Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
ДЕРЖАВНИЙ УНІВЕРСИТЕТ ТЕЛЕКОМУНІКАЦІЙ
Навчально-науковий інститут захисту інформації
Кафедра управління інформаційною безпекою
|
Заняття проведені |
||
|
№ навч. групи |
Дата |
Час |
|
УБДМ-51 УБДС-51 |
ЗАТВЕРДЖУЮ
Завідувач кафедри
Д.т.н., с.н.с. В.Л.Шевченко
( підпис, ініціали, прізвище)
"___" _____________2014 року
Навчальна дисципліна
Методи оцінювання та прогнозування загроз інформаційній безпеці
Модуль 2
Тема 2
Оцінювання та прогнозування загроз
Лекція №8 (2 години )
Оцінювання та прогнозування загроз та інформаційних ризиків
за допомогою методу SWOT- аналізу.
Для структурних підрозділів
Державного університету телекомунікацій
Заслужений діяч науки і техніки України
доктор технічних наук,
професор БОГДАНОВИЧ В.Ю.
Розглянуто та ухвалено
на засіданні кафедри УІБ
" "__________2014 р.
Протокол № _____
Київ-2014
Зміст
Вступ
1.Послідовність формалізації задачі оцінювання та прогнозування загроз та інформаційних ризиків з використанням методу SWOT-аналізу
2.Особливості оцінювання загроз та інформаційних ризиків з використанням методу SWOT-аналізу
3.Аналіз результатів оцінювання
Висновки
Рекомендована література
Вступ
Оцінювання можливостей підприємства щодо протидії загрозам інформаційного характеру має ключове значення для організації функціонування його інформаційної системи. На жаль, існуючі методичні підходи до вирішення такого завдання на сьогодні не розроблені. В основному увага зосереджується лише на окремих питаннях складових завдання щодо оцінювання можливостей підриємства при організації протидії загрозам інформаційній безпеці підприємства із застосуванням методу експертного оцінювання. На сьогоднішньому занятті ми розглянемо можливість використання методу SWOT-аналізу для вирішення задач оцінювання та прогнозування загроз та інформаційних ризиків для ІС підприємства.
1.Послідовність формалізації задачі оцінювання та прогнозування загроз та інформаційних ризиків з використанням методу SWOT-аналізу
Ефективність забезпечення економічної безпеки підприємства багато в чому визначається науковим рівнем оцінювання рівня впливу деструктивних чинників і глибиною прогнозування їх розвитку. Основним завданням цього оцінювання слід вважати своєчасне виявлення джерел потенційних загроз інформаційного характеру з метою не допустити їх переходу в стан безпосередніх. Але, щоб цю мету перетворити у реальність, а не відірване від життя бажання, відповідні дії підриємства повинні спиратися на його можливості щодо протидії загрозам інформаційного характеру.
Під можливостями підприємства щодо протидії загрозам інформаційного характеру будемо розуміти наявність необхідних ресурсів (наукових, інтелектуальних, матеріальних, фінансових тощо), сил та засобів, здатних виконувати завдання протидії таким загрозам. Крім цього, до можливостей будемо відносити фактори, які характеризують підприємство у геоекономічному контексті (розташування, наявність стратегічних партнерів, стан інформаційних ресурсів, рівень підготовленості персоналу тощо).
До протидії загрозам будемо відносити: попередження – відвернення загрози заздалегідь вжитими заходами; нейтралізацію – здійснення таких дій, що зроблять загрозу не здатною заподіяти шкоди; усунення – повне виключення (знищення) загрози. Саме з цих позицій пропонується здійснювати вивчення стану підприємства та його можливостей щодо протидії загрозам інформаційного характеру.
Як показав аналіз публікацій, присвячених забезпеченню економічної та інформаційної безпеки, основна увага в них приділялася методологічним питанням оцінювання деструктивних явищ та прогнозуванню їх розвитку. Проблеми оцінювання відповідних можливостей підприємства розглядалися або методом проб та помилок, або з використанням суджень експертів, що не забезпечувало достатню точність отриманих оцінок. На наш погляд, більшу точність отримуваних оцінок можна забезпечити при використанні методу SWOT-аналізу.
SWOT-аналіз вважається однією з найважливіших діагностичних процедур, які використовуються у аналітичних структурах провідних країн світу. Крім того, її можна розглядати як технологію оцінювання вихідного стану, незадіяних ресурсів і загроз для об’єкта дослідження. Методика SWOT-аналізу – винятково ефективний, доступний, дешевий спосіб такого оцінювання.
Сутність SWOT-аналізу полягає у визначенні й зіставленні сильних і слабких характеристик (сторін) системи стосовно можливостей і загроз зовнішнього середовища. У загальному вигляді процедура аналізу визначає наявність у досліджуваного об’єкта стратегічних перспектив і можливостей їх реалізації.
Застосування методу SWOT-аналізу для оцінювання можливостей підприємства щодо протидії загрозам інформаційного характеру пропонується здійснювати на моделі протидії підприємства таким загрозам (рис.1).
Рис. 1. Модель протидії підприємства загрозам інформаційного характеру
підприємство Б
Контрзаходи
Загрози
конфронтація
Застосовує
Усувають
Протидіють
підприємство А
Уразливості
Модель описує основні процеси, які відбуваються під час конфронтації підприємств. При цьому підприємство Б, задля досягнення своєї мети створює загрози підприємству А, які через уразливості впливають на нього. В свою чергу, підприємство А застосовує певні контрзаходи з метою забезпечити власну безпеку, захистити свої інтереси та перешкодити реалізації планів підприємства Б.
Важливим елементом запропонованої моделі є визначення двох напрямків реалізації контрзаходів:
внутрішній – спрямований на усунення існуючих уразливостей підприємства (запобігання їх появі у майбутньому);
зовнішній – спрямований на протидію загрозам з боку іншого підприємства.
Модель включає сукупність об’єктивних зовнішніх та внутрішніх факторів, а також їх вплив на стан економічної безпеки підприємства. При цьому, до розгляду беруться такі фактори:
загрози безпеці підприємства, які характеризуються імовірністю виникнення та імовірністю реалізації;
уразливості підприємства та контрзаходи, які впливають на імовірність реалізації загрози;
ризик – фактор, який відбиває можливий збиток (прямий або опосередкований) внаслідок реалізації загрози.
За допомогою запропонованої моделі можливо визначити та систематизувати загрози безпеці підприємства, уразливості системи забезпечення його інформаційної безпеки, а також обґрунтувати сукупність контрзаходів, яка дозволить знизити ризики до припустимих рівнів та буде відповідати ресурсним можливостям підприємства.
У SWOT-аналізі сильні сторони (Strengths), це переваги об’єкту дослідження (позначаються літерою S); слабкості (Weaknesses) – недоліки об’єкту дослідження (позначаються літерою W); можливості (Opportunities) – фактори зовнішнього середовища, використання яких створить переваги для об’єкта дослідження (позначаються літерою O); загрози (Threats) – фактори, які можуть потенційно погіршити положення об’єкту дослідження (позначаються літерою T).
Взагалі здійснення SWOT-аналізу полягає в заповненні матриці SWOT-аналізу (рис.2).
Рис. 2. Матриця SWOT-аналізу
СИЛЬНІ СТОРОНИ
(Strengths)
МОЖЛИВОСТІ
(Opportunities)
СЛАБКОСТІ
(Weaknesses)
ЗАГРОЗИ
(Threats)
У нашому випадку, сильні сторони підприємства щодо реагування на загрози інформаційного характеру це ті, у яких воно випереджує інші підприємства, якісь особливості, що надають додаткові важелі для забезпечення економічної безпеки підприємства. А слабкості підприємства щодо протидії загрозам інформаційного характеру – це відсутність чогось важливого для функціонування системи забезпечення економічної безпеки підприємства або те, що підприємству поки не вдається зробити у плані власної безпеки, порівняно з іншими підприємствами, й ставить його в несприятливе положення. Можливості – це сприятливі обставини, які підприємство може використовувати для одержання переваги, посилення сильних сторін та усунення слабостей. Слід зазначити, що можливостями з погляду SWOT-аналізу є не всі можливості, які існують, а лише ті, які підприємство може використати (в даному випадку – для протидії загрозам інформаційного характеру). Загрози – події, настання яких може здійснити несприятливий вплив на підприємство – посилити слабкості, знизити вплив сильних сторін.
В якості експертів, під час проведення SWOT-аналізу доцільно залучати широке коло фахівців з питань економічної та інформаційної безпеки підприємства. Здійснення експертного опитування проходить за звичайними, широко відомими процедурами, вибір яких залишається за організатором досліджень.
Важливим під час роботи експертів є надання критичним факторам чіткої характеристики: вони є внутрішніми або зовнішніми, піддаються вони контролю та управлінню з боку підприємства чи ні.
Перед проведенням опитування експертам надається інформація щодо оцінки умов функціонування підприємства, яка була отримана раніше. Однак, під час проведення аналізу, експерти можуть включати до розгляду й ті фактори (характеристики), які не оцінювалися, однак, на думку експерта, суттєво впливають на здатність підприємства протидіяти загрозам інформаційного характеру.
Зазвичай SWOT-аналіз здійснюється за етапами. Покажемо їх у загальному вигляді.
Перший етап SWOT-аналізу – оцінювання власних сил (внутрішнього середовища), тобто визначаються сильні та слабкі сторони підприємства щодо реагування на загрози інформаційного характеру.
Другий етап – це оцінювання зовнішнього середовища, його впливу на здатність підприємства протидіяти загрозам інформаційного характеру. На цьому етапі визначаються фактори, які підприємство може використовувати в своїх інтересах і яких слід побоюватися.
Результати роботи на попередніх етапах заносяться у відповідні матриці.
На третьому етапі, після заповнення матриць, починається їх оброблення за визначеною процедурою.
Для успішного застосування методології SWOT-аналізу важливо вміти не тільки розкрити загрози й можливості, але й спробувати оцінити їх з точки зору того, наскільки важливим для безпеки підприємства є урахування у стратегії його дій щодо протидії загрозам інформаційного характеру конкретно для кожної з виявлених загроз і можливостей.
Доцільно здійснювати аналіз можливостей та загроз, відповідаючи на такі питання: який характер можливості (загрози) і причина її виникнення?, як довго вона буде існувати?, яку силу вона має?, наскільки вона корисна (небезпечна)?, яка ступінь її впливу?.
На четвертому етапі здійснюється аналіз отриманої раніше інформації. Для оцінювання можливостей застосовується метод позиціонування кожної конкретної можливості на матриці можливостей. Приклад такої матриці наведено на рис. 3.
|
Імовірність використання можливостей |
Вплив можливостей |
||
|
Сильний (“Си”) |
Помірний (“П”) |
Малий (“М”) |
|
|
Висока ( “В”) |
ПОЛЕ “ВСи” |
ПОЛЕ “ВП” |
ПОЛЕ “ВМ” |
|
Середня (“С”) |
ПОЛЕ “ССи” |
ПОЛЕ “СП” |
ПОЛЕ “СМ” |
|
Низька (“Н”) |
ПОЛЕ “НСи” |
ПОЛЕ “НП” |
ПОЛЕ “НМ” |
Рис. 3. Вигляд матриці можливостей
Аналогічна матриця складається для оцінювання загроз (рис. 4).
|
Імовірність використання загроз |
Вплив загроз |
|||
|
Війна (“Ві”) |
Критичний стан (“К”) |
Загострений стан (“З”) |
Напруженість (“На”) |
|
|
Висока ( “В”) |
ПОЛЕ “ВВі” |
ПОЛЕ “ВК” |
ПОЛЕ “ВЗ” |
ПОЛЕ “ВНа” |
|
Середня (“С”) |
ПОЛЕ “СВі” |
ПОЛЕ “СК” |
ПОЛЕ “СЗ” |
ПОЛЕ “СНа” |
|
Низька (“Н”) |
ПОЛЕ “HВі” |
ПОЛЕ “НК” |
ПОЛЕ “НЗ” |
ПОЛЕ “ННа” |
Рис. 4. Вигляд матриці загроз
На основі цієї SWOT-матриці будується матриця співставлення компонент SWOT-аналізу. На рис. 5 показано її загальний вигляд.
Рис. 5. Вигляд матриці зіставлення компонент SWOT-аналізу
|
T1 |
T2 |
T3 |
T4 |
… |
TM |
О1 |
О2 |
О3 |
О4 |
… |
ОА |
|
|
S1 |
||||||||||||
|
S2 |
||||||||||||
|
S3 |
||||||||||||
|
S4 |
||||||||||||
|
… |
||||||||||||
|
SK |
||||||||||||
|
W1 |
||||||||||||
|
W2 |
||||||||||||
|
W3 |
||||||||||||
|
W5 |
||||||||||||
|
… |
||||||||||||
|
WX |
2.Особливості оцінювання загроз та інформаційних ризиків з використанням методу SWOT-аналізу
У подальшому здійснюється аналіз SWOT-матриці (рис.5) та її підматриць і розписується зміст сценаріїв кожного типу у відповідних таблицях. У таблиці включаються окремо:
сильні характеристики, які доцільно застосувати для реалізації можливостей, і слабкі характеристики, які необхідно нейтралізувати заради досягнення можливостей;
сильні характеристики, які необхідно застосувати заради протидії загрозам і слабкі характеристики, усунення яких є важливим для зменшення сприйнятливості підприємства до загроз.
Таким чином визначаються, які саме сильні й слабкі характеристики можуть впливати на реалізацію відповідних загроз і можливостей (формування інформаційних ризиків для підприємства). Приклад кількості відповідних сильних і слабких характеристик, що впливають на реалізацію кожної можливості й загрози для підприємства надано в таблиці (рис. 6).
|
Номер загрози/ можливості |
T1 |
T2 |
T3 |
T4 |
… |
TМ |
О1 |
… |
ОJ |
|
Кількість сильних характеристик |
0 |
1 |
4 |
3 |
1 |
3 |
2 |
||
|
Кількість слабких характеристик |
3 |
6 |
3 |
2 |
2 |
3 |
4 |
||
|
D |
-3 |
-5 |
1 |
1 |
-1 |
0 |
-2 |
Рис. 6. Вигляд таблиці врахування кількості відповідних сильних і слабких характеристик, що впливають на реалізацію кожної з можливостей або загроз
Де D — фактор впливу (різниця між кількістю сильних і слабких характеристик для кожної можливості й загрози).
У подальшому, для кожної сильної й слабкої характеристики, підраховується кількість загроз і можливостей, на які вони впливають. Результати оформлюються у вигляді таблиць (рис. 7, 8).
|
Сильна характеристика |
S1 |
S2 |
S3 |
S4 |
… |
SK |
|
Кількість загроз, яким може завадити сильна характеристика |
1 |
0 |
0 |
1 |
4 |
|
|
Кількість можливостей, яким може сприяти сильна характеристика |
0 |
2 |
2 |
2 |
0 |
|
|
F |
1 |
2 |
2 |
3 |
4 |
Рис. 7. Вигляд таблиці врахування кількості загроз і можливостей, на які впливає кожна із сильних характеристик, де F — фактор впливу (добуток загроз та можливостей, на які впливає кожна сильна характеристика).
|
Слабка характеристика |
W1 |
W2 |
W3 |
W4 |
… |
WХ |
|
Кількість загроз, які підсилюються слабкою характеристикою |
1 |
0 |
0 |
1 |
4 |
|
|
Кількість можливостей, яким може завадити слабка характеристика |
0 |
2 |
2 |
2 |
0 |
|
|
G |
1 |
2 |
2 |
3 |
4 |
Рис. 8. Вигляд таблиці врахування кількості загроз і можливостей, на які впливають кожна із слабких характеристик, де G — фактор впливу (добуток загроз та можливостей, на які впливає відповідна слабка характеристика).
3.Аналіз результатів оцінювання
Після заповнення матриць здійснюється аналіз отриманих результатів, який має дати відповіді на такі основні питання:
які сильні й слабкі сторони підприємства щодо протидії загрозам інформаційного характеру (поточні й прогнозовані)?;
який вплив на підприємство (його СЗІБ) зовнішнього середовища (поточний й прогнозований, позитивний й негативний)?;
якою мірою сильні сторони підприємства (його СЗІБ) дозволяють йому скористатися, можливостями, що відкриваються, й протистояти загрозам (захищатися від них)?;
якою мірою слабкі сторони підприємства (його СЗІБ) цього не дозволяють?;
яку оцінку слід дати стану захищеності та можливості протидіяти загрозам інформаційного характеру в цілому й окремим напрямкам (виходячи з комбінації сил, слабкостей, можливостей і загроз)?;
які стратегії слід реалізовувати при тій або іншій комбінації сил, слабостей, можливостей і загроз?
За результатами аналізу складених таблиць приймається рішення щодо нейтралізації загроз, розвитку тих чи інших можливостей, розвитку сильних характеристик та компенсації слабких.
Використовуючи дані SWOT-аналізу, корисно виділити ті області, де необхідно провести певні зміни.
Найбільш простим способом визначення напрямків змін є аналіз слабких сторін з метою перетворення їх у переваги з урахуванням сприятливих і несприятливих зовнішніх обставин. Однак для отримання більш достовірних результатів необхідно зважувати багато “за” і “проти” здійснення змін з урахуванням різних пріоритетів.
Висновки.
Таким чином, запропонований підхід дозволяє виділити ті показники, які є найбільш критичними для забезпечення економічної безпеки підприємства, що підвищує обґрунтованість рішень, які приймаються за результатами аналізу, та оперативність їх розроблення.Крім цього, використання SWOT-аналізу дозволяє підвищити ступінь формалізації даних, суттєво спростити їх оброблення та процедуру прийняття рішень. За його допомогою можливо оцінити можливості підприємства щодо протидії загрозам інформаційного характеру та розробити стратегію подальшого розвитку СЗІБ підприємства та стратегію протидії визначеним загрозам, що повинно бути вихідними даними для подальшого визначення конкретних завдань суб’єктам СЗІБ.
Список літератури
1. Богданович В.Ю. Основи національної безпеки: Підручник / В.Ю.Богданович, В.Б.Толубко / К.: ДУТ , 2014.-376с.
2.Богданович В.Ю. Теоретичні основи забезпечення національної безпеки України в умовах позаблоковості: Монографія / В.Ю. Богданович, І.С.Романченко, І.Ю. Свида / – Львів: АСВ, 2011. – 414 с.
3. Горбулін, В.П. Стратегічне планування: вирішення проблем національної безпеки. Монографія / В. П. Горбулін, А. Б. Качинський. – К. : НІСД, 2011. – 288 с.
4. Бешелев, С. Д. Математико-статистические методы экспертных оценок [Текст] / С. Д. Бешелев, Ф. Г. Гурвич. – М.: Статистика, 1980. – 283 с.
5. Экспертное оценивание [Електронний ресурс] – Режим доступу : http://ru.wikipedia.orq/wki
6. Пеньковський, В.І. До питання прогнозування й оцінки потенційних і реальних воєнних загроз / В.І. Пеньковський // Труди академії. – К. : НАОУ, 2007. – № 6 (79). – С. 34–39.
Питання для самоконтролю
Професор В.Ю.Богданович