CC BY
58
УДК 338.621
ПРОБЛЕМЫ КОНСАЛТИНГА В ОБЛАСТИ ЗАЩИТЫ БИЗНЕС-ИНФОРМАЦИИ
Д.А. Погонышева
В статье рассмотрены проблемы использования предприятиями консалтинговых услуг в области защиты бизнес-информации; методы измерения информационных рисков; методология проектирования системы обеспечения безопасности.
Ключевые слова: консалтинг, защита, бизнес-информация, риск, информационные технологии
В условиях хозяйственной самостоятельности и финансовой нестабильности, жесткой конкуренции современные предприятия вынуждены использовать комплекс мероприятий и средств, одним из которых является привлечение к решению существующих проблем специалистов - консультантов, способствующих поиску выхода из затруднительного положения (рис. 1).
В настоящее время в нашей стране развивают свою деятельность более 500 крупных консалтинговых фирм. Отечественные исследователи отмечают, что в мире основным потребителем консультационных услуг является промышленность. В России- это топливная (нефтехимическая) отрасль, черная и цветная металлургия.
В структуре рынка консалтинговых услуг в России в 2005 году наибольший удельный вес принадлежит информационным технологиям (47 %), далее представлены налоговый и юридический консалтинг (15 %), оценочная деятельность (7,7%), финансовый консалтинг (7,1%), стратегическое планирование (7 %), управление персоналом и его подбор (7 %), производство товаров и услуг (1,9 %), маркетинг и отношения с общественностью (1,7 %) [3].
В условиях рыночной экономики риск представляет собой возможность появления неблагоприятных ситуаций в процессе реализации инновационных и инвестиционных проектов. Инновационный риск - это риск потерь, обусловленный отсутствием интереса потенциальных потребителей к нововведениям организации, представляющим собой новый товар, новую услугу либо новую технологию. Появление инновационного риска связано с такими факторами, как нестабильность экономического законодательства, текущей экономической ситуации, неблагоприятные социально-экономические изменения, низкое качество информационного обеспечения инновационного процесса, недостаточный уровень предпринимательской активности и др. Рекомендуемыми методами снижения негативных воздействий или уменьшения уровня данного риска являются разработка стратегии технологического развития и технологической безопасности в составе комплексной технико-экономической и социальной стратегии предприятия, создание системы резервирования ресурсов, т.е. создание комплексной системы
экономической безопасности, направленной на рациональное использование финансовых, людских, материальных, информационных активов, обусловливающих финансовое благополучие хозяйствующего субъекта [5].
В настоящее время улучшение информационного обеспечения инновационных процессов связано с повышением квалификации персонала в области ИТ-технологий, ростом качества коммуникаций и распространенности информационных услуг, улучшением информационного наполнения существующих информационных порталов в Интернет, созданием необходимых информационных ресурсов, разработкой и внедрением эффективных способов защиты и хранения бизнес-информации. По этой причине организации стремятся реализовать ведущие идеи риск-менеджмента при управлении информационными рисками. При разработке эффективной системы защиты бизнес-информации определяются угрозы безопасности в организации, выявляются каналы утечки информации и несанкционированного доступа к данным, разрабатывается модель потенциального внутреннего или внешнего злоумышленника, выбираются адекватные методы и средства защиты. Наиболее эффективными методами защиты информационных ресурсов, снижения возможного ущерба от информационного риска организации являются препятствие, управление доступом, маскировка, регламентация, принуждение, побуждение. Исследователи отмечают необходимость комплексного использования известных средств и методов защиты бизнес-информации во всех структурных подразделениях организации, на всех стадиях жизненного цикла обработки данных изготовления и реализации товаров.
Рис.1. Классификация консалтинга по предметному признаку [2]
Методология проектирования системы обеспечения безопасности (СОБ) полностью вписывается в общую методологию проектирования сложных систем организационно-технологического типа (рис. 2). На каждом этапе проектирования осуществляется экспертная оценка предлагаемых решений. Важнейшей задачей управления СОБ является рациональное распределение ресурсов организации, выделяемых на безопасность, между функциями обеспечения с учетом динамики развития внешней и внутренней среды. Следует помнить, что создание абсолютно непроницаемой для злоумышленника СОБ принципиально невозможно. И речь, конечно, идет о приемлемом уровне безопасности бизнес-информации хозяйствующего субъекта. Эксперты считают необходимым создание достаточного уровня защиты, при котором затраты, риск и размер возможного ущерба при реализованной атаке нарушителя являлся бы приемлемым [4].
Рис. 2. Методология проектирования СОБ [4]
Чаще всего при оценке информационных рисков специалисты используют такие известные методы и модели, как модель качественной оценки рисков, количественная модель рисков, модель обобщенного стоимостного результата Миоры. При качественной оценке риска строится таблица, в которой представлены уровни важности актива хозяйствующего субъекта (важный, критический, жизненный) и уровни риска атак злоумышленника (низкий, средний, высокий). Решение принимается руководителем в зависимости от особенностей функционирования конкретной организации. Достоинством качественного метода является существенное ускорение и
упрощение расчетов, к недостаткам его следует отнести присутствие субъективных оценок эксперта и отсутствие реальной возможности установить точное соответствие затрат угрозам.
Количественная модель рисков оперирует такими категориями, как вероятность появления ущерба, стоимость ущерба от одной успешной атаки, ожидаемый годовой ущерб как произведение первых двух показателей. Разбиение угроз по категориям позволяет существенно упростить определение вероятности появления ущерба. Например, для оценки вероятности компьютерных преступлений следует использовать мировую статистику, делая поправку на то, что определенный процент подобных преступлений скрывается пострадавшими организациями. Статистику отказов оборудования и программного обеспечения можно уточнить у поставщиков или обратиться к независимым экспертам. При оценке единичного ущерба весьма важно определить стоимость актива. Активы можно подразделить на осязаемые и неосязаемые. К осязаемым активам отнесем аппаратное обеспечение, документацию и др., стоимость которых легко вычисляема. Стоимость неосязаемых активов - интеллектуальных продуктов можно определить как сумму затрат на их восстановление. Несмотря на простоту формулы, следует отметить значительную сложность определения составляющих итогового показателя.
Модель обобщенного стоимостного результата Миоры предложена для улучшения расчетов по оценке рисков. Данная модель использует понятие «ущерб от простоя». Для каждого информационного актива рассчитывается размер возможного ущерба, срок начала его влияния на функционирование организации и распределенность во времени. В модели представлены три вида ущерба: прямой осязаемый, косвенный осязаемый и неосязаемый ущерб [1]
Специалисты считают, что расходы на защиту бизнес-информации не должны превышать суммы возможного ущерба. Необходимым условием эффективного риск-менеджмента в области защиты бизнес-информации является его непрерывность. Следует отметить важность правильного применения рекомендуемых стандартов и правил персоналом организации.
In article problems of use by the enterprises of consulting services in the field of business information protection, methods of measurement of information risks, methodology of designing of system of safety are considered
The key words: consulting, protection, business information, risk, Information technology
Список литературы
1Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. СПб.: БХВ -Петербург, 2003.
2..Литвин Д.В. Российские банки на рынке консалтинговых услуг. М., 2000.
3.Пыткин А., Солодяшкина И. О современном состоянии рынка консалтинговых услуг// Вопросы статистики. 2006. №11. С.85-88.
4.Ткалич А.И. Консалтинговый сервис. М.: Альфа-М, Инфра-М, 2007.
5.Тэпман Л.Н. Риски в экономике. М.: ЮНИТИ, 2002.
Об авторе
Д. А. Погонышева - канд. экон. наук, проф.., Брянский государственный университет им. академика И.Г. Петровского, bryanskgu@ mail.ru.
