CC BY
121
Посилання на статтю_
Велюра А.В. Оцшювання стану iнформацiйноí безпеки пщприемства / А.В. Велiгура // Управлшня проектами та розвиток виробництва: Зб.наук.пр. - Луганськ: вид-во СНУ iM. В.Даля, 2014 - №4(52). - С. 28-39._
УДК 621.396.2
А.В. Вел^ура
ОЦ1НЮВАННЯ СТАНУ 1НФОРМАЦ1ЙНО1 БЕЗПЕКИ П1ДПРИСМСТВА
Розроблено методику комплексного оцiнювання стану iнформацiйноí безпеки пщприемства, запропонований комплекс показникiв, визначено пороговi значення показникiв, якi забезпечують достатнш рiвень iнформацiйноí безпеки. Рис. 2, дж. 16.
Ключовi слова: шформацмна безпека, суб'екти господарювання, система менеджменту, комплексне оцшювання.
А. В. Велигура
ОЦЕНИВАНИЕ СОСТОЯНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
Разработана методика комплексного оценивания состояния информационной безопасности предприятия, предложен комплекс показателей, определены пороговые значения показателей, обеспечивающие достаточный уровень информационной безопасности. Рис. 2, ист. 16.
A.V. Veligura
EVALUATION OF THE ENTERPRISE INFORMATION SECURITY
The technique of integrated state estimation information security, a set of indicators defined threshold levels to ensure an adequate level of information security.
G32
ВСТУП
1нформацшна безпека (1Б) - комплекс заход1в та засоб1в щодо забезпечення збереження шформаци, що знаходиться в систем! шформацшного забезпечення д1яльност1 п1дприемства, передано!, оброблювано', а також xiei, що збер1гаеться та надаеться системою.
Призначення системи шформацшноТ безпеки полягае в оргашзаци безпечних i надiйних: заходiв з доступу до iнформацií, способiв передачi та зберiгання iнформацií, методiв обробки iнформацií, правил управлiння доступом до шформаци, способiв вiдновлення шформаци, методiв резервування iнформацií тощо.
Завдання системи шформацшноТ безпеки обумовлюються IT призначенням i полягають у: забезпеченн безпечного, надiйного зберiгання i передачi iнформацií в електронному виглядi, розташовано' на рiзних носiях; органiзацií надшного доступу до електронно' iнформацií; обмеження i контроль доступу до шформаци,
"УправлЫня проектами та розвиток виробництва", 2014, № 4(52)
1
з якою працюють спiвробiтники; створеннi правил безпечноТ роботи з iнформацieю; проведены заходiв щодо резервування шформацп; забезпеченн вiдновлення iнформацiТ в аварiйних ситуа^ях; пiдтримцi шформацшноТ' безпеки на заданому рiвнi.
Забезпечення iнформацiйноТ безпеки в епоху постiндустрiальноТ економiки стае життево важливим для успiшного iснуваннi пщприемства. З iншого боку, постае питання належного визначення стану шформацшноТ безпеки пщприемства, показниш, що його характеризують, а також значень цих показниш, якi б забезпечували належний рiвень iнформацiйноТ безпеки пiдприемства.
Також важливим е питання оцшювання значень цих показниш в умовах невизначеностi, яка притаманна сферi безпеки.
Постановка проблеми у загальному вигляд'/. В нижшнш час для забезпечення належного стану шформацшноТ безпеки потрiбна не просто розробка окремих механiзмiв захисту, а реалiзацiя системного пщходу, що включае комплекс взаемопов'язаних заходiв (використання спе^альних технiчних i програмних засобiв, оргашзацшних заходiв, нормативно-правових актiв i т.д.). Головною метою будь-якоТ системи забезпечення шформацшноТ' безпеки е створення умов функцюнування пщприемства, запоб^ання загроз його безпеки, захист законних штереав пщприемства вщ протиправних посягань, недопущення розкрадання фшансових засобiв, розголошення, втрати, витоку, спотворення i знищення службовоТ шформаци, забезпечення в рамках виробничоТ дiяльностi всiх пiдроздiлiв пiдприемства.
Анал'з останнiх досл'1джень i публЫацш, в яких започатковано розв'язання дано)' проблеми i видлення невирiшених ранiше частин. Питанням побудови та аналiзу системи шформацшноТ безпеки присвячено роботи таких провщних св^ових та украТнських науковцiв, як Домарев В.В., Зефiров С.Л., Голованов М.Б., С. Норкатт, Рамазанов С.К., Рач В.А., Ляшенко О.М. та шшк В роботах одних з вищеназваних авторiв наведено велику ктькють показникiв, якi характеризують стан шформацшноТ' безпеки [1, 2, 3, 4], шших -заходи щодо пщвищення рiвня захищеностi iнформацiТ пiдприемства [5, 6, 7], тре™ - комплексы методики, яю, нажаль по-перше, дуже важко впроваджувати через велику ктькють вiжко оцiнюваних показникiв, а з шшого боку - нелегко узгодити iз iснуючим законодавством та мiжнародними i нацiональними стандартами, що регламентують дiяльнiсть, пов'язану iз iнформацiйною безпекою [5, 3, 4].
Таким чином, виникла необхщнють розробки комплексного показника стану шформацшноТ безпеки пщприемства, методики його розрахунку та визначення екстремальних значень окремих показниш, як забезпечують достатнш рiвень iнформацiйноТ безпеки.
Мета статт'1 е узагальнення дослщження провщних вчених у галузi iнформацiйноТ безпеки та запропонувати керiвникам пiдприемств комплекс показниш iз методикою Тх оцшювання, а також перелк заходiв щодо забезпечення належного рiвня шформацшноТ' безпеки пщприемства.
ОСНОВН1 РЕЗУЛЬТАТИ
lнформацiйна безпека пщприемства вщображае захищенiсть iнформацiйного середовища та ефективнють iнформацiйного забезпечення процесу управлшня на пiдприемствi [1-5].
Процес забезпечення шформацшноТ' безпеки пщприемства можна представити як взаемодш трьох пщсистем:пщсистема шформацшного забезпечення процесу управлiння на пщприемств^пщсистема захисту
2
"Управл1ння проектами та розвиток виробництва", 2014, № 4(52)
iнфopмaцiйнoгo cepeдoвищa пiдпpиeмcтвa;пiдcиcтeмa дiaгнocтики piвня iнфopмaцiйнoï безпеки.
Kлючoвими задачами пiдcиcтeми iнфopмaцiйнoгo забезпечення пpoцecу упpaвлiння на пiдпpиeмcтвi e: збиpaння нeoбхiднoï iнфopмaцiï;oбpoбкa i систематиза^я iнфopмaцiï;oцiнкa й aнaлiз iнфopмaцiï;пpoгнoзувaння вciх acпeктiв дiяльнocтi пiдпpиeмcтвa;нaдaння нeoбхiднoï iнфopмaцiï ocoбaм, щo пpиймaють piшeння.
Бeзпepepвнe викoнaння вciх цих задач нeoбхiднe для eфeктивнoгo функцioнувaння зaзнaчeнoï пiдcиcтeми. Захист iнфopмaцiйнoгo cepeдoвищa пiдпpиeмcтвa включае захист вiд злoвмиcних дш як кoнкуpeнтiв, так i власних cпiвpoбiтникiв, а тaкoж захист вщ нeзлoвмиcних внутpiшнiх негативних впливiв.
Методи та методики досл'дження. Для забезпечення захисту iнфopмaцiйнoгo cepeдoвищa пiдпpиeмcтвa нeoбхiднe систематичне викoнaння наступних eтaпiв фис. 1.):
- aнaлiз зaгpoз iнфopмaцiйнiй бeзпeцi;
- планування та poзpoбкa зaхoдiв щoдo забезпечення iнфopмaцiйнoï безпеки;
- oпepaтивнa peaлiзaцiя зaплaнoвaних дш.
Дiaгнocтику piвня iнфopмaцiйнoï безпеки пiдпpиeмcтвa пpoпoнуeтьcя пpoвoдити за тpьoмa ключoвими нaпpямкaми (pиc. 2): oцiнкa пpoгpaмнo-тeхнiчнoï зaхищeнocтi iнфopмaцiï; oцiнкa iнфopмaцiйнoï нaдiйнocтi пepcoнaлу; oцiнкa iнфopмaцiï, щo надаеться ocoбaм, щo пpиймaють piшeння, iнфopмaцiйнoю cлужбoю пiдпpиeмcтвa [8-12].
Для oцiнки iнфopмaцiйнoï нaдiйнocтi пepcoнaлу пpoпoнуeтьcя poзpaхoвувaти кoeфiцieнт пpaвoвoï зaхищeнocтi iнфopмaцiï, кoeфiцieнт дocвiду poбoти пepcoнaлу, щo забезпечуе iнфopмaцiйну безпеку пiдпpиeмcтвa, кoeфiцieнт нaдiйнocтi пepcoнaлу, щo забезпечуе iнфopмaцiйну безпеку пiдпpиeмcтвa та кoeфiцieнт пiдгoтoвлeнocтi пepcoнaлу дo poзпiзнaвaння пoгpoз [13-15].
Оцшку iнфopмaцiï, щo надаеться ocoбaм, щo пpиймaють piшeння, iнфopмaцiйнoю cлужбoю пiдпpиeмcтвa пpoпoнуeтьcя пpoвoдити за дoпoмoгoю тpьoх пoкaзникiв: кoeфiцieнт пoвнoти iнфopмaцiï, кoeфiцieнт тoчнocтi iнфopмaцiï та кoeфiцieнт cупepeчливocтi iнфopмaцiï, якi вapтo дoпoвнити кoeфiцieнтoм cвoeчacнocтi надання iнфopмaцiï та кoeфiцieнтoм нaдiйнocтi iнфopмaцiï.
"Упpaвлiння пpoeктaми та poзвитoк виpoбництвa", 2014, № 4(52)
3
Рисунок 1. Схема функцюнування системи ЫформацмноТ безпеки пщприемства
Рисунок. 2. Визначення стану ЫформацмноТ безпеки п1дприемства Варто зазначити, що для отримання шформацп, необхщноТ для розрахунку наведених показниш, обов'язковою умовою е наявнiсть системи мошторингу дiяльностi iнформацiйноТ служби пщприемства [16].
Юлькюний аналiз та моделювання е тими шструментальними засобами, ям дають змогу оцiнити, виокремити, нехай i наближено, суттевi ризики з несуттевих (надуманих).Однак у бтьшосп випадш одного лише якiсного аналiзу недостатньо для iдентифiкацiТ та виокремлення суттевих чинниш ризику й нехтування несуттевими (надуманими). З ^ею метою необхщно здiйснювати кiлькiсний аналiз небезпеки. А це потребуе здобуття вщповщноТ' шформаци.
Методи експертних оцiнки включають комплекс лопчних i математико-статистичних методiв i процедур, пов'язаних з дiяльнiстю експерта по переробцi
4
"Управл1ння проектами та розвиток виробництва", 2014, № 4(52)
нeoбхiднoï для aнaлiзу i пpийняття piшeнь iнфopмaцiï. Цeнтpaльнoю «фiгуpoю» eкcпepтнoï пpoцeдуpи е сам eкcпepт - це фaхiвeць, який викopиcтoвуe cвoï здiбнocтi (знання, вмiння, дocвiд, штущш i т.п.) для знaхoджeння нaйбiльш eфeктивнoгo piшeння.
Екcпepти, щo залучаються для oцiнки небезпеки, в тoму чи^ i iнфopмaцiйнoï, пoвиннi: мати дocтуп дo вае'Г нaявнoï в poзпopяджeннi poзpoбникa iнфopмaцiï; вoлoдiти дocтaтнiм piвнeм кpeaтивнocтi мислення та нeoбхiдними знаннями у вiдпoвiднiй пpeдмeтнiй oблacтi; бути втьним вiд ocoбиcтих пepeвaг щoдo пpoeкту (не лoбiювaти йoгo).
Moжнa видiлити нacтупнi ocнoвнi мeтoди eкcпepтних oцiнoк, щo зacтocoвуютьcя для aнaлiзу небезпеки: запитальники; SWOT-aнaлiз; poзa i cпipaль pизикiв; oцiнкa pизику стади пpoeкту; мeтoд Дeльфi.
lнфopмaцiя мoжe icнувaти в самих piзних фopмaх. Ïï мoжнa дpукувaти aбo писати на пaпepi, збepiгaти на eлeктpoнних нociях, пepecилaти за тpaдицiйнoю aбo eлeктpoннoю пoштoю, пoкaзувaти у фтьмах aбo пepeдaвaти в уcнiй poзмoвi. Яку б фopму не пpиймaлa iнфopмaцiя i якi б шшти не викopиcтoвувaлиcя для ïï пepeдaчi та збepiгaння, нeoбхiднo завжди забезпечувати вiдпoвiдний piвeнь ï'ï захисту.
lнфopмaцiйнa безпека дocягaeтьcя шляхoм впpoвaджeння cукупнocтi нeoбхiдних зacoбiв захисту, дo числа яких мoжуть вхoдити пoлiтики, peкoмeндaцiï, iнcтpукцiï,opгaнiзaцiйнi cтpуктуpи i пpoгpaмнi функци. Цi зacoби нeoбхiднo peaлiзувaти для того, щoб гapaнтувaти викoнaння вимoг дo безпеки в кoнкpeтнiй opгaнiзaцiï.
Виклад основного матер'тлу досл'дження. Система пoкaзникiв oцiнки piвня iнфopмaцiйнoï безпеки пiдпpиeмcтвa за кoжним з зaпpoпoнoвaних нaпpямкiв з poзpaхункoвими фopмулaми та фашчш значеннями наведена нижче:
Оцшка пpoгpaмнo-тeхнiчнoï зaхищeнocтi iнфopмaцiï
Koeфiцieнт тeхнiчнoгo захисту iнфopмaцiï КТЗ
Кт.З. = Анв. (1)
де IAH в - ктькють не вiдвepнутих iнфopмaцiйних атак.
Koeфiцieнт пpoгpaмнoï зaхищeнocтi iнфopмaцiï К^ з
Ч
jy. _ЧбФ_
Кпз Ч л (2)
н.Ф.
де Чбф - час бeзпepeбiйнoгo функцioнувaння кopпopaтивнoï iнфopмaцiйнoï cиcтeмi, гoд.
Чнф - нopмaтивний час функцioнувaння кopпopaтивнoï iнфopмaцiйнoï системи, год.
Koeфiцieнт фiнaнcoвoгo захисту iнфopмaцiï К
TD
т, Вз íh
^^ „ =-:——, 0,15, зpocтaння
ф. з. В • , ,, p (3)
Впр.1н.
ф.з.
"Упpaвлiння пpoeктaми та poзвитoк виpoбництвa", 2014, № 4(52)
5
де Вз iн - витрати на захист шформацшних ресyрсiв, грн.;
Впрш - витрати на придбання шформацшних ресyрсiв,грн. Коефiцieнт фiнансyвання iнформацiйних служ6 пiдприeмства Kфiн
Вфiн
Kфiн — , 0,5-0,15, зростання (4)
де Вфщ - витрати на фiнансyвання iнформацiйних служ6 пiдприeмства, грн.;
Вз - загальнi витрати пiдприeмства.
Оцiнка шформацшноТ' надiйностi персоналу Коефiцieнт правовоï захищеностi iнформацiï Knp з
I
I
Kпp з =~- , 1, зменшення (5)
юр . з .
де I - обсяг шформаци', розголошення яко!' може спричинити негативнi наслiдки для пiдприeмства, %
Iюp з - загальний обсяг юридично захищено'1 шформаци, %
Коефiцieнт досвiдy роботи персоналу, що забезпечye iнформацiйнy безпеку пiдприeмства Kflp
ЧП1
K,„ =-, 1, зростання (б)
д. р. ЧПз ( )
де ЧП1 - чисельнiсть працiвникiв, ям мають доступ до комерцiйноï таeмницi, що працюють на пiдприeмствi бтьше одного року, ос.;
ЧПз - загальна чисельнють працiвникiв, що мають доступ до комерцшноТ' таeмницi, ос.
Коефiцieнт надiйностi персоналу, що забезпечye iнформацiйнy безпеку пiдприeмства Kн п
ЧП - Ч
К^^з.зв . ^вип „ ИТг =-, 1, зростання
н.п. ЧП (7)
з.зв.
де ЧПвип - чисельнiсть пра^вниш, звiльнених за причиною витоку шформаци, ос.;
ЧПз зв - загальна чисельнiсть звiльнених працiвникiв, ос.
б
"УправлЫня проектами та розвиток виробництва", 2014, № 4(52)
Коефщiент шдготовленосп персоналу до розпiзнавання погроз Кп п
ЧПз - ЧПп
Кн . п. =-—-, 1, зРостання (8)
де ЧПп- чисельнють працiвникiв, ненавмиснi ди яких призвели до витоку
шформаци завдяки низькому рiвню пiдготовки персоналу до розтзнавання загроз безпеки, ос.;
ЧПз- загальна чисельнiсть працiвникiв, що мають доступ до закрито! шформаци, ос.
Оцшка шформаци, що надаеться особам, що приймають рiшення (ОПР), шформацшною службою пiдприемства Коефiцiент повноти шформаци Кп ¡н
Кп щ =—н— , 1, зменшення (9)
^необ.
де 1н - обсяг шформаци, що е в розпорядженн ОПР, %;
1необ - обсяг шформаци, необхщноТ' для ухвалення обфунтованого рiшення, %
Коефiцiент точностi iнформацiТ Кт ¿н 1р
Кт ш = — , 1, зростання (10)
^н
де 1р - обсяг релевантно! шформаци, %
1н - загальний обсяг наявно! в розпорядженнi ОПР шформаци, % Коефiцiент суперечливостi шформаци Кс ¿н
т. !ухв
Кс ¿н =-, 1, зростання (11)
^з
де 1ухв- кiлькiсть незалежних свiдчень на користь ухвалення ршення, %;
1з - загальна ктькють незалежних свiдчень у сумарному обсязi релевантно! iнформацiТ, %.
Коефiцiент своечасностi надання iнформацiТ Кс н ¿н
"Управл1ння проектами та розвиток виробництва", 2014, № 4(52)
7
Кс н ¿н =—^^, 1, зростання (12)
^необ.
де 1с н - обсяг своечасно наданоТ ОПР шформаци, %;
1необ - обсяг шформаци, необхщно'Т для ухвалення обфунтованого рiшення, %
Коефiцiент надiйностi шформаци Кн ¡н
Кн ¿н = нд . , 1, зростання (13)
^з .н .
де 1н д - обсяг шформаци, наданоТ ОПР з надшних джерел, %;
1з н - загальний обсяг наданоТ ОПР iнформацiТ, %
Будь-яка оргашза^я повинна визначити своТ вимоги до безпеки. При оцшц вимог використовуються три основнi показники.
Першим показником служить оцшка небезпек, з якими стикаеться оргашза^я. Шляхом оцiнки небезпек визначаються загрози для iнформацiТ, ТТ вразливiсть та ймовiрнiсть виникнення загроз, а також можливий збиток.
Другий показник - це законодавч^ нормативы та договiрнi вимоги, якi повинна дотримуватися оргашза^я, ТТ партнери по бiзнесу, пiдрядники та постачальники послуг.
Третш показник - це певний набiр принципiв, цiлей i вимог до обробки шформаци, розроблених оргашза^ею для пщтримки своеТ дiяльностi.
Визначення вимог до безпеки проводиться шляхом методичноТ оцшки ризикiв. Витрати на пщтримку безпеки необхiдно збалансувати з шкодою для бiзнесу,який може виникнути при порушеннi безпеки. Методи оцшки небезпек можуть застосовуватися до вае'Т оргашзацп або лише до ТТ частин, а також до окремих шформацшним системам, системним компонент i сервiсiв, в залежностi вiд того, що виявиться найбтьш практичним, реалютичним i корисним.
Важливими методами аналiзу стану забезпечення iнформацiйноТ безпеки е методи опису i класифкацп. Для здшснення ефективного захисту системи управлшня iнформацiйною безпекою слiд, по-перше, описати, а лише полм класифiкувати рiзнi види загроз та небезпек, ризиш та викликiв i вiдповiдно сформулювати систему заходiв по здiйсненню управлшня ними.
У якост розповсюджених методiв аналiзу рiвня забезпечення iнформацiйноТ безпеки використовуються методи дослщження причинних зв'язш. За допомогою даних методiв виявляються причиннi зв'язки мiж загрозами та небезпеками; здшснюеться пошук причин, ям стали джерелом i спричинили актуалiзацiю тих чи iнших чинникiв небезпеки, а також розробляються заходи по Тх нейтралiзацiТ. У числi даних методiв причинних зв'язкiв можна назвати наступш: метод схожостi, метод розбiжностi, метод сполучення схожостi i розбiжностi, метод супроводжувальних змiн, метод залишмв.
ОБГОВОРЕННЯ
При забезпеченнi режиму 1Б досить важливе мiсце вiдводиться завданням аналiзу iнформацiйних небезпек компанiТ та управлшня ними.
8
"УправлЫня проектами та розвиток виробництва", 2014, № 4(52)
Незалежно вщ розмiрiв органiзацiТ i специфки Т'Т iнформацiйноТ системи роботи щодо забезпечення режиму 1Б зазвичай складаються з наступних етапiв:вироблення полiтики безпеки;визначення сфери (меж) системи управлiння шформацшною безпекою та конкретизацiя цiлей Т'Т створення;оцшка небезпек;вибiр контрзаходiв, якi забезпечують режим IБ;управлiння ризиками;аудит системи управлшня 1Б.
Для управлiння iнформацiйною безпекою пщприемства розробляеться деяка стратегiя управлшня небезпеками. Наприклад, тут можливi таю пщходи до управлiння iнформацiйними ризиками компани:зменшення ризику;ухилення вiд ризику;змiна характеру ризику;прийняття ризику.
Видiляють декiлька титв методiв управлiння iнформацiйною безпекою: однорiвневi методи будуються на пiдставi одного принципу управлшня шформацшною безпекою;багаторiвневi методи будуються на основi декiлькох принцитв управлiння iнформацiйною безпекою, кожний з яких слугуе виршення власного завдання. При цьому приваты методи не пов'язан мiж собою i спрямован лише на конкретнi чинники шформацшних загроз;комплекснi методи — багаторiвневi методи, ям об'еднанi у едину систему координуючих функцш на органiзацiйному рiвнi з метою забезпечення iнформацiйноТ безпеки, виходячи з аналiзу сукупностi чиннимв небезпеки, якi мають семантичний зв'язок або генеруються з единого шформацшного центру шформацшного впливу;iнтегрованi високоiнтелектуальнi методи — багаторiвневi, багатокомпонентнi технологiТ, ям побудованi на пiдставi могутнiх автоматизованих штелектуальних засобiв з органiзацiйним управлшням.
Загальнi методи забезпечення iнформацiйноТ безпеки активно використовуються на будь-якш стади управлiння загрозами. До таких стадш належать: прийняття рiшення по визначенню област та контексту iнформацiйноТ загрози i складу учасникiв процесу протидiТ; ухвалення загальноТ стратегiТ i схеми дш в полiтичнiй, економiчнiй, со^альнш та iнших сферах життедiяльностi; забезпечення адекватного сприйняття загрози та небезпеки у нижчих оргашзацшних ланках системи управлшня шформацшною безпекою; видтення необхщних полiтичних, економiчних, соцiальних, адмiнiстративних i органiзацiйних ресурсiв, достатнiх для реалiзацiТ програми вiдбиття iнформацiйноТ загрози i збереження сталого розвитку iнформацiйних ресурав системи управлiння: трансформацiТ результатiв оцшки ризикiв у вiдповiдну полiтику безпеки, включаючи нацюнальну.
Специфiка методiв, що використовуються, значно залежить вщ суб'екта дiяльностi, об'екта впливу, а також переслщуваних цiлей. Так, методи дiяльностi iндивiда у зв'язку iз його обмеженою можливютю по забезпеченню шформацшно'Т безпеки здебiльшого зводяться до джерела загрози, апелювання до сусптьноТ' думки, а також до держави, яка мае вживати ршучих заходiв по нейтралiзацiТ iнформацiйних загроз. Саме сусптьство використовуе у своТй дiяльностi методи со^ального регулювання, надання допомоги окремим шдивщам i суспiльним органiзацiям, яким спричинена шкода внаслщок виявлення загрози.
1ншим завданням захисту е забезпечення незмшносл iнформацiТ пiд час Т'Т збер^ання або передачi, тобто забезпечення Т'Т цтюностк Таким чином конфщенцшнють iнформацiТ, яка забезпечуеться за допомогою криптографiчних методiв не е головною вимогою при управлшш iнформацiйною безпекою. Виконання процедур криптокодування i декодування може уповтьнити передачу даних та зменшити доступ до них через те, що користувач буде позбавлений можливосп своечасного i швидкого доступу до цих даних та шформаци. Саме тому забезпечення конфщенцшносп шформаци мае вщповщати можливостi доступу до неТ. Таким чином, управлiння в сферi iнформацiйноТ безпеки мае
"УправлЫня проектами та розвиток виробництва", 2014, № 4(52)
9
здшснюватися на пiдставi принципу доступностi та безпеки. Система забезпечення шформацшноТ безпеки в першу чергу мае гарантувати доступнють i цiлiснiсть iнформацiТ, та Т'Т конфiденцiйнiсть у випадку необхщностк
Для ефективного забезпечення шформацшноТ безпеки важливим е рiзноманiтнi моделi та методи оцшки загроз та небезпек. 1х варiативнiсть занадто лабiльна i залежить як вiд рiвня розвитку леТ чи iншоТ цивiлiзацiТ, так i вiд контексту оцiнки, що проводиться, наявност всебiчних даних по факторах загрози, алгоритму вирахування коефiцiенту iмовiрностi настання та розмiру негативних наслщш. Наявнiсть конкретних даних з цього питання дозволяе достатньо точно визначити ступшь впливу шформацшноТ зброТ, рiвень загроз та небезпек.
Важливим методом забезпечення шформацшноТ' безпеки е метод критичних сценарпв. У зазначених сценарiях аналiзуються ситуацп, коли уявний противник паралiзуе систему державного управлiння i вiдповiдно знижуе здатнiсть пiдтримувати державне управлшня в межах оптимальних параметрiв.
1снують методи, якi можна вважати основоположними, що дозволяють створити надшну основу для реалiзацiТ iнформацiйноТ безпеки. Ц методи або базуються на важливих законодавчих вимогах, або вщносяться до загальновизнаних методiв роботи в област управлiння iнформацiйною безпекою.
З законодавчоТ точки зору найважливiшими для оргашзаци вважаються наступнi заходи:захист даних i нерозголошення особистоТ шформаци;захист оргашзацшних записiв;захист прав на iнтелектуальну власнють.
До загальновизнаних методiв забезпечення шформацшноТ безпеки вщносяться наступш:створення документа, що визначае пол^ику шформацшноТ безпеки;розподiл вщповщальносп за iнформацiйну безпеку;навчання i подготовка в галузi iнформацiйноТ безпеки;створення звтв про iнциденти;пiдтримка безперервностi бiзнесу.
Ц методи можуть застосовуватися в бтьшосп органiзацiй i в бiльшостi середовищ. Слщ зауважити,що незважаючи на те, що вс описанi методи е важливими,значимють кожного методу слiд визначати у св^ конкретних ризикiв, з якими стикаеться оргашза^я.
Обфунтування отриманих результат¡в. Основним чинником, вщ якого залежить ставлення оргашзаци до питань шформацшноТ безпеки, е ступшь Т'Т зртостк Так, наприклад, вщома анал^ична компашя GartnerGroup i ушверситет CamegieMeNon запропонували своТ моделi визначення зртосп компанiТ та стану шформацшноТ безпеки. Рiзним рiвням зрiлостi вщповщають рiзнi потреби в областi шформацшноТ безпеки.
GartnerGroup видiляе чотири рiвня зрiлостi компанiТ - починаючи з нульового i закiнчуе третiм.
Значно розширену модель визначення рiвня зртосп компанiТ з точки зору шформацшноТ безпеки запропонував уыверситет CamegieMellon.
Вщповщно до цiеТ моделi видiляеться п'ять рiвнiв зрiлостi компанiТ, яким можна поставити у вщповщнють рiзне розумшня проблем iнформацiйноТ безпеки органiзацiТ.
Проблема забезпечення режиму шформацшноТ безпеки буде формулюватися (хоча б у неявному вигляд^ i вирiшуватися по-рiзному для оргашзацш, що знаходяться на рiзних рiвнях розвитку.
На першому рiвнi ця проблема, як правило, керiвництвом формально не висуваеться. Але це не означае, що вона не вир^уеться сшвроб^никами з власноТ ^^ативи - i, можливо, ефективно. Тим не менш, з точки зору керiвництва органiзацiТ, що знаходиться на першому рiвнi зрiлостi, завдання
10
"УправлЫня проектами та розвиток виробництва", 2014, № 4(52)
забезпечення режиму шформацшноТ безпеки, як правило, неактуальш. I все ж TaKi оргашзаци можуть бути цiлком життездатними.
На другому piBHi проблема забезпечення шформацшноТ безпеки виршуеться неформально, на основi поступово сформованоТ практики. Комплекс зaходiв (оргaнiзaцiйних i програмно-техшчних) дозволяе захиститися вщ нaйбiльш ймовiрних загроз, як потенцшно можливих, так i тих, що мали мiсце рашше. Питання щодо ефективностi захисту не пщшмаеться. Таким чином, поступово складаеться неформальний список актуальних для оргашзаци клаав ризиш, який поступово поповнюеться. Якщо серйозних iнцидентiв не вщбувалося, керiвництво оргaнiзaцiТ, як правило, не вважае питання шформацшноТ безпеки прюритетним. У випадку серйозного шциденту сформована система забезпечення безпеки коригуеться, а необхщнють пошуку iнших можливих слабких мюць в зaхистi iнодi усвщомлюеться керiвництвом.
Для даного рiвня зртосп оргaнiзaцiТ типовою е локальна (не пов'язана з шшими етапами життевого циклу технологи) постановка завдання aнaлiзу ризиш: вважаеться достaтнiм перерахувати актуальш для конкретноТ iнформaцiйноТ системи класи ризиш i, можливо, описати модель порушника, а завдання aнaлiзу вaрiaнтiв контрзaходiв, Тх ефективностi, упрaвлiння ризиками, як правило, не розглядаеться в якост актуальних.
На третьому рiвнi в оргашзаци прийнято слщувати в тш чи iншiй мiрi (можливо, частково) стандартам i рекомендaцiям, що забезпечуе базовий рiвень iнформaцiйноТ безпеки (наприклад, ISO 17799). Питанням документування придтяеться належна увага. Завдання aнaлiзу ризиш не е, на думку керiвництвa, своечасною. Анaлiз ризикiв розглядаеться як один з елемен^в технологи управлшня режимом iнформaцiйноТ безпеки на вах стaдiях життевого циклу. Поняття ризику включае кiлькa aспектiв: вiрогiднiсть, загрозу, урaзливiсть, iнодi вaртiсть. Один з вaрiaнтiв оцiнки ризику (певного класу) в цьому випадку: ймовiрнiсть виникнення шциденту в результат того, що наявна вразливють сприятиме реaлiзaцiТ загрози.
Технологiя упрaвлiння режимом шформацшноТ безпеки в повному вaрiaнтi мютить тaкi елементи:документування iнформaцiйноТ системи оргашзаци з позици iнформaцiйноТ безпеки; категоршвання iнформaцiйних ресурсiв з позицiТ керiвництвa оргaнiзaцiТ;визнaчення можливого впливу рiзного роду подш в гaлузi безпеки на шформацшну технологiю; aнaлiз ризикiв;технологiя управлшня ризиками на вах етапах життевого циклу;аудит в облaстi iнформaцiйноТ безпеки.
На даному рiвнi зрiлостi оргашзаци aнaлiз ризикiв пов'язаний з шшими компонентами технологи управлшня режимом шформацшноТ безпеки.
На четвертому рiвнi для керiвництвa оргашзаци актуальш питання вимiрювaння пaрaметрiв, що характеризують режим шформацшноТ безпеки. На цьому рiвнi керiвництво вiдповiдaе за вибiр певних величин залишкових ризикiв (якi залишаються завжди). Ризики, як правило, оцiнюються за ктькома критерiями (не тiльки вартюним).
Технологiя упрaвлiння режимом iнформaцiйноТ безпеки залишаеться колишньою, але на етап aнaлiзу ризикiв застосовуються кiлькiснi методи, що дозволяють оцiнити параметри залишкових ризиш та ефективнють рiзних вaрiaнтiв контрзaходiв при упрaвлiннi ризиками.
На п'ятому рiвнi ставляться i виршуються рiзнi вaрiaнти оптимiзaцiйних завдань у гaлузi забезпечення режиму iнформaцiйноТ безпеки. Приклади постановки завдань:вибрати вaрiaнт пщсистеми iнформaцiйноТ безпеки, оптимiзовaноТ за критерiем «вартють-ефективнють» при заданому рiвнi залишкових ризиш;вибрати вaрiaнт пiдсистеми iнформaцiйноТ безпеки, при якому мiнiмiзуються зaлишковi ризики при фксованш вaртостi пiдсистеми
"УправлЫня проектами та розвиток виробництва", 2014, № 4(52)
11
безпеки;вибрати арх^ектуру пiдсистеми iнформацiйноï безпеки з м^мальною вартiстю володiння протягом життевого циклу при встановленому píbhí залишкових ризикiв.
Висновки. Запропонований пiдхiд було випробувано на шдприемствах Лугансько''' областк Використання пропонованого пiдходу до оцшювання стану i управлiння iнформацiйною безпекою пiдприемства дозволило суттево пiдвищити ямсть управлiнських рiшень, забезпечити ефективне використання шформацшних ресурсiв пiдприемства, скоротити витрати на забезпечення шформацшно''' безпеки.
Перспективи подальших досл'1джень у даному напрямку. Наступним кроком повинна стати розробка автоматизовано' системи мошторингу стану шформацшно''' безпеки, яка б накопичувала вщомосп про стан шформацшно''' безпеки, обчислювала значення показникiв та надавала рекомендаци щодо управлiння станом iнформацiйноï безпеки пщприемства.
Л1ТЕРАТУРА
1. 1нновац1йн1 технологи антикризового управлшня економ1чними системами [Текст] : монограф1я / С.К. Рамазанов, Г.О. Надьон, Н.1. Кришталь, О.П. Степаненко, Л.А. Тимашова; пщ ред.. проф. С. К. Рамазанова. - Луганськ-Кив: вид-во СНУ ¡м. В. Даля, 2009. - 584 с.
2. Безбожний В.Л. Передумови забезпечення со^ально-економнноТ безпеки великих промислових пщприемств [Текст] / В.Л. Безбожний // Управлшня проектами та розвиток виробництва: Зб.наук.пр. - Луганськ: вид-во СНУ ¡м. В. Даля, 2013. - №1(45). С. 10-15.
3. Россошанская О.В. Метод оценки экономической безопасности инновационных проектно-ориентированых предприятий с позиции метрики внутренней среды деятельности [Текст] / О.В. Россошанская // Управлшня проектами та розвиток виробництва: зб.наук.пр. - Луганськ: вид-во СНУ ¡м. В. Даля, 2013 - No 1(45). -С. 33-44.
4. Срмолаев П.В. Функцюнальний профиль економмноТ безпеки пщприемства: методичн та приклады аспекти [Текст] / П. В. Срмолаев // Управлшня проектами та розвиток виробництва: Зб.наук.пр. - Луганськ: вид-во СНУ ¡м. В.Даля, 2013. - № 1(45). С. 26-33.
5. Рач В.А. Проблеми захисту Шформаци в управлшш проектами в епоху економки знань [Текст] / В.А. Рач // Управлшня проектами та розвиток виробництва: Зб.наук.пр. -Луганськ: вид-во СНУ ¡м. В.Даля, 2009. - № 2 (30). - С. 156-160.
6. Рач В.А. «Небезпека/ризик/криза» як трудна сутнють процесв розвитку в сучасшй економ¡ц¡ [Текст] / В.А. Рач // Управлшня проектами та розвиток виробництва: Зб.наук.пр. - Луганськ: вид-во СНУ ¡м. В. Даля, 2013. - № 1 (45). - С. 155-160.
7. Ляшенко О. М. Лопка керованост економмноТ безпеки пщприемства / О.М. Ляшенко [Текст] // Управлшня проектами та розвиток виробництва: Зб.наук.пр. -Луганськ: вид-во СНУ ¡м. В.Даля, 2013. - №1(45). - С. 5-10.
8. ISO/TC 176/SC 2/N 544R2, ISO 9000 Introduction and Support Package: Guidance on the Concept and Use of the Process Approach for management systems, 13 May 2004.
9. ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements.
10. ISO/IEC 38500:2008, Corporate governance of information technology.
11. ISO GUIDE 72:2001, Guidelines for the justification and development of management system standards.
12. ISO/IEC 27003, Information technology - Security techniques - Information security management system implementation guidance.
13. Technical Report ISO/IEC TR 18044, Information technology - Security techniques -Information security incident management.
14. Deming W. Edward. Out of the Crisis: Quality, Productivity, and Competitive Position. -Cambridge (Mass.) Mass. Inst. of Technology, Center for Advanced Engineering Study: Cambridge University Press, 1982.
15. NIST Special Publication 800-61, Computer Security Incident Handling Guide. Recommendations of the National Institute of Standards and Technology, January 2004.
12
"Управлшня проектами та розвиток виробництва", 2014, № 4(52)
16. Курило А.П. Аудит информационной безопасности. [Текст] / Курило А. П.,
Зефиров С.Л., Голованов В.Б. и др. Аудит информационной безопасности. - М.: Издательская группа «БДЦ-пресс», 2006. - 420 с.
Рецензент статп Стаття наджшла до редакцп
д.е.н., проф.Дан1ч В.М. 19.05.2014
"Управл1ння проектами та розвиток виробництва", 2014, № 4(52)
13
