· сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты);
· технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здание и помещения, где расположены компоненты АИТУ);
· сотрудники службы безопасности АИТУ;
· руководители различного уровня должностной иерархии.
Посторонние лица, которые могут быть внешними нарушителями:
· клиенты (представители организаций, граждане);
· посетители (приглашенные по какому-либо поводу);
· представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжение и т. п.);
· представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;
· лица, случайно или умышленно нарушившие пропускной режим (без цели нарушения безопасности АИТУ);
· любые лица за пределами контролируемой территории.
Можно выделить три основных мотива нарушений: а) безответственность; б) самоутверждение; в) корыстный интерес. При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.
Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег.
Нарушение безопасности АИТУ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АИТУ информации. Даже если АИТУ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно.
Всех нарушителей можно классифицировать по четырем параметрам (уровню знаний об АИТУ, уровню возможностей, времени и методу действия).
1. По уровню знаний об АИТУ различают нарушителей:
· знающих функциональные особенности АИТУ, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеющих пользоваться штатными средствами;
· обладающих высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
· обладающих высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;
· знающих структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.
2. По уровню возможностей (используемым методам и средствам) нарушителями могут быть:
· применяющие чисто агентурные методы получения сведений;
· применяющие пассивные средства (технические средства перехвата без модификации компонентов системы);
· использующие только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;
· применяющие методы и средства активного воздействия (модификация и подключение дополнительных механических средств, подключение к каналам передачи данных, внедрение программных «закладок» и использование специальных инструментальных и технологических программ).
3. По времени действия различают нарушителей, действующих:
· в процессе функционирования АИТУ (во время работы компонентов системы);
· в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т. п.);
· как в процессе функционирования АИТУ, так и в период неактивности компонентов системы.
4. По месту действия нарушители могут быть:
· не имеющие доступа на контролируемую территорию организации;
· действующие с контролируемой территории без доступа в здания и сооружения;
· действующие внутри помещений, но без доступа к техническим средствам АИТУ;
· действующие с рабочих мест конечных пользователей (операторов) АИТУ;
· имеющие доступ в зону данных (баз данных, архивов и т. п.);
· имеющие доступ в зону управления средствами обеспечения безопасности АИТУ.
При этом могут учитываться следующие ограничения и предположения о характере действий возможных нарушителей:
· работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т. е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;
· нарушитель, планируя попытку несанкционированного доступа к информации, скрывает свои неправомерные действия от других сотрудников;
· несанкционированный доступ к информации может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатком принятой технологии обработки информации и т. д.
Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть охарактеризован значениями характеристик, приведенных выше.
Методы и средства защиты
Проблема создания системы защиты информации включает две взаимодополняющие задачи: 1) разработка системы защиты информации (ее синтез); 2) оценка разработанной системы защиты информации. Вторая задача решается путем анализа ее технических характеристик с целью установления, удовлетворяет ли система защиты, информации комплексу требований к данным системам. Такая задача в настоящее время решается почти исключительно экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.
Методы и средства обеспечения безопасности информации показаны на рис. 7.2. Рассмотрим основное содержание представленных методов защиты информации, которые составляют основу механизмов защиты.
Препятствия — методы физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. д.).
Управление доступом - метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:
· идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
· опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
· проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
· разрешение и создание условий работы в пределах установленного регламента;
· регистрацию (протоколирование) обращений к защищаемым ресурсам;
· регистрацию (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.
Маскировка — метод защиты информации путем ее криптографического закрытия. Этот метод широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности данный метод является единственно надежным.
Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
Принуждение — метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение — метод защиты, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).
Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические. К. основным средствам защиты, используемым для создания механизма обеспечения безопасности, относятся следующие.
Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Например, система опознания и разграничения доступа к информации (посредством паролей, записи кодов и другой информации на различные карточки). Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, источники бесперебойного питания, электромеханическое оборудование охранной сигнализации. Так, различают наружные системы охраны («Ворон», GUARDWIR, FPS и др.), ультразвуковые системы (Cyclops и т. д.), системы прерывания луча (Pulsar 30В и т. п.), телевизионные системы (VМ216 и др.), радиолокационные системы («ВИТИМ» и т. д.), система контроля вскрытия аппаратуры и др.
Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации. В такую группу средств входят: механизм шифрования (криптографии — специальный алгоритм, который запускается уникальным числом или битовой последовательностью, обычно называемым шифрующим ключом; затем по каналам связи передается зашифрованный текст, а получатель имеет свой ключ для дешифрования информации), механизм цифровой подписи, механизмы контроля доступа, механизмы обеспечения целостности данных, механизмы постановки графика, механизмы управления маршрутизацией, механизмы арбитража, антивирусные программы, программы архивации (например, zip, rar, arj и др.), защита при вводе и выводе информации и т. д.
Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, использование, эксплуатация).
Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их обычно ведет к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.
Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).
В настоящее время наиболее острую проблему безопасности (даже в тех системах, где не требуется сохранять секретную информацию, и в домашних компьютерах) составляют вирусы. Поэтому здесь остановимся на них подробнее. Компьютерный вирус — это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т. е. «заражать» их), а также выполнять различные нежелательные действия на компьютере (например, портить файлы или таблицы размещения файлов на диске, «засорять» оперативную память и т. д.).
Основным средством защиты от вирусов служит архивирование. Другие методы заменить его не могут, хотя и повышают общий уровень защиты. Архивирование необходимо делать ежедневно. Архивирование заключается в создании копий используемых файлов и систематическом обновлении изменяемых файлов. Это дает возможность не только экономить место на специальных архивных дисках, но и объединять группы совместно используемых файлов в один архивный файл, в результате чего гораздо легче разбираться в общем архиве файлов. Наиболее уязвимыми считаются таблицы размещения файлов, главного каталога и бутсектор. Файлы рекомендуется периодически копировать на специальную дискету. Их резервирование важно не только для защиты от вирусов, но и для страховки на случай аварийных ситуаций или чьих-то действий, в том числе собственных ошибок.
В целях профилактики для защиты от вирусов рекомендуется:
· работа с дискетами, защищенными от записи;
· минимизация периодов доступности дискет для записи;
· разделение дискет между конкретными ответственными пользователями;
· разделение передаваемых и поступающих дискет;
· разделение хранения вновь полученных программ и эксплуатировавшихся ранее;
· проверка вновь полученного программного обеспечения на наличие в них вируса тестирующими программами;
· хранение программ на жестком диске в архивированном виде.
Для того чтобы избежать появления компьютерных вирусов, необходимо соблюдать прежде всего следующие меры:
· не переписывать программное обеспечение с других компьютеров, если это необходимо, то следует принять перечисленные выше меры;
· не допускать к работе на компьютере посторонних лиц, особенно если они собираются работать со своими дискетами;
· не пользоваться посторонними дискетами, особенно с компьютерными играми.
Можно выделить следующие типичные ошибки пользователя, приводящие к заражению вирусами:
· отсутствие надлежащей системы архивации информации;
· запуск полученной программы без ее предварительной проверки на зараженность и без установки максимального режима защиты винчестера с помощью систем разграничения доступа и запуска резидентного сторожа;
· выполнение перезагрузки системы при наличии установленной в дисководе А дискеты (при этом BIOS делает попытку загрузиться именно с этой дискеты, а не с винчестера; в результате, если дискета заражена бутовым вирусом, происходит заражение винчестера);
· прогон всевозможных антивирусных программ, без знания типов диагностики одних и тех же вирусов разными антивирусными программами;
· анализ и восстановление программ на зараженной операционной системе.
В настоящее время наиболее популярные в России антивирусные средства АО «ДиалогНаука»:
· полифаг Aidstest (полифаг- это программа, выполняющая действия обратные тем, которые производит вирус при заражении файла, т. е. пытающаяся восстановить файл);
· ревизор Adinf;
· лечащий блок AdinfExt;
· полифаг для «полиморфиков» Doctor Web.
Существуют программы-фильтры, проверяющие, имеется ли в файлах (на указанном пользователем диске) специальная для данного вируса комбинация байтов. Используется также специальная обработка файлов, дисков, каталогов — вакцинация: запуск программ-вакцин, имитирующих сочетание условий, в которых начинает работать и проявляет себя данный тип вируса. В качестве примера резидентной программы для защиты от вирусов можно привести программу VSAFF фирмы Carmel Central Point Software. B качестве программ ранней диагностики компьютерного вируса могут быть рекомендованы программы CRCLIST и CRCTEST.
Принципы проектирования системы защиты
Защита информации в АИТУ должна основываться на следующих основных принципах: 1) системности; 2) комплексности; 3) непрерывности защиты; 4) разумной достаточности; 5) гибкости управления и применения; 6) открытости алгоритмов и механизмов защиты; 7) простоты применения защитных мер и средств.
Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности АИТУ. При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и несанкционированного доступа к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Их комплексное использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существующие каналы реализации угроз и не содержащей слабых мест на стыке отдельных ее компонентов. Зашита должна строиться эшелонированно. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционной системы (ОС) в силу того, что ОС - это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень зашиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.
Защита информации - это не разовое мероприятие и даже не совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АИТУ, начиная с ранних стадий проектирования, а не только на этапе ее эксплуатации. Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и в конечном счете создать более эффективные (как по затратам ресурсов, так и по устойчивости) защищенные системы. Большинству физических и технических средств защиты для эффективного выполнения их функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т. п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств, преодоления системы защиты после восстановления ее функционирования.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом (разумно достаточном) уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровней защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости избавит владельцев АИТУ от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудовых затрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т. д.).
Тесты и тренировочные задания
Тесты*
* Для выполнения тестов выберите правильный ответ из предложенных вариантов.
7.1. Какие виды информации из перечисленных относятся к классификации по уровню важности:
а) жизненно важная информация;
б) конфиденциальная информация;
в) важная информация;
г) полезная информация;
д) несущественная информация;
е) перечисленные виды информации кроме второго (а + в + г + д);
ж) первый, третий и четвертый виды информации (а + в + г)?
7.2. Какие свойства информации важны для обеспечения информационной безопасности:
а) доступность;
б) полнота;
в) целостность;
д) достоверность;
е) актуальность;
ж) перечисленные свойства кроме третьего (а +б + г + д + е);
з) первое, третье и четвертое свойства (а + в + г)?
7.3. Что такое информационная безопасность:
а) препятствие ознакомлению постороннего лица с содержанием секретной информации;
б) препятствие несанкционированному изменению информации, корректное по форме и содержанию, но другое по смыслу;
в) защита информации от утечки, модификации и утраты;
г) препятствие физическому уничтожению информации?
7.4. Что такое защита информации:
а) защита от утечки, модификации и утраты информации;
б) средства обеспечения безопасности информации;
в) препятствие физическому уничтожению информации?
7.5. Каковы основные виды угроз безопасности информации:
а) стихийные бедствия и аварии (наводнения, ураганы, землетрясения, пожары и т. п.);
б) сбои и отказы оборудования (технических средств);
в) последствия ошибок проектирования и разработки компонентов (аппаратных средств, технологии обработки информации, программ, структур данных и т. п.);
г) ошибки эксплуатации (пользователей, операторов и другого персонала);
д) преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т. п.);
е) компьютерные вирусы;
ж) все перечисленные угрозы (а + б + в + г + д + е);
з) первые пять из перечисленных угроз (а + б + в + г + д)?
7.6. Какие работы по созданию системы защиты необходимо произвести:
а) определить угрозы безопасности информации;
б) провести анализ предметной области;
в) выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным;
г) построить модель потенциального нарушителя;
д) выбрать соответствующие меры, методы, механизмы и средства защиты;
е) построить замкнутую, комплексную, эффективную систему защиты, проектирование которой начинается с проектированием самих автоматизированных систем;
ж) пять из перечисленных видов работ (а + в + г + д + е);
з) все перечисленные виды работ (а + б + в + г + д + е)?
7.7. Какие существуют методы защиты информации:
а) препятствия;
б) физические;
в) управление доступом;
г) организационные;
д) маскировка;
е) морально-этические;
ж) регламентация;
з) предупреждение;
и) законодательные;
к) побуждение;
л) аппаратные;
м) программные;
н) все перечисленные методы (а + б + в + г + д + е + ж + з + и + к + л + м);
о) первые шесть методов (а + б + в + г + д + е);
п) шесть из перечисленных методов (а + в + д + к + л + м)?
7.8. Какие существуют средства защиты информации:
а) препятствия;
б) аппаратные;
в) программные;
г) управление доступом.
д) маскировка;
е) регламентация;
ж)принуждение;
з) побуждение;
и) физические;
к) организационные;
л) законодательные;
м) морально-этические;
н) все перечисленные средства (а + б + в + г + д + е + ж + з + и + к +л + м);
о) шесть из перечисленных средств (б + в + и + к + л + м)?
7.9. Что такое компьютерный вирус:
а) специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т. е. «заражать» их), а также выполнять различные нежелательные действия на компьютере (например, портить файлы или таблицы размещения файлов на диске, «засорять» оперативную память и т. д.);
б) самовозникающие сбои в программах, связанные со сбоями работы оборудования компьютера?
7.10. Какие меры защиты от вирусов вам известны:
а) архивирование;
б) работа с дискетами, защищенными от записи;
в) минимизация периодов доступности дискет для записи;
г) разделение дискет между конкретными ответственными пользователями;
д) разделение передаваемых и поступающих дискет;
е) разделение хранения вновь полученных программ и эксплуатировавшихся ранее;
ж) хранение программ на жестком диске в архивированном виде;
з) недопущение к работе на компьютере посторонних лиц, особенно если они собираются работать со своими дискетами;
и) использование антивирусных программ для проверки вводимых в машину файлов;
к) все перечисленные меры (а + б + в + г + д + е + ж + з + и);
л) выше перечисленные меры, за исключением третьей и пятой (а + б + г + е + ж + з + и)?
Тренировочное задание
7.11. Назовите методы и средства защиты информации от нарушителя типа «безответственный пользователь».
ТЕМА 8. ОЦЕНКА ЭФФЕКТИВНОСТИ АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ УПРАВЛЕНИЯ
Подходы к оценке эффективности автоматизированных информационных технологий управления
В современных условиях достаточно быстро развивается рынок новых технологий управления, которые используются для предприятий самого различного профиля, с разнообразными организационными структурами управления, с разной численностью работающих. Разработка и внедрение новых АИТУ требует больших единовременных затрат, эксплуатационных расходов, затрат живого труда. При обосновании целесообразности осуществления таких крупных затрат инвестор обычно требует проведения расчетов по оценке эффективности проводимых мероприятий. Для этого необходимо установить:
· факторы, действие которых обеспечивает эффективность;
· направления действия этих факторов;
· показатели для количественного измерения степени влияния данных факторов;
· методы расчета этих показателей.
Основными факторами являются повышение качества проведения вычислительных работ, повышение надежности функционирования вычислительных ресурсов, сокращение, сроков создания и освоения новых информационных технологий, увеличение объема и сокращение сроков переработки информации, повышение производительности труда разработчиков и пользователей вновь созданных информационных технологий и др.
Для определения направления действия этих факторов надо выяснить, на что влияет разработка и внедрение конкретной информационной технологии управления, а именно:
· на эффективность труда отдельных работников управления;
· эффективность управленческой деятельности подразделения;
· эффективность процесса управления при выработке конкретного управленческого решения;
· эффективность отдельного звена иерархической системы управления;
· эффективность методов управления;
· эффективность внедряемого бизнес-процесса;
· эффективность системы управления в целом.
Для оценки эффективности АИТУ требуется методика, способная продемонстрировать отдачу этой системы, чтобы убедиться, что принимаются наиболее продуктивные и экономически оправданные решения из всех возможных. При этом представляет интерес формальный подходдля измерения количественной величины эффективности новой аппаратуры и программного обеспечения, корректный способ определения тех бесконечно малых неосязаемых выгод от применения информационной технологии, которые оправдывают затраты.
Необходимо использовать различные способы комбинирования количественных и качественных методов анализа эффективности. Определяющий фактор успеха — это взаимопонимание между руководством компании и руководителями информационных служб, а также согласованная методика оценки выгод, получаемых бизнесом от внедрения информационных технологий управления. Технология оценки эффективности АИТУ может быть следующей:
1) производственное подразделение, нашедшее новое приложение, готовит техническое обоснование;
2) сотрудники отдела информационных систем анализируют предложение;
3) отдел информационных систем помогает менеджерам оценить прямой и косвенный эффект;
4) ожидаемый эффект подразделяется на исчисляемый (ведущий к материальной экономии) и неисчисляемый (косвенный);
5) по оценкам исчисляемых расходов и доходов производится расчет показателей, выбранных в качестве основных; неисчисляемые эффекты включаются в обоснование в виде отдельных разделов для рассмотрения высшими руководителями;
6) руководитель производственного подразделения утверждает окончательное обоснование;
7) проект передается на утверждение руководству, которое принимает решение о выделении инвестиций;
8) устанавливается дата представления отчета о реализации проекта, в котором сравниваются ожидаемые показатели с фактическими.
Показатели общественной эффективности автоматизированных информационных технологий управления
Сравнение различных инвестиционных проектов АИТУ (или вариантов проекта) и выбор лучшего из них рекомендуется производить с использованием различных показателей. Основными показателями общественной эффективности являются:
· чистый дисконтированный доход;
· индекс доходности;
· внутренняя норма доходности;
· срок окупаемости.
Чистый дисконтированный доход (ЧДД) определяется как сумма текущих эффектов за весь расчетный период, приведенная к начальному шагу, или как превышение интегральных результатов над интегральными затратами. Если в течение расчетного периода не происходит инфляционного изменения цен или расчет производится в базовых ценах, то величина ЧДД для постоянной нормы дисконта вычисляется по формуле:
При оценке эффективности инвестиционного проекта соизмерение разновременных показателей осуществляется путем приведения (дисконтирования) их ценности к начальному периоду. Если показатель ЧДД инвестиционного проекта положителен, то проект является эффективным (приданной норме дисконта) и может рассматриваться вопрос о его принятии. Чем больше значение ЧДД, тем эффективнее проект. Если инвестиционный проект будет осуществлен при отрицательном ЧДД, то инвестор понесет убытки, т. е. проект неэффективен.
На практике используют и модифицированную формулу для определения ЧДД. Для этого из состава Зt исключают капиталовложения Kt на t-м шаге. Сумма дисконтированных капиталовложений равна:
где К — дисконтированные капитальные вложения.
Тогда формула для расчета ЧДД будет иметь вид:
Эта формула выражает разницу между суммой приведенных эффектов и приведенной к тому же моменту величиной капиталовложений К.
Индекс доходности (ИД) представляет собой отношение суммы приведенных эффектов к величине капиталовложений:
Индекс доходности тесно связан с показателем ЧДД. Он строится из тех же элементов и его значение связано со значением ЧДД: если ЧДД положителен, то ИД > 1, и наоборот. Если ИД > 1, то проект эффективен; при ИД < 1 проект неэффективен.
Внутренняя норма доходности (ВНД) - это норма дисконта (Евн), при которой величина приведенных эффектов равна приведенным капиталовложениям:
При использовании показателя ВНД следует соблюдать осторожность. Во-первых, внутренняя норма доходности не всегда имеет место. Во-вторых, уравнение может иметь больше одного решения. Первый случай весьма редок. Во втором — корректный расчет показателя ВНД несколько затруднителен, хотя и возможен. Для первого приближения к ситуации, когда простой (недисконтированный) интегральный эффект положителен, ряд авторов предлагает принимать в качестве EВН значение положительного корня уравнения.
Внутренняя норма доходности проекта определяется в процессе расчета и затем сравнивается с требуемой инвестором нормой дохода на вложенный капитал. Если показатель ВНД равен или больше требуемой инвестором нормы дохода на капитал, инвестиции в данный проект оправданы, и может рассматриваться вопрос о его принятии. В противном случае инвестиции в проект нецелесообразны. Если сравнение альтернативных (взаимоисключающих) инвестиционных проектов (вариантов проекта) по показателям ЧДД и ВНД приводит к противоположным результатам, то предпочтение следует отдавать ЧДД.
Внутреннюю норму доходности можно определить по формуле, построенной по методу интерполяции:
где А — ставка дисконта при отрицательном значении ЧДД;
В — ставка дисконта при положительном значении ЧДД;
С — значение ЧДД при ставке дисконта А;
D — значение ЧДД при ставке дисконта В.
Метод интерполяции дает только приближенное значение внутренней нормы доходности. Чем больше расстояние между любыми двумя точками, имеющими положительный и отрицательный ЧДД, тем менее точным будет расчет показателя ВНД. Внутреннюю норму доходности можно рассчитать с помощью приложения MS EXCEL, используя команду «Подбор параметра».
Срок окупаемости - минимальный временной интервал (от начала осуществления проекта), за пределами которого интегральный эффект становится и в дальнейшем остается неотрицательным. Иными словами, это период (измеряемый в месяцах, кварталах и годах), начиная с которого первоначальные вложения и другие затраты, связанные с инвестиционным проектом, покрываются суммарными результатами его осуществления. Результаты и затраты, связанные с осуществлением проекта, можно вычислять с дисконтированием или без него. Соответственно получатся два различных срока окупаемости. Срок окупаемости рекомендуется определять с использованием дисконтирования.
При необходимости учета инфляции расчетные формулы показателей эффективности проектов должны быть преобразованы так, чтобы из входящих значений затрат и результатов было исключено инфляционное изменение цен, т. е. чтобы величины критериев были приведены к ценам расчетного периода, при этом необходимо учитывать изменения цен за счет неинфляционных причин и осуществлять дисконтирование. Это можно выполнить введением прогнозных индексов цен и дефлирующих множителей.
Наряду с перечисленными выше критериями возможно использование и ряда других: интегральной эффективности затрат, точки безубыточности, простой нормы прибыли, капиталоотдачи и т. д. Для применения каждого из них необходимо ясное представление о том, какой вопрос экономической оценки проекта решается с его использованием и как осуществляется выбор решения.
Ни один из перечисленных критериев сам по себе на является достаточным для принятия проекта. Решение об инвестировании средств в проект должно приниматься с учетом значений всех перечисленных критериев и интересов всех участников инвестиционного проекта. Важную роль в этом решении должна играть также структура и распределение инвестиций, привлекаемых для осуществления проекта по срокам, а также другие факторы, отдельные из которых поддаются только содержательному (а не формальному) учету (например, социальные и экологические факторы, воздействующие на здоровье людей, социальная и экологическая обстановка в регионах).
Необходимо учитывать также косвенные финансовые результаты, обусловленные осуществлением проекта, изменения доходов сторонних предприятий и граждан, рыночной стоимости земельных участков, зданий и иного имущества, а также затраты на обусловленную реализацией проекта консервацию или ликвидацию производственных мощностей, потери природных ресурсов и имущества от возможных аварий и других чрезвычайных ситуаций.
Оценка предстоящих затрат и результатов при определении эффективности осуществляется в пределах расчетного периода, продолжительность которого (горизонт расчета) принимается с учетом:
· продолжительности создания, эксплуатации и (при необходимости) ликвидации объекта;
· средневзвешенного нормативного срока службы основного технологического оборудования;
· достижения заданных характеристик прибыли (массы и/или нормы прибыли и т. д.);
· требований инвестора.
. Горизонт расчета измеряется числом шагов расчета. Шагом расчета при определении показателей эффективности в пределах расчетного периода могут быть месяц, квартал или год.
Затраты; осуществляемые участниками проекта, подразделяются на первоначальные (капиталообразующие), текущие и ликвидационные, которые осуществляются соответственно на стадиях строительства, функционирования и ликвидации объекта.
Для стоимостной оценки результатов и затрат могут использоваться текущие, прогнозные и дефлированные цены. Под текущими понимаются цены, заложенные в проекте без учета инфляции. На стадии технико-экономического обоснования обязательным является расчет экономической эффективности в прогнозных и дефлированных ценах (одновременно желательно производить расчеты и в других видах цен). Прогнозная цена - это ожидаемая цена с учетом инфляции на будущих шагах расчета. Дефлированными ценами называются прогнозные цены, приведенные к уровню цен фиксированного момента времени путем деления на общий базисный индекс инфляции.
Денежные потоки могут выражаться в разных валютах. Рекомендуется учитывать денежные потоки в тех валютах, в которых они реализуются. Для количественного измерения эффективности АИТУ целесообразно использовать метод анализаденежных потоков и показатели общественной эффективности, рассмотренные выше. Основным при расчете этих показателей является определение результатов и затрат по каждому году расчетного периода. При этом проблемным является вопрос определения результата (дохода) от внедрения и использования или продажи данной АИТУ. Можно выделить следующие подходы к определению результативности информационной технологии:
1) когда результаты эффективности производства и управления совпадают;
2) когда результат эффективности управления ниже результата эффективности производства;
3) когда определяется только результат от внедрения (продажи) информационной технологии управления;
4) когда определение эффективности новой технологии управления предполагает разработку дерева целей и их количественную оценку;
5) когда определяется результат от разработки и внедрения конкретного управленческого решения, использующего новую информационную технологию;
6) когда определяется результат деятельности управленческого персонала на всех иерархических уровнях (или отдельном уровне), использующих новую информационную технологию.
После анализа этих подходов можно выбрать показатели и определить методы их расчета для определения результата при оценке эффективности новой информационной технологии.
Учет риска при оценке эффективности автоматизированной информационной технологии управления
В настоящее время наблюдаются глубокие изменения в ситуации с рисками: потенциал ущерба становится многообразнее, крупнее, сложнее, труднее предсказуемым. Сточки зрения определения риска область внедрения и эксплуатации АИТУ вызывает особый интерес, так как, во-первых, электронная обработка данных охватывает широкий круг пользователей и распространяется на новые сферы повседневной жизни; во-вторых, развитие этого сектора будет иметь далеко идущие последствия; в-третьих, системы, включающие как машинный, так и человеческий компоненты, особенно сложны в отношении оценки фактора риска.
При внедрении и эксплуатации АИТУ можно выделить две основные категории рисков: первая связана с машинными компонентами, а вторая — с людьми, которые организуют работу системы и пользуются результатами этой работы. В теории экономики предприятия известно множество определений понятия риска, отражающих как практические потребности принятия решений, так и чисто теоретические положения. Здесь важно отметить, что не все параметры риска могут быть измерены в денежном эквиваленте, а также то, что риск и связанные с ним угрозы и ущерб зависят от ситуации, уровня информированности и культурных предпосылок, т. е. отражают культурную предрасположенность общества. Это предполагает использование множества более или менее реализуемых моделей регулирования (моделей устранения риска).
При оценке рисков, связанных с функционированием АИТУ, можно выделить три подхода, которые следует применять в комплексе:
· технический подход ориентирован в основном на ущерб оборудованию обработки данных, средствам хранения и самой информации;
· производственно-экономический подход нацелен на проблемы, связанные с простоем предприятия и ухудшением его деятельности;
· медицинский подход ориентирован на проблемы, связанные с возможностью нанесения вреда здоровью.
Важным является вопрос об определении сторон, которые терпят убытки по рискам. Вопросы о том, кто и в какой мере несет риски (или не несет их вовсе), определяются неэкономической рациональностью, асоциально-культурными факторами (например, как распределяются риски при внедрений новой информационной технологии между предприятием, обществом и индивидом зависит от социально-культурного развития страны).
Материальные риски
Материальные риски охватывают широкий круг объектов, которым может быть нанесен ущерб. К таким объектам относятся аппаратура для обработки данных, их носители и средства передачи, сами данные и программы, а также средства обеспечения, оборудование для утилизации отходов, здания. К этому можно добавить нанесение ущерба из-за нарушений в работе компонентов системы. Очень разнообразен перечень возможных причин ущерба. Это могут быть механические и химические воздействия, электромагнитные поля и излучения, компьютерные вирусы, неправильное использование программ, искажение данных и др.
Частота возникновения ущерба для отдельных ситуаций хорошо известна, так как ведутся исследования, предметом которых является ущерб, связанный с эксплуатацией компьютеров разных фирм-производителей. Определенные события, например, пожары или удары молнии, тщательно документируются. Данные сопоставлений, распространяемые страховыми компаниями, дают первое представление об относительном значении отдельных причин ущерба. Значительно труднее эта задача решается в случае потери данных и программных ошибок. В случае материального ущерба благодаря страхованию могут покрываться (хотя бы частично) финансовые потери, а также могут приниматься меры по стимулированию профилактики ущерба.
Риски для здоровья
Эксплуатация аппаратуры для электронной обработки данных связана с большой физической и психологической нагрузкой людей, обслуживающих эту технику. Влияние ЭВМ на организм человека изучается и документируется уже давно, но взаимосвязи в этой области по своей природе значительно сложнее, чем в области машинных компонентов информационной системы. Частота нанесения вреда здоровью при работе с компьютером является предметом научных исследований.
Определение размеров ущерба тоже требует своего решения, так как отсутствуют необходимые критерии оценки для компонентов материального ущерба, а также существует проблема учета последствий от ущерба здоровью (пока учитываются только такие параметры компенсаций, как затраты на лечение или его продолжительность). Не решены вопросы социального страхования рисков, связанных с нанесением вреда здоровью (пока от предприятий только требуют строго ориентироваться на современный уровень техники безопасности).
Тесты и практические задания
Тесты*
* Для выполнения тестов выберите правильный ответ из предложенных вариантов.
8.1. Что такое чистый дисконтированный доход:
а) разность дисконтированных на один момент времени показателей дохода;
б) разность между величиной прибыли и инвестиций;
в) разность дисконтированных на один момент времени результатов и затрат?
8.2. Инвестиционный проект считается эффективным:
а) когда дисконтированные результаты превышают дисконтированные затраты;
б) когда прибыль равна нулю;
в) когда срок окупаемости меньше 10 лет.
8.3. По какой формуле определяется срок окупаемости (без дисконтирования) при равном ежегодном доходе (Ток — срок окупаемости, К — размер инвестиций, R — ежегодный доход):
а) Ток = К/R;
б) Ток = R/К;
в) Ток = (R – K)/R?
8.4. Что понимают под сроком окупаемости:
а) период времени, когда производятся капиталовложения;
б) период времени, когда капиталовложения превосходят результат;
в) период времени, в течение которого сумма дисконтированных результатов становится равной сумме дисконтированных затрат?
Практические задания
8.5. Имеются данные по параметрам инвестиционных проектов А и В в автоматизированной информационной технологии управления, приведенные в таблице. Норма дисконта Е = 0,1.
|
Проекты |
Инвестиции, тыс. руб. |
Доход, тыс. руб. | ||||
|
Год 1 |
Год 2 |
Год 3 |
Год 4 |
Год 5 |
Год 6 | |
|
Проект А |
100 |
150 |
0 |
50 |
300 |
100 |
|
Проект В |
500 |
50 |
0 |
100 |
200 |
100 |
Проведите необходимые расчеты и выберите правильный ответ из предложенных вариантов размера чистого дисконтированного дохода (тыс. руб.) по проектам А и В:
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 |
