Методика проведения анализа уровня экономической безопасности на предприятии и направления её совершенствования

    МЕТОДИКА  ПРОВЕДЕНИЯ АНАЛИЗА УРОВНЯ ЭКОНОМИЧЕСКОЙ  БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ И НАПРАВЛЕНИЯ  ЕЁ СОВЕРШЕНСТВОВАНИЯ 

    Экономическая безопасность предприятия (ЭБП)- наиболее эффективный и действенный механизм в области оптимизации деятельности предприятия для развития по вектору  избранной стратегии. Он предоставляет  определенный инструментарий, позволяющий  своевременно диагностировать и  избегать негативные факторы внешней среды и ситуации внутри предприятия, а также выявлять и использовать позитивные обстоятельства.

    В виду объективной необходимости  всестороннего изучения понятия  ЭБ, широкого использования его в  условиях нестабильной экономической  среды, можно констатировать острую нарастающую актуальность вопросов, связанных с данной категорией.

    Главной целью ЭБП является обеспечение  его устойчивой, планомерной и  максимально эффективной деятельности в настоящее время и создание высокого потенциала развития в будущем.

    Следует отметить, что в настоящий момент, особенно в Украине, несуществует сложившейся теоретической базы рассматриваемых вопросов экономической науки, имеется лишь разрозненные разработки по данному направлению.

    Прогресс  в развитии информационных технологий стимулировал развитие всех сфер бизнес-отношений, где предпринимательская деятельность все больше стала развиваться в сторону конкурентоспособных взаимоотношений. Это, в свою очередь, привело к необходимости пересмотра проблемы разработки и использования систем экономической безопасности (СЭБ) на предприятии. [2]

    Сегодня ЭБ - один из важнейших механизмов поддержания  производственно-хозяйственной деятельности предприятий. Современное состояние  отечественной промышленности характеризуется  значительным износом основных производственных фондов (ОПФ), устаревшими технологиями производства, недостаточной автоматизацией производственных процессов и т.п. С этой точки зрения среди факторов, влияющих на ЭБП, одно из основных мест занимают инновации.

    Инновации как фактор, влияющий на ЭБП, следует  рассмотреть: - как обновление или  введение новых технологий производства; - как разработку и выпуск новых  видов продукции; - как введение новых  объектов ОПФ; усовершенствование и  замена производственных линий.

    Проведенный анализ исследований известных специалистов показал, что формально описанной  полнофункциональной методики разработки СЭБ, которая бы обеспечивала комплексный  подход внедрения, для предприятия  не существует. Таким образом, возникает  нерешенная задача построения методики разработки СЭБ на предприятии в  условиях современного развития рынка  и бизнеса, с учетом использования  новых информационных технологий.

    Кроме того, в современном бизнесе все  больше используют компьютерную технику  и телекоммуникационные системы, переходят  на безбумажную технологию и, при  этом, существенно увеличиваются  объемы анализируемой информации и  количество пользователей. Все это  приводит к качественно новым  возможностям несанкционированного доступа (НСД) к ресурсам предприятия и  данным ИС, а также учащению фактов экономического шпионажа.

    Таким образом, главной целью является показ необходимости организации и разработка (внедрение) системы, которая обеспечит надлежащим образом (по заданным критериям), безопасности ведения бизнеса на предприятии, каковой и является СЭБ.

    Разработка  подобных систем сегодня уже отличается от существующих прежних подходов, когда данный процесс сводился к  выбору соответствующих аппаратных и программных средств. В современной  предпринимательской деятельности, кроме всего вышеназванного, необходимо также овладевать определенными  практическими и теоретическими навыками и опытом, тем самым формировать  целостное представление обо  всем процессе разработки. Такой комплексный  подход целесообразно представить  в виде четко формализованной  методики. Всю методику предлагается разбить на соответствующие этапы.

    Также надо оговорить, что предложенная методика будет иметь циклический характер, поскольку после каждого этапа  необходимо осуществлять его "самоконтроль" на предмет анализа оптимальности  принятых мер и проведенных мероприятий. 

    Этап 1. Определение категорий информации (категорирование информации), для  которых необходимо выполнить комплекс мероприятий по обеспечению безопасности при выполнении всех операций (хранение, изменение, запись, чтение и др.). К  категориям, подлежащих  обеспечению  безопасности, в первую очередь, необходимо отнести конфиденциальную, управленческую, кадровую, торговую, коммерческую, банковскую и другую информацию, которая представляет большую ценность для самого предприятия  и  может быть использована для  обеспечения конкурентоспособного состояния в современном бизнесе. 

    Этап 2. Классификация объектов и ресурсов предприятия. Для чего можно использовать либо известные классификаторы, либо вводить собственные. Автор предлагает использовать комбинированные классификаторы, построенных на основе существующих, с указанием дополнительных классов объектов и ресурсов для обеспечения полноты и доступности учета. 

    Этап 3. Формирование множества потенциально опасных экономических угроз  и уязвимостей. Полнота формируемого множества прямо зависит от степени  детализации планируемой в использовании  СЭБ. Если в качестве базовой использовать концептуальную "сотовую" модель, то полученное множество будет отвечать всем требованиям полноты. Как и на предыдущем этапе, здесь также рекомендуется использовать комбинированный подход к формированию множества. 

    Этап 4. Формирование множества потенциальных  и существующих каналов НСД к  вышеопределенным объектам и ресурсам предприятия. Здесь, прежде всего, необходимо учесть все электронные каналы, поскольку  это диктуется развитием современных  технологий ведения предпринимательской  деятельности. К таковым следует  отнести электронную почту, файловый обмен, наличие выхода в сеть Интернет, используемые радиоканалы, каналы вербальных и невербальных служб общения (ICQ, IRC, Skype и др.). 

    Этап 5. Проведение первичного аудита СЭБ  предприятия (при ее отсутствии –  аудит показателей сформированных ранее множеств). На этом этапе рекомендуется  также провести оценку потенциальных  рисков, например, с помощью системы  анализа и управления информационными  рисками ГРИФ, входящую в пакет  Digital Security Office 2006 фирмы "Диджитал Секьюрити" [6]. Проведенный аудит покажет степень важности уязвимости для учета в дальнейшей работе и расстановке уровней приоритетов. 

    Этап 6. Формирование критериев эффективности  и рентабельности принимаемых мер  и проведения мероприятий, а также  формирование множества требований к СЭБ. Самый простой способ увидеть  динамику изменения состояния уровня СЭБ – это периодическое проведение подобных аудитов и сравнение  полученных результатов. 

    Этап 7. Выбор оптимальных методик и  методов реализации СЭБ, например, на основе внедряемой политики экономической  безопасности (ЭБ) на предприятии [3]. Также рекомендуется проведение реконфигурации существующего программного и аппаратного обеспечения, используемого в работе предприятия. Здесь также могут быть скорректированы характеристики существующих средств, используемых в СЭБ. 

    Этап 8. Внедрение (модернизация) и организация  использования разрабатываемой  СЭБ предприятия, а также выбранных  мер и проводимых мероприятий, способов (методик) и средств обеспечения  безопасности экономической информации. 

    Этап 9. Естественная и логичная операция контроля функционирования СЭБ предприятия, результат которой – коррекция  всех параметров и характеристик, применяемых  средств и методов обеспечения  безопасности. 

    Данная  методика носит обобщенный методический характер, показывающая основные концептуальные этапы внедрения разработанной СЭБ на предприятии.

    Всю последовательность этапов для наглядности  представим в графическом виде, изображенном на рис. 1. 

    Ее  использование будет иметь оптимальный  характер при совместном использовании  с предлагаемой методикой построения политики безопасности организации [3]. 

    Циклическое использование методики разработки СЭБ предприятия представляет собой  регулярный спиралевидный процесс, оказывающий непосредственное влияние  на саму предпринимательскую деятельность. И от того, как она будет использована, будет зависеть положительность  экономического эффекта в спиралевидном  развитии. 

    При использовании данной методики можно  получить достаточно адекватную оценку реализации СЭБ, что обеспечивает системный  подход к организации комплексной  безопасности всей предпринимательской  деятельности. Кроме того, в условиях современного рынка при реализации СЭБ предприятия необходимо использовать весь доступный комплекс организационно-правовых и технологических мероприятий, которые должны быть научно обоснованными  и являться передовыми в своей области.

    Подобный  концептуальный системный подход, помимо всего прочего, должен быть приемлемым для всех субъектов в СЭБ, т.е. для пользователей и иметь  возможность (чтобы не быть тупиковым) модификации и наращивания "мощности" СЭБ. 

    Однако  не стоит забывать об общеизвестном  постулате – чем большим объемом  информации владеет предприятие, тем  большей опасности оно подвергается. Это и промышленный шпионаж, и  хакерские атаки с их разновидностями (фишинг, фарминг, спам, вишинг и др.), и работа инсайдеров, и форс-мажорные обстоятельства. При увеличении объемов информации, подлежащих защите, также увеличивается сложность организации ее безопасности. Это, в свою очередь, приводит к увеличению объемов финансовых, материальных, интеллектуальных, правовых и других затрат. И здесь возникает вопрос о "золотой середине" – сколько необходимо вкладывать ресурсов для достижения оптимального уровня ЭБ. В геометрической интерпретации эта задача известна как "нахождение седловой точки", такой процесс можно изобразить условно, как показано на рис. 2. 

    При увеличении затрат ресурсов на развитие СЭБ, последняя, естественно, начинает повышать свою эффективность, однако, при дальнейшем увеличении вложений, СЭБ предприятия может потерять темпы своего развития, а в отдельных  случаях, уровень эффективности может вообще снизиться 

    Получаемая, таким образом, "седловая точка" и определяет тот оптимум между объемом затрат ресурсов и достигаемым уровнем эффективности СЭБ предприятия. Вообще процесс развития эффективности СЭБ во многом является изменяемым процессом во времени (функция зависимости от времени, ESES (t)), а график зависимости представляет собой весьма ломаную кривую, на протяжении которого могут наблюдаться и взлеты, и падения. Кроме того, функция ESES (t) зависит от многих факторов, показателей и параметров, которую можно представить в следующем виде: 

    ESES (t) = f (B, U, C, R, S, P),

    где B, U, C, R, S, P – множества, представленные автором в работе [1]. 

    Чаще  всего, функция ESES (t) имеет вид, изображенный на рис. 3.

    На  этом графике значение ESES (ti) = min является тем минимальным уровнем эффективности функционирования СЭБ, когда она является рентабельной, и ее работа дает положительный эффект. В дальнейшем необходимо тщательно следить, чтобы этот достигнутый уровень не опустился ниже данной отметки. Значение ESES (ti) = max является потенциальным максимальным уровнем, достижение которого должно оставаться желаемым результатом, но не обязательным. Однако, стремиться всеми силами достичь его не следует, т.к. это может привести к непредусмотренным и неоправданным расходам различных ресурсов. Интервал времени [tk – ti] определяет длительность стабильного функционирования СЭБ предприятия и напрямую зависит от обеспечения безопасности всех составляющих концептуальной "сотовой" модели СЭБ [1].

    Выделенная  на рис. 3 зона "optimum" – это та зона эффективности функционирования СЭБ предприятия, которая может быть получена и поддержана в дальнейшем при использовании оптимальных по качеству и количеству затрат (расходов) различных ресурсов.

    При разработке (построении) СЭБ предприятия  необходимо понимать, что сам фактор безопасности является одним из управляющих  факторов экономического развития предприятия, а, следовательно, к нему могут быть применены все законы рыночного  развития. Можно также ввести прямую зависимость между получаемой прибылью предприятия и достигнутым уровнем  эффективности функционирования СЭБ, чем выше уровень – тем выше прибыль.