Оценка экономической эффективности информационной безопасности участия строительной компании в электронных торгах тема диссертации по экономике, полный текст автореферата
Автореферат
| Ученая степень | кандидат экономических наук |
| Автор | Петров, Кирил Владимирович |
| Место защиты | Москва |
| Год | 2010 |
| Шифр ВАК РФ | 08.00.05 |
Диссертация
Автореферат диссертации по теме "Оценка экономической эффективности информационной безопасности участия строительной компании в электронных торгах"
На правах рукописи
Петров Кирил Владимирович
ОЦЕНКА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ УЧАСТИЯ СТРОИТЕЛЬНОЙ КОМПАНИИ В ЭЛЕКТРОННЫХ ТОРГАХ
Специальность: 08.00.05 - Экономика и управление народным хозяйством (экономика, организация и управление предприятиями, отраслями, комплексами (строительство))
АВТОРЕФЕРАТ
диссертации на соискание учёной степени кандидата экономических наук
-2 ЛЕН 2010
Москва Ч2010
004615381
Диссертационная работа выпонена в Государственном образовательном учреждении высшего профессионального образования Московском государственном строительном университете.
Научный руководитель: доктор экономических наук, профессор
Яськова Наталья Юрьевна
Официальные оппоненты: доктор экономических наук, профессор
Воронин Михаил Иванович
кандидат экономических наук, доцент Бакрунов Юрий Октавьевич
Ведущая организация:
ГОУ ВПО Самарский государственный архитектурно-строительный университет
Защита состоится л24 ноября 2010 года в 15 часов на заседании диссертационного совета Д212.138.05 в ГОУ ВПО Московском государственном строительном университете по адресу: 129337, г. Москва, Ярославское шоссе, д. 26, ауд. 326 УПК.
С диссертацией можно ознакомиться в библиотеке ГОУ ВПО Мо> сковском государственном строительном университете по адресу: 129337, г. Москва, Ярославское шоссе, д. 26.
Автореферат разослан л12 Окя&в _ 2010 г.
Учёный секретарь диссертационного совета
Исаева Г. Л.
Актуальность темы диссертационного исследования определяется несколькими факторами. Во-первых, информационная безопасность деятельности строительной компании является необходимым условием её конкурентоспособности и выживания в современных условиях. Существующие тенденции, такие как постоянный экспоненциальный рост количества и уровня опасности угроз, широкое распространение уязвимостей программного и аппаратного обеспечения и хроническое отставание разработки средств защиты от появления средств нападения, предопределяют неуклонное повышение информационных рисков обеспечения непрерывности деятельности строительной компании. При этом поддержание конкурентоспособности в современной информационной экономической среде невозможно осуществить без обеспечения стабильной, надёжной и эффективной информационной инфраструктуры предприятия.
Во-вторых, возрастание информационных рисков является причиной постоянного роста размеров потенциального ущерба, что предопределяет необходимость обеспечения защиты от существующих и будущих угроз, что возможно только при создании и поддержании системы информационной безопасности строительной компании. И эта деятельность требует существенных и обязательных капиталовложений, эффективность которых необходимо адекватно оценить.
И, в-третьих, обеспечение информационной безопасности требуется законодательством РФ и является необходимым условием участая в электронных торгах, посредством которых, начиная с 1-го июля 2010 года, в обязательном порядке заключаются все контракты с государственными организациями, выступающими в качестве заказчика. В ходе исследования было выявлено определяющее значение государственных заказчиков для восстановительного роста экономики государства в целом и строительной отрасли в частности, так как именно госзаказчики являются источником стабильного и платежеспособного спроса на продукцию и услуги строительства.
Вышеуказанные факторы предопределили тему, цель и задачи исследования.
Целью диссертационного исследования является разработка методики оценки экономической эффективности информационной безопасности участия строительных компаний в электронных торгах по размещению государственного строительного заказа.
В соответствии с целью исследования поставлены и решены следующие задачи:
1. Определены участники инвестиционно-строительной деятельности, имеющие потенциал восстановительного роста и развития, а также условия их эффективного взаимодействия.
2. Систематизированы последствия утраты информационными ресурсами свойств информационной безопасности деятельности строительной компании на различных этапах реализации строительных проектов.
3. Выявлены особенности определения экономической эффективности
информационной безопасности участия строительной компании в торгах по размещению государственного строительного заказа.
4. Разработана методика оценки экономической эффективности информационной безопасности участия строительной компании в открытых электронных торгах по размещению государственных строительных заказов.
Объект исследования: системы информационной безопасности строительных компаний.
Предмет исследования: научно-практические и методические подходы к оценке экономической эффективности информационной безопасности участия строительной компании в электронных торгах по размещению государственного строительного заказа.
Теоретической и методологической основой исследования послужили: законодательные и другие нормативные акты Российской Федерации, регламентирующие процессы информатизации в строительстве; диалектический метод познания; объективные экономические законы и фундаментальные труды классиков экономических теорий; работы российских и зарубежных учёных, посвященных теории управления, теории принятия решений, проблемам развития и оценки эффективности деятельности в условиях рыночной экономики, теории и практики организационного проектирования; достижения мировой и отечественной экономической науки, методические разработки, публикации и результаты прикладных исследований по исследуемым проблемам.
Диссертационное исследование базировалось на трудах следующих отечественных и зарубежных учёных: Андерсена Р., Асаула А.Н., Берга В.Н., Вокова С.Н., Грабового П.Г., Крассова О.И., Кришнана Р., Лукмановой И.Г., Орлова А.И, Рябинина И.А., Шраера Д.А., Яськовой Н.Ю. и др. В нем нашли применение следующие общенаучные методы: абстрактно-логический, финансового и экономического анализа, управления проектом, экономико-математические методы, методы наблюдения, экспертных оценок, организационного проектирования и др. Статистическую базу исследования составили материалы государственных статистических органов, результаты исследований независимых информационных служб, авторитетных научных учреждений и экспертов, информация, полученная в ходе опросов руководителей строительных организаций.
Научная новизна работы заключается в выявлении особенностей оборота информационных ресурсов на различных этапах инвестиционно-строительного проекта с последующим обоснованием и разработкой методических рекомендаций оценки экономической эффективности информационной безопасности участия строительной компании в электронных торгах по размещению государственных строительных заказов на основе учёта динамики рисков утраты информационными ресурсами свойств информационной безопасности.
Научные результаты, полученные лично автором:
1) выявлены условия эффективного взаимодействия участников строи-
тельства на основе сравнительной характеристики видов и форм проведения торгов по размещению государственного строительного заказа и формулировки требований к информационной безопасности их участников;
2) исследованы экономические последствия утраты информационными ресурсами строительной компании свойств информационной безопасности на различных этапах реализации строительного проекта, включая участие в электронных торгах по размещению государственных строительных заказов;
3) сформированы и систематизированы принципы оценки экономической эффективности информационной безопасности строительной компании на основе идентификации и анализа её экономической сущности с учётом отраслевой специфики;
4) разработана итеративная методика оценки экономической эффективности информационной безопасности строительной компании, позволяющая оптимизировать затраты по критерию снижения вероятностей утраты информационными ресурсами свойств информационной безопасности.
На защиту выносятся:
1. Виды и состав информационных ресурсов строительной компании, а также экономические последствия утраты ими свойств информационной безопасности на различных этапах реализации строительного проекта.
2. Система принципов оценки экономической эффективности информационной безопасности участия строительной компании в электронных торгах.
3. Методика оценки экономической эффективности информационной безопасности участия строительной компании в электронных торгах для нужд государственного строительного заказа.
Практическая значимость данной работы состоит в возможности повышения эффективности вложений средств в обеспечение информационной безопасности строительной компании с учётом актуальных требований законодательства к проведению для нужд государственного заказа открытых аукционов и конкурсов в электронной форме.
Достоверность полученных результатов основывается на применении репрезентативного объёма статистической и управленческой отчётности строительных компаний за период с 2000 до середины 2010 года, использовании аналитических и статистических данных Федеральной службы государственной статистики РФ, отражающих развитие экономики России и строительной отрасли за аналогичный период, а также подтверждается практической апробацией результатов исследования.
Основные положения диссертационной работы были представлены в виде доклада на юбилейной Десятой международной межвузовской научно-практической конференции молодых ученых, докторантов и аспирантов в г. Иркутск (апрель 2007 г.), на Открытой конференции молодых учёных, проводимой в МГСУ (март 2010 г), а также на Семинаре Российской академии естественных наук (июнь 2010 г.).
Публикации. По теме диссертационного исследования опубликовано 8
p6or общим объёмом 4,55 пл. в т.ч. лично автором - 3,95 п.л., в журналах, рекомендуемых ВАК, - 2 работы объемом 0,55 пл., в т.ч. лично автором - 0,3 п.л.
Объем и структура работы. Диссертация состоит из введения, трех глав, заключения, списка литературы и пяти приложений. Содержание работы изложено на 165 страницах машинописного текста, в том числе 15 илюстраций, 11 таблиц и 23 формулы. Список литературы включает 127 наименований.
ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ
В настоящее время инвестиционно-строительная деятельность существенно затруднена и строительные компании (СК) зачастую находятся в условиях острой нехватки заказов, что ставит их на грань банкротства. В результате исследования были выявлены следующие проблемы, предопределя-юшие такое положение СК: наличие противоречий экономических интересов (ЭИ) участников инвестиционно-строительной деятельности (ИСД) и такая эффективность взаимодействия госзаказчиков и СК, одной из причин которого является недостаточная готовность последних к эффективному участию в электронных торгах. С целью выявления причины существующих проблем инвестиционно-строительной сферы (ИСС) и определения участников, характер деятельности которых безальтернативно важен для обеспечения их эффективного взаимодействия в целях развития строительства был осуществлен анализ и исследованы факторы восстановительного роста отрасли в целом и отдельно взятой СК. В результате выявлено место и роль информационных факторов в этом процессе.
Исследование взаимовлияния факторов восстановительного роста позволило сделать вывод о том, что информационные факторы оказывают существенное, а в ряде случаев (к примеру, при проведении электронных торгов) определяющее влияние на все прочие. Учёт условий, связанных с этими факторами обязателен для эффекшвной деятельности СК в современных условиях высококонкурентной среды, обеспечивая процессы контролинга подразделений и надёжное и эффективное взаимодействие СК с прочими участниками ИСД.
В результате анализа проблем ИСС выявлено значение государственного строительного заказа (ГСЗ) как основного фактора в условиях кризиса и восстановительного роста, определяющего уровень спроса на продукцию строительного производства. Государство распоряжается достаточными объёмами ресурсов, имея возможность устранить или смягчить дисбаланс в экономической среде посредством повышения активности реального сектора экономики через создание спроса в строительстве. Для СК важно заключение контракта для нужд ГСЗ. Как показал анализ, в настоящее время проигрыш подряд трёх торгов на право заключения крупных контрактов с большой вероятностью приводит СК к неплатежеспособности.
Условия эффективного взаимодействия основных участников инвестиционно-строительной деятельности:
. 1) согласование их экономических интересов, которое производится при
помощи проведения торгов;
2) обеспечение прозрачности, своевременности и объективности результатов при проведении торгов.
В ходе исследования способов взаимодействия СК и государственных заказчиков было выявлено, что законодательством установлена необходимость проведения торгов в виде аукционов и конкурсов, а с 1-го июля 2010 года все такие торги переведены в электронную форму. То есть, все СК для заключения контрактов с госзаказчиками вынуждены участвовать в открытых электронных торгах, для чего критически необходимо обеспечение ИБ. С целью определения требований к ИБ участников торгов был проведён сравнительный анализ видов проведения торгов, который позволил установить специфические отличия требований к обеспечению ИБ при участии в аукционах и конкурсах и учесть их при формировании принципов оценки экономической эффективности ИБ.
В соответствии с задачами исследования, было дано определение ИБ -состояние информационной системы, при котором обеспечивается сохранность её свойств, которыми являются: конфиденциальность, целостность, доступность, аутентичность, надежность, неотказуемость и подотчетность.
Для учёта отраслевой специфики автором были выделены особенности оборота информационных ресурсов (ИР), присущие строительной отрасли. Для ИР в строительстве характерны следующие особенности:
1) большой объём разнородной документации;
2) ИР в строительстве формируются и передаются во внешнюю среду СК и всеми прочими участниками реализации проекта, включая контролирующие государственные органы;
3) продожительный жизненный цикл оборота ИР, измеряемый годами;
4) разграничение информации на конфиденциальную и публикуемую в целях обеспечения транспарентности деятельности СК в связи с высокой социальной ответственностью и повышенным вниманием общества к ИСС;
5) для заключения контрактов на строительство объёмом свыше 50 мн. руб. имеется предусмотренная законом возможность устанавливать допонительные требования к испонителям;
6) при заказах на строительство технически сложных и особо опасных объектов допускается проведение в открытой электронной форме не аукциона, а конкурса;
7) высокая степень конкуренции между относительно небольшим количеством крупных участников, имеющих обширные возможности по применению различных средств добросовестной и недобросовестной конкуренции;
8) высокая, зачастую, критическая важность заключения каждого крупного контракта, для чего требуется обеспечение высокого качества ИР;
9) зависимость хода строительства от согласованности, оперативности, актуальности и точности множества разнородных информационных потоков (управленческие решения, информация о текущем состоянии объекта, техни-
ки, обеспеченности оборотными средствами и т.п.) и др. Также в ходе исследования были определены и систематизированы виды и содержание конфиденциальной информации, утрата свойств ИБ которой наиболее критична на различных этапах реализации инвестиционно-строительного проекта. Для этого рассмотрены следующие виды информационных ресурсов (ИР): финансовые, рыночные, технологические, технические, личные и социальные.
С целью идентификации экономической сущности ИБ разработана классификация угроз ИБ, в рамках которой систематизированы угрозы ИБ и классифицированы их экономические последствия (рис.1).
В результате анализа угроз и рисков обеспечения непрерывности бизнес-процессов СК дано определение экономической сущности ИБ, как обеспечения продуктивной и экономически эффективной информационной среды посредством оптимизации состава и структуры, технологических средств, услуг и управления ИБ, нацеленных на снижение рисков строительства и расширенного воспроизводства СК. Таким образом, СИБ можно рассматривать как инструмент системы менеджмента рисков СК, областью применения которого являются информационные риски, связанные с нарушениями режима ИБ, а эффектом Ч минимизация риска причинения экономического ущерба интересам СК.
В ходе исследования установлено, что реализация угроз ИБ приводит к поной или частичной утрате ИР некоторого подмножества свойств ИБ, что влечёт за собой нанесение СК ущерба различных видов. Следовательно, каждая угроза участия СК в торгах может быть описана посредством определения её влияния на утрату свойств ИБ рассматриваемым ИР. В ходе работы были систематизированы действия, характеризующие угрозу, утрачиваемые свойства ИБ СК и экономические последствия этого события. Наибольший интерес представляют те последствия, которые могут являться причиной срыва участия СК в электронных торгах по размещению государственного строительного заказа. Оценка экономических последствий от утраты свойств ИБ явилась основой для формирования методического подхода к оценке экономической эффективности СИБ. Также были учтены особенности проявления экономического эффекта применения СИБ в деятельности СК в случае её участия в электронных торгах. Это позволило сформировать систему принципов оценки экономической эффективности СИБ, представленную в таблице 1.
Следуя логике исследования, определено понятие экономической эффективности, как категории, характеризующей результативность экономической системы, выражаемой в отношении качественно и количественно определённых экономических эффектов от её применения к суммарным затратам на обеспечение её функционирования. Это предопределило этапы определения в тех же единицах измерения получаемых и планируемых эффектов и этап их сопоставления. Таким образом предложен итеративный подход, позволяющий уточнять оценку экономической эффективности и на её основе производить оптимизацию затрат, агоритм которого отображён на рис. 2.
Непреднамеренное
воздействие на конфиденциальную информацию (НПВ)
Преднамеренное воздействие на конфиденциальную информацию (ПВ)
Стихийные] ^
Технические I
Чрезвычайные происшествия, катастрофы
Сбои, аварии систем жизнеобеспечения
Сбои программного или аппаратного обеспечения
Нецелевое использование ресурсов ИИ
Диверсии и! (Промышленный] (Конкурентная . хищения шпионаж I разведка
Получение контроля над банковскими , счетами СК
Раскрытие бухгатерской отчетности, схем налоговой оптимизации и т.п.
Причинение ущфба деловой репутации СК
гудвила)
Выявление связей и возможностей руководства СК
Выявление
партнерах, контрагентах и подразделениях СК
Нарушение нормального функционирования ИИ
Систематизация опыта и наработок СК (ноу-хау, организационные схемы, управленческие решения и т.п.)
Эксплуатация выявленных недостатков и упущений в организационных аспектах ИБ
Эксплуатация выявленных уязвимостей технических средств ИИСК
Технологии социального инжиниринга применительно к персоналу СК
' Физический
доступ к оборудованию
Уязвимости аппаратных и программных средств ИИ
Ошибки и просчёты конфигурации элементов ИИ.
Взаимодействия с внешними субъектами
Перехват информации через побочные излучения и наводки
Умышленные действия инсайдеров
Неумышленные действия персонала СК
Несовершенство организации и управления
Утечки кон-фиденци-альиой Ш1-формации.
Несанкционированное воздеист-ше на элементы защищаемой ИИ СК
Разглашение
циадьной информации
Несанкционированный доступ к конфиденциальной информации (НСД)
Сбор информации из открытых источвнков,
С1шжение капитализации и иной материализованный ущерб
Утрата конкурентного преимущества
Нарушение условий контрактов и невыпонение обязательств
Административная или уголовная ответственность
1___________________________
Рис. 1. Систематизация угроз ИБСК и последствий их реализации
Взаимосвязь особенностей и принципов оценки экономической эффективности СИЕ СК
№ Особенности Принципы
1 Отсутствие прямой и легко подсчитываемой прибыли от применения СИБ Необходимость учёта нефинансового положительного экономического эффекта
2 Множественность и разнородность проявления эффектов от внедрения СИБ Анализ влияния внедрения СИБ на производительность ИИ СК и эффективность работы пользователей, а также рисков, связанных с невозможностью точного прогнозирования экономического эффекта
3 Условность понятия "жизненный цикл" СИБ Необходимость учёта совокупного размера потенциального ущерба за период реализации проекта
4 Высокая степень неопределённости расчёта денежных потоков на различных этапах жизненного цикла СИБ Принцип "базового уровня ИБ", который является основой дальнейшего углублённого анализа рисков; невозможность расчёта премий и поправок на риск
5 Длительность процесса внедрения и сопряжения СИБ с существующей ИИ СК Необходимость оценки: а) возможных убытков от простоя сегментов ИИ СК на этапе внедрения СИБ и затруднениями пользователей в период адаптации; б) затрат на обучение персонала;
6 Финансирование проекта СИБ из бюджета СК Отсутствие необходимости учёта стоимости привлечения заёмных средств
7 Определённость и специфичность условий внедрения СИБ для конкретной СК Необходимость адаптации методики оценки экономической эффективности для учёта особенностей конкретной СК с итеративным подходом
8 Обеспечение ИВ является безальтернативной необходимостью Невозможность оценки альтернативной стоимости проекта, применения к нему принятой нормы дисконта и поправки на риск неполучения предусмотренных доходов
9 Высокая скорость морального износа второго рода, вызванная стремительным прогрессом ИТ, а также ростом количества и опасности угроз ИБ Необходимость регулярного пересмотра оценки экономической эффективности применения СИБ
10 Уровень рисков ИБ уменьшается на каждом этапе внедрения СИБ, но всегда выше нуля из-за невозможности обеспечения абсолютной безопасности Необходимость внесения в расчёты поправок на риск на каждом этапе реализации проекта, причём величина поправок обратно пропорциональна величине затрат на обеспечение ИБ
Оценка экономической эффективности СИБ СК
Затраты (ССВ)
1. Проектирование СИБ и СМИБ
2. Приобретение технических средств
3. Разработка ПО и регламентов
4. Текущее администрирование
5. Техническое обслуживание
б.Расходные материалы
7. Телекоммуникационные услуги
8. Обучение пользователей
9. Повышение квалификации и модернизация
10. Косвенные затраты и убытки
11. Оплата услуг консуль тантов и экспертов
12. Проведение аудита, сертификации и т.д.
1. Снижение риска утраты информации
2. Снижение риска утраты конкурентного преимущества в торгах_
3. Оптимизация ИИ и информационных потоков
4. Снижение риска нарушения требований законодательства
следующая итерация
Сопоставление
5. Рост капитализации
6. Прирост стоимости нематериальных активов
7. Снижение риска невыпонения условий контрактов
8. Косвенные положительные эффекты
= 2 РК.
Рис. 2. Агоритм методики шечета жтамичежт ^^(к'ктншости СИБ С К
Анализ установил, что в качестве метода оценки затратной части проекта целесообразно использовать метод совокупной стоимости владения (ССВ), который позволяет достаточно поно оценить затраты, разделяя пх по категориям. Как правило, при подсчёте стоимости ССВ определение размера прямых затрат не представляет сложностей, в отличие от задачи по подсчёту косвенных издержек, преимущественно через определение стоимостного эквивалента времени незапланированных простоев.
По\:нм|о затрат на внесение СИБ, в его процессе возникают побочные явления, такие как ущерб от простоя во время этапа пусконаладочных работ (Ж;), потери от вывода финансовых активов га оборота фЬ), возможное снижение производительности оборудования, которое можно компенсировать его заменой шш модернизацией, что тоже потребует затрат (>!.}). ущерб от задержки восстановления работоспособности информационной инфраструктуры СК в случае вывода её из строя в результате сетевой атаки, вирусной эпидемии (РЬ) п т.п.
Итак, совокупные затраты на внедрение СИБ СК (ИЦ) могут быть представлены в виде формулы:
1=1 ;=1
Несмотря на некоторые трудности применения в условиях современной России, методика ССВ позиционируется как инструмент комплексной оценки экономической эффективности мероприятий ИБ. В то же время она не позволяет проводить оценку тех выгод, которые составляют получаемый в строительстве от применения СИБ экономический эффект. По этой причине существует объективная необходимость уточнения и разработки адекватной целям исследования методики оценки экономических эффектов применения СИБ с дальнейшей оценкой её экономической эффективности в рамках деятельности СК.
Так как финансовые ресурсы на обеспечение ИБ СК выделяются из прибыли, то целесообразно установить верхний предел этих затрат в виде доли от прибыли. Как показывает практика, средний нормативный показатель затрат на обеспечение ИБ коммерческой деятельности крупных компаний (IЗС) находится в пределах 0,12 Ч 0,18 и определяется на основании принятой нормы приемлемого уровня рисков ИБ. Норма прибыли также задаётся руководством СК в виде показателя нормы прибыли РМ. В строительной отрасли этот показатель имеет очень большой разброс значений в зависимости от региона, типа проектов, конъюнктуры спроса и предложения на рынке и множества прочих факторов. Исходя из целесообразности вложений средств, верхний предел затрат СК на мероприятия по снижению рисков ИБ составляет:
Ж^ШС-РН-Е , (2)
где Е - размер доходов СК в течение рассматриваемого периода. В случае участия в электронных торгах Е представляет собой предполагаемый размер государственного или муниципачьного заказа на строительство, с це-
лью заключения контракта на испонение которого проводится процедура электронных торгов. Отметим, что предполагаемый размер не равен начальной цене контракта, а представляет собой нижний предел цены выпонения заказа, ниже которого выпонение заказа не приносит выгоду испонителю. В этом случае используется PN из экономической части документации проекта.
Для расчёта выгод от реализации проекта СИБ предложенная методика предполагает проведение оценки рисков в следующей последовательности:
1) Определение активов. На этом этапе необходимо однозначно определить важную конфиденциальную информацию на всех этапах строительства и произвести её оценку по качественной или количественной шкале. Основными видами информационных активов являются процессы и службы информационной системы, программное обеспечение, технические средства, человеческие (интелектуальные и трудовые) и нематериальные активы СК.
2) Оценка важности активов для деятельности СК:
На этом этапе определяются временные интервалы, в течение которых изменяется модель угроз и риски по этапам строительства (фазам жизненного цикла строительного проекта). В дальнейшем оценки осуществляются с учётом длительности этих интервалов.
3) Определение состава и структуры информационных ресурсов (ИР), сохранение свойств информационной безопасности которых определяет сохранность активов СК.
4) Оценка имеющихся для каждого ИР рисков, связанных с утратой его свойств ИБ (конфиденциальность, целостность, доступность, аутентичность, подотчётность, неотказуемость и надёжность). Оцениваются риски реализации угроз в отношении каждого ИР СК на основе исследования возможностей их реализации посредством реализации различных угроз ИБ.
5) Производится сравнение полученных данных с приемлемыми значениями рисков инцидентов ИБ, принятых строительной компанией. В случае превышения расчётных значений этого уровня, производится усиление мер безопасности, направленных на защиту этого актива, после чего проводится переоценка рисков.
В целях адаптации методики оценки экономической эффективности к условиям участия СК в различных видах торгов по размещению ГСЗ - аукционе и конкурсе, кратко рассмотрим особенности применения указанной методики для каждого из них.
Перед участием в конкурсе необходимо оценить наиболее вероятные изменения рисков ИБ на основании анализа статистики угроз ИБ, связанных с утратой тех свойств безопасности, которые наиболее критичны на каждом из временных промежутков, из которых состоит процесс участия в конкурсе. Требуется обеспечение ИБ тех активов, которые задействованы при разработке конкурсного предложения и его передаче конкурсной комиссии в пределах установленных условиями конкурса сроков. Таким образом, можно разделить востребованность СИБ на 2 этапа:
1) подготовка конкурсного предложения Ч период Тра,р, законодательно на формирование предложения и передаче его комиссии выделен срок в 1 месяц от опубликования извещения о проведении конкурса до момента окончания приёма заявок. Наиболее критична утрата следующих свойств информационной безопасности этой информации:
а) конфиденциальность Ч информация попадает в руки заинтересованных в строительном заказе сторон;
б) целостность Ч нарушается достоверность информации, возможны несанкционированные изменения, намеренное внесение ошибок в строительный проект;
в) доступность Ч возможность санкционированного внесения изменений в любой момент времени, когда это необходимо;
г) надёжность Ч устойчивость информационного ресурса, содержащего конфиденциальную информацию, к случайным или преднамеренно организованным сбоям информационной системы.
2) период, в течение которого возможна передача предложения на рассмотрение конкурсной комиссией Ч период ТД0д (в днях):
^,Д=30, (3)
где Тнач Ч период от начала конкурса (опубликования оповещения на сайтах госзаказчика и ЭТТ1) до принятия решения об участии в конкурсе и начала подготовки документации; Тршр Ч время, необходимое на разработку конкурсного предложения. Практика показывает, что период Тш в строительстве составляет от 1 дня до 2 недель в зависимости от сложности формирования конкурсного предложения. При этом длительность самого процесса передачи предложения Ч от 1 часа до 1 дня, в течение которого критичной является сохранность: конфиденциальности, целостности, надёжности и неотказуемости.
При участии в аукционе задача представителя СК состоит в том, чтобы подавать ценовые заявки в пределах шага аукциона в течение установленного законодательством интервала Ч 1 час, по окончании которого определяется победитель. Наиболее востребовано обеспечение ИБ непосредственно в ходе аукциона, поэтому при оценке рисков ИБ присваиваются более высокие весовые коэффициенты рискам, связанным с угрозами блокирования соответствующих сегментов ИИ СК, задействованных в ходе участия в открытом электронном аукционе по размещению ГСЗ. Невозможно спрогнозировать длительность аукциона, поэтому целесообразно при оценке рисков рассматривать наиболее длительный срок Ч полный рабочий день. Критичные свойства ИБ при участии в аукционе: целостность, аутентичность, неотказуе-мость, надёжность.
Рассмотрим модель угроз для каждого критичного ИР, применимую для всех видов применяемых в строительстве торгов. Для этого в работе предложена расчётная модель рисков ИБ, позволяющая рассчитывать вероятности утраты каждого из свойств ИБ каждым ИР с расчётом для него интегрального
показателя риска. Разработанная таблица (табл.2) является шаблоном для расчётов на каждой итерации методики. Применяемые обозначения: 1/а (п) Ч идентификатор угрозы ИРД, а = 1..г Ч номер угрозы, г - общее количество рассматриваемых угроз, выделенных как наиболее актуальные для исследуемого ИР; аха(п) - показатель влияния угрозы иа(п) на утрату информационным ресурсом ИРД свойства ИБ под номером х=1.. 7.
Реализация угроз ИБ является причиной некоторого множества последствий, приводящих к утрате свойств ИБ защищаемой информации, поэтому в процессе исследования модели угроз необходимо определить связи угрозы с утратой свойств ИБ, отмечая эти связи в расчётной таблице с помощью показателей аха(п) присвоением ему значения от 0 до 1. На различных этапах различные свойства ИБ имеют приоритет, а утрата прочих не отразится на сохранении СК конкурентоспособности. Также производится оценка величины ущерба рх(п), который будет причинён в результате утраты каждого из свойств ИБ рассматриваемого ИРД соразмерно его важности для успешного выпонения задачи победы СК в открытом электронном аукционе или конкурсе. Структура совокупности размеров ущерба зависит от периода, определяющего уровни критичности свойств ИБ. При этом рассматривается всё множество угроз, существующих для этого ИР, после чего из них на основании анализа наиболее возможных последствий выбираются 5 наиболее вероятных из числа внутренних и 5 Ч из числа внешних. Далее с привлечением экспертов для каждого информационного ресурса п оцениваются вероятности Ра(п) осуществления каждой внутренней или внешней угрозы, а=1..г.
Так как для того, чтобы организатор атаки преодолел защиту, предоставляемую этим механизмом защиты (МЗ), необходимо чтобы для него существовал способ реализации уязвимости и не было применено исправление. Следовательно, по теореме умножения вероятностей независимых событий
вероятность Ра(п) преодоления совокупности МЗ равна:
^в(п)=П(^ля(";г)-(1-/1№ИГ(я;2))) , (4)
где Р,ат(п;г) Ч показатель общей вероятности наличия эксплойта для уязвимости некоего М32 из множества 1, причастного к защите ИРп\ Рт(п;2) Ч вероятность исправления уязвимости механизма защиты.
Общий уровень угроз для каждого свойства ИБ определяется в зависимости от уровня каждой из угроз, приводящих к утрате этого свойства, и представляет собой вероятность события, при котором произойдёт хотя бы один инцидент ИБ, то есть сбой в процессе участия СК в торгах. Произведение всех вероятностей представляет собой вероятность одновременного отсутствия всех инцидентов ИБ:
^х(и)=1-П(1-"(я)'-Р) (5)
ТаГу1.2.
Расчётная таблица показателей рисков информационной безопасности строительной компании.
(первая итерация)
Утрачиваемые свойства информационной безопасности информационного ресурса ИР оэГ Vй а. о. (2 1 Номер угрозы а Общий ровень угроз для каждого свойства, щ) ч1
1|2|3|4|5|б|7|8 9 | 10
Идентификатор угрозы
Ъ1Щи2(п)\Щ(п) и4(п) и5(п) Щп) и7(") | Щ(п) Щ) I и10(п)
Взаимосвязь угрозы и действий, приводящих к утрате свойств ИБ, о-ш(п)
X 1 Конфиденциальность 8,3 0,43 0,8 1 0,43 0,61 0,76 0,6 0,32 0,65 0,21 0,943 7,830
2 Целостность 6,1 0,2 0,73 0.32 0,12 0,17 0.1 0.31 0,3 0,12 0 0.551 3,359
3 Доступность 4.7 0,35 0,1 0.13 0,78 0,8 0,84 0,24 0,15 0,33 0 0,926 4,354
4 Аутентичность 2,3 0,07 0,03 0,7 од 0 0,6 0,27 0,18 0,36 0,36 0,737 1.696
5 Подотчётность 0,7 0,03 0 0,12 0,11 0 0,15 0,26 0 0,16 0,7 0,369 0,258
6 Неотказуемосгь 2,2 0.12 0,4 0,04 0,74 0,03 0,18 од 0,18 0,03 0,72 0,738 1.624
7 Надёжность 5,7 0,02 0.09 0 0,03 0,04 0,33 0,9 0,9 0 0,63 0,532 3,033
Вероятность реализации угрозы ИБ в рассматриваемый период, Ра (п) 0,7 0,18 0,44 0,8 0,13 0,74 0,24 0,13 0,32 0,08
Общий количественный риск, ЯЯ/п), мн. руб. 22,154
Затраты на планируемое снижение рисков, И/п), мн. руб. 3,000
Экономическая эффективность этой итерации, ЕЩ(п), мн. руб. неприменимо
Риск утраты свойства ИБ КЕРх(п) определяется в зависимости от размера ущерба и общего уровня угроз для этого свойства:
Шх(п)=Ох(п)-^М (6)
Таким образом, общий количественный риск для информационного ресурса СК является интегральным показателем, характеризующим как возможность утраты произвольного подмножества свойств ИБ ИРД в результате реализации какой-либо из г существующих и наиболее вероятных угроз, так и размер ущерба, и определяется через сумму рисков утраты всех свойств ИБ этого ресурса на к-й итерации расчётов:
дШп) (7)
В развёрнутой форме риск ИР можно записать так:
* = 1 а = 1
В результате первой итерации получен показатель И5](п) общего количественного риска для рассматриваемого ИРп и по экономической сути ок представляет собой величину ожидаемых потерь СК от потери свойств ИБ.
Сумма величины ущерба для каждого из свойств ИБ некоторого ИР представляет собой величину ущерба, который может быть нанесён СК при реализации рассматриваемой внутренней и внешней угрозы соответственно. Показатели уровня риска позволяют произвести ранжирование ИР по порядку уменьшения этих показателей, что является основой для определения важности затрат на его защиту, которая определяется при помощи коэффициента важности м'() в соответствии с табл. 3:
Табл. 3
Определение доли затрат на защиту ресурса в зависимости от важности
Показатель уровня риска, Й8(п,) Коэффициент важности,
ШП2) к'(п1)=\\>(п1)/2
1-1 и'М^-Еи'К) у=1
При этом , и .
После проведения первой итерации разрабатывается комплекс мер по снижению рисков, оценивается его стоимость и проводится вторая итерация оценки рисков с учётом изменений модели угроз. Величина затрат на снижение рисков утраты свойств ИБ рассматриваемого информационного ресурса и после первой итерации составляет:
ягЛ/О^-яг^Ми,) (9)
Коэффициент К1 = 0,5 вводится на первой итерации на тот случай, если принимаемые СК меры на обеспечение ИБ приведут к достаточному снижению рисков уже после первой итерации расчётов. С каждой последующей итерацией расчёта коэффициент последовательно уменьшается вдвое:
После М итерации показатель затрат будет выглядеть следующим образом:
ЫМ^Къ-Ж^Мп,) (11)
Если снижение рисков произошло до приемлемого уровня, заданного руководством СК, то процесс расчёта прекращается и показатель экономической эффективности обеспечения ИБ после к-\\ итерации расчёта определяется соотношением снижения величины ущерба и уровня затрат на снижение рисков:
*-> л г
Показатели экономической эффективности каждой итерации оцениваются следующим образом:
Применение показателей ЕЕ1к позволяет оценивать эффективность каждой итерации и принимать решение о целесообразности дальнейших вложений средств в СИБ СК. Так как ранее было задано правило, по которому расходы на следующую итерацию уменьшаются вдвое, то нужно учитывать соответствующее изменение знаменателя при расчёте показателя эффективности каждой итерации. Если этот показатель не увеличися, либо увеличися менее чем в 2 раза, то это означает фактическое снижение отдачи от вложенных средств. В связи с этим, примем в качестве критерия прекращения процедуры оценки следующее условие: ЕЕ1к+1 = ЕЫ^.В том случае, если величина остаточного уровня риска И5ф) после какой-либо итерации будет ниже приемлемого уровня, расчёты прекращаются на этом шаге. Таким образом, существует два критерия прекращения расчёта: нецелесообразность дальнейших затрат и достижение цели - снижение рисков до приемлемого уровня.
В целях исследования и оценки рисков ИБ для некоторого множества ИР СК на различных временных интервалах этапов строительства требуется построение таблиц д ля каждого ИР на всех этапах расчёта. Для ИРД нумерация таблиц производится по форме п.и, где к - номер итерации, а г-номер рассматриваемого временного интервала. Оценка величины затрат Жк(п;$ и рисков производится в рамках каждого временного интервала, после чего
результаты суммируются, и итоговое значение показателя ЕЕк определяется при
ЕЕ1к= /"Г""' (13)
помощи этих сумм:
ЕЕь.= ' *-1--(14)
Предложенный показатель экономической эффективности может являться основой для принятия экономически обоснованных решений при выборе средств защиты, распределении бюджета ИБ среди множества ИР и выявлении излишних трат на обеспечение ИБ, что позволяет оптимизировать расходы финансовых средств с точки зрения целесообразности вложений.
ОСНОВНЫЕ ВЫВОДЫ И ПРЕДЛОЖЕНИЯ
1. Исследование проблем обеспечения информационной безопасности показало, что переход к электронным торгам и аукционам, предполагающим существенное расширение применения информационных технологий, дожен учитывать постоянный рост количества и уровня опасности угроз информационной безопасности. Это предопределяет необходимость наличия экономически целесообразной системы информационной безопасности строительной компании.
2. С целью выявления особенностей различных способов и форм проведения торгов был проведён их сравнительный анализ по следующим выделенным критериям: область применения, условия предоставления документации, характер ограничений, порядок извещения, содержание заявки, возможность установления допонительных требований, критерии победы, обеспечение конфиденциальности заявок, время принятия комиссией решения и востребованность системы информационной безопасности для участников.
3. Для оценки экономической эффективности определена экономическая сущность информационной безопасности, как обеспечение продуктивной и экономически эффективной информационной среды посредством оптимизации состава и структуры, технологических средств, услуг и управления информационной безопасностью, позволяющих снизить риски расширенного воспроизводства строительной компании, повысить надёжность её функционирования. Также выявлены особенности оборота и значимость информационных ресурсов в инвестиционно-строительной деятельности на всех этапах реализации строительного проекта.
4. Следуя основам теории управления, система информационной безопасности рассматривалась как подсистема системы менеджмента строительной компании, областью применения которой являются так называемые информационные риски, связанные с нарушениями режима информационной безопасности, а целью Ч минимизация рисков причинения ущерба интересам строительной компании. Эти угрозы и риски были структурированы и систематизированы с учётом различных последствий нарушения режима ин-
формационной безопасности строительной компании.
5. Отраслевые особенности проекта внедрения и эксплуатации системы информационной безопасности предопределили необходимость формирования системы принципов оценки её экономической эффективности. На их основе была разработана методика оценки экономической эффективности, состоящая из трех стадий: расчёт затрат, оценка получаемой прибыли и их сопоставление. Предложен итеративный подход к оценке, позволяющий оптимизировать затраты на информационную безопасность.
6. Проведённый анализ установил, что в качестве метода оценки затратной части создания системы информационной безопасности целесообразно воспользоваться методикой совокупной стоимости владения, которая в настоящее время позволяет достаточно поно оценить затраты, разделяя их по категориям, учитывающим специфику объекта исследования.
7. Для оценки выгод от применения системы информационной безопасности предложена оценка рисков. Для этого разработана модель угроз, основанная на оценке динамики рисков утраты информационными ресурсами свойств информационной безопасности. При этом, в диссертационном исследовании была сформирована расчётная модель, позволяющая учитывать выбранное множество угроз деятельности строительной компании в условиях участия в торгах по размещению государственного строительного заказа.
Публикации, содержащие основные положения диссертационной работы
Статьи, опубликованные в ведущих рецензируемых научных журналах и изданиях, рекомендованных Высшей аттестационной комиссией Министерства образования и науки Российской федерации:
1. Петров К.В., Обухов А.Б. Коммуникационный менеджмент: статья затрат или источник дохода? Журнал Предпринимательство, № 4, 2007 г. Ч 0,25 пл., в т.ч. лично автором Ч 0,15 п.л.
2. Петров К.В., Мурашова О.В. Формирование методического подхода к обоснованию: эффективности инвестиций в создание линтелектуальных зданий в России.Вестник Университета (ГУУ), 2010 г.0,3 п.л., в т.ч. лично авторомЧ 0,15 п.л.
Статьи, опубликованные в других научных журналах и изданиях:
1.Петров К.В. Экономическая эффективность разработки и внедрения системы информационной безопасности девелоперской компании. // Экспресс-информация. Зарубежный и отечественный опыт. Серия: Экономика, организация и управление в строительстве. Выпуск 4. - М.: ВНИИНТПИ, 2007 г., 2,0 п.л.
2. Петров КЗ. Информационная безопасность в деятельности девелоперских компаний и экономическая эффективность обеспечивающей её подсистемы. Актуальные проблемы в инвестиционно-строительной сфере, недвижимостил жилищно-коммунальном комплексе. II часть: Материалы Международной научно-практической конференции. - Иркутск: Изд-во ИрГТУ, 2007, -114 с. Ч0,35 п.л.
3. Петров К.В., Шраер Д.А. Подходы к управлению информационной безопасностью девелопмента. Очерки экономической науки. Актуальные проблемы. Часть II / Под общ. ред. Яськовой Н.Ю. - М.: КЦ МАГМУ, 2006 г. Ч 0,35 п.л., в т.ч. лично автором Ч 0,25 пл.
4. Петров К.В., Яськова Н.Ю. Проблемы управления возможностями информационной безопасности деятельности девелоперских компаний. Сборник научных трудов Проблемы экономики и управления в инвестиционно-строительной сфере / под ред. д.э,н., проф. Гумба Х.М. - М.: МГСУ, 2006 г., 259 с. 0,65 пл., в т.ч. лично автором Ч 0,4 пл.
5. Петров К.В. Подходы к оценке экономической эффективности разработки и внедрения системы информационной безопасности девелоперской компании. Строительство Ч формирование среды жизнедеятельности: научные труды Юбилейной Десятой международной межвузовской научно-практической конференции молодых учёных, докторантов и аспирантов (25-26 апреля 2007 г.) / М.:- МГСУ, 2007. - 582 с. Ч 0,35 п.л.
6. Петров К.В. Инфляция, ее причины и влияние на строительную отрасль в условиях стагнации мировой кредитно-финансовой системы. Научные труды колектива кафедры Экономики и управления в строительстве / Под ред. Д-ра экон. наук, проф. Гумбы Х.М. / -М.: МГСУ, 2007 г. - 256 стр. Ч 0,3 пл.
КОПИ-ЦЕНТР св. 7:07:10429 Тираж 100 экз. г. Москва, ул. Енисейская, д.36 тел.: 8-499-185-7954, 8-906-787-7086
Диссертация: содержание автор диссертационного исследования: кандидат экономических наук , Петров, Кирил Владимирович
Введение.Ф
Глава I. Исследование современных тенденций согласования экономических интересов участников строительства
1.1. Выявление участников строительства, имеющих потенциал восстановительного роста в условиях использования современных механизмов согласования экономических интересов.
1.2. Анализ условий проведения торгов для нуяед государственного строительного заказа и требований законодательства.
1.3. Сравнительный-анализ преимуществ и недостатков различных форм проведения торгов.
1.4. Выводы.Главы 1.
Глава II. Экономическая сущность системы информационной безопасности в различных проекциях деятельности строительной компании
2.1. Определение назначения, целей и задач системы информационной безопасности с учётом существующих угроз восстановительного роста и развития строительства.
2.2. Исследование структуры и функций системы информационной безопасности строительной компании.
2.3. Определение экономической сущности системы информационной безопасности и исследование её проявлений в различных проекциях деятельности строительной компании.
2.4. Выводы Главы II.
Глава III. Разработка методики оценки экономической эффективности системы информационной безопасности строительной компании
3.1. Формирование принципов оценкиэкономической эффективности системы информационной безопасности строительной компании.
3.2. Разработка основ оценки затрат на создание и эксплуатацию системы информационной безопасности строительной компании.
3.3. Формирование методики оценки экономической эффективности системы информационной безопасности строительной компании.
3.4. Выводы Главы III.
Диссертация: введение по экономике, на тему "Оценка экономической эффективности информационной безопасности участия строительной компании в электронных торгах"
Актуальность темы диссертационного исследования определяется несколькими факторами.
Во-первых, информационная безопасность деятельности* строительной компании является необходимым условием её конкурентоспособности и выживания в современных условиях. Существующие тенденции, такие как постоянный экспоненциальный рост количества и уровня опасности угроз, широкое распространение уязвимостей программного и аппаратного обеспечения и хроническое отставание разработки средств защиты от появления средств нападения, предопределяют неуклонное повышение информационных рисков обеспечения непрерывности деятельности строительной компании. При этом поддержание конкурентоспособности в современной информационной экономической среде невозможно осуществить без обеспечения стабильной, надёжной и эффективной информационной инфраструктуры предприятия.
Во-вторых, возрастание информационных рисков является причиной постоянного роста размеров потенциального ущерба, что предопределяет необходимость обеспечения защиты от существующих и будущих угроз, что возможно только при создании и поддержании системы информационной безопасности строительной компании. И эта деятельность требует существенных и обязательных капиталовложений, эффективность которых необходимо адекватно оценить.
И, в-третьих, обеспечение информационной безопасности требуется законодательством РФ и является необходимым условием участия в электронных торгах, посредством которых, начиная с 1-го июля 2010 года, в обязательном порядке заключаются все контракты с государственными организациями, выступающими в качестве заказчика. В ходе исследования было выявлено определяющее значение государственных заказчиков для восстановительного роста экономики государства в целом и строительной отрасли в частности, так как именно госзаказчики являются источником стабильного и платежеспособного спроса на продукцию и услуги строительства.
Вышеуказанные факторы предопределили тему, цель и задачи исследования.
Целью диссертационного исследования является разработка методики оценки экономической эффективности информационной безопасности участия строительных компаний в электронных торгах по размещению государственного строительного заказа.
В соответствии с целью исследования поставлены и решены следующие задачи:
1. Определены участники инвестиционно-строительной деятельности, имеющие потенциал восстановительного роста и развития, а также условия их эффективного взаимодействия.
2. Систематизированы последствия утраты информационными ресурсами свойств информационной безопасности деятельности строительной компании на различных этапах реализации строительных проектов.
3. Выявлены особенности определения экономической эффективности информационной безопасности участия строительной компании в торгах по размещению государственного строительного заказа.
4. Разработана методика оценки экономической эффективности информационной безопасности участия строительной компании в открытых электронных торгах по размещению государственных строительных заказов.
Объект исследования: системы информационной безопасности строительных компаний.
Предмет исследования: научно-практические и методические подходы к оценке экономической эффективности информационной безопасности участия строительной компании в электронных торгах по размещению государственного строительного заказа.
Теоретической и методологической основой исследования послужили: законодательные и другие нормативные акты Российской Федерации, регламентирующие процессы информатизации в строительстве; диалектический метод познания; объективные экономические законы и. фундаментальные труды классиков-экономических теорий; работы российских и зарубежных учёных, посвященных теории управления, теории принятия решений, проблемам развития и оценки эффективности деятельности в условиях рыночной экономики, теории и практики организационного проектирования; достижения мировой и отечественной-экономической науки, методические разработки, публикации и результаты прикладных исследований по исследуемым проблемам.
Диссертационное исследование базировалось на трудах следующих отечественных и зарубежных учёных: Андерсена Р., Асаула А.Н., Берга В.Н., Вокова С.Н., Грабового П.Г., Крассова О.И., Кришнана Р., Лукмановой И.Г., Орлова А.И, Рябинина И.А., Шраера Д.А., Яськовой НЛО. и др. В нем нашли применение следующие общенаучные методы: абстрактно-логический, финансового и экономического анализа, управления проектом, экономико-математические методы, методы наблюдения, экспертных оценок, организационного проектирования и др: Статистическую базу исследования составили материалы государственных статистических органов, результаты исследований независимых информационных служб, авторитетных научных учреждений^ и экспертов, информация, полученная в ходе опросов руководителей строительных организаций.
Научная новизна работы заключается в выявлении особенностей оборота информационных ресурсов на различных этапах инвестиционно-строительного проекта с последующим обоснованием и разработкой методических рекомендаций оценки экономической-эффективности информационной безопасности участия строительной компании в электронных торгах по размещению государственных строительных заказов на основе учёта динамики рисков утраты информационными ресурсами свойств информационной безопасности.
Научные результаты, полученные лично автором:
1) выявлены условия эффективного взаимодействия участников строительства на основе сравнительной характеристики видов и форм проведения торгов по размещению государственного строительного заказа и формулировки требований к информационной безопасности их участников;
2) исследованы экономические последствия утраты информационными ресурсами строительной компании свойств информационной безопасности на различных этапах реализации строительного проекта, включая участие в электронных торгах по размещению государственных строительных заказов;
3) сформированы и систематизированы принципы оценки экономической эффективности информационной безопасности, строительной компании на основе идентификации и анализа её экономической сущности с учётом отраслевой специфики;
4) разработана итеративная методика оценки экономической эффективности информационной безопасности строительной компании, позволяющая оптимизировать затраты по критерию снижения вероятностей утраты информационными ресурсами свойств информационной безопасности.
На защиту выносятся:
1. Виды и состав информационных ресурсов строительной компании, а также экономические последствия утраты ими свойств информационной безопасности на различных этапах реализации строительного проекта.
2. Система принципов оценки экономической эффективности информационной безопасности участия строительной компании в электронных торгах.
3. Методика оценки экономической эффективности информационной безопасности участия строительной компании в электронных торгах для нужд государственного строительного заказа.
Практическая значимость данной работы состоит в возможности повышения эффективности вложений средств в обеспечение информационной безопасности строительной компании с учётом актуальных требований законодательства к проведению для нужд государственного заказа открытых аукционов и конкурсов в электронной форме.
Достоверность полученных результатов основывается на применении репрезентативного объёма статистической и управленческой отчётности строительных компаний за период с 2000 до середины 2010 года, использовании аналитических и статистических данных Федеральной службы государственной статистики РФ, отражающих развитие экономики России и строительной отрасли за аналогичный период, а также подтверждается практической апробацией результатов исследования.
Основные положения диссертационной работы были представлены в виде доклада на юбилейной Десятой международной межвузовской научно-практической конференции молодых ученых, докторантов и аспирантов в г. Иркутск (апрель 2007 г.), на Открытой конференции молодых учёных, проводимой в МГСУ (март 2010 г), а также на Семинаре Российской академии естественных наук (июнь 2010 г.).
Диссертация: заключение по теме "Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда", Петров, Кирил Владимирович
Основные выводы и предложения
Г. Исследование проблем обеспечения информационной'безопасности показало, что переход к электронным, торгам и аукционам, предполагающим существенное расширение применения информационных технологий, дожен учитывать постоянный рост количества и уровня1 опасности угроз информационной безопасности. Это предопределяет необходимость наличия экономически целесообразной системы информационной безопасности строительной компании.
2. С целью выявления особенностей различных способов и форм проведения торгов был проведён их сравнительный анализ по следующим выделенным критериям: область применения, условия предоставления документаI ции, характер ограничений, порядок извещения, содержание заявки, возможность установления- допонительных требований, критерии победы, обеспечение конфиденциальности заявок, время принятия комиссией решения и востребованность системы информационной безопасности для участников.
3. Для оценки экономической эффективности определена экономическая сущность информационной безопасности, как обеспечение продуктивной и экономически эффективной'информационной среды посредством'оптимизации состава и структуры, технологических средств, услуг и управления информационной безопасностью, позволяющих снизить риски расширенного воспроизводства строительной компании, повысить надёжность её функционирования. Также выявлены особенности оборота и значимость информационных ресурсов в инвестиционно-строительной-деятельности на всех этапах реализации строительного проекта.
4. Следуя основам теории управления, система информационной безопасности рассматривалась как подсистема системы менеджмента строительной' компании, областью применения которой являются так называемые информационные риски, связанные с нарушениями режима информационной безопасности, а целью Ч минимизация рисков причинения ущерба интересам строительной компании. Эти угрозы и риски были структурированы и систематизированы с учётом различных последствий нарушения режима информационной безопасности строительнойкомпании.
5.Отраслевые особенности проекта внедрения и эксплуатации'системы информационной безопасности предопределили необходимость формирования системы принципов оценки её экономической эффективности. На их основе была разработана методика оценки экономической эффективности, состоящая из трех стадий: расчёт затрат, оценка получаемой прибыли и их сопоставление. Предложен итеративный подход к оценке, позволяющий оптимизировать затраты на информационную безопасность.
6. Проведённый анализ установил, что' в качестве метода оценки затратной части создания системы информационной безопасности целесообразно воспользоваться методикой совокупной стоимости владения, которая в настоящее время позволяет достаточно поно оценить затраты, разделяя их по категориям, учитывающим специфику объекта исследования.
7. Для оценки выгод от применения системы информационной безопасности предложена оценка рисков. Для этого разработана модель угроз, основанная на оценке динамики рисков утраты информационными ресурсами свойств информационной безопасности. При этом, в диссертационном исследовании была сформирована расчётная модель, позволяющая учитывать выбранное множество угроз деятельности строительной компании в условиях участия в торгах по размещению государственного строительного заказа.
Заключение
Предложенный, подход* позволяет оценивать вероятность нанесения* ущерба через оценку вероятности5 одновременного выхода-из строя некоторого множества модулей' информационной инфраструктуры СК, что приведёт к росту потенциального ущерба как в форме прямых убытков, так и косвенных, связанных с утратой конкурентного преимущества при участии в электронных торгах, а это в свою очередь с высокой вероятностью лишает участие в них смысла.
Предложенная методика, основанная на соединении методики определения совокупной-стоимости владения?и сочетания способов выявления суммарного положительного эффекта от реализации проекта создания СИБ, позволяет не только произвести оценку экономической эффективности СИБ на этапе принятия решения о> её-внедрении, так и оптимизировать имеющуюся структуру по критерию максимальной защищённости чувствительной'информации с минимальными затратами.
Диссертация: библиография по экономике, кандидат экономических наук , Петров, Кирил Владимирович, Москва
1. Гражданский кодекс (ГК РФ). "Статья 946. Тайна страхования".
2. Кодекс об административных правонарушениях (КоАП РФ). "Статья1311. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)".
3. Кодекс об административных правонарушениях (КоАП РФ). "Статья 13.14. Разглашение информации с ограниченным доступом".
4. Кодекс об административных правонарушениях (КоАП РФ). "Статья 5.39. Отказ в предоставлении гражданину информации".
5. Уголовный Кодекс Российской Федерации. "Статья 137. Нарушение неприкосновенности частной жизни".
6. Уголовный Кодекс Российской Федерации. "Статья 140. Отказ в предоставлении гражданину информации".
7. Уголовный Кодекс Российской Федерации. "Статья 272. Неправомерный доступ к компьютерной информации".
8. Федеральный Закон N 257-ФЗ от 08.11.2007. "Об автомобильных дорогах и о дорожной деятельности в Российской Федерации и о внесении изменений в отдельные законодательные акты Российской Федерации".
9. Федеральный Закон № 135-Ф3 от 26 июля 2006. "О защите конкуренции" гл.1, ст. 4, п. 9.
10. Федеральный закон № 152-ФЗ от 27.07.2006 . "О персональных данных".
11. Федеральный Закон № 155-ФЗ от 17.07.2009: "О'внесении изменений в отдельные законодательные акты Российской Федерации":
12. Федеральный Закон № 160-ФЗ-от 23.07.2008. "О внесении изменений. в отдельные законодательные акты Российской Федерации в* связи; с совершенствованием с осуществления* пономочий правительства? Российской Федерации".
13. Федеральный закон № 164-ФЗ < от 17.07.2009. "О внесении изменений в Федеральный закон "О защите конкуренции" и отдельные законодательные акты Российской Федерации".
14. Федеральный Закрн № 207-ФЗ от 31.12.2005. "О внесении изменений в Федеральный закон "О размещении заказов на поставки товаров, выпонение работ, оказание услуг для государственных и муниципальных нужд":
15. Федеральный Закон № 261-ФЗ'от 23.11.2009; "Об энергосбережении и о повышении энергетической эффективности и отнесении изменений в отдельные законодательные акты Российской Федерации".
16. Федеральный Закон,№ 273-Ф3 от 25.11.2009. "О внесении изменений в статью 3.2 федерального закона "О введении в действие градостроительного кодекса Российской Федерации" и отдельные законодательные акты Российской Федерации".
17. Федеральный Закон № 308-Ф3 от 30.12.2008. "О внесении изменений в ФЗ "О размещении заказов на поставки товаров, выпонение работ, оказание услуг для государственных и муниципальных нужд" и отдельные законодательные акты РФ":
18. Федеральный Закон № 316-ФЗ от 17.12.2009. "О внесении изменений в Федеральный Закон "О фонде содействия* реформированию жилищно-коммунального хозяйства" и отдельные законодательные акты Российской Федерации".
19. Федеральный Закон № 53-Ф3 от 20.04.2007. "О внесении изменений в Федеральный закон "О размещении заказов на поставки товаров, выпонение работ, оказание услуг для государственных и муниципальныхнужд" и отдельные законодательные акты РФ".
20. Федеральный Закон № 68-ФЗ от 28.04.2009. "О внесении изменений в статью 55 Федерального Закона "О размещении заказов на поставки товаров, выпонение работ, оказание услуг для государственных и муниципальных нужд".
21. Федеральный Закон № 94-ФЗ'от 21.07.2005. "О размещении,заказов на поставки товаров, выпонение работ, оказание услуг для государственных и муниципальных нужд".
22. Федеральный закон № 98-ФЗ от 29.07.2004. "О коммерческой тайне"!
23. Федеральный закон ФЗ № 149 от 27.07.2006. "Об- информации, информационных технологиях и защите информации".
24. Постановление Правительства РФ № 758 от 6.11.2007. О государственной аккредитации1 организаций, осуществляющих деятельность в области информационных технологий.
25. Распоряжение Правительства Российской Федерации.№755-р от 1июня 2009 г. Об определении операторов для проведения открытых аукционов в электронной форме.
26. Российская газета. Федеральный выпуск №. 5116 от 24* февраля2010 г.
27. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
28. ГОСТ Р ИСО/МЭК 13335-3Ч2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 3 Методы менеджмента безопасности информационных технологий.
29. ГОСТ Р ИСО/МЭК 13335-4-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер .
30. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология, Практические правила управления информационной безопасностью .
31. ГОСТ Р ИСО/МЭК 27000. Информационные технологии. Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь.
32. ГОСТ Р ИСО/МЭК 27001-2006 . Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
33. ГОСТ Р ИСО/МЭК 27003. Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности. Х
34. ГОСТ Р ИСО/МЭК 27004. Информационные технологии. Средства обеспечения безопасности. Измерения менеджмента информационной безопасности.
35. ГОСТ Р ИСО/МЭК 27005-2008. Информационные технологии. Средства обеспечения безопасности. Риск-менеджмент информационной безопасности. .
36. ГОСТ Р ИСО/МЭК 27006. Информационные технологии. Средства обеспечения безопасности. Требования для органов, выпоняющих аудит и сертификацию систем менеджмента информационной безопасности.
37. ГОСТ Р ИСО/МЭК 27007. Информационные технологии'. Средства обеспечения безопасности. Руководящие указания для аудита систем менеджмента информационной безопасности.
38. ГОСТ Р ИСО/МЭК 27011. Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций.
39. Рекомендации по стандартизации (Р 50.1.056-2005). Техническая защита информации. Основные термины и определения.
40. Асаул А.Н. Теория и практика организации и проведения подрядных торгов в регионе / А.Н. Асаул, В.П. Грахов, В.А. Кощеев, В.Е. Чибисов. Под ред. д.э.н., проф. А.Н. Асаула. СПб.: Гуманистика. - 2005 г.
41. Асаул А.Н. и др. Организация и проведение подрядных торгов в строительстве / Асаул А.Н., Грахов В.П., Кощеев В.А., Чибисов И.Е. М.: Гуманистика, 2004 г. 240 с.
42. Бартон Т.П., Шенкир У.Е, Уокер П.Л. Риск-менеджмент: практика, ведущих компаний. Ч М.: Вильяме, 2008 . Ч 207 с.
43. Богатин! Ю.В., Шандер* В.А. Оценка эффективности бизнеса и инвестиций: Учебное пособие для,ВУЗов. Mt: Финансы, ЮНИТИ-ДАНА, 1999.
44. Бородин И.А. Основы, психологии корпоративной безопасности. Ч М.: Высшая школа психологии, 2004. Ч 160 с.
45. Вентцель Е.С., Овчаров JI.A. Теория вероятностей и ее инженерные приложения. Учеб. пособие для втузов. 2-е изд., стер. - М.: Высш. шк., 2000. -480 с.
46. Гончаренко Л.П., Филин С.А. Риск-менеджмент: учебное пособие / Рос. экон. акад. им. Г.В. Плеханова; под ред. Е.А. Олейникова. Изд. 2-е, стер. Ч М. : КНОРУС, 2007 .-215с.
47. Грабовый П.Г. и др. Оценка риска деятельности предприятий. / Грабовый П.Г., С.Н.Петрова, С.И.Потавцев, КПРоманова, В.Б.Хрусталев, С.М.Яро-венко. -М: Издательство Алане. 1994. -200 с.
48. Гранатуров В.М. Экономический риск: сущность, методы измерения, пути снижения : Учеб. пособие. 2-е изд., перераб. и доп. - М.: Дело и Сервис, 2002.-159 с.
49. Домарев B.B. Безопасность информационных технологий. Системный подход. ТИД ДС, 2004 - 212 с.
50. Кощеев В. А. Маркетинго-ориентированная концепция управления государственным строительным заказом. Экономическое возрождение России в XXI веке: научные труды вольного экономического общества, т. 69 Ч М, СПб :1. ВЭО, 2006 г.
51. Кощеев В. А. Проблемы формирования и реализации государственного строительного заказа. СПб : AHO ИПЭВ. - 2008 г. - 300 с.
52. Мазур И.И. и др Девелопмент: учебное пособие / Мазур И.И., Ольде-рогге Н.Г., Шапиро В.Д. под общ. ред. проф. И.И. Мазура. М.: ЗАО Издательство Экономика, 2004. - 521 с.
53. Нежданов И.Ю., Ромачев Р.В. Конкурентная разведка. М.: Ось-89,2008 г.
54. Орлов А.И. Теория принятия решений. Учебное пособие. М.: Издательство "Март", 2004. - 656 с.
55. Райзберг Б.А., Лозовский Л.Ш., Стародубцева Е.Б. Современный экономический словарь, -М.: Инфра-М, 2006 г. - 512 с.
56. Федотов Н. В., Алешин В. А. Оценка и нейтрализация рисков в информационных системах: Методическое пособие по курсу Основы информационной безопасности / Под ред. Н.В. Медведева. М.: Изд-во МГТУ им. НЭ.Баумана, 2004, - 52 с.
57. Чудинов А.Ю. Управление инвестиционными рисками в строительстве / Дис. канд. экон. наук: 08.00.05 .- СПб., 2006 174 с.ил. - Библиогр.: с.163-174.
58. Ющук Е.Л. Конкурентная разведка: маркетинг рисков и возможностей. М.: Вершина, 2006, - 240 с.
59. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. ЧМ.: Академический Проект; Гаудеамус, 2-е изд.Ч 2004. Ч 544 с.
60. Ананский Е.В. Защита информации Ч основа безопасности бизнеса // Служба безопасности. 1999. - №9-10. - С.18-20.
61. Бакрунов Ю.О. Инвестиционно-строительная деятельность девелоперских компаний в условиях современной России. // Зарубежный и отечественный опыт в строительстве: ОИУ ВНИИНТПИ. Ч 2006. №2.
62. Баталова К., Смирнов, А*. Правительство ограничили в потребительских правах // "Газета?, №239 от 18 декабря,2009.
63. Бойетг Д. Г. , Бойетт Д. Т. Лучшие идеи' мастеров управления. М. : Ирвин (Eleventh Edition), 2001 г.
64. Верховский И.Е. Интервью с начальником отделапо развитию подрядных торгов и договорных отношений Управления по взаимодействию с субъектами РФ Госстроя России Верховским И.Е. // Строительная газета, 13 апреля 2001 г., №15.
65. Гладков А.А. На конкурсной основе всегда ли торги? // Сборник докладов по материалам Ш Всероссийской практической конференции-семинара Государственные и муниципальные закупки 2008. - М.: Юриспруденция, 2008. г.
66. Еременко В.И. Недобросовестная конкуренция и исключительные права на результаты, интелектуальной собственности. // Законодательство и экономика, 2002 г. - №7.
67. Марков А., Цирлов В. Управление рисками нормативный вакуум информационной безопасности. //Открытые системы - №8 - 2007.
68. Нестерович Н.В. 94-ФЗ: как найти экономию? // журнал Госказаз: управление, размещение, обеспечение, № 12,2008'г.
69. Остапенко Г.А. Оценка рисков и защищенности атакуемых кибернетических систем на основе дискретных распределений случайных величин. //Информация и безопасность: Регион: науч.-техн: журнал. Воронеж. 2005. Вып. 2. - С. 70 - 75.
70. Панарин В.В. Девелопмент как вид предпринимательской деятельности // Проблемы экономики современных промышленных комплексов. Сб. ст. IV-й Всероссийской научно-практической конференции. Вып. 4. Самара,- 2008 г. с. 44-48.
71. Петренко С.А., Симонов C.B. Управление информационными рискауми. // Экономически оправданная безопасность. -М.:АйТи-Пресс, 2004. Ч384'с.
72. Петренко G.A., Терехова Е.М. Оценка затрат на защиту информации. // Информационно-методический журнал Защита информации. Инсайд, №1 январь-февраль 2005 г.
73. Петров К.В. Нравственные причины экономического кризиса // доклад на Конференции молодых учёных, проводимый на каф. ЭУС, МГСУ, 2009 г.
74. Петров К.В. Инфляция, её причины и влияние на строительную отрасль в условиях стагнации мировой, кредитно-финансовой системы. // Научные труды колектива кафедры ЭУС / под общ. ред. д-ра экон. наук, проф. Гумбы Х.М., -М.: МГСУ, 2007 г. 256 стр.
75. Петров К.В., Обухов А.Б. Коммуникационный менеджмент:, статья затрат или источник, дохода?// Журнал Предпринимательство, № 4, 2007г. .,91;. Иеченкин И.А. Доклад Конкурентная! разведка или промышленный шпионаж?. ООО Информбюро.
76. Семенов Ю. А. Протоколы Интернет для электронной торговли. // Телеком- М. : Горячая линия., 200Зг.
77. Смирнов A.G. Кто заплатит за сарай? // журнал "Управленческий учет и бюджетирование" №3, 2008.
78. Смирнов В.И. Закон антинаучен и антипрактичен (о законе № 94-ФЗ от 21.07.2005 г.) // журнал Госзаказ, № 2, с. 66-71, 2005 г.
79. Фроловская Т., Зубков К. Промышленность на дне // Ежеднев -ная аналитическая газета РБК daily. 17.02.2009
80. Шраер Д'А:, Петров. К.В. Подходы к управлению информационной безопасностью девелопмента; // Очерки экономической; науки. Актуальные проблемы. Часть II. / под общ. ред. Яськовой Н.Ю. Mi: КЦ МАГМУ, 2006 - 362 стр.
81. Яськова Н.Ю., Каменецкий М.И., Кризис отечественной модели управления строительством и рынком недвижимости. // Экономика, строительства; 2009 , - № 3, с.2 -13.
82. Видеоблог Дмитрия Медведева "Видеоблог Президента России." : Электронный ресурс. Режим доступа: Ссыка на домен более не работает
83. ЗАО "ММВБ Информационные технологии." : Электронный* ресурс. - Режим доступа: Ссыка на домен более не работаетparticipation/info/contacts
84. ЗАО "Сбербанк Автоматизированная система торгов." : Электронный ресурс. - Режим доступа: Ссыка на домен более не работает
85. Интернет-журнал Info-Crisis " Ч актуальная информация о разiвитии финансового кризиса в России и за рубежом." : Электронный ресурс. -Режим доступа: Ссыка на домен более не работает
86. Консатинговая группа "Ценный Совет." : Электронный ресурс. -Режим доступа: Ссыка на домен более не работаетElektronnyie-torgi/
87. Кошечкин С.А. "Методы количественного анализа риска инвестиционных проектов." : Электронный ресурс. Режим доступа: Ссыка на домен более не работаетarticles/investment/3.htm
88. Мировой, кризис " Ч интернет портал." : Электронный ресурс. -Режим доступа: Ссыка на домен более не работает
89. Национальная ассоциация участников электронной торговли (НАУЭТ). Официальный сайт "Отчёты о деятельности." : Электронный ресурс. Режим доступа: Ссыка на домен более не работает
90. ООО "Индексное агентство РТС." : Электронный ресурс. -Режим доступа: Ссыка на домен более не работает
91. Официальный сайт Департамента города Москвы по конкурентной политике "У России и Англии много общего. В системе электронных аукционов;" : ; Электронный ресурс., 02.12.2009 Режим доступа: Ссыка на домен более не работает
92. Российская Ассоциация?электронных коммуникаций :(РАЭК) ''Первое- в: России масштабное' исследование; по спаму по- итогам 2009 года." : Электронный;. ресурс. Режим доступа: Ссыка на домен более не работаетnews/ meeting 100203/
93. Росэторг,, ОАО "Единая электронная; торговая площадка." : Электронный ресурс.!- Режим доступа: Ссыка на домен более не работает
94. ФГУП "Агентство по государственному заказу, инвестиционной деятельности и межрегиональным связям Республики Татарстан/' : Электронный ресурс. Режим доступа: Ссыка на домен более не работает
95. Федеральная;антимонопольная, служба (ФАС) России, Официальный, сайт "Контроль над размещением госзаказов", подраздел "Отчёты." : Электронный ресурс.; Режим доступа: Ссыка на домен более не работаетstateorder/reports/index.shtml
96. Федеральная; служба государственной; статистики "О деловой активности в строительстве в Ь квартале 2010 года." : Электронный ресурс. -Режим доступа: Ссыка на домен более не работает Х ' л
97. ФЦП Электронная Россия "Официальный сайт." : Электронный ресурс. Режим;доступа: Ссыка на домен более не работает1. Иностранные источники
98. Anderson; R. Why information security is hard-an economic perspective. In: ACSAC '01: Proceedings of the 17thi Annual Computer Security Applications Conference, Washington, DC, US A,.IEEE Computer Society (2001).
99. Arora Ashish, Krishnan Ramayya, Yang Y.:. Empirical analysis ofsoftware vendors patching behavior, impact of vulnerability disclosure. Technical report, Carnegie Mellon University (2006).
100. Frei S., Tellenbach В., Plattner В. 0-Day Patch Exposing Vendors (Insecurity Performance, Computer Engineering and Networks Laboratory (TIK) - Swiss FederaMnstitute of Technology, ETH Zurich, BlackHat 2008 Europe, 27-Mar-2008-Amsterdam NL.
101. NIST 800-30. Risk Management Guide for Information Technology Systems.
102. Ernst & Young. "Outpacing change: Ernst & Young's 12-th annual global information security survey, 22 oct 2009." :Electronic resource. Access mode: Ссыка на домен более не работаетPublication/vwLU Assets/12thannualGISS/$FILE/ 12thannual GISS.pdf
103. Forum of Incident Response and Security Teams. "Форум групп по анализу инцидентов информационной безопасности" :Electronic resource. -Access mode: Ссыка на домен более не работаетcvss/
104. KPMG. "E-crime survey 2009. Conducted by The 7th Annual e-Crime Congress in partnership with KPMG." :Electronic resource. Access mode: Ссыка на домен более не работаетecrime2009/documents/e-CrimeSurvey2009 AKJKPMGm.pdf
105. Symantec. "Global ISTR XV Vulnerability Highlights, april 2010" : Electronic resource. Access mode: Ссыка на домен более не работаетconnect/blogs/ symantec-global-istr-xv-vulnerability-highlights
106. The MITRE Corporation. "Common Vulnerabilities and Exposures. База данных уязвимостей." :Electronic resource. Access mode: Ссыка на домен более не работает
107. Web Application Security Consortium. "Консорциум по безопасности интернет-приложений." : Electronic resource. Access mode: Ссыка на домен более не работаетprojects/threat/
Похожие диссертации
- Формирование экономической и структурной политики в газовом секторе экономики России
- Формирование механизма управления строительным комплексом специального назначения
- Противодействие теневой экономике в системе обеспечения экономической безопасности России
- Разработка методов обоснования параметров процесса капитализации объектов жилищного строительства
- Оценка экономической эффективности развития автодорожной сети Сибири с привлечением частных инвесторов