия от угроз информационной безопасности составляет общие затраты на безопасность. Взаимосвязь между всеми затратами на безопасность, общими затратами на безопасность и уровнем защищенности информационной среды предприятия обычно имеет вид функции (см. рис. 2.).

Общие затраты на безопасность складываются из затрат на предупредительные мероприятия, затрат на контроль и восполнение потерь (внешних и внутренних).

С изменением уровня защищенности информационной среды изменяются величины составляющих общих затрат и, соответственно, их сумма - общие затраты на безопасность. Мы не включаем в данном случае единовременные затраты на формирование информационной безопасности предприятия, так как предполагаем, что такая система уже выработана.

Снижение общих затрат:

В примере (рис. 2.) показано, что достигаемый уровень защищенности измеряется в категориях «большой риск»» и «риск отсутствует» («совершенная защита»).

Рисунок 2 - Взаимосвязь между затратами на безопасность и достигаемым уровнем защищенности

 

Рассматривая левую сторону графика («большой риск»), мы видим, что общие затраты на безопасность высоки в основном потому, что высоки потери на компенсацию при нарушениях политики безопасности. Затраты на обслуживание системы безопасности очень малы.

Если мы будем двигаться вправо по графику, то достигаемый уровень защищенности будет увеличиваться (снижение информационного риска).

Это происходит за счет увеличения объема предупредительных мероприятий, связанных с обслуживанием системы защиты. Затраты на компенсацию НПБ уменьшаются в результате предупредительных действий.

Как показано на графике, на этой стадии затраты на потери падают быстрее, нежели возрастают затраты на предупредительные мероприятия. Как результат - общие затраты на безопасность уменьшаются. Изменения объема затрат на контроль незначительны.

Увеличение общих затрат

Если двигаться по графику вправо за точку экономического равновесия (т.е. достигаемый уровень защищенности увеличивается), ситуация начинает меняться.

Добиваясь устойчивого снижения затрат на компенсацию нарушений политики безопасности, мы видим, что затраты на предупредительные мероприятия возрастают все быстрее и быстрее.

Получается, что значительное количество средств должно быть затрачено на достижение достаточно малого снижения уровня риска.

График (рис. 2) отражает только общий случай, так как построен с учетом некоторых допущений, которые не всегда соответствуют реальным ситуациям.

Первое допущение заключается в том, что предупредительная деятельность по техническому обслуживанию комплекса программно­-технических средств защиты информации и предупреждению нарушений политики безопасности предприятия соответствует следующему правилу: в первую очередь рассматриваются те проблемы, решение которых дает наибольший эффект по снижению информационного риска. Если не следовать этой модели, то вид графика станет совсем иным.

Второе допущение заключается в том, что точка экономического равновесия не изменяется во времени. На практике это допущение часто не выполняется.

Основные факторы:

1) эффективность предупредительной деятельности невелика.

В рассматриваемой модели предполагается, что такая деятельность позволяет не повторять допущенные ранее ошибки.

На практике это не так, и для достижения должного эффекта требуются большие затраты. В результате точка экономического равновесия сдвигается вправо;

2) устаревшие системы ИБ;

3) разработчики средств защиты не успевают за активностью злоумышленников, которые находят все новые и новые бреши в системах защиты.

Кроме того, информатизация предприятия может породить новые проблемы, решение которых потребует дополнительных предупредительных затрат.

После того, как уже установлена система классификации и кодирования различных элементов затрат на безопасность, необходимо выявить источники данных о затратах.

Такая информация уже может существовать, часть ее достаточно легко получить, в то время как другие данные определить будет значительно труднее, а некоторые могут быть недоступны.

Затраты на контроль

Основной объем затрат составляет оплата труда персонала службы безопасности и прочего персонала предприятия, занятого проверками и испытаниями. Эти затраты могут быть определены весьма точно.

Оставшиеся затраты в основном связаны со стоимостью конкретных специальных работ и услуг внешних организаций и материально-техническим обеспечением системы безопасности. Они могут быть определены напрямую.

Внутренние затраты на компенсацию нарушений безопасности

Определение элементов затрат этой группы намного сложнее, но большую часть установить достаточно легко:

1) установка патчей или приобретение последних версий программных средств защиты информации;

2) приобретение технических средств взамен пришедших в негодность;

3) затраты на восстановление баз данных и прочих информационных массивов;

4) затраты на обновление планов обеспечения непрерывности деятельности службы безопасности;

5) затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности.

Труднее выявить объемы заработной платы и накладных расходов:

1) по проведению дополнительных испытаний и проверок технологических информационных систем;

2) по утилизации скомпрометированных ресурсов;

3) по проведению повторных проверок и испытаний системы защиты информации;

4) по проведению мероприятий по контролю достоверности данных, подвергшихся атаке на целостность;

5) по проведению расследований нарушений безопасности;

Выяснение затрат на эти виды деятельности связаны с различными отделами:

1) отделом информационных технологий;

2) контрольно-ревизионным и финансовым отделами;

3) службой безопасности.

Поскольку каждый вовлеченный сотрудник вряд ли в течение всего рабочего дня решает проблемы, связанные только лишь с внутренними потерями от нарушений политики безопасности, оценка потерь должна быть произведена с учетом реально затраченного на эту деятельность времени. Таким образом, мы опять видим, что основные виды затрат в этой категории могут быть определены с достаточной степенью точности. Внешние затраты на компенсацию нарушений безопасности.

Часть внешних затрат на компенсацию нарушений политики безопасности связана с тем, что были скомпрометированы коммерческие данные партнеров и персональные данные пользователей услуг предприятия.

Затраты, связанные с восстановлением доверия, определяются таким же образом, как и в случае внутренних потерь. Однако существуют и другие затраты, которые определить достаточно сложно. В их числе:

1) затраты на проведение дополнительных исследований и разработку новой рыночной стратегии;

2) потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения;

3) затраты, связанные с ликвидацией «узких мест» в снабжении, производстве и сбыте продукции;

4) потери от компрометации производимой предприятием продукции и снижения цен на нее;

5) возникновение трудностей в приобретении оборудования или технологий, в том числе повышение цен на них, ограничение объема поставок.

Перечисленные затраты могут быть вызваны действиями персонала различных отделов, например, проектного, технологического, планово-экономического, юридического, хозяйственного, отдела маркетинга, тарифной политики и ценообразования.

Поскольку сотрудники всех этих отделов вряд ли будут заняты полный рабочий день вопросами внешних потерь, то установление объема затрат необходимо вести с учетом реально затраченного времени.

Один из элементов внешних потерь невозможно точно вычислить - это потери, связанные с подрывом имиджа предприятия, снижением доверия потребителя к продукции и услугам предприятия.

Именно по этой причине многие корпорации скрывают, что их сервис небезопасен. Корпорации боятся обнародования такой информации даже больше, чем атаки в той или иной форме.

Однако многие предприятия игнорируют эти затраты на основании того, что их нельзя установить с какой-либо степенью точности - они только предположительны.

Затраты на предупредительные мероприятия

Эти затраты, вероятно, наиболее сложно оценить, поскольку предупредительные мероприятия проводятся в разных отделах и затрагивают многие службы.

Эти затраты могут появляться на всех этапах жизненного цикла ресурсов информационной среды предприятия:

1) планирования и организации;

2) приобретения и ввода в действие;

3) доставки и поддержки;

4) мониторинга процессов, составляющих информационную технологию.

В дополнение к этому, большинство затрат данной категории связано с работой персонала службы безопасности.Затраты на предупредительные мероприятия в основном включают заработную плату и накладные расходы.

Однако точность их определения в большей степени зависит от точности установления времени, затраченного каждым сотрудником в отдельности.

Некоторые предупредительные затраты легко выявить напрямую. Они, в частности, могут включать оплату различных работ сторонних организаций, например:

1) обслуживание и настройку программно-технических средств защиты, операционных систем и используемого сетевого оборудования;

2) проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, средств вычислительной техники и т. п.;

3) доставку конфиденциальной информации;

4) консультации;

5) курсы обучения.

Источники сведений о рассмотренных затратах

При определении затрат на обеспечение ИБ необходимо помнить, что:

1) затраты на приобретение и ввод в действие программно-технических средств могут быть получены из анализа накладных, записей в складской документации и т. п.;

2) выплаты персоналу могут быть взяты из ведомостей;

3) объемы выплат заработной платы должны быть взяты с учетом реально затраченного времени на проведение работ по обеспечению информационной безопасности если только часть времени сотрудника затрачивается на деятельность по обеспечению информационной безопасности, то целесообразность оценки каждой из составляющих затрат его времени не должна подвергаться сомнению;

4) классификация затрат на безопасность и распределение их по элементам должны стать частью повседневной работы внутри предприятия. С этой целью персоналу должны быть хорошо известны различные элементы затрат и соответствующие им коды.

 


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.017 сек.)