125 Кібербезпека / 4 Курс / 4.2_Управління інформаційною безпекою / Лiтература / Навчальний посібник. Інформаційна безпека. Кавун С.В
..pdfнеприступність або недостатня доступність для окремих підприємців офіційної інформації про нові законодавчі й інші нормативні акти, зокрема, податкової політики, пільг і переваг для суб'єктів підприємництва;
несумлінна конкуренція, що проявляється у формі промислового шпигунства, поширенні помилкової інформації про продукцію конкурентів і їхньому фінансовому становищі у вигляді несанкціонованого доступу до конфіденційної інформації підприємців-конкурентів різними легальними й нелегальними шляхами.
Як внутрішні, так і зовнішні загрози приносять підприємцям ті або інші види збитку в їхній виробничо-комерційній діяльності.
Загрози інформаційним ресурсам проявляються у вигляді:
розголошення конфіденційної інформації; витоку конфіденційної інформації через технічні засоби
забезпечення виробничої діяльності різного характеру й виконання; несанкціонованого доступу до охоронюваних відомостей з боку
конкурентних організацій і злочинних формувань.
Загрози інформаційним ресурсам виражаються у:
не правочинному ознайомленні з охоронюваними відомостями (відомостями, що становлять КТ);
модифікації інформації в кримінальних цілях; знищенні інформації з метою нанесення морального й
матеріального збитку фірмі та її персоналу.
Загрози інформаційним ресурсам можуть бути реалізовані:
шляхом неофіційного доступу й знімання конфіденційної інформації;
шляхом підкупу осіб, що працюють в організаціях, безпосередньо пов'язаних з її діяльністю;
шляхом перехоплення інформації, що циркулює в засобах і системах зв'язку й обчислювальної техніки, за допомогою технічних засобів розвідки й знімання інформації, несанкціонованого доступу до інформації й навмисних програмно-математичних впливів на неї в процесі обробки й зберігання;
шляхом підслуховування конфіденційних переговорів, що ведуться в службових приміщеннях, службовому й особистому автотранспорті, на квартирах і дачах;
через переговорні процеси між іноземними або вітчизняними фірмами, використовуючи необережне використання інформації;
через окремих співробітників організації, що прагнуть здобути більший, ніж їхня заробітна плата, дохід або іншу корисливу зацікавленість.
Простір загроз охоплює об'єкт захисту – персонал комерційної структури, майно, кошти й відомості, що становлять комерційну або службову таємницю. Кожна загроза спричиняє певний збиток (втрати) – моральний або матеріальний, а заходи щодо протидії цій загрозі покликані знизити її величину до прийнятного рівня.
3.8.1. Види можливих збитків (втрат)
Оцінка можливих збитків (втрат) припускає знання видів втрат, пов'язаних з підприємницькою діяльністю, і вміння обчислення їх імовірнісної прогнозної величини. Існують наступні види можливих збитків (втрат) [105]:
1.Матеріальні види втрат проявляються в непередбачених підприємницьким проектом додаткових витратах або прямих втратах устаткування, майна, продукції, сировини, енергії й т. д. Стосовно кожного окремого з перерахованих видів втрат застосовані свої одиниці виміру. Найбільш природно вимірювати матеріальні втрати в тих же одиницях, у яких виміряється кількість даного виду матеріальних ресурсів, тобто у фізичних одиницях, обсягу, площі, ваги й т. д. Однак звести докупи втрати, вимірювані в різних одиницях, і виразити їх однією величиною неможливо. Тому використовується вирахування втрат у вартісному вираженні, у грошових одиницях. Для цього втрати у фізичному вимірі переводяться у вартісний вимір шляхом множення на ціну одиниці відповідного матеріального ресурсу. Вартість імовірних втрат за кожним із окремих видів матеріальних ресурсів у грошовому вираженні зводять докупи, дотримуючись при цьому правил дій з випадковими величинами і їхніми ймовірностями.
2.Трудові втрати – це втрати робочого часу, викликані випадковими, непередбаченими обставинами; виміряються в людиногодинах, людино-днях або просто годинах робочого часу. Переведення трудових втрат у грошове вираження здійснюється шляхом множення праце-годин на вартість (ціну) однієї години.
3.Кадрові втрати – втрати необхідних підприємству професійних, висококваліфікованих працівників; виміряються у витратах один в один і навчання нового кадрового складу в грошовому вираженні.
4.Фінансові втрати – прямий грошовий збиток, пов'язаний з непередбаченими платежами, виплатою штрафів, сплатою додаткових податків, втратою коштів і цінних паперів. Також можуть бути при неотриманні коштів з передбачуваних джерел, при неповерненні боргів, несплаті покупцем поставленої йому продукції, зменшенні виторгу внаслідок зниження цін на реалізовані продукцію й послуги. Втрати, пов'язані з інфляцією, зміною валютного курсу гривні, додатковим до зазначеного вилучення засобів підприємств у державний (республіканський, місцевий) бюджет. Поряд з безповоротними можуть бути й тимчасові фінансові втрати, обумовлені заморожуванням рахунків, несвоєчасною видачею засобів, відстроченням виплати боргів на невизначений строк.
5.Тимчасові втрати. Відбуваються, коли процес підприємницької діяльності йде повільніше, ніж намічено. Пряма оцінка таких втрат здійснюється в годинах, днях, тижнях, місяцях запізнювання в одержанні наміченого результату. Щоб перевести оцінку втрат часу в грошовий вимір, необхідно встановити, до яких втрат доходу, прибутку здатні приводити втрати часу. В остаточному підсумку оцінюються в грошовому вираженні.
6.Інформаційні втрати. Одні із найсерйозніших втрат у бізнесі, здатні привести до краху всієї організації. Обчислюються у вартісному вираженні.
7.Особливі види втрат проявляються у вигляді завдання збитків здоров'ю й життю людей, навколишньому середовищу, престижу підприємства, а також внаслідок інших несприятливих соціальних і морально-психологічних наслідків. Найчастіше ці види втрат украй важко визначити в кількісному й тим більше у вартісному вираженні.
При оцінці рівня безпеки підприємництва необхідно встановити взаємозв'язок з боку конкурентів і зловмисників, а також ризиків у процесі функціонування організації в часі й просторі загроз. Втрати, виходячи із загальної оцінки їх величини, поділяються на визначальні й побічні.
Вимірною мірою можливих збитків (втрат) є загальний підприємницький ризик і його відповідні складові. При визначенні підприємницького ризику побічні втрати можуть бути виключені в кількісну оцінку загального рівня
ризику, тобто якщо в числі розглянутих втрат виділяється один вид, що або за абсолютною величиною, або за ймовірністю виникнення свідомо перевершує інші, то при кількісній оцінці загального рівня ризику в розрахунок можна приймати тільки цей вид втрат.
Особливо необхідно враховувати випадкові втрати, що не піддаються прямому розрахунку, безпосередньому прогнозуванню й тому невраховані в інвестиційному проекті. Якщо втрати можна заздалегідь передбачати, вони повинні розглядатися не як втрати, а як неминучі витрати й включатися до розрахункової калькуляції. Так, прогнозну зміну цін, податків у ході здійснення господарської діяльності підприємець повинен урахувати в бізнес-плані. Тільки через недосконалості використовуваних методів розрахунку підприємницької діяльності або недостатньо глибокого пророблення підприємцем бізнесплану систематичні помилки можуть розглядатися як втрати в тому розумінні, що вони здатні змінити в гірший бік очікуваний результат.
Перш ніж оцінювати загрозу, обумовлену дією суто випадкових факторів, бажано відокремити систематичну складову втрати від випадкової (динамічної) складової. Це необхідно й з позицій математичної коректності, тому що процедури дій з випадковими величинами істотно відрізняються від процедур дій з детермінованими величинами.
Експертна оцінка ймовірності загроз інформаційним ресурсам наступна [27]: втрати від несанкціонованих дій – 48%; непередбачені втрати (технологічні помилки, відмови) – 35 %; втрати від вірусних атак – 15%; інші втрати – 2%.
Інформаційний збиток (втрати) пов'язані з наявністю в процесі підприємницької діяльності інформаційного ризику, що входить у загальний підприємницький ризик.
Інформаційний ризик – імовірність (загроза) втрат активів суб'єкта економіки (підприємця) у результаті втрат, псування, перекручування й розголошення інформації.
Інформаційний ризик класифікується таким чином:
ризик переривання інформації (припинення нормальної обробки інформації, наприклад, внаслідок руйнування, виводу з ладу обчислювальних засобів). Така категорія дій може викликати досить серйозні наслідки, якщо навіть інформація при цьому не піддається ніяким впливам;
ризик крадіжки інформації (зчитування або копіювання інформації, розкрадання магнітних носіїв інформації й результатів печатки з метою одержання даних, які можуть бути використані проти інтересів власника інформації);
ризик модифікація інформації (внесення несанкціонованих змін у дані, спрямовані на заподіяння збитку власникові інформації);
ризик руйнування даних (необоротна зміна інформації, що приводить до неможливості її використання);
ризик електромагнітного впливу й перехоплення інформації в
автоматизованих і інформаційних системах (АІС);
ризик знімання інформації з акустичного каналу; ризик припинення живлення АІС (технічні несправності
постачальників живлення ІС і підтримуючої інфраструктури); ризик помилки операторів і постачальників інформаційних ресурсів
АІС;
ризик збоїв ПЗ АІС; ризик несправності апаратних пристроїв АІС (у результаті халатних
дій співробітників, недотримання техніки безпеки, природних катаклізмів, збоїв програмних засобів і т. д.).
Основне завдання системи ЕБ організації [91] полягає в запобіганні можливих збитків (втрат), які можуть відбутися в результаті реалізації перерахованих загроз підприємництву, а в остаточному підсумку – запобігання загрози банкрутства організації.
Економічна безпека організації [105] – це захист економічних інтересів від зовнішніх і внутрішніх загроз, безпека яких характеризується сукупністю якісних і кількісних показників.
Найважливіший показник ЕБ організації – рівень ЕБ організації – оцінка стану використання корпоративних ресурсів за критеріями рівня ЕБ організації. Для забезпечення ЕБ організація використовує сукупність своїх корпоративних ресурсів.
Корпоративні ресурси – фактори бізнесу, використовувані власниками організації для виконання цілей бізнесу.
Ресурс капіталу. Акціонерний капітал організації в поєднанні з позиковими фінансовими ресурсами є кровоносною системою організації й дозволяє здобувати й підтримувати інші корпоративні ресурси.
Ресурс персоналу. Менеджери організації, штат інженерного персоналу, виробничих робітників та службовців з їхніми знаннями,
досвідом і навичками – основна провідна й сполучна ланка, що з'єднує воєдино всі фактори даного бізнесу, які забезпечує втілення в життя ідеології бізнесу, а також досягнення цілей бізнесу.
Ресурс інформації й технології. Інформація, що стосується всіх сторін діяльності організації, у цей час найцінніший і дорогий ресурс організації. Інформація про зміну політичної, соціальної, економічної й екологічної ситуації, зміни ринків організації, науково-технічна й технологічна інформація, конкретні ноу-хау, що стосуються яких-небудь аспектів даного бізнесу, нове в методах організації й керування бізнесом дозволяє підприємству адекватно реагувати на будь-які зміни зовнішнього середовища бізнесу, ефективно планувати й здійснювати свою господарську діяльність.
Ресурс техніки й устаткування. На основі наявних фінансових,
інформаційно-технологічних і кадрових можливостей підприємство здобуває технологічне й інше устаткування.
Ресурс прав. З розвитком цивілізації, виснаженням природних ресурсів і підвищенням цінності для бізнесу нематеріальних активів різко зросла роль ресурсу прав. Цей ресурс містить у собі права на використання патентів, ліцензії й квоти на використання природних ресурсів, а також експортні квоти, права на користування землею. У цей час підвищилася цінність міських територій під адміністративну забудову. Використання цього ресурсу дозволяє підприємству залучитися до передових технологічних розробок, не проводячи власних дорогих наукових досліджень.
Основна причина необхідності забезпечення ЕБ – варта перед кожною організацією завдання досягнення стабільності свого функціонування й створення перспектив зростання для виконання цілей даного бізнесу.
Під цілями бізнесу варто розуміти систему спонукальних мотивів, що змушують людей починати нову справу. Спонукальні мотиви:
1.Одержання прибутку.
2.Збереження й збільшення капіталу акціонерів організації з розрахунку перевищення процентної депозитної ставки банків.
3.Самореалізація через даний бізнес його ініціаторів і вищого менеджменту організації.
4. Задоволення різних потреб людей і суспільства в цілому. Даний мотив особливо часто є домінуючим у діяльності державних або муніципальних підприємств.
Філософія бізнесу формується на основі бачення ініціаторам і бізнесу цілей даного бізнесу і становить систему цінностей і норм поводження, прийнятих у даній організації, а також місце й роль останньої в системі бізнесу й у суспільстві в цілому.
Фактори й джерела загроз ЕБ організації. Рівень ЕБ організації базується на тому, наскільки ефективно службам даної організації вдається запобігати загрози й усувати збиток (втрати) від негативних впливів на різні аспекти ЕБ. Джерелами таких негативних впливів можуть бути усвідомлені або неусвідомлені дії людей, організації, у тому числі органів державної влади, міжнародні організації або підприємствконкурентів, а також збігу об'єктивних обставин, як-то: стан фінансової кон'юнктури на ринках даної організації, наукові відкриття й технологічні розробки, форс-мажорні обставини й т. д. Залежно від суб'єктної обумовленості негативних впливів на економічну безпеку організації може застосовуватися наступна градація цих негативних впливів.
Об'єктивні негативні впливи – це впливи, що виникають без участі й мимо волі організації або її службовців.
Суб'єктивні негативні впливи – це впливи, що виникли як наслідок неефективної роботи організації в цілому або її працівників.
Основна мета ЕБ [105] організації – забезпечення стійкого й ефективного функціонування та забезпечення високого потенціалу розвитку й зростання організації в майбутньому. Найбільш ефективне використання корпоративних ресурсів організації, необхідне для виконання цілей даного бізнесу, досягається запобіганням загроз негативних впливів на економічну безпеку організації й досягненням наступних основних функціональних цілей ЕБ організації:
забезпечення фінансової стійкості й незалежності; забезпечення технологічної незалежності й досягнення
конкурентоспроможності її технологічного потенціалу; висока ефективність менеджменту;
високий рівень кваліфікації персоналу організації і її інтелектуального потенціалу;
екологічність роботи організації, мінімізація руйнівного впливу результатів виробничої діяльності на стан навколишнього середовища;
надійна правова захищеність всіх аспектів діяльності організації; захист інформаційного середовища організації, комерційної
таємниці й досягнення високого рівня інформаційного забезпечення роботи;
забезпечення безпеки персоналу організації, її капіталу, майна й комерційних інтересів.
Кожна із цілей ЕБ організації має структуру підцілей, що обумовлюється функціональною доцільністю й характером роботи організації. Докладна розробка й контроль над виконанням цілей і підцілей структури ЕБ організації – важлива складова частина системи забезпечення її ЕБ.
Основні напрямки й принципи забезпечення ЕБ організації. Забезпечення ЕБ організації – це постійний циклічний процес.
Забезпечення ЕБ організації – це процес реалізації функціональних складових ЕБ з метою запобігання можливих збитків (втрат) і досягнення максимального рівня ЕБ організації.
Методи забезпечення ЕБ організації – це набір заходів, система організації їх виконання й контролю, які дозволяють досягати найбільш високих значень рівня ЕБ організації.
Виходячи із цілей створення бізнесу й особливостей національної ментальності та природного темпераменту вищих менеджерів організації, галузевої специфікації бізнесу й загальноекономічної ситуації на ринках даного організації формується філософія організації.
Для здійснення цілей даного бізнесу на основі сформованої філософії організації його менеджментом розраховуються потреби бізнесу в різних ресурсах і формується набір корпоративних ресурсів організації.
Найважливіший етап забезпечення ЕБ організації – стратегічне планування й прогнозування її ЕБ – містить у собі розробку стратегічного плану забезпечення ЕБ організації. У цьому документі задаються якісні параметри використання корпоративних ресурсів організації в поєднанні з її організаційно-функціональною структурою й взаємозв'язками структурних підрозділів, а також деякі кількісні орієнтири забезпечення функціональних складових.
На основі розробленого стратегічного плану виробляються загальні й функціональні рекомендації з реалізації планових установок, які повинні містити певні кількісні характеристики й оформлятися
спеціальними додатками до стратегічного плану забезпечення ЕБ організації.
Після розробки стратегічних планів діяльності організації необхідно провести оперативну оцінку рівня забезпечення й поточне тактичне планування ЕБ організації. Аналіз рівня ЕБ організації проводиться на основі оцінки ефективності заходів щодо запобігання збитків і розрахунку функціональних і сукупного критеріїв ЕБ організації. Поточне планування ЕБ організації здійснюється на основі розробки декількох альтернативних сценаріїв розвитку ситуації й розрахунку значень сукупного критерію ЕБ за кожним із них. Після вибору за результатами розрахунків кращого варіанта й аналізу інших виробляються оперативні рекомендації з поточного планування діяльності організації. Ці рекомендації не носять довгострокового характеру й задають, крім якісних орієнтирів поточної діяльності організації, кількісні значення.
У процесі роботи організації накопичується інформація для аналізу стану її ЕБ. На її основі здійснюється оцінка функціональних і сукупних критеріїв ЕБ, їх відхилень від планових значень, аналізуються причини виникнення цих відхилень. Після цього виробляються рекомендації з корегування набору корпоративних ресурсів, систем стратегічного й поточного планування фінансово-господарської діяльності організації, а також системи оперативного керування її діяльністю. Коригування можуть вноситися й у систему планування ЕБ організації. У цьому випадку необхідно заново використовувати описані вище методи планування ЕБ організації й вносити відповідні зміни в господарські плани організації й систему їх реалізації.
Оцінка рівня ЕБ організації за всіма функціональними складовими на основі статистичних методів обробки інформації ускладнена, оскільки більшість аспектів даної проблеми вкрай складно піддаються математичній формалізації. Проте важливість даної проблеми для ефективного функціонування організації дуже велика. Тому необхідно оцінювати рівень ЕБ організації на основі визначення сукупного критерію ЕБ організації.
Приватні функціональні критерії ЕБ організації за кожною з її складових розраховуються на основі оцінки збитків ЕБ організації й ефективності заходів щодо їх запобігання.
Формула розрахунку сукупного критерію ЕБ організації (CCES) [91]:
CCES 
C fidi , (3.23)
де Cfi – значення приватних функціональних критеріїв ЕБ організації; di – питома вага значимості функціональної складової ЕБ
організації, при цьому Di = 1.
Питома вага приватних функціональних критеріїв ЕБ організації в сукупному критерії ЕБ організації розраховується на основі оцінки сукупних збитків за функціональними складовими її ЕБ.
Урезультаті аналізу потенціалу українських організацій різних галузей отримане співвідношення значимостей функціональних складових ЕБ.
Увідношенні промислових і сільськогосподарських підприємств приблизно однакова роль фінансового забезпечення виробничої діяльності підприємств. У той же час для промислових підприємств істотно вище (порівняно із сільськогосподарськими) роль інтелектуальної
йкадрової складових і системи інформаційного забезпечення (особливо щодо новітньої технологічної інформації й інформації про рух ринків організації) виробництва. При цьому очевидні величезні переваги в значимості екологічної складової для сільгоспвиробників порівняно із промисловими організаціями. Для сільськогосподарських підприємств земля - основний фактор виробництва і екологічна обстановка впливає на результати сільськогосподарського бізнесу, у той час як промислових підприємств екологічні проблеми стосуються тільки через системи штрафних санкцій за забруднення навколишнього середовища й екологічні стандарти на продукцію, що випускається. Потрібно зазначити
йбільш питому вагу для сільськогосподарських підприємств техніко-
технологічної складової, що викликано меншою, порівняно із промисловістю, значимістю інтелектуального й кадрового фактора ЕБ організації. Для торговельних підприємств і підприємств, що працюють на фінансових і фондових ринках, включаючи банки, підприємств, що здійснюють страхову й інвестиційну діяльність, важливу роль відіграє інформаційне забезпечення бізнесу, а також фактор фінансової діяльності. Для підприємств, що працюють на фінансових ринках, досить важливе значення для забезпечення їхньої ЕБ відіграє рівень персоналу. Як для підприємств, що працюють на фінансових і фондових ринках, так і для торговельних, більш висока порівняно із промисловими й