Тимиргалеева Р. Р., Гришин И. Ю. Обоснование затрат на обеспечение устойчивого развития и информационной безопасности внутренних бальнеологических курортных предприятий//Научно-методический электронный журнал «Концепт». - 2018. - № 01 (январь). - 0,4 п. л. - URL: http://e-koncept. ru/2018/184001. htm.
ART 184001 УДК 338.48:006.025
Тимиргалеева Рена Ринатовна,
доктор экономических наук, профессор ФГБОУ ВО «Кубанский государ ственный технологический университет», г. Краснодар renatimir@gmail.com
Гришин Игорь Юрьевич,
доктор технических наук, профессор ФГБОУ ВО «Кубанский государственный технологический университет», г. Краснодар igugri@ gmail.com
Обоснование затрат на обеспечение устойчивого развития
и информационной безопасности внутренних бальнеологических курортных предприятий*
Аннотация. В статье обоснована необходимость и доказана важность оптимизации затрат на обеспечение устойчивого развития и информационной безопасности внутренних бальнеологических курортных предприятий. Приведен обзор основных подходов к определению и оптимизации затрат. Выделена экономическая составляющая процесса определения и оптимизации затрат на обеспечение информационной безопасности бальнеологического курортного предприятия. Ключевые слова: внутренние бальнеологические курортные предприятия, устойчивое развитие, информационная безопасность, управление затратами. Раздел: (04) экономика.
Обеспечение информационной безопасности (далее - ИБ) и непрерывности бизнеса - актуальное направление развития предприятий и отраслей региона [1]. Это обусловлено тем, что одним из путей достижения целей бизнеса является внедрение и развитие механизмов обеспечения его информационной безопасности и непрерывности [2]. Кроме того, процесс управления непрерывностью бизнеса позволяет предприятиям и отраслям постоянно поддерживать функционирование минимально допустимых производственных мощностей, уменьшить степень риска до приемлемого уровня и разработать планы восстановления бизнес-процессов на случай их повреждения во время чрезвычайных ситуаций [3]. Данные аспекты обусловливают актуальность нашего исследования.
Исследование показало, что в современных условиях хозяйствования необходимо учитывать все факторы, влияющие на устойчивое развитие как отечественной курортной отрасли в целом, так и отдельных бальнеологических курортных предприятий [4, 5]. Сегодня необходимо направить усилия на поиск новых направлений их развития, среди которых авторы выделяют маркетинг и логистику [6-10], системный и программно-целевой подход к управлению [11, 12]. Функция обеспечения информационной безопасности и непрерывности бизнеса бальнеологического курортного предприятия играет все большую роль и становится одной из важнейших в достижении целей регионального развития. Среди основных проблем обеспечения информационной безопасности и непрерывности бизнеса следует выделить обоснование затрат на приобретение средств зашиты данных и расчет экономически обоснованного бюджета на приобретение и эксплуатацию оборудования и средств его поддержки [13].
ISSN 2304-120Х
ниепт
научно-методический электронный журнал
* Работа выполнена при поддержке Администрации Краснодарского края и Российского фонда фундаментальных исследований (грант 16-46-230121 «Модели и методы формирования механизма инновационного развития внутренних бальнеологических курортных территорий Краснодарского края на основе экологистики»).
ISSN 2Э04-120Х
ниепт
научно-методический электронный журнал
Тимиргалеева Р. Р., Гришин И. Ю. Обоснование затрат на обеспечение устойчивого развития и информационной безопасности внутренних бальнеологических курортных предприятий//Научно-методический электронный журнал «Концепт». - 2018. - № 01 (январь). - 0,4 п. л. - URL: http://e-koncept. ru/2018/184001. htm.
Требуется также обоснование для различных бизнес-приложений всех расходов, в том числе подсчета времени, которое затрачивается руководством на принятие управленческих решений, связанных с управлением бизнес-процессами обеспечения информационной безопасности и непрерывности бизнеса. И здесь основная проблема заключается в том, что данные бизнес-процессы являются по своей сути обеспечивающими, так как не приносят непосредственной прибыли. Вместе с тем без эффективного управления данными бизнес-процессами и системного подхода [14] невозможно обеспечить реализацию основных бизнес-процессов, которые принимают непосредственное участие в создании добавленной ценности для потребителя. Обеспечивающие бизнес-процессы требуют определённых затрат, как и другие ИТ-системы, что в обязательном порядке также требует их экономического обоснования. При этом отметим, что та или иная политика информационной безопасности зависит от целей бизнеса предприятия [15].
Совершенно очевидно, что основная цель, стоящая перед курортным бизнесом в области обеспечения информационной безопасности, заключается прежде всего в надежной защите бизнеса при условии оптимизации затрат на обеспечение информационной безопасности, включая минимизацию затрат и усилий на поддержание принятой в организации системы безопасности в актуальном состоянии. Реализация заявленной цели возможна при решении определенных задач, среди которых отметим следующие:
- минимальное количество используемых продуктов и систем при оптимальном уровне защиты;
- выполнение требований законодательства в части построения системы защиты;
- организация централизованного управления всеми компонентами защиты.
Руководство конкретного бальнеологического курортного предприятия должно
обеспечить решение вышеперечисленных задач, что в конечном счете даст предприятию как минимум три конкурентных преимущества: минимизацию затрат на приобретение и сопровождение продуктов; минимизацию требуемого уровня квалификации персонала и, как следствие, снижение затрат на формирование фонда оплаты труда; высвобождение ресурсов для решения иных задач развития предприятия и бизнеса в целом.
Исследование показало, что в качестве основного инструмента оптимизации и планирования затрат на обеспечение информационной безопасности предприятия следует использовать аудит, реализация которого позволит систематизировать и упорядочить существующие на предприятии меры защиты информации, обоснование инвестиций в информационную безопасность. Также по результатам аудита можно подготовить техническое задание на разработку и создание системы безопасности в соответствии с международными и российскими требованиями к стандартам, оценить уровень эффективности существующей на предприятии системы безопасности.
Преимущества такого инструмента, как аудит, состоят также в том, что потребителями его результата могут быть как внутренние потребители (руководство предприятия, служба ИБ, служба автоматизации предприятия, служба внутреннего контроля), так и внешние (акционеры, регулирующие органы, страховые компании, потребители предприятия).
Для обоснования затрат на обеспечение развития и информационную безопасность бальнеологических курортных предприятий предлагаем воспользоваться актуальным в экономике показателем - ROI (Return On Investment), который определяет, сколько времени потребуется для возврата вложенных в то или предприятие (проект, мероприятие) инвестиций. Учитывая предмет нашего исследования, отметим, что по сути ROI представляет собой процентное отношение прибыли (или экономического эффекта) от внедрения той или иной системы информационной безопасности к инвестициям, необходимым для ее приобретения и эксплуатации.
ISSN 2304-120X
ниепт
научно-методический электронный журнал
Тимиргалеева Р. Р., Гришин И. Ю. Обоснование затрат на обеспечение устойчивого развития и информационной безопасности внутренних бальнеологических курортных предприятий// Научно-методический электронный журнал «Концепт». - 2018. - № 01 (январь). - 0,4 п. л. - URL: http://e-koncept. ru/2018/184001. htm.
Представляет также определенный интерес метод, который получил название «метод ожидаемых потерь». Данный метод основан на вычислении потерь от нарушения политики безопасности, которые может иметь бизнес, в том числе и курортный. Далее эти потери необходимо сравнить с инвестициями в систему обеспечения информационной безопасности и непрерывности бизнеса. Метод ожидаемых потерь основан на эмпирическом опыте того или иного предприятия и сведений о вторжениях, о потерях от вирусов, об отражении сервисных атак и т. д.
Для экономического обоснования необходимо учесть и тот факт, что стоимость системы информационной безопасности обобщенно складывается из двух групп затрат:
- единовременные затраты, в которые, как правило, включается стоимость оборудования и стоимость внедрения системы зашиты информации;
- периодические затраты, среди которых ключевыми являются техническая поддержка и сопровождение, заработная плата ИТ-персонала, продление лицензии на антивирусы и другое программное обеспечение.
В соответствии с данным методом для определения эффекта от внедрения системы информационной безопасности и непрерывности бизнеса нужно, прежде всего, вычислить показатель ожидаемых потерь. По данным экспертов, правильно установленная и настроенная система ИБ дает 85% эффективности в предупреждении или уменьшении потерь от нарушений безопасности. Экономическая выгода обеспечивается ежегодными сбережениями, которые получает тот или иной бизнес от внедрения конкретной системы обеспечения информационной безопасности.
Также можно воспользоваться и другими методами, среди которых отметим метод оценки свойств системы безопасности (Security Attribute Evaluation Method - SAEM), основанный на сравнении различных архитектур систем информационной безопасности для получения стоимостных результатов оценки выгод от ее внедрения [16]. Преимуществом методологии SAEM является ее возможность, объединив вероятность события и ранжировав воздействие окружающей среды, предложить различные проекты по ИБ с многовариантным влиянием окружающей среды на относительные затраты.
Стоит также обратить внимание на менее популярный, но достаточно эффективный метод - метод анализа дерева ошибок (Fault Tree Analysis). Особенность данного метода заключается в возможности показать, в чем заключаются причины нарушений политики безопасности и какие сглаживающие контрмеры могут быть применены. Кроме того, данный метод позволяет свести всю систему возможных нарушений к логическим отношениям «и»-«или» компонентов этой системы. Если доступны данные по нормам отказа критических компонентов системы, то дерево ошибок позволяет определить ожидаемую вероятность отказа всей системы.
Несмотря на явные перспективы и преимущества данного метода, следует отметить, что в настоящее время он еще недостаточно адаптирован к сфере информационной безопасности и, соответственно, требует его дальнейшего изучения.
Для обоснования затрат на ИБ может также использоваться модель ТСО (total cost of ownership), известная в отечественной практике как совокупная стоимость владения. Преимуществом данной модели является то, что с ее помощью можно распределять средства таким образом, чтобы добиться максимальной отдачи от инвестиций в защиту информации и при этом уложиться в бюджет, выделенный на внедрение. Важным является вопрос о том, как снизить совокупную стоимость владения. Специалисты выделяют несколько вариантов ее снижения:
- внедрение аутсорсинга;
- максимальную централизацию обработки и хранения информации, централизацию средств администрирования;
Тимиргалеева Р. Р., Гришин И. Ю. Обоснование затрат на обеспечение устойчивого развития и информационной безопасности внутренних бальнеологических курортных предприятий//Научно-методический электронный журнал «Концепт». - 2018. - № 01 (январь). - 0,4 п. л. - URL: http://e-koncept. ru/2018/184001. htm.
- уменьшение числа специализированных элементов, и прежде всего компьютеров, с прикладным программным обеспечением;
- перенос прикладного программного обеспечения на серверы приложений;
- обеспечение входа в систему с любой точки;
- обеспечение единообразного доступа по внутренней и по внешней телекоммуникационным сетям.
Кроме того, модель ТСО позволяет заранее определить узкие места и минимизировать затраты, а также предупредить проблемы еще на этапе внедрения системы обеспечения информационной безопасности и непрерывности бизнес-процессов предприятия. Также данная методика позволяет рассчитать всю расходную часть информационных активов предприятия, включая следующие затраты:
- прямые и косвенные затраты на аппаратно-программные средства;
- затраты на организационные мероприятия;
- затраты на обучение и повышение квалификации сотрудников предприятия;
- затраты на реорганизацию, реструктуризацию бизнеса предприятия и т. д.
Методика также позволяет провести оценку экономической эффективности системы защиты информации, объективно обосновать экономическую целесообразность использования конкретных организационных мер и средств защиты информации.
Кроме обоснования затрат на информационную безопасность и развитие бальнеологических курортных предприятий необходимо в обязательном порядке говорить об их оптимизации. При этом следует учесть, что важным является такой показатель, требующий оптимизации, как стоимость владения системой. Определение данного показателя необходимо осуществлять уже на этапах идентификации и оценки информационных рисков и определения вариантов по их обработке.
Рассмотренные методы, кроме метода ожидаемых потерь, который объединяет выгоду от каждой контрмеры в единый количественный показатель эффективности, не позволяют количественно оценить стоимость и выгоды от контрмер безопасности. А с точки зрения системы безопасности этот показатель интерпретируется как показатель пригодности всей системы защиты, который обычно указан в договоре с поставщиком системы защиты. Поэтому на практике специалисты рекомендуют использовать метод оценки целесообразности затрат на систему обеспечения информационной безопасности и непрерывности бизнеса, что обусловлено несколькими аспектами. Прежде всего, это финансовая ориентированность метода, а также достаточно полная оценка стоимости различных мер по безопасности и выгод от внедрения.
Реализация конкретного подхода к определению и оптимизации затрат на обеспечение информационной безопасности зависит от ряда факторов, таких как степень зрелости предприятия, специфика деятельности предприятия.
Исследование показало, что одним из эффективных механизмов развития внутренних бальнеологических курортных предприятий является обеспечение информационной безопасности и непрерывности бизнеса на основе оценки экономической целесообразности того или иного средства. При выборе метода необходимо учесть особенности конкретного предприятия и его стратегические цели. Кроме того, для принятия экономически обоснованного управленческого решения нужно иметь в виду, какой уровень информационной безопасности будет приемлем для конкретного предприятия. В любом случае экономически выгодным будет решение, при котором чистая приведенная стоимость доходов от проекта внедрения будет положительной.
ISSN 2Э04-120Х
ниепт
научно-методический электронный журнал
Тимиргалеева Р. Р., Гришин И. Ю. Обоснование затрат на обеспечение устойчивого развития и информационной безопасности внутренних бальнеологических курортных предприятий // Научно-методический электронный журнал «Концепт». - 2018. - № 01 (январь). - 0,4 п. л. - URL: http://e-koncept. ru/2018/184001. htm.
Ссылки на источники
1. Тимиргалеева Р. Р., Гришин И. Ю. Современные тенденции управления развитием организационно-экономических систем (новый взгляд) / под ред. проф. Р. Р. Тимиргалеевой. - Симферополь, 2014.
2. Тимиргалеева Р. Р., Гришин И. Ю. Обеспечение информационной безопасности и непрерывности бизнес-процессов при использовании мобильных технологий // Цифровая экономика и «Индустрия 4.0»: проблемы и перспективы: тр. науч.-практ. конф. с междунар. участием. - СПб., 2017. - С. 489-493.
3. Тимиргалеева Р. Р., Гришин И. Ю. Проблемы обеспечения информационной безопасности и непрерывности бизнеса // Научно-методический электронный журнал «Концепт». - 2017. - № 9. - С. 131-137.
4. Тимиргалеева Р. Р. Интерактивное бизнес-управление взаимоотношениями в социально-экономической системе «туристско-рекреационный регион» // Актуальные проблемы современной науки. IV Международная научно-практическая конференция. - Алушта, 2015. - С. 378-381.
5. Тимиргалеева Р. Р., Куц Т. В. Проблемы и перспективы взаимодействия санаторно-курортного и туристского комплексов Республики Крым // Таврический научный обозреватель. - 2016. - № 2(7). - С. 31-36.
6. Тимиргалеева Р. Р., Гришин И. Ю., Шостак М. А. Управление развитием предприятий туристско-рекреационной сферы на основе внутреннего маркетинга. - Симферополь, 2015.
7. Тимиргалеева Р. Р., Гришин И. Ю. Информационно-логистическое обеспечение процесса управления сложными организационно-экономическими системами. - 2-е изд., перераб. и доп. - Симферополь, 2013.
8. Ам^ан В. Н., Тимиргалеева Р. Р., Птюшенко В. Л. Лопстиза^я процеав в оргашзацшно-еко-номiчних системах. - Донецьк, 2003.
9. Ларина Р. Р., Гришин И. Ю. Логистический подход к управлению региональными организационно-экономическими системами. - Симферополь, 2012.
10. Ларина Р. Р., Гришин И. Ю. Метод динамического программирования и принцип максимума в задачах оптимизации маркетинг-логистических решений // Труды X международной ФАМЭТ'2010 конференции. - Красноярск, 2011. - С. 119-123.
11. Таланов А. Я., Тимиргалеева Р. Р. Использование системного подхода при разработке стратегии предприятия // Актуальные проблемы экономики современной России. - 2015. - Т. 2. - № 2. - С. 365-370.
12. Тимиргалеева Р. Р., Гришин И. Ю. Программно-целевой подход регионального планирования развития бальнеологических курортных территорий // Управление в условиях глобальных мировых трансформаций: экономика, политика, право: сб. науч. тр. - Симферополь, 2016. - С. 62-66.
13. Тимиргалеева Р. Р., Гришин И. Ю. Проблемы обеспечения информационной безопасности и непрерывности бизнеса.
14. Таланов А. Я., Тимиргалеева Р. Р. Указ. соч.
15. Петренко С. А., Курбатов В. А. Политики информационной безопасности. - М.: ДМК Пресс, 2006. - 400 с.
16. Тимиргалеева Р. Р., Гришин И. Ю. Проблемы обеспечения информационной безопасности и непрерывности бизнеса.
Rena Timirgaleeva,
Doctor of Economic Sciences, Professor, Kuban State Technological University, Krasnodar
renatimir@gmail.com
Igor Grishin,
Doctor of Engineering Sciences, Professor, Kuban State Technological University, Krasnodar igugri@ gmail.com
Justification of costs for ensuring sustainable development and information security of internal balneological resort enterprises
Abstract. The article justifies the necessity and proves the importance of optimizing the costs for ensuring sustainable development and information security of the internal balneological resort enterprises. An overview of the main approaches to the determining and optimization of costs is given. The economic component of the process of determining and optimizing the costs for ensuring information security of the balneological resort enterprise is singled out.
Key words: internal balneological resort enterprises, sustainable development, information security, cost management. References
1. Timirgaleeva, R. R. & Grishin, I. Ju. (2014). Sovremennye tendencii upravlenija razvitiem organizacion-no-jekonomicheskih sistem (novyj vzgljad), Simferopol' (in Russian).
2. Timirgaleeva, R. R. & Grishin, I. Ju. (2017). "Obespechenie informacionnoj bezopasnosti i nepreryvnosti biznes-processov pri ispol'zovanii mobil'nyh tehnologij", Cifrovaja jekonomika i "Industrija 4.0": problemy iperspektivy: tr. nauch.-prakt. konf. s mezhdunar. uchastiem, St. Petersburg, pp. 489-493 (in Russian).
3. Timirgaleeva, R. R. & Grishin, I. Ju. (2017). "Problemy obespechenija informacionnoj bezopasnosti i nepreryvnosti biznesa", Nauchno-metodicheskij jelektronnyj zhurnal "Koncept", № 9, pp. 131-137 (in Russian).
ISSN 2304-120X
ниепт
научно-методический электронный журнал
ISSN 2Э04-120Х
4.
5.
6.
7.
8.
9.
10.
12.
13.
14.
15.
16.
ниепт
научно-методический электронный журнал
Тимиргалеева Р. Р., Гришин И. Ю. Обоснование затрат на обеспечение устойчивого развития и информационной безопасности внутренних бальнеологических курортных предприятий// Научно-методический электронный журнал «Концепт». - 2018. - № 01 (январь). - 0,4 п. л. - URL: http://e-koncept. ru/2018/184001. htm.
Timirgaleeva, R. R. (2015). "Interaktivnoe biznes-upravlenie vzaimootnoshenijami v social'no-jekonomicheskoj sisteme "turistsko-rekreacionnyj region", Aktual'nye problemy sovremennoj nauki. IV Mezhdunarodnaja nauchno-prakticheskaja konferencija, Alushta, pp. 378-381 (in Russian). Timirgaleeva, R. R. & Kuc, T. V. (2016). "Problemy i perspektivy vzaimodejstvija sanatorno-kurortnogo i turistskogo kompleksov Respubliki Krym", Tavricheskijnauchnyjobozrevatel', № 2 (7), pp. 31-36 (in Russian). Timirgaleeva, R. R., Grishin, I. Ju. & Shostak, M. A. (2015). Upravlenie razvitiem predprijatij turistsko-rekreacionnoj sfery na osnove vnutrennego marketinga, Simferopol' (in Russian). Timirgaleeva, R. R. & Grishin, I. Ju. (2013). Informacionno-logisticheskoe obespechenie processa upravlenija slozhnymi organizacionno-jekonomicheskimisistemami, 2-e izd., pererab. i dop., Simferopol' (in Russian). Amitan, V. N., Timirgaleeva, R. R. & Piljushenko, V. L. (2003J. Logistizacija procesiv v organizacijno-ekonomichnih sistemah, Donec'k (in Ukrainian).
Larina, R. R. & Grishin, I. Ju. (2012). Logisticheskij podhod k upravleniju regional'nymi organizacionno-jekonomicheskimisistemami, Simferopol' (in Russian).
Larina, R. R. & Grishin, I. Ju. (2011). "Metod dinamicheskogo programmirovanija i princip maksimuma v zadachah optimizacii marketing-logisticheskih reshenij", Trudy X mezhdunarodnoj FAMJeT'2010 konfer-encii, Krasnojarsk, pp. 119-123 (in Russian). 11. Talanov, A. Ja. & Timirgaleeva, R. R. (2015). "Ispol'zovanie sistemnogo podhoda pri razrabotke strategii predprijatija", Aktual'nye problemy jekonomiki sovremennoj Rossii, t. 2, № 2, pp. 365-370 (in Russian). Timirgaleeva, R. R. & Grishin, I. Ju. (2016). "Programmno-celevoj podhod regional'nogo planirovanija razvitija bal'neologicheskih kurortnyh territorij", Upravlenie v uslovijah global'nyh mirovyh transformacij: jekonomika, politika, pravo: sb. nauch. tr, Simferopol', pp. 62-66 (in Russian).
Timirgaleeva, R. R. & Grishin, I. Ju. (2017). "Problemy obespechenija informacionnoj bezopasnosti i nepreryvnosti biznesa".
Talanov, A. Ja. & Timirgaleeva, R. R. (2015). Op. cit.
Petrenko, S. A. & Kurbatov, V. A. (2006J. Politiki informacionnoj bezopasnosti, DMK Press, Moscow, 400 p. (in Russian).
Timirgaleeva, R. R. & Grishin, I. Ju. (2017). "Problemy obespechenija informacionnoj bezopasnosti i nepreryvnosti biznesa".
Рекомендовано к публикации:
Некрасовой Г. Н., доктором педагогических наук, членом редакционной коллегии журнала «Концепт»
Поступила в редакцию Received 14.11.17 Получена положительная рецензия Received a positive review 01.12.17
Принята к публикации Accepted for publication 01.12.17 Опубликована Published 28.01.18
www.e-koncept.ru
© Концепт, научно-методический электронный журнал, 2018 © Тимиргалеева Р. Р., Гришин И. Ю., 2018
977230412018001