Scientific journal
Fundamental research
ISSN 1812-7339
"Перечень" ВАК
ИФ РИНЦ = 1,674

EVALUATING THE EFFECTIVENESS OF INVESTMENT IN COMPLEX SYSTEM OF INFORMATION SECURITY OF OIL AND GAS COMPLEX ENTERPRISES TO MAKE AN INFORMED INVESTMENT DECISION

Khomyakov K.G. 1 Kanitskaya L.V. 1
1 Baikal State University of Economics and Law
The article offers the reader the analysis of the solution of a task of an assessment of efficiency of investments into the complex systems of information security (CSIS) providing business process of management of information security of management information systems of the companies of an oil and gas complex, taking into account modern methods of an assessment of projects and practice of their realization for adoption of the weighed investment decision. Possible approaches on use of various methods of an assessment of efficiency of investments, taking into account problems of introduction of KSZI within the organization of system of ensuring information safety of the company and strategic objectives of production are reflected in this work.
information security management system (ISMS); complex system of information security (CSIS)
evaluation of the effectiveness of investments (evaluating applications or information systems)
metrics for evaluating IS; oil and gas complex
1. GOST R ISO/MJeK 27001-2012 «Informacionnaja tehnologija. Metody i sredstva obespe-chenija bezopasnosti. Sistemy menedzhmenta informacionnoj bezopasnosti. Trebovanija».
2. Kalachanov V.D., Kobko L.I. Jekonomicheskaja jeffektivnost vnedrenija informacionnyh tehnologij. M. Izd-vo MAI, 2014. 180 р.
3. Kovalev V.V. Metody ocenki investicionnyh proektov. M.: Finansy i statistika, 1998. 144 р.
4. Markov O.N., k.t.n., docent, rukovoditel napravlenija po avtomatizacii processov upravlenija IB OOO «Gazinformservis», «Cozdanie korporativnoj sistemy upravlenija informacionnoj bezopasnostju», doklad na konferencii «Informacionnaja bezopasnost ob#ektov TJeK» 24.04.2014 g., g. Sankt-Peterburg (uchastniki: predstaviteli OAO «Gazprom», ego dochernih obshhestv i organizacij, predstaviteli drugih predprijatij toplivno-jenergeticheskogo kompleksa RF).
5. Miloslavskaja N.G., Senatorov M.Ju., Tolstoj A.I. Proverka i ocenka dejatelnosti po upravleniju informacionnoj bezopasnostju. 2-e izd. ispr. M.: Gorjachaja linija Tele-kom, 2014. 166 р.
6. Nurdinov R.A., Batova T.N. Podhody i metody obosnovanija celesoobraznosti vybora sredstv zashhity informacii // Sovremennye problemy nauki i obrazovanija. 2013. no. 2. 7 р.
7. Prosvetov G.I. Finansovyj menedzhment: Zadachi i reshenija. M.: Izd-vo RDL, 2005. 376 р.
8. Rychkov A.I. Jeffektivnost ot vnedrenija IT na vysokotehnologichnyh predprijatijah [Jelektronnyj resurs] // Jelektronnoe nauchnoe izdanie «Trudy MGTA: jelektronnyj zhur-nal» / Rezhim dostupa: www.e-magazine.meli.ru/Vipusk_17/222_v17_ Rychkov.doc (data ob-rashhenija: 12.05.2015).
9. Horoshev N.I., Malyh O.V. Kompleksnaja ocenka jeffektivnosti investicionnyh proektov promyshlennyh predprijatij // Fundamentalnye issledovanija. 2014. no. 11–7. рр. 1526–1530.
10. ISO/IEC 27001:2013/Cor.1:2014 «Informacionnaja tehnologija. Metody obespechenija bez-opasnosti. Sistemy menedzhmenta informacionnoj bezopasnosti. Trebovanija». [Jelek-tronnyj resurs] Rezhim dostupa: http://www.iso.org/iso/ru/catalogue_detail?csnumber=54534 (data obrashhenija: 12.05.2015).
11. Dempsey T., Caxton Business & Legal Inc, NYSE IPO Guide, Second Edition, 2013. 132 p.

В современном мире информация представляет собой один из важных нематериальных активов компании и ее значимость в этом качестве постоянно растет. Информация в различных формах обеспечивает добавленную стоимость выпускаемой продукции. Таким образом, компании вынуждены выделять в своей деятельности отдельный бизнес-процесс обеспечения информационной безопасности информационно-управляющих систем (ИБ ИУС).

Обладая достаточными ресурсами и испытывая практическую потребность в обеспечении должного уровня защиты информации, компании нефтегазового комплекса (НГК) создают собственные системы управления информационной безопасности (СУИБ). Целью организации СУИБ является повышение уровня защищенности информационных ресурсов и устойчивости функционирования основных бизнес-процессов организации за счет предотвращения или снижения возможного ущерба от несанкционированных воздействий на объекты защиты ИУС.

НГК России представлен крупными акционерными обществами, осуществляющими публичное предложение акций компаний широкому кругу потенциальных инвесторов – «Public offering (PO)» и не исключающих возможность перспективных предложений дополнительного выпуска акций на биржевых площадках или «доразмещения» – «Follow-on» [11]. Реализуя эту деятельность, компания-эмитент критически анализирует своё финансовое положение, организационную структуру и структуру активов, информационную и финансовую прозрачность, действующую систему корпоративного управления и другие аспекты деятельности. По результатам этого анализа должна устранить выявленные слабости и недостатки, которые могут повлиять на привлекательность акций эмитента для инвесторов и, соответственно, на финансовый результат размещения. Понятно, что наряду с анализом активов предприятия потенциальный инвестор будет уделять значительное внимание системе управления/менеджмента качеством(а) (СМК). Задача же эмитента – обеспечить инвестору возможность проведения такой оценки для принятия решения с минимальными затратами аналитических ресурсов и времени, что обеспечит максимальный охват биржевого рынка. С этой целью компании НГК приводят свои структуры и процессы управления в соответствие общепризнанным стандартам управления (менеджмента), которые понятны широкому кругу потенциальных инвесторов – в том числе в области управления информационной безопасностью своих активов.

В настоящее время в России крупные участники НГК завершили внедрение собственных корпоративных стандартов и руководящих документов (СТО и РД), подробно раскрывающих требования и методики работы для своих подразделений/дочерних обществ по созданию СУИБ. Содержание этих стандартов наполнено положениями ГОСТ Р ИСО/МЭК 27001-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» [1], гармонизированным с международным стандартом ISO/IEC 27001: 2013/Cor.1:2014 [10] «Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

В соответствии с ГОСТ Р ИСО/МЭК 27001-2012 СУИБ – часть общей СМК организации. Организационно СУИБ является основным (реализующим процессы управления) элементом Системы обеспечения ИБ предприятия (СОИБ), состоящей также из процессов операционного уровня, реализуемых в рамках КСЗИ (рис. 1). Важно отметить, что организация СОИБ – это не разовая акция, а непрерывная деятельность по планированию, реализации, измерению и совершенствованию процессов обеспечения и управления ИБ, основанная на цикле Шухарта – Деминга (цикл PDCA – «Plan-Do-Check-Act») [5].

Компания НГК, внедряющая современные СМК на основе распространенного стандарта ГОСТ Р ИСО 9000 или его зарубежных аналогов, проводит эту работу целенаправленно и осознанно, стремясь максимально повысить эффективность управления качеством своей ПХД. Обладая достаточными кадровыми, техническими и финансовыми ресурсами, компания, конечно же, продолжит эту работу внедрением элементов СМК в области ИБ в соответствии с ГОСТ Р ИСО/МЭК 27001.

pic_50.tif

Рис. 1. СУИБ и КСЗИ в составе СОИБ организации [4]

Таким образом, необходимость организации СОИБ для современных компаний НГК продиктована рядом целей:

– обеспечить непрерывность бизнес-процессов ПХД;

– повысить конкурентоспособность путем совершенствования систем менеджмента;

– соответствовать требованиям регуляторов (ФСТЭК РФ) в части обработки персональных данных, сведений, составляющих коммерческую тайну и иную конфиденциальную информацию.

Вместе с этим, приступая к внедрению современной СОИБ и имея достаточный инструментарий для организации СУИБ, многие компании НГК сталкиваются с задачей выбора технических решений КСЗИ еще на этапе подготовки технического задания на её проектирование (ТЗ). Остановимся на вопросе: насколько экономически обоснован и сбалансирован этот выбор и может ли менеджмент компании адекватно оценить эффективность инвестиционных вложений в ОС КСЗИ на этапе подготовки ТЗ – непосредственно перед принятием окончательного инвестиционного решения? Менеджменту компаний НГК, которые относятся к малым региональным, так называемым «независимым» (без государственного участия), добывающим и транспортным компаниям, производителям углеводородного сырья (УВС), занимающим относительно небольшую долю рынка, решение данного вопроса представляет нетривиальную задачу в условиях ограниченности инвестиционных ресурсов.

Отсутствие обоснованных и общепринятых методов оценки эффективности инвестиций в ОС КСЗИ зачастую создает ситуацию противоречия между предполагаемыми результатами, которые могут быть получены в результате внедрения процессов СУИБ в ходе реализации СМК, формирующими требования к составу КСЗИ, и задачами оптимизации расходов, ограничивающими инвестиционные возможности компании. Этой теме посвящено много исследовательских работ и уделяется значительное внимание со стороны компаний НГК [6, 8, 9].

К сожалению, до настоящего времени ни научная среда, ни участники отрасли, ни компании и институты, работающие в сферах менеджмента качества, инвестиций или оценки бизнеса не предложили универсальных методик оценки эффективности инвестиций в ОС информатизации в целом и СЗИ в частности.

В рамках данной работы мы не будем подробно останавливаться на анализе существующих методов оценки эффективности инвестиций (рис. 2) [2, 3, 7]. Отметим лишь, что все методы представлены четырьмя основными группами: финансового, качественного и вероятностного анализа.

pic_51.tif

Рис. 2. Методы оценки экономической эффективности проектов

Предлагаемые финансовые (традиционные) методы оценки (IRR, ROI, PB) (рис. 2) изначально предназначены для анализа финансовых инвестиционных инструментов, учитывают преимущественно прямые затраты и их прямые эффекты и просто не учитывают в своих математических моделях важные нефинансовые параметры и эффекты при реализации проекта. Данная группа методов не позволяет адекватно оценить реальный экономический эффект реализации проекта КСЗИ.

Затратные методы оценки TCO, RCO и TCA (рис. 2) можно применить только в динамике. При этом отсутствие сколько-нибудь репрезентативной статистики угроз по нефтегазовой отрасли в силу конфиденциальности таких данных, а также по самой компании на первоначальном этапе выбора методов обеспечения ИБ еще не внедренного комплекса ИУС не позволяет инвестору провести действительно обоснованный расчет рисков. Данная группа методов предполагает сравнение оцениваемого проекта с уже реализованными, при этом методы фактически не могут найти широкого применения в условиях жесткой конкурентной среды и с учетом действующих в компаниях НГК режимов конфиденциальности. Более того, такой анализ путем сравнения проекта КСЗИ – соответственно раскрытия его состава – с проектами иных компаний (конкурентов) и третьих лиц парадоксален и противоречит основной цели самого проекта.

Однако нужно отметить, что, например, метод TCO применим при реализации серии однотипных проектов в рамках одной корпоративной структуры. В качестве примера можно привести Комплексную целевую программу создания СУИБ и КСЗИ в дочерних обществах ОАО «Газпром».

Группа эвристических методов предлагает комплексный подход к оценке, однако имеет свои недостатки при оценке проектов КСЗИ. Так, методы сбалансированной системы показателей BSC (рис. 2) и его развитие – метод BITS, направлены на разработку стратегии управления и по набору операций схожи с СМК. Методы требуют, чтобы система сбалансированных показателей уже была внедрена в компании, применимы только для публичных акционерных обществ, а также используют рейтинговые оценки организаций нерезидентов.

Метод информационной экономики IE (рис. 2) можно признать наиболее подходящим эвристическим методом оценки эффективности при анализе проектов информационных систем. Метод опирается на результаты анализа, проведенного рабочей группой, состоящей из представителей менеджмента компании. Результаты работы экспертной группы в значительной степени субъективны и не дают объективной оценки сформулированных рисков. Эти недостатки характерны для всей группы эмпирических методов оценки.

Группа вероятностных методов оценки (рис. 2) предлагает заблаговременное внедрение специфических СМК в компании, требует значительных затрат финансовых, трудовых и временных ресурсов, направлена не столько на оценку отдельных проектов, сколько на общее управление ПХД и подходят только для дорогостоящих длительных проектов.

Таким образом, можно констатировать, что осуществление объективной оценки эффективности инвестиций в информационные системы крайне трудоёмкий процесс, ряд методов, наиболее часто используемых в мировой практике на сегодняшний день, в принципе не дают адекватной оценки сложным проектам ИУС ПХД компаний НГК.

С другой стороны, наиболее современные сложные методы оценки IE, AIE, ROV (рис. 2) при их применении малыми и средними компаниями НГК сами сопоставимы с оцениваемыми проектами КСЗИ по сложности и стоимости реализации и даже могут превзойти их.

Вместе с этим, проводя оценку эффективности инвестиций в ИБ, необходимо учитывать актуальные статистические данные об инцидентах ИБ по определенному сектору экономики, т.е. подкрепить результаты оценки проекта, проведенной экспертными методами, данными обобщенных исследований крупных интеграторов КСЗИ, осуществляющих сопровождение ИБ широкого числа компаний в различных секторах экономики.

Как уже было отмечено – СОИБ является частью СМК, управляющей процессами ПХД, а её техническая часть – КСЗИ является неотъемлемым элементом в составе ОС производственного назначения. Эффективность инвестиционного проекта – показатель его соответствия общим целям и задачам ПХД будущего производства компании. Поэтому корректно проводить оценку эффективности инвестиций в ОС КСЗИ в комплексе общестроительных инвестиционных проектов компании (при создании производственных мощностей и их комплексов). И на практике крупные компании НГК действительно осуществляют финансирование КСЗИ за счет средств инвестиционных программ в составе строек. Таким образом «непроизводственные» ОС КСЗИ «растворяются» в составе ОС ПХД.

В НГК основное производство включает процессы извлечения нефти и газа из скважины и подготовку товарной продукции. Если организация обладает конкурентоспособной технологией, высококвалифицированными кадрами, но несовершенными техническими средствами производства, то никогда не сможет добиться высокого качества продукции на выходе. С точки зрения производства устойчивости бизнес-процесса компания достигает, повышая эффективность управления его качеством. С этой же целью и реализуются современные СМК.

Таким образом, эффективность отдельного процесса, неразрывно интегрированного в производственный цикл компании, некорректно рассматривать в отдельности от всей производственной системы. Зачастую, эффективность вспомогательных и обслуживающих процессов объективно невысока, но обоснована стратегическими целями компании и должна оцениваться только в рамках комплексной оценки эффективности производства.

Менеджмент компании при принятии окончательного инвестиционного решения вынужден принимать допустимость неопределенности прогнозных расчетов эффективности инвестиций в КСЗИ. Для снижения уровня неопределенности в расчетах необходимо использовать как можно большее число доступных методов из разных групп – не менее 3–4, сочетая их положительные качества, балансируя между необходимостью проведения обоснованной оценки и собственно её целесообразностью с учетом имеющихся в распоряжении ресурсов. При этом эффективность инвестиций оценивается комплексно, а неопределенность показателей по устаревшим финансовым и эвристическим методам, вследствие отсутствия достоверных статистических данных и точных моделей, сбалансирована результатами оценки с применением финансовых и качественных методов.

Рецензенты:

Огородникова Т.В., д.э.н., профессор, декан факультета экономики предприятий и управления бизнесом, ФГБОУ ВПО «Байкальский государственный университет экономики и права», г. Иркутск;

Трофимов Е.А., д.э.н., профессор, кафедра экономической теории и институциональной экономики, ФГБОУ ВПО «Байкальский государственный университет экономики и права», г. Иркутск.