ІНТЕГРАЛЬНА ОЦІНКА РІВНЯ БЕЗПЕКИ

Проаналізовано структуру функціональних складових підприємства, акцентуючи увагу на ресурсному наповненні. Запропоновані рекомендації інтегрального оцінювання рівня безпеки підприємства, які сприяють формуванню її об’єктивної характеристики та розкривають стан безпеки окремих функціональних складових. Проведена апробація наданих рекомендацій на прикладі підприємства, результатом якої стало встановлення математичної залежності між загальним рівнем безпеки підприємства та її окремих складових. Розроблена математична модель дає можливість визначити стратегічні орієнтири щодо підвищення рівня безпеки на основі кількісних характеристик. На основі аналізу літературних джерел щодо забезпечення безпеки підприємства систематизовано методичні підходи до її визначення та оцінки рівня. Визначено переваги та недоліки існуючих методичних підходів з метою розробки концептуальних підходів для визначення та впровадження системи безпеки підприємств з урахуванням основних особливостей їх діяльності. Проаналізовані існуючи методичні підходи щодо оцінки системи безпеки підприємства дозволили умовно об’єднати їх у такі основні групи: індикаторний підхід; підхід оцінки стану складової діяльності підприємства; підхід заснований на прогнозуванні ; програмно-цільовий підхід; ресурсно-функціональний підхід; системний підхід; підхід на основі використання математичних методів та моделей; підхід на основі використання методу експертних оцінок; інші. Коротко охарактеризовано суть вищезгаданих методичних підходів оцінки стану та рівня безпеки підприємства.Розглянуто поняття інформаційні технології та здійснено їх класифікацію. Подана характеристика нових інформаційних технологійї та визначено їх особливості. Запропоновано перелік засобів інформаційних технологій, які знайшли найбільше застосування в підготовці майбутніх фахівців у вищих навчальних закладах[1-24].

Ключові слова: безпека, підприємство, інтегральний індекс, функціональний підхід, підприємства, оцінювання рівня безпеки, індикатори, тактична оцінка , фахівці, інформаційні технології, засоби, web-технології, хмарні технології, блоги.

Інформаційні технології нині торкаються всіх сфер діяльності людини, та, мабуть, найбільш важливий позитивний вплив вони мають на освіту, оскільки відкривають можливості для впровадження нових методів викладання і навчання. Стрімко наростаючий у світі інтерес до проблематики кіберпростору багато в чому пов’язаний з активністю найбільш розвинених країн світу в питаннях тактики і стратегії ведення збройної боротьби, а також забезпечення безпеки критично важливих об’єктів їхньої економіки від внутрішніх і зовнішніх інформаційних та кібернетичних загроз. І якщо сьогодні між провідними у військовому і економічному відношенні світовими державами зложився певний паритет в області застосування звичайних озброєнь і зброї масового ураження, у міжнародному праві зафіксовані основні принципи взаємин цих держав у рамках таких просторів, як наземне, морське, повітряне та космічне, то питання про міждержавний паритет і взаємини в кіберпросторі на теперішній час продовжують залишатися відкритими.Завдяки поєднанню досягнень у сфері новітніх інформаційно-комунікаційних технологій (ІКТ) із надбаннями, що постали на базі стрімкого розвитку інформаційно-телекомунікаційних систем (ІТC), сформувалися принципово нові глобальні субстанції — інформаційне суспільство, а також інформаційний та кібернетичний простори, які мають нині практично необмежений потенціал і відіграють провідну роль в економічному та соціальному розвитку кожної країни світу. Проте через небачене досі поширення ІКТ та ІТC світова спільнота отримала не лише численні переваги, а й цілу низку проблем, зумовлених дедалі більшою вразливістю інфосфери щодо стороннього кібернетичного впливу. Технології Веб справедливо називають соціальними сервісами мережі Інтернет, оскільки їх використання, зазвичай, здійснюється спільно в межах відповідної групи користувачів. Групи користувачів можуть утворювати цілі мережні співтовариства, які об’єднують свої зусилля для досягнення відповідної мети. До основних типів соціальних сервісів Web 2.0 відносять: блоги (мережні щоденники), вікі-енциклопедія, веб-журнал, засоби для збереження закладок, соціальні сервіси збереження мультимедійних ресурсів, карти знань. Соціальні геосервіси, соціальні пошукові системи Тому цілком природно постала необхідність контролю та подальшого врегулювання відповідних взаємовідносин, а отже, і невідкладного створення надійної системи кібернетичної безпеки. Натомість відсутність такої системи може призвести до втрати політичної незалежності будь-якої держави світу, бо йтиметься про фактичний програш нею змагання невійськовими засобами та підпорядкування її національних інтересів інтересам протиборчої сторони. Оскільки саме ці обставини відіграють останнім часом важливу роль у геополітичній конкуренції більшості країн світу, то забезпечення кібербезпеки та злагоди в кіберпросторі стає головним завданням нашої інформаційної епохи. У процесі формування глобального кіберпростору відбувається конвергенція військових і цивільних комп’ютерних технологій, у провідних закордонних державах інтенсивно розробляються нові засоби й методи активного впливу на інформаційну інфраструктуру потенційних супротивників, створюються різні спеціалізовані кібернетичні центри і підрозділи керування, основним завданням яких є підготовка й проведення активних деструктивних дій в інформаційних системах супротивника, а також захист власних систем від подібного впливу. Терміни й визначення із приставкою «кібер...» останнім часом широко використовуються як у міжнародних, так і у внутрішньодержавних дискусіях і документах. Кібернетика – це наука про загальні закономірності управління і передачі інформації в різних системах. Простір – це арена дій, контейнер для об’єктів, які розглядаються, сутність деякої системи. Таким чином, можна говорити, що кіберпростір – це простір для інформаційних об’єктів і подій. Як приклад можна навести об’єкти кіберпростору: сайт, веб-сторінка, аккаунт на форумі, електронний лист, відеоролик та інше; та події в кіберпросторі: діалог в чаті, поява статті, дискусії на форумах і в блогах, поява і зникнення нових сайтів, хакерська атака на сайт та інше. Для всіх цих подій і об’єктів не можна вказати, до якої країни вони належать, і навіть на якому сервері відбуваються (знаходяться). Наприклад, один веб-сайт може знаходитися на декількох серверах, хоча в кіберпросторі буде сприйматися як єдиний об’єкт. Крім того, деякі об’єкти кіберпростору можуть не існувати фізично на серверах, а генеруватися «на льоту» при запиті користувача. Найчастіше фізична структура сайту на сервері принципово відрізняється від логічної структури, яка доступна відвідувачеві сайту через кіберпростір. Взагалі, термін кіберпростір (cyber space), був вперше застосованим американським письменником-фантастом Уільямом Гібсоном, який використав його в новелі «Burning Chrome», опублікованій у 1982 році. Два роки поспіль автор розвивав цю тему й у своєму кіберпанковому романі 1984 року під назвою «Neuromancer» описав кіберпростір як «загальну, всеохоплюючу галюцинацію», яка не створена природою, а є штучною конструкцією із компонент, здатних змінюватися протягом часу і яку щодня бачать мільярди звичайних операторів у всьому світі. Ці процеси підпорядковуються двом простим, але дуже змістовним законам. Перший закон сформулював один із засновників корпорації Intel Гордон Мур: Кількість транзисторів у процесорах збільшуватиметься вдвічі протягом кожних півтора року. Цей закон фактично пояснює виникнення нових, специфічних за формою і способами функціонування суб’єктів та об’єктів інформаційної інфраструктури, гарантоване зростання швидкості обчислень і обсягів оброблюваної інформації, а також формування на рубежі тисячоліть інформаційного простору — глобального інформаційного середовища, яке в реальному масштабі часу забезпечує комплексну обробку відомостей про протиборчі сторони та їх навколишнє оточення з метою підтримання ухвалюваних рішень щодо створення оптимального задля досягнення поставлених цілей складу сил і засобів та їх ефективного застосування в різних умовах навколишньої обстановки. Другий закон належить Роберту Меткалфу — винахідникові мережі Інтернет: Цінність мережі перебуває у квадратичній залежності від кількості вузлів, що входять до її складу. Отже, цей закон констатує, що основу сучасного інформаційного суспільства становлять мережі різного функціонального призначення, сукупність і взаємозв’язок яких, власне, і створюють інформаційний простір [1-5], а також новітні інформаційно-телекомунікаційні (ІТ) технології, які останнім часом: 1) стали важливою складовою суспільного розвитку та розвитку світової економіки в цілому, змінивши значною мірою механізми функціонування багатьох суспільних інститутів та інститутів державної влади; 2) увійшли до групи найбільш істотних факторів, що впливають на формування сучасного високоорганізованого інформаційного середовища й дають змогу на якісно новому рівні інформаційного обслуговування як у віртуальному, так і в реальному просторі вести повсякденну оперативну роботу, здійснювати аналіз стану і перспектив діяльності інформаційно-аналітичних підрозділів, а також добувати вихідні дані, необхідні для ухвалення раціональних і науково-обґрунтованих управлінських рішень. Рівень сучасних технологій та виробництв сприяє стрімкій глобалізації та розвитку інформаційних та комунікаційних технологій, що у свою чергу налагоджує процес міжнародної співпраці у різних сферах. Проте виникає велика кількість загроз та зростає потреба забезпечення інформаційної безпеки. Найважливішим фактором у формуванні кіберпростору є наявність високошвидкісних інформаційних комунікацій. Успіх того чи іншого проекту в кіберпросторі у величезній мірі визначається таким показником, як швидкість завантаження сторінок. Чи стане певний сайт частиною кіберпростору залежить від того, чи доступний він через пошукові системи. Актуальність цієї теми обумовлена тим, що в сучасних умовах саме розвиток інформаційних технологій та рівень інформаційної кібербезпеки будуть визначати місце держави на міжнародномій арені. Найближчим часом залежність всіх сфер діяльності суспільства та держави від інформаційних систем буде тільки зростати і вимагати підвищення якості новітніх технологій. Раціональне управління інформаційною безпекою сприяє зростанню рівня конкурентоспроможності країни на світовому ринку, а також зростанню економічного потенціалу держави. Питання забезпечення інформаційної безпеки як складової національної безпеки та безпеки підприємства розглядають зарубіжні та вітчизняні вчені. У роботах здебільшого приділяють увагу таким питанням як: безпека комп’ютерних та інформаційних систем; забезпечення міжнародної інформаційної безпеки; забезпечення інформаційної безпеки держави та підприємств; ефективність інформаційної безпеки. Проте невирішеними залишаються питання зв’язку інформаційної кібербезпеки, а саме: вплив інформаційних факторів. Відмінною особливістю середовища World Wide Web є наявність засобів переходу від одного документа до іншого, тематично з ним пов’язаного, без явної вказівки адреси. Зв’язок між документами здійснюється за допомогою гіпертекстових посилань (або просто гіперпосилань). Гіперпосилання це виділений фрагмент документа (текст або ілюстрація), з яким асоційований адрес іншого Web-документа. При використанні гіперпосилання відбувається перехід за гіперпосиланням – відкриття Web-сторінки, на яку вказує посилання. Механізм гіперпосилань дозволяє організувати тематичну подорож по World Wide Web без використання (і навіть знання) адрес конкретних сторінок. Стрімка глобалізація суспільства сприяє зростанню значення інформаційної безпеки як для міжнародної спільноти, держави в цілому, так і окремо для секторів економіки, для підприємств та особистості. Одним із проявів наявності шкідливої програми може бути збільшена мережева активність. Шкідлива програма може відправляти листи, завантажувати інформацію з Інтернету, передавати комусь по мережі конфіденційну інформацію та багато іншого. При цьому необхідно пам’ятати, що легальні додатки також можуть використовувати Інтернет без дій користувача – наприклад, антивірусна програма може завантажувати оновлення бази сигнатур. Ось чому так важливо здійснювати контроль роботи мережі, а саме моніторинг і аналіз мережі. Незважаючи на те, що дані питання будуть розглядатися більш детально на наступних курсах, уже на даній лабораторній роботі розглядаються основи адресації в комп’ютерних мережах та використання декількох базових мережевих утиліт.Впровадження та позповсюдження новітніх технологій посприяло тому, що інформація перетворилася на економічну категорію, стала одним з найважливіших елементів ринку та фактором. Інформаційні впливи можуть спричиняти результат не відразу, а через тривалий час. Визначальним фактором життєдіяльності сучасного суспільства стає глобалізація інформаційних ресурсів.Тому важливими на цей час є питання, що належать до інформаційної сфери. А отже виникає необхідність забезпечення та регулювання інформаційної безпеки різних сфер дільності. Розглянемо характерні риси, які за останні роки найбільш чітко проявилися в сучасних вірусах: - найбільше поширення отримали мережеві хробаки; - віруси активно використовують уразливості в різних операційних системах і програмному забезпеченні; - для швидкого поширення вірусів використовуються спам-технології; - один вірус поєднує в собі безліч технологій: поліморфних, стелс, бекдор; - замість пересилання свого тіла по електронній пошті часто відправляється посилання на веб-сайт або на заражений раніше комп’ютер; - збільшується кількість вірусів для нових платформ: стільникових телефонів, смартфонів і комунікаторів, при цьому активно використовуються бездротові середовища передачі даних (Bluetooth, Wi-Fi). Непрофесіоналові важко виявити присутність вірусів на комп’ютері, оскільки вони вміло маскуються серед звичайних файлів. Саме тому далі розглянемо ознаки зараження комп’ютера, а також способи відновлення даних після вірусної атаки і заходи щодо запобігання їх ураження шкідливими програмами. Можна відзначити ряд ознак, що свідчать про зараження комп’ютера шкідливими програмами: - виведення на екран непередбачених повідомлень або зображень; - подача непередбачених звукових сигналів; - зміна дати і часу модифікації файлів - несподіване відкриття і закриття лотка DVD-ROM-пристрою; - довільний, без вашої участі, запуск на комп’ютері будь-яких програм; - зникнення файлів і каталогів або перекручування їхнього вмісту; - часті зависання і збої у роботі комп’ютера; - повільна робота комп’ютера; - неможливість завантаження ОС; - істотне зменшення розміру вільної оперативної пам’яті; - припинення роботи або неправильна робота програм, які раніше функціонували нормально; - зміна розмірів файлів; - несподіване значне збільшення кількості файлів на диску; - часте звертання до жорсткого диска (часто блимає лампочка на системному блоці); - Інтернет-браузер «зависає» або веде себе несподіваним чином (наприклад, вікно програми неможливо закрити); - при наявності на вашому комп’ютері міжмережевого екрану, поява попереджень про спробу будь-якої з програм вашого комп’ютера вийти в Інтернет, хоча ви це не ініціювали та інше. Але мало виявити той факт, що комп’ютерна система піддалася впливу шкідливого ПЗ, необхідно виявити та нейтралізувати джерело загрози. Для боротьби з вірусами використовується спеціальне програмне забезпечення – антивіруси. Для кращого розуміння, що таке антивірусне програмне забезпечення, далі розглянемо основні методи виявлення антивірусом своїх жертв. Об’єктами інформаційної безпеки можуть бути: свідомість, психіка людей; інформаційні системи різного масштабу і різного призначення. До соціальних об'єктів інформаційної безпеки звичайно відносять особистість, колектив, суспільство, державу, світове товариство. Отже, найбільшу загрозу вітчизняним установам і відомствам становить відчутна нестача професіоналів з інформаційної та кібербезпеки, здатних: відшукувати, збирати або добувати інформацію про ІТ-системи й мережі протиборчих сторін, а також про технології та засоби їхнього впливу на власну інфосферу; виявляти ознаки стороннього кібервпливу й моделювати можливі ситуації такого впливу, прогнозуючи відповідні наслідки; протидіяти несанкціонованому проникненню протиборчих сторін у власні ІТ-системи й мережі, забезпечуючи стійкість їхньої роботи, а також відновлення нормального функціонування після здійснення кібернападів тощо. Програми-фільтри (сторожа) являють собою невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп’ютера, характерних для вірусів. Такими діями можуть бути: - спроби корекції файлів з розширеннями СОМ і ЕХЕ; - зміна атрибутів файлів; - прямий запис на диск за абсолютною адресою; - запис в завантажувальні сектори диска; - завантаження резидентної програми. При спробі якої-небудь програми зробити зазначені дії «сторож» посилає користувачеві повідомлення і пропонує заборонити або дозволити відповідну дію. Програми-фільтри досить корисні, оскільки здатні виявити вірус на самій ранній стадії його існування до початку розмноження. Однак вони не «лікують» файли і диски. Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До недоліків програм-сторожів можна віднести їх «настирливість» (наприклад, вони постійно видають попередження про будьяку спробу копіювання виконуваного файлу), а також можливі конфлікти з іншим програмним забезпеченням.

Ефективність роботи установи, підприємства, компанії, організації безпосередньо залежить від якості і оперативності управління виробництвом (бізнес-процесами). У сферу управління включаються різні ресурси – інформація, персонал, технологічні процеси, техніка. Загальновизнаним стратегічним чинником зростання конкурентоспроможності компанії є ефективне застосування інформаційних технологій (ІТ). При цьому застосування ІТ немислимо без підвищеної уваги до питань кібер- і інформаційної безпеки. Руйнування інформаційного ресурсу, його тимчасова недоступність або несанкціоноване використання можуть завдати організації значних матеріальних збитків. Для організацій, комп'ютерні мережі яких налічують не один десяток комп'ютерів з різними апаратними платформами, програмним забезпеченням, операційними системами, додатками тощо, на перше місце виступає завдання управління безліччю різноманітних захисних механізмів в таких гетерогенних корпоративних мережах. Складність мережевої інфраструктури, різноманіття даних і додатків призводять до того, що при реалізації системи інформаційної безпеки за межами уваги адміністраторів безпеки можуть виявитися багато загроз. Тому необхідне здійснення надійного і ефективного управління комп'ютерними мережами і засобами мережевої безпеки. На перший план при вирішенні задач забезпечення інформаційної і кібербезпеки, а також приватності виходить створення системи управління інформаційною безпекою (СУІБ), яка охоплює всю інфраструктуру компанії. СУІБ дозволяє (надає можливості) [1-7]: - централізовано і оперативно надавати керуючі впливи на всю інформаційну інфраструктуру; - проводити регулярний аудит і всеохоплюючий моніторинг, що дає об'єктивну інформацію про стан кібер- і інформаційної безпеки для прийняття оперативних рішень; - накопичувати статичні дані про роботу інформаційної інфраструктури для прогнозування її розвитку; - оцінювати ризики інформаційної безпеки. Управління ризиками безпеки та приватності вимагає участі всієї організації – від старших керівників, які визначають стратегічне бачення, цілі та задачі для організації найвищого рівня, до керівників середнього рівня, які здійснюють планування, виконання та управління проєктами, та осіб, які розробляють, впроваджують, використовують і підтримують системи і процеси. Інтегральна оцінка є синтетичною величиною, усіх показників, що їх характеризують. Чим ближче значення інтегрального показника до одиниці, тим менше неузгодженість між значеннями характеристик та їхніми еталонними значеннями і тим нижче рівень витрат досліджуваного підприємства. Основними методичними принципами та властивостями формування системи показників індикаторів для розрахунку інтегральної оцінки за звітністю підприємств мають бути визнані такі, як адекватність системи показників завданням дослідження, тобто можливість за їх допомогою забезпечити побудову інтегральної оцінки стану економічних систем; наявність інформаційного забезпечення для розрахунку значення показників, проведення динамічного і просторового порівняльного аналізу. Економічна безпека підприємства досить складне поняття, яке проявляється в різних аспектах діяльності підприємства. Якщо розглядати підприємство як динамічну систему, то безпека - це необхідна умова, що дозволяє даній системі працювати ефективно: гарантувати стабільне функціонування і розвиток підприємства, попереджати і нейтралізувати можливі зовнішні і внутрішні загрози навіть при найгірших варіантах їх прояву внаслідок його ефективності і конкурентоспроможності.

Питаннями інтегрального оцінювання рівня безпеки підприємства присвячені роботи багатьох вітчизняних та іноземних вчених, зокрема О. Барановського, І. Бланка, Є. Бухвальда, О. Василика, Т. Вахненко, Є. Ведути, А.Гальчинського, А.Городецького, М. Єрмошенка, Б. Кваснюка, Л. Кистерського та ін. Але недостатньо повно сформовані моделі управління впливів щодо формування системи фінансової безпеки підприємств. Але якщо розглядати інтегральний показник визначення рівня фінансової безпеки підприємств стосовно визначених методичних принципів його побудови, то є підстави говорити, що на сьогодні не запропонована система показників для інтегрального дослідження рівня господарської діяльності підприємств на підставі інформаційних ресурсів статистичної звітності респондентів[10-17].

Метою є здійснення інтегрального оцінювання рівня безпеки підприємств. Визначення оцінки безпеки підприємництва ґрунтується на принципі комплексності, який передбачає: - виявлення критеріїв оцінки; - розробку показників і виділення їх в групи; - виявлення взаємозв'язків між групами показників різних критеріїв оцінки безпеки підприємництва; - встановлення граничних значень показників.

Алгоритми розрахунку інтегральних показників можуть бути описані за допомогою детермінованих і стохастичних методів. Найпростіші методи: середня арифметична стандартизованих значень; бальна оцінка; сума фактичних показників; геометрична середня; сума місць; сума відстаней до величини еталону тощо. Успішному застосуванню методики перешкоджає виняткова особливість українських підприємств щодо тіньової діяльності, значних демографічних змін в динаміці та збитковості; параметри моделей, розраховані на моментних та інтервальних показниках поточного періоду, призводять до того, що реальні показники в динаміці не мають нічого спільного з тими, які використовувались для побудови алгоритму [5— 14].Міжнародна інформаційна безпека - характеризується, як взаємодія учасників міжнародних відносин для підтримання тривалого миру на основі захисту світового кіберпростору разом із засобами масової інформації, глобальної інфраструктури та суспільної свідомості від реальних інформаційних загроз. Інформаційна безпека, як складова національної безпеки – стан захищеності життєво важливих інтересів людини, суспільства і держави, коли запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації. Інформаційна безпека, як складова безпеки підприємства – діяльність керівництва підприємства з використанням дозволених сил і засобів по досягненню стану захищеності інформаційного середовища організації, що забезпечує нормальне функціонування розвиток підприємства. Але інформаційна безпека на сьогодні це не лише забезпечення безпеки інформації, яка зберігається на електронних носіях, серверах чи персональних пристроях. Також інформаційна безпека регулюється рядом наступних міжнародних стандартів та норм: CoBiT (Control Objectives for Information and Related Technology), ITIL (Information Technology Infrastructure Library), ISO/IEC 27001:2005, ISO/IEC 17799, ISO/IES 15408.

Механізми управління інформаційною безпекою суттєво відстають у розвитку від сучасного рівня інформатизації, що сприяє зростанню рівня кіберзлочинності, яка у свою чергу спричиняє важкі, а іноді й незворотні наслідки для держави, підприємства, суспільства, особи. У глобальному плані спостерігається широкий діапазон кіберзлочинів, які включають злочини, що здійснюються в цілях отримання фінансової вигоди, злочини, пов’язані з використанням інформації, яка міститься в комп’ютері, а також злочини, спрямовані проти конфіденційності, цілісності та доступності комп’ютерних систем. Найбільш відмітними ознаками кіберпростору як субстанції, створенню якої сприяли передусім такі чинники: зміна характеру діяльності людини з ухвалення рішень; упровадження електронно-цифрових форм створення, обробки, зберігання та переміщення інформації, перехід від паперового діловодства до електронного тощо,— абсолютна більшість фахівців вважає його неперевершені можливості зі створення незлічених зв’язків між окремими індивідами і соціальними групами та з надання різнопланових інформаційних послуг. З урахуванням характерних особливостей кіберпростору як сфери вчинення заздалегідь спланованих деструктивних дій на кшталт проникнення в ІТС один одного, блокування або виведення з ладу найбільш уразливих елементів цих систем, дезорганізації оборонних автоматизованих систем управління (АСУ) протилежної сторони, систем управління її транспортом і енергетикою, економікою й фінансовою системою тощо і своєрідної сполученої ланки між такими поняттями, як інтернет і кібернетика, усе це, у свою чергу, дає змогу: • виокремити в цьому просторі систему певних відношень між суб’єктами та об’єктами інформаційної й кібернетичної інфраструктури; • схарактеризувати злочини, втручання і загрози, пов’язані з особливостями існування та передавання інформації; • визначитись із можливими його дійовими особами [7-13]; • розглядати кіберпростір із позицій власне віртуального і реального (електронного, комунікаційного, кібернетичного, інформаційного, особливого психологічного) тлумачення як додатковий вимір бойового простору, розрізняючи при цьому фізичний, семантичний і синтаксичний рівні тощо. Таким чином, на сьогоднішній день перелік доступних антивірусних програм досить широкий. Вони розрізняються як за ціною (від достатньо дорогих – комерційних до абсолютно безкоштовних), так і по своїм функціональним можливостям. Найбільш потужні (і, як правило, найбільш дорогі) антивірусні програми являють собою насправді пакети спеціалізованих утиліт (багатофункціональні програмні комплекси), здатних при спільному їх використанні виявляти, лікувати (видаляти) віруси, а також перешкоджати їх проникненню на комп’ютер. Сучасні антивіруси можуть працювати в двох режимах. В режимі монітора антивірус постійно працює, відстежуючи всі звернення до файлів, вклинюючись в цей процес і перевіряючи ці файли на предмет зараження. Таким чином, при першій спробі вірусу активувати антивірус блокує цю спробу і видає попередження. При використанні режиму монітора робота комп’ютера сповільнюється (так як частина обчислювальних ресурсів витрачається на роботу антивірусу, а будь-яке звернення до файлів і деяким іншим об’єктам супроводжується процедурою сканування). Крім того, якщо на комп’ютері присутні заражені файли, які не проявляють активності і звернення до них не відбувається, вони залишаться непоміченими. В режимі сканера антивірус перевіряє всі файли в заданій області (певний каталог, розділ жорсткого диска або всі пристрої зберігання інформації) і видаляє/лікує заражені (або просто сповіщає про них – в залежності від налаштувань сканера). Перевірка всіх даних на комп’ютері може зайняти значний час (кілька годин). Крім того, вірус може потрапити в систему відразу після сканування. Для надійного захисту рекомендується застосування обох режимів: постійна робота антивірусу в режимі монітора і регулярна (наприклад, раз в тиждень) перевірка всіх даних за допомогою сканера (зазвичай сканування запускається на ніч). Однак необхідно відзначити, що 100 % захисту жодне антивірусне ПЗ не забезпечує. Це пов’язано з тим, що будь-який розробник антивірусного ПЗ може оновити свою вірусну базу лише після того, як хтось з постраждалих надішле файл заражений раніше невідомим вірусом. Після цього потрібно ще деякий час для аналізу та створення сигнатури, за допомогою якої можливе знешкодження нового вірусу і час на оновлення антивірусних баз користувачів. У кращому випадку це приблизно 12 годин, за які новий вірус може встигнути поширитися по мережі Інтернет. Але, тим не менш, застосовувати антивірусне ПЗ необхідно, тому що крім нових вірусів система Інтернет наповнена великою кількістю старих вірусів, від яких вже захист є гарантованим. До найбільш потужних і популярних антивірусних пакетів сьогодення відносяться: антивірус Касперського (AVP), Doctor WEB, NOD32, Norton Antivirus корпорації Symantec, McAfee VirusScan від компанії Network Associates, Panda Antivirus, Avast! Antivirus (останній є безкоштовним для домашнього використання). Для підключення будь-якої організації до мережі Інтернет необхідно прийняти ряд певних організаційно-технічних заходів для її захисту. При побудові захисту варто враховувати, що будь-який захист ускладнює використання системи за прямим призначенням, обмежує функціональні можливості, споживає обчислювальні й трудові ресурси, а також, вимагає певних фінансових витрат на створення та експлуатацію. Таким чином, можна стверджувати наступне: чим надійніший захист, тим дорожчою у побудові та обслуговуванні стає система і тим менш вона зручна для безпосередніх користувачів. Тому, захищаючи мережу, варто виходити з доцільної вартості захисту. Тобто витрати на захист повинні бути пропорційні цінності ресурсів, які підлягають захисту. В зв’язку з цим, далі буде розглянуто ряд основних принципів, що дозволяють організувати досить безпечне підключення до мережі Інтернет порівняно простими засобами. В більшості випадків, організації потрібно мати у себе деякі мережні ресурси, до яких відкритий доступ з мережі Інтернет. Як правило, це поштовий, dns і web-сервери. Механізм їх роботи допускає, що до них повинен бути дозволений вільний або слабко обмежений обіг з Інтернету. Відповідно ймовірність їх зламу вища, ніж інших комп’ютерів мережі. Із цієї причини розміщати їх усередині зони, що захищається, недоцільно з погляду безпеки, тому що у випадку зламу вони можуть стати воротами для атаки внутрішніх комп’ютерів. Для мінімізації ризику і збереження функціональності такі сервери встановлюють за основним шлюзом мережі, але перед міжмережевим екраном, що забезпечує захист внутрішніх комп’ютерів. Інформаційні технології реалізуються засобами обчислювальної техніки та програмного забезпечення, що гарантує високу швидкість обробки інформації, її пошук, розподіл даних та доступ до джерел інформації, незалежно від місця розташування і сприяє досягненню поставленої користувачем мети. З даним твердженням погоджується І. Роберт і визначає, що під засобами інформаційних і комунікаційних технологій розуміє "програмні, програмноапаратні й технічні засоби й обладнання, що функціонують на базі засобів мікропроцесорної обчислювальної техніки, а також сучасних засобів і систем транслювання інформації, інформаційного обміну, що забезпечують операції зі збору, накопиченню, обробці, зберіганню, продукуванню, передачі, використанню інформації, а також можливість доступу до інформаційних ресурсів комп'ютерних мереж [10-23].

Склад і наповнення зазначених процесів залежить від використовуваної методики оцінки та управління ризиками: Організація повинна визначити та застосовувати процес оброблення ризиків інформаційної безпеки задля: a) вибору доречних опцій оброблення ризиків інформаційної безпеки з урахуванням результатів оцінки ризиків; б) визначення всіх заходів безпеки, які необхідно впровадити для вибраної(-их) опції(- ій) оброблення ризиків; в) порівняння визначення заходів безпеки з наведеними в додатку A [2-9], і підтвердження, що не було опущено потрібних заходів безпеки; г) підготовки щодо застосовності, яке містить: - необхідні заходи безпеки; - обґрунтування для їх застосування; - впровадження необхідні заходи безпеки чи ні; - обґрунтування для виключень заходів безпеки, наданих у додатку A [2-12] «Цілі заходів безпеки та заходи безпеки» стандарту; д) розробку плану оброблення ризиків інформаційної безпеки; е) отримання від власників ризиків підтвердження плану обробки ризиків інформаційної безпеки та згоди на залишкові ризики інформаційної безпеки. Метою статті є уточнення методичних рекомендації до інтегрального оцінювання рівня безпеки підприємства на основі ресурсно-функціонального підходу та його апробація в умовах реального суб’єкту підприємницької діяльності. Виклад основного матеріалу дослідження. Економічна безпека підприємства є складним та багатогранним поняттям, внаслідок чого окремі дослідники та практики акцентують увагу на різних аспектах оцінювання. Думки різняться як відносно переліку показників, що характеризують економічну безпеку суб’єкта господарювання, так і відносно можливостей використання того чи іншого підходу до її оцінювання. Як зазначає Г.В. Козаченко [2-14], найбільш розповсюдженими підходами є функціональний, індикаторний і експертний, в основу яких покладено використання різних інструментальних баз, та які характеризуються певними перевагами і недоліками. Деякими виділяється ресурсно-функціональний підхід, який досліджує економічну безпеку підприємства як стан найбільш ефективного використання корпоративних ресурсів для забезпечення стабільного функціонування організації в даний час і в майбутньому [12-24]. Переваги останнього підходу полягають в його комплексному характері, врахуванні найбільш вагомих факторів, що обумовлюють стан функціональної складової економічної безпеки організації, можливості аналізу розподілу і використання ресурсів підприємства. Таким чином, відповідно до ресурсно-функціонального підходу рівень економічної безпеки є інтегральною величиною, яка характеризує ефективність використання ресурсів за функціональними підсистемами суб’єкту господарювання, а тому максимізація загального рівня економічної безпеки підприємства досягається шляхом максимізації безпеки кожної окремої функціональної складової. Відправним моментом у визначенні рівня економічної безпеки підприємства є встановлення цілей здійснюваного оцінювання. Відповідно до мети формуються завдання, які мають бути виконані під час проведення оцінки, також визначається суб’єкт та об’єкт оцінювання, тобто виконується підготовчий етап. На наступному кроці в залежності від встановленої цілі та наявної інформації уточнюється система індикаторів, яка має характеризувати усі сфери функціонування підприємства та сприяти своєчасному виявленню проблемних місць за рахунок визначення величини відхилень фактичних значень показників від їх оптимальних значень. Проведений аналіз літературних джерел щодо структури та змісту основних функціональних підсистем підприємства засвідчив, що думки авторів різняться як відносно кількості та назв підсистем, які виокремлюються, так і щодо показників, що характеризують стан підсистеми. Слід зауважити, що кількість та пріоритетність функціональних підсистем, що виокремлюються, може різнитися в залежності від підприємства внаслідок специфіки його діяльності, характеру існуючих загроз та факторів зовнішнього середовища. У загальному випадку в якості основних функціональних складових доцільно, насамперед, виділяти фінансову, кадрову та виробничо-технічну, оскільки саме зазначені підсистеми найбільшою мірою розкривають стан та ефективність використання основних видів ресурсів фінансових, трудових та матеріально-технічних, що використовуються в підприємницькій діяльності. Таким чином, враховуючи сучасні досягнення інтегрального оцінювання економічних процесів, та адаптуючи їх до рівня окремого суб’єкту господарювання, методичні рекомендації відносно визначення рівня економічної безпеки підприємства на основі ресурсно-функціонального підходу. На основі розробленої економіко-математичної моделі, що характеризує рівень економічної безпеки підприємства, є можливою коректна ідентифікація стану економічної безпеки, прогнозування розвитку як окремих ресурсно-функціональних складових, так і суб’єкту господарювання в цілому та визначення стратегічних орієнтирів підприємства на основі науково обґрунтованих кількісних характеристик. Апробацію вищенаведених методичних рекомендацій можна ілюструвати на прикладі енергетичної компанії, яка забезпечує повний цикл енергопостачання, на основі даних публічної інформації, розміщених на сайті Агентства з розвитку інфраструктури фондового ринку України. Розраховані динамічні ряди індикаторів, , виступають вихідною інформацією для визначення вектора граничних значень і проведення подальших процедур нормування та згортання індикаторів для формування економіко-математичної моделі, що описує рівень економічної безпеки підприємства. На основі визначених векторів та інтегральних індексів (першої і другої згортки) встановлюється стан економічної безпеки підприємства в цілому, та його окремих складових. За результатами розрахунків, стан безпеки підприємства що перебуває на межі оптимальної та граничної зон. Така ситуація обумовлена, в першу чергу, незадовільним станом безпеки фінансових ресурсів, що мали найбільший вплив на формування загальної безпеки підприємства. На поліпшення стану цієї складової у першу чергу має бути спрямована стратегія забезпечення економічної безпеки підприємства. Методологія визначення оцінки ризиків може бути якісною або кількісною, або деякою комбінацією. Якісна оцінка дуже часто використовується для отримання загального рівня ризику і виокремлення головних ризиків. При якісному підході не використовуються кількісні або грошові вираження для об'єкта оцінки. Замість цього об'єкту оцінки присвоюється показник, що проранжовано за трибальною (низький, середній, високий), п'ятибальною або десятибальною шкалою (0...10). Для збору даних при якісній оцінці ризиків застосовуються опитування цільових груп, інтерв'ювання, анкетування, особисті зустрічі. При кількісному підході всім елементам оцінки ризиків привласнюють конкретні і реальні кількісні значення. Об'єктом оцінки може бути цінність активу в грошовому вираженні, ймовірність реалізації загрози, збитки від реалізації загрози, вартість захисних заходів та ін. Кількісний підхід до оцінки ризиків може включати такі етапи: 1. Визначити цінність інформаційних активів в грошовому вираженні. 2. Оцінити в кількісному вираженні потенційний збиток від реалізації кожної загрози щодо кожного інформаційного активу. 3. Визначити ймовірність реалізації кожної із загроз ІБ. Для цього можна використовувати статистичні дані, опитування співробітників і зацікавлених осіб. У процесі визначення ймовірності розрахувати частоту виникнення інцидентів, пов'язаних з реалізацією даної загрози ІБ за контрольний період (наприклад, за один рік). 4. Визначити загальний потенційний збиток від кожної загрози щодо кожного активу за контрольний період. Значення розраховується шляхом множення разового шкоди від реалізації загрози на частоту реалізації загрози. 5. Провести аналіз отриманих даних по збитку для кожної загрози. Ідентифікація критеріїв ризику визначає прийняття рішень щодо характеру можливих наслідків та способу їх вимірювання. При визначенні критеріїв необхідно визначити, за якими критеріями прийматимуться рішення щодо необхідності оброблення ризику та критерії, за якими будуть прийматися рішення щодо допустимості чи прийняття ризику. Наявні на сьогодні методи оцінки ризиків в переважній кількості засновані на статистичних підходах. У більшості країн подібна статистика не ведеться, як на державному рівні, так і на рівні підприємств. Саме це обмежує можливості засобів оцінки, наприклад відсутність інформації для використання вхідних даних для оцінки ризику. Загальне оцінювання ризику дає змогу впроваджувати необхідні міри на рівні підрозділів, проєктів, конкретних ризиків або на рівні організації в цілому. Після завершення загального оцінювання ризику провадять обробляння ризику, що передбачає прийняття заходів, які дають можливість зменшити ймовірність виникнення ризиків та їх вплив на систему. Ризики інформаційної безпеки характеризуються двома параметрами: потенційним збитком для організації та ймовірністю реалізації. Використання для аналізу ризиків сукупності цих двох характеристик дозволяє порівнювати ризики з різними рівнями шкоди і ймовірності, приводячи їх до вигляду зрозумілому для осіб, котрі приймають рішення щодо мінімізації ризиків в організації. Проведені дослідження дозволяють сформулювати критерії вибору методів оцінки і управління ризиками інформаційної і кібербезпеки: – наявність науково-методичного обґрунтування методу для оцінки і управління ризиками; – відповідність вимогам сучасних стандартів і нормативних документів у сфері створення систем управління інформаційною безпекою; – простота проведення заходів з оцінки ризиків (ОР) із можливістю залучення на окремих етапах ОР вузькоспеціалізованих фахівців; – можливість застосування принципів системності та використання засобів структурного аналізу і автоматизованих методів прийняття рішень; – можливість адаптації методу ОР до вимог організації залежно від її типу та розміру; – можливість отримання результатів щодо ОР у якісному та кількісному представленні; – можливість збору інформації, що буде вихідним матеріалом формування (редагування) концепції та розробки політики інформаційної і кібербезпеки Організації, робіт з ОР, – наявність програмного забезпечення для обробки результатів у повному обсязі із зрозумілим та дружнім інтерфейсом; – структурованість та модульність складових методу; – наявність модулю економічного підрахунку вартості проведення ОР та впровадження системи управління інформаційною безпекою; – наявність модулю економічного обґрунтування доцільності впровадження заходів захисту; – придатність до застосування як в існуючих інформаційних системах (ІС), так і для ІС, що розробляються; – наявність шаблонів для звітних документів; – наочність результатів проведення ОР для Замовника; – наявність каталогів: загроз, типів інформації, порушників, заходів захисту із встановленими на множинах відносинах причино-наслідкового зв’язку та інші. Оцінка загроз і вразливостей (Threat and Vulnerability Assessment). На додаток до оцінки критичності ІТ-активів важливою частиною методології CRAMM є оцінка ймовірності загроз і вразливостей ІТ-активів. Методологія CRAMM містить таблиці, що описують відповідність між уразливими ІТ-активів і погрозами, які можуть впливати на ІТ-активи через ці уразливості. Також є таблиці, що описують збиток для ІТ-активів в разі реалізації цих загроз. Даний етап виконується тільки для найбільш критичних ІТ-активів, для яких недостатньо впровадження базового набору заходів забезпечення інформаційної безпеки. Визначення актуальних вразливостей і загроз проводиться шляхом інтерв'ювання осіб, відповідальних за адміністрування та експлуатацію ІТ-активів. Для інших ІТ-активів методологія CRAMM містить набір необхідних базових заходів забезпечення інформаційної безпеки На основі результатів обчислення ризику методологія CRAMM визначає необхідний набір заходів щодо забезпечення інформаційної безпеки. Для цього використовується спеціальний каталог, що включає близько чотирьох тисяч заходів. Рекомендований методологією CRAMM набір заходів порівнюється з заходами, які вже прийняті організацією. В результаті ідентифікуються області, які потребують додаткової уваги в частині застосування заходів захисту, і області з надлишковими заходами захисту[19-24]. Дана інформація використовується для формування плану дій зі зміни складу застосовуваних в організації заходів захисту – для приведення рівня ризиків до необхідного рівня. Методологія CRAMM у значній мірі відповідає критеріям, це, насамперед: – є універсальною і підходить для організацій як державного, так та комерційного сектору; – використовує кількісні і якісні способи оцінки ризиків; – розроблені комерційні програмні продукти, що реалізовують положення CRAMM; – наявність зрозумілого формалізованого опису методології зводить до мінімуму можливість виникнення помилок при реалізації процесів аналізу, оцінки та управління ризиками; – наявність засобів автоматизації аналізу ризиків дозволяє мінімізувати трудовитрати і час виконання заходів з аналізу та управління ризиками; – наявність каталогів загроз, порушників, вразливостей, наслідків, заходів забезпечення інформаційної безпеки, що спрощує вимоги до спеціальних знань і компетентності безпосередніх виконавців заходів з аналізу, оцінки та управління ризиками. Зазначена методологія має і суттєві обмеження для застосування, які обумовлені такими чинниками: – висока складність і трудомісткість збору вихідних даних, що вимагає залучення значних ресурсів усередині організації або ззовні; – великі витрати ресурсів і часу на реалізацію процесів аналізу та управління ризиками інформаційної безпеки; – залучення великої кількості зацікавлених осіб вимагає значних витрат на організацію спільної роботи, комунікацій усередині проєктної команди і узгодження результатів; – неможливість оцінити ризики в грошах ускладнює використання результатів оцінки ризиків ІБ при техніко-економічному обґрунтуванні інвестицій, необхідних для впровадження засобів і методів захисту інформації. CRAMM широко застосовується як в урядових, так і в комерційних організаціях по всьому світу, будучи фактично стандартом управління ризиками інформаційної безпеки в Великобританії. Методика може бути успішно застосована у великих організаціях, орієнтованих на міжнародну взаємодію і відповідність міжнародним стандартам управління, які здійснюють початкове впровадження процесів управління ризиками інформаційної безпеки для покриття ними всієї організації відразу. При цьому організації повинні мати можливість виділення значних ресурсів і часу для застосування CRAMM. На першому етапі, в межах практичних семінарів, здійснюється розроблення профілів загроз, що містять інвентаризацію та оцінку цінності активів, ідентифікацію застосовних вимог законодавства та нормативної бази, ідентифікацію загроз та оцінку їх ймовірності, а також визначення системи організаційних заходів з підтримки режиму інформаційної безпеки. На другому етапі проводиться технічний аналіз вразливостей систем організації щодо загроз, чиї профілі розроблено на попередньому етапі, який містить ідентифікацію наявних вразливостей компанії та оцінювання їх величини. На третьому етапі виконується оцінка та оброблення ризиків інформаційної безпеки, що містить визначення величини та ймовірності завданої шкоди внаслідок реалізації загроз ІБ з використанням вразливостей, які ідентифіковано на попередніх етапах, визначення стратегії ІБ, а також вибір варіантів і прийняття рішень з оброблення ризиків. Величина ризику визначається як середнє значення річних втрат компанії в результаті реалізації загроз інформаційної безпеки (ІБ). При реалізації функції і процесу управління ризиками в організації методологія виділяє наступні компоненти, що впливають як на ризики інформаційної безпеки, так і на процес управління ними: – принципи, політики, процедури організації; – процеси; – організаційна структура; – корпоративна культура, етика і правила поведінки; – інформація; – ІТ-сервіси, ІТ-інфраструктура і додатки; – люди, їх досвід і компетенції. Основним елементом аналізу та управління ризиками інформаційної безпеки відповідно до методології є ризикові сценарії. Кожен сценарій являє собою опис події, яка в разі виникнення, може привести до невизначеного позитивного або негативного впливу на досягнення цілей організації[17-24]. Методологія містить більше 100 ризикових сценаріїв, що охоплюють такі категорії впливу: – створення та обслуговування портфелів ІТ-проєктів; – управління життєвим циклом програми/проєкту; – інвестиції в ІТ; – експертиза і навички персоналу ІТ; – операції з персоналом; – інформація; – архітектура; – ІТ-інфраструктура; – програмне забезпечення; – неефективне використання ІТ; – вибір і управління постачальниками ІТ; – відповідність нормативним вимогам; – геополітика; – крадіжка елементів інфраструктури; – шкідливе програмне забезпечення; – логічні атаки; – техногенне вплив; – довкілля; – природні явища; – інновації.

Використання такої методики передбачає такі етапи: – опис характеристик системи; – ідентифікація загроз; – ідентифікація вразливостей; – аналіз наявних засобів/заходів захисту; – визначення значення ймовірності; – аналіз впливу; – визначення значення ризику; – вибір засобів/заходів захисту; – документування отриманих результатів. Запропоновані рекомендації сприяють формуванню об’єктивної характеристики безпеки підприємства, яка наочно розкриває стан ресурсно-функціональних складових і динаміку їх відхилень від оптимальних інтегральних значень, та дозволяє визначити обґрунтовані кількісні орієнтири для досягнення необхідного рівня економічної безпеки. Проведена ідентифікація стану безпеки підприємства на основі запропонованих рекомендацій підтвердила доцільність врахування вагомості кожної складової та динаміки відхилень інтегральних індексів від вектору інтегральних граничних значень функціональних складових при визначенні стратегічних орієнтирів. Таким чином, поряд з безсумнівними достоїнствами, пов'язаними з простотою інтерпретації отриманих результатів, дана методика має низку недоліків. Так, наприклад, відсутні рекомендації щодо формування системи оціночних показників; не визначені види локальних функцій; для оцінки загального рівня безпеки використовується лінійна модель, що не завжди адекватно описує динаміку аналізованих процесів. Критичні значення вихідних показників визначаються, виходячи з умови мінімально припустимого рівня безпеки, подолання якого означало б перехід підприємства в небезпечну зону. Цей підхід дає можливість провести аналіз різнорідних факторів, що визначають стан підприємства і тенденцій його розвитку. Відповідно до фактичних значень показників і величини їхнього відхилення від граничних значень стан підприємства можна характеризувати як: нормальний, коли індикатори безпеки знаходяться в межах граничних значень; передкризовий, коли перевищуються граничні значення хоча б одного з індикаторів; кризовий, коли спостерігається бар'єрне значення більшості основних індикаторів; критичний, коли порушуються всі бар'єри — як основні, так і другорядні. Для кожного ризикового сценарію в методології визначено ступінь його приналежності до кожного типу ризиків: – стратегічні ризики – ризики, пов'язані з втраченими можливостями використання ІТ для розвитку та підвищення ефективності основної діяльності організації; – проєктні ризики – ризики, пов'язані з впливом ІТ на створення або розвиток існуючих процесів організації; – ризики управління ІТ та надання ІТ-сервісів – ризики, пов'язані із забезпеченням доступності, стабільності і надання користувачам ІТ-сервісів з необхідним рівнем якості, проблеми з якими можуть привести до збитку для основної діяльності організації. Кожен ризиковий сценарій містить наступну інформацію: – тип джерела загрози – внутрішній/зовнішній; – тип загрози – зловмисні дії, природне явище, помилка і ін. ; – опис події – доступ до інформації, знищення, внесення змін, розкриття інформації, крадіжка та ін. ; – типи активів (компонентів) організації, на які впливає подія – люди, процеси, ІТ-інфраструктура та ін. ; – час події. У разі реалізації ризикового сценарію діяльності організації завдається шкода. Таким чином, при аналізі ризиків інформаційної безпеки відповідно до методології COBIT for Risk проводиться виявлення актуальних для організації ризикових сценаріїв і заходів зниження ризиків, спрямованих на зменшення ймовірності реалізації цих сценаріїв. Для кожного з виявлених ризиків проводиться прийняття одного з рішень щодо обробки ризику: – уникнення ризику; – прийняття ризику; – передача ризику; – зниження ризику. Подальше управління ризиками здійснюється шляхом аналізу залишкового рівня ризиків і прийняття рішення про необхідність реалізації додаткових заходів зниження ризиків. Методологія містить рекомендації щодо впровадження заходів зниження ризиків стосовно кожного з типів компонентів організації. Забезпечення керованості процесу оцінювання ризиків (ОР), а також повторюваності та порівнюваності результатів можливе за рахунок застосування таких принципів системного підходу: 1. Ієрархічність – цілі, що досягаються у результаті виконання процесів ОР мають знаходитись в ієрархічній залежності, тобто кожен рівень цілей має враховувати цілі та чинники, що є актуальними для нього. 2. Декомпозиція – кожен процес ОР має бути представлений у вигляді сукупності підпроцесів. Кожен із підпроцесів повинен мати власні цілі та критерії (метричні показники) своєї ефективності та результативності. 3. Достатність та логічна незалежність – логіка організації процесів ОР не повинна залежати від набору кращих практик захисту, ЗЗ, множини загроз безпеки та множини активів. 4. Модульність та функціональна автономність – має бути виділено окремі модулі (оцінювання активів, оцінювання ЗЗ тощо), що функціонують незалежно для отримання оцінки ризику ІБ. 5. Адаптивність – метод ОР має забезпечувати необхідний рівень ефективності незалежно від умов зовнішнього середовища, в якому проводиться оцінювання ризиків ІБ. 6. Формалізованість – ОР має забезпечувати отримання зрозумілих (для замовника) кількісних/якісних показників ризику ІБ та показників ефективності впровадження МЗ. Опис заходів, що проводяться у ході ОР, повинен виключати неоднозначність тлумачення, тим самим має забезпечуватися повторюваність і порівнюваність результатів оцінки ризиків ІБ. 7. Структурованість – дані, що збираються у процесі ОР, мають бути структуровані і подані у вигляді, придатному для подальшого використання іншими модулями ОР. Метод сценаріїв передбачає підготовку та узгодження уявлень щодо проблеми або об’єкту, що аналізується, у письмовому вигляді. Зазвичай, текст містить логічну послідовність подій або можливі варіанти вирішення проблеми, впорядковані за хронологією. Сценарій передбачує змістовні міркування, що забезпечують деталізований розгляд проблеми, та результати кількісного техніко-економічного або статистичного аналізу з попередніми висновками, що можна отримати на їх основі. У методі MEHARI запропоновано розвинутий перелік ризик-сценаріїв, що дозволяють провести кількісне оцінювання рівнів ризиків БІ. Критеріальний метод – кожна окрема альтернатива оцінюється одним або кількома показниками. Таким чином, порівняння альтернатив зводиться до обчислення узагальненого показника та порівняння альтернатив за його значенням на основі уведених критеріїв. Система управління інформаційною безпекою (СУІБ) забезпечує збереження конфіденційності, цілісності й доступності інформації за допомогою запровадження процесу управління ризиками та надає впевненості зацікавленим сторонам, що ризиками належним чином управляють. При створенні системи управління ІР постає питання вибору заходів захисту, що забезпечують зниження виявлених в процесі аналізу ризиків інформаційної безпеки без надмірних витрат на впровадження і підтримку цих коштів.

Аналіз ризиків інформаційної безпеки дозволяє визначити необхідну і достатню сукупність засобів захисту інформації, а також організаційних заходів спрямованих на зниження ризиків інформаційної безпеки, і розробити архітектуру СУІБ організації, максимально ефективну для її специфіки діяльності і спрямовану на зниження саме її ризиків інформаційної безпеки. На основі наведеного аналізу можна стверджувати, що оптимальним варіантом для вибору методу управління ризиками ІБ в контексті забезпечення неперервності функціонування СУІБ є, зокрема, адаптація та удосконалення відомих методів шляхом їх логічного поєднання з урахуванням переваг та мінімізації недоліків цих методів. Крім того, при виборі того чи іншого методу оцінки ризиків ІБ необхідно враховувати низку критеріїв : наявність науково-методичного обґрунтування методу для проведення оцінки і управління ризиками; відповідність вимогам сучасних стандартам і нормативних документів у сфері створення систем управління інформаційною безпекою; простота проведення заходів з оцінки ризиків із можливістю залучення на окремих етапах оцінки ризиків (ОР) вузькоспеціалізованих фахівців; можливість застосування принципів системності та використання засобів структурного аналізу і автоматизованих методів прийняття рішень; можливість адаптації методу ОР до вимог організації залежно від її типу та розміру; можливість отримання результатів щодо ОР у якісному та кількісному представленні; вартість продукту, організаційно-штатна структура та форма власності організації, ступінь критичності інформації, що обробляється, та інші.

1. Гринюк Н.А. Методичні підходи до обгрунтування інди каторів оцінки рівня фінансової безпеки підприємництва / Н.А. Гринюк // Проблеми науки. — 2008. — №6. — С. 35—40. 2. Єрмошенко М.М. Визначення поняття фінансова безпе ка страховика та її категорії / М.М. Єрмошенко // Актуальны проблеми економіки. — 2004. — №4. — С. 46—51. 3. Алькема В. Г. Інтегральна оцінка рівня економічної безпеки автомобілебудівних підприємств / В. Г. Алькема, М. І. Копитко // Вчені записки Університету "КРОК". Серія "Економіка". - 2015. - Вип. 39. - С. 75-88. 4. Барановський О.І. Фінансова безпека: монографія. Інсти тут економічного прогнозування/ Барановський О.І. — К.: Фенікс, 1999. — 338 с. 5. Харазішвілі Ю.М. Методологічні підходи до оцінки рівня економічної безпеки країни. Наука та наукознавство. 2014. № 4. С. 44–58. 6. Козаченко Г.В. Естиметологічний аспект в економічній безпекології. Проблеми економіки. 2016. № 1. С. 167–173. 7. Домашенко М.Д. Економічна безпека зовнішньоекономічної діяльності машинобудівних підприємств: дис. канд. екон. наук: 08.00.04 / Марина Дмитрівна Домашенко. Суми, 2012. 200 с. 8. Чирва Ю.Є., Нестеренко О.М. Оцінка економічної безпеки цукропереробного підприємства на основі інтегральної моделі. Бізнес Інформ. 2012. № 8. С. 67–69. 9. Черняк Г.М. Оцінювання рівня економічної безпеки енергетичних підприємств в умовах євроінтеграції. Економічний вісник Національного технічного університету України «Київський політехнічний інститут». 2015. № 12. С. 159–166. 10. Халіна В.Ю. Методичний підхід до оцінки рівня економічної безпеки підприємства. Економічна безпека і підприємництво. 2014. № І (53). С. 173–181. 11. Нагорна І. І. Оцінка стійкої економічної безпеки промислового підприємства. Економічний простір. 2008. № 19. С. 243–255. 12. Лук’янчикова А. Методичний підхід до оцінювання економічної безпеки підприємства на основі динамічних компетентностей. Економічний простір 2015. № 104. С. 186–195. 13. Харазішвілі Ю.М., Ляшенко В.І. Проблеми оцінки та інтегральні індекси сталого розвитку промисловості України з позицій економічної безпеки. Науковий журнал «Економіка України». 2017. № 2 (663). С. 3–23. 14. Шевченко А.І. Сталий розвиток залізничного транспорту України з позицій економічної безпеки. Вісник економічної науки України. 2017. № 1. С. 116–124. 15. Камлик М.І. Економічна безпека підприємницької діяльності. Економіко-правовий аспект : навч. посібн. Київ : Атіка, 2005. 432 с. 16. Методи захисту системи управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2013; Cor 1:2014, IDT). ДСТУ ISO/IEC 27001:2015. 17. NIST Special Publication 800-30. Risk Management Guide for Information Technology Systems. 18. CRAMM user guide, Risk Analysis and Management Method, United Kingdom Central Computer and Telecommunication Agency (CCTA), UK, 2001. 19. COBIT 5: A Business Framework for the Governance and Management of Enterprise ISACA, 2012. 20. MEHARI 2007: Concepts and Mechanisms, Club de la Sécurité de l'Information Français. 21. MEHARI 2007: Knowledge Bases, Club de la Sécurité de l'Information Français. 22. Magerit v2 2006: Book I: The method, Ministerio de Administraciones Publicas, Spain. 23. Magerit v2 2006: Book III: Techniques, Ministerio de Administraciones Publicas, Spain. 24. Потій О.В., Лєншин А.В. Дослідження методів оцінки ризиків безпеці інформації та розробка пропозицій з їх вдосконалення на основі системного підходу // Зб. наук. праць Харків. ун-ту Повітряних Сил. 2010. Вип. 2(24). C. 85-91.

Для студентів старших років навчання. Основною метою є ознайомлення студентів з основами проведення наукових досліджень. Підготував Огірко І.В.