Финансовые методы управления информационными рисками предприятий Текст научной статьи по специальности «Экономика и бизнес»

Е. А. Ольхович

ФИНАНСОВЫЕ МЕТОДЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ ПРЕДПРИЯТИЙ

В статье обоснована необходимость и показаны возможности использования стоимостных методов управления информационными рисками предприятий.

Традиционные методы финансового управления - финансовый учет и анализ, финансовое планирование и бюджетирование, налоговый учет и оптимизация налогов, управление денежными потоками предприятия и др. - характеризуются весьма специфическим отношением к информационным рискам (ИР). Финансовые методы базируются на стоимостной оценке объекта управления, т. е. стоимостной оценке риска. Как раз в этом и состоит основная сложность, поскольку такая оценка весьма затруднена. Ведь информационный риск определяется как вероятность убытка (ущерба), связанного с потерей, нарушением, кражей информации, утратой ею своих главных характеристик -конфиденциальности, доступности, целостности, достоверности. Носитель рисков - информация - не имеет материального наполнения.

Для более глубокого анализа данной проблемы целесообразно обратиться к мнению страховщиков, которые занимаются страхованием информационных рисков. Их опыт в этой области тем более важен, поскольку страхование есть один из методов финансового управления, который обеспечивает страховую защиту от рисков и компенсационные выплаты при наступлении страхового случая.

Если правовой статус информационных объектов так или иначе определен (ст. 128 ГК РФ относит информацию к объектам гражданских прав), то проблема оценки их стоимости еще не решена. При этом для такого объекта, как конфиденциальная информация, методики оценки стоимости фактически отсутствуют. Проблема усложняется также тем, что стоимость коммерческой информации субъективна. Она должна определяться с учетом конкретных условий, характеристик потребляющих ее систем, особенностей источника и получателя информации. Вместе с тем существуют общие подходы к оценке стоимости информации: прямая выгода (может быть обеспечена в результате получения информации); прямые убытки (могут быть нанесены в результате утраты информации); минимальная стоимость затрат на восстановление информации. Ясно, что здесь задействованы вероятностные характеристики ожидаемой (потенциальной) выгоды и возможные (потенциальные) убытки. Кроме того, ценность информации является величиной, зависящей от времени. Она может определяться степенью нехватки информации и возможной или желаемой скоростью ее получения. Заметим, что при страховании только владелец информации (страхователь) может продекларировать ее стоимость (именно продекларировать, а не объективно определить). Алгоритм же действий страховой компании должен быть примерно таким же, как и при страховании жизни и здоровья: должна быть выработана система оценки принятых

мер по безопасности информации («уровень здоровья»), определены вероятность возникновения страхового случая и размеры страхового взноса. Очевидно, что речь идет об оценке информационных рисков.

В настоящее время отечественные страховые компании страхуют информационные риски, принимая на себя обязательства по возмещению убытков, связанных с утратой информационных ресурсов и электронных финансовых активов в результате следующих причин: сбои (выход из строя) информационных систем вследствие ошибок при их проектировании, разработке, создании, инсталляции, конфигурировании, обслуживании или эксплуатации; умышленные противоправные действия сотрудников компании; компьютерные атаки против компании со стороны третьих лиц; действия компьютерных вирусов; хищение денежных средств и ценных бумаг с использованием компьютерных сетей.

Информация страхуется по стоимости восстановления (этот подход распространен во всем мире). Данный вид страхования ориентирован на компании, имеющие значительные объемы финансовой, экономической, технической и прочей информации, сложные информационные системы или осуществляющие часть своей деятельности с использованием автоматизированных систем, систем электронных расчетов или Интернета.

Таким образом, главная проблема состоит в определении затрат на информационные риски, уровень которых также предстоит оценить. Кроме того, любые финансовые затраты предприятия должны быть эффективными, т. е. приносить отдачу (пользу) бизнесу в той или иной форме. В связи с этим, прежде чем рассматривать существующие подходы к оценке экономического эффекта от затрат на ИР, необходимо разобраться с экономической терминологией. Мы оперируем несколькими понятиями: эффект, затраты, инвестиции.

Эффект - это результат, который получит компания, создав и поддерживая средства индивидуальной безопасности (СИБ). Он бывает как положительным, так и отрицательным. Положительный эффект может быть получен в следующих формах:

- меньший по стоимости ущерб от инцидентов, чем в прошлом периоде;

- экономия по объему затрат на ИР в сравнении с бюджетом прошлого периода;

- экономия средств за счет высвобождения персонала при внедрении новых средств защиты;

- привлечение новых инвесторов, деловых партнеров, клиентов (рост продаж, капитала) за счет укрепления репутации компании как надежно защищенной в части информации.

Отрицательный эффект может быть получен в тех же формах, но со знаком минус. Это потери, затраты, ущерб.

Обратимся к термину «инвестиции». В экономической литературе существует много толкований. Данный термин является производным от латинского слова invest, что означает вкладывать. В широком смысле слово «инвестировать» означает «расстаться с деньгами сегодня, чтобы получить большую их сумму в будущем» [7. С. 1]. С этим процессом обычно связаны время

и риск. В отдельных случаях важнейшим фактором будет время (например, для государственных облигаций), в других - риск. В ряде ситуаций существенными могут быть сразу оба фактора (например, для обыкновенных акций).

И. А. Бланк определяет инвестиции как «все виды имущественных и интеллектуальных ценностей, помещаемых в объекты предпринимательской и других видов деятельности с целью получения прибыли или достижения социального эффекта» [2. С. 398].

В. В. Бочаров определяет инвестиции как базу для применения других стоимостных категорий - денег, финансов, кредита, прибыли (дохода), цен, которые отражают воспроизводство основных фондов и оборотных средств. Он считает, что инвестиции выражают все виды имущественных и интеллектуальных ценностей, которые вкладываются в объекты предпринимательской и иных видов деятельности, в результате которой формируется прибыль (доход) или достигается социальный эффект [3. С. 79]. К числу таких ценностей автор относит движимое и недвижимое имущество; денежные средства, целевые банковские вклады, кредиты, акции и другие ценные бумаги; имущественные права, вытекающие из интеллектуальных ценностей (авторское право, лицензии и др.); права пользования землей и другими природными ресурсами.

Таким образом, система концептуальных взглядов на исследуемый вопрос представляется весьма неоднородной, разноречивой. В частности, мы не можем согласиться с теми авторами, которые считают долгосрочный характер одной из обязательных характеристик инвестиций. Рассматривая срочность и фактор времени в качестве важнейших характеристик любых финансовых операций (в том числе инвестиций), мы при этом склонны полагать, что инвестиции - это вложения средств на любой срок. Главным критерием является их цель, а именно получение дохода. Инвестиции, по нашему мнению, представляют собой вложения капитала с целью его возврата в большем объеме, т. е. с прибылью.

Так, например, В. А. Ненадышин [4. С. 79] считает, что инвестиции -это долгосрочные вложения средств в промышленность, сельское хозяйство и другие отрасли экономики внутри страны и за рубежом с целью получения прибыли. Это исключает возможность инвестиций в интеллектуальную сферу. Такая позиция представляется не вполне обоснованной с научной точки зрения и несколько устаревшей, неадекватной росту нематериальных активов (интеллектуальный, информационный капитал).

Рассмотрение экономической сущности инвестиций приводит нас к необходимости установить имеющиеся неправомерные, на наш взгляд, положения, которые встречаются в научной литературе. Теоретически не оправданы следующие утверждения по этому поводу: отождествление понятий инвестиций и капиталовложений; ограничение инвестиций временными рамками (свыше 1 года); игнорирование нематериальных объектов инвестиций; отождествление инвестиций с любым вложением средств, даже не приводящим к росту капитала и получением прибыли.

Инвестиции - более широкое понятие, экономическое содержание которого нельзя ограничивать лишь долгосрочными вложениями в основные фонды. К инвестициям относятся вложения в оборотные активы предприятий,

нематериальные активы, различные финансовые инструменты (ценные бумаги) и др. Мы склонны считать инвестициями любые вложения средств, приносящие доход на вложенный капитал и (или) социальный эффект. Понимая, таким образом, экономическую сущность инвестиций, мы не можем согласиться с теми авторами, которые пишут об инвестициях компаний в информационную безопасность, т. е. финансирование затрат на оптимизацию информационных рисков. По нашему мнению, они смешивают понятия «инвестиции» и «затраты», не видят принципиальной разницы между ними. В отличие от инвестиций затраты представляют собой передачу средств на финансирование тех или иных мероприятий, в частности, на создание и функционирование системы управления информационными рисками предприятия. Речь не идет при этом о возвратности и доходности потраченных средств. Правда, принято говорить об эффективности затрат. Но очевидно, что эффект и доход - понятия, отличные друг от друга. Доход - это форма прироста стоимости, а формы эффекта от затрат на информационную безопасность (ИБ) мы уже охарактеризовали выше. Следуя экономическому содержанию рассмотренных понятий, мы будем изучать обоснование, оценку и эффективность затрат на ИБ. Необходимо также пояснить, соглашаясь с А. Баутовым [1] (правда, он пишет об инвестициях, а мы - о затратах), что затраты на разработку проектов защиты информации, закупку необходимых элементов безопасности и эксплуатацию систем защиты для владельца информации есть ни что иное, как материализованный экономический ущерб. Осуществляя эти затраты, пользователь старается уберечься от еще больших потерь, вызванных нарушениями конфиденциальности. Эффективное экономическое решение сводится к расчету минимально необходимого (оптимального) объема затрат на управление информационными рисками, который позволит свести к минимуму финансовые потери в случае несанкционированных действий. Специалисты предлагают различные методы. Так, С. А. Петренко и Е. М. Терехова приводят девять методов, которые можно использовать для экономического обоснования затрат на ИБ [5]. К ним относятся:

- метод прикладного информационного анализа (AIE - Applied Information Economics);

- метод потребительского индекса (CI - Customer Index);

- метод добавленной экономической стоимости (EVA - Economic Value Added);

- метод управления портфелем активов (PM - Portfolio Management);

- метод оценки реальных возможностей (ROV - Real Option Valuation);

- метод жизненного цикла (SLCA - System Life Cycle Analysis);

- система сбалансированных показателей (BSC - Balanced Scorecard);

- метод совокупной стоимости владения (TCO - Total Cost of Ownership);

- функционально-стоимостной анализ (ABC - Activity Based Costing).

Обобщение методов, моделей, концепций обоснования и оценки затрат

на управление информационными рисками, предлагаемых разными авторами, убеждает в том, что расчетная часть должна состоять либо из показателя доходности (возвратности) инвестиций (ROI), либо показателя совокупной

стоимости владения (ТСО). Поскольку мы уже определились с терминологией, остановившись на затратах и отвергнув инвестиции, то несколько конкретизируем метод ТСО как наиболее подходящий для обоснования затрат компании на ИР. Методика ТСО, разработанная в середине 80-х гг. прошлого века американской компанией Gartner Group [8], дает возможность реализовать следующие цели: получить достоверную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения корпоративной системой защиты информации; провести сравнительный анализ работы подразделений службы информационной безопасности компании как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли; определить оптимальный объем затрат на управление информационными рисками с учетом реального значения показателя ТСО.

Естественно, что выбор руководством компании средств защиты безопасности информации зависит прежде всего от объема затрат, т. е. от финансового фактора, а точнее, от грамотного и убедительного обоснования затрат. Оно может базироваться либо на результатах анализа рисков, либо на данных статистики, собранной и обобщенной по имевшим место инцидентам. Что касается формирования статистики, то это трудоемкий, требующий времени и внимания процесс, которым в большинстве случаев не занимаются в компаниях, хотя все авторы соответствующих публикаций по проблемам информационной безопасности и специалисты-практики всегда относят статистику инцидентов к числу наиболее убедительных обоснований для руководства компаний.

Так, А. В. Лукацкий отмечает, что основная проблема - это посчитать стоимость ущерба, поскольку затраты на информационную безопасность должны быть меньше стоимости объекта защиты или размера ущерба. Модель расчета, предложенная А. В. Лукацким, может быть интерпретирована соответствующим образом адекватно: а) условиям конкретного предприятия; б) объекту защиты; в) возможному инциденту и т. д. Если такие расчеты провести, ориентируясь на данные статистики за прошлый период (например, за год), то их результаты наверняка будут служить убедительным основанием для руководства компании при решении вопроса о финансировании мероприятий по информационной безопасности.

Следует отметить, что взаимосвязанные и по существу образующие единый комплекс проблемы обоснования затрат компании на ИБ, расчета стоимости ущерба от инцидентов, количественной оценки эффективности финансовых вложений и мероприятия по защите информации, показателей и критериев эффективности самой системы управления информационными рисками достаточно активно обсуждаются в публикациях по этой теме, но до сих пор не нашли отражения, а точнее сказать, завершения в официальных методиках, инструкциях, руководствах, нормативных документах [6].

Результаты проведенного автором исследования в области применения финансовых методов управления информационными рисками предприятия, предложенные методики оценки информационных рисков предприятия и определения затрат на управление ими позволили составить следующий методический комплекс (таблица).

Методический комплекс бюджетирования затрат на управление информационными рисками

Разделы Этапы методической работы

1-й раздел. Оценка ИР (проводится специалистами по ИТ) 1. Инвентаризация ИР предприятия и их категорирование. 2. Оценка стоимости ИР предприятия. 3. Составление вероятных моделей возможных нарушителей. 4. Оценка уязвимости ИР. 5. Идентификация угроз ИР. 6. Оценка ожидаемых потерь, т. е. уровень ИР

2-й раздел. Бюджетирование затрат (проводится финансовым отделом совместно со специалистами по ИТ) 1. Разработка плана мероприятий по снижению рисков, т. е. выбор контрмер по оптимизации затрат на управление ИР. 2. Выбор комплекса мероприятий по снижению ИР для каждой модели нарушителя. 3. Планирование остаточных ИР как оптимальной исходной базы для бюджетирования затрат. 4. Составление бюджета предприятия на УИР с включением объемов финансирования в соответствии с перечнем плана мероприятий

3-й раздел. Оценка экономической эффективности затрат (проводится финансовым отделом) 1. Выбор метода оценки, адекватного условиям конкретного бизнеса и особенностям информационных ресурсов нашего предприятия. 2. Расчет величины возможного ущерба с использованием одного из возможных методов: статистического, экспертного или расчетно-аналитического. 3. Расчет экономической эффективности затрат на управление информационными рисками с использованием предложенного алгоритма, включающего шесть этапов

Список литературы

1. Баутов А. Н. Программно-методическое обеспечение «Расчет рисков и вычисление оптимальных затрат на систему защиты информации от несанкционированных действий и сохранение конфиденциальности информационных ресурсов. М., 2001.

2. Бланк И. А. Инвестиционный менеджмент. Киев, 1995.

3. Бочаров В. В. Финансово-кредитные методы регулирования рынка инвестиций. М., 1993.

4. Ненадышин В. А. Банки. Банковское дело. М., 1995.

5. Петренко С. А., Терехова Е. М. Оценка затрат на защиту информации // Защита информации. 2005. № 1.

6. Хмелев Л. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем // Труды научно-технической конференции «Безопасность информационных технологий». Пенза, 2001.

7. Шарп У. Ф., Александер Г. Дж., Бэйли Д. В. Инвестиции. М.: Ин-фра-М, 1997.

8. Witty R., Dubiel J., Girard J., Graff J., Hallawell A. ets. The Price of Information Security. Gartner Research, Strategic Analysis Report. K-11-6534. 2001. June.