В современном мире информация представляет собой один из важных нематериальных активов компании и ее значимость в этом качестве постоянно растет. Информация в различных формах обеспечивает добавленную стоимость выпускаемой продукции. Таким образом, компании вынуждены выделять в своей деятельности отдельный бизнес-процесс обеспечения информационной безопасности информационно-управляющих систем (ИБ ИУС).
Обладая достаточными ресурсами и испытывая практическую потребность в обеспечении должного уровня защиты информации, компании нефтегазового комплекса (НГК) создают собственные системы управления информационной безопасности (СУИБ). Целью организации СУИБ является повышение уровня защищенности информационных ресурсов и устойчивости функционирования основных бизнес-процессов организации за счет предотвращения или снижения возможного ущерба от несанкционированных воздействий на объекты защиты ИУС.
НГК России представлен крупными акционерными обществами, осуществляющими публичное предложение акций компаний широкому кругу потенциальных инвесторов – «Public offering (PO)» и не исключающих возможность перспективных предложений дополнительного выпуска акций на биржевых площадках или «доразмещения» – «Follow-on» [11]. Реализуя эту деятельность, компания-эмитент критически анализирует своё финансовое положение, организационную структуру и структуру активов, информационную и финансовую прозрачность, действующую систему корпоративного управления и другие аспекты деятельности. По результатам этого анализа должна устранить выявленные слабости и недостатки, которые могут повлиять на привлекательность акций эмитента для инвесторов и, соответственно, на финансовый результат размещения. Понятно, что наряду с анализом активов предприятия потенциальный инвестор будет уделять значительное внимание системе управления/менеджмента качеством(а) (СМК). Задача же эмитента – обеспечить инвестору возможность проведения такой оценки для принятия решения с минимальными затратами аналитических ресурсов и времени, что обеспечит максимальный охват биржевого рынка. С этой целью компании НГК приводят свои структуры и процессы управления в соответствие общепризнанным стандартам управления (менеджмента), которые понятны широкому кругу потенциальных инвесторов – в том числе в области управления информационной безопасностью своих активов.
В настоящее время в России крупные участники НГК завершили внедрение собственных корпоративных стандартов и руководящих документов (СТО и РД), подробно раскрывающих требования и методики работы для своих подразделений/дочерних обществ по созданию СУИБ. Содержание этих стандартов наполнено положениями ГОСТ Р ИСО/МЭК 27001-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» [1], гармонизированным с международным стандартом ISO/IEC 27001: 2013/Cor.1:2014 [10] «Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
В соответствии с ГОСТ Р ИСО/МЭК 27001-2012 СУИБ – часть общей СМК организации. Организационно СУИБ является основным (реализующим процессы управления) элементом Системы обеспечения ИБ предприятия (СОИБ), состоящей также из процессов операционного уровня, реализуемых в рамках КСЗИ (рис. 1). Важно отметить, что организация СОИБ – это не разовая акция, а непрерывная деятельность по планированию, реализации, измерению и совершенствованию процессов обеспечения и управления ИБ, основанная на цикле Шухарта – Деминга (цикл PDCA – «Plan-Do-Check-Act») [5].
Компания НГК, внедряющая современные СМК на основе распространенного стандарта ГОСТ Р ИСО 9000 или его зарубежных аналогов, проводит эту работу целенаправленно и осознанно, стремясь максимально повысить эффективность управления качеством своей ПХД. Обладая достаточными кадровыми, техническими и финансовыми ресурсами, компания, конечно же, продолжит эту работу внедрением элементов СМК в области ИБ в соответствии с ГОСТ Р ИСО/МЭК 27001.
Рис. 1. СУИБ и КСЗИ в составе СОИБ организации [4]
Таким образом, необходимость организации СОИБ для современных компаний НГК продиктована рядом целей:
– обеспечить непрерывность бизнес-процессов ПХД;
– повысить конкурентоспособность путем совершенствования систем менеджмента;
– соответствовать требованиям регуляторов (ФСТЭК РФ) в части обработки персональных данных, сведений, составляющих коммерческую тайну и иную конфиденциальную информацию.
Вместе с этим, приступая к внедрению современной СОИБ и имея достаточный инструментарий для организации СУИБ, многие компании НГК сталкиваются с задачей выбора технических решений КСЗИ еще на этапе подготовки технического задания на её проектирование (ТЗ). Остановимся на вопросе: насколько экономически обоснован и сбалансирован этот выбор и может ли менеджмент компании адекватно оценить эффективность инвестиционных вложений в ОС КСЗИ на этапе подготовки ТЗ – непосредственно перед принятием окончательного инвестиционного решения? Менеджменту компаний НГК, которые относятся к малым региональным, так называемым «независимым» (без государственного участия), добывающим и транспортным компаниям, производителям углеводородного сырья (УВС), занимающим относительно небольшую долю рынка, решение данного вопроса представляет нетривиальную задачу в условиях ограниченности инвестиционных ресурсов.
Отсутствие обоснованных и общепринятых методов оценки эффективности инвестиций в ОС КСЗИ зачастую создает ситуацию противоречия между предполагаемыми результатами, которые могут быть получены в результате внедрения процессов СУИБ в ходе реализации СМК, формирующими требования к составу КСЗИ, и задачами оптимизации расходов, ограничивающими инвестиционные возможности компании. Этой теме посвящено много исследовательских работ и уделяется значительное внимание со стороны компаний НГК [6, 8, 9].
К сожалению, до настоящего времени ни научная среда, ни участники отрасли, ни компании и институты, работающие в сферах менеджмента качества, инвестиций или оценки бизнеса не предложили универсальных методик оценки эффективности инвестиций в ОС информатизации в целом и СЗИ в частности.
В рамках данной работы мы не будем подробно останавливаться на анализе существующих методов оценки эффективности инвестиций (рис. 2) [2, 3, 7]. Отметим лишь, что все методы представлены четырьмя основными группами: финансового, качественного и вероятностного анализа.
Рис. 2. Методы оценки экономической эффективности проектов
Предлагаемые финансовые (традиционные) методы оценки (IRR, ROI, PB) (рис. 2) изначально предназначены для анализа финансовых инвестиционных инструментов, учитывают преимущественно прямые затраты и их прямые эффекты и просто не учитывают в своих математических моделях важные нефинансовые параметры и эффекты при реализации проекта. Данная группа методов не позволяет адекватно оценить реальный экономический эффект реализации проекта КСЗИ.
Затратные методы оценки TCO, RCO и TCA (рис. 2) можно применить только в динамике. При этом отсутствие сколько-нибудь репрезентативной статистики угроз по нефтегазовой отрасли в силу конфиденциальности таких данных, а также по самой компании на первоначальном этапе выбора методов обеспечения ИБ еще не внедренного комплекса ИУС не позволяет инвестору провести действительно обоснованный расчет рисков. Данная группа методов предполагает сравнение оцениваемого проекта с уже реализованными, при этом методы фактически не могут найти широкого применения в условиях жесткой конкурентной среды и с учетом действующих в компаниях НГК режимов конфиденциальности. Более того, такой анализ путем сравнения проекта КСЗИ – соответственно раскрытия его состава – с проектами иных компаний (конкурентов) и третьих лиц парадоксален и противоречит основной цели самого проекта.
Однако нужно отметить, что, например, метод TCO применим при реализации серии однотипных проектов в рамках одной корпоративной структуры. В качестве примера можно привести Комплексную целевую программу создания СУИБ и КСЗИ в дочерних обществах ОАО «Газпром».
Группа эвристических методов предлагает комплексный подход к оценке, однако имеет свои недостатки при оценке проектов КСЗИ. Так, методы сбалансированной системы показателей BSC (рис. 2) и его развитие – метод BITS, направлены на разработку стратегии управления и по набору операций схожи с СМК. Методы требуют, чтобы система сбалансированных показателей уже была внедрена в компании, применимы только для публичных акционерных обществ, а также используют рейтинговые оценки организаций нерезидентов.
Метод информационной экономики IE (рис. 2) можно признать наиболее подходящим эвристическим методом оценки эффективности при анализе проектов информационных систем. Метод опирается на результаты анализа, проведенного рабочей группой, состоящей из представителей менеджмента компании. Результаты работы экспертной группы в значительной степени субъективны и не дают объективной оценки сформулированных рисков. Эти недостатки характерны для всей группы эмпирических методов оценки.
Группа вероятностных методов оценки (рис. 2) предлагает заблаговременное внедрение специфических СМК в компании, требует значительных затрат финансовых, трудовых и временных ресурсов, направлена не столько на оценку отдельных проектов, сколько на общее управление ПХД и подходят только для дорогостоящих длительных проектов.
Таким образом, можно констатировать, что осуществление объективной оценки эффективности инвестиций в информационные системы крайне трудоёмкий процесс, ряд методов, наиболее часто используемых в мировой практике на сегодняшний день, в принципе не дают адекватной оценки сложным проектам ИУС ПХД компаний НГК.
С другой стороны, наиболее современные сложные методы оценки IE, AIE, ROV (рис. 2) при их применении малыми и средними компаниями НГК сами сопоставимы с оцениваемыми проектами КСЗИ по сложности и стоимости реализации и даже могут превзойти их.
Вместе с этим, проводя оценку эффективности инвестиций в ИБ, необходимо учитывать актуальные статистические данные об инцидентах ИБ по определенному сектору экономики, т.е. подкрепить результаты оценки проекта, проведенной экспертными методами, данными обобщенных исследований крупных интеграторов КСЗИ, осуществляющих сопровождение ИБ широкого числа компаний в различных секторах экономики.
Как уже было отмечено – СОИБ является частью СМК, управляющей процессами ПХД, а её техническая часть – КСЗИ является неотъемлемым элементом в составе ОС производственного назначения. Эффективность инвестиционного проекта – показатель его соответствия общим целям и задачам ПХД будущего производства компании. Поэтому корректно проводить оценку эффективности инвестиций в ОС КСЗИ в комплексе общестроительных инвестиционных проектов компании (при создании производственных мощностей и их комплексов). И на практике крупные компании НГК действительно осуществляют финансирование КСЗИ за счет средств инвестиционных программ в составе строек. Таким образом «непроизводственные» ОС КСЗИ «растворяются» в составе ОС ПХД.
В НГК основное производство включает процессы извлечения нефти и газа из скважины и подготовку товарной продукции. Если организация обладает конкурентоспособной технологией, высококвалифицированными кадрами, но несовершенными техническими средствами производства, то никогда не сможет добиться высокого качества продукции на выходе. С точки зрения производства устойчивости бизнес-процесса компания достигает, повышая эффективность управления его качеством. С этой же целью и реализуются современные СМК.
Таким образом, эффективность отдельного процесса, неразрывно интегрированного в производственный цикл компании, некорректно рассматривать в отдельности от всей производственной системы. Зачастую, эффективность вспомогательных и обслуживающих процессов объективно невысока, но обоснована стратегическими целями компании и должна оцениваться только в рамках комплексной оценки эффективности производства.
Менеджмент компании при принятии окончательного инвестиционного решения вынужден принимать допустимость неопределенности прогнозных расчетов эффективности инвестиций в КСЗИ. Для снижения уровня неопределенности в расчетах необходимо использовать как можно большее число доступных методов из разных групп – не менее 3–4, сочетая их положительные качества, балансируя между необходимостью проведения обоснованной оценки и собственно её целесообразностью с учетом имеющихся в распоряжении ресурсов. При этом эффективность инвестиций оценивается комплексно, а неопределенность показателей по устаревшим финансовым и эвристическим методам, вследствие отсутствия достоверных статистических данных и точных моделей, сбалансирована результатами оценки с применением финансовых и качественных методов.
Рецензенты:
Огородникова Т.В., д.э.н., профессор, декан факультета экономики предприятий и управления бизнесом, ФГБОУ ВПО «Байкальский государственный университет экономики и права», г. Иркутск;
Трофимов Е.А., д.э.н., профессор, кафедра экономической теории и институциональной экономики, ФГБОУ ВПО «Байкальский государственный университет экономики и права», г. Иркутск.
Библиографическая ссылка
Хомяков К.Г., Каницкая Л.В. ОЦЕНКА ЭФФЕКТИВНОСТИ ИНВЕСТИЦИЙ В КОМПЛЕКСНЫЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ КОМПАНИЙ НЕФТЕГАЗОВОГО КОМПЛЕКСА ДЛЯ ПРИНЯТИЯ ВЗВЕШЕННОГО ИНВЕСТИЦИОННОГО РЕШЕНИЯ // Фундаментальные исследования. – 2015. – № 2-23. – С. 5173-5177;URL: https://fundamental-research.ru/ru/article/view?id=38176 (дата обращения: 19.04.2024).