МЕТОДИКА ОЦЕНКИ УРОВНЯ КОНТРОЛЯ ПРОМЫШЛЕННОГО ПРЕДПРИЯТИЯ НАД КОРПОРАТИВНЫМИ ИНФОРМАЦИОННЫМИ АКТИВАМИ

​METHODOLOGY FOR ASSESSING THE LEVEL OF CONTROL OF AN INDUSTRIAL ENTERPRISE OVER CORPORATE INFORMATION ASSETS

Sokolov Gleb Aleksandrovich

PhD student, Department IBM4 “Management”, Bauman Moscow State Technical University,

Russia, Moscow

АННОТАЦИЯ

В статье рассматривается проблема обеспечения информационного суверенитета промышленных предприятий в условиях цифровой трансформации и внешних технологических ограничений. Целью работы является разработка комплексной методики оценки уровня контроля организации над корпоративными информационными активами. Автором предложена система показателей, сгруппированных по четырем ключевым направлениям: локализация данных, зависимость от внешних платформ, уровень защищенности и операционная автономность бизнес-процессов. В работе представлен алгоритм расчета интегрального показателя и описана пятиуровневая шкала зрелости контроля. Применение данной методики позволяет руководству предприятий выявлять критические уязвимости в ИТ-инфраструктуре и формировать обоснованную стратегию по импортозамещению и обеспечению информационной безопасности.

ABSTRACT

The article addresses the issue of ensuring the information sovereignty of industrial enterprises in the context of digital transformation and external technological restrictions. The aim of the study is to develop a comprehensive methodology for assessing the level of an organization's control over corporate information assets. The author proposes a system of indicators grouped into four key areas: data localization, dependence on external platforms, security level, and operational autonomy of business processes. The paper presents an algorithm for calculating an integral indicator and describes a five-level control maturity scale. The application of this methodology enables enterprise management to identify critical vulnerabilities in the IT infrastructure and formulate a well-grounded strategy for import substitution and information security assurance.

Ключевые слова: контроль информационных активов, промышленное предприятие, цифровой суверенитет, локализация данных, информационная безопасность, операционная автономность.

Keywords: information assets control, industrial enterprise, assessment methodology, digital sovereignty, data localization, information security, operational autonomy.

В условиях нарастающих вызовов цифровому суверенитету и информационной безопасности промышленных предприятий актуальность разработки инструментов оценки уровня корпоративного информационного суверенитета (КИС) значительно возросла. Предлагаемая методика позволяет количественно оценить степень контроля предприятия над своими информационными активами, выявить критические зависимости от внешних платформ и сформировать обоснованные рекомендации по повышению информационной автономности. Практическая значимость методики заключается в возможности принятия управленческих решений на основе объективных измеримых показателей, что особенно важно для предприятий критической инфраструктуры и стратегических отраслей промышленности.

Контроль над информационными активами представляет собой способность предприятия самостоятельно управлять, защищать и распоряжаться своими данными, информационными системами и цифровыми ресурсами без критической зависимости от внешних поставщиков и платформ [2]. Данный вид контроля тесно связан с понятием информационного суверенитета на корпоративном уровне, который является производным от государственного и означает необходимость организации обеспечивать автономность собственного информационного пространства. Цифровой суверенитет компании характеризуется правом участников самостоятельно определять процессы в их цифровой среде, что становится ключевым фактором защиты от утечек и кибератак, а также признаком стабильности бизнеса. В условиях санкционного давления и ухода зарубежных вендоров, особенно для предприятий критической информационной инфраструктуры (КИИ), обеспечение технологической независимости и соблюдение нормативно-правовой базы РФ (включая Указы Президента №250, №500, №166) становится основой надежной работы жизненно важных систем.

Теоретическое обоснование структуры методики

Выбор четырех ключевых направлений оценки — локализации данных, независимости от внешних платформ, защищенности и операционной автономности — основан на современных концепциях цифрового суверенитета и международных стандартах управления информационными активами. Данная структура согласуется с трехкомпонентной моделью цифрового суверенитета, предложенной ведущими технологическими компаниями и исследователями.

Локализация данных выступает базовым компонентом, поскольку именно контроль над физическим местоположением данных обеспечивает фундамент информационной независимости. Red Hat и SUSE единодушно определяют data sovereignty (суверенитет данных) как первый из трех столпов цифрового суверенитета [15; 16]. Согласно Forbes Tech Council, data sovereignty является фундаментальным уровнем, на котором строится вся архитектура цифровой независимости организации [9]. Российские исследователи подчеркивают, что «основным элементом цифрового суверенитета считается обеспечение безопасности данных» через выбор подходящей инфраструктуры для их хранения и обработки ​[6].

Независимость от внешних платформ (технологический суверенитет) представляет собой второй уровень контроля. SUSE выделяет technical sovereignty как отдельный столп, включающий контроль над цифровой инфраструктурой и программным стеком без критической привязки к внешним поставщикам [15]. Red Hat определяет technology sovereignty как способность запускать рабочие нагрузки без зависимости от инфраструктуры конкретного поставщика [16]. Maibornwolff подчеркивает необходимость обеспечения «стратегической свободы выбора» и минимизации эффектов vendor lock-in для сохранения технологической гибкости ​[11].

Защищенность данных выделена как отдельное направление в соответствии с требованиями международных стандартов и российского законодательства. ISO 27001:2022 (Annex A.8) устанавливает обязательные требования к защите информационных активов через технические меры, включая шифрование, DLP-системы и сертифицированные средства защиты информации [1; 4]. Европейский регламент DORA (Digital Operational Resilience Act) требует от организаций обеспечения конфиденциальности, целостности и доступности (CIA triad) информационных активов. Для российского контекста критически важны требования ФЗ-187, Указов Президента №166, №250, №500, устанавливающих обязательные меры защиты для объектов критической информационной инфраструктуры ​[5–7].

Операционная автономность завершает структуру оценки, характеризуя способность предприятия поддерживать функционирование критичных процессов в условиях отключения внешних систем. Red Hat и SUSE выделяют operational sovereignty как способность независимого функционирования сервисов без внешнего вмешательства [15; 16]. Международные стандарты ISO 22301:2019 (Business Continuity Management) и российский ГОСТ Р 56939-2016 требуют обеспечения непрерывности критичных процессов даже при отказе внешних систем. Операционная автономность, согласно исследованиям Росконгресс, представляет собой «способность организации самостоятельно определять и контролировать цифровую инфраструктуру и информационные потоки» ​[5].

Таким образом, четыре направления образуют иерархическую структуру контроля: локализация создает физическую основу контроля, независимость обеспечивает технологическую свободу, защищенность гарантирует информационную безопасность, а автономность подтверждает операционную устойчивость. Данная структура расширяет классическую трехкомпонентную модель цифрового суверенитета (Data + Technology + Operational Sovereignty) за счет явного выделения критерия защищенности, что отражает специфику российского регуляторного контекста и требования к объектам КИИ.

Обеспечение контроля над информационными активами по указанным четырем направлениям требует согласованной работы трех взаимосвязанных компонентов: технического, организационного и юридического. Технический компонент охватывает физическую локализацию данных на собственных серверах, архитектуру систем, использование сертифицированных российских средств защиты, DLP-систем и криптографии в рамках индивидуальной стратегии безопасности [4]. Организационный компонент включает управление процессами, политиками и компетенциями персонала, где уровень зрелости определяется наличием профильного бюджета, специалистов и выделенного подразделения под управлением CISO. Юридический компонент обеспечивает правовую основу через договорную работу, лицензионные соглашения и соблюдение регуляторных требований, что критически важно для предотвращения нецелевого использования данных [1; 3].

Эффективность выстроенной системы контроля оценивается на основе комплексной системы критериев, отражающих различные аспекты информационной безопасности и автономности предприятия. Для получения объективной картины оценка производится по четырем ключевым направлениям: качество инвентаризации активов, устойчивость защитных механизмов во времени, степень операционной независимости от внешних факторов, а также уровень управления рисками и соответствия требованиям. Подробная характеристика данных критериев с указанием их содержания и методов оценки представлена в таблице 1.

Таблица 1.

Критерии эффективности контроля над информационными активами

Источник: авторская разработка на основе: ISO 27001:2022, NIST SP 800-53, ГОСТ Р ИСО/МЭК 27001-2019, ГОСТ Р 56939-2016, ISO 22301:2019, ГОСТ Р ИСО/МЭК 27005-2022, ФЗ-187, Указы Президента РФ №166, №250, №500.

Разработанная методика оценки уровня контроля над корпоративными информационными активами базируется на системе показателей, охватывающей четыре ключевые группы индикаторов. Показатели локализации данных характеризуют степень физического контроля предприятия над ресурсами: доля данных в корпоративном контуре должна составлять не менее 80% для обеспечения информационного суверенитета, а доля данных на собственных серверах — превышать 70% для минимизации рисков внешних дата-центров. При этом уровень контроля над резервными копиями оценивается по пятибалльной шкале, где высокий балл (≥4) означает наличие нескольких независимых копий в разных локациях. Показатели зависимости от внешних платформ отражают технологическую автономность: зависимость от облачных сервисов (доля критичных процессов на внешних платформах) не должна превышать 30%, количество критичных внешних платформ рекомендуется ограничить тремя, а общая доля зависимых бизнес-процессов не должна превышать 40%.

Показатели защищенности декомпрессированных данных оценивают технические средства безопасности: наличие сертифицированных ФСТЭК/ФСБ средств защиты (критическое значение ≥4 балла), уровень шифрования критичных данных (не менее 90% по протоколам TLS/SSL и AES-256) и наличие DLP-системы с комплексным мониторингом каналов утечки (≥4 балла). Четвертая группа, показатели операционной автономности, характеризует способность функционировать независимо: целевая доля автономных бизнес-процессов составляет не менее 60%, рекомендуемое время работы без внешних систем — не менее 72 часов, а доля персонала с компетенциями управления собственными системами должна достигать 70%.

Для интерпретации результатов оценки и определения текущего состояния предприятия разработана пятиуровневая шкала зрелости контроля над информационными активами (см. Таблицу 2).

Таблица 2.

Шкала оценки уровня контроля над информационными активами

Источник: авторская разработка

Расчёт интегрального показателя уровня контроля опирается на предварительную нормализацию исходных индикаторов и их последующую агрегацию. На первом шаге частные показатели приводятся к единой шкале от 0 до 1: для показателей, где большее значение соответствует лучшему результату (например, доля локализованных данных), нормализованное значение рассчитывается как отношение фактического значения к максимально возможному или целевому; для показателей, где предпочтительно минимальное значение (например, доля критичных процессов, зависящих от внешних облачных сервисов), применяется инверсный подход, при котором меньшие фактические значения соответствуют более высоким нормализованным оценкам. Это позволяет интерпретировать значение 0 как минимальный, а 1 – как максимально достижимый уровень контроля по каждому индикатору.

Интегральный показатель уровня контроля над корпоративными информационными активами формируется в виде взвешенной суммы четырёх групповых индексов, отражающих локализацию данных, независимость от внешних платформ, защищённость и операционную автономность:

                         (1)

Где:

– интегральный показатель уровня контроля;

– индекс локализации данных (доля информации и резервных копий, находящихся под прямым контролем предприятия);

– индекс независимости от внешних платформ (обратная величина зависимости от облачных сервисов и критичных внешних систем);

– индекс защищённости данных (учёт наличия сертифицированных средств защиты информации, уровня шифрования и использования DLP-систем);

– индекс операционной автономности (характеризующий долю автономных бизнес-процессов, устойчивость к отключению внешних сервисов и уровень компетенций персонала).

Весовые коэффициенты 0,30; 0,25; 0,25 и 0,20 отражают относительную значимость соответствующих групп показателей и определены экспертным путём, при этом наибольший вес присвоен локализации данных как базовому условию обеспечения корпоративного информационного суверенитета.

Для учёта качества исходной информации используется поправочный коэффициент полноты инвентаризации, позволяющий скорректировать интегральную оценку в случаях, когда данные об информационных активах являются неполными. Итоговый показатель определяется по формуле:

                                                              (2)

Где:

– скорректированный интегральный показатель уровня контроля;

– базовое значение интегрального показателя, рассчитанное на основе нормализованных групповых индексов;

– коэффициент качества данных, принимающий значение 0,7 при полноте инвентаризации менее 80%, 0,85 при полноте в диапазоне 80–95% и 1,0 при полноте более 95%.

Коэффициент качества  данных введен для корректировки интегральной оценки в зависимости от полноты инвентаризации информационных активов. Выбор пороговых значений (80%, 95%) и соответствующих коэффициентов (0,7; 0,85; 1,0) основан на международных стандартах качества данных, практиках управления активами и исследованиях точности инвентаризации (inventory accuracy).

Пороговое значение 95% (коэффициент 1,0) соответствует требованиям ISO 27001, который предписывает «полную и актуальную» инвентаризацию всех информационных активов (Annex A.8.1). Согласно исследованию NetSuite по практикам управления запасами, организации мирового класса (world-class organizations) достигают 95% точности инвентаризации, что признается эталонным уровнем в индустрии [13]. Certpro при анализе требований ISO 27001 указывает, что для соответствия стандарту процент идентифицированных активов должен составлять не менее 95%. При достижении данного уровня полноты данные считаются достаточно надежными для использования без дополнительной корректировки, и итоговая оценка не подлежит понижению. ​

Диапазон 80-95% (коэффициент 0,85) отражает состояние приемлемой, но неполной инвентаризации. Исследование CAPS Research показывает, что средняя точность инвентаризации в организациях США составляет 83%, что находится в данном диапазоне [13]. Alation, специализирующаяся на метриках качества данных, классифицирует полнотой в диапазоне 80-95% как «acceptable but requiring improvement» — приемлемое, но требующее улучшения состояние [8]. Monte Carlo Data указывает, что 80% представляет собой минимальный порог для базовых операций, ниже которого качество данных становится критическим ограничением [12]. Коэффициент 0,85 отражает умеренное снижение достоверности оценки (на 15%) при неполной, но приемлемой инвентаризации. ​

Значение ниже 80% (коэффициент 0,7) характеризует ситуацию, когда существенная часть информационных активов остается неучтенной, что создает «слепые зоны» в системе контроля. Стандарт ISO 8000 (Data Quality) классифицирует данные с полнотой менее 80% как «incomplete», требующие значительной корректировки перед использованием в управленческих решениях. Коэффициент 0,7 представляет собой пенализацию на 30%, отражающую высокий уровень неопределенности при существенных пробелах в инвентаризации. Согласно Guidelines on Data Quality Assessment, при полноте данных ниже 80% необходимо применять поправочные коэффициенты для компенсации систематической погрешности и предотвращения завышенной оценки контроля [10].

Ступенчатая шкала коэффициентов (0,7 → 0,85 → 1,0) с равномерным шагом 0,15 отражает нелинейное снижение достоверности оценки при уменьшении полноты данных. Данная градация согласуется с практиками оценки рисков, описанными в NIST SP 800-30, где поправочные коэффициенты применяются для учета неопределенности в исходных данных при оценке рисков информационной безопасности [14]. Коэффициент выполняет роль «поправки на неопределенность», уменьшая итоговую оценку пропорционально степени неполноты данных и предотвращая ситуации, когда высокий интегральный показатель достигается при недостаточном знании об информационных активах предприятия. Альтернативные подходы, включая линейную зависимость и экспоненциальную функцию, были рассмотрены, однако ступенчатая шкала выбрана как более практичная для принятия управленческих решений и соответствующая логике моделей зрелости (maturity models), где переходы между уровнями носят дискретный характер. ​

Полученное значение итогового интегрального показателя служит основанием для принятия управленческих решений. Интерпретация результатов не должна ограничиваться только фиксацией общего уровня зрелости. Критически важным этапом является профильный анализ дисбалансов: ситуация, при которой высокий общий балл достигается за счет одного компонента (например, высокой локализации) при провале другого (например, низкой операционной автономности), считается неустойчивой. Выявление таких «узких мест» позволяет руководству предприятия сформировать дорожную карту по импортозамещению и модернизации ИТ-ландшафта, приоритезируя мероприятия, которые дают наибольший прирост уровня контроля при оптимальных затратах ресурсов.

Выводы

В рамках проведенного исследования разработана методика оценки уровня контроля промышленного предприятия над корпоративными информационными активами, что обусловлено возрастающей значимостью технологического суверенитета в условиях геополитической нестабильности и санкционных ограничений. Показано, что переход от фрагментарной защиты информации к комплексному управлению цифровым суверенитетом требует одновременного учета технических, организационных и юридических аспектов. В этой связи предложена система показателей, отражающая локализацию данных, степень технологической независимости, уровень защищенности и операционную автономность, а также введены весовые коэффициенты и коэффициент качества данных, обеспечивающие более точную и объективную оценку. Разработанная пятиуровневая шкала зрелости и алгоритм расчета интегрального показателя позволяют перевести качественные экспертные суждения в количественные метрики, использовать их для сопоставления предприятий, мониторинга динамики и обоснования управленческих решений в сфере импортозамещения и развития ИТ-инфраструктуры. Применение методики, особенно на предприятиях, относящихся к объектам критической информационной инфраструктуры, способствует снижению зависимости от внешних цифровых платформ, уменьшению рисков утраты контроля над ключевыми информационными активами и повышению устойчивости производственных процессов в условиях внешних технологических вызовов.

Список литературы:

1. Марков А.С. Структурное содержание требований информационной безопасности // Безопасные информационные технологии. — 2017. — № 4. — С. 5–14.
2. Оборин М.С. Экономическая безопасность промышленных предприятий в условиях цифровой экономики // Вестник Самарского государственного экономического университета. — 2022. — № 1 (207). — С. 44–54. DOI: 10.46554/1993-0453-2022-1-207-44-54.
3. Попов Е.Д. Анализ влияния цифровой трансформации на экономическую безопасность организации // Инновации и инвестиции. — 2023. — № 10. — С. 225–231.
4. Рыленков Д.А., Карпов Д.С. Разработка интегрального метода оценки уровня защищенности серверной инфраструктуры организации // Инженерный вестник Дона. — 2025. — № 1 (121). — С. 85–92.
5. Цифровой суверенитет как залог глобальной безопасности // Росконгресс. — 2024. [Электронный ресурс]. — Режим доступа: https://roscongress.org/materials/tsifrovoy-suverenitet-kak-zalog-globalnoy-bezopasnosti/ (дата обращения: 02.12.2025).
6. Цифровой суверенитет: зачем бизнесу независимость в сфере IT и как её добиться // Computerra. — 2024. [Электронный ресурс]. — Режим доступа: https://www.computerra.ru/297578/ (дата обращения: 02.12.2025).
7. Цифровой суверенитет: технологические решения, экономика и правовые аспекты // Nota.Media Integrator. — 2024. [Электронный ресурс]. — Режим доступа: https://integrator.nota.media/blog/articles/tsifrovoy-suverenitet-tekhnologicheskie-resheniya-ekonomika-i-pravovye-aspekty/ (дата обращения: 02.12.2025).
8. Alation. Data Quality Metrics: How to Measure Data Accurately // Alation Blog. — 2025. [Электронный ресурс]. — Режим доступа: https://www.alation.com/blog/data-quality-metrics/ (дата обращения: 02.12.2025).
9. Forbes Technology Council. Navigating Digital Sovereignty In The Enterprise Landscape // Forbes. — 2025. — № 8. [Электронный ресурс]. — Режим доступа: https://www.forbes.com/councils/forbestechcouncil/2025/08/05/ (дата обращения: 02.12.2025).
10. Guidelines on Data Quality Assessment // Indian Register of Shipping. — 2025. [Электронный ресурс]. — Режим доступа: https://www.irclass.org/media/8031/guidelines-on-data-quality-assessment_sept-2025_new.pdf (дата обращения: 02.12.2025).
11. MaibornWolff. Digital sovereignty in companies: Definition & Implementation. — 2025. [Электронный ресурс]. — Режим доступа: https://www.maibornwolff.de/en/know-how/digital-sovereignty/ (дата обращения: 02.12.2025).
12. Monte Carlo Data. What Is Data Completeness? Definition, Examples, And KPIs // Monte Carlo Data Blog. — 2025. [Электронный ресурс]. — Режим доступа: https://www.montecarlodata.com/blog-what-is-data-completeness/ (дата обращения: 02.12.2025).
13. NetSuite. Inventory Accuracy: What It Is and How to Improve It. — 2025. [Электронный ресурс]. — Режим доступа: https://www.netsuite.com/portal/resource/articles/inventory-management/inventory-accuracy.shtml (дата обращения: 02.12.2025).
14. NIST. Special Publication 800-30: Guide for Conducting Risk Assessments. —National Institute of Standards and Technology. — Gaithersburg, MD, 2012.
15. Red Hat. Digital Sovereignty Solutions. — 2025. [Электронный ресурс]. — Режим доступа: https://www.redhat.com/en/products/digital-sovereignty (дата обращения: 02.12.2025).
16. SUSE. The Foundations of Digital Sovereignty: Why Control Over Data, Technology, and Operations Matters. — 2025. [Электронный ресурс]. — Режим доступа: https://www.suse.com/c/the-foundations-of-digital-sovereignty/ (дата обращения: 02.12.2025).