Финансовые методы управления информационными рисками предприятия тема диссертации по экономике, полный текст автореферата
Автореферат
Ученаd>кандидат экономических наук | |
Автор | Ольхович, Евгений Александрович |
Место защиты | Москва |
Год | 2008 |
Шифр ВАК РФ | 08.00.10 |
Автореферат диссертации по теме "Финансовые методы управления информационными рисками предприятия"
На правах рукописи
ОЛЬХОВИЧ ЕВГЕНИЙ АЛЕКСАНДРОВИЧ
ФИНАНСОВЫЕ МЕТОДЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ ПРЕДПРИЯТИЯ
Специальность 08.00.10 - Финансы, денежное обращение и кредит
АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата экономических наук
1 6 ОКТ 2008
Москва - 2008 г.
003449549
Работа выпонена в Российской экономической академии им. Г.В. Плеханова на кафедре Финансы и цены
Научный руководитель - доктор экономических наук, профессор
Хоминич Ирина Петровна Официальные оппоненты: - доктор экономических наук, профессор
Галанов Владимир Александрович; - кандидат экономических наук, доцент Зарипов Ильяс Абдубярович
Ведущая организация - Российский государственный социальный
университет
Защита состоится 29 октября 2008 г. в 13 час. на заседании диссертационного совета Д 212.196.02 при Российской экономической академии им. Г.В. Плеханова по адресу: 117997, Москва, Стремянный переулок, 36.
С диссертацией можно ознакомиться в библиотеке РЭА им. Г.В. Плеханова. Автореферат разослан 29 сентября 2008 г.
Ученый секретарь
диссертационного совета л"'"""Х^'Маршавина Л-Я.
I. ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность темы диссертационного исследования определяется необходимостью использования в управлении информационными рисками предприятия финансовых методов, базирующихся на научном подходе, анализе практического опыта российских и зарубежных предприятий, отечественных и международных стандартах и методиках в области финансового менеджмента, риск-менеджмента и защиты информации. В последние годы прогресс в сфере информационных технологий, превращение информации в производственный ресурс, колоссальный рост объемов информации обусловили формирование новой отрасли бизнеса - создание продуктов и оказание услуг по защите информации. За 2006 г. объем продаж крупнейших компаний России, производящих информационные продукты для защиты бизнес-информации, вырос на 64,3%. Для потенциальных потребителей этих продуктов важен вопрос зкономического обоснования и планирования затрат на управление информационными рисками либо путем приобретения услуг специализированных производителей, либо собственными силами. В обоих случаях важная роль отводится финансовым методам управления информационными рисками, в состав которых входят планирование и бюджетирование затрат, стоимостная оценка возможного ущерба от утраты информации, страхование рисков, аутсорсинг.
Важность темы исследования определяется также беспрецедентным ростом нарушений информационной безопасности в мире и усиливающейся тяжестью их последствий. Общее число нарушений ежегодно увеличивается более, чем на 100%. В России, по статистике правоохранительных органов, число выявленных преступлений в сфере компьютерной информации возрастает за год в среднем в 3-4 раза. Если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60-ти случаях из 100 банкротится.1 93% компаний, лишившихся доступа к собственной информации на срок более 10
1 Баутов А. Эффективность защиты информации/Открытые системы, 2003, № 7-8, С.24
дней, покинули бизнес, причем половина из них заявила о своей несостоятельности немедленно.1
В среднем каждая вторая отечественная организация допустила в 2006 г. минимум одну утечку информации, а это принесло ущерб около 3 мн. дол. Исследование "National Survey on Managing the Insider Threats" опыта 500 компаний позволило подсчитать средний ущерб от одной утечки, составивший почти 3,4 мн.. дол.2 Очевидно, что финансовые потери бизнеса, как крупного, так и малого, возрастают, что обусловливает необходимость поиска и внедрения научно обоснованных и технологически оправданных методов управления информационными рисками, в числе которых финансовые методы занимают особое место. Они позволяют не только сформировать стоимостные показатели оценки и эффективности затрат на мероприятия по защите информации, но планировать эти затраты в рамках процесса бюджетирования.
Актуальность избранной темы подтверждается необходимостью выявления финансовых способов защиты информации на предприятии и обоснования их роли в целостной эффективной системе управления информационными рисками. Финансовые механизмы призваны сыграть в решении проблемы информационной безопасности предприятий существенную роль.
Постановка и научное обоснование проблемы информационных рисков предприятия, разработка рекомендаций по применению финансовых методов управления этими рисками представляются важными разделами экономической науки, имеющими очевидную возрастающую практическую ценность.
Степень научной разработанности темы. В работе над диссертацией оказались полезными труды таких отечественных и зарубежных исследователей в области финансового менеджмента, инвестиций, бюджетирования, оценки стоимости компании, а также автоматизации финансов, как Бочаров В., Бланк И., Кузьмин Ю., Князев В., Бригхем Ю., Гапенски Л., Шарп У., Бурцев В., Бухаков М., Мэй М., Дугельный А., Слепов В., Лисицына Е., Каверина О., Щиборщ К.
1 Ездаков А., Макарова О. Как защитить информацию//Сети, 1997, № 8, С.36
2Ponemon Institute, 2006.
В работе над диссертацией использовались также труды зарубежных и российских специалистов в области информатизации бизнеса, применения информационных технологий в управлении финансами предприятий, а также риск-менеджмента: Конев И., Карберг К., Гарнаев А., Яновский А., Лукацкий А., Баутов А., Симонов С., Кононов А., Ловцов Д., Васильев А., Волоткин А., Давлетханов М., Конев И., Беляев А., Маношкин А., Мельников В., Трайнев В., Петренко С., Садердинов А., Уфимцев Ю., Шпак В.
В исследованиях российских и зарубежных авторов освещены многочисленные проблемы использования информационных технологий в финансовой деятельности предприятий, механизмы и методы обеспечения информационной безопасности, изложены теоретические взгляды на инвестиции в мероприятия по защите информации, предложены методы оценки затрат компаний на информационную безопасность.
Вместе с тем, в этих источниках не представлена целостная концепция взаимосвязи финансов и информатизации бизнеса, в которой центральное место принадлежит финансовым методам управления информационными рисками.
Объектом исследования является система управления информационными рисками предприятия (СУИР), в которой существенное место отводится финансовым методам.
Предметом исследования выступают методы финансового управления, позволяющие определить затраты на управление информационными рисками предприятия с целью минимизации убытков от потери информации.
Целью диссертационного исследования является разработка теоретических концептуальных положений и методологических подходов к использованию финансовых методов управления информационными рисками предприятий. Для достижения указанной цели в работе были поставлены и решались следующие задачи:
- провести научный анализ теоретических концепций в области применения финансовых методов управления информацией предприятия; Х выявить и научно обосновать взаимосвязи финансов и информатизации предприятий;
- определить понятие информационного риска предприятия и разработать классификацию источников информационных рисков;
- разработать концептуальную модель системы управления информационными рисками предприятия, включающую комплекс элементов;
- критически рассмотреть финансовые методы управления информационными рисками;
- разработать методику оценки информационных рисков предприятия;
- разработать для предприятия план мероприятий по снижению информационных рисков, направленный на оптимизацию затрат на управление информационными рисками;
составить рекомендации по бюджетированию затрат на управление информационными рисками;
- предложить методические подходы для расчета экономической эффективности затрат на управление информационными рисками с использованием предложенного агоритма.
Теоретической основой исследования явились труды зарубежных и отечественных ученых в области экономической теории, корпоративных финансов, финансового менеджмента, риск-менеджмента, управления предприятием, экономико-математических методов, теории экономической безопасности, концепций информационной безопасности, теории инвестиций, а также информатизации управленческих и экономических процессов.
При обосновании и разработке положений диссертации использовались результаты анализа взаимодействия финансовых и информационных служб отечественных предприятий и зарубежных компаний, исследовались механизмы повышения эффективности затрат на управление информацией и информационными рисками, применялись системный подход, методы статистического и системно-структурного анализа. При подготовке диссертации использованы результаты аналитических научных исследований и обзоров, опубликованных в периодической печати, законодательные и нормативные документы Российской Федерации, а также международные стандарты в области защиты информации.
Методологическую основу диссертации составили методы финансового менеджмента, экономико-математические методы и модели, логические и графические методы, системный анализ, классификация, сравнение, группировка, а также принципы диалектической логики, позволяющие рассматривать все явления и процессы в развитии и взаимосвязи. Эмпирическую основу исследования составили:
* законодательные акты Российской Федерации, отечественные и международные стандарты по защите информации, рекомендательные материалы, методические указания Банка России, Ассоциации менеджеров России, Российского союза промышленников и предпринимателей, международных негосударственных организаций по обеспечению информационной безопасности предприятий и граждан, управлению информационными рисками, организации бюджетирования;
" статистические и аналитические материалы Министерства финансов РФ, Федеральной службы государственной статистики;
публикации в профессиональных экономических российских и зарубежных изданиях периодической печати.
Научная новизна проведенного исследования состоит в следующем: - представлена концепция взаимосвязи финансов и информатизации бизнеса, включающая пять концептуальных научно-практических областей, каждая из которых содержит теоретические концепции, методологию, инструментарий, индикаторы эффективности процессов;
- обоснована необходимость разработки и применения финансовых методов управления информационными рисками предприятия, - исходя из того, что информация есть актив предприятия, часть имущества, нуждающаяся в финансовом управлении;
предложена концепция управления информационными рисками предприятия, включающая понятие риска, классификацию его источников, рисков, цель, задачи, принципы, уровни, субъекты, объекты, политику, методы управления;
разработан методический комплекс финансового управления информационными рисками предприятия, включающий методики и методические подходы к определению, оценке, планированию и бюджетированию затрат предприятия на управление информационными рисками;
- предложен агоритм расчёта экономической эффективности и формирования бюджета затрат на управление информационными ресурсами предприятия.
Практическая значимость результатов исследования состоит в разработке:
- методического комплекса бюджетирования затрат на управление информационными рисками с применением комбинированного способа разбивки затрат по статьям бюджета, включающего статистические данные, бенчмарки, а также прямое калькулирование затрат на реализацию плановых мероприятий с последующим суммированием их по статьям;
- агоритма расчета экономической эффективности и формирования бюджета затрат на управление информационными рисками;
- методики оценки и планирования информационных рисков предприятия, включающей выявление состава информационных ресурсов, функционирующих в автоматизированной системе предприятия, определение их ценности, уязвимостей, оценку возможных потерь;
- рекомендаций для предприятий по финансовому управлению информационными рисками, принятию решения в части использования собственных или привлеченных способов защиты информации.
Апробация результатов работы.
Экспериментальная проверка научных положений и методических разработок проведена в ЗАО "БАНК Кредит Свисс (Москва)" и на предприятии ООО "Эколайн". Основные положения и выводы диссертационной работы послужили основой лекционных и семинарских занятий на финансовом факультете и в магистратуре Российской экономической академии им. Г.В. Плеханова. Результаты диссертационного исследования были доложены автором
на XXI-x Международных Плехановских чтениях (РЭА им. Г.В. Плеханова, 2008 г.), Международной научно-практической конференции молодых ученых и аспирантов Новая российская экономика: движущие силы и факторы в Ярославском госуниверситете в 2007 г.
Публикации. Основные положения диссертации отражены в 7 опубликованных работах общим объемом 3,2 п.л. (в т.ч. две статьи в журналах, рекомендованных ВАК).
Логика и структура исследования. Логика исследования определяет структуру работы, состоящей из введения, трех глав, заключения, списка использованной литературы и приложений. Диссертация, включая 8 приложений, изложена на 138 страницах машинописного текста, содержит 13 таблиц и 15 рисунков. Список использованной литературы включает 131 наименование.
II. ОСНОВНОЕ СОДЕРЖАНИЕ ДИССЕРТАЦИИ
Исходя из цели и задач диссертации, исследованы следующие ключевые группы проблем.
Первая группа проблем связана с определением концептуальных взаимосвязей финансов и информатизации бизнеса и построением концепции системы управления информационными рисками предприятия.
В диссертации идентифицированы пять областей взаимосвязи финансов с информационными технологиями (ИТ), каждая из которых включает собственные теоретические концепции, методологию, инструментарий, индикаторы эффективности процессов.
Первая область взаимосвязи финансов с информационными технологиями проявляется в том, что финансовая информация, которая формируется в процессе (и тем более в результате) деятельности экономических агентов на макро- и микроуровне, является объектом информатизации, информационным ресурсом и подвержена информационным рискам. Превращение финансовой информации в важный бизнес-ресурс обусловило проблему обеспечения ее конфиденциальности, целостности, т.е. защиты от рисков. Таким образом,
информационные риски правомерно рассматривать составным элементом риск-менеджмента предприятий, дня реализации которого используются, в частности и финансовые методы.
Ранжирование по степени тяжести последствий потери конфиденциальности информации многими российскими предприятиями в 2006 г. показывает схожесть российской и международной практики в этой области: удар по репутации и потеря клиентов (79,2%), прямые финансовые убытки (46%), падение конкурентоспособности (25,2%).' Расчет реальных убытков весьма затруднен, поскольку речь идет об информации как нематериальном активе (НМЛ). Однако очевидно, что своевременное финансирование мероприятий по ее защите с целью минимизации информационных рисков было бы для компаний значительно дешевле.
Вторая область взаимосвязи финансов с информационными технологиями проявляется в том, что в эпоху информационного общества информационные ресурсы преобразуются в специфический вид нематериальных активов, имеющих свою стоимость, денежную оценку и оказывающих существенное влияние на стоимость компании. Рассмотрение видов классификаций НМА в целях установления места информационного капитала как носителя информационных рисков и объекта управления позволило сделать вывод, что большинство из перечисленных групп НМА (общие моральные ценности и нормы, технология и формализованные знания, первичные процессы и процессы управления, ценные ресурсы и приобретения) имеют информационную природу, т.е. могут быть отнесены к информационным активам предприятия. Проблемы адекватной оценки стоимости этих активов и ее отражения в отчетности компаний как раз составляют основу второй области взаимосвязи и являются предметом многочисленных исследований. Однако они до сих пор не решены и не получили освещения в официальных документах.
Основная причина - сложности с отражением в балансе компании, для чего необходимо знать величину активов в денежном выражении в каждом из отчетных периодов. Для этого необходимо определить следующие параметры
1 ШЬУГа^Ь, 2007 (Ссыка на домен более не работаетsecurity2M7/artlclcs/coюpally_Jrotectюn.shtrn)
актива: первоначальную стоимость актива, срок его полезного использования и метод начисления амортизации, наибольшим образом подходящий для конкретного актива. Существующие методы оценки НМА, в т.ч. информационных активов, имеющие свои достоинства и недостатки, способы их адекватного отражения в финансовой отчетности компаний, а также определения их влияния на рост рыночной стоимости компании продожают оставаться предметом научных исследований.
Третья область взаимосвязи финансов с информатизацией бизнеса включает большой комплекс научно-практических проблем финансовой оценки эффективности использования предприятием отдельных информационных технологий (ИТ-продуктов) или корпоративных систем (КИС). Эта область научных исследований предполагает денежную оценку, во-первых, выбора оптимальной формы взаимодействия ИТ и предприятия; во-вторых, затрат на приобретение, внедрение, обслуживание КИС или отдельных ее элементов: в-третьих, эффективности работы ИТ-отдела в компании, в т.ч. адекватности его взаимосвязей с функциональными подразделениями предприятия, обслуживания бизнес-процессов.
В диссертации выявлен ряд факторов, которые следует учитывать предприятиям при выборе производителя и поставщика на рынке комплексных корпоративных систем: понота функциональных возможностей систем; уровень реализации функциональных модулей систем; стоимость и продожительность внедрения; влияние системы на бизнес и бизнес-процессы предприятия; эффективность использования системы на предприятии.
Сложившаяся в международном бизнесе тенденция усиления специализации предприятий на области своей максимальной компетенции повлекла определение и передачу в разных формах неключевых для компании бизнес-процессов, включая ИТ, внешним поставщикам услуг. В частности, речь идет о таких стратегиях предприятий, как а) приобретение и внедрение приложений с помощью услуг специализированной компании (поставщик решений, системный интегратор и т.п.); б) ИТ-аутсорсинг (1ТО) или передача внешней компании всех, либо части функций ИТ-подразделения предприятия,
включая оборудование; в) аутсорсинг бизнес-процессов (ВРО) или передача на обслуживание внешней компании целых бизнес-процессов, что, как правило, включает в себя собственно процесс, персонал и ИТ-инфраструктуру; г) модель ASP - аренда программных приложений - наиболее популярное и перспективное на сегодняшний день направление на мировом рынке ИТ. Каждая из названных стратегий дожна обеспечиваться финансированием, иметь финансовое обоснование эффективности ее использования на конкретном предприятии.
Создание собственной КИС как процесс длительный и сложный можно рассматривать в качестве инвестиционного ИТ-проекта, оценка эффективности которого в стоимостном выражении особенно сложна по следующим причинам: во-первых, сложно определить реальную стоимость проекта по внедрению КИС; во-вторых, велик разброс стоимости корпоративных систем и затрат на их внедрение; в-третьих, проект по внедрению КИС может занимать несколько лет, что приводит к трудностям в подсчете ежегодных затрат на внедрение; в-четвертых, заказчики и поставщики обычно не склонны раскрывать информацию о реальной стоимости проектов.
К третьей области относится финансовая оценка эффективности функционирования самого ИТ-отдела предприятия, качества его взаимодействия с бизнес-подразделениями, уровня их информационного обслуживания. Это взаимодействие осуществляется во многом за счет технологий управления ИТ-услугами, которое основано на концепции ITSM (IT Service Management -управление услугами ИТ). В основе этого подхода - рассмотрение ИТ-службы как сервисной организации, работающей по модели внутреннего аутсорсинга. При этом основная сложность состоит в финансовой оценке эффективности затрат на развитие и поддержку информационной системы и определении степени ее влияния на эффективность основного бизнеса.
Четвертая область взаимосвязи финансов с информатизацией включает комплекс проблем применения ИТ в финансовом менеджменте предприятий. В данной области можно выделить следующие базовые проблемы: 1) использование ИТ для оптимизации финансовой структуры компаний с целью
обеспечения центров ответственности мгновенным доступом к необходимой разрешенной информации, а структурных единиц - преимуществом быстрого реагирования и взаимообмена; 2) обеспечение качества информации с помощью качественной ИТ-системы, когда весь линформационный мусор автоматически удаляется, либо архивируется, а хранится лишь востребованная информация; конкретный отдел каждого центра размещает свою текущую и отчетную информацию на специально выделенное место сервера, доступное другим упономоченным пользователям; 3) применение соответствующих ИТ-продуктов для функций финансового управления. Эти проблемы также остаются предметом научного интереса исследователей, являясь сложными, требующими учета сформировавшейся системы внутренних связей, оргструктуры, особенностей бизнеса, масштабов деятельности и, конечно, финансовых возможностей для осуществления необходимых затрат.
Пятая область взаимосвязи финансов с информатизацией бизнеса находится на пересечении всех вышеназванных областей и представляет собой предмет данного научного исследования - финансовое управление информационными рисками предприятия. Полагаем, что именно категория информационных рисков объединяет все четыре области взаимодействия финансов и информатизации бизнеса, поскольку, во-первых, риски как вероятность потерь всегда оцениваются в денежном выражении и означают возможные убытки, во-вторых, управление рисками означает управление затратами на их оптимизацию, что, с точки зрения финансов, предполагает планирование затрат, финансирование затрат и оценку их эффективности, в-третьих, риски как вероятность убытков от потери, нарушения, взлома информации имеют универсальный характер, т.е. актуальны для всех четырех рассмотренных областей взаимосвязи финансов и информатизации бизнеса.
Информационный риск определен как вероятность убытков предприятия в результате применения информационных технологий, т.е. связанных с созданием, хранением, передачей, использованием информации с помощью средств связи. В работе предлагается использовать в научном и деловом обороте применительно к деятельности организаций понятие информационных рисков,
которое в определенной степени позволит, во-первых, исключить путаницу в терминологии, во-вторых, связать два важнейших и наиболее актуальных сегодня направления деятельности организаций в единое целое (финансовое управление бизнесом и информатизацию бизнеса), а, в-третьих, использовать для исследования этой категории созданные экономической и управленческой наукой и апробированные деловой практикой методы риск-менеджмента.
Введено понятие источников информационных рисков, потенциально возможных событий, действий, процессов или явлений, которые могут привести к нарушению конфиденциальности информации, ее утрате или неправомерному использованию, а значит реализации ИР. Составлена классификация источников ИР по нескольким критериям: по отношению к предприятию (внутренние и внешние); характеру нанесенного ущерба (источники, влекущие за собой моральный или материальный ущерб); вероятности появления; причинам возникновения.
Статистика показывает, что в среднем 17% всех источников формируется за пределами предприятия (внешние источники ИР), 1% - угрозы со стороны случайных лиц и 82% - внутренние источники рисков, т.е. от персонала организации. Наиболее опасными с точки зрения ущерба и самыми частыми считаются непреднамеренные ошибки штатных сотрудников (например, неверно введенные данные, ошибочное удаление информации, небрежность, безграмотность и др.). Именно такие ошибки создают уязвимые места в системе защиты информации. В среднем, непреднамеренные ошибки приносят 60-65% потерь, в то время как, например, на долю стихийных бедствий (ураганы, пожары, наводнения, перебой электропитания и др.) приходится около 13% всех потерь от источников ИР.
В диссертации представлена концепция системы управления информационными рисками организации (СУИР). Обоснована необходимость ее создания в организациях для обеспечения: информационной безопасности, т.е. защиты от кражи, утраты, несанкционированного доступа и т.д.; извлечения доходов от использования информационных активов (информационных ресурсов) организации; положительного влияния информационного капитала в
составе нематериальных активов на рост стоимости организации; достижения эффективности использования предприятием отдельных информационных продуктов или созданной КИС и на этой основе роста внутренних бизнес-процессов.
СУИР предприятия представляет собой комплекс взаимосвязанных элементов (цель, задачи, принципы, политика управления, объекта и субъекты управления, уровни, методы, официальные стандарты управления), функционирование которого имеет целью минимизацию информационных рисков, т.е. убытков.
Рассмотрение в рамках СУИР действующих классификаций методов управления ИР на уровне организации позволило предложить следующую их градацию: административные (разработка политики в области управления ИР, принятие документированных управленческих решений руководством предприятия и др.); процедурные (организационные) методы включают воздействия на персонал (разработка дожностных инструкций, обучение, требования к работникам), мероприятия по физической защите (охранно-пожарная система, защита территории, системы контроля и доступа), планирование и проведение восстановительных работ; программно-технические методы (защита оборудования, программ средств и информационных ресурсов, которая реализуется при помощи сервисов безопасности: идентификация и аутентификация; разграничение доступа; протоколирование и аудит; шифрование; эмалирование; обеспечение целостности; обеспечение доступности; обеспечение отказоустойчивости); финансово-экономические методы включают планирование, стоимостную оценку, бюджетирование, стоимостную оценку эффективности затрат, оптимизацию затрат, инвестиционный анализ ГГ-проектов, страхование.
Вторая группа проблем состоит в определение актуальных методов и инструментов финансового управления информационными рисками предприятия, применение которых базируется на проведении мероприятий по оценке и планированию информационных рисков.
Применение финансовых методов управления основывается на стоимостной оценке объекта управления, т.е. в нашем случае на стоимостной оценке информационных рисков. В этом и состоит основная сложность, поскольку такая оценка весьма затруднена из-за отсутствия материального напонения информации как носителя рисков.
Анализ опыта страхования ИР показал, что в соответствии с российским законодательством информационные ресурсы страхуются в рамках имущественного страхования. Очевидно, что правовой статус информационных объектов, так или иначе, определен, а вот проблема оценки их стоимости далеко не решена. При этом для такого объекта, как конфиденциальная информация, методики оценки стоимости фактически отсутствуют. Проблема усложняется также тем, что стоимость коммерческой информации субъективна. Она дожна определяться с учетом конкретных условий, характеристик потребляющих ее систем, особенностей источника и получателя информации. Общие подходы к оценке стоимости информации таковы: прямая выгода, которая может быть обеспечена в результате получения информации; прямые убытки, которые могут быть нанесены в результате утраты информации; минимальная стоимость затрат на восстановление информации.
Совершенно ясно, что здесь использованы вероятностные характеристики -ожидаемая (потенциальная) выгода и возможные (потенциальные) убытки. Кроме того, ценность информации является величиной, зависящей от времени -она может определяться степенью недостатка информации и возможной или желаемой скоростью ее получения.
При страховании только владелец информации (страхователь) может продекларировать ее стоимость (именно продекларировать, а не объективно определить). Агоритм же действий страховой компании дожен быть примерно тем же, что и при страховании жизни и здоровья - дожна быть выработана система оценки принятых мер по безопасности информации (луровень здоровья), установлена вероятность возникновения страхового случая, определены размеры страхового взноса. То есть речь идет об оценке информационных рисков.
В настоящее время отечественные страховые компании страхуют информационные риски, принимая на себя обязательства по возмещению убытков, связанных с утратой информационных ресурсов и электронных финансовых активов в результате следующих причин: сбоев информационных систем вследствие ошибок при их проектировании, разработке, создании, инсталяции, конфигурировании, обслуживании или эксплуатации; умышленных противоправных действий сотрудников компании; компьютерных атак против компании со стороны третьих лиц; действий компьютерных вирусов; хищений денежных средств и ценных бумаг с использованием компьютерных сетей. Информация страхуется по стоимости восстановления (нужно признать, что этот подход распространен во всем мире). Данный вид страхования ориентирован на компании, имеющие у себя значительные объемы финансовой, экономической и технической информации, сложные информационные системы или осуществляющие часть своей деятельности с использованием автоматизированных систем, систем электронных расчетов или Интернет.
Таким образом, главная проблема применения финансовых методов управления ИР состоит в определении денежных затрат и обосновании их экономической эффективности.
Исследование показало, что эффект от финансирования этих затрат бывает как положительным, так и отрицательным. Положительный эффект может быть получен в следующих формах: меньший по стоимости ущерб от инцидентов, чем в прошлом периоде; экономия по объему затрат на управление ИР в сравнении с бюджетом прошлого периода; экономия средств за счет высвобождения персонала при внедрении новых средств защиты; привлечение новых инвесторов, деловых партнеров, клиентов (рост продаж, капитала) за счет укрепления репутации компании как надежно защищенной в части информации.
Отрицательный эффект может быть получен в тех же формах, но со знаком минус. Это будут потери, затраты, ущерб.
Финансовые затраты на управление ИР, закупку необходимых элементов безопасности и эксплуатацию систем защиты для владельца информации можно
рассматривать как инвестиции в эту область, поскольку речь идет о материализованном экономическом ущербе. Финансируя эти затраты, предприятие старается уберечься от еще больших потерь, вызванных потерей информации. Эффективное экономическое решение сводится к расчету минимально необходимого (оптимального) объема затрат на ИР, который позволит свести к минимуму финансовые потери в случае несанкционированных действий.
Обобщение существующих методов, моделей, концепций обоснования и оценки затрат на управление ИР (метод прикладного информационного анализа (AIE - Applied Information Economics); метод потребительского индекса (CI -Customer Index); метод добавленной экономической стоимости (EVA -Economic Valu Added); метод управления портфелем активов (РМ - Portfolio Management); метод оценки реальных возможностей (ROV - Real Option Valuation); метод жизненного цикла (SLCA - System Life Cycle Analysis); метод совокупной стоимости владения (TCO - Total Cost of Ownership); функционально-стоимостной анализ (ABC - Activity Based Costing)) позволяет утверждать, что расчетная часть дожна включать вычисление либо показателя доходности (возвратности) инвестиций (ROI), либо показателя совокупной стоимости владения (ТСО). Выбор руководством компании средств защиты информации зависит, прежде всего, от объема затрат, т.е. от финансового фактора, а, точнее, от их грамотного обоснования. Оно может базироваться как на результатах анализа рисков, так и на данных статистики (трудоемкий для компаний, требующий времени и внимания процесс), собранной и обобщенной по имевшим место инцидентам.
В работе сформулирован вывод о том, что информационная безопасность превратится из полезной опции в конкурентное преимущество предприятий, существенный фактор роста их стоимости и инвестиционной привлекательности. Это значит, что среди перечня предприятий, предлагающих схожий набор услуг (скажем, банков), клиент будет выбирать то, которое, в том числе, обеспечит ему уверенность в защищенности его денежных средств или конфиденциальной информации. Так как сам клиент не всегда обладает
знаниями методов управления информационными рисками, ему придется доверять системам сертификации в этой области (например, по ISO 27001, PCI или SOX), а предприятия получат стимул к прохождению сертификации. Эта цепочка приведет к тому, что все большее количество предприятий будет заинтересовано в создании и развитии СУИР, в т.ч. в применении финансовых методов управления ИР.
Разработана методика оценки и планирования информационных рисков малого инновационного предприятия. Уровень риска потери информации рассчитывается как произведение полезности (ценности, стоимости) информационного ресурса на его уязвимость и вероятность реализации угрозы в отношении данного информационного ресурса:
Р = Ц х У3 х Вр, где (1)
Ц - бальная оценка полезности информационного ресурса; У3 - уязвимость информационного ресурса;
Вр- вероятность реализации угрозы в отношении конкретного информационного ресурса за определенный промежуток времени. Руководствуясь собственным опытом и существующей практикой, в нашем исследовании допустим следующие три возможных уровня бальной оценки данного параметра: Вр = 1 -низкая вероятность; Вр = 2 - средняя вероятность и Вр = 3 - высокая вероятность реализации угрозы.
Обследование информационных ресурсов предприятия проводится по следующим направлениям: выявление перечня наиболее ценных ресурсов с указанием уровня их конфиденциальности, целостности и доступности (проводится инвентаризация и категорирование информационных ресурсов); формируется перечень угроз информационным ресурсам; составляются модели нарушителей и механизмы реализации угроз; определяются контрмеры по предотвращению угроз или снижению рисков их реализации; количественная оценка информационных рисков и прогнозирование возможных финансовых потерь предприятия.
С учетом разнообразия хранимых и обрабатываемых на предприятии информационных ресурсов, их различной ценности для предприятия и
вероятных злоумышленников введем три категории ценности (полезности, стоимости) информационных ресурсов, характеризующих уровни их конфиденциальности, целостности и доступности:
Ц = 1 - категория информационных ресурсов с не очень важной информацией, которая не требует введения каких-либо ограничений на распространение и использование, однако даже потеря одного из свойств информации может нанести незначительный ущерб предприятию;
Ц = 2 - категория весьма важной информации, потеря каждого из свойств которой приводит к нанесению значительного ущерба предприятию;
Ц = 3 - к этой категории относится самая важная информация, нарушение целостности и конфиденциальности которой нанесет предприятию максимальный (не всегда воспонимый) ущерб.
Разрешим параметру Ц принимать в интервале от О до л3 значения О и кратные 0,5 величины, т.е. 0,5 - 1,0 - 1,5 - 2,0 - 2,5 - 3,0.
Используя эти бальные оценки ценности информационных ресурсов, составим перечень наиболее значимой для типового инновационного1 предприятия информации: 1) научно-техническая информация - Ц1 = 2,0; 2) базы данных о клиентах и поставщиках предприятия - Ц> = 2,5; 3) информация о перспективных разработках и бизнес-планах - Цз = 3,0; 4) данные финансового учета и управленческой отчетности - Цд = 2,0; 5) кадровый, бухгатерский и технический архивы предприятия - Ц5 = 2,5; 6) данные налогового и бухгатерского учетов - Ц6 = 2,0; 7) реестры контрактов и договоров - Ц7 = 2,5; 8) счета-фактуры, накладные, платежные поручения и прочие расчетно-платежные документы - Цв = 1,5; 9) журналы учета входящей и исходящей корреспонденции - Ц9 = 2,0; 10) результаты маркетинговых исследований - Цю = 2,5; И) листки по учету кадров с персональными данными - Цп = 1,0; 12) информация об основных средствах и нематериальных активах - Ц12 = 1,5; 13) ЭЦП, электронные ключи, пароли. - Ц] = 2,5.
1 Для предприятия характерен полный цикл от идеи до создания (производства) и реализации продукции с проведением научно-исследовательских и опытно-конструкторских работ
Следующий этап оценки рисков состоит в выборе системы защиты информационных ресурсов предприятия, для чего составляется модель возможных нарушителей с учетом заинтересованных персоналий, их мотивацией, квалификацией. Нарушитель - это лицо, которое может выпонить запрещенное действие с информационными ресурсами по ошибке, без злого умысла или осознанно для достижения корыстных целей или ради забавы, мести, удовлетворения своих амбиций, используя для этого всевозможные методы и средства. Проведенный анализ характеристик нарушителей позволяет выбрать из всех рассмотренных следующих возможных участников нарушений информационной безопасности предприятия, способных причинить его информационным ресурсам наибольший вред: А - сотрудники; В - бывшие сотрудники; С - конкуренты; Д - хакеры; Е - преступники. Моделью нарушителя назовем инициатора нарушения в сочетании с его испонителем. Так, модель нарушителя с условным обозначением С-А показывает, что несанкционированные действия осуществляются работающим сотрудником предприятия по заказу конкурентов.
В работе выявлены и изучены наиболее распространенные в настоящее время основные источники информационных рисков - угроз информационным ресурсам предприятия, отмечаемые многими ведущими отечественными специалистами в области информационной безопасности (УГ[ - инфицирование компьютеров вирусами; УГ2 - заражение компьютерных и телефонных цифровых сетей вредоносными программами1 для скрытого несанкционированного доступа к информационным ресурсам; УГэ - ошибочный ввод информации; УГ4 - несанкционированное изменение информации; УГ5 -повреждение (порча, разрушение) фрагментов информационной системы; УГ6 -уничтожение информационных ресурсов; УГ7 - потеря переносных носителей информации (флэш-память и пр.) с конфиденциальными данными; УГ8 -похищение (1фажа) носителей информации; УГ9 - несанкционированное чтение, копирование информации).
1 программные закладки, троянские кони и т.п.
Итак, анализ угроз информационным ресурсам предприятия показывает, что риски с достаточно низкими оценками от 3-х до 9-ти балов зафиксированы тогда, когда инициатором (виновником) нарушений выступали действующие сотрудники предприятия. Как правило, это ошибочные и неосознанные действия сотрудников связаны с отсутствием навыка работы с конфиденциальной информацией, отсутствием на предприятиях внятной политики, регламентов и процедур по управлению информационными рисками.
Если в роли нарушителей выступают конкуренты, то риски имеют величины не ниже 10-ти балов, но в ряде случаев, принимают максимальные значения, когда за стратегической информацией охотятся конкуренты в альянсах с сотрудниками или преступными группировками. Как правило, это нелояльные руководству сотрудники, которые представляют наибольшую опасность, впоследствии увольняются, трудоустраиваются к конкурентам и в новом качестве продожают быть источником потенциальных угроз бизнесу. Средние же значения таких рисков пребывают в диапазоне 15 - 22,5 бала и их непременно необходимо понижать.
Систематизируем полученные информационные риски в контексте ожидаемых реальных финансовых потерь по степени их важности. На этапе работы по управлению рисками предлагаются следующие сценарии: принять риск - согласиться с возможными потерями, это относится к низким рискам (до 9 балов); снизить риск, т.е. провести мероприятия по его уменьшению, что относится к средним рискам (до 15-18 балов); передать риск, например, страховой компании, которая, если надо, компенсирует ущерб, либо трансформировать в другой, меньший риск путем использования специальных механизмов; отказаться от риска, т.е. ликвидировать источник риска.
Оценки автора показали, что эффективность мероприятий по повышению информационной безопасности обследуемого предприятия можно характеризовать как высокую, если уровень остаточных рисков будет понижен вдвое по сравнению с исходными значениями. В нашем расчетном случае остаточные риски не дожны превышать 12,5 балов.
Мероприятия по обследованию, анализу информационных ресурсов предприятия, оценке уровня информационных рисков были обобщены в диссертации и нашли отражение в разработанном методическом комплексе финансового управления информационными рисками предприятия (табл. 1).
Таблица 1
Методический комплекс финансового управления информационными
рисками
Разделы Этапы методической работы
1-Й раздел. Оценка ИР (Проводится специалистами по ИТ) 1. Инвентаризация ИР предприятия и их категорирование 2. Оценка стоимости ИР предприятия 3. Составление вероятных моделей возможных нарушителей 4. Оценка уязвимости ИР 5. Идентификация угроз ИР 6. Оценка ожидаемых потерь, т.е. уровень ИР
2-й раздел. Бюджетирование затрат (Проводится финансовым отделом совместно со специалистами по ИТ) 1. Разработка плана мероприятий по снижению рисков, т.е. выбор контрмер по оптимизации затрат на управление ИР 2. Выбор комплекса мероприятий по снижении ИР для каждой модели нарушителя 3. Планирование остаточных ИР как оптимальной исходной базы для бюджетирования затрат 4. Составление бюджета предприятия на УИР с включением объемов финансирования в соответствии с перечнем плана мероприятий
3-й раздел. Оценка экономической эффективности затрат (Проводится финансовым 1. Выбор метода оценки, адекватного условиям конкретного бизнеса и особенностям информационных ресурсов предприятия 2. Расчет величины возможного ущерба при использовании одного из возможных методов -
отделом) статистического, экспертного или расчетно-
аналитического методов
3. Расчет экономической эффективности затрат
на управление ИР с использованием
предложенного агоритма, включающего шесть
этапов работ.
Третья группа проблем заключается в методической разработке по составлению бюджета затрат на управление информационными рисками малого предприятия и расчету их экономической эффективности.
Из множества контрмер по защите от информационных рисков выбраны те действия, реализация которых позволит обеспечить оптимальный уровень затрат для поддержания достаточной защищенности информационных ресурсов. Каждой из выбранных контрмер характерны следующие уровни защиты информационных ресурсов: низкий - средний - высокий, которые могут быть реализованы путем соответствующего финансирования планируемых контрмер по следующим вариантам: дешевым а - бюджетным Р и дорогим %. Например, в вопросе подбора кадров низкий уровень защиты обеспечивается применением со стороны работодателя а-варианга финансирования в виде испытательного срока.
Бюджетный )3-вариант финансирования со средним уровнем защиты достигается путём обучения работника кадровой службы специальным навыкам физиономического контроля, которые снижают риск приема на работу случайных людей. Наконец, высокий уровень защита гарантирован в наибольшей степени, если испытательный срок и постоянная переподготовка кадров сочетаются с наймом потенциального работника, подобранного и рекомендованного кадровым агентством. Естественно, третий ^-вариант найма сотрудника для предприятия является самым дорогостоящим. Дорогой вариант финансирования обязательно дожен включать затраты на все мероприятия бюджетного и дешевого вариантов.
Результаты анализа показывает, что наибольшее количество контрмер относится к инженерно-техническому обеспечению информационной безопасности, заметно меньше количество организационных мероприятий и еще меньше правовых. Однако это не значит, что важность последних незначительна. Напротив, первоочередным направлением расходования финансовых ресурсов является финансирование разработки Положения по информационной безопасности, а также мероприятий по работе с кадрами. Без достаточной формализации управленческих подходов, организованности и подготовленности персонала в вопросах безопасности не имеют большого смысла существенные денежные вливания в инженерно-техническое обеспечение.
В диссертации разработан реальный план мероприятий по снижению угроз информационным ресурсам, финансирование которого позволит предприятию понизить остаточные риски.
Планирование остаточных рисков предпринято в диссертации для формализации потенциального экономического эффекта от внедрения намеченного плана. В работе высказано предположение о том, что вероятный ущерб Ущ от реализации всевозможных угроз пропорционален отношению суммарных остаточных и исходных рисков, т.е. функционально зависит от соотношения остаточных и начальных рисков.
Весь комплекс проведенных обследований, расчетов, оценок информационных ресурсов и рисков предприятия позволил составить бюджет затрат на управление ПР. Для определения структуры бюджета УИР возможны два способа. В первом случае разбивку по статьям бюджета можно осуществить на основании статистических данных, бенчмарков. Во втором варианте расчет затрат можно вести путем прямого калькулирования затрат на реализацию плановых мероприятий с последующим суммированием их по статьям. Рекомендуется использовать комбинированный способ, который предполагает на первом этапе бюджетного проектирования использование бенчмарков для постатейной разбивки бюджета, а, затем, в рамках намеченных на каждую статью сумм распределить средства на выпонение всех плановых мероприятий.
На данном этапе все участники бюджетного процесса руководствуются специальными знаниями рынка программно-аппаратного обеспечения, рынка услуг агентств по найму персонала. На практике этот этап дожен осуществляться бюджетным комитетом, в который дожны входить представители всех структурных подразделений компании во главе с финансовым отделом.
Заключительным этапом разработанного в диссертации методического комплекса является расчет экономической эффективности запланированных затрат на снижение информационных рисков. Исходя из того, что все приемлемые меры безопасности нужны для уменьшения среднестатистических убытков от свершившихся угроз ИР до разумной величины, предлагается экономический эффект от реализации мероприятий по снижению информационных рисков (в годовом исчислении) определять по формуле:
где: БУИР - это бюджет затрат на управление информационными рисками;
ЭИР - снижение экономического ущерба, которое возможно за счет уменьшения суммарных остаточных информационных рисков:
где: Рот и Рнсх - суммарные остаточные и начальные информационные риски (>-количество рассматриваемых рисков);
Ущ - ущерб от реализации угроз, тыс. руб.
По-существу величина ЭИР - это экономя, достигнутая в результате внедрения мероприятий по УИР. Ее также можно интерпретировать как доход от деятельности по управлению информационными рисками.
Проведенное исследование позволило разработать методический комплекс бюджетирования затрат на управление информационными рисками. Агоритм
ЭЭ = ЭИР-БУИР, (2)
ЭИР =Ущх( 1 -
расчета экономической эффективности и формирования бюджета затрат на УИР предполагает последовательную реализацию шести шагов.
Если принять верным тезис сэкономил - заработал, то при положительном экономическом эффекте можно говорить о прибыльности деятельности по управлению ИР. При этом главный результат заключается в сокращении потерь и содействии бесперебойному функционированию основного бизнеса предприятия посредством финансового управления.
В заключении сформулированны разультаты исследования.
По теме диссертации опубликованы следующие работы:
1. Ольхович Е.А. Финансовые методы управления информационными рисками предприятия//Вестник РЭА, 2008, № 1 - 0,4 п.л. (издание рекомендовано ВАК).
2. Ольхович ЕЛ. Система управления информационными рисками кредитно-финансовых институтов//Банковские услуги, 2007, № 10 - 0,5 п.л. (издание рекомендовано ВАК).
3. Ольхович Е.А. О применении информационных технологий в управлении финансами предприятий // Финансы. Деньги. Инвестиции., 2007, № 4-0,5 п.л.
4. Ольхович Е.А. Взаимосвязь финансов и информатизации предприятий//Экономика и технология, 2008, № 1 -1,0 п.л.
5. Ольхович Е.А. Информатизация финансового управления бизнесом как фактор трансформации функции финансов//Сборник научных трудов МИЭМиП, 2007. - 0,5 п.л.
6. Ольхович Е.А. Методический комплекс бюджетирования затрат на управление информационными рисками предприятия//Сборник тезисов XXI Международной конференции Плехановские чтения, 2008. - 0,1.
7. Ольхович ЕЛ. Аутсорсинг управления информационными рисками предприятий//Сборник статей Международной научно-практической конференции Новая российская экономика: движущие силы и факторы, 2007. - 0,2 пл.
Отпечатано в типографии Российской экономической академии им. Г. В. Плеханова Заказ № 107 Тираж 100 экз.
Диссертация: содержание автор диссертационного исследования: кандидат экономических наук , Ольхович, Евгений Александрович
ВВЕДЕНИЕ, содержание
ГЛАВА 1. МЕТОДОЛОГИЯ ФОРМИРОВАНИЯ ПРЕДМЕТНОЙ ОБЛАСТИ
ИССЛЕДОВАНИЯ.
1.1. Взаимосвязь научных проблем интегрированной области финансов и информатизации предприятий.
1.2. Классификация источников информационных рисков предприятия.
1.3. Система управления информационными рисками предприятия.
ГЛАВА 2. МЕТОДИЧЕСКИЙ КОМПЛЕКС ФИНАНСОВОГО УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ ПРЕДПРИЯТИЯ.
2.1. Научно-практические подходы к использованию финансовых методов управления информационными рисками предприятия.
2.2. Методика оценки и планирования информационных рисков предприятия.
ГЛАВА 3. БЮДЖЕТИРОВАНИЕ ЗАТРАТ НА УПРАВЛЕНИЕ
ИНФОРМАЦИОННЫМИ РИСКАМИ ПРЕДПРИЯТИЯ.
3.1. Формирование плана мероприятий по снижению информационных рисков как основы бюджета затрат на управление информационными рисками.
3.2. Бюджетирование затрат на управление информационными рисками и оценка их эффективности.
Диссертация: введение по экономике, на тему "Финансовые методы управления информационными рисками предприятия"
Актуальность темы диссертационного исследования определяется необходимостью использования финансовых методов управления информационными рисками предприятия, базирующихся на научном подходе, анализе практического опыта российских и зарубежных предприятий, российских и международных стандартах в области защиты информации. В последние годы прогресс в сфере информационных технологий, превращение информации в производственный ресурс, колоссальный рост объемов информации обусловили формирование новой отрасли бизнеса - создание продуктов и оказание услуг по защите информации. Потребителями этих услуг потенциально являются юридические (частные и государственные) и физические лица, для которых, во-первых, информационные ресурсы являются весомой и дорогостоящей частью активов, а, во-вторых, значительные финансовые затраты впоне возможны и позволительны. При этом предприятия малого и среднего бизнеса не относятся к активным потребителям этого рынка, хотя впоне осознают и ощущают такую необходимость. Вместе с тем и они обязаны защищать свою информацию, поскольку в ином случае успешное ведение бизнеса просто не возможно.
За 2006 г. крупнейшие компании России, производящие информационные продукты для защиты бизнес-информации выросли на 64,3% по сравнению с 2005-м, который считася до того рекордным (его показатель роста составил 38,4%). Таким образом, первая тридцатка игроков на рынке ИБ растет в два раза быстрее, чем первая сотня ИТ-компаний страны.
Важность темы исследования определяется также беспрецедентным ростом нарушений информационной безопасности в мире и усиливающейся тяжестью их последствий. Общее число нарушений ежегодно увеличивается более, чем на 100%. В России, по статистике правоохранительных органов, число выявленных преступлений в сфере компьютерной информации возрастает за год в среднем в 3-4 раза. Статистика свидетельствует также, что если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60-ти случаях из 100 банкротится.1 Известно также, что 93% компаний, лишившихся
1 Баутов А. Эффективность защиты информации/Юткрытые системы, 2003, № 7-8. доступа к собственной информации на срок более 10 дней, покинули бизнес, причем половина из них заявила о своей несостоятельности немедленно.2
По результатам проведенного исследования Внутренние ИТ-угрозы в России в 2006 г., в среднем каждая вторая отечественная организация допустила в 2006 г. минимум одну утечку информации, что в среднем принесло ущерб около 3 мн. дол. Исследование "National Survey on Managing the Insider Threats" опыта 500 компаний позволило подсчитать средний ущерб от одной утечки, составивший почти 3,4 мн. дол.3
Среди действующих методов управления информационными рисками, апробироваиных отечественными предприятиями, отсутствуют научно обоснованные, эффективные финансовые методы, которые позволяют не только сформировать стоимостные показатели оценки и эффективности затрат на мероприятия по защите информации, но планировать эти затраты.
Таким образом, актуальность избранной темы подтверждается необходимостью не только поиска финансовых способов защиты всей информации на предприятии, но и формирования целостной эффективной системы управления информационными рисками. Важность данных аспектов будет по-прежнему нарастать, и финансовые механизмы управления деятельностью предприятий по защите информации призваны сыграть в решении данной проблемы существенную роль.
Таким образом, постановка и научное обоснование проблемы информационных рисков предприятия, разработка рекомендаций по применению финансовых методов управления этими рисками представляются важными направлениями экономической науки, имеющими очевидную практическую ценность.
Объектом исследования является система управления информационными рисками предприятия (СУИР), в которой существенное место отводится финансовым методам.
Предметом исследования выступают методы финансового управления, позволяющие определить затраты на управление информационными рисками предприятия с целью минимизации убытков от потери информации.
2 Ездаков А., Макарова О. Как защитить информацию//Сети, 1997, № 8.
3 Ponemon Institute, 2006.
Целью диссертационного исследования является разработка теоретических концептуальных положений и методологических подходов к использованию финансовых методов управления информационными рисками предприятий. Для достижения указанной цели в работе были поставлены и решались следующие задачи:
- провести научный анализ теоретических концепций в области применения финансовых методов управления информацией предприятия;
- выявить и научно обосновать взаимосвязи финансов и информатизации предприятий;
- определить понятие информационного риска предприятия и разработать классификацию источников информационных рисков;
- разработать концептуальную модель системы управления информационными рисками предприятия, включающую комплекс элементов;
- критически рассмотреть финансовые методы управления информационными рисками;
- разработать методику оценки информационных рисков предприятия;
- разработать для предприятия план мероприятий по снижению информационных рисков, направленный на оптимизацию затрат на управление информационными рисками; составить рекомендации по бюджетированию затрат на управление информационными рисками; предложить методические подходы для расчета экономической эффективности затрат на управление информационными рисками с использованием предложенного агоритма.
Теоретической основой исследования явились труды зарубежных и отечественных ученых в области экономической теории, корпоративных финансов, финансового менеджмента, риск-менеджмента, управления предприятием, экономико-математических методов, теории экономической безопасности, концепций информационной безопасности, теории инвестиций, а также информатизации управленческих и экономических процессов.
При обосновании и разработке положений диссертации использовались результаты анализа взаимодействия финансовых и информационных служб отечественных предприятий и зарубежных компаний, исследовались механизмы повышения эффективности затрат на управление информацией и информационными рисками, применялись системный подход, методы статистического и системно-структурного анализа. При подготовке диссертации использованы результаты аналитических научных исследований и обзоров, опубликованных в периодической печати, законодательные и нормативные документы Российской Федерации, а также международные стандарты в области защиты информации.
Методологическую основу диссертации составили методы финансового менеджмента, экономико-математические методы и модели, логические и графические методы, системный анализ, классификация, сравнение, группировка, а также принципы диалектической логики, позволяющие рассматривать все явления и процессы в развитии и взаимосвязи.
Эмпирическую основу исследования составили: законодательные акты Российской Федерации, отечественные и международные стандарты по защите информации, рекомендательные материалы, методические указания Банка России, Ассоциации менеджеров России, Российского союза промышленников и предпринимателей, международных негосударственных организаций по обеспечению информационной безопасности предприятий и граждан, управлению информационными рисками, организации бюджетирования; статистические и аналитические материалы Министерства финансов РФ, Федеральной службы государственной статистики; публикации в профессиональных экономических российских и зарубежных изданиях периодической печати.
Научная новизна проведенного исследования состоит в следующем: - представлена концепция взаимосвязи финансов и информатизации бизнеса, включающая пять концептуальных научно-практических областей, каждая из которых содержит теоретические концепции, методологию, инструментарий, индикаторы эффективности процессов;
- обоснована необходимость разработки и применения финансовых методов управления информационными рисками предприятия, исходя из того, что информация есть актив предприятия, часть имущества, нуждающаяся в финансовом управлении;
- предложена концепция управления информационными рисками предприятия, включающая понятие риска, классификацию его источников, рисков, цель, задачи, принципы, уровни, субъекты, объекты, политику, методы управления; разработан методический комплекс финансового управления информационными рисками предприятия, включающий методики и методические подходы к определению, оценке, планированию и бюджетированию затрат предприятия на управление информационными рисками;
- предложен агоритм расчёта экономической эффективности и формирования бюджета затрат на управление информационными ресурсами предприятия.
Практическая значимость результатов исследования состоит в разработке: методического комплекса бюджетирования затрат на управление информационными рисками с применением комбинированного способа разбивки затрат по статьям бюджета, включающего статистические данные, бенчмарки, а также прямое калькулирование затрат на реализацию плановых мероприятий с последующим суммированием их по статьям;
- агоритма расчета экономической эффективности и формирования бюджета затрат на управление информационными рисками;
- методики оценки и планирования информационных рисков предприятия, включающей выявление состава информационных ресурсов, функционирующих в автоматизированной системе предприятия, определение их ценности, уязвимостей, оценку возможных потерь; рекомендации для предприятий по финансовому управлению информационными рисками, принятию решения в части использования собственных или привлеченных способов защиты информации.
Апробация результатов работы.
Экспериментальная проверка научных положений и методических разработок проведена в ЗАО "БАНК Кредит Свисс (Москва)" и па предприятии ООО "Эколайн". Основные положения и выводы диссертационной работы послужили основой лекционных и семинарских занятий на финансовом факультете и в магистратуре Российской экономической академии им. Г.В. Плеханова. Результаты диссертационного исследования были доложены автором на ХХ1-х Международных Плехановских чтениях (РЭА им. Г.В. Плеханова, 2008 г.), Международной научно-практической конференции молодых ученых и аспирантов Новая российская экономика: движущие силы и факторы в Ярославском госуниверситете в 2007 г.
Публикации. Основные положения диссертации отражены в 7 опубликованных работах общим объемом 3,2 п.л. (в т.ч. две статьи в журналах, рекомендованных ВАК).
Логика и структура исследования. Логика исследования определяет структуру работы, состоящей из введения, трех глав, заключения, списка использованной литературы и приложений. Диссертация, включая 8 приложений, изложена на 138 страницах машинописного текста, содержит 13 таблиц и 15 рисунков. Список использованной литературы включает 131 наименование.
Диссертация: заключение по теме "Финансы, денежное обращение и кредит", Ольхович, Евгений Александрович
ЗАКЛЮЧЕНИЕ
Проведенное исследование позволило сформулировать следующие выводы и предложения.
1. Автором идентифицировано пять областей взаимосвязи финансов с информационными технологиями (ИТ), каждая из которых включает собственные теоретические концепции, методологию, инструментарий, индикаторы эффективности процессов и т.д. Первая область - взаимосвязи по линии защиты финансовой информации, вторая область - взаимосвязи в части превращения информационных активов предприятий в фактор роста стоимости бизнеса; третья область - комплекс проблем финансовой оценки эффективности использования предприятием отдельных информационных технологий (ИТ-продуктов) или корпоративных систем (КИС); четвертая область - комплекс проблем применения 1Т-техпологий в финансовом менеджменте; пятая область Ч в части финансового управления информационными рисками.
2. Предложено использовать в научном и деловом обороте применительно к деятельности предприятий и организаций понятие информационных рисков, которое в определенной степени позволит, во-первых, исключить путаницу в терминологии, во-вторых, связать два важнейших и наиболее актуальных сегодня направления деятельности предприятий в единое целое (информатизация бизнеса и финансовое управление бизнесом), а, в-третьнх, использовать для исследования этой категории созданные экономической и управленческой наукой и апробированные деловой практикой методы риск-менеджмента.
3. Составлена классификация источников информационных рисков ( потенциально возможные событий, действий, процессов или явлений, которые могут привести к нарушению конфиденциальности информации, ее утрате или неправомерному использованию) по нескольким критериям: - по отношению к предприятию (виуфенние и внешние); - по характеру нанесенного ущерба (источники, влекущие за собой моральный или материальный ущерб); - по вероятности появления; - по причинам возникновения.
4. Обоснована необходимость создания на предприятиях эффективной системы управления информационными рисками (СУИР), обусловленная следующими причинами: обеспечением информационной безопасности, т.е. защиты от кражи, утраты, несанкционированного доступа и т.д.; возможностью извлечения доходов от использования информационных активов (информационных ресурсов) предприятия; положительным влиянием информационного капитала в составе нематериальных активов на рост стоимости предприятия; достижением эффективности использования предприятием отдельных информационных продуктов или созданной КИС и на этой основе роста внутренних бизнес-процессов.
5. СУИР предприятия представляет собой комплекс взаимосвязанных элементов, функционирование которого имеет целью минимизацию информационных рисков, т.е. убытков и ущерба. К элементам СУИР относятся цель, задачи управления ИР, принципы построения СУИР, методы управления ИР, объекты, субъекты и уровни (внешний государственный или международный уровень, бизнес-уровень самого предприятия, уровень бизнес-подразделений (функциональных единиц, использующих информационные технологии), а также уровень сотрудников) управления, политика информационной безопасности предприятия, международные и национальные стандарты регулирования.
6. Систематизированы методы управления ИР на разных уровнях управления, в т.ч. на предприятии, к которым относятся административные, процедурные (организационные), программно-технические методы, финансово-экономические (планирование, стоимостную оценку, бюджетирование, стоимостную оценку эффективности затрат, оптимизацию затрат, инвестиционный анализ 1Т-проектов, страхование), существуют различные типы классификации методов управления ИР предприятия. Так, например, их подразделяют на правовые (внутренние и внешние), организационные, инженерно-технические и финансово-экономические.
7. Определены финансовые методы управления информационными рисками, включающие оценку рисков, расчет вероятных денежных убытков от их реализации, бюджетирование затрат на управление рисками, страхование рисков и др.
8. Анализ подходов к страхованию как одному из финансовых методов управления ИР позволил заключить, что проблема оценки стоимости информационных ресурсов и методики оценки фактически отсутствуют.
Стоимость информации дожна определяться с учетом конкретных условий, характеристик потребляющих ее систем, особенностей источника и получателя информации. Общие подходы к оценке стоимости информации таковы: прямая выгода, которая может быть обеспечена в результате получения информации; прямые убытки, которые могут быть нанесены в результате утраты информации; минимальная стоимость затрат на восстановление информации.
9. Определено содержание понятия лэффекта от управления ИР, что означает результат, который получит компания, создав и поддерживая СУ ИР. Эффект бывает как положительным, так и отрицательным. Положительный эффект может быть получен в следующих формах: меньший по стоимости ущерб от инцидентов, чем в прошлом периоде; экономия по объему затрат на управление ИР в сравнении с бюджетом прошлого периода; экономия средств за счет высвобождения персонала при внедрении новых средств защиты; привлечение новых инвесторов, деловых партнеров, клиентов (рост продаж, капитала) за счет укрепления репутации компании как надежно защищенной в части информации. Отрицательный эффект может быть получен в тех же формах, но со знаком минус. Это будут потери, затраты, ущерб. Т.о. затраты на разработку проектов защиты информации, закупку необходимых элементов безопасности и эксплуатацию систем защиты для владельца информации есть ни что иное, как материализованный экономический ущерб.
10. Разработана методика оценки и планирования информационных рисков предприятия, предназначенная для исследования состава информационных ресурсов, функционирующих в автоматизированной системе предприятия, определения их ценности, уязвнмостей, оценки ожидаемых потерь. Методика является основой для формирования комплекса мер по противодействию возможным угрозам.
11. Составлен план мероприятий, финансирование которого позволит понизить остаточные информационные риск предприятия с целью обеспечения возможности формализации потенциального экономического эффекта.
12. Проведенное обследование информационных ресурсов малого инновационного предприятия позволило идентифицировать перечень вероятных источников рисков (угроз), составить модели нарушителей и провести оценку остаточных информационных рисков.
13. Разработан и предложен для использования методический комплекс финансового управления информационными рисками предприятия.
15. Для бюджетирования затрат предприятия на управление ИР и определения структуры бюджета УИР предложены два способа. В первом случае разбивку по статьям бюджета можно осуществить на основании статистических данных, бенчмарков. Во втором варианте расчет затрат можно вести путем прямого калькулирования затрат на реализацию плановых мероприятий (табл. 6) с последующим суммированием их по статьям. В работе рекомендуется использовать комбинированный способ, который предполагает на первом этапе бюджетного проектирования использование бенчмарков для постатейной разбивки бюджета.
16. Составлен бюджет затрат па управление информационными рисками предприятия.
17. Разработана методика определения целесообразности и расчета экономической эффективности расходов на управление ИР. Предложны формулы для расчета эффективности затрат.
18. Сравнение существующих методов оценки затрат на управление ИР показало, что в большинстве случаев их применение довольно трудоемко. В условиях значительной неопределенности формализации угроз и потенциального ущерба на фоне вероятностного планирования рисков реализации этих угроз высокая точность, которую обеспечивают указанные методы, оказывается излишней. Особенно для предприятий малого и среднего бизнеса.
19. В ходе расчетов выявлено, что наибольшую сложность представляет правильный расчет величины ущерба Угц от установленной в результате обследования предприятия совокупности угроз. Рассмотрение методов расчета величины возможного ущерба (статистического, экспертных оценок, расчетио-аналитпческого) показало, что для исследуемого малого предприятия в большей степени подходит статистический метод.
20. Разработан и предложен агоритм бюджетирования затрат на управление ИР и определения их экономического эффекта, который включает последовательную реализацию следующих шести шагов:
Шаг 1. Определение затрат на УИР с применением косвенного калькулирования
Шаг 2. Расчёт исходных рисков Шаг 3. Определение исходного ущерба Шаг 4. Расчёт остаточных рисков
Шаг 5. Прямое калькулирование затрат по статьям бюджета Шаг 6. Расчёт экономического эффекта и принятие бюджета
Диссертация: библиография по экономике, кандидат экономических наук , Ольхович, Евгений Александрович, Москва
1. Нормативные документы
2. Конституция Российской Федерации (принята 2 декабря 1993 г.)
3. Гражданский кодекс Российской Федерации с изменениями и допонениями на 1 января 2007 года.
4. Закон РФ Об информации, информационных технологиях и защите информации № 149-ФЗ от 27.07.2006 г.
5. Закон РФ О коммерческой тайне №98-ФЗ от 29.07.2004 г. в ред. от 18.12.2006 г.
6. Закон РФ О персональных данных № 152-ФЗ от 27.07.2007 г.
7. Доктрина информационной безопасности РФ. Утверждена Президентом РФ 9.09.2000 г. №Пр-1895.
8. Постановление Правительства РФ О лицензировании деятельности по технической защите конфиденциальной информации №504 от 15.08.2006 г.
9. ГОСТ Р 51624-2000 Автоматизированные системы в защищенном испонении.
10. ISO 18028 IT Network Security (ИТ сетевая безопасность),
11. ISO 17944 Framework for security in financial systems (Основа безопасности в финансовом секторе).
12. ISO 17799 Code of practice for information security management (Свод правил для управления информационной безопасностью)
13. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.
14. ИСО/МЭК 15408-99 Критерии оценки безопасности информационных технологий.
15. Монографии, учебно-методическая литература
16. Алексеева И.Ю., Авчаров И.В., Вотрин Д.С. , Стрельцов A.A. и др. Информационные вызовы национальной и международной безопасности./Под общей ред. .B. Федорова и В.Н. Цыгичко. М., ПИР-Центр, 2001.
17. Анализ типовых нарушений безопасности в сетях / Норткан С., Купер М., Фирноу М. и др.; Пер. с англ. под ред. A.A. Чекаткова. М.: Вильяме, 2001.
18. Аникин Б.А. Аутсорсинг: создание высокоэффективных и конкурентоспособных организаций., М., 2003
19. Анин Б.Ю. Защита компьютерной информации. СПб.: BHV-Саикт-Петербург, 2000.
20. Аскеров Т.М. Защита информации и информационная безопасность. Учеб. пособие. Под ред. К.И. Курбакова. М.: Рос.экоп.акад., 2001.
21. Бабаш A.B. Криптография: Учеб. пособие. / Бабаш A.B., Шанкин Т.П. М.: СОЛОН-Р, 2002.
22. Байбурин В.Б., Бровкова М.Б., Пластун р1.Л. и др. Введение в защиту информации. Учеб. пособие. М.: ФОРУМ-ИНФРА-М, 2004.
23. Баутов А.Н. Программно-методическое обеспечение Расчет рисков и вычисление оптимальных затрат на систему защиты информации от несанкционированных действий и сохранение конфиденциальности информационных ресурсов. М., 2001.
24. БаяндинН.И. Технологии безопасности бизнеса. М.: Юристъ, 2002.
25. Беззубцев O.A. Лицензирование и сертификация в области защиты информации: Учеб. пособие / Беззубцев O.A., Ковалев А.Н. М., 1996.
26. Бланк И.А. Управление спользованием капитала / И.А. Бланк К.: Ника-Центр, 2000. -656 с. - (Серия Библиотека финансового менеджера; вып. 5).
27. Бочаров В.В. Финансово-кредитные методы регулирования рынка инвестиций. М., 1993.
28. Бригхем Ю. Финансовый менеджмент: полный курс: в 2-х т.: Пер. с англ. / Ю. Бригхем, Л. Гапенски; Под ред. В.В. Ковалева. СПб.: Экономическая школа, 2000.-т. 2. 669 с.
29. Бурцев В.В. Аналитические функции бюджетирования / В.В. Бурцев // Дайджест-Финансы. №1. -2004. -С.2-6.
30. Буянов В.П., Кирсанов К.А., Михайлов Л.А. Управление рисками (рискология). М.: Экзамен, 2002.
31. Вадайцев C.B. Оценка бизнеса и управление стоимостью предприятия : Учеб. Пособие для вузов. М.: ЮНИТИ-ДАНА, 2001.
32. Варфоломеев В.И. Агоритмическое моделирование элементов экономических систем : Практикум. Учеб. пособие / В.И. Варфоломеев М.: Финансы и статистика, 2000. -2000. - 208 с.
33. Владимирова Л.П. Прогнозирование и планирование в условиях рынка: Учеб. пособие / Л.П. Владимирова. М.: ИД Дашков и КО, 2000. - 308 с.
34. Волоткин A.B., Маношкип А.П. Информационная безопасность. М.: НТЦ ФИОРД-ИНФО, 2002.
35. Галатенко В.А. Информационная безопасность: практический подход / Под ред. БетелинаВ.Б.; Рос. акад. наук. НИИ систем, исслед. М.: Наука, 1998.
36. Гариаев А.Ю. Использование MS EXCEL и VBA в экономике и финансах /
37. A.Ю. Гарнаев. СПб.: БХВ - Санкт-Петербург, 1999. -336 с.
38. Гаценко О.Ю. Защита информации. Основы организационного управления. СПб.: Изд. Дом Сентябрь, 2001.
39. Гибкое развитие предприятия: Эффективность и бюджетирование / Самочкин В.Н., Пронин Ю.Б., Логачева E.H. и др. М.: Дело, 2000. - 352 с.
40. Голиусов A.A., Дубровин A.C., Лавлинский В.А. и др. Методические основы проектирования программных систем защиты информации. Воронеж: ВИРЭ, 2002.
41. Горемыкин В.А. Планирование на предприятии. Учебник /
42. B.А.Горемыкин, Э.Р. Бугулов, А.Ю. Богомолов М.: ИИд Филинъ, 1999. - 328 с.
43. Граф М.'Риски аутсорсинга IT', 1998.
44. Дугельный А.П., Комаров В.Ф. Бюджетное управление предприятием. -М.: Дело, 2003.
45. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учеб. пособие для вузов. М.: Логос, 2001.
46. Зегжда Д.П. Основы безопасности информационных систем / Зегжда Д.П., Ивашко A.M. M.: Горячая линия-Телеком, 2000.
47. Ивашковская И.В. Управляемая стоимость. Секрет фирмы, №4 (20), 2003.
48. Информационное общество. Информационные войны. Информационное управление. Информационная безопасность. С-Пб.: СПб ун-т, 1999.
49. Карберг К. Бизнес-анализ с помощью Excel 2000.: Пер. с англ.: Учеб. пос./ К. Карберг. М.: ИД Вильяме, 2000. - 480 с.
50. Календжян С.О., Аутсорсинг и делегирование пономочий в деятельности компаний. -М., 2003.
51. Кирсанов К.А. Информационная безопасность: Учеб. пособие / Кирсанов К.А., Малявина A.B., Попов H.B. М.: МАЭП, 2000.
52. Кныш М.И., Перекатов Б.А., Тютиков Ю.П. Стратегическое планирование инвестиционной деятельности. СПб., 1998.
53. Конеев И.Р., Беляев A.B. Информационная безопасность предприятия. СПб.: БХВ-Петербург, 2003.
54. Копылов В.А. Информационное право. Учебник. М., Юристъ, 2002.
55. Крушвиц JI. Финансирование и инвестиции. Неоклассические основы теории финансов: Пер. с нем. / JI. Крушвиц; Под ред. В.В. Ковалева и З.А. Сабова. СПб.: Изд-во Питер, 2000. - 400 с.
56. Кузьмин Ю. Системы автоматизации бюджетирования предприятий // Финансовый директор. №2. - 2003. - С. 67.
57. Левин М. Хакинг и фрикинг: Методы, атаки, секреты, взлом и защита. М.: Оверлей, 2000.
58. ЛипсицИ.В., Коссов В.В. Инвестиционный проект. М., 1996.
59. Ловцов Д.А. Информационная безопасность больших эргатических систем: концептуальные аспекты. М., 1998.
60. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство. С-Пб.: Фонд Университет, 2000.
61. Лукацкий A.B. Краткий токовый словарь по информационной безопасности. М., 2000.
62. Лукацкий A.B. Обнаружение атак: Практ. рукводство. СПб. и др.: БХВ-Петербург, 2001.
63. Малюк A.A. Информационная безопасность: концептуальные и методологические основы защиты информации. М.: Горячая линия Ч Телеком, 2004.
64. Мельников В.П., Клейменов С.А., Петраков A.M. М.: Академия, 2005.
65. Методические рекомендации по оценке инвестиционных проектов: (Вторая редакция) / М-во экон. РФ, М-во фин. РФ,ГК по стр-ву, архиг. и жил.политике; рук. авт. кол.: Косов В.В., Лившиц В.Н., Шахназаров А.Г. М.: ОАО НПО Изд-во Экономика, 2000.-421 с.
66. Моделирование рисковых ситуаций в экономике и бизнесе: Учеб. пособие /A.M. Дубров, Б.А. Лагоша, Е.Ю. Хрусталев; Под ред. Б.А. Лагоши. М.: Финансы и статистика, 2000. - 176 с.
67. Панкратьев В.В. Корпоративная безопасность. Методическое пособие по спецкурсу. М., 2005.
68. Партыка Т.Л., Попов И.И. Информационная безопасность. М.: ИД Форум, 2002.
69. Петраков A.B. Основы практической защиты информации. М.: Радио и связь, 2000.
70. Петровский А.И. Хакинг, крэкинг и фрикинг: Секреты, описания атак, взлом и защита. М.: Солон-Р, 2001.
71. Почепцов Г.Г. Информационные войны. М.: Рефл-бук, 2001.
72. Приходько А.Я. Информационная безопасность в событиях и фактах. М.: Синтег, 2001.
73. Проскурин В.Г. Защита в операционных системах: Програм.-аппарат. средства обеспечения информ. безопасности: Учеб. пособие / Проскурин В.Г., Кругов C.B., Мацкевич И.В. М.: Радио и связь, 2000.
74. Пярин В.А., Кузьмин A.C. , Смирнов С.Н. Безопасность электронного бизнеса. М.: Гелиос-АРВ, 2002.
75. Романец Ю.В. Защита информации в компьютерных системах и сетях / Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. 2-е изд., перераб. и доп. М.: Радио и связь, 2001.
76. Садсрдинов A.A., Трайнев В.А., Федулов A.A. Информационная безопасность предприятия. М.: Дашков и К, 2004.
77. Семкин С.Н. Основы информационной безопасности объектов обработки информации: Науч.-практ. пособие / Семкин С.Н., Семкин А.Н. М., 2000.
78. Скембрей Д. Секреты хакеров. Безопасность сетей готовые решения: Пер. с англ. / Скембрей Д., Мак-Клар С., Курц Д. - 2-е изд. М.: Вильяме, 2001.
79. Соколов A.B. Методы информационной защиты объектов и компьютерных сетей / Соколов A.B., Степангок О.М. СПб.: Полигон; М.: ACT, 2000.
80. Стрельцов A.A. Обеспечение информационной безопасности России. Под ред. В.А. Садовничего и В.П. Шерстюка М.: МЦНМО, 2002.
81. Теоретические основы информатики и информационная безопасность. Под ред. В.А. Минаева, В.Н. Саблина. М.: Радио и связь, 2000.
82. Технические методы и средства защиты информации / Максимов Ю.Н., Сонников В.Г., Петров В.Г. и др. СПб: Полигон, 2000.
83. Торокин A.A. Инженерно-техническая защита информации: Учебное пособие. М.: Гелиос АРВ, 2005.
84. Терри Дики. Бюджетирование малого бизнеса. Азбука предпринимательства / Терри Дики С-П.: ООО Изд-во Полигон. - 230 с.
85. Уотшем Т.Дж. Количественные методы в финансах: Учеб. пособие для вузов: Пер. с англ. / Т. Дж. Уотшем, К. Паррамоу; Под. ред. М.Р. Ефимовой. М.: Финансы, ЮНИТИ, 1999. - 527 с.
86. Управление затратами на предприятии: Учебник / Лебедев В.Г., Дроздов Т.Т., Кустарев В.П. и др.; Под общ. ред Г.А. Краюхина. СПб.: ИД Бизнес-пресса, 200. -277 с.
87. Устинов Г.Н. Основы информационной безопасности систем и сетей передачи данных. М.: Синтег, 2000.
88. Уфимцев Ю.С., Ерофеев Е.А. Информационная безопасность России. М., Экзамен, 2003.
89. Фабоцци Ф. Управление инвестициями : Пер. с англ. М.: ИНФРА-М,2000.
90. Хруцкий В.Е., Сизова Т.В. Гамаюнов В.В. Внутрифирменное бюджетирование: настольная книга по постановке финансового планирования -М.: Финансы и статистика, 2004.
91. Шарп У.Ф., Александер Г.Дж., Бэйли Д.В. Инвестиции. М.: ИНФРА-М,1997.
92. Шумский A.A., Шелупанов A.A. Системный анализ в защите информации: Учебное пособие. М.: Гелиос АРВ, 2005.
93. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. М.: Могачева, 2001.
94. Щиборщ К.В. Бюджетирование деятельности промышленных предприятий России / К.В. Щиборщ. 2-е изд., переоаб и доп. - М.: Издательство Дело и Сервис, 2004. - 592 с.
95. Ярочкин В.И. Безопасность информационных систем / Попеч. совет правоохран. органов. М.: Ось-89, 1996.
96. Ярочкин В.И. Информационная безопасность. Учебник для вузов. М., Фонд Мир, 2003.1. Статьи
97. А. Баутов, Экономический взгляд на проблемы информационной безопасности. //Открытые системы, 2002, № 2.
98. В. Козлов. Критерии информационной безопасности и поддерживающие их стандарты: состояние и тенденции, Стандарты в проектах современных информационных систем. Сборник трудов Н-й Всероссийской практической конференции. Москва, 27-28 марта 2002 года.
99. Воков Д. Части и целое./Юткрытые системы, 2004, № 10.
100. Демин В. Безопасность в виртуальном пространстве // Безопасность. Достоверность. Информация, 2002, № 2.97. Журнал Сети, 2004, №9.
101. Иноземцев В. Парадоксы постиндустриальной экономики (инвестиции, производительность и хозяйственный рост в 90-е годы).//МэиМО, 2000, №3.
102. Информатизация и информационная безопасность правоохранительных органов. XI Международная научная конференция 21-22.05.2002. Сборник трудов. М.: Академия управления МВД, 2002.
103. Как подготовиться к выбору корпоративной информационной системы //Финансовый директор, 2002, № 3 (сентябрь).
104. Керимов В.Э. Профилактика и предупреждение преступлений в сфере компьютерной информации / Керимов В.Э., Керимов В.В. // "Черные дыры" в Российском законодательстве, 2002, № 1.
105. Кононов А. Страхование нового века. Как повысить безопасность информационной инфраструктуры. М.: Connect, 12, 2001.
106. Jl. Хмелев. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции Безопасность информационных технологий, Пенза, июнь 2001.
107. Махинов Д.В., Рогозин Д.А., Савченко А.В. Комплексная оценка угроз качеству функционирования эргатических информационно-управляющих систем//Телекоммуникации, 2002, № 1.
108. Мещеряков В.А. Криминалистическая классификация преступлений в сфере компьютерной информации.// Конфидент, 1999, №4-5.
109. Минаев В., Карпычев В. Экономические аспекты информационной безопасности//Вестник связи International, 2003, № 8.
110. Петренко С. А., Терехова Е.М. Оценка затрат на защиту информации.//Защита информации, 2005, № 1, январь-февраль.
111. Провоторов В. Агенты конкурента на вашем предприятии // Безопасность. Достоверность. Информация, 2002, № 3.
112. С. Вихорев, Р. Кобцев, Как определить источники угроз.// Открытые системы, 2002, № 7-8.
113. Симонов С. Технологии и инструментарий для управления рисками./ZJet Info, 2003, №2.
114. Стратегия компании в области информационных техпологий//Финансовый директор, 2003, № 7 (июль).1. Прочие источники
115. Математический энциклопедический словарь./Под ред. Ю.В. Прохорова. М.: Изд-во Большая российская энциклопедия, 1995.
116. Ожегов С.И. Словарь русского языка, 20-е издание. М.: Рус. яз, 1988.1. Зарубежные источники114. 2003 Industry Survey Ч Information Security, October 2003.
117. Anne Marie Willhite. Systems Engineering at MITRE Risk Management, Rl, MP96Booool20, September, 1998; Risk Matrix.
118. Hackett Group, Ongoing Benckmarking Survey, 2000.
119. Managing the Threat of Denial-of-Service Attacks, CERT- Coordination Center, October 2003.
120. R. Witty, J. Dubiel, J. Girard, J. Graff, A, Hallawell ets. The Price of Information Security. Gartner Research, Strategic Analysis Report, K-11-6534, June, 2001.
Похожие диссертации
- Инструментальные методы управления кредитными рисками регионального банка
- Концепция эффективного управления приватизацией - основа системной трансформации государственной собственности в России
- Управление инвестиционными рисками предприятия
- Методические основы нечетко-когнитивного управления коммерческими рисками предприятий пищевой промышленности в условиях неопределенности
- Совершенствование финансовых методов управления информационными рисками предприятий