Оценка экономической эффективности информационной безопасности участия строительной компании в электронных торгах

Размещено на http://www.allbest.ru/

ОЦЕНКА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ УЧАСТИЯ

СТРОИТЕЛЬНОЙ КОМПАНИИ В ЭЛЕКТРОННЫХ ТОРГАХ

Специальность: 08.00.05 - Экономика и управление народным хозяйством

(экономика, организация и управление предприятиями, отраслями,

комплексами (строительство))

АВТОРЕФЕРАТ

диссертации на соискание учёной степени

кандидата экономических наук

Петров Кирилл Владимирович

Москва - 2010

Диссертационная работа выполнена в Государственном образовательном учреждении высшего профессионального образования Московском государственном строительном университете.

Научный руководитель: доктор экономических наук, профессор

Яськова Наталья Юрьевна

Официальные оппоненты: доктор экономических наук, профессор

Воронин Михаил Иванович

кандидат экономических наук, доцент

Бакрунов Юрий Октавьевич

Ведущая организация: ГОУ ВПО Самарский государственный

архитектурно-строительный университет

Защита состоится «24» ноября 2010 года в 15 часов на заседании диссертационного совета Д212.138.05 в ГОУ ВПО Московском государственном строительном университете по адресу: 129337, г. Москва, Ярославское шоссе, д. 26, ауд. 326 УЛК.

С диссертацией можно ознакомиться в библиотеке ГОУ ВПО Московском государственном строительном университете по адресу: 129337,

г. Москва, Ярославское шоссе, д. 26.

Автореферат разослан «____ » ____________ 2010 г.

Учёный секретарь диссертационного совета Исаева Г.Л.

компания строительный безопасность информационный

Актуальность темы диссертационного исследования определяется несколькими факторами. Во-первых, информационная безопасность деятельности строительной компании является необходимым условием её конкурентоспособности и выживания в современных условиях. Существующие тенденции, такие как постоянный экспоненциальный рост количества и уровня опасности угроз, широкое распространение уязвимостей программного и аппаратного обеспечения и хроническое отставание разработки средств защиты от появления средств нападения, предопределяют неуклонное повышение информационных рисков обеспечения непрерывности деятельности строительной компании. При этом поддержание конкурентоспособности в современной информационной экономической среде невозможно осуществить без обеспечения стабильной, надёжной и эффективной информационной инфраструктуры предприятия.

Во-вторых, возрастание информационных рисков является причиной постоянного роста размеров потенциального ущерба, что предопределяет необходимость обеспечения защиты от существующих и будущих угроз, что возможно только при создании и поддержании системы информационной безопасности строительной компании. И эта деятельность требует существенных и обязательных капиталовложений, эффективность которых необходимо адекватно оценить.

И, в-третьих, обеспечение информационной безопасности требуется законодательством РФ и является необходимым условием участия в электронных торгах, посредством которых, начиная с 1-го июля 2010 года, в обязательном порядке заключаются все контракты с государственными организациями, выступающими в качестве заказчика. В ходе исследования было выявлено определяющее значение государственных заказчиков для восстановительного роста экономики государства в целом и строительной отрасли в частности, так как именно госзаказчики являются источником стабильного и платежеспособного спроса на продукцию и услуги строительства.

Вышеуказанные факторы предопределили тему, цель и задачи исследования.

Целью диссертационного исследования является разработка методики оценки экономической эффективности информационной безопасности участия строительных компаний в электронных торгах по размещению государственного строительного заказа.

В соответствии с целью исследования поставлены и решены следующие задачи:

1. Определены участники инвестиционно-строительной деятельности, имеющие потенциал восстановительного роста и развития, а также условия их эффективного взаимодействия.

2. Систематизированы последствия утраты информационными ресурсами свойств информационной безопасности деятельности строительной компании на различных этапах реализации строительных проектов.

3. Выявлены особенности определения экономической эффективности информационной безопасности участия строительной компании в торгах по размещению государственного строительного заказа.

4. Разработана методика оценки экономической эффективности информационной безопасности участия строительной компании в открытых электронных торгах по размещению государственных строительных заказов.

Объект исследования: системы информационной безопасности строительных компаний.

Предмет исследования: научно-практические и методические подходы к оценке экономической эффективности информационной безопасности участия строительной компании в электронных торгах по размещению государственного строительного заказа.

Теоретической и методологической основой исследования послужили: законодательные и другие нормативные акты Российской Федерации, регламентирующие процессы информатизации в строительстве; диалектический метод познания; объективные экономические законы и фундаментальные труды классиков экономических теорий; работы российских и зарубежных учёных, посвящённых теории управления, теории принятия решений, проблемам развития и оценки эффективности деятельности в условиях рыночной экономики, теории и практики организационного проектирования; достижения мировой и отечественной экономической науки, методические разработки, публикации и результаты прикладных исследований по исследуемым проблемам.

Диссертационное исследование базировалось на трудах следующих отечественных и зарубежных учёных: Андерсена Р., Асаула А.Н., Берга В.Н., Волкова С.Н., Грабового П.Г., Крассова О.И., Кришнана Р., Лукмановой И.Г., Орлова А.И, Рябинина И.А., Шраера Д.А., Яськовой Н.Ю. и др. В нем нашли применение следующие общенаучные методы: абстрактно-логический, финансового и экономического анализа, управления проектом, экономико-математические методы, методы наблюдения, экспертных оценок, организационного проектирования и др. Статистическую базу исследования составили материалы государственных статистических органов, результаты исследований независимых информационных служб, авторитетных научных учреждений и экспертов, информация, полученная в ходе опросов руководителей строительных организаций.

Научная новизна работы заключается в выявлении особенностей оборота информационных ресурсов на различных этапах инвестиционно-строительного проекта с последующим обоснованием и разработкой методических рекомендаций оценки экономической эффективности информационной безопасности участия строительной компании в электронных торгах по размещению государственных строительных заказов на основе учёта динамики рисков утраты информационными ресурсами свойств информационной безопасности.

Научные результаты, полученные лично автором:

1) выявлены условия эффективного взаимодействия участников строительства на основе сравнительной характеристики видов и форм проведения торгов по размещению государственного строительного заказа и формулировки требований к информационной безопасности их участников;

2) исследованы экономические последствия утраты информационными ресурсами строительной компании свойств информационной безопасности на различных этапах реализации строительного проекта, включая участие в электронных торгах по размещению государственных строительных заказов;

3) сформированы и систематизированы принципы оценки экономической эффективности информационной безопасности строительной компании на основе идентификации и анализа её экономической сущности с учётом отраслевой специфики;

4) разработана итеративная методика оценки экономической эффективности информационной безопасности строительной компании, позволяющая оптимизировать затраты по критерию снижения вероятностей утраты информационными ресурсами свойств информационной безопасности.

На защиту выносятся:

1. Виды и состав информационных ресурсов строительной компании, а также экономические последствия утраты ими свойств информационной безопасности на различных этапах реализации строительного проекта.

2. Система принципов оценки экономической эффективности информационной безопасности участия строительной компании в электронных торгах.

3. Методика оценки экономической эффективности информационной безопасности участия строительной компании в электронных торгах для нужд государственного строительного заказа.

Практическая значимость данной работы состоит в возможности повышения эффективности вложений средств в обеспечение информационной безопасности строительной компании с учётом актуальных требований законодательства к проведению для нужд государственного заказа открытых аукционов и конкурсов в электронной форме.

Достоверность полученных результатов основывается на применении репрезентативного объёма статистической и управленческой отчётности строительных компаний за период с 2000 до середины 2010 года, использовании аналитических и статистических данных Федеральной службы государственной статистики РФ, отражающих развитие экономики России и строительной отрасли за аналогичный период, а также подтверждается практической апробацией результатов исследования.

Основные положения диссертационной работы были представлены в виде доклада на юбилейной Десятой международной межвузовской научно-практической конференции молодых ученых, докторантов и аспирантов в г. Иркутск (апрель 2007 г.), на Открытой конференции молодых учёных, проводимой в МГСУ (март 2010 г), а также на Семинаре Российской академии естественных наук (июнь 2010 г.).

Публикации. По теме диссертационного исследования опубликовано 8 работ общим объёмом 4,55 п.л. в т.ч. лично автором - 3,95 п.л., в журналах, рекомендуемых ВАК, - 2 работы объемом 0,55 п.л., в т.ч. лично автором - 0,3 п.л.

Объем и структура работы. Диссертация состоит из введения, трех глав, заключения, списка литературы и пяти приложений. Содержание работы изложено на 165 страницах машинописного текста, в том числе 15 иллюстраций, 11 таблиц и 23 формулы. Список литературы включает 127 наименований.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

В настоящее время инвестиционно-строительная деятельность существенно затруднена и строительные компании (СК) зачастую находятся в условиях острой нехватки заказов, что ставит их на грань банкротства. В результате исследования были выявлены следующие проблемы, предопределяющие такое положение СК: наличие противоречий экономических интересов (ЭИ) участников инвестиционно-строительной деятельности (ИСД) и низкая эффективность взаимодействия госзаказчиков и СК, одной из причин которого является недостаточная готовность последних к эффективному участию в электронных торгах. С целью выявления причины существующих проблем инвестиционно-строительной сферы (ИСС) и определения участников, характер деятельности которых безальтернативно важен для обеспечения их эффективного взаимодействия в целях развития строительства был осуществлен анализ и исследованы факторы восстановительного роста отрасли в целом и отдельно взятой СК. В результате выявлено место и роль информационных факторов в этом процессе.

Исследование взаимовлияния факторов восстановительного роста позволило сделать вывод о том, что информационные факторы оказывают существенное, а в ряде случаев (к примеру, при проведении электронных торгов) определяющее влияние на все прочие. Учёт условий, связанных с этими факторами обязателен для эффективной деятельности СК в современных условиях высококонкурентной среды, обеспечивая процессы контроллинга подразделений и надёжное и эффективное взаимодействие СК с прочими участниками ИСД.

В результате анализа проблем ИСС выявлено значение государственного строительного заказа (ГСЗ) как основного фактора в условиях кризиса и восстановительного роста, определяющего уровень спроса на продукцию строительного производства. Государство распоряжается достаточными объёмами ресурсов, имея возможность устранить или смягчить дисбаланс в экономической среде посредством повышения активности реального сектора экономики через создание спроса в строительстве. Для СК важно заключение контракта для нужд ГСЗ. Как показал анализ, в настоящее время проигрыш подряд трёх торгов на право заключения крупных контрактов с большой вероятностью приводит СК к неплатежеспособности.

Условия эффективного взаимодействия основных участников инвестиционно-строительной деятельности:

1) согласование их экономических интересов, которое производится при помощи проведения торгов;

2) обеспечение прозрачности, своевременности и объективности результатов при проведении торгов.

В ходе исследования способов взаимодействия СК и государственных заказчиков было выявлено, что законодательством установлена необходимость проведения торгов в виде аукционов и конкурсов, а с 1-го июля 2010 года все такие торги переведены в электронную форму. То есть, все СК для заключения контрактов с госзаказчиками вынуждены участвовать в открытых электронных торгах, для чего критически необходимо обеспечение ИБ. С целью определения требований к ИБ участников торгов был проведён сравнительный анализ видов проведения торгов, который позволил установить специфические отличия требований к обеспечению ИБ при участии в аукционах и конкурсах и учесть их при формировании принципов оценки экономической эффективности ИБ.

В соответствии с задачами исследования, было дано определение ИБ - состояние информационной системы, при котором обеспечивается сохранность её свойств, которыми являются: конфиденциальность, целостность, доступность, аутентичность, надежность, неотказуемость и подотчетность.

Для учёта отраслевой специфики автором были выделены особенности оборота информационных ресурсов (ИР), присущие строительной отрасли. Для ИР в строительстве характерны следующие особенности:

1) большой объём разнородной документации;

2) ИР в строительстве формируются и передаются во внешнюю среду СК и всеми прочими участниками реализации проекта, включая контролирующие государственные органы;

3) продолжительный жизненный цикл оборота ИР, измеряемый годами;

4) разграничение информации на конфиденциальную и публикуемую в целях обеспечения транспарентности деятельности СК в связи с высокой социальной ответственностью и повышенным вниманием общества к ИСС;

5) для заключения контрактов на строительство объёмом свыше 50 млн. руб. имеется предусмотренная законом возможность устанавливать дополнительные требования к исполнителям;

6) при заказах на строительство технически сложных и особо опасных объектов допускается проведение в открытой электронной форме не аукциона, а конкурса;

7) высокая степень конкуренции между относительно небольшим количеством крупных участников, имеющих обширные возможности по применению различных средств добросовестной и недобросовестной конкуренции;

8) высокая, зачастую, критическая важность заключения каждого крупного контракта, для чего требуется обеспечение высокого качества ИР;

9) зависимость хода строительства от согласованности, оперативности, актуальности и точности множества разнородных информационных потоков (управленческие решения, информация о текущем состоянии объекта, техники, обеспеченности оборотными средствами и т.п.) и др.

Также в ходе исследования были определены и систематизированы виды и содержание конфиденциальной информации, утрата свойств ИБ которой наиболее критична на различных этапах реализации инвестиционно-строительного проекта. Для этого рассмотрены следующие виды информационных ресурсов (ИР): финансовые, рыночные, технологические, технические, личные и социальные.

С целью идентификации экономической сущности ИБ разработана классификация угроз ИБ, в рамках которой систематизированы угрозы ИБ и классифицированы их экономические последствия (рис.1).

В результате анализа угроз и рисков обеспечения непрерывности бизнес-процессов СК дано определение экономической сущности ИБ, как обеспечения продуктивной и экономически эффективной информационной среды посредством оптимизации состава и структуры, технологических средств, услуг и управления ИБ, нацеленных на снижение рисков строительства и расширенного воспроизводства СК. Таким образом, СИБ можно рассматривать как инструмент системы менеджмента рисков СК, областью применения которого являются информационные риски, связанные с нарушениями режима ИБ, а эффектом - минимизация риска причинения экономического ущерба интересам СК.

В ходе исследования установлено, что реализация угроз ИБ приводит к полной или частичной утрате ИР некоторого подмножества свойств ИБ, что влечёт за собой нанесение СК ущерба различных видов. Следовательно, каждая угроза участия СК в торгах может быть описана посредством определения её влияния на утрату свойств ИБ рассматриваемым ИР. В ходе работы были систематизированы действия, характеризующие угрозу, утрачиваемые свойства ИБ СК и экономические последствия этого события. Наибольший интерес представляют те последствия, которые могут являться причиной срыва участия СК в электронных торгах по размещению государственного строительного заказа. Оценка экономических последствий от утраты свойств ИБ явилась основой для формирования методического подхода к оценке экономической эффективности СИБ. Также были учтены особенности проявления экономического эффекта применения СИБ в деятельности СК в случае её участия в электронных торгах. Это позволило сформировать систему принципов оценки экономической эффективности СИБ, представленную в таблице 1.

Следуя логике исследования, определено понятие экономической эффективности, как категории, характеризующей результативность экономической системы, выражаемой в отношении качественно и количественно определённых экономических эффектов от её применения к суммарным затратам на обеспечение её функционирования. Это предопределило этапы определения в тех же единицах измерения получаемых и планируемых эффектов и этап их сопоставления. Таким образом предложен итеративный подход, позволяющий уточнять оценку экономической эффективности и на её основе производить оптимизацию затрат, алгоритм которого отображён на рис. 2.

Анализ установил, что в качестве метода оценки затратной части проекта целесообразно использовать метод «совокупной стоимости владения» (ССВ), который позволяет достаточно полно оценить затраты, разделяя их по категориям. Как правило, при подсчёте стоимости ССВ определение размера прямых затрат не представляет сложностей, в отличие от задачи по подсчёту косвенных издержек, преимущественно через определение стоимостного эквивалента времени незапланированных простоев.

Помимо затрат на внедрение СИБ, в его процессе возникают побочные явления, такие как ущерб от простоя во время этапа пусконаладочных работ (DL₁), потери от вывода финансовых активов из оборота (DL₂), возможное снижение производительности оборудования, которое можно компенсировать его заменой или модернизацией, что тоже потребует затрат (DL₃), ущерб от задержки восстановления работоспособности информационной инфраструктуры СК в случае вывода её из строя в результате сетевой атаки, вирусной эпидемии (DL₄) и т.п.

Итак, совокупные затраты на внедрение СИБ СК (ZRI) могут быть представлены в виде формулы:

⁽¹⁾

Несмотря на некоторые трудности применения в условиях современной России, методика ССВ позиционируется как инструмент комплексной оценки экономической эффективности мероприятий ИБ. В то же время она не позволяет проводить оценку тех выгод, которые составляют получаемый в строительстве от применения СИБ экономический эффект. По этой причине существует объективная необходимость уточнения и разработки адекватной целям исследования методики оценки экономических эффектов применения СИБ с дальнейшей оценкой её экономической эффективности в рамках деятельности СК.

Так как финансовые ресурсы на обеспечение ИБ СК выделяются из прибыли, то целесообразно установить верхний предел этих затрат в виде доли от прибыли. Как показывает практика, средний нормативный показатель затрат на обеспечение ИБ коммерческой деятельности крупных компаний (ISC) находится в пределах 0,12 - 0,18 и определяется на основании принятой нормы приемлемого уровня рисков ИБ. Норма прибыли также задаётся руководством СК в виде показателя нормы прибыли PN. В строительной отрасли этот показатель имеет очень большой разброс значений в зависимости от региона, типа проектов, конъюнктуры спроса и предложения на рынке и множества прочих факторов. Исходя из целесообразности вложений средств, верхний предел затрат СК на мероприятия по снижению рисков ИБ составляет:

, ⁽²⁾

где E - размер доходов СК в течение рассматриваемого периода. В случае участия в электронных торгах E представляет собой предполагаемый размер государственного или муниципального заказа на строительство, с целью заключения контракта на исполнение которого проводится процедура электронных торгов. Отметим, что предполагаемый размер не равен начальной цене контракта, а представляет собой нижний предел цены выполнения заказа, ниже которого выполнение заказа не приносит выгоду исполнителю. В этом случае используется PN из экономической части документации проекта.

Для расчёта выгод от реализации проекта СИБ предложенная методика предполагает проведение оценки рисков в следующей последовательности:

1) Определение активов. На этом этапе необходимо однозначно определить важную конфиденциальную информацию на всех этапах строительства и произвести её оценку по качественной или количественной шкале. Основными видами информационных активов являются процессы и службы информационной системы, программное обеспечение, технические средства, человеческие (интеллектуальные и трудовые) и нематериальные активы СК.

2) Оценка важности активов для деятельности СК:

На этом этапе определяются временные интервалы, в течение которых изменяется модель угроз и риски по этапам строительства (фазам жизненного цикла строительного проекта). В дальнейшем оценки осуществляются с учётом длительности этих интервалов.

3) Определение состава и структуры информационных ресурсов (ИР), сохранение свойств информационной безопасности которых определяет сохранность активов СК.

4) Оценка имеющихся для каждого ИР рисков, связанных с утратой его свойств ИБ (конфиденциальность, целостность, доступность, аутентичность, подотчётность, неотказуемость и надёжность). Оцениваются риски реализации угроз в отношении каждого ИР СК на основе исследования возможностей их реализации посредством реализации различных угроз ИБ.

5) Производится сравнение полученных данных с приемлемыми значениями рисков инцидентов ИБ, принятых строительной компанией. В случае превышения расчётных значений этого уровня, производится усиление мер безопасности, направленных на защиту этого актива, после чего проводится переоценка рисков.

В целях адаптации методики оценки экономической эффективности к условиям участия СК в различных видах торгов по размещению ГСЗ - аукционе и конкурсе, кратко рассмотрим особенности применения указанной методики для каждого из них.

Перед участием в конкурсе необходимо оценить наиболее вероятные изменения рисков ИБ на основании анализа статистики угроз ИБ, связанных с утратой тех свойств безопасности, которые наиболее критичны на каждом из временных промежутков, из которых состоит процесс участия в конкурсе. Требуется обеспечение ИБ тех активов, которые задействованы при разработке конкурсного предложения и его передаче конкурсной комиссии в пределах установленных условиями конкурса сроков. Таким образом, можно разделить востребованность СИБ на 2 этапа:

1) подготовка конкурсного предложения - период Т_разр , законодательно на формирование предложения и передаче его комиссии выделен срок в 1 месяц от опубликования извещения о проведении конкурса до момента окончания приёма заявок. Наиболее критична утрата следующих свойств информационной безопасности этой информации:

1) конфиденциальность - информация попадает в руки заинтересованных в строительном заказе сторон;

2) целостность - нарушается достоверность информации, возможны несанкционированные изменения, намеренное внесение ошибок в строительный проект;

3) доступность - возможность санкционированного внесения изменений в любой момент времени, когда это необходимо;

4) надёжность - устойчивость информационного ресурса, содержащего конфиденциальную информацию, к случайным или преднамеренно организованным сбоям информационной системы.

2) период, в течение которого возможна передача предложения на рассмотрение конкурсной комиссией - период Т_под (в днях):

, (3)

где Т_нач - период от начала конкурса (опубликования оповещения на сайтах госзаказчика и ЭТП) до принятия решения об участии в конкурсе и начала подготовки документации; Т_разр - время, необходимое на разработку конкурсного предложения. Практика показывает, что период Т_под в строительстве составляет от 1 дня до 2 недель в зависимости от сложности формирования конкурсного предложения. При этом длительность самого процесса передачи предложения - от 1 часа до 1 дня, в течение которого критичной является сохранность: конфиденциальности, целостности, надёжности и неотказуемости.

При участии в аукционе задача представителя СК состоит в том, чтобы подавать ценовые заявки в пределах шага аукциона в течение установленного законодательством интервала - 1 час, по окончании которого определяется победитель. Наиболее востребовано обеспечение ИБ непосредственно в ходе аукциона, поэтому при оценке рисков ИБ присваиваются более высокие весовые коэффициенты рискам, связанным с угрозами блокирования соответствующих сегментов ИИ СК, задействованных в ходе участия в открытом электронном аукционе по размещению ГСЗ. Невозможно спрогнозировать длительность аукциона, поэтому целесообразно при оценке рисков рассматривать наиболее длительный срок - полный рабочий день. Критичные свойства ИБ при участии в аукционе: целостность, аутентичность, неотказуемость, надёжность.

Рассмотрим модель угроз для каждого критичного ИР, применимую для всех видов применяемых в строительстве торгов. Для этого в работе предложена расчётная модель рисков ИБ, позволяющая рассчитывать вероятности утраты каждого из свойств ИБ каждым ИР с расчётом для него интегрального показателя риска. Разработанная таблица (табл.2) является шаблоном для расчётов на каждой итерации методики. Применяемые обозначения: U_a (n) - идентификатор угрозы ИР_n , a = 1..r - номер угрозы, r - общее количество рассматриваемых угроз, выделенных как наиболее актуальные для исследуемого ИР; б_xa(n) - показатель влияния угрозы U_a(n) на утрату информационным ресурсом ИР_n свойства ИБ под номером x=1..7.

Реализация угроз ИБ является причиной некоторого множества последствий, приводящих к утрате свойств ИБ защищаемой информации, поэтому в процессе исследования модели угроз необходимо определить связи угрозы с утратой свойств ИБ, отмечая эти связи в расчётной таблице с помощью показателей б_xa(n) присвоением ему значения от 0 до 1. На различных этапах различные свойства ИБ имеют приоритет, а утрата прочих не отразится на сохранении СК конкурентоспособности. Также производится оценка величины ущерба в_x(n), который будет причинён в результате утраты каждого из свойств ИБ рассматриваемого ИР_n соразмерно его важности для успешного выполнения задачи победы СК в открытом электронном аукционе или конкурсе. Структура совокупности размеров ущерба зависит от периода, определяющего уровни критичности свойств ИБ. При этом рассматривается всё множество угроз, существующих для этого ИР, после чего из них на основании анализа наиболее возможных последствий выбираются 5 наиболее вероятных из числа внутренних и 5 - из числа внешних. Далее с привлечением экспертов для каждого информационного ресурса n оцениваются вероятности P_a(n) осуществления каждой внутренней или внешней угрозы, a=1..r.

Так как для того, чтобы организатор атаки преодолел защиту, предоставляемую этим механизмом защиты (МЗ), необходимо чтобы для него существовал способ реализации уязвимости и не было применено исправление. Следовательно, по теореме умножения вероятностей независимых событий вероятность P_a(n) преодоления совокупности МЗ равна:

^{, (4)}

где Р_экспл(n;z) - показатель общей вероятности наличия эксплойта для уязвимости некоего МЗ_z из множества Z, причастного к защите ИР_n ; Р_патч(n;z) - вероятность исправления уязвимости механизма защиты.

Общий уровень угроз для каждого свойства ИБ определяется в зависимости от уровня каждой из угроз, приводящих к утрате этого свойства, и представляет собой вероятность события, при котором произойдёт хотя бы один инцидент ИБ, то есть сбой в процессе участия СК в торгах. Произведение всех вероятностей представляет собой вероятность одновременного отсутствия всех инцидентов ИБ:

^{, (5)}

Риск утраты свойства ИБ RSP_x(n) определяется в зависимости от размера ущерба и общего уровня угроз для этого свойства:

⁽⁶⁾

Таким образом, общий количественный риск для информационного ресурса СК является интегральным показателем, характеризующим как возможность утраты произвольного подмножества свойств ИБ ИР_n в результате реализации какой-либо из r существующих и наиболее вероятных угроз, так и размер ущерба, и определяется через сумму рисков утраты всех свойств ИБ этого ресурса на k-й итерации расчётов:

⁽⁷⁾

В развёрнутой форме риск ИР можно записать так:

⁽⁸⁾

В результате первой итерации получен показатель RS₁(n) общего количественного риска для рассматриваемого ИР_n и по экономической сути он представляет собой величину ожидаемых потерь СК от потери свойств ИБ.

Сумма величины ущерба для каждого из свойств ИБ некоторого ИР представляет собой величину ущерба, который может быть нанесён СК при реализации рассматриваемой внутренней и внешней угрозы соответственно. Показатели уровня риска позволяют произвести ранжирование ИР по порядку уменьшения этих показателей, что является основой для определения важности затрат на его защиту, которая определяется при помощи коэффициента важности w(n_i) в соответствии с табл. 3:

Табл. 3

Определение доли затрат на защиту ресурса в зависимости от важности

Показатель уровня риска, RS(ni)	Коэффициент важности, w(ni)
RSk(n1)	w(n1)=0,5
RSk(n2)	w(n2)=w(n1)/2
…	...
RSk(ni)

При этом , и .

После проведения первой итерации разрабатывается комплекс мер по снижению рисков, оценивается его стоимость и проводится вторая итерация оценки рисков с учётом изменений модели угроз. Величина затрат на снижение рисков утраты свойств ИБ рассматриваемого информационного ресурса n после первой итерации составляет:

⁽⁹⁾

Коэффициент K₁ = 0,5 вводится на первой итерации на тот случай, если принимаемые СК меры на обеспечение ИБ приведут к достаточному снижению рисков уже после первой итерации расчётов. С каждой последующей итерацией расчёта коэффициент последовательно уменьшается вдвое:

⁽¹⁰⁾

После k-й итерации показатель затрат будет выглядеть следующим образом:

⁽¹¹⁾

Если снижение рисков произошло до приемлемого уровня, заданного руководством СК, то процесс расчёта прекращается и показатель экономической эффективности обеспечения ИБ после k-й итерации расчёта определяется соотношением снижения величины ущерба и уровня затрат на снижение рисков:

⁽¹²⁾

Показатели экономической эффективности каждой итерации оцениваются следующим образом:

⁽¹³⁾

Применение показателей EEI_k позволяет оценивать эффективность каждой итерации и принимать решение о целесообразности дальнейших вложений средств в СИБ СК. Так как ранее было задано правило, по которому расходы на следующую итерацию уменьшаются вдвое, то нужно учитывать соответствующее изменение знаменателя при расчёте показателя эффективности каждой итерации. Если этот показатель не увеличился, либо увеличился менее чем в 2 раза, то это означает фактическое снижение отдачи от вложенных средств. В связи с этим, примем в качестве критерия прекращения процедуры оценки следующее условие: EEI_k+1 = EEI_k .В том случае, если величина остаточного уровня риска RS_k(n) после какой-либо итерации будет ниже приемлемого уровня, расчёты прекращаются на этом шаге. Таким образом, существует два критерия прекращения расчёта: нецелесообразность дальнейших затрат и достижение цели - снижение рисков до приемлемого уровня.

В целях исследования и оценки рисков ИБ для некоторого множества ИР СК на различных временных интервалах этапов строительства требуется построение таблиц для каждого ИР на всех этапах расчёта. Для ИР_n нумерация таблиц производится по форме n.k.t , где k - номер итерации, а t - номер рассматриваемого временного интервала. Оценка величины затрат ZR_k(n;t) и рисков RS_k(n;t) производится в рамках каждого временного интервала, после чего результаты суммируются, и итоговое значение показателя EE_k определяется при помощи этих сумм:

⁽¹⁴⁾

Предложенный показатель экономической эффективности может являться основой для принятия экономически обоснованных решений при выборе средств защиты, распределении бюджета ИБ среди множества ИР и выявлении излишних трат на обеспечение ИБ, что позволяет оптимизировать расходы финансовых средств с точки зрения целесообразности вложений.

ОСНОВНЫЕ ВЫВОДЫ И ПРЕДЛОЖЕНИЯ

1. Исследование проблем обеспечения информационной безопасности показало, что переход к электронным торгам и аукционам, предполагающим существенное расширение применения информационных технологий, должен учитывать постоянный рост количества и уровня опасности угроз информационной безопасности. Это предопределяет необходимость наличия экономически целесообразной системы информационной безопасности строительной компании.

2. С целью выявления особенностей различных способов и форм проведения торгов был проведён их сравнительный анализ по следующим выделенным критериям: область применения, условия предоставления документации, характер ограничений, порядок извещения, содержание заявки, возможность установления дополнительных требований, критерии победы, обеспечение конфиденциальности заявок, время принятия комиссией решения и востребованность системы информационной безопасности для участников.

3. Для оценки экономической эффективности идентифицирована экономическая сущность информационной безопасности, как обеспечение продуктивной и экономически эффективной информационной среды посредством оптимизации состава и структуры, технологических средств, услуг и управления информационной безопасностью, позволяющих снизить риски расширенного воспроизводства строительной компании, повысить надёжность её функционирования. Также выявлены особенности оборота и значимость информационных ресурсов в инвестиционно-строительной деятельности на всех этапах реализации строительного проекта.

4. Следуя основам теории управления, система информационной безопасности рассматривалась как подсистема системы менеджмента строительной компании, областью применения которой являются так называемые информационные риски, связанные с нарушениями режима информационной безопасности, а целью - минимизация рисков причинения ущерба интересам строительной компании. Эти угрозы и риски были структурированы и систематизированы с учётом различных последствий нарушения режима информационной безопасности строительной компании.

5. Отраслевые особенности проекта внедрения и эксплуатации системы информационной безопасности предопределили необходимость формирования системы принципов оценки её экономической эффективности. На их основе была разработана методика оценки экономической эффективности, состоящая из трех стадий: расчёт затрат, оценка получаемой прибыли и их сопоставление. Предложен итеративный подход к оценке, позволяющий оптимизировать затраты на информационную безопасность.

6. Проведённый анализ установил, что в качестве метода оценки затратной части создания системы информационной безопасности целесообразно воспользоваться методикой «совокупной стоимости владения», которая в настоящее время позволяет достаточно полно оценить затраты, разделяя их по категориям, учитывающим специфику объекта исследования.

7. Для оценки выгод от применения системы информационной безопасности предложена оценка рисков. Для этого разработана модель угроз, основанная на оценке динамики рисков утраты информационными ресурсами свойств информационной безопасности. При этом, в диссертационном исследовании была сформирована расчётная модель, позволяющая учитывать выбранное множество угроз деятельности строительной компании в условиях участия в торгах по размещению государственного строительного заказа.

ПУБЛИКАЦИИ, СОДЕРЖАЩИЕ ОСНОВНЫЕ ПОЛОЖЕНИЯ ДИССЕРТАЦИОННОЙ РАБОТЫ

Статьи, опубликованные в ведущих рецензируемых научных журналах и изданиях, рекомендованных Высшей аттестационной комиссией Министерства образования и науки Российской федерации:

1.  Петров К.В., Обухов А.Б. «Коммуникационный менеджмент: статья затрат или источник дохода?» Журнал «Предпринимательство», № 4, 2007 г. - 0,25 п.л., в т.ч. лично автором - 0,15 п.л.

2.  Петров К.В., Мурашова О.В. «Формирование методического подхода к обоснованию эффективности инвестиций в создание «интеллектуальных зданий» в России».Вестник Университета (ГУУ ), 2010 г.0,3 п.л., в т.ч. лично автором- 0,15 п.л.

Статьи, опубликованные в других научных журналах и изданиях:

1. Петров К.В. «Экономическая эффективность разработки и внедрения системы информационной безопасности девелоперской компании». // Экспресс-информация. Зарубежный и отечественный опыт. Серия: «Экономика, организация и управление в строительстве». Выпуск 4. - М.: ВНИИНТПИ, 2007 г. - 2,0 п.л.

2.  Петров К.В. «Информационная безопасность в деятельности девелоперских компаний и экономическая эффективность обеспечивающей её подсистемы». Актуальные проблемы в инвестиционно-строительной сфере, недвижимости и жилищно-коммунальном комплексе. II часть: Материалы Международной научно-практической конференции. - Иркутск: Изд-во ИрГТУ, 2007, - 114 с. - 0,35 п.л.

3.  Петров К.В., Шраер Д.А. «Подходы к управлению информационной безопасностью девелопмента». Очерки экономической науки. Актуальные проблемы. Часть II / Под общ. ред. Яськовой Н.Ю. - М.: КЦ МАГМУ, 2006 г. - 0,35 п.л., в т.ч. лично автором - 0,25 п.л.

4.  Петров К.В., Яськова Н.Ю. «Проблемы управления возможностями информационной безопасности деятельности девелоперских компаний». Сборник научных трудов «Проблемы экономики и управления в инвестиционно-строительной сфере» / под ред. д.э.н., проф. Гумба Х.М. - М.: МГСУ, 2006 г., 259 с. 0,65 п.л., в т.ч. лично автором - 0,4 п.л.

5.  Петров К.В. «Подходы к оценке экономической эффективности разработки и внедрения системы информационной безопасности девелоперской компании». Строительство - формирование среды жизнедеятельности: научные труды Юбилейной Десятой международной межвузовской научно-практической конференции молодых учёных, докторантов и аспирантов (25-26 апреля 2007 г.) / М.:- МГСУ, 2007. - 582 с. - 0,35 п.л. 

6.  Петров К.В. «Инфляция, ее причины и влияние на строительную отрасль в условиях стагнации мировой кредитно-финансовой системы». Научные труды коллектива кафедры Экономики и управления в строительстве / Под ред. Д-ра экон. наук, проф. Гумбы Х.М. / -М.: МГСУ, 2007 г. - 256 стр.

Размещено на Allbest.ru

...