CC BY
87
Н.И. ГЛУХОВ
внутрихозяйственное и внутрифирменное планирование. Приставка «внутри» уже сама по себе говорит об углублении и сужении смысла изучаемой категории. Таким образом, мы решаем сразу несколько текущих задач: во-первых, раскрываем следующий уровень иерархии планирования; во-вторых, постепенно сужаем поле смысла, с которым будем работать в дальнейшем; в-третьих, мы вплотную подошли к раскрытию второго, прикладного значения термина «планирование», которое мы обозначили вначале; и, наконец, в-четвертых, мы делаем первый шаг к систематизации разрозненных эпитетов, относимых к планированию в различных литературных источниках.
Под внутрихозяйственным планированием, по нашему мнению, следует понимать планирование на уровне народного хозяйства в целом — на уровне государства или регионов (субъектов государственного управления). Несмотря на полный развал и отсутствие на сегодняшний день определенных шагов по развитию (после того архиважного значения, которое придавалось государственному планированию до краха социалистический экономики) в этой сфере, мы не будем углубляться в данную тему.
Цель нашего исследования направлена на изучение внутрифирменного планирования в его теоретическом, практическом, прикладном смыслах.
Внутрифирменное планирование, или, иначе, планирование на предприятии, будет значительно отличаться от того «идеального» планирования, которое мы описали как некий процесс, существующий в рамках экономической науки.
Планирование на предприятии теряет свою самостоятельность и «обрастает» преимущественно прикладным смыслом, который неотъемлем от процессов, связанных с функционированием хозяйствующей единицы в среде.
Примечания
1 Бухалков М.И. Внутрифирменное планирование: учеб. М., 2000. С. 5-7.
2 Там же.
3 Ильин А.И., Синица Л.М. Планирование на предприятии: учеб. пособие: в 2 ч. / под общ. ред. А.И. Ильина. Минск, 2000. Ч. 2.
4 Гумба Х.М. Экономика строительных организаций. М., 1998. С. 56-58.
5 Ильин А.И., Синица Л.М. Указ. соч. С. 6.
6 Шумпетер И. Теория экономического развития. М., 1982. С. 154.
7 Бухалков М.И. Указ. соч. С. 11.
УДК 330.131.7 Н.И. ГЛУХОВ
ББК 65.112.121 зав. кафедрой организации и технологии защиты информации
Сибирской академии права, экономики и управления, г. Иркутск
e-mail: [email protected]
МЕТОДИЧЕСКИЕ ВОПРОСЫ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ ХОЗЯЙСТВУЮЩИХ СУБЪЕКТОВ
Рассматривается проблема оценки информационных рисков хозяйствующих субъектов. Выявлены основные угрозы информационным активам предприятия, связанные с человеческим фактором. Представлена многофакторная модель оценки информационных рисков хозяйствующих субъектов, включающая предложенные автором дополнительные критерии оценки.
Ключевые слова: информационные активы, информационные риски, оценка информационных рисков, модель оценки информационных рисков.
В современном деловом мире объективное возрастание информационных потребностей организаций приводит к превращению информации в неотъемлемый и ценный актив хозяйствующих субъектов.
В свою очередь, возрастающая зависимость деятельности предприятий от информационных систем и технологий приводит к тому, что хозяйствующие субъекты становятся уязвимыми по отношению к угрозам раз-
© Н.И. Глухое, 2009
личного рода. Все чаще реализуются такие угрозы, как мошенничество, вредительство, промышленный шпионаж, компьютерные взломы, заражения компьютерных информационных систем вредоносными программами и др. Поэтому информационные активы предприятий, подобно любым другим активам, нуждаются в сохранности.
Информационные риски определяются вероятностью причинения ущерба и величиной ущерба, наносимого субъекту хозяйствования в случае осуществления угрозы безопасности информационным активам.
В общей структуре рисков хозяйствующего субъекта информационные риски пронизывают все остальные риски, поскольку они рассматриваются в результате применения компанией информационных технологий, т.е. связаны с созданием, передачей, хранением и использованием информации.
Анализ основных угроз информационным активам предприятий позволяет выявить следующие тревожные симптомы в сфере обеспечения безопасности информационных активов:
- возрастает скорость изменений и сложность информационных рисков;
- проявляются тенденции возрастания количества внутренних угроз, исходящих от сотрудников организаций (инсайдеров);
- учащаются сбои в работе жизненно важных систем компаний, в том числе информационных систем, что мешает поддержанию непрерывной деятельности предприятий;
- в качестве препятствия на пути построения эффективной системы безопасности информационных активов отмечаются недостаточная информированность сотрудников по этим вопросам, недостаток квалифицированных кадров.
Основными источниками угроз ценной корпоративной информации являются внутренние угрозы, связанные с нарушением правил защиты информационных активов, исходящие от персонала хозяйствующего субъекта. Результаты отечественных и зарубежных исследований показывают, что доля этих угроз составляет 60-80% всех угроз.
Анализируя риски возникновения угроз информационным активам предприятия, с одной стороны, необходимо рассматривать персонал как самостоятельный объект за-
щиты от различных угроз, таких как переманивание конкурентами ведущих руководителей и специалистов организации, вербовка сотрудников предприятия конкурирующими и криминальными структурами, шантаж или другие угрозы в адрес конкретных сотрудников с целью склонения их к совершению различных должностных нарушений.
С другой стороны, персонал может сам выступать в роли субъекта многочисленных угроз безопасности предприятия, реализуемых в форме разглашения конфиденциальных сведений сотрудниками предприятия (умышленного — как форма коррупции или неумышленного — вследствие низкой ответственности сотрудников), саботажа (например, сознательное уничтожение или искажение информации), прямого хищения денежных средств и ценных сведений, хищения конфиденциальной информации с использованием компьютерных технологий.
Деятельность по оценке информационных рисков включает в себя идентификацию информационных активов, оценку угроз и возможного ущерба с учетом уровня защищенности информационных активов. Существуют различные подходы к оценке информационных рисков, выбор которых зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности. От полученной оценки выявленного риска зависит ответственное принятие решения о стратегии, форме защиты, финансировании, страховании, структуре капитала, создании резервного фонда и т.п.1
С учетом многообразия методов и подходов, применяемых при оценке информационных рисков хозяйствующих субъектов, представляется целесообразным рассмотреть метод моделирования как один из основных методов исследования сложных динамических систем, к которым относятся хозяйствующие субъекты. В данном случае сущность моделирования заключается в том, что взаимосвязь исследуемого показателя риска реализации угроз информационным активам с факторными показателями (вероятность угроз, уровень ущерба при их реализации, уязвимость информационных активов) выражается в форме конкретного математического уравнения2.
На сегодняшний день существует ряд моделей измерения рисков информационной
Известия ИГЭА. 2009. № 2 (64)
НИ. ГЛУХОВ
безопасности экономического субъекта, среди которых наиболее распространенными являются двухфакторная и трехфактор-ная модели оценки рисков. Так, в рамках трехфакторной модели результативный показатель «уровень риска» вычисляется с учетом трех факторных показателей: ценности ресурса, вероятности реализации угрозы и степени уязвимости ресурса3.
Следует отметить, что эффективность оценки рисков зависит от понимания и моделирования взаимосвязей между составными элементами системы защищенности информационных активов (рис. 1).
Представленная модель взаимосвязей между составными элементами системы защищенности информационных активов послужила базой для создания мультиплика-
тивной модели оценивания информационных рисков. Автором предлагается многофакторная модель оценки информационных рисков хозяйствующего субъекта (рис. 2) и формула для определения уровня риска реализации угроз информационным активам:
Р = Ци ■ Ву
Уп +
Утс + Упас + Уорг 3
где Р — уровень риска реализации угроз информационным активам; Ци — ценность информационного актива; Ву — вероятность реализации угрозы информационному активу; Уп — коэффициент степени уязвимости персонала; Утс — коэффициент степени уязвимости технических средств; Упас — коэффициент степени уязвимости программно-аппаратных средств; Уорг — коэффициент степени уязвимости организационных мер.
в защищаемой зоне хозяйствующего субъекта
Рис. 2. Многофакторная модель оценки информационных рисков хозяйствующего субъекта
Известия ИГЭА. 2009. № 2 (64)
Использование многоступенчатого обратного факторного анализа позволяет исследовать причинно-следственные связи между ценностью информации, вероятностью реализации угроз и степенью уязвимости информационных активов (Уи) индуктивным способом (от частных, отдельных факторов к обобщающим) на основе детализации факторов Ву и Уи на составные элементы с целью изучения их сущности и влияния на результативный показатель риска. Фактор Ву включает в себя объективные и субъективные факторы, умышленность-непреднамеренность действий.
Показатель Уи является обобщающим показателем таких факторов, как:
- коэффициент риска, исходящий от персонала (включает в себя степень надежности персонала, которая рассчитывается исходя из ряда факторов — профессиональной подготовки сотрудников, их отрицательных увлечений, отрицательных черт характера);
- коэффициенты уязвимости технических, программно-аппаратных средств обработки информации и организационных мер.
Таким образом, можно отметить, что использование моделирования в деятельности
по оценке информационных рисков хозяйствующих субъектов позволяет проанализировать взаимосвязи между применяемыми показателями, увидеть наиболее уязвимые активы, составить более полное представление о существующих информационных рисках, чтобы принять решение об остаточных рисках и рисках, требующих внимания и средств для их уменьшения или нейтрализации.
С учетом того что оценка информационных рисков представляет собой одно из главных направлений достижения рискозащищенности хозяйствующих субъектов, на современном этапе развития экономики возникает необходимость в совершенствовании существующих методических подходов к оценке информационных рисков хозяйствующих субъектов.
Примечания
1 Симонов С.В. Методология анализа рисков в информационных системах // Защита информации. Конфидент. 2001. № 1. C. 72-76.
2 Симонов С.В. Технологии и инструментарий для управления рисками // Информационный бюллетень «Jet Info». 2003. № 2.
3 Петренко С.А. Управление информационными рисками: Экономически оправданная безопасность. М., 2004.
УДК 338.(075.8) В.Л. ПРИГОЖИН
ББК 65.290-2я73 старший преподаватель
Ангарской государственной технической академии
e-mail: [email protected]
СОВЕРШЕНСТВОВАНИЕ СИСТЕМЫ УПРАВЛЕНИЯ МУНИЦИПАЛЬНОЙ НЕДВИЖИМОСТЬЮ
Рассмотрена система управления муниципальной недвижимостью во взаимосвязи с внешней и внутренней средой, определены направления совершенствования данной системы. Сформулированы основные принципы управления муниципальной недвижимостью.
Ключевые слова: недвижимость, муниципальная недвижимость, система управления, принцип управления, управление недвижимостью.
В настоящее время развитие рыночных отношений в России в значительной мере определяется эффективностью управления объектами муниципальной недвижимости. Муниципальная недвижимость является одной из составляющих экономической основы местного самоуправления и пред-
ставляет собой важный фактор устойчивого социально-экономического развития муниципалитета. Умелое использование этого огромного потенциала может задать приоритеты развития муниципального образования и улучшить уровень и качество жизни населения1.
© В.Л. Пригожин, 2009
