Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
ДЕРЖАВНИЙ УНІВЕРСИТЕТ ТЕЛЕКОМУНІКАЦІЙ
Навчально-науковий інститут захисту інформації
Кафедра управління інформаційною безпекою
|
Заняття проведені |
||
|
№ навч. групи |
Дата |
Час |
|
УБДМ-51 УБДС-51 |
ЗАТВЕРДЖУЮ
Завідувач кафедри
Д.т.н., с.н.с. В.Л.Шевченко
( підпис, ініціали, прізвище)
"___" _____________2014 року
Навчальна дисципліна
Методи оцінювання та прогнозування загроз інформаційній безпеці
Модуль 2
Тема 2
Оцінювання та прогнозування загроз
Лекція №9 (2 години )
Методи реагування на загрози та інформаційні ризики
при забезпеченні інформаційної безпеки підприємства
Для структурних підрозділів
Державного університету телекомунікацій
Заслужений діяч науки і техніки України
доктор технічних наук,
професор БОГДАНОВИЧ В.Ю.
Розглянуто та ухвалено
на засіданні кафедри УІБ
" "__________2014 р.
Протокол № _____
Київ-2014
Зміст
Вступ
Висновки
Список рекомендованої літератури
Вступ
Закон України Про основи національної безпеки України відповідно до пункту 17 частини першої статті 92 Конституції України визначає основні засади державної політики, спрямованої на захист національних інтересів і гарантування в Україні безпеки особи, суспільства і держави від зовнішніх і внутрішніх загроз в усіх сферах життєдіяльності. При розробці та реалізації державної політики з питань національної безпеки має враховуватися геополітична і внутрішня обстановка в Україні. Діяльність усіх державних органів має бути зосереджена на прогнозуванні, своєчасному виявленні, попередженні і нейтралізації зовнішніх і внутрішніх загроз національній безпеці, захисті суверенітету і територіальної цілісності України, безпеки її прикордонного простору, піднесенні економіки країни, забезпеченні особистої безпеки, конституційних прав і свобод людини і громадянина, викоріненні злочинності, вдосконаленні системи державної влади, зміцненні законності і правопорядку та збереженні соціально-політичної стабільності суспільства, зміцненні позицій України у світі, підтриманні на належному рівні її оборонного потенціалу і обороноздатності, радикальному поліпшенні екологічної ситуації. Звісно, що і діяльність окремих підприємств повинна бути підпорядкована політиці національної безпеки. Тому рішення, що приймаються керівною ланкою підприємств. мають бути науково обґрунтованими та спрямовуватися на реалізацію їх стратегічних планів. Це вимагає своєчасного і адекватного реагування на загрози функціонуванню підприємств. На даному занятті ми розглянемо сучасні методи такого реагування.
Рефлексивний метод реагування на загрози багато в чому нагадує спосіб реагування живих істот на різного роду подразники. Суть методу полягає в тому, що спеціально визначений структурний підрозділ в системі забезпечення інформаційної безпеки здійснює моніторинг загроз (подразників). Оцінює їх характер, рівень, масштаб, напрям спрямування, можливі деструктивні наслідки у різних сферах діяльності підприємства і т.ін.
Рішення щодо реагування, тобто прийняття управлінських впливів щодо попередження, усунення або нейтралізації загроз приймається у разі, якщо рівень загрози (подразника) досяг або перевищив визначений раніше поріг реагування.
Співробітникам системи забезпечення інформаційної безпеки підприємства слід визначити такі функції:
постійний моніторинг впливу на безпеку функціонування підприємства внутрішніх та зовнішніх факторів, процесів та умов, що визначають ефективність його функціонування;
прогнозування змін, що відбуваються в них, та потенційних загроз економічній та інформаційній безпеці підприємства;
прогнозування, виявлення та оцінка можливих загроз, дестабілізуючих чинників і конфліктів, причин їх виникнення та наслідків прояву;
розроблення науково обґрунтованих пропозицій і рекомендацій щодо прийняття управлінських рішень з метою захисту інтересів підприємства;
запобігання та усунення впливу загроз і дестабілізуючих чинників на функціонування та результати діяльності підприємства;
локалізація, деескалація загроз і ліквідація їх наслідків або впливу дестабілізуючих чинників;
вироблення і періодичне уточнення політики безпеки підприємства і програм у сфері економічної та інформаційної безпеки підприємства, планування і здійснення конкретних заходів щодо протидії і нейтралізації виявлених загроз;
створення нормативно-правової бази, необхідної для ефективного функціонування системи забезпечення інформаційної безпеки, удосконалення її організаційної структури;
комплексне кадрове, матеріальне, технічне, інформаційне та інше забезпечення життєдіяльності складових (структурних елементів) системи;
підготовка сил та засобів суб'єктів системи до їх застосування згідно з призначенням;
оцінка результативності дій щодо забезпечення економічної та інформаційної безпеки тощо.
Практика обґрунтування й прийняття рішень у сфері економічної безпеки підприємств у провідних держав світу ґрунтується на методах моделювання можливих сценаріїв розвитку обстановки та використанні систем підтримки прийняття рішень.
Розглянемо метод реагування на небезпеки і загрози, який носить назву описаного вище рефлексивного реагування, впровадження якого дасть змогу суттєво покращити процедуру обґрунтування альтернативних варіантів рішень у сфері забезпечення економічної та інформаційної безпеки підприємства.
На виконання функцій розроблення науково обгрунтованих пропозицій і рекомендацій щодо прийняття управлінських рішень з метою захисту економічних інтересів підприємства, запобігання та усунення впливу загроз і дестабілізуючих чинників в системі забезпечення економічної безпеки повинні бути задіяні такі функціональні складові:
моніторинг впливу на безпеку підприємства процесів, що відбуваються в політичній, соціальній, економічній, екологічній, науково-технологічній, інформаційній, воєнній та інших сферах, релігійному середовищі, міжетнічних стосунках;
прогнозування, виявлення та оцінка можливих загроз, дестабілізуючих чинників і конфліктів, причин їх виникнення та наслідків прояву;
розроблення науково обгрунтованих пропозицій і рекомендацій щодо прийняття управлінських рішень з метою захисту інтересів підприємства;
оцінювання відповідності розроблених пропозицій і рекомендацій чинній нормативно-правовій базі держави, угодам та зобов’язанням підприємства по відношенню до поставщиків, отримувачів продукції, правоохоронних органів тощо;
експертиза проектів рішень і прогнозування негативних наслідків у разі їх прийняття;
ситуаційне моделювання сценаріїв реалізації управлінських рішень по виконанню планів нейтралізації загроз;
оцінювання ефективності реалізації планів нейтралізації загроз за вибраними напрямами та їх оперативне корегування тощо.
Підключення визначених функціональних складових згідно методу здійснюється у послідовності, як це показано на узагальненій моделі функціонування системи забезпечення безпеки підприємства, рис.1, де позначено: ОУР-особа, що ухвалює рішення; R- управлінське рішення; Ф –фільтр; Е1, ..., Еs - ефективність реалізації плану по s вибраних напрямах діяльності.
По вхідній інформації про стан функціонування підприємства, хід реалізації його бізнес-діяльності з врахуванням впливу зовнішніх факторів та внутрішніх умов функціонування здійснюється моніторинг впливу процесів, що відбуваються в політичній, соціальній, економічній, екологічній, науково-технологічній, інформаційній, воєнній та інших сферах, релігійному середовищі, міжетнічних стосунках.
В процесі моніторингу по визначеним процедурам здійснюється виявлення небезпек і загроз та проводиться оцінка їх характеру, спрямованості, масштабу та рівня. З використанням відповідного науково-методичного апарату, який детально описано в підручнику (1.Богданович В.Ю. Основи національної безпеки / В.Ю.Богданович, В.Б.Толубко: Підручник.-К.ДУТ, 2014.-376 с.), здійснюється прогнозування впливу виявлених небезпек та загроз на забезпечення економічної безпеки підприємства та прогнозується інтегральне значення можливого зниження рівня безпеки стосовно кожного напряму діяльності, на основі якого розробляється пакет пропозицій щодо попередження, усунення та нейтралізації виявлених небезпек та загроз.
Розроблений пакет пропозицій доповідається особі, що ухвалює рішення (ОУР), яка в залежності від ситуації створює штаб оперативного реагування, віддає йому попередні розпорядження та ставить завдання щодо реагування на виявлені небезпеки та загрози.
Штаб оперативного реагування залучає необхідну кількість фахівців та експертів відповідних сфер, які під його керівництвом обґрунтовують найбільш доцільні з їх погляду варіанти рішень. Штаб також організовує незалежну експертизу проектів рішень. На даному етапі незалежність експертизи досягається тим, що виконавці експертизи не входять в штаб і не залучаються до розробки проектів рішень. Завданням експертизи є також прогнозування негативних наслідків аналізуємих варіантів рішень для різних сфер життєдіяльності підприємства.
Одним із найбільш відповідальних завдань штабу є відбір (фільтрація) лише тих варіантів рішень, які знаходяться в правовому просторі безпеки держави, являються найбільш результативними та не тягнуть за собою катастрофічних наслідків для підприємства, держави, суспільства та населення.
Відфільтровані варіанти рішень доповідаються ОУР. Із запропонованих варіантів ОУР відбирає найбільш доцільний з її точки зору варіант і приймає рішення на його впровадження.
Організаційні структури, на які покладаються функції реалізації управлінських рішень, розробляють генеральний план нейтралізації виявлених небезпек та загроз на основі ситуаційного моделювання і сценарного аналізу окремих етапів плану. Обов’язковим слід вважати побудову дерева сценаріїв і таблиці їх вибору в залежності від розвитку ситуації.
На основі розробленого генерального плану розробляються часткові плани (виписки) для кожного суб’єкта системи забезпечення економічної безпеки підприємства. Для контролю за якістю реалізації часткових планів організовуються відповідний моніторинг та оцінювання ефективності їх виконання у вибраних сферах та їх оперативне корегування штабом по принципу зворотнього зв’язку.
Цільова функція системи забезпечення економічної безпеки, що реалізує даний метод, полягає в виборі такого рішення в умовах появи нових небезпек та загроз, яке б мінімізувало шкоду від їх очікуваного впливу на рівень безпеки підприємства у визначених сферах з врахуванням вимог щодо безперервності бізнес-діяльності підприємства та діючих в системі фінансових, ресурсних та інших обмежень.
Таким чином, запропонований метод дозволяє в експрес режимі в короткі терміни та на якісному рівні:
оцінювати ситуацію і проводити аналіз взаємовпливу загроз на різних етапах їх зародження та діючих чинників, що визначають можливі сценарії розвитку ситуації;
виявити тенденції розвитку ситуацій і реальні наміри їх учасників;
визначити можливі механізми взаємодії учасників ситуації для досягнення її цілеспрямованого розвитку на користь підприємиства;
виробити і обґрунтувати напрями управління ситуацією на користь підприємства;
визначити можливі варіанти розвитку ситуації з урахуванням наслідків ухвалення найважливіших рішень і порівняти їх;
більш якісно вирішувати завдання щодо своєчасного виявлення небезпек та загроз безпеці підприємства та своєчасно надавати його керівництву достовірну, узагальнену, стратегічно орієнтовану інформацію щодо поточного рівня ефективності політики безпеки, прогнозувати тенденції їх змін у визначених сферах, готувати варіанти науково обґрунтованих рішень щодо попередження та нейтралізації зовнішніх і внутрішніх загроз.
2.1. Метод адаптації до зовнішньої загрози
Класичний рефлексивний метод реагування потребує значних фінансових затрат та ресурсів, які підприємство не завжди може собі дозволити. Як вже відзначалося, захист буде достатнім та економним, якщо він буде визначатися характером та рівнем загрози, тобто бути адаптивним до характеру та рівня загрози. Для цього необхідно правильно задавати параметри адаптації та визначити рівень безпеки, який необхідно забезпечити при організації протидії. Адаптація характерна для живих організмів та природи.
Адаптація — це динамічний процес, завдяки якому рухомі системи живих організмів, не дивлячись на мінливість умов, підтримують стійкість, необхідну для існування, розвитку і продовження роду. Саме механізм адаптації, вироблений в результаті тривалої еволюції, забезпечує можливість існування організму в постійно змінних умовах середовища.
Завдяки процесу адаптації досягається збереження гомеостазу при взаємодії організму із зовнішнім світом. В зв'язку з цим процеси адаптації включають не тільки оптимізацію функціонування організму, але і підтримку збалансованості в системі “організм-середовище”. Процес адаптації реалізується всякий раз, коли в системі “організм-середовище” виникають значущі зміни, і забезпечує формування нового гомеостатичного стану, який дозволяє досягати максимальної ефективності фізіологічних функцій і поведінкових реакцій. Оскільки організм і середовище знаходяться не в статичній, а в динамічній рівновазі, їх співвідношення міняються постійно, а отже, також постійно повинен здійснюється і процес адаптації.
Вищенаведене відноситься в рівній мірі і до людини і до суспільства. Проте істотною відмінністю людини є те, що вирішальну роль в процесі підтримки адекватних відносин в системі “ індивідуум-середовище”, в ході якого можуть змінюватися всі параметри системи, грає психічна адаптація.
Психічну адаптацію розглядають як результат діяльності цілісної самокерованої системи (на рівні “оперативного спокою”), підкреслюючи при цьому її системну організацію. Але при такому розгляді картина залишається не повною. Необхідно включити у формулювання поняття потреби. Максимально можливе задоволення актуальних потреб є, таким чином, важливим критерієм ефективності адаптаційного процесу. Отже, психічну адаптацію можна визначити як процес встановлення оптимальної відповідності особи і навколишнього середовища в ході здійснення властивої людині діяльності, який (процес) дозволяє індивідууму задовольняти актуальні потреби і реалізовувати пов'язані з ними значущі цілі, забезпечуючи в той же час відповідність максимальної діяльності людини, її поведінки, вимогам навколишнього середовища.
Психічна адаптація є суцільним процесом, який, разом з власне психічною адаптацією (тобто підтримкою психічного гомеостазу), включає ще два аспекти:
а) оптимізацію постійної взаємодії індивідуума з оточенням;
б) встановлення адекватної відповідності між психічними і фізіологічними характеристиками.
За аналогічним принципом організується адаптація до характеру та рівня загроз економічній безпеці підприємства.
Особливість методу полягає в тому, рис.2, що інформаційно-аналітичні структури, які проводять моніторинг, при виявленні загрози оцінюють її характер, масштаб, рівень та інші характеристики. Принциповим є прогнозування нанесення можливих збитків у окремих сферах життєдіяльності підприємства. Прогнозований рівень загрози порівнюється з вибраним з рівнем реагування. Якщо рівень загрози перевищує рівень реагування, то спеціальною групою, що проводить моніторинг, розробляється пакет пропозицій щодо усунення або нейтралізації виявленої загрози (або зниження її рівня). Обов’язковим при цьому є врахування необхідних ресурсів на нейтралізацію загрози. Якщо ресурсів достатньо, то процес реагування здійснюється аналогічно, як і по методу рефлексивного реагування, з тією різницею, що зворотній зв’язок заводиться в блок прогнозування впливу загроз на ефективність забезпечення економічної безпеки для відстеження ефективності реалізації прийнятого рішення за напрямами діяльності підприємства.
Різновидом методу адаптації до загрози є метод підтримки визначеного (запланованого) рівня безпеки (адаптація до визначеного (запланованого) рівня безпеки), який детально описано в підручнику.
Рекомендована лытература
1.Богданович В.Ю. Основи національної безпеки / В.Ю.Богданович, В.Б.Толубко: Підручник.-К.ДУТ, 2014.-376 с.
Професор В.Ю.Богданович
312
Моніторинг
Зовнішні фактори
Реаліза-ція плану в виб-раних сферах НБ
Внутрішні умови функціонування підприємства
Виявлення внутрішніх і зовнішніх загроз і оцінка їх рівня
Прогнозування впливу
загроз на ефективність забезпечення економічної безпеки
озробка пропозицій щодо нейтралізації загроз
Віддача
попередніх
розпоряджень. Створення штабу і постановка завдань щодо нейтралізації загроз
Ф
Експертиза проектів рішень і прогноз негативних наслідків у разі їх прийняття
Рішення
Постановка завдань суб’єк-там СЗНБ
Ситуаційне моделювання і формування сценаріїв реалізації
Розробка ген плану нейтралізації загрози
Нормативно-правова база підприємства та держави
Рис.1. Узагальнена модель функціонування системи забезпечення економічної безпеки держави
Обгрунтування варіантів рішенья
Вхідна інформація
Е1
Еs
R
R
ОПР
ОПР
Рівень загроз
Прогнозне значення зниження рівня економічної безпеки
320
Моніторинг
Зовнішні фактори
Внутрішні умови функціонування держави
Виявлення внутрішніх і зовнішніх загроз і оцінка їх рівня
Прогнозування впливу загроз на ефективність забезпечення національної безпеки
Розробка пропозицій щодо нейтралізації
загроз
Рис.2. Схема реагування системи забезпечення економічної безпеки з адаптацією до рівня загрози
Вхідна інформація
Е1
Еs
R
Ресурси
Uz ≥Kod
Такк
R
Ні
321