Научная статья на тему 'Особливості реалізації принципу розумної достатності функціонування комплексної системи захисту інформації на підприємстві'

Особливості реалізації принципу розумної достатності функціонування комплексної системи захисту інформації на підприємстві Текст научной статьи по специальности «Экономика и бизнес»

CC BY
392
45
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
інформаційна безпека (ІБ) / комплексна система захисту інформації (КСЗІ) / інформаційні ресурси (ІР) / організаційна та математична модель ІБ підприємства / information security (IS) / complex system of information security (CSIS) / information resources (IR) / organizational and mathematical model of enterprise information security

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Ю І. Грицюк

Розглядаються питання обґрунтування особливостей реалізації принципу розумної достатності та економічної ефективності функціонування комплексної системи захисту інформації (КСЗІ) на підприємстві, які дають змогу встановити його номінальні величини, а також оцінювати якість роботи системи захисту та здійснювати налаштування параметрів експлуатації. Виявлено, що на сьогодні розробити і впровадити абсолютно непереборну КСЗІ принципово неможливо. При достатньому обсягу часу і наявності сучасних програмно-технічних засобів можна подолати будь-який опір системи захист. Тому йдеться про достатній рівень якості роботи КСЗІ, при якому фінансові витрати на її побудову та експлуатацію, ризик успішної реалізації інформаційних атак і розмір можливого збитку від них були б співвимірними між собою та прийнятними для підприємства.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Features of the principle of reasonable sufficiency of functioning of complex system of information security in the enterprise

The issues of study characteristics of the principle of reasonable sufficiency and economic effectiveness of the complex system of information security (CSIS) in the enterprise, allowing it to set the nominal value and assess the quality of the protection system and to adjust operating parameters. It was revealed that at the moment to develop and implement an absolutely irresistible CSIS almost impossible. Given enough time and the presence of modern software and hardware you can overcome any resistance protection system. Therefore, it is a sufficient level of quality of work CSIS in which the financial costs of its construction and operation, the risk of the successful implementation of information attacks, and the size of possible damage from implementation would be proportionate to each other and appropriate for the company.

Текст научной работы на тему «Особливості реалізації принципу розумної достатності функціонування комплексної системи захисту інформації на підприємстві»

and high complexity of management object the best way is to use fuzzy logic. The use of linguistic variables for creating gantry cranes linguistic strategy based on knowledge and experience of crane operator and its further usage for the development of production rules was analyzed. The results obtained are used in designing the automated fuzzy crane management system to control load position during its transporting.

Keywords: crane system, gantry crane, PID controllers, fuzzy logic, fuzzy control systems, fuzzy rules, linguistic variable, linguistic management strategy.

УДК 34.03:004.056.5 Проф. Ю.1. Грицюк, д-р техн. наук -

НУ "Львiвська полiтехнiка "

особливост1 реал1зацн принципу розумно1 достатност1 функцюнування комплексно! системи захисту 1нформацн на п1дпри6мств1

Розглядаються питания обгрунтування особливостей ре^заци принципу розумно! достатностi та екож^чно! ефективностi функцiонування комплексно! системи захисту шформацп (КСЗ1) на пiдприeмствi, яю дають змогу встановити його номшальш величи-ни, а також оцшювати якiсть роботи системи захисту та здшснювати налаштування параметров експлуатаци. Виявлено, що на сьогоднi розробити i впровадити абсолютно непере-борну КСЗ1 принципово неможливо. При достатньому обсягу часу i наявностi сучасних програмно-технiчних засобш можна подолати будь-який опiр системи захист. Тому йдеться про достатнш рiвень якостi роботи КСЗ1, при якому фiнансовi витрати на 11 побу-дову та експлуатащю, ризик успешно! реалiзацil шформацшних атак i розмiр можливого збитку вiд них були б стввишрними мiж собою та прийнятними для шдприемства.

Ключовi слова: iнформацiйна безпека (1Б), комплексна система захисту шформацп (КСЗ1), iиформацiйнi ресурси (1Р), оргашзацшна та математична модель 1Б шдприемства.

Вступ. Вщомо, що шформацшш ресурси (1Р) будь-якого пiдприeмства е одним з головних джерел його ефективно!' економiчноí дiяльностi [4]. Фактично iснуе тенденция, коли всi сфери дiяльностi пiдприемства стають залежними ввд iнформацiйного розвитку, в процесi якого вони самi породжують iнформацiю та самi ж й споживають [17]. Тому використання ефективно!' системи збертання, накопичення та використання 1Р е самостшною складовою загально!' дiяльностi шдприемства, значення яко1 з кожним роком зростае [9].

Стршкий розвиток 1Т призводить до рiзкого накопичення 1Р шд-приемства [1, 16], яю постiйно пiддаються рiзним шформацшним атакам з боку конкурентiв, зловмиснитв чи просто хакерiв [5]. Наслдаами успiшного прове-дення таких атак можуть стати компрометащя конфiденцiйноí або спотворення цiлiсноí iнформацií, нав'язування керiвництву помилково!' iнформацií, порушен-ня встановленого регламенту доступу до достовiрноí шформацп, а також вiдмо-ви i збо1 в роботi програмно-технiчних систем [2]. Все це також пов'язано з нав-мисними i випадковими дiями як з боку пращвнитв пiдприемства [13, 14, 19, 23, 30], так i з боку потенцiйних конкурентiв чи злочинних оргашзацш [32]. Реалií ж сьогодення свдаать про те, що кiлькiсть зловмисних дiй стосовно певного виду шформацп не тшьки не зменшуеться, але й мае достатньо стiйку тенденцда до зростання [8, 18, 28]. Розумдачи це, керiвники пiдприемств вимушеш запрова-джувати рiзнi органiзацiйнi та програмно-техшчш заходи щодо захисту 1Р, важ-ливих для них [7, 11, 17].

Для виршення завдань захисту 1Р пiдприeмства створюеться комплексна система захисту iнформацií (КСЗ1) [20], головною метою роботи яко1 е забезпе-чення безперервностi бiзнес-процесiв пiдприемства, стiйкого його перебiгу та за-побiгання потенцiйним загрозам i небезпекам [12]. Загалом КСЗ1 направлена на недопущения [1]: 1) несанкщонованого використання фiнансових i матерiально-техшчних щнностей; 2) спотворення цiлiсноí шформацц та перешкоджання електронному документообку; 3) розголошення конфiденцiйноí та витоку служ-бово1 iнформацií, а також несанкщонованого доступу до не!'; 4) порушення роботи програмно-техтчних засобш забезпечення виробничо! дiяльностi шд-приемства, в т.ч. шформащйно-комушкащйних систем [5, 18].

Оскшьки часто доводиться впроваджувати КСЗ1 за умови деяко! невизна-ченосп середовища И функцiонування, тому прийняп заходи i встановленi засо-би захисту 1Р, особливо в початковий перiод 11 експлуатацií, можуть забезпечу-вати як надмiрний, так i недостатнiй рiвень захищеностi 1Р шдприемства [15, 26, 32]. Для забезпечення можливосп варiювання рiвнем захищеностi 1Р потрiбно, щоб використовуванi засоби КСЗ1 володши певною гнучкiстю [22, 24]. Ця влас-тивiсть е особливо важливою в тих випадках, коли виникае потреба встановлю-вати новi засоби захисту на наявну КСЗ1, не порушуючи процесу И нормального функщонуванпя. Окрiм цього, зовнiшнi умови перебку iнформацiйноí злочин-ностi [8, 28] та вимоги до ршпя захищеностi 1Р пiдприемства з часом мшяються. У таких ситуащях властивкть гнучкостi КСЗ1 часто рятуе власникш наявних АСУ вiд потреби впровадження кардинальних заходш з повно1 замши деяких за-собш захисту на нов^ бiльш досконалi та ефективш [25].

В роботi [10, ст. 12] зазначено, що забезпечення шформацшно1 безпеки (1Б) пiдприемства грунтуеться на таких основних принципах: системностi; комплексности своечасностi; безперервностi захисту; розумшй достатностi; гнуч-костi; спецiалiзацií; взаемодл та координацií (плануваннi); вдосконаленнi; цен-тралiзацií та управлiннi; активностi; економiчнiй ефективностi; простотi впровадження оргашзацшних заходiв i захисних засобш.

Зi всiх перерахованих принципiв особливо1 уваги заслуговуе принцип ро-зумног достатностi, який враховуе той факт, що розробити i впровадити абсолютно непереборну КСЗ1 на пiдприемствi принципово неможливо [3, 24]. При достатньому обсягу часу i кiлькостi сучасних програмно-технiчних засобiв мож-на подолати будь-який захист 1Р пiдприемства, тому йдеться тшьки про деякий прийнятний рiвень íхньоí захищеностi [27]. Водночас, високоефективна КСЗ1, попри свою високу варткть впровадження та експлуатацií, ще й використовуе при роботi ктотну частину потужностi та ресурсiв наявно1 АСУ пiдприемства i, зазвичай, створюе вiдчутнi додатковi незручностi роботи як у обслуговувального персоналу, так i у потенцiйних клiентiв [25]. Тому важливо правильно вибрати той достатнш рiвень якостi роботи КСЗ1 [22], при якому фiнансовi витрати на п побудову та експлуатащю, ризик усшшного проведення iнформацiйних атак зловмиснитв i розмiр можливого збитку ввд них були б спiввимiрними мiж собою та прийнятними для шдприемства.

Однак, у доступнш науковш лiтературi [1, 3, 7, 11, 18, 26, 28] не повнктю з'ясовано основш особливостi процесу реалiзацií принципу розумно1 достатностi та економiчноí ефективностi роботи КСЗ1 на шдприемства не виявлено недолiки та переваги наявноí органiзацiйноí моделi 1Б шдприемства; немае рекомендащй

щодо використання найбiльш придатних математичних моделей для ввдбору ра-цiональноí системи 31; не синтезовано новi знання, придатнi для встановлення достатнього рiвня якостi роботи системи 31. Тому обгрунтування особливостей реал!зацй принципу розумноí достатностi та економiчноí ефективностi функщ-онування КС31 на пiдприемствi е актуальним науковим завданням, сприяло ви-конанню цiеí роботи та вимагае реал!зацп подальших дослiджень.

Об'ект до^дження - ефективнкть роботи КС31 на шдприемств! Предмет до^дження - шдходи та механiзми реал!зацй принципу розум-ноí достатностi та економiчноí ефективносп роботи КС31 на пiдприемствi.

Мета роботи полягае в обгрунтуванш особливостей реал!зацй принципу розумноí достатностi та економiчноí ефективностi функцiонування КС31 на шд-приемствi, якi дадуть змогу встановити його номшальш величини, а також ощ-нювати якiсть роботи та здайснювати налаштування параметрiв експлуатацй.

Для реал!зацп зазначеноí мети потрiбно виконати такi основнi завдання:

1) проанашзувати органiзацiйну модель 1Б шдприемства, виявити й недолiки та переваги з огляду на сучаснi умови шформацшного розвитку;

2) синтезувати жш знання, придатнi для встановлення розумно! достатностi та екожшчно! ефективностi функцюнування КСЗ1 на пiдприемствi;

3) зробити вщповвдш висновки та надати рекомендащ! щодо використання.

1. Оргашзацшна модель шформацшнот безпеки пщприемства

Вiдомо [1; 3; 25, ст. 36], що будь-яка оргашзащйна модель 1Б шдприемства мае iерархiчну структуру, що складаеться з багатьох елементш, меха-нiзмiв захисту 1Р, логiчних, адмМстративних i фiзичних компонент, процедур реал!зацп бiзнес-процесiв i 1х конфiгурацiй, яю працюють сшльно, забезпечуючи потрiбний рiвень реал!зацп бiзнес-цiлей дiяльностi пiдприемства. Кожна модель може мати своí вiдмiнностi у структурi [1, ст. 87], але всi вони мають певш iерархiчнi рiвнi, кожен з яких пiдтримуе вищий i захищае нижчий рiвень. Ос-кiльки органiзацiйна модель 1Б може мати складну iерархiчну структуру (рис. 1), то рiзнi пiдприемства можуть наповнювати 11 рiзними технолопями захисту своíх 1Р, адекватними методами i процедурами íх шдтримки для досягнення потрiбного рiвня захищеност! [24].

Реалiзацiя ефективноí органiзацiйноí моделi 1Б пiдприемства вимагае зва-женого шдходу i застосування вс!х компонент i процедур для забезпечення без-перервностi бiзнес-процесiв пiдприемства, стшкого його перебку та запобiгання потенцiйним загрозам i небезпекам [12]. Деякi компоненти моделi (наприклад, списки контролю доступу, методи шифрування) е програмно-технiчними, а шш - ф!зичними ! адмшстративними (наприклад, розроблення политики 1Б шдприемства ! забезпечення й ввдповщносп нормативним документам), але кожен мае важливе мкце в рамках загально! мети д1яльносп шдприемства [1, 7, 11]. Якщо одна компонента вщсутня або реал!зуеться не повною м!рою, то це може негативно вплинути на всю крарх1чну структуру 1Б шдприемства.

Оскшьки оргашзацшна модель 1Б шдприемства складаеться з р!зних крарх1чних ршшв [3], то кожен з них мае забезпечити виконання р!зш функць ональн цш захисту 1Р [11], як! мають досягатися в р!зш термши та за р!зш про-м!жки часу. Цш можуть бути щоденними (операцшними), середньо-термшови-ми (тактичними) ! довготермшовими (стратегтними). Те ж саме ввдбуваеться !

у сферi планування 1Б пiдприeмства [1]. Щоденш (операцiйнi) цiлi пов,язанi з продуктивною роботи АСУ пiдприeмством i виконанням поточних завдань, що забезпечують передбачене функщонування вiдповiдних бiзнес-процесiв. Се-редньо-термiновi (тактичнi) цiлi стосуються, наприклад, об'еднання всiх робочих станцiй АСУ та вщповщних 1Р у один домен, щоб забезпечити можливiсть 'хнього центрашзованого контролю. Прикладом довготермiнових (стратегiчних) цшей може бути переведення всiх фшй на зв'язок з головним офюом за допомо-гою УРК-з'еднань, об'еднання всiх безпровiдних технологiй для отримання единого пiдходу до забезпечення 1Б пiдприeмства.

Рис. 1. Оргатзацшна модель 1Б тдприемства та и компоненты

Стратепчне планування передбачае роботу з планами, яш знаходяться на одному рiвнi з бiзнес-цiлями дiяльностi пiдприeмства i цшями захищеностi його 1Р. Оскiльки цiлi такого планування довготермшов^ тому вони мають як широкий горизонт реашзацп, так i достатню глибину прогнозування подальшо'' дкль-ностi. Стратегiчне планування, зазвичай, мiстить такi цiлi [25, ст. 138]:

• забезпечити правильне розумшня допустимих ризиюв проведення шформа-цшних атак зловмисниками, органiзувати 1х прогнозування та здшснити облiк;

• забезпечити вщповщнють КСЗ1 вимогам чинного законодавства та регуляторiв 1Б;

• штегрувати обов'язки працiвникiв пiдприeмства щодо забезпечення 1Б в 1х без-посередню та повсякденну дiяльнiсть;

• розробити модель компетентности працiвникiв пiдприeмства для забезпечення можливост реалiзацil бiзнес-цiлей його дiяльностi та полiпшення його 1Б;

• використовувати 1Б пiдприeмства як бiзнес-перевагу над конкурентами, щоб привернути бшьше клieнтiв i закрiпити свш стан на ринку товаровиробникiв. Тактичне планування належить до дiяльностi менеджерiв пiдприeмства та

пiдтримки 'iхнiх дш, якi необхiднi для досягнення широких цшей, висунутих у

процес стратепчного планування. Загалом, тактичш плани мають дещо коротшi термши планування, набагато вужчий горизонт реалiзащï та значно меншу гли-бину прогнозування поршняно i3 стратегiчними планами.

Оперативне планування - це конкретш плани i прогнози, термiни i цiлi, припускае вказання дieвих заходiв, встановлення жорстких термiнiв i графiкiв виконання роби [25, ст. 141]. Це конкретш дц реалiзацiï тактичних i стратепч-них планiв, якi потрiбно зробити для досягнення бiзнес-цiлей дiяльностi шд-приемства. Зазвичай оперативне планування зводиться до [28] :

• оцшювання ризиюв успiшного проведення iнформацiйних атак зловмисниками, а також нанесення потенцшних збиткiв пiдприeмству вiд них;

• усунення негативного впливу змiн у системi З1 на продуктивнiсть роботи пращв-никiв пiдприeмства;

• тдтримка i впровадження захисних заходiв з полшшення 1Б пщприемства;

• постшне сканування вразливостей i встановлення програмних оновлень;

• контроль вiдповiдностi дш працiвникiв пiдприeмства та потенцiйних ктентав встановленiй полiтицi 1Б.

Такий шдхвд до планування називаеться горизонтом планування (planning horizon). При цьому полиика 1Б пiдприемства працюе краще тод^ якщо опера-тивнi, тактичнi та стратепчш бiзнес-цiлi дiяльностi пiдприемства конкретно виз-наченi та взаемодають мiж собою, пiдтримуючи одне одного.

2. Розумна достатшсть i eKOHOMÏ4Ha ефектившсть функцтнування КСЗ1 на пiдприeмствi

Наповнення рiвнiв iерархiчноï структури КСЗ1 на пiдприемствi визначае його кер1вництво [24], виходячи зi свого уявлення про 1Б пiдприемства та методи ïï оцiнювання, а також з видшених засобiв на захист 1Р, з перспектив розвитку шдприемства та шших чинник1в. В цьому випадку йдеться про використовуваш заходи щодо нейтралiзацiï потенцiйних загроз i небезпек [28]. Вважаеться, що стан захищеностi 1Р буде достатн1м, якщо реалiзованi заходи щодо 1х захисту бу-дуть адекватними характеру i дiям потенцшних загроз i небезпек [27].

Оргашзащя системи захисту 1Р шдприемства е процесом, що мiстить процедуру ощнювання двох протиборних i ворогуючих мiж собою сторiн [10, ст. 16]: з одного боку - це загрози i небезпеки, а з шшого - заходи i засоби КСЗ1. Крш^ем взаемодп мiж потенцiйними загрозами i наявними чи впроваджувани-ми засобами системи захисту е стан захищеносп 1Р пiдприемства [1], який зале-жить вщ:

• стану економiчного розвитку шдприемства;

• рiвня забезпеченостi системи захисту 1Р пiдприемства матерiальними, техтчни-ми, людськими i iншими засобами;

• рiвня компетенцп працiвникiв пщприемства та ступеню пiдготовленостi кадрiв служби 1Б для протидп iнформацiйним атакам;

• стану та рiвня розвитку шформацшно'1 злочинностi в регiонi й держав^ i iн.

На рис. 2 наведена схема забезпечення розумно!' достатностi та економiч-но1 ефективносп функщонування КСЗ1 на пiдприемствi [11]. Тут крива 1 харак-теризуе залежнкть стану захищеностi 1Р шдприемства (R) ввд р1вня його еконо-мiчного розвитку (Е). Згiдно з принципом захищеносп, крива 1 направлена вгору позаяк iз зб1льшенням ршня економiчного розвитку пiдприемства захищенiсть 1Р

мае збтьшуватися. Крива 2 вказуе на стутнь реалiзацil iнформацiйних атак (Ж), тобто характеризуе залежтсть нанесеного збитку тдприемству при 1'х реалiзацil вiд рiвня його економiчного розвитку (Е). Тенденцк змiни криво'' 2 вибрана за умови, що динамка появи потенцшних загроз i небезпек у процеа економiчного розвитку пiдприeмства залишаеться постшною. Особливiстю графiка, наведеного на рис. 2, е те, що оа Я i Ж позитивно направлен^ але в протилежнi сторони, що дае змогу наочно вiдобразити вщповщт тенденцп змiни кривих.

^ ^^ ¡у т

О П-Ж I

уг/— Область | Область недостатньо! ■ надшрно!

1 захищеносп 1Р | захищеносп 1Р

Рис. 2. Розумна достаттстъ рiвня захищеностi 1Р тдприемства [10]: вгсь Я -захищенгсть 1Р; вгсь Ж - реал1зац1я ¡нформацшних атак; вгсь Е - економгчний розвиток

тдприемства; Еа - стан, при якому встановлений захист га протид1е певним ¡нформацшним атакам крива 1 характеризуергвень захищеностг 1Р тдприемства; крива 2 -ргвень нанесення збитку тдприемству; крива 3 -ргвень очгкуваного

економгчного ефекту

Крива 3 - отриманий результат, який вщображае рiзницю взаемодп сто-рш Q = Я - Ж i вказуе на стутнь розумно! достатносп рiвня захищеносп 1Р тдприемства та рiвень економiчноl ефективносп роботи КСЗ1. З рис. 2 видно, що в точщ рiвноваги (Еа) протиборних мiж собою сторiн витрати на захищенiсть 1Р дорiвнюють втратам вiд реалiзацil iнформацiйних атак га = а тому рiзниця 1хньо1 взаемодп Q = 0. Цей стан рiвноваги для тдприемства е економiчно виид-ним, оскшьки при цьому забезпечуеться вiдповiдна (адекватна) потенцшним заг-розам захищеностi 1Р пiдприeмства.

На дiлянцi [0, Еа] втрати пiдприeмства вiд реалiзацil шформацшних атак значно перевищують захищенiсть його 1Р, тобто Ж > Я, а тому Q < 0. Заштрихована область вказуе на переважання можливостей потенцiйних загроз i небезпек над здатнiстю КСЗ1 !м протидiяти. Ця дтянка вiдповiдаe обласп недостатньо! захищеностi 1Р i характеризуеться часто великими втратами прибутку тдприемства через низьку якiсть роботи КСЗ1. Для ще! областi характерна низький рiвень економiчного розвитку тдприемства та захищеносл його 1Р; недостатня оцiнка керiвництвом пiдприeмства потенцiйних загроз i небезпек; сприяння по-явi значно! кiлькостi iнформацiйних атак через низький рiвень захисту.

На дщянщ [Еа,+ да] втрати пiдприeмства вщ реалiзацil iнформацiйних атак е меншими порiвняно з захищенiстю 1Р тдприемства, тобто Ж < Я, тому Q > 0. Заштрихована область вказуе на перевагу заходiв i засобiв КСЗ1 над можли-

востями потенц^н^ зaгpоз i небезпек. Ця дшянка вiдповiдae облaстi нaдмipноï зaxищеностi IP i xapaктеpизyeться незначними втpaтaми ^ибутку пiдпpиeмствa чеpез високу якiсть pоботи KC3I. Для ^eï облaстi xapaктеpнi: високий piвень економiчного pозвиткy п^^дом^ва та зaxищеностi його IP; надежна ощнка ке-piвництвом пiдпpиeмствa потен^йн^ зaгpоз i небезпек; зменшення y зловмис-ник1в бажання до iнфоpмaцiйниx атак чеpез високий piвень зaxистy.

Отже, тiльки в стaнi piвновaги пpотибоpниx стоpiн (пpи Q = 0) достат-нiсть piвня зaxищеностi IP e тим мiнiмaдьно потpiбним, пpи якiй витpaти на за-безпечення такого зaxистy 6удуть мш1мальними. Такий стан piвновaги вкaзye на достатню якiсть pоботи KC3I на шд^жмств^ яка вiдповiдae нанесеним збиткам вщ pеaдiзaцiï потенцiйниx зaгpоз i небезпек, тобто буде ш адекватною.

В ^оце^ yпpaвлiння IБ шд^жмства збеpегти стан piвновaги можна в одному з ^^x випадк1в. Пеpший, коли тенденция зaдежностi нанесеного збитку шд^жмству вiд pеaдiзaцiï iнфоpмaцiйниx атак (^ива 2) пiсля точки piвновaги Ea не змiниться. В цьому випадку стан зaxищеностi IP пiдпpиeмствa (кpивa 1) мae змiнитися в нaпpямi А.

У дpyгомy випадку iз зpостaнням економiчного pозвиткy пiдпpиeмствa тс-ля точки piвновaги Ea зловмисники пpaгнyтимyть збшьшити сво^' можливост! В цьому випадку кpивa 2 змшить свiй пеpвинний нaпpям у бш збшьшення нанесеного збитку п^^дом^ву вiд pеaдiзaцiï iнфоpмaцiйниx атак (^ива В). Для уфи-мання piвновaжного, економiчно ефективного стану д1яльносп пiдпpиeмствy пот-piбно змiнити стан зaxищеностi IP пiдпpиeмствa у бж його збiльшення (кpивa C).

Отже, ^инцип pозyмноï достaтностi piвня зaxищеностi IP пiдпpиeмствa вкaзye на те, що тiльки шлятом пpогнозyвaння та своeчaсного оцiнювaння як по-тенцiйниx зaгpоз i небезпек, так i можливостей впpовaджениx зaxодiв i зaсобiв KC3I можна ефективно yпpaвляти !Б пiдпpиeмствa, забезпечуючи пpи цьому адекватну динaмiкy зaxищеностi IP пpи мiнiмaльниx економiчниx витpaтax.

На сьогоднi будь-яке шд^жмство пpи значному обмеженнi фiнaнсовиx pесypсiв мae шиpокi можливостi для залучення потенцiйниx iнвестоpiв, тому ви-никae постановка зaдaчi оитишзацп швестицшного поpтфедя системи зaxистy IP шд^жмства. Однак для ïï pозв'язaння потpiбно пpaвидьно оцiнювaти ефектив-нiсть iнвестицiйниx пpоектiв. Нaсaмпеpед йдеться пpо в^овадження iнфоpмa-цiйниx теxнологiй (IT), коли менеджеpи, що пpиймaють yпpaвлiнськi piшення, pозгдядaють ïx пеpедyсiм як зааб виpiшення завдань бiзнес-пpоцесy дiядьностi шд^жмства: зниження виpобничиx витpaт, пiдвищення ефективносп виконан-ня бiзнес-опеpaцiй, кpитичниx для даного виду д1яльносп, i т.д. ^оте стосовно IБ пiдпpиeмствa, то тут k^e виняток, позаяк цш iнвестицiй в KC3I вiдpiзняють-ся ввд стaндapтниx цiлей IT-iнвестицiй, оскшьки потенцiйний iнвестоp не очiкye ïx безпосеpеднього повеpнення.

Як пpaвидо, основний ефект ввд впpовaдження, нaпpиклaд, офiсниx IC -зpостaння пpодyктивностi ^ащ певниx пpaцiвникiв пiдпpиeмствa [29], що с^иж:

• знaчнiй економп робочого чaсy певних менеджерiв системи yпрaвлiння;

• ефективномy використанню людських pecyp^ пiдприeмствa;

• скороченню вaртостi здшснення оперaцiй в електронномy докyментообiгy.

Водночас, швестицц в KC3I з економiчноï точки зоpy:

• мають запобпги (знизити) збитки вiд можливого порyшення 1Б пiдприeмствa, а не отримання додаткових економiчних вигод;

• вважаються специфiчним економiчним збитком для тдприемства пiд час експлyaтaцïí КСЗ1 чи ïï модернiзaцïí;

• вважаються дощльними для впровадження нових зaсобiв зaхистy, якщо ïx розмiр не перевищуе о6сягу можливого з6итку вщ дп потенцiйниx загроз i небезпек.

Ц iдeï визначають оcновнi навями iнвecтицiйного aнaлiзy KC3I пpи ïï по-бyдовi чи модepшзaцiï, а crne: оцiнювaння з6итку пiдпpиeмcтвa в paзi peaлiзaцiï' потeнцiйниx зaгpоз i нeбeзпeк; оцiнювaння витpaт на впpовaджeння новиx xaодiв i зacобiв cиcтeми зaxиcтy IP; обфунтування eкономiчно eфeктивноï pоботи KC3I.

Мeтоди оцiнювaння з6итку (pизикiв) вiд peaлiзaцiï потeнцiйниx за^оз i нeбeзпeк pозглянyтi в pоботax [1S, 26]. Тут тiльки вданачимо, що в най^ость шому випадку дай aнaлiз можна нe пpоводити, а викоpиcтовyвaти якийcь базо-вий загальноввдомий нaбip зaгpоз i нeбeзпeк. Для пpотидiï цим зaгpозaм пpиймaeтьcя типовий нaбip piшeнь з peaлiзaцiï пeвниx зacобiв IБ i оpгaнiзa-цiйниx зaxодiв у KC3I нeзaлeжно вiд ймовipноcтi ïx появи та вpaзливоcтi IP шд-пpиeмcтвa. Такий шдавд e пpийнятним, якщо вapтicть IP пiдпpиeмcтвa e дазнач-ною. В цьому випадку витpaти на пpогpaмно-тexнiчнi зacоби cиcтeми зaxиcтy IP i оpгaнiзaцiйнi зaxоди зaбeзпeчeння !Б, потpiбнi для вiдповiдноcтi KC3I базовим cпeцифiкaцiям, e обов'язковими. Як давало, витpaти на зacоби IБ ж пepeвищy-ють 15-20% зacобiв, що витpaчaютьcя на IТ-iнвecтицiï. Зазвичай, пpоводитьcя aнaлiз дeкiлькоx вapiaнтiв пpоeктниx pmern за кpитepieм вapтоcтi побудови KC3I чи eфeктивноcтi ïï pоботи.

Зaлeжно вiд cтyпeня готовноcтi пiдпpиeмcтвa до впpовaджeння KC3I i xa-pa^epy його оcновноï' бiзнec-дiяльноcтi пpоцec обфунтування ноpмaтивного piвня pизикy вiд peaлiзaцiï iнфоpмaцiйниx атак можe пpоводитиcя piзними ето-cобaми. В даний чac пошиpeний aнaлiз piзниx вapiaнтiв зaбeзпeчeння IБ тд-пpиeмcтвa за кpитepieм, який xapaктepизye вapтicть побудови чи eфeктивнicть фyнкцiонyвaння KC3I. Загалом пiдпpиeмcтво можe peaлiзyвaти два гpaничнi ш-вecтицiйнi piшeння:

1) не вкладати iнвестицiй y впровадження КСЗ1, допускаючи можливiсть несения 6удь-якого з6итку вiд реaлiзaцiï iнформaцiйних атак;

2) вкладати максимально можливi iнвестицiï, яы реально обмеженi тiльки його платоспроможшстю.

Дpyгe piшeння дae змогу комплeкcно peaлiзyвaти пpaвовi, оpгaнiзaцiйнi, тexнiчнi та моpaльно-eтичнi зaxоди у впpовaджeння KC3I, що зaбeзпeчyють знaчнe пiдвищeння нaдiйноcтi та eфeктивноcтi ïï pоботи. Однак, тaкe y^a^mc^ кe piшeння дyжe доpого обxодитьcя пiдпpиeмcтвy.

Oчeвидно, що пiдпpиeмcтво, з одного боку, в жодному випадку нeмae дотpимyвaтиcя пepшоï cтpaтeгiï повeдiнки, а з шшого боку - нe завжди мae мож-ливicть peaлiзyвaти дуугу cтpaтeгiю. Kомпpомicом можe бути одда з можливиx пpоeктниx piшeнь, яю, як нacлiдок, зводятьcя до одного з такт вapiaнтiв:

1) варткть побудови КСЗ1 немae перевищувати певну суму, наприклад, бiльше 20 % вартост офiсноï IC. В цьому випадку потрiбно знайти такий вaрiaнт за-безпечення 1Б пiдприeмствa, який мiнiмiзye рiвень iнтегрaльних ризикiв;

2) рiвень iнтегрaльних ризикiв немae перевищувати деяку межу, наприклад, "дуже низький рiвень". В цьому випадку потрiбно знайти такий вaрiaнт за-безпечення 1Б пiдприeмствa, який мiнiмiзye варткть побудови КСЗ1.

Варто мати на уваз!, що збиток вщ порушення 1Б тдприемства може бути значно нижчим за вартють побудови КС31, тобто йдеться про надшрно надшну й роботу. Отже, основний збиток тдприемства пов'язаний не з втратами вщ порушення його 1Б, а з надшрно високою вартютю побудови КС31. Тому швестицп в й розроблення та експлуатацш мають бути збалансованими ! вщповщати масштабу появи збитюв тдприемства при реал!зацп потенцшних загроз ! небезпек.

Такий яюсний анал!з показуе, що в швестицшному д!апазот юнуе опти-мальне значення швестицш в побудову КС31, яке мЫм!зуе загальний збиток тдприемства при порушеннях його 1Б. Саме у цьому сенс! мае розглядатися задача розроблення техшчно ефективноí та економ!чно оптимальноí КС31.

Типова залежтсть величини збитку тдприемства (З) вщ вартост побудови КС31 (В) наведена на рис. 3. Тут показано, що !з зростанням вартост побудови КС31 на тдприемств! спостер!гатиметься значне зменшення ймов!рност! нанесено-го збитку тдприемства Рзб (зменшення вразливосл 1Р). 3 рисунку також видно, що застосування навггь недорогих заход1в ! засоб!в на забезпечення 1Б тдприемства (Уек) р!зко знижуе сумарний збиток тдприемства (В). Тому швестицп в побудову КС31 дуже ефективт навггь в пор1вняно невеликих розм!рах, а крива збитку (В) в деякш точщ мае найменше значення, яке можна вважати оптимальним.

Рис. 3. Залежтсть збитку тдприемства в1д вартост1 побудови КСЗ1

Зростання швестицш в побудову КС31 вище за оптимальне значення веде до збшьшення сумарних витрат тдприемства. В цьому випадку тдвищення на-дшносп роботи КС31 ! вщповщне зниження ймов!рносп появи збитку тдприемства швелюються надм!рно високою вартютю забезпечення 1Б тд-приемства.

Тому якнайкращою стратепею, мабуть, е використання КС31, що забезпе-чуе мЫмум сумарних витрат на й впровадження та експлуатацш. Ефективтсть цього ршення тдтверджена р!зними експериментальними дослщженнями: еко-ном!чно оптимальна КС31 знижуе сумарт втрати на й побудову приблизно на порядок пор!вняно з базовими ршеннями. При цьому така система не е найбез-печтшою. Понад це, ймов!ртсть появи збитку тдприемства вщ порушення його 1Б в цш систем! може в рази бути меншою вщ максимально можливого значення.

У раз!, коли основною вимогою до КС31 е гарантоване забезпечення 1Б тдприемства на заданому р!вт, реал!защя концепцп економ!чно оптимальноí КС31 неможлива. Це стосуеться, наприклад, захисту вщомостей, як! становлять державну таемницю. Оптимальш КС31 найбтьш щкав! для економ!чно самос-тшних приватних тдприемств, для яких спостер!гаеться критичний баланс м!ж витратами на систему 1б тдприемства ! можливим збитком вщ порушення його

3, ум. од

Оптимальний р1вень вразливостей 1Р

-*-**

Оптимальна варткть побудови уМ 0д

1Б. В цьому випадку оцiнювання eKOHOMi4HO оптимальних napaMeTpiB функщ-онування КСЗ1 е основою формування конкретно!' ii техшко-оргашзащйно1 структури та рiвня зaхищеностi 1Р пiдприемствa.

Отже, виклaденi принципи оргашзацц менеджменту з забезпечення 1Б шдприемства дають змогу здiйснити aнaлiз наявних КСЗ1 або новостворюваних у плаш забезпечення економiчно ефективно!' безпеки шдприемницько!' дiяльнос-тi. Результати такого aнaлiзу дають змогу нaйбiльш ефективно розробити узго-джений комплекс зaходiв, направлений на виршення науково-техшчних, сощ-aльно-економiчних i iнших проблем вiдповiдно до вимог, встановлених у чин-них стандартах i нормативних документах.

Висновки

1. З'ясовано, що для виршення завдань захисту 1Р шдприемства впрова-джуеться КСЗ1, головною метою роботи яко!' е забезпечення безперервносп бiз-нес-процесiв шдприемства стiйкого його функщонування та зaпобiгaння потен-цшним збиткам шдприемства вiд реaлiзaцil шформацшних атак.

2. Виявлено, що на сьогодш розробити i впровадити абсолютно непере-борну КСЗ1 на пiдприемствi принципово неможливо. При достатньому обсягу часу i кiлькостi сучасних програмно-техшчних засобш можна подолати будь-який захист 1Р пiдприемствa. Тому йдеться про достатнш ршень якостi роботи КСЗ1, при якому фiнaнсовi витрати на ii' побудову та експлуатащю, ризик усшш-но!' реaлiзaцii шформацшних атак i розмiр можливого збитку вiд них були б сшв-вимiрними мiж собою та прийнятними для шдприемства.

3. Проaнaлiзовaно оргaнiзaцiйну модель 1Б пiдприемствa, виявлено ii не-долiки та переваги з огляду на сучaснi умови шформацшного розвитку. Встанов-лено, що кожна оргашзацшна модель 1Б, маючи рiзнi iерaрхiчнi рiвнi, може на-повнюватися рiзними технологiями захисту 1Р, адекватними методами i процедурами 1х пiдтримки, внaслiдок чого кожен ршень мае рiзнi цiлi забезпечення 1Б, якi можуть досягатися в рiзнi термiни та за рiзнi промiжки часу.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

4. Синтезовано новi знання, придaтнi для встановлення розумно! достат-ностi та економiчноi ефективносп функцiонувaння КСЗ1 на пiдприемствi. Вста-новлено, що оргaнiзaцiя системи захисту 1Р пiдприемствa е процесом, що мк-тить процедуру оцiнювaння двох протиборних i ворогуючих мiж собою сторш: з одного боку - це загрози i небезпеки, а з iншого - заходи i засоби КСЗ1. Крите-рiем взаемодл мiж потенпдйними загрозами i наявними чи впроваджуваними за-собами системи захисту е стан захищеносп 1Р п1дприемства.

Лiтература

1. Аншовська Г.Я. 1нформац1йна безпека п1дприемства в умовах використання сучасних iH-формацшних технолог1й / Г.Я. Ан1ловська. [Електронний ресурс]. - Доступний з http:// nbuv.gov.ua/portal/chem_biol/nvnltu/18_9/270_Anilowska_18_9.pdf

2. Бармута Андрей. Утечка информации в корпоративной сети: угроза виртуальная, защита реальная / Андрей Бармута. [Электронный ресурс]. - Доступный с http://www.itsec.ru/articles2/in-ch-sec/ytechka-informacii-v-korporativnoi-seti-ygroza-virtyalnaya-zashita-realnaya

3. Бегун А.В. 1нформацшна безпека / А.В. Бегун. - К. : Вид-во КНЕУ, 2008. - 280 с.

4. Бойчик 1.М. Економжа шдприемства : навч. пойб. [для студ. ВНЗ] / 1.М. Бойчик. - К. : Вид-во "Атша", 2004. - 480 с.

5. Галицкий A.B. Защита информации в сети: анализ технологий и синтез решений / A.B. Галицкий, С.Д. Рябко, В.Ф. Шаньгин. - M. : Изд-во "ДМК Пресс", 2004. - 616 с.

6. Гатчин Ю.А. Математические модели оценки инфраструктуры системы защиты информации на предприятии / Ю.А. Гатчин, И.О. Жаринов, А.Г. Коробейников // Научно-технический вестник информационных технологий, механики и оптики. - СПб. : Изд-во Университета ИТМО.

- 2012. - Т. 12, № 2(78). - С. 92-05.

7. Герасименко О.В. 1нформацшна безпека шдприемства: поняття та методи ïï забезпечення / О.В. Герасименко, А.В. Козак. [Електронний ресурс]. - Доступний з http:// intkonf.org/ken-gerasi-menko-ov-kozak-av-informatsiyna-bezpeka-pidpriemstva-ponyattya-ta-metodi-yiyi-zabezpechennya/

8. Глобальное исследование информационной безопасности. [Электронный ресурс]. - Доступный с http://www.gosbook.ru/node/64161

9. Глобальное исследование инцидентов внутренней информационной безопасности. [Электронный ресурс]. - Доступный с http://www.securitylab.ru/analytics/291018.php

10. Грибунин В.Г. Комплексные системы защиты информации на предприятии / В.Г. Грибу-нин, В.В. Чудовский. - М. : Изд. центр "Академия", 2009. - 416 с.

11. Гриджук Г.С. Систематизация методов шформацшно'! безпеки пвдприемства / Г.С. Гри-джук. [Електронний ресурс]. - Доступний з http://www.nbuv.gov.ua/portal/natural/Vntu/2009_19_1/ pdf64.pdf

12. Жора Виктор. Комплексные системы защиты информации: быть или не быть? / Виктор Жора. [Электронный ресурс]. - Доступный с http://infosafe.ua/articles/article-6.html

13. Защита информации от внутренних угроз. [Электронный ресурс]. - Доступный с http://www.staffcop.ru/articles/informationnaya_bezopasnost.php

14. Защита от инсайдеров и утечки информации // IS027000.RU Искусство управления информационной безопасностью. [Электронный ресурс]. - Доступный с http://www.iso27000.ru/chi-talnyi-zai/zaschita-ot-insaiderov

15. Кадровое, материально-техническое и нормативно-методическое обеспечение функционирования КСЗИ. [Электронный ресурс]. - Доступный с http://profession-konspect.org/?content=3377

16. Корпоративная информационная безопасность: виды IT-угроз. [Электронный ресурс]. -Доступный с http://www.razumny.ru/stat/it-ugrozy.html

17. Кунинець А.1. 1нформацшш загрози та проблеми забезпечення шформащйно'! безпеки промислових компаний / А.1. Кунинець, Ю.1. Грицюк // Науковий вюник НЛТУ Украши : зб. на-ук.-техн. праць. - Львш : РВВ НЛТУ Украши. - 2013. - Вип. 22.2. - С. 352-360.

18. Мальцев А. Методика оценки состояния инженерно-технической защищенности объектов / А. Мальцев // Технологии защиты. - 2010. - № 4. - С. 15-21.

19. Надо ли следить за персоналом?. [Электронный ресурс]. - Доступный с http://www.staffcop.ru/articles/monitiring-personal.php

20. НД ТЗИ 3.7-003-05 "Порядок проведення робгт зi створення комплексно'! системи захис-ту шформаци в 1нформац1йно-телекомун1кац1й^1й системГ. [Електронний ресурс]. - Доступний з http:// www.dstszi.gov.ua/dstszi/control/uk/publish/article?art_id=46074&cat_id=38835

21. Ногин В.Д. Проблема сужения множества Парето: подходы к решению / В.Д. Ногин // Искусственный интеллект и принятие решений. - 2008. - № 1. - С. 98-112.

22. ООО "Дата Лоджик" Комплексные системы защиты информации. [Электронный ресурс]. - Доступный с http://datalogic.ua/kszi/

23. Перехват сообщений и скрытое наблюдение за сотрудниками. [Электронный ресурс]. -Доступный с http://www.staffcop.ru/articles/perehvat_soobshniy_skrytoe_nablyudenie.php

24. Петраков A.B. Основы практической защиты информации : учеб. пособ. - М. : Изд-во "Радио и Связь", 2012. - 384 с.

25. Петров В.А. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах : учебн. пособ. / В.А. Петров, А.С. Пискарев, А.В. Шеин. - М. : Изд-во МИФИ, 2005. - 396 с.

26. Радаев Н.Н. Приближенные оценки защищенности объектов от террористических действий / Н.Н. Радаев // Безопасность - Достоверность - Информация. - 2007. - №3(72). - С. 28-32.

27. Скляров Д.В. Искусство защиты и взлома информации / Д.В. Скляров. - СПб. : Изд-во "БХВ - Петербург", 2004. - 288 c.

28. Сороювська О.А. 1нформацшна безпека шдприемства: новi загрози та перспективи / О.А. Сороквська, В.Л. Гевко. [Електронний ресурс]. - Доступний з http://nbuv.gov.ua/portal/ Soc_Gum/Vchnu_ekon/2010_2_2/032-035.pdf

29. Тупкало В.Н. Совершенствование системы управления предприятием на основе реализации принципа "Структура следует за стратегией" / В.Н. Тупкало, С.В. Тупкало // Das Management.

- 2009. - № 1 (11-12). - С. 66-71.

30. Утечка информации - угроза корпоративной безопасности. [Электронный ресурс]. -Доступный с http://www.staffcop.ru/articles/Information_leakage.php

31. Черноруцкий И Г. Методы принятия решений / И.Г. Черноруцкий. - СПб. : Изд-во "БХВ - Петербург", 2005. - 416 с.

32. Ющук Евгений. Брешь в конфиденциальности (Практика использования сети Интернет в конкурентной разведке) / Евгений Ющук. [Электронный ресурс]. - Доступный с http://citcity.ru/17017/

Грыцюк Ю.1. Особенности реализации принципа разумной достаточности функционирования комплексной системы защиты информации на предприятии

Рассматриваются вопросы обоснования особенностей реализации принципа разумной достаточности и экономической эффективности функционирования комплексной системы защиты информации (КСЗИ) на предприятии, позволяющие установить его номинальные величины, а также оценивать качество работы системы защиты и осуществлять настройку параметров эксплуатации. Выявлено, что на данный момент разработать и внедрить абсолютно непреодолимую КСЗИ практически невозможно. При достаточном количестве времени и наличии современных программно-технических средств можно преодолеть любое сопротивление системы защиты. Поэтому речь идет о достаточном уровне качества работы КСЗИ, при котором финансовые затраты на ее построение и эксплуатацию, риск успешной реализации информационных атак и размер возможного ущерба от их реализации были бы соразмерны между собой и приемлемыми для предприятия.

Ключевые слова: информационная безопасность (ИБ), комплексная система защиты информации (КСЗИ), информационные ресурсы (ИР), организационная и математическая модель ИБ предприятия.

Gryciuk Yu.I. Features of the principle of reasonable sufficiency of functioning of complex system of information security in the enterprise

The issues of study characteristics of the principle of reasonable sufficiency and economic effectiveness of the complex system of information security (CSIS) in the enterprise, allowing it to set the nominal value and assess the quality of the protection system and to adjust operating parameters. It was revealed that at the moment to develop and implement an absolutely irresistible CSIS almost impossible. Given enough time and the presence of modern software and hardware you can overcome any resistance protection system. Therefore, it is a sufficient level of quality of work CSIS in which the financial costs of its construction and operation, the risk of the successful implementation of information attacks, and the size of possible damage from implementation would be proportionate to each other and appropriate for the company.

Keywords: information security (IS), complex system of information security (CSIS), information resources (IR), organizational and mathematical model of enterprise information security.

УДК 356.05.01 Здобувач О.Ю. Антипцева1 -

Укратська тженерно педагогiчна академiя, м. Хартв

моделювання впливу мотивац1йних фактор1в на р1вень ф1нансового розвитку машинобуд1вних п1дпри6мств

Обгрунтовано потребу встановлення впливу мотивацшних факторiв на фшансовий розвиток машинобудiвних шдприемств для ефективного мотивацшно орieнтованого уп-равлшня ним. Побудовано ieрархiчну модель фшансового розвитку машинобудiвних шдприемств для вщображення функцюнальних складових його забезпечення. Запропо-новано структурно-системну модель на основi мотивацшно орiентованого управлшня, яка за допомогою видшення та обгрунтування шляхiв формування окремих шдсистем вь

1 Наук. кергвник: проф. В.В. Прохорова, д-р екон. наук

i Надоели баннеры? Вы всегда можете отключить рекламу.