Please use this identifier to cite or link to this item:
https://er.chdtu.edu.ua/handle/ChSTU/5986| Title: | Формування стратегії інформаційної безпеки бізнес-процесів організації |
| Authors: | Байрак, Анатолій Володимирович Савченко, Віталій Олексійович |
| Keywords: | бізнес-процеси організації;моделі інформаційних загроз;розробка моделі загроз |
| Issue Date: | 2023 |
| Abstract: | Метою дослідження є розробка методології вибору стратегії інформаційної безпеки бізнес-процесу організації, шляхом комбінаторного вибору факторів математичної моделі мінімально достатнього рівня захисту інформаційних активів організації для протидії загрозам бізнес-процесу в рамках стратегії багаторівневих пропозицій щодо відновлення та протидії інформаційним загрозам організації. |
| URI: | https://er.chdtu.edu.ua/handle/ChSTU/5986 |
| Appears in Collections: | 125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем) |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| М_125_Савченко_Байрак.pdf Restricted Access | 718.62 kB | Adobe PDF | View/Open Request a copy |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
Extracted text
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
(повне найменування вищого навчального закладу)
Факультет електронних технологій і робототехніки
(повна назва факультету)
Кафедра робототехнічних і телекомунікаційних систем та кібербезпеки
(повна назва кафедри)
Пояснювальна записка
до кваліфікаційної роботи магістра
(освітньо-кваліфікаційний рівень)
на тему «Формування стратегії інформаційної безпеки бізнес-процесів
організації»
Виконав студент 2 курсу, групи БІ-021
Спеціальності 125 - «Кібербезпека»,
освітньої програми «Безпека
інформаційних і комунікаційних
систем»
(шифр і назва спеціальності)
Савченко В.О.
(прізвище та ініціали)
Керівник Байрак А.В.
(прізвище та ініціали)
Рецезент
(прізвище та ініціали)
Черкаси 2023
ВСТУП
Кібербезпека є одним із головних пріоритетів у промисловості,
наукових колах та урядах будь-якої країни, де національна безпека враховує
кіберзагрози.
Обмін інформацією про існуючі кіберзагрози між різними
комерційними компаніями та державними організаціями може
максимізувати виявлення вразливостей з найменшими витратами. Обмін
інформацією про кіберзагрози має низку переваг.
По-перше, це зменшує ймовірність того, що зловмисник
скористається однією і тією ж вразливістю для атаки в різних організаціях.
По-друге, це зменшує ймовірність того, що зловмисник зможе обійти захист
організації та зібрати дані, які допоможуть йому розпочати атаку на інші
організації.
Кіберпростір взаємопов'язаний, і власники особливо критичних
об'єктів залежать один від одного. Ця добре відома проблема
кіберзалежності загострюється в загальнодоступній платформі хмарних
обчислень. Спільні зусилля комерційних компаній та урядових організацій
щодо розробки заходів протидії кіберпорушенням зменшують витрати
кожної фірми на інвестування в кіберзахист.
Незважаючи на численні переваги, обмін інформацією про
кіберзагрози пов'язаний з витратами та ризиками. Коли фірма передає свої
виявлені вразливості в банк загроз у спільному сховищі даних з іншими
компаніями та організаціями, існує ризик того, що ця інформація буде
перехоплена зловмисниками, що призведе до втрати репутації, частки ринку
та доходу.
Тому в цьому стратегічному середовищі організацій особи, які
зобов'язані ділитися інформацією про кіберзагрози, можуть не поширювати
правдиву інформацію через власні інтереси.
Крім того, деякі корисливі фірми можуть навмисно обмежувати свої
інвестиції в кібербезпеку та покладатися на інформацію, яку нададуть інші
організації, щоб захистити себе. Це може призвести до недостатніх
інвестицій у кібербезпеку, якщо всі учасники приймуть однакову стратегію.
Збитки, завдані кібератаками, зростають, широкомасштабні та
серйозні, а також включають фінансові та стратегічні втрати. Деякі
кібератаки, імовірно, є частиною інтересів національних або державних
кампаній.
Уркаїнські компанії активно інвестують у захист від хакерських атак.
У 2022 році інвестиції в інформаційну безпеку в ІТ-бюджети зросли до 22%.
Середній IT-бюджет бізнесу в Урахні склав $1,1 млн. У найближчі три роки
буде зростання ще на 18% у зв'язку з тим, що інфраструктура
інформаційних технологій в компаніях розвивається, і їм потрібні
професійні знання в області кібербезпеки, йдеться в дослідженні "ESET".
Фінансові збитки український компаній від витоку даних зросли за
останні пів року. Для великого бізнесу він становив близько $246 000, що на
2,5% більше, ніж минулого року, згідно з дослідженням «ESET». У
середньому він зріс утричі – до 74 000 доларів.
Однак, розглядаючи розвиток технологій та навичок противників, а
також можливості інших країн, важливішим вважається перегляд
національної стратегії щодо посилення спроможностей кібербезпеки та
забезпечення належного розвитку національних спроможностей у
найближчі роки.
В ході роботи необхідно вирішити наступні конкретні завдання:
– аналіз розвитку сучасного стану зарубіжного досвіду та
законодавства у сфері реєстрації інформаційних загроз та кібербезпеки,
– розробка рекомендацій (пропозицій та заходів) щодо
моніторингу, реєстрації, виявлення інформаційних загроз та моделювання
стратегії кібербезпеки організації,
– Оцінка запропонованих заходів для моделювання ефективної
стратегії кібербезпеки організації.
Об'єктом дослідження є сучасна система інформаційної безпеки
бізнес-процесу організації.
Предметом дослідження є поточний бізнес-процес та поточна
стратегія інформаційної безпеки організації.
Метою дослідження є розробка методології вибору стратегії
інформаційної безпеки бізнес-процесу організації, шляхом комбінаторного
вибору факторів математичної моделі мінімально достатнього рівня захисту
інформаційних активів організації для протидії загрозам бізнес-процесу в
рамках стратегії багаторівневих пропозицій щодо відновлення та протидії
інформаційним загрозам організації
РОЗДІЛ 1 ТЕОРЕТИЧНІ ОСНОВИ СУЧАСНИХ МЕТОДІВ
РЕЄСТРАЦІЇ ТА ІДЕНТИФІКАЦІЇ ІНФОРМАЦІЙНИХ ЗАГРОЗ
1.1 Основи кібербезпеки та сучасні проблеми теорії
Згідно з наявними в інформаційному просторі даними, кібербезпека є
галуззю інформаційної безпеки, в рамках якої вивчаються процеси
формування, функціонування та еволюції кібероб'єктів з метою виявлення
джерел утворених при цьому кіберзагроз (кібернебезпеки), визначення їх
характеристик, а також їх класифікації та формування нормативних
документів, реалізація яких повинна гарантувати захист кібероб'єктів з усіх
виявлених і вивчених джерел кібернебезпеки.
Кібербезпека – це процес використання заходів безпеки для
забезпечення конфіденційності, цілісності та доступності даних. Системний
адміністратор, як особа, відповідальна за кібербезпеку, забезпечує захист
активів організації, включаючи дані локальної мережі комп'ютерів, серверів
і всіх учасників (користувачів) мережі організації. Крім того, під охорону
беруться будівлі, споруди, об'єкти інфраструктури організації і,
найголовніше, персонал.
Метою кібербезпеки є захист всієї інформації, що циркулює в
організації (як при передачі та/або обміні, так і при зберіганні).
В даний час можуть бути застосовані контрзаходи для забезпечення
безпеки інформації. Деякі з цих заходів включають (але не обмежуються
ними) контроль доступу, навчання персоналу, аудит і звітність з
кібербезпеки, оцінку ризиків, опитування користувачів, тестування
можливих каналів загрози проникнення, а також вимогу авторизації
(аутентифікації).
У свою чергу інформаційна безпека (англ. Information Security, а
також – англ. InfoSec) – це практика запобігання несанкціонованому
доступу, використанню, розкриттю, спотворенню, змінам, дослідженням,
запису чи знищенню інформації. Це універсальне поняття застосовується
незалежно від форми, яку можуть набувати дані (електронна, або,
наприклад, фізична).
Основне завдання інформаційної безпеки полягає в тому, щоб
збалансувати захист конфіденційності, цілісності та доступності даних з
урахуванням доцільності застосування та без будь-якої шкоди для
продуктивності організації.
Це досягається насамперед за допомогою багатоетапного процесу
управління ризиками, який визначає основні та нематеріальні активи,
джерела загроз, вразливості, потенційні впливи та можливості управління
ризиками. Цей процес супроводжується оцінкою ефективності плану
управління ризиками.
У свою чергу, згідно з методологічними засадами кібербезпеки з
позиції відомої компанії CISCO, як теоретичний резерв для даного
дослідження, під кібербезпекою розуміють реалізацію заходів щодо захисту
систем, мереж і програмних додатків від цифрових атак. Такі атаки, як
правило, спрямовані на отримання доступу до конфіденційної інформації, її
модифікацію та знищення, вимагання грошей у користувачів або порушення
нормальної роботи компаній. На думку CISCO, принципи, що лежать в
основі кібербезпеки, ґрунтуються на успішному підході до кібербезпеки у
вигляді багаторівневого захисту, який охоплює комп'ютери, мережі,
програми або дані, які потребують захисту.
Співробітники, робочі процеси та технології повинні доповнювати
один одного в організаціях, щоб забезпечити ефективний захист від
кібератак. Користувачі повинні розуміти та дотримуватись основних
принципів інформаційної безпеки, таких як вибір надійних паролів, уважне
ставлення до вкладень в електронних листах та резервне копіювання даних.
Додаткова інформація про основні принципи кібербезпеки. Процеси
кібербезпеки в організації повинні бути розроблені як якийсь успішний і
ефективний набір базових заходів щодо протидії вчиненим хакерами
успішно здійсненим ними атак ззовні інформаційного та електронного
середовища. У таблиці 1 подано типи сучасних загроз кібербезпеці.
Допускається керуватися одним надійним набором заходів. У такому
наборі заходів слід пояснювати, як визначати атаки, захищати системи,
виявляти загрози та протидіяти їм, а також відновлювати працездатність
після здійснених атак. Технології кібербезпеки є найважливішим
елементом, що надає організаціям та окремим користувачам інструменти,
необхідні захисту від кібератак. Основними компонентами, що підлягають
захисту, є кінцеві пристрої, наприклад комп'ютери, інтелектуальні пристрої
та маршрутизатори; мережі та хмарне середовище. До найпоширеніших
технологій, що використовуються для захисту перелічених компонентів,
відносяться міжмережні екрани нового покоління, фільтрація DNS, захист
від шкідливого ПЗ, антивірусне ПЗ та рішення для захисту електронної
пошти. Поняття, що перекликаються: Кіберпростір - простір, де
функціонують і взаємодіють кібероб'єкти. Кібербезпека об'єкта -
властивість останнього, що характеризує можливість не бути причиною
утворення шкоди для кіберпростору. Кіберзахищеність об'єкта – властивість
останнього, що характеризує його можливість запобігати утворенню збитків
від хакерських кібератак або зменшувати величину такого ураження.
Таблиця 1 - Типи сучасних загроз кібербезпеці
Тип кіберзагрози Опис
Соціоінженерні Розсилка від друзів у соціальних
способи мережах (вконтакті, однокласники
та ін.), що нахабно спливають
фейкові сторінки «онлайн
перевірки системи або оновлення
ПЗ» з пропозицією перевірити
комп'ютер на віруси або оновити
програми до останніх версій.
Вразливості нульового дня "Нульовий день" означає час з
моменту виявлення вразливості
розробниками програмного
забезпечення. Вразливість
нульового дня є баг у системі
безпеки програми, який може
бути використаний у браузері або
програмі.
Фішинг (фармінг) Вигляд інтернет-шахрайства, мета
якого – отримати конфіденційну
інформацію користувачів. Сюди
можна віднести крадіжки паролів,
номери та дані кредитних карток,
банківських рахунків та іншої
конфіденційної інформації.
Фішинг є фейковими
повідомленнями або інвойсами,
що прийшли на пошту, від банків,
провайдерів, платіжних систем та
інших фірм про те, що з якоїсь
причини одержувачу терміново
потрібно передати або оновити
свої особисті дані.
Удосконалені постійні загрози Постійний розвиток вже існуючих
загроз є одним із найпоширеніших
способів зміни певного коду у
вірусній програмі, і тим самим її
не визначенням у антивірусу як
загрози. Розробники шкідливого
програмного забезпечення
витрачають менше зусиль на
оновлення таких загроз
Мобільні пристрої У зв'язку з тим, що дедалі більше
сервісів та реклами
впроваджуються на мобільні
пристрої та планшети, тим самим
істотно зростають випадки
випливання шкідливої реклами,
тобто практики її нав'язування в
легальні рекламні онлайн-мережі
реклами, що привертають увагу до
шкідливого ПЗ.
Хмарні технології Хмарні обчислення в силу
масового використання системних
ресурсів вимагають надійного
захисту даних користувача один
від одного. Інформація, що
передається та зберігається в
захищеній системі хмарних
обчислень, може бути
скомпрометована або
фальсифікована в обхід правил і
процесів забезпечення безпеки
внаслідок експлуатації можливих
уразливостей на різних рівнях
системи хмарних обчислень.
Вразливості Інтернету речей (IoT) Віддалений доступ до цих
організацій може бути зручним
для вирішення проблем у
неробочий час або критичних
ситуаціях, але також створює
велику загрозу вразливості
мережі.
Проте на думку авторитетного фахівця у цій галузі, директора фірми
InfoWatch на листопад 2021 року поняття «кібербезпека» хоч і є ключовим у
сучасній системі визначення загроз, але в країні склалася досить
парадоксальна ситуація з тим, що існують кіберзагрози, але відсутнє
поняття кібербезпеки як таке. Поняття є, але його законодавчо не визначено.
Відповідно до проектної документації під кібербезпекою розуміється
(пропонувалося розуміти) та сукупність умов, за якої всі об'єкти
кіберпростору захищені від максимально можливої кількості загроз, а також
впливу з небажаними наслідками.
При цьому, коли ми говоримо «кіберзагроза» чи «кібербезпека», всі
чудово розуміють, про що йдеться. Проте законодавчо його не визначено.
Поняття «Інформаційна безпека» – це сукупність інформації, яка має
бути захищена певними принципами: цілісності, конфіденційності,
доступності. Наприклад, може існувати вірусна атака, яка не порушує
конфіденційність інформації. Але може бути троянський вірус – який
просто впроваджується у корпоративне програмне забезпечення та
спостерігає. І з цього погляду він не є перешкодою – оскільки віруси та інші
загрози, на кшталт закладок, мають бути спеціальним чином визначені».
Кіберзлочинність, за визначенням, чинить незаконний акт з використанням
комп'ютера або мережевого пристрою. Кіберзлочинці використовують
складні методи для отримання несанкціонованого доступу до
інформаційних систем.
Деякі з творчих методів, які можуть використовувати зловмисники -це
бекдор-програми, фішинг-атаки та соціальна інженерія. Існує ряд добре
відомих бекдорних інструментів, які можна використовувати для
налаштування маршруту, що обходить традиційні механізми безпеки,
дозволяючи їм підключатися до комп'ютерних систем, наприклад:
– Tini, Netcat,
– Wrappers,
– EXE maker,
– Pretator,
– Restorator та Tetris.
Мотиви хакерів варіюються від крадіжки конфіденційної інформації
працівників до проходження патентів, інтелектуальної власності та
проектів, пов'язаних із захистом (які мають значно більшу цінність, ніж
кредитні картки).
Захист інформаційних систем є постійною економічною проблемою.
Вартість збереження захисту інформації (даних) є дорогою та серйозною.
Атаки Кіберзлочинності щороку завдають збитків у розмірі 100 мільярдів
доларів. Багато спроб кібератаки змушує університети зміцнювати свої
інформаційні системи.
Метою інформаційної безпеки організації є забезпечення
конфіденційності, цілісності та доступності сформованих працівниками
фірми.
Організації повинні захищати свої активи, зокрема створені
інформаційні дані (умовні інформаційні одиниці - бази даних), робочі столи,
сервери, будівлі та, найголовніше, працівників. Дані можуть бути розділені
та класифіковані залежно від статусу, який потрібно знати. Дані
(персональні) працівників та керівників повинні бути відокремлені від
загальнодоступних даних.
Як тільки дані класифікуються, для забезпечення контролю доступу
можуть бути застосовані дозволи безпеки. В даний час небагато компаній
можуть функціонувати без інтернет-ресурсів (електронної пошти, онлайн-
послуг, корпоративного сайту тощо), тому блокування роботи організації за
допомогою DDoS-атаки може становити серйозну загрозу для бізнесу,
зокрема загрожує фінансовими проблемами та втратою довіри клієнтів.
Експерти з «ESET» рекомендують компаніям заздалегідь перейматися
безпекою своїх послуг. Вибираючи рішення для захисту корпоративної ІТ-
інфраструктури від DDoS-атак, краще віддати перевагу постачальникам, які
мають міцну позицію на ринку ІТбезпеки. Внаслідок такої атаки сервера,
що обслуговують сайт, змушені обробляти надмірний обсяг помилкових
запитів, і сайт стає недоступним для простого користувача. Популярними
жертвами таких атак стають комерційні та інформаційні сайти.
На малюнку 1 представлена динаміка даних загроз для та як
змінювались частки типів загроз інформаційній безпеці (далі інформаційній
безпеці) протягом 2022 року.
Динаміка загроз інформаційній безпеці у 2022 році на прикладі
кількох організацій із загальною кількістю підключених вузлів близько 15
500 (робочі місця, веб, пошта, файлові сховища, VPN тощо)
Хакери останнім часом використовують такий вид атак з метою
здирства, вимагаючи грошей за припинення атаки, або ведуть інформаційну
війну.
У період з 1 квітня до 30 червня 2022 року співробітники Центру
моніторингу контролювали інформаційні системи кількох організацій із
загальною кількістю підключених вузлів близько 15 500 (робочі місця, веб,
пошта, файлові сховища, VPN тощо).
Компанія робить застереження що, 15 500 вузлів це ж не тільки
сервери, які 24 години протягом 365 днів на рік генерують трафік - це ще й
користувальницькі машини, які відключаються або не діють у
вихідні/свята/нічний час, і це сервіси з якими ті Користувачі ж взаємодіють
в основному тільки в робочий час, це віртуальні машини, які включаються
за потребою.
Не забуватимемо про те, що у багатьох сенсорів є «трешхолди»
множинні події, що агрегують, в одне, щоб уникнути флуду.
1.2 Опис бізнес-процесу організації з метою створення моделей
інформаційних загроз
Існує кілька найбільш поширених причин, через які керівництво
(власники) організації приходять до ідеї про те, що їм потрібно описати свої
бізнес-процеси. На початковій стадії самого процесу бізнес опису процесів
це відповідає всім нормам корпоративного бізнес-планування та
розвиненого управління даною організацією.
Однак саме невірна організація робіт з опису, оптимізації та
впровадження раніше змінених бізнес-процесів, в результаті може принести
компанію, яка затіяла таку роботу, або до позитивних результатів, або до
фінансових проблем отримання доходів від діяльності, а також моральних
втрат в управлінні колективом роботами фірми, і відповідно припинення
самого бізнес-процесу організації.
Сьогодні самі проблеми такого підходу повного структурнологічного
опису бізнес-процесів діляться на три групи.
Першу групу проблем топ-менеджери організації описують приблизно
так: «Наш бізнес останнім часом сильно розрісся (збільшився), але щось у
ньому стало відбуватися не так, як було зазвичай». Як фінансово-економічні
проблеми зазвичай називають такі:
– зросла кількість організаційних та міжособистісних конфліктів, які
можна вирішити тільки із залученням власників (топменеджерів),
– непропорційно зростанню бізнесу зросли операційні витрати
(витрати), але зовсім не зрозуміла причина цього,
– зросла кількість технічних проблем пов'язаних із виробництвом та
обслуговуванням клієнтів, таких як зрив термінів, шлюб, байдужість,
хамство персоналу фронт-офісу,
– організація починає програвати своїм дрібнішим конкурентам як,
швидкості наданих послуг і товарів над ринком.
Друга група проблем застосування бізнес-опису процесів описується
топ-менеджерами наступним чином: «Дуже складно зрозуміти, хто, за що в
компанії відповідає, на що мотивований, у разі криз усередині компанії
зовсім не можна зрозуміти, хто винен і що треба зробити, щоб надалі цього
не повторювалося. Нам треба підняти керованість та прозорість бізнесу».
Третя група проблем використання вже створених (описаних) бізнес-
процесів описується так: «Ми вирішили суттєво покращити нашу
інформаційну систему (впровадити нову), саме це має дати суттєвий
імпульс розвитку нашого бізнесу».
По мірі впровадження бізнес-процесу в організацію, вона стикається з
іншими не менш значущими питаннями, саме яку саме бізнес-завдання
ставити перед конкретним виконавцем. Суть складності полягає в самій
постановці завдання, для якої є кілька «слабких» інформаційних моментів,
які можуть призвести до неприємних наслідків.
Насамперед, опис бізнес-процесів розглядається в більшості випадків
самою організацією як простий для розуміння підлеглих опис бізнес-
процесів у вигляді програми оперативно-господарських дій, або
комплексного підходу в управлінні організацією.
Тут же на передній план управління виходить проблема у наведених
вище постановки оперативно-технічних та виробничих завдань є відсутність
у них бізнес-завдання. Навіщо щось міняти, якщо компанія працює,
приносить деякий прибуток, який всіх влаштовує. Топменеджмент вважає,
що так, є деякі складнощі в комунікаціях, вирішенні проблем, але вони є
просто робочими моментами. Опис ж бізнес-процесів вимагатиме
інвестицій (і, часто, набагато більших, чим здається на початку) у
програмне забезпечення, навчання фахівців, проведення робіт, відволікання
працівників компанії. Якщо при цьому компанія не ставить перед собою
мети збільшення бізнес-показників. цей проект лише знизить ефективність
компанії (тільки збільшаться витрати).
І паралельно з вищеназваними місцями управління організацією на
сьогодні проблемою є безкомпромісність застосування програм MRP, ERP,
CRM, SCM, BPM, DFM і т. д., які (за словами її творців продавців) є
невичерпним джерелом ефективних результатів від їх застосування. І віра
топ-менеджерів у те, що бізнес нашої організації сам зміниться у
«правильний» бік. Збільшаться доходи, буде обрано правильні сегменти
ринку, скоротяться витрати та конфлікти між співробітниками. Але, як
кажуть самі продавці «чарівних» програм, того, щоб її запровадити, треба
правильно описати процеси.
Теоретично бізнес-процесів перехід на нові (оптимізовані) процеси
швидше за все призведе до того, що в компанії потрібно буде щось змінити
в рамках вже чинного оперативно-виробничого механізму виконання
господарського процесу. Зміни торкнуться або самого укладу виробничо-
господарської діяльності співробітників, їх взаємовідносин, порядку
спілкування, або вибору асортименту продукти/послуги, або діючої ніші
ринки, або зміни політики клієнтів компанії, а швидше за все в якійсь
пропорції все з описаного.
Для топ-менеджменту та всіх інших управлінців це стає неприємною
новиною. Описані бізнес-процеси власними силами не працюють. А сам
замовник, співробітники компанії, і тим більше менеджери компанії не
готові і не прагнуть того, що ще треба зробити. З практики впровадження
бізнес-процесів відомо, адже погано чи добре, але компанія працює, щось
заробляє, а що буде, якщо все змінити – ніхто впевнено не знає.
А це посилює те, що початкове завдання «просто опис бізнес-
процесів» точно не включає розробку програми з переходу на нові процеси,
програми управління бізнес-процесами надалі. Існує спрощена думка:
«приймемо одним наказом щодо компанії нові регламенти з першого числа,
і все запрацює». Важливість ефективного управління людськими ресурсами
знаходить відображення у міжнародних стандартах та сучасних підходах до
питань менеджменту організації – так, наприклад:
Відповідно до понять Системи Менеджменту Якості діяльність, яка
використовує ресурси та керована з метою перетворення входів у виходи,
може розглядатися як процес. При цьому основними групами процесів є
такі:
– життєвого циклу продукції,
– правління ресурсами (включаючи людські),
– правління (відповідальності керівництва),
– вимірювання, аналізу та поліпшення.
Безпосередньо методологія функціонального моделювання (IDEF0)
виділяє як основні елементи моделі бізнес-процесу:
– вхід,
– вихід,
– управління,
-механізм (ресурси, включаючи людські).
Загальна модель Збалансованої Системи Показників включає наступні
стратегічні аспекти (перспективи):
– фінанси,
– клієнти,
– процеси,
– персонал (навчання та розвиток).
З метою обліку галузевої специфіки та особливостей діяльності
підприємства розробляють та впроваджують внутрішні стандарти –
Стандарти підприємства (СТП).
Система стандартів підприємства є документовану сукупність і вимог,
розроблюваних і затверджуваних підприємством самостійно, з необхідності
їх застосування з метою вдосконалення організації та управління
виробництвом.
Стандарти підприємств можуть розроблятися у таких випадках: Для
забезпечення застосування на підприємстві державних стандартів,
стандартів галузей, міжнародних, регіональних та національних стандартів
інших країн, стандартів науково-технічних, інженерних товариств та інших
громадських об'єднань;
На продукцію, що створюються та застосовуються на даному
підприємстві, процеси та послуги, у тому числі:
– складові частини продукції, технологічне оснащення та інструмент,
– технологічні процеси, а також загальні технологічні норми та
вимоги до них, з урахуванням забезпечення безпеки для навколишнього
середовища, життя та здоров'я,
– послуги, що надаються всередині підприємства,
– процеси організації та управління виробництвом.
Діяльність підприємства, що представляє собою сукупність процесів,
оцінюється показниками результативності та ефективності (процесів,
продуктів та задоволеності споживачів).
Для ефективного управління процесами підприємства необхідно:
– ідентифікувати процеси,
– визначити призначення організації (споживачів та їх вимог),
– визначити політику та цілі підприємства,
– визначити процеси підприємства,
– визначити послідовність та взаємодію процесів,
– визначити Власника (господаря) процесу (відповідальність та
повноваження),
– визначити документацію процесу (регламенти, процедури,
специфікації).
Запланувати процес:
– визначити види діяльності в рамках процесу (процедури та вимоги
до входів та виходів),
– визначити вимоги до моніторингу та вимірювання (періодичність
реєстрації показників процесу),
– визначити необхідні ресурси (вимоги до ресурсів),
– перевірити процес на відповідність запланованим цілям (верифікація
вимог).
Таким чином, власнику (Керівнику підрозділу) необхідно володіти
системою інформації щодо змісту та оточення (взаємодії) процесу.
Підготовка та підтримка в актуальному стані опису бізнес-процесів
досягається застосуванням сучасних програмних систем, вибір яких
ґрунтується на оцінці наступних характеристик:
– зручність та наочність інтерфейсу (наявність набору типових
нотацій опису бізнес-процесів та підтримка їх оновлення),
– інтеграція з Базами Даних та іншими прикладними системами
автоматизації видів діяльності підприємства,
– можливість формування стандартних (прийняті у діловій практиці)
звітних документів та налаштування звітів з урахуванням специфіки
вирішення поточних управлінських завдань,
– вартість придбання та супроводу.
Основними документами кадрового менеджменту (управління
людськими ресурсами) є:
- "Положення про підрозділ" - це документ, який визначає: порядок
створення підрозділу; правове становище підрозділи у структурі
підприємства; організаційну структуру підрозділу; завдання, функції, права
та відповідальність підрозділу; порядок взаємодії новоствореного
підрозділу з іншими структурами підприємства,
- «Посадова інструкція» - це документ, який роз'яснює порядок
взаємовідносин працівника та роботодавця. Містить повний перелік
кваліфікаційних вимог, права, обов'язки працівника, а також визначає міру
його відповідальності за ті чи інші дії (вчинені чи недосконалі). При цьому
«Положення про підрозділ» в основному призначено для Керівника
підрозділу, а «Посадова інструкція» – для його співробітників.
Типовий зміст «Положення про підрозділ» включає такі розділи:
– загальні положення,
– основні завдання,
– функції,
– права та обов'язки,
– відповідальність,
– взаємини.
Підвищення надійності процесів управління персоналом (ключовим
ресурсом процесів підприємства) зумовлює необхідність інформаційного
забезпечення діяльності Керівника підрозділу (особливо у період заміщення
через хворобу, відпустку чи звільнення).
З цією метою пропонується модифікувати зміст документа
«Положення про підрозділ» таким чином:
– додається розділ «Карта цільових показників» діяльності підрозділу
– це дозволить пов'язати цілі підрозділу та стратегію розвитку
підприємства, а також визначити показники мотивації співробітників
підрозділу,
– додається розділ «Циклограма подій » процесів підрозділу – це
дозволить своєчасно планувати та контролювати наявність необхідних
ресурсів для виконання операцій з метою виключення ризику зриву або
зниження якості виконання функцій підрозділу,
– розділ «Функції» доповнюється поопераційною структурою бізнес-
процесу (-ів) підрозділу – це дозволить здійснити порівняльний аналіз
трудомісткості та розподіл відповідальності на користь розвитку та
мотивації співробітників підрозділу, а також визначити цільові норми
трудовитрат на виконання типових операцій для підтримки кваліфікаційної
продуктивності праці,
– додається розділ «Зовнішні учасники» процесів підрозділу – це
дозволить своєчасно забезпечити необхідні комунікації з внутрішніми та
зовнішніми «постачальниками та клієнтами » процесів підрозділу для
підтримки «зворотного зв'язку із зовнішнім середовищем» та забезпечення
сприятливих умов реалізації процесів.
Далі нами на прикладі системи Business Studio далі описаний
алгоритм налаштування відповідного Звіту - Реалізація проекту на малюнку
1.
На сьогодні визначальним у питанні вибору методології та
програмного забезпечення для опису та оптимізації бізнес-процесів є
правильно визначені цілі, які визначив для себе бізнес.
Є дві діаметральні формулювання завдання, які визначають те, яка
методологія опису процесів найбільш прийнятна.
Постановка завдання звучить якось так: «для вирішення поставлених
завдань необхідно одним із етапів створити функціональну (процесну)
модель компанії, що відображатиме структуру, взаємозв'язки та функції
системи, а також потоки інформації та матеріальних об'єктів, що пов'язують
ці функції». У цьому випадку наголошується на створення опису системи,
виділення та опис об'єктів управління, на відстеження ієрархій управління,
на обов'язковість відстеження зв'язків між процесами.
Інакше можлива дещо інша постановка задачі, яка може звучати якось
так: «необхідні описи алгоритмів (сценаріїв) виконання процесів.
Насамперед, потрібно виявити причинно-наслідкові зв'язки та тимчасову
послідовність виконання дій, упорядковану комбінацію подій та функцій». І
тут акцент робиться на опис послідовностей дій, визначення початкових і
кінцевих подій, виявлення учасників, виконавців, матеріальних і
документальних потоків.
Зазначимо, що ці постановки завдань не є взаємовиключними,
можливі ситуації, коли є необхідність вирішити і те, й інше завдання, але в
цьому випадку варто йти від спільного до приватного: спочатку моделювати
бізнес компанії, а потім використовувати цю модель для подальшого опису.
окремих алгоритмів.
Існуючі підходи щодо опису бізнес-процесів, як і існуюче програмне
забезпечення, за рідкісним винятком, спеціалізовані та погано підходять для
вирішення тих завдань, для яких вони не були призначені спочатку [14].
Наприклад, організація (компанія) вирішила підвищити свою ефективність,
і для цього збирається створити взаємопов'язану несуперечливу модель
бізнесу всієї компанії, описавши систему бізнес-процесів, кожен із яких
пов'язаний один з одним результатами роботи, кожен учасник процесу має
показники KPI, кожен підрозділ компанії має. плани та бюджети, націлені
на досягнення єдиних стратегічних цілей.
У цьому випадку рішення використовувати методології та програмне
забезпечення, розроблені, перш за все, для опису алгоритмів та
взаємозв'язків операційного рівня буде для компанії надзвичайно складно,
дорого та довго. І тому, віддавши вирішення цього питання на відкуп
вузьким (технічним) фахівцям, компанія ризикує отримати в результаті
ситуацію не дуже приємну: витрачено значні фінансові ресурси, час,
зусилля, а отриманий формальний результат не дає очікуваного ефекту.
Поверхневий аналіз виробників ПЗ з бізнес-процесів та Інтернету
показує, що дана тема (вибір методології та інструментарію) недостатньо
освітлена (аналіз META Group мало того, що більше орієнтований на IT-
рішення, так ще й практично не враховує особливостей Українсько ринку,
розглядає тільки типових представників сформованого західного ринку).
Найчастіше зустрічаються методики порівняння методологій ARIS та IDEF.
Інший найбільш поширеною темою є перерахування сильних і слабких
сторін (зазвичай методологій) без урахування того, стосовно якого завдання
ці якості аналізуються. Наведемо нижче таблицю з описом та загальною
характеристикою продуктів (ПЗ) у світлі описаних вище завдань.
Таблиця 2 – Діюче ПЗ в галузі опису бізнес-процесів
№ Найменування ПЗ Можливості/недоліки
пп
1 CA ERwin Data Modeler (раніше У цьому ПЗ
називався AllFusion Data Modeler, найбільш вдало
BPwin). реалізована
можливість опису
взаємопов'язаних
складних моделей,
завдання опису
алгоритмів та
послідовності дій
реалізовані помітно
слабше. Прості
(лаконічні) нотації 30
описи. Важко, або
взагалі не
реалізуються
додаткові завдання
(ув'язка цілей і
процесів, створення
дерева показників,
проведення
імітаційного
моделювання).
2 ARIS (набір програмних забезпечень, Сама назва
модулів компанії IDS Scheer) (Architecture of
Integrated Information
Systems) говорить
про те, що це ПЗ
спочатку було
орієнтоване на
вирішення задачі
опису алгоритмів та
послідовності
виробничо-
господарських дій.
Для опису бізнес-
процесів доведеться
використовувати
велику кількість
моделей (у ARIS їх
більше 80, і кількість
їх зростає) досить
складної семантики.
Без великого досвіду
та суттєвого
переосмислення
основ методології
реалізувати складні
описи
взаємопов'язаних
моделей непросто
3 Corporate Modeler (Casewise Systems) Є аналогом ARIS —
не за методологією
та рішеннями, але за
самими идеями1 ПЗ.
Також орієнтовано
на допомогу в описі
бізнес-процесів для
подальшої розробки
програмного
забезпечення. Але
коштує воно в
середньому
дешевше.
4 iGrafx Enterprise Central (підрозділ Дуже цікаве рішення
Corel Inc) із Канади. Включає в
себе цілий набір
модулів з опису,
моделювання
процесів, програми з
планування та
управління якістю
управління
ризиками. Істотним її
мінусом є її
нерозповсюдженість.
Нижче подаємо детальний опис бізнес-завдань по суб'єктах бізнес-
процесу на прикладі умовної організації.
Бізнес-задача - A4.2 Реалізація проекту
Рисунок 1 – Бізнес-процес для завдання «Реалізація проекту»
Змістом діяльності з процесу «A4.2 Реалізація проекту» є реалізація
проекту відповідно до розробленого технічного завдання та плану проекту у
визначені терміни.
Власник процесу:
− Заступник директора з виробництва організації.
Виконавці процесу:
− провідний інженер– щодо предмета діяльності «Проектна
документація»,
− майстер – щодо предмета діяльності «Монтажні роботи»,
– монтажник (Монтажна ділянка) – щодо предмета діяльності
«Монтажні роботи»,
– начальник монтажної ділянки (Монтажний роботи) дільниця) –
щодо предмета діяльності «Монтажні роботи»,
− керівник проекту – щодо предмета діяльності «Управління
проектом».
Результат виконання: працездатна система, змонтована та запущена в
експлуатацію відповідно до технічного завдання на проект у задані терміни.
Нормативно-методична та планова документація:
− завдання на виконання робіт,
− план проекту,
− платіжний бюджет,
− ТЗ на проект.
Таблиця 3 - Входи бізнес-процесу
Надходить від
№ Вхід Об’єкти Процес/Зовнішнє
Виконавець
середовище
Придатні A6.5 Зберігання
1. ТМЦ Комірник
ТМЦ та видача ТМЦ
Ескізний Ескізний Інженер- A4.1.3 Ескізне
2.
проект проект Проектувальник проектування
Таблиця 4 - Виходи бізнес-процесу
№ Вихід Об’єкти Передається
Отримувач Процес/Зовн
ішнє
середовище
1 Документац Акт виконаних Керівник A4.3.3
. ія щодо робіт Звіт про проекту Закриття
передпроект передпроектне проекту
ного обстеження
обстеження
2 Документац Акт виконаних Керівник A4.3.3
. ія з техно- робіт Техно- проекту Закриття
робочого робочий проект проекту
проектуванн
я
3 Інструмент Інструмент Інженерно- A5.2
. для технічний Виконання
обслуговува відділ ремонтно-
ння відновлювал
ьних робіт
4 Інструмент Інструмент Інженерно- A5.3
. до технічний Перевірка та
перевірки відділ калібруванн
я
інструменту
5 Інформація Інженер- A4.1.3
. про хід проектувал Ескізне
робіт з ьник проектуванн
проекту я
Керівник A4.1.4
проекту Формування
та
коригування
плану
проекту
6 Виконавча Виконавча Провідний A4.3.1
. документаці документація інженер Введення
я системи в
експлуатаці
ю
7 Звіт про Звіт про Керівник A4.3.3
. виконання виконання проекту Закриття
бюджету бюджету Директор проекту
8 Первинна Акт виконаних Бухгалтерія A7.6
. звітність – робіт та Підготовка
реалізація рахунок-фактура звітності
проекту Акт виконаних
робіт з пуско-
налагодження
Акт приймання
майданчика Акт
здачі
майданчика
Виконавча
документація
Звіт про
виконані БМР
Звіт про
передпроектне
обстеження Звіт
про
пусконалагоджу
вальні роботи
Техно-робочий
проект
9 Працездатн Система Бухгалтер A4.3.1
. а система Особи, що Введення
виконують системи в
приймальн експлуатаці
о-здавальні ю
роботи
Таблиця 5 - Управління бізнес-процесом
Вхід Об'єкти Надходить від
Виконавець Процес/Зовнішнє
середовище
1. Завдання Завдання Керівник A4.1.6
виконання виконання проекту Формування та
робіт робіт видача завдань
на виконання
робіт
2. План План Керівник A4.1.4
проекту проекту проекту Формування та
коригування
плану проекту
3. Платіжний Платіжний Бухгалтерія A7.4
бюджет бюджет Формування
платіжного
бюджету
4. ТЗ на ТЗ на Провідний A4.1.2 Розробка
проект проект інженер ТЗ
Керівник
проекту
Таблиця 6 – Механізми процесу
№ Вхід Об'єкти Надходить від
Виконавец Процес/Зовнішн
ь є середовище
1. Працездатни Інструмен Інженерно- A5.4 Зберігання
й інструмент т технічний та видача
відділ інструменту
1.3 Фактори, що впливають на розробку стратегії кібербезпеки в
організації
Згідно з результатами опитування, нещодавно опублікованими
Barracuda Networks (USA) у вересні 2018 року, організації, що
впроваджують програмні рішення для глобальних мереж (SD-WAN),
повідомляється, що підвищення мережевої безпеки є основним досягненням
стратегії кібербезпеки для таких систем протистояння кібезагрозам якої є
SD- WAN.
Кібербезпека в організаціях США була головною темою всієї
доповіді, під назвою «Проблеми та можливості SD-WAN» за 2017 рік та на
основі опитування, проведеного від імені Barracuda, Вансон Борн, який
опитав понад 900 світових ІТ-лідерів та мережевих фахівців та фахівців з
безпеки було виявлено таке.
Barracuda описує себе як «постачальник хмарних рішень для
забезпечення безпеки та захисту даних». У ході опитування 92% опитаних
погодилися (повністю або частково) із твердженням: «безпека має бути
пріоритетом номер один під час розгляду рішення SD-WAN».
На сучасному етапі розміщення зовнішнього та внутрішнього
Exchange серверів у фізично чи логічно розділених зонах безпеки це
найкраще відображено на малюнку 2.
Рисунок 2 – Побудова DMZ периметра мережі для захисту
На етапі розвитку теорії інформаційної безпеки часто використовують
категорію DMZ, що означає демілітаризовану зону периметра мережі
організації. Її технічне рішення про побудову зон і периметра сьогодні
дозволяє організаціям побудувати досить недорогу, але все ж таки витратну
схему захисту організації.
На наступному малюнку 3 відображено локалізацію загроз у межах
демілітаризованих зон (далі DMZ) периметра мережі організації.
Інші питання побудови DMZ у тому, як можна створити кращу схему
параметризації не тільки для зовнішнього та внутрішнього Exchange
серверів, але і для всіх ресурсів, що так чи інакше стикаються з Інтернетом.
Ключовий момент організації побудови інформаційної безпеки
полягає в тому, що не всі мережі .NET однаково «не довірені». Деякі не
довірені мережі вважаються надійнішими, ніж інші.
Малюнок 3 – Атака DMZ периметра мережі малої організації
У свою чергу, список різних зон безпеки щодо зменшення ступеня
надійності, наступний:
– сегмент мережевих служб,
– сегмент розробників,
– сегмент для всіх користувачів,
– DMZ з авторизованим доступом,
– сегмент анонімних клієнтів бездротової ЛОМ,
– DMZ з неавторизованим доступом.
На малюнку 4 і 5 представимо варіанти можливої атаки DMZ
середньої та великої за розміром організації.
З урахуванням цілепокладання економічної складової нашої задачі ми
отримаємо наступне вербальне математичне формулювання цілей пошуку
раціональності захисту організації на малюнку 4.
Рисунок 4 – Варіант атаки DMZ периметра мережі на середній за
розмірами організації
Рисунок 5 – Варіант атаки DMZ периметра мережі на великій
організації
Проте в рамках теорії захисту інформації обмовимося, що автором
підтримується критерій максимум бюджетозахисності організації, що на
даний момент найбільш адекватно відображає мету завдання вироблення
стратегії кібербезпеки організації за цільовою функцією.
1.4 Висновки по розділу
У цьому розділі розглянуто:
– основи кібербезпеки та сучасні проблеми теорії,
– мета забезпечення кібербезпеки,
– методологічні основи кібербезпеки,
– типи сучасних загроз кібербезпеці,
– компоненти, що підлягають захисту кібербезпеки.
Також проведено опис бізнес-процесу організації з метою створення
моделей інформаційних загроз. Представлено динаміку загроз
інформаційній безпеці у 2018 році на прикладі кількох організацій, яка
включила у себе всіляке обладнання, яке контактує з мережею. Докладніше
розглянуто чинники, що впливають на розробку стратегії кібербезпеки в
організації. Наведено приклади факторів, що впливають на розробку
стратегії кібербезпеки для організацій.
РОЗДІЛ 2 ТЕОРЕТИЧНІ ОСНОВИ СТРАТЕГІЧНОГО
МОДЕЛЮВАННЯ КІБЕРБЕЗПЕКИ ОРГАНІЗАЦІЇ
2.1 Розробка моделі загроз для бізнес-процесу організації
Згідно з діючими на поточний час В Україні стандартами
інформаційної безпеки прийнятими ДержСпецЗ’язком, такими як:
– ДСТУ ISO/IEC 27007-2014 ідентичний міжнародному стандарту
ISO/IEC 27007:2014 «Інформаційна технологія. Методи забезпечення
безпеки. Посібники з аудиту систем управління інформаційною безпекою»,
– ISO/IEC 27002:2019 (E) «Інформаційні технології – Методи захисту
– Зведення рекомендованих правил для управління інформаційною
безпекою».
Нами пропонується модернізований варіант відомої моделі загроз, в
якому захист персональних даних і аналізований нами бізнес-процес, має ті
ж особливості, що і при складанні моделі загроз стосовно бізнес-процесу.
До таких особливостей (у кореляції з міжнародним стандартом ISO/IEC
27002:2019) можна віднести: зона ймовірних загроз, вид інформаційного
активу, який буде підданий загрозі, вид фактору загрози, що впливає, і
показники бізнес-процесу організації, які будуть піддані загрозі. Відповідно
до цього стандарту організації всіх типів і розмірів (включаючи державний
та приватний сектор, комерційні та некомерційні) накопичують,
обробляють, зберігають та передають інформацію в різних формах,
включаючи електронну, фізичну та усну (наприклад, співбесіди та
презентації). Цінність інформації у документованих словах, числах і
зображеннях: знання, поняття, ідеї та бренди – ось приклади нематеріальних
форм інформації. У світі, де все взаємопов'язано, інформація та відповідні
процеси, системи, мережі та персонал, що здійснює їх експлуатацію,
обробку та захист – все це активи, які, подібно до інших важливих ділових
активів, становлять цінність для бізнесу організації і, отже, потребують або
вимагають захисту від різноманітних загроз.
Розглянемо перелічені загрози і зведемо їх у модернізовану модель
загроз для бізнес-процесу організації основні з них, з позиції аналізу
ймовірних загроз бізнес-процесу на прикладі конкретної організації в
рамках моделі бізнес-процесу, що використовується. процесу складеного та
описаного в параграфі 1.3 цього дослідження.
Так, у бізнес-процесі кожної організації є блок-ланка відома як
«розрахунково-касове обслуговування» або час простою отримання авансу
або результату доходу. З позиції інформаційних кіберзагроз на поточний
момент 01.11.2023 року, будь-який target вірус, який проник у системи
компанії за точками входу, а саме будь-яке обладнання компанії може бути
потенційно вразливим, може викликати як відмови в обслуговуванні
касових систем, так і нелегітимне переведення коштів на «лже-рахунку»
зловмисника. У той же час відомий у бізнес-процесі будь-якої організації
етап як узгодження дизайн-макета проекту замовника та будь-який target
вірус, що проник у системи компанії за точками входу, призведе до часу
простою для калькулювання та затвердження старту монтажних робіт за
даним клієнтським договором, а причиною буде - Відмови в обслуговуванні
після локальної target атаки на інформаційну систему компанії, що
дозволяють підмінити легітимний проект на помилковий.
Також відомий етап «калькулювання» замовлення клієнта після
локальної target атаки на інформаційну систему компанії спричинить
невиконання договору на замовлення у вигляді часу простою на етапах
монтажу, встановлення обладнання для калькулювання та затвердження
старту монтажних робіт. Тут не менш важливою є інформаційна безпека від
атаки на компанії-посередники або на постачальників, через впровадження
в інформаційну систему організації «брехні»-договорів у бізнес-процес
організації. Необхідно виділити також можливі вимушені виробничі простої
від третіх осіб (електропостачання, відсутність комплектуючих та інше) під
час введення в експлуатацію замовлення клієнта шляхом локальних DDoS-
атак на IP-телефоні. Також можливо буде відсутність доступу до бази даних
комплектуючих, зміна її вмісту або раптова відмова забезпечення
комплектуючими, і як наслідок затримка старту монтажу або введення в
експлуатацію замовлення.
Відомими загрозами для бізнес-процесу організації є зрив поставки
комплектуючих для виконання замовлення. Треба згадати також можливу
технічну відмову (збій) встановленого після монтажу обладнання
замовлення клієнта (час демонтажу, подальші переробки та очікування
поставки нових комплектуючих). До найбільш ймовірних загроз можна
віднести зараження всіх інформаційних активів компанії та знищення даних
(включаючи всі існуючі проекти, документи, звітності та інші етапи та
ключові фактори бізнес-процесу).
До найменш ймовірних інформаційних загроз, але цілком
здійсненними за умов конкурентної боротьби організації за нішу ринку буде
повне порушення інформаційної цілісності ПЗ чи АТ устаткування
організації, за відомим прикладом Tailored Access Operations, з можливістю
перехоплення управління чи знищення даних. До зовсім нереальних, але
все-таки врахованих інформаційних загроз треба віднести створення клону
замовника (цільова атака на тривалий час з подальшим знищенням
компанії).
Відобразимо ці фактори можливих інформаційних загроз у
модернізованій моделі загроз у таблиці 7.
Таблиця 7 – Модернізована модель загроз для бізнес-процесу
організації (за стандартом ISO/IEC 27001:2019 (E))
№ Ланка Вид Інформ Вид Вид Показн Проти
п (відділ) можлив аційни можлив загрози ик дія
п бізнес- ої й актив ої бізнес-
процесу інформа організ шкоди процес
організ ційної ації, у
ації загрози що піддаєт
для наража ься
ланки ється загрозі
бізнес- на
процесу загрозу
організа
ції
1 2 3 4 5 6 7 8
1 Відділ Збій або База Час Будь- Витрат Micros
бухгалт відсутні даних просто який и oft
ерськог сть обліку ю target створен Windo
о розраху операці отрима вірус ня ws
обліку нково- й ння проник інформ Server
касового бізнес- авансу у аційног 2016
обслуго процес від систему о Standa
вування у замовн Network активу rd 64-
всієї “Бухга ика або організ Дохід bit
організа лтерія" недоот ації - організ Ukrain
ції, у риманн наприк ації ian 1pk
вигляді я сум лад DSP
відмов в доходу точки OEI
обслуго від входу в DVD
вуванні бізнес- будь- 16
касових процес яке Core
систем, у обладна ~2000
або ння 0 грн.)
також відділу
нелегіти бухгалт
мний ерськог
переказ о
коштів обліку,
на яке
«брехні потенці
»- йно
рахунки вразлив
зловмис е.
ника або
додатко
ві
витрати
при
купівлі,
налашту
ванні,
обслуго
вуванні
устаткув
ання, що
вийшло
з ладу.
2 Відділ Збій у База Час Будь- Витрат Налаш
дизайну процесі даних просто який и туванн
погодже обліку ю target створен я
ння та отрима вірус ня контро
дизайн- зберіга ння проник інформ лю
макета ння авансу у аційног доступ
проекту ескізів від систему о у.
із макет замовн Network активу Адекв
замовни дизайні ика або організ Дохід атна
ком (час в для недоот ації - організ безпек
простою замовн риманн наприк ації ова
для ика я сум лад політи
калькул Adope доходу точки ка.
ювання Photosh від входу в Створе
та op бізнес- будь- ння
затверд процес яке моделі
ження у обладна загроз.
старту ння
монтаж відділу
них дизайну
робіт); , яке
(відмови потенці
в йно
обслуго вразлив
вуванні, е.
target
атаки на
системи
компанії
, що
дозволя
ють
підмінит
и
легітим
ний
проект
на
хибний)
3 Відділ Збій у База Час Будь- Витрат Налаш
продажі процесі даних просто який и туванн
в, Офіс- виконан контра ю target створен я
менедж ня ктів з отрима вірус ня контро
ер клієнтсь клієнта ння проник інформ лю
організ кого ми та підсум у аційног доступ
ації договор посере кового систему о у.
у, як дникам доходу Network активу Адекв
часу и (виторг організ Дохід атна
простою "Елект у) від ації - організ безпек
на ронний замовн наприк ації ова
етапах докуме ика або лад політи
монтажу нтообіг недоот точки ка.
, " риманн входу в Створе
установ я сум будь- ння
ки доходу яке моделі
устаткув від обладна загроз.
ання, бізнес- ння
для процес відділу
калькул у монтаж
ювання і у, яке
затверд потенці
ження йно
старту вразлив
монтаж е.
них
робіт; а
також
паралел
ьні
атаки на
компанії
посеред
ники
або на
постача
льників,
підміна
договорі
в на
лже-
договор
и
4 Відділ Збій у База Час Будь- Витрат Налаш
бухгалт процесі даних просто який и туванн
ерськог доступу обліку ю target створен я
о або операці загальн вірус ня контро
обліку. відсутні й ого проник інформ лю
сть бізнес- часу у аційног доступ
такого процес монтаж систему о у.
доступу у у та Network активу Адекв
до бази "Склад викона організ Дохід атна
даних " ння ації - організ безпек
комплек клієнтс наприк ації ова
туючих, ького лад політи
зміна її догово точки ка.
вмісту ру входу в Створе
або тягне будь- ння
раптова недоот яке моделі
відмова риманн обладна загроз.
забезпеч я сум ння
ення доходу “Склад"
комплек від , яке
туючим бізнес- потенці
и процес йно
(затримк у вразлив
а старту е.
монтажу
або
введенн
я в
експлуа
тацію).
5 Відділ Збій у База Час Будь- Витрат Налаш
коштор процесі даних просто який и туванн
исів та доступу обліку ю до target створен я
мат- або операці підписа вірус ня контро
технічн відсутні й ння та проник інформ лю
ого сть бізнес- початк у аційног доступ
супрово такого процес у систему о у.
ду доступу у старту Network активу Адекв
до бази "Кошт викона організ Дохід атна
даних ориси" ння ації - організ безпек
комплек клієнтс наприк ації ова
туючих, ького лад політи
зміна її догово точки ка.
вмісту ру входу в Створе
або тягне будь- ння
раптова недоот яке моделі
відмова риманн обладна загроз.
забезпеч я сум ння
ення доходу “Склад"
комплек від , яке
туючим бізнес- потенці
и процес йно
(затримк у вразлив
а старту е.
монтажу
або
введенн
я в
експлуа
тацію).
6 Відділ Збій або База Час Будь- Витрат Налаш
бухгалт повний даних просто який и туванн
ерськог зрив обліку ю у target створен я
о постача операці викона вірус ня контро
обліку. ння й нні проник інформ лю
комплек бізнес- клієнтс у аційног доступ
туючих процес ького систему о у.
для у догово Network активу Адекв
виконан "Склад ру - організ Дохід атна
ня " тягне ації - організ безпек
замовле недоот наприк ації ова
ння за риманн лад політи
укладен я сум точки ка.
ими доходу входу в Створе
договор від будь- ння
ами з бізнес- яке моделі
клієнтам процес обладна загроз.
и у ння
“Склад"
, яке
потенці
йно
вразлив
е.
7 Виробн Збій або Бізнес- Час Будь- Витрат Налаш
ичий технічна процес просто який и туванн
відділ відмова (прова ю target створен я
(монта вже дження загальн вірус ня контро
ж, встанов робіт, ого проник інформ лю
інженер леного послуг часу у аційног доступ
ія) за з після систему о у.
договор основн закінче Network активу Адекв
ом з ої ння організ Дохід атна
клієнто діяльно монтаж ації - організ безпек
м сті у за наприк ації ова
змонтов організ клієнтс лад політи
аного ації) ьким точки ка.
обладна догово входу в Створе
ння (час ром будь- ння
демонта тягне за яке моделі
жу, собою обладна загроз.
подальш недоот ння
і риманн “Склад"
перероб я сум , яке
ки та доходу потенці
очікуван від йно
ня бізнес- вразлив
поставк процес е.
и нових у
комплек
туючих)
;
8 Усі Збій Бізнес- Час Будь- Витрат Налаш
відділи бізнес- процес просто яка и туванн
організ процесу (прова ю у DDoS створен я
ації або дження викона атака на ня контро
вимуше робіт, нні систему інформ лю
ні послуг клієнтс Network аційног доступ
виробни з ького організ о у.
чі основн догово ації - активу Адекв
простої ої ру - будь- Дохід атна
від діяльно тягне яке організ безпек
третіх сті недоот обладна ації ова
осіб організ риманн ння політи
(постача ації) я сум всієї ка.
ння, доходу організ Створе
відсутні від ації ння
сть бізнес- моделі
комплек процес загроз.
туючих у
та інше)
при
введенні
в
експлуа
тацію
системи
інформа
ції
безпеки;
(DDoS-
атаки на
IP-
телефон
ію,
протидія
-
контрол
ь
доступу
та
політика
аудиту)
9 Усі Знищен Бізнес- Втрата Будь- Витрат Налаш
відділи ня процес інформ яка и туванн
організ інформа (прова аційног DDoS створен я
ації ційного дження о атака на ня контро
активу робіт, активу систему інформ лю
шляхом послуг організ Network аційног доступ
заражен з ації організ о у.
ня всіх основн ації - активу Адекв
інформа ої будь- Дохід атна
ційних діяльно яке організ безпек
активів сті обладна ації ова
компанії організ ння політи
та ації) всієї ка.
знищенн організ Створе
я даних ації ння
(включа моделі
ючи всі загроз.
існуючі
проекти,
докумен
ти,
звітност
і та інші
фактори
бізнес-
процесу
)
1 Усі Збій, Бізнес- Час Будь- Витрат Налаш
0 відділи відмова процес просто яка и туванн
організ у (прова ю у DDoS створен я
ації доступі дження викона атака на ня контро
або робіт, нні систему інформ лю
повне послуг клієнтс Network аційног доступ
поруше з ького організ о у.
ння основн догово ації - активу Адекв
інформа ої ру - будь- Дохід атна
ційної діяльно тягне яке організ безпек
ціліснос сті недоот обладна ації ова
ті ПЗ організ риманн ння політи
або АТ ації) я сум всієї ка.
обладна доходу організ Створе
ння від ації ння
(наприк бізнес- моделі
лад процес загроз.
Tailored у
Access
Operatio
ns) з
можливі
стю
перехоп
лення
управлін
ня або
знищенн
я даних
1 Усі Втрата Бізнес- Час Будь- Витрат Налаш
1 відділи часу - процес "холост яка и туванн
організ "холост (прова ого" DDoS створен я
ації ий" дження обслуго атака на ня контро
бізнес- робіт, вуванн систему інформ лю
процес послуг я при Network аційног доступ
від з викона організ о у.
створен основн нні ації - активу Адекв
ня ої "брехні будь- Дохід атна
зловмис діяльно " - яке організ безпек
никами сті клієнтс обладна ації ова
клону організ ького ння політи
замовни ації) догово всієї ка.
ка ру - організ Створе
клієнта тягне ації ння
(цільова недоот моделі
атака на риманн загроз.
тривали я сум
й час з доходу
подальш від
им бізнес-
знищенн процес
ям у
компанії
)
Активи організації піддаються як навмисним, і випадковим загрозам,
у своїй пов'язані з ними процеси, системи, мережі та люди мають властиві
їм уразливості. Зміни бізнес-процесів та систем або інші зовнішні зміни
(такі як нові закони та регламенти) можуть створити нові ризики для
інформаційної безпеки. Тому, враховуючи безліч способів, якими загрози,
використовуючи вразливості, можуть завдати шкоди організації, можна
стверджувати, що ризики інформаційної безпеки завжди є. Результативний
захист інформації зменшує ці ризики, страхуючи організацію від погроз та
вразливостей та, тим самим, зменшуючи вплив на її активи.
Інформаційна безпека досягається запровадженням відповідного
набору коштів, включаючи політики, процеси, процедури, організаційні
структури, а також програмного та апаратного забезпечення відповідного
призначення. Ці кошти мають бути розроблені та впроваджені, а результати
їхньої роботи повинні відстежуватися, аналізуватися та покращуватися там,
де це необхідно, щоб гарантувати досягнення конкретних цілей організації,
що стосуються безпеки, так і бізнесу в цілому.
Система управління інформаційною безпекою (скорочено СУІБ), як це
визначено в ISO/IEC 27001, дає цілісне, узгоджене уявлення про ризики
організації у сфері інформаційної безпеки з метою здійснення всебічного
комплексу заходів щодо забезпечення інформаційної безпеки в рамках
цілісної системи менеджменту.
Багато інформаційних систем було розроблено без урахування вимог
до безпеки в контексті ISO/IEC 27001 та цього стандарту. Безпека, що
забезпечується лише технічними засобами, має обмежений характер і має
бути доповнена відповідним менеджментом та процедурами. Визначення,
які засоби використовувати у конкретному випадку, вимагає ретельного
планування та уваги до деталей.
Для успішного функціонування СУІБ потрібна її підтримка всіма
працівниками організації. Це може також вимагати участі акціонерів,
постачальників чи інших зовнішніх сторін. Також можуть знадобитися
поради фахівців, що залучаються ззовні.
У більш загальному сенсі результативний захист інформації дає
впевненість менеджменту та іншим зацікавленим особам у тому, що
активам організації забезпечено достатню безпеку та захист від шкоди, що
постає як позитивний бізнес-фактор.
Таким чином, ми можемо розпочати розробку адекватної стратегії
інформаційної безпеки в рамках запропонованої моделі загроз для об'єкта
дослідження.
2.2 Методи реєстрації інцидентів та їх наслідки впливу на
інформаційну безпеку
Для реєстрації інцидентів використовуються спеціальні форми
бланки, що заповнюються оператором ЕОМ у ручну або
напівавтоматичному вигляді.
Таблиця 8 - Технічні характеристики організації
Загальна кількість настільних 20
комп'ютерів
Загальна кількість переносних 15
комп'ютерів
Число фізичних серверів 3
Загальна кількість комунікаційних 1,2
вузлів (маршрутизатори,
комутатори)
Використання захищених каналів відсутнє
передачі даних (VPN)
Використання віртуальних машин локально
локально
Наявність зон безпеки (серверна, відсутні
атестоване приміщення для
переговорів)
Наявність поста охорони наявні
Наявність систем інженерного наявні
захисту
В тому числі: відеоспостереження наявні
У тому числі: охоронна (пожежна) наявні
сигналізація
У тому числі: система контролю наявні
керування доступом
Інші характеристики -
Технічні характеристики організації необхідні складання та аналізу
повного переліку устаткування реєстрації та виявлення інцидентів як
реального часу відповідальною особою чи автоматично.
Для ретельного аналізу необхідно знати повний склад програмного
забезпечення в організації, зазначений у таблиці 9.
Таблиця 9 – Програмне забезпечення, що використовується в
організації
Тип програмного забезпечення Опис використання
Windows 10 Pro
Системне ПЗ
Windows Server 2008
Програмні засоби захисту:
Програмні Засоби Автентифікації Active Directory
Журнали ОС,
Програмні Засоби Маніторингу та аудиту
ISA Server 2006
Сканери захищеності -
Active Directory,
Програмні Засоби Розмежування доступу
ISA Server 2006
Microsoft Antivirus
Антивірусні програми
ESET
AntiSpam Sniper Pro, Microsoft Security
Антиспам програми
Essentials
Міжмережевий екран Microsoft
Міжмереживі екрани
ISA Server 2006
Інструментальне ПЗ:
Засоби розробки програмного
Склад, Бухгалтерия
забезпечення
Системи управління базами даних
MS SQL server 2008 express
(СУБД)
MS Office 2010, 2016, ABBYY FineReader
Офісні програми
12, Acrobat Reader DC, 7zip
Корпоративні інформаційні системи НВІС, 1С, Консультант Плюс; «Дія»
Клієнти для доступу до інтернет-сервісів Mozilla Firefox, Google Chrome
Мультимедіа Media Player Classic
Інші системи -
Вказати види важливої інформації, що обробляється:
- персональні дані клієнтів,
- персональні дані співробітників,
- комерційна таємниця,
- для службового використання.
Вказати чи є в організації записи, які не можуть бути надані для
розгляду аудиторською групою, оскільки містять конфіденційну або
секретну інформацію:
– інформація про клієнтів,
– інформація про співробітників,
– інформація про фінансові операції,
– інформація про операцію у сфері контрактної служби,
– інформація про структуру УЦ,
– інформація про засоби фізичної охорони,
– інформація про структуру локальної обчислювальної мережі та
засоби захисту інформації.
Описати, (якщо це має місце), яке ПЗ (власної розробки або придбане)
використовується в процесі управління Вашою організацією та надання
послуг:
– система контролю доступу СКУД на стадії розробки власної
розробки,
– програма контролю роботи співробітників – у процесі придбання,
– “бухгалтерія” – придбане,
– абонентське обладнання Galileo та оренда сервісу для контролю
службового авто транспорту – придбане.
Передача інформації в сторонні організації через стороннє ПЗ:
- сайт bus.gov.ua паспорт установи, план фінансово-господарської
діяльності, звіти бухгалтерії та економічного відділу по захищеному каналу
зв'язку,
- сайт zakupki.gov.ua здійснення контрактної діяльності по
захищеному каналу зв'язку,
– програма з філіями по краю та центральним офісом із захищеної
мережі.
Останні три-чотири роки витоку даних відбувалися головним чином
через те, що компанії залишали відкриті в Інтернеті сервери MongoDB або
AWS без пароля. Але останніми роками даних інцидентів стало набагато
менше.
Таблиця 10 - Опис технічних засобів та заходів в організації
Технічна міра Засоби та методи використання
Як і за допомогою яких коштів За допомогою штатних засобів
здійснюється розмежування прав серверної ОС Microsoft AD
доступу до інформаційної системи
та встановлення повноважень?
Способи авторизації в програмах, по доменному логіну та паролю
що містять конфіденційну Windows по локальному логіну та
інформацію (за логіном та паролю Windows за обліковим
паролем, по обліковому запису записом Windows за логіном та
Windows, токен і т.д.) паролем СУБД по ip і mac адресам
токен
Засоби резервного копіювання що використовуються
автоматичний бекап засобами
СУБД SQL ручне копіювання
файлів БД SQL засобами ОС
автоматичний бекап (скрипт)
файлів
Компоненти віртуальної VMware ESX Server., СЗ: штатні
інфраструктури, хмарні засоби ОС W8k, антивірусне ПЗ,
компоненти та засоби захисту хмарні компоненти - відсутні
інформації, що використовуються
в них.
Засоби захисту від відсутні
несанкціонованого розтину
корпусу ЕОМ (датчики розтину,
система контролю, пломбування
корпусів ЕОМ)
Захист BIOS від частково
несанкціонованого зміни
налаштувань (наявність пароля
для входу в BIOS, спеціальне
програмне забезпечення тощо).
Чи розгорнуть контролер домену, так, політики діють
чи політики діють.
Застосовувані заходи захисту від ДБЖ у комутаційних шафах,
збоїв електропостачання частково на ПК, частково для
серверів
Чи застосовуються засоби ПЗ TeamViewer 11.0. - VPN не
віддаленого керування об'єктами захищений
внутрішньої ЛОМ ззовні
(AmiAdmin, Radmin або ін.) та
засоби захисту, що
використовуються для цього
віддалених з'єднань (VPN)
У той час як деякі витоку даних будуть відбуватися після хакерської
атаки, велика кількість також відбудеться, тому що на сервері не
встановлений пароль або він має вигляд, що легко підбирає.
Реєстрація всіх типів параметрів дуже важливо задля її подальшого
аналізу проникнення загрози інформаційну систему організації, тк її
відсутність ставить у безвихідь діяльність організації та її фінансовий
відділ, у разі фірми просто банкрутуют.
2.3 Методика обґрунтування оптимальної політики інформаційної
безпеки (методом оптимального програмування)
Лінійне програмування – це напрямок математичного програмування,
що вивчає методи вирішення екстремальних завдань, що характеризуються
лінійною залежністю між змінними та лінійним критерієм, що також
стосується завдань пошуку оптимальної стратегії інформаційної безпеки.
Необхідною умовою постановки завдання лінійного програмування є
обмеження на наявність ресурсів (фінансових) організації, що реалізує
стратегію інформаційної безпеки, які можуть впливати на величину попиту
послуг даної організації, його виробничу потужність та інші виробничі
фактори (продуктивність праці, компетенції кадрів, якість виробництва та
ін.).
У випадку з інформаційною безпекою організації від зовнішніх загроз,
що виникають через три типи загроз: DDoS-атаки, вірус-атаки та інших
видів загроз, до яких можна віднести і спам вплив ми можемо вербально
підійти до розробки математичної моделі інформаційної безпеки. На
малюнку 6 відобразимо як формуються фактори моделі та шукані рішення.
Сутність лінійного програмування пошуку оптимальної стратегії
інформаційної безпеки полягає у знаходженні точок (рішень) найбільшого
чи найменшого значення деякої функції (захищеність інформаційних
активів організації) за певного набору обмежень (фінансові ресурси на
захист інформаційних активів від видів та ймовірності можливих типів
загроз), що накладаються на аргументи і утворюють систему обмежень, яка
має, як правило, безліч рішень.
Рисунок 6 – Вербальне наповнення факторами майбутньої стратегії
інформаційної безпеки організації
На малюнку 6 ми бачимо основні фактори математичної задачі для
пошуку оптимального варіанта стратегії інформаційної безпеки (далі ІБ), а
саме:
- сума всіх можливих інформаційних загроз за допомогою атак ззовні
організації,
- тип загрози та її ймовірність,
- час простою організації (її ланок бізнес-процесу) від кожного
ймовірного типу загрози,
- загальний час втрат бізнес-процесу організації від усіх типів
інформаційних загроз протягом календарного часу (місяць, квартал, рік).
Приблизні ранги загроз ІБ для досліджуваної організації (на малюнку
6) та за результатами проведеного аудиту інформаційних загроз
виглядатиме наступною ієрархією (рангами) загроз. При цьому ієрархія
передбачає і ймовірність виникнення загроз ІБ:
- 0-й рівень (висока небезпека загроз ІБ), - 0 = 0,76 0,99,
- 1-й рівень (середньовисока небезпека загроз ІБ) - 0 = 0,51 0,75,
– 2-й рівень (середня небезпека загроз ІБ) - 0 = 0,26 0,75,
– 3-й рівень (низька небезпека загроз ІБ) - 0 = 0,03 0,25.
Розглянемо ці рівні за джерелами виникнення загроз ІБ. 0-й рівень
(висока небезпека загроз ІБ):
- ІБ у компанії ніхто не займається, керівництво компанії не
усвідомлює важливості проблем ІБ,
- фінансування ІБ відсутнє,
- ІБ реалізується штатними співробітниками, які не мають вищої
освіти в області ІБ та засобами операційних систем, СУБД та додатків
(парольний захист початкового рівня знань, і рівне йому розмежування
доступу до ресурсів та послуг організації).
1-й рівень (середньовисока небезпека загроз ІБ):
– ІБ розглядається керівництвом як суто «технічна» проблема,
відсутня єдина програма (концепція ІБ, політика) розвитку системи
забезпечення ІБ компанії, однак у штаті організації є працівник із вищою
освітою з ІБ,
– фінансування ведеться в рамках загального ІТ–бюджету,
– ІБ реалізується працівником середньої якості знань ІБ, але засобами
нульового рівня плюс кошти резервного копіювання, антивірусні засоби,
міжмережеві екрани, засоби організації VPN (побудови віртуальних
приватних мереж), тобто традиційні засоби захисту.
2-й рівень (середня небезпека загроз ІБ):
-ІБ розглядається керівництвом як комплекс організаційних і
технічних заходів, існує розуміння важливості ІБ для бізнес-процесів, є
затверджена керівництвом програма розвитку системи забезпечення ІБ
компанії,
- фінансування ведеться в рамках окремого бюджету ІБ;
– ІБ реалізується працівниками вищої та середньої якості знань ІБ, а
також засобами посиленої аутентифікації, засобами аналізу поштових
повідомлень та web-контенту, системи виявлення вторгнень (IDS), засобами
аналізу захищеності, засобу одноразової аутентифікації (SSO), наявністю
інфраструктури відкритих ключів (PKI) та впроваджено необхідні
організаційні заходи (внутрішній та зовнішній аудит, аналіз ризиків,
політика ІБ, положення, процедури, регламенти та керівництва).
3-й рівень (низька небезпека загроз ІБ):
- ІБ є частиною корпоративної культури, призначений старший
адміністратор з питань забезпечення інформаційної безпеки (CISA),
- фінансування ведеться в рамках окремого бюджету ІБ з тенденцією
зростання з року в рік,
- ІБ реалізується працівниками вищої якості знань ІБ, а також
засобами другого рівня ІБ плюс система управління ІБ, група реагування на
інциденти порушення ІБ (CSIRT) та супроводжується угодою про рівень
сервісу (SLA).
За результатами аудиту досліджуваної організації, її сервер має ролі:
сховища (SMB/cifs), поштового сервера, веб-сервера (сайт організації), а
також умовні інформаційні одиниці “Підприємство” (куди входять
Бухгалтерія, Склад, Кадри, ПЗ AutoCad, Corel та інше).
Серед потенційних проблем загроз ІБ, можуть бути із зовнішнього
периметра (інтернету), що йдуть за пристроями мережі:
– кореневий маршрутизатор організації:
1) DDoS атака (виведення з ладу),
2) отруєння таблиці маршрутизації (перенаправлення робочого
трафіку співробітників на сервери зловмисника),
– сервер організації:
1) DDoS атаки на серверні служби,
2) DDoS атака на поштовий сервер,
3) спам (засмічення сервера),
4) помилкові клієнтські листи (контракти),
– DDoS атака на сайт організації,
– DDoS атака на служби віддаленого управління (неможливість
ліквідації) простоїв),
1) отримання незаконного доступу до сервера;
2) методом підбору паролів до служб віддаленого управління;
3) методом уразливостей та експлоїтів;
4) фішинг за допомогою підроблених листів,
– знищення робочих даних, включаючи:
1) договори, рахунки, виписки і т.д.,
2) файли проектів AutoCad, Adobe Photoshop,
3) бази даних “Підприємство”, “Склад”, Документообіг – клієнтські
комп'ютери в організації:
1) через пошту,
2) фішингові листи,
3) листи із зараженими вкладеннями (з експлоїтами),
– через самих користувачів:
1) відсутність контролю за знімними носіями, що підключаються,
2) відсутність політики обмеженого запуску програм з довірених
джерел або з довіреними цифровими підписами,
– відсутність розмежувань прав доступу.
Потенційні проблеми з внутрішнього периметра (інтернет):
- відсутність контролю доступу співробітників до мережі та її
ресурсів,
- доступ співробітників до файлів проектів інших співробітників
організації без явної на це необхідності (немає розмежування прав на основі
бізнес-ролі).
Зведемо результати проведеного аудиту ІБ у таблицю 11, де
представлений список можливих (найбільш ймовірних) загроз організації за
ланками бізнес-процесу. Тоді цільова функція Z - пошуку оптимально
безпечної стратегії організації M, повинна прагнути до мінімуму
тимчасових втрат (простоїв Т) її бізнес-процесу від впливу Х можливих
(зовнішніх та внутрішніх) загроз ІБ, і матиме вигляд (1).
(1)
При цьому максимальній сумі можливих тимчасових простоїв Т
бізнес-процесу організації від загроз Х повинна протистояти стратегія ІБ
(заходи щодо протидії загрозам) яка має набір змінних у вигляді (2) і в
загальному підсумку рівному мінімальному часу Т для відновлення бізнес-
процесу організації:
(2)
Де: Тi - максимальний час простою бізнес-процесу:
Тм – мінімальний час на відновлення інформаційних активів бізнес-
процесу. Таким чином, ставиться завдання: знайти екстремум (максимум
або мінімум) цільової функції f(x) за умови, що змінні х належать деякій
області G (рішень), при яких час втрат для бізнес-процесу організації буде
мінімальним, якщо організація застосує заходи для підвищення
інформаційної безпеки M.
Далі, завдання буде зводитись до пошуку такого набору заходів Mk з
відновлення бізнес-процесу організації (3):
(3)
У результаті канонічно подвійна формула завдання вибору
оптимальної стратегії ІБ виглядатиме так (4).
(4)
При цьому - максимальній сумі ймовірнісних збитків Cxi - (від
тимчасових простоїв) бізнес-процесу організації повинен протистояти
(відшкодувати) такий тип стратегії Мz (- набір заходів щодо протидії
загрозам Хi), яка дорівнює мінімальній вартості відновлення Cm
інформаційних активів, що і становить Завдання пошуку функції Zм - типи
стратегій захищеності інформаційних активів.
При обмеженнях (5):
(5)
В результаті діапазон Mz, означає тип стратегії ІБ, де, (+) стратегія
захищає інформаційні активи бізнес-процесу, а (-) стратегія не захищає
інформаційні активи від ймовірних атак.
При цьому заходи інформаційної безпеки для відповідних
інформаційних загроз складаються з наступних змінних (6):
(6)
У таблиці 10 подаємо можливий спектр загроз Х інформаційної
безпеки для відповідних інформаційних загроз згідно з побудовою
інформаційної системи мережі організації та описаного нами бізнес-процесу
в таблиці 10.
В таблиці 10 подаємо можливий спектр заходів щодо відновлення
інформаційної безпеки для відповідних інформаційних загроз згідно з
малюнком 6.
Таблиця 11 – Потенційні загрози Xi для вибору заходів протидії Мi у
рамках проектованої (оптимальної) стратегії ІБ організації
№ Ланка Чинник Вид Ви Ймовірність
бізнес- загрози можливо д реалізації цієї
процесу для ланки го заг загрози
бізнес- шкоди роз
макс міні
процесу и
имум мум
1 2 3 4 5 6 7
1 Відділ Збій чи Час X1 0.6 0.3
бухгалтер відсутніст простою
ського ь до
обліку розрахун отриманн
ково- я авансу
касового від
обслугову замовник
вання а
всієї
організаці
ї
2 Відділ Збій у Час X2 0.5 0.25
дизайну процесі простою
узгоджен до
ня отриманн
дизайн- я авансу
макет від
проекту з замовник
замовник а
ом)
3 Відділ Збій у Час X3 0.6 0.3
продажу, процесі простою
Офіс виконанн до
менеджер я отриманн
організаці клієнтськ я
ї ого підсумко
договору вого
доходу
(виручки
) від
замовник
а
4 Отдел Збій у Час X4 0.6 0.3
бухгалтер процесі простою
ского доступу загальног
учета, або о часу
Склад відсутніст монтажу
организац ь такого та
ии доступу виконанн
до я
агентсько
базі
го
даних
договору
комплект
уючих,
зміна
її вмісту
5 Відділ Збій чи Час X5 0.4 0.3
кошторис відсутніст простою
ів та мат ь доступу до
технічног до бази підписан
о даних ня та
супровод кошторис початку
у ів та старту
комплект виконанн
уючих, я
зміна клієнтськ
їхнього ого
вмісту договору
6 Відділ Збій чи Час X6 0.5 0.25
бухгалтер повний простою
ського зрив при
обліку, постачан виконанн
склад ня і
організаці комплект клієнтськ
ї уючих ого
для договору
виконанн
я
замовлен
ня вже
укладени
м
договора
м з
клієнтами
7 Виробнич Збій або Час X7 0.4 0.2
ий відділ технічна простою
(монтаж, відмова загальног
інженерія вже о часу за
) встановле закінченн
ного за я
договору монтажу
з
клієнтом
змонтова
ного
обладнан
ня
8 Усі Збій Час X8 0.01 0.00
відділи бізнес- простою 1
організаці процесу при
ї або виконанн
вимушені і
виробнич клієнтськ
і простої ого
від договору
третіх
осіб
9 Усі Знищення Втрата X9 0.01 0.00
відділи інформац інформац 1
організаці ійного ійного
ї активу активу
шляхом організац
зараженн ії
я всіх
інформац
ійних
активів
компанії
1 Усі Збій, Час X1 0.01 0.00
0 відділи відмова у простою 0 1
організаці доступі всього
ї або бізнес-
повне процесу
порушенн
я
інформац
ійної
цілісності
ПЗ чи АТ
обладнан
ня
організаці
ї
1 Усі Втрата Час X1 0.01 0.00
1 відділи часу "холосто 1 1
організаці бізнес- го"
ї процесу - обслугов
"холости
й" бізнес- ування
процес при
виконанн
і
"брехлив
ого"-
клієнтськ
ого
договору
У таблиці 10 представлені на наш погляд, найбільш реальні після
проведення аудиту загроз на конкретному прикладі організації 10 типологій
загроз для бізнес-процесу досліджуваної організації, які необхідно
перетворити (спростити, об'єднати) для вирішення математичної задачі
відомим методом.
Відобразимо у таблиці 11-ть вихідний бізнес-процес організації у
вигляді «маршрутної карти» бізнес-процесу для одного замовлення на
інформаційну послугу з монтажу системи відеоспостереження для
замовника, для спрощення (об'єднання) факторів загроз до значення трьох -
Х - таблиця 11-ть.
Таблиця 12 - Стандартна маршрутна карта для бізнес-процесу для
проекту замовлення (на прикладі організації)
почат Закінчен Триваліс Витрат
Назва ресурсів,
Назва етапу ок ня ть и на
використовуют
№ бізнес- етапу етапу етапу етап
ься на етапі
процесу бізнес бізнес- бізнес- бізнес-
бізнес-процесу
- процесу процес процес
проце у
су
1 2 3 4 5 6 7
Чт
Прийом Чт 11.
1 11.10. 1г. Іванова Тетяна 400,00
заявки 10.23
23
Вимірюван Чт 11. Пт 12. Менеджер
2 10 г. 3800,00
ня об'єкта 10.23 10.23 проекту
Начальник
Проект Пт 12. Вт 16.
3 16 г. відділу 6400,00
обладнання 10.23 10.23
проектування
Начальник
Проект Пт 12. Пн 15.
4 12 г. відділу 6800,00
монтажу 10.23 10.23
проектування
Складання
кошторису Пн 15. Вт 16. 13 360,
5 18 г. Кошторисник
на 10.23 10.23 00
обладнання
Складання
кошторису
Пн 15. Пт 19. 13 400,
6 на 40 г. Кошторисник
10.23 10.23 00
монтаж;
Excel
Побудова
проекту Пт 12. Пт 19. Автокадчик
7 40 г. 12 200
монтажу в 10.23 10.23 Олексій
AUTOCad
Побудова
Пт 19. Вт 23. 3
8 кошторису 16 г. Кошторисник
10.23 10.23 367,00
монтажу
Узгодження
Пн 22. Вт 23. зам. Дир. 3
9 з 16 г.
10.23 10.23 Бережнів 600,00
замовником
Укладання
1 Чт 25. Пн 29. Менеджер 5
договору 16 г.
0 10.23 10.23 проекту 600,00
на КСЗІ
Створення
та
1 виставлення Пн 29. Вт 30. Бухгалтер 19
8 г.
1 рахунок- 10.23 10.23 Іванова 760,00
фактури на
монтаж
Створення
та
1 виставлення Пн 29. Пн 29. Бухгалтер 19
8 г.
2 рахунок 10.23 10.23 Іванова 760,00
фактури на
обладнання
Отримання
1 Пн 29. Чт 02.
передоплат 24 г. замовник -
3 10.23 11.23
и
Закупівля за
кошторисом
Пн Матеріали для
1 на Чт 35
29.10. 24 г. лінійної
4 закупівлю 02.11.23 700,00
23 частини
лінійної
частини
Закупівля за
1 кошторисом Пн 29. Чт 02. 411
24 г. Устаткування
5 на 10.23 11.23 755,00
обладнання
1 Перфорація Пн 06. Пн 13. помічник 1
48 г.
6 отворів 11.23 11.23 Андрій 000,00
Прокладка
1 Пн 13. Пн 20. помічник
сполучних 48 г. 500,00
7 11.23 11.23 Андрій
ліній
затягування Слюсар Антон;
1 Пн 20. Вт 21. 2
проводів у 8 г. Автокадчик
8 11.23 11.23 840,00
труби Олексій
Тестування
1 Пн 20. Ср 22. Програміст 4
лінійної 16 г.
9 11.23 11.23 Святослав 000,00
частини
2 Здача за Пт 24. Вт 28. 16 г. Бухгалтер 3
0 Актом 11.23 11.23 Іванова 520,00
лінійної
частини
Слюсар Антон;
2 Монтаж Пт 24. Пн 27. 2
12 г. помічник
1 турнікету 11.23 11.23 860,00
Андрій;
Монтаж Програміст
2 Пт 24. Ср 29. 9
зчитувача 24 г. Святослав;
2 11.23 11.23 720,00
карт Слюсар Антон;
Програміст
Монтаж
Святослав;
2 ЦПУ та Пн 27. Пт 31. 12
32 г. помічник
3 іншого 11.23 11.23 000,00
Андрій;
обладнання
Слюсар Антон;
Програміст
Святослав;
2 Налаштуван Пн 03. Ср 05. 9
20 г. помічник
4 ня СКУД 12.23 12.23 100,00
Андрій;
Слюсар Антон;
Програміст
Святослав;
2 Тестування Чт 06. Пн 10. 6
16 г. помічник
5 системи 12.23 12.23 480,00
Андрій;
Слюсар Антон;
Іванова Тетяна;
Перфораторник
Андрій;
помічник
Андрій;
2 Здача Пн 10. Вт 11. 7
12 г. Програміст
6 об'єкту 12.23 12.23 800,00
Святослав;
Слюсар Антон;
зам.
директора
Бережнів
2 Остаточний Пн 10. Чт 13. 24 г. замовник
7 розрахунок 12.23 12.23
за СКУД
615
Итого 549 г.
722,00
Таблиця 13 – Результат спрощення (об'єднання) факторів загроз
реалізації пошуку оптимальної стратегії ІБ
Назва етапу Триваліст
Назва ресурсів, Декомпозиці
Витрати
бізнес- ь
використовують на етап я факторів
процесу етапу
ся на етапі бізнес-
бізнес- загроз Х
бізнес-процесу процесу
процес
Прийом X1
1 1г. Іванова Тетяна 400,00
заявки
Вимірювання Менеджер
X1
2 10 г. 3800,00
об'єкта проекту
Начальник X2
Проект
3 16 г. відділу 6400,00
обладнання
проектування
Начальник X2
Проект
4 12 г. відділу 6800,00
монтажу
проектування
Складання X2
кошторису 13 360,0
5 18 г. Кошторисник
на 0
обладнання
Складання X2
кошторису
13 400,0
6 на 40 г. Кошторисник
0
монтаж;
Excel
Побудова X2
проекту Автокадчик
7 40 г. 12 200
монтажу в Олексій
AUTOCad
Побудова X2
8 кошторису 16 г. Кошторисник 3 367,00
монтажу
Узгодження з зам. Дир. X1
9 16 г. 3 600,00
замовником Бережнів
Укладання X1
1 Менеджер
договору 16 г. 5 600,00
0 проекту
на КСЗІ
Створення та X2
виставлення
1 Бухгалтер 19
рахунок- 8 г.
1 Іванова 760,00
фактури на
монтаж
Створення та X2
виставлення
1 Бухгалтер 19
рахунок 8 г.
2 Іванова 760,00
фактури на
обладнання
1 Отримання
24 г. X2
замовник -
3 передоплати
Закупівля за X3
кошторисом
Матеріали для
1 на 35
24 г. лінійної
4 закупівлю 700,00
частини
лінійної
частини
Закупівля за X3
1 кошторисом 411
24 г. Устаткування
5 на 755,00
обладнання
1 Перфорація X3
48 г. помічник Андрій 1 000,00
6 отворів
Прокладка X3
1
сполучних 48 г. помічник Андрій 500,00
7
ліній
1 затягування 8 г. Слюсар Антон; 2 840,00 X3
8 проводів у Автокадчик
труби Олексій
Тестування X1
1 Програміст
лінійної 16 г. 4 000,00
9 Святослав
частини
Здача за X2
2 Актом Бухгалтер
16 г. 3 520,00
0 лінійної Іванова
частини
Слюсар Антон; X3
2 Монтаж
12 г. помічник 2 860,00
1 турнікету
Андрій;
Монтаж Програміст X3
2
зчитувача 24 г. Святослав; 9 720,00
2
карт Слюсар Антон;
Програміст X3
Монтаж
Святослав;
2 ЦПУ та 12
32 г. помічник
3 іншого 000,00
Андрій;
обладнання
Слюсар Антон;
Програміст X3
Святослав;
2 Налаштуванн
20 г. помічник 9 100,00
4 я СКУД
Андрій;
Слюсар Антон;
Програміст X3
Святослав;
2 Тестування
16 г. помічник 6 480,00
5 системи
Андрій;
Слюсар Антон;
Іванова Тетяна; X1
Перфораторник
2 Андрій;
Здача об'єкту 12 г. 7 800,00
6 помічник
Андрій;
Програміст
Святослав;
Слюсар Антон;
зам.
директора
Бережнів
В результаті перетворень ми отримаємо такі фактори загроз бізнес-
процесу організації та їх значення:
– X1 Treats = 87 на суму можливої шкоди 31680 гривень,
– X2 Treats = 174 на суму можливої шкоди 98 567 гривень,
– X3 Treats = 240 на суму можливої шкоди 485 475 гривень.
Відповідно, середня тяжкість впливу загроз по кожному із
запропонованих факторів різна (без урахування ймовірності):
X1 = 364,14 гривень
X2 = 566,48 гривень
X3 = 2022,81 гривень
І якщо врахувати ймовірність впливу згідно з даними таблиці 11, то
отримаємо наступні підсумкові ваги факторів, об'єднаних за зонами їх
впливу на бізнес-процес, таблиця 13.
Таблиця 14 - Підсумкові значення факторів загроз Х
для бізнес-процесу
Вид Зона Можливі збитки Можливі збитки
загр впливу (Простий бізнес-процесу) відповідно до
ози
на відповідно до аудиту аудиту
бізнес- ймовірності ймовірності
процес реалізації цієї загрози реалізації цієї
(година) погрози (грн./1
год)
1 2 3 4 5 6 7
X1 Організа макси серед міні макси міні
Trea ція мум ній мум мум мум
ts
X1 Збут та 60,9 39,15 26,1 163,86 109,2
сервіс 4
X2 Облік 121,8 104,4 69,6 339,89 226,5
9
X3 Виробни 168 48 24 404,56 202,2
цтво 8
Разом: Т 350,7 191,5 119,7
5
У наступній таблиці 14 наводяться заходи щодо протидії загрозам
бізнес-процесу і серед них така категорія – налагодження політики безпеки
та відновлення інформаційних активів організації. Для реалізації
математичного завдання – пошуку оптимальної стратегії інформаційної
безпеки (далі ІБ) також спростимо (об'єднаємо) можливі стратегії із заходів
за трьома напрямками:
- M1 restore - максимально-довге налаштування та відновлення
попереднього інформаційного активу (інформаційної одиниці)
ланки бізнес-процесу,
- M1 restore - середнє за часом налаштування та створення
політики безпеки організації з урахуванням актуальних загроз
комп'ютерних систем на основі ролей та функцій у бізнес-процесі,
- M1 restore - мінімальне за часом налаштування політики
інформаційної безпеки всього бізнес-процесу організації.
Необхідно уточнити це поняття: політика безпеки організації у сфері
ІБ - це сукупність документованих рішень як програмних, апаратних,
організаційних, адміністративних, юридичних, фізичних заходів, методів,
засобів, правил і інструкцій, чітко регламентують всі аспекти діяльності
організації у сфері безпеки ІБ.
Основна мета політики безпеки – інформування користувачів,
співробітників та керівництва про накладені на них обов'язкові вимоги щодо
захисту технології та інформаційних ресурсів.
Серед найбільш важливих заходів на сьогодні фахівці виділяють
заходи щодо протидії атакам:
– своєчасне застосування оновлень безпеки (всі пристрої),
– DDoS атаки – настроювання маршрутизаторів на захист від DDoS,
послуги мереж доставки контенту (Content Delivery Network),
– застосування антивірусного захисту;
– застосування системи запобігання вторгненням,
- ведення журналів активності, періодична їх перевірка,
- парольна політика, що дозволяє лише стійкі паролі,
- періодичний аудит (тестування на проникнення).
Усі документально оформлені рішення, що формують політику
безпеки ІБ, мають бути затверджені керівництвом та опубліковані. Усі
співробітники організації мають бути ознайомлені із політикою безпеки ІБ.
Концептуальні питання політики безпеки організації доцільно викласти в
Концепції забезпечення безпеки в автоматизованій системі організації.
Для досліджуваної організації в таблиці 15 наведено основні заходи
щодо відновлення та переформатування політики ІБ та об'єднано у три
наступні групи М для різних рівнів атак та загроз. На час відновлення ІБ,
основними складовими тимчасових витрат, будуть питання:
– визначення цілей безпекової політики,
– визначення принципів забезпечення та меж застосування політики
безпеки,
– коротке роз'яснення (дайджест) політики безпеки,
– відповідність законодавчим актам та стандартам,
– визначення правил придбання інформаційних технологій, що
відповідають вимогам безпеки,
– визначення політики забезпечення безперервності роботи та
відновлення АС,
– визначення політики конфіденційності стандартних сервісів
(електронна пошта (ЕП), Інтернет, VPN, мобільні користувачі),
– визначення політики аутентифікації (паролі, рекомендації з
аутентифікації віддалених суб'єктів та використання аутентифікуючих
пристроїв),
Таблиця 15 – Результат спрощення (об'єднання) заходів ІБ для
інформаційної безпеки організації
№ Захід для Час Час Час Факто
протидії загрозам відновлення відновленн відновленн р
бізнес-процесу (годинах) я (годинах) я (годинах) моделі
організації якщо атака якщо атака якщо атака
агресивна помірна слабка
1 2 3 4 5 6
1 Налаштування та 476 333,2 142,8 M1
відновлення
попереднього
інформаційного
активу (інформаційної
одиниці) ланки, у
тому числі:
а) бази “Бухгалтерії” 112 78,4 33,6
б) бази “Складу” 72 50.4 21.6
в) проекти Adobe 48 33.6 14.4
Photoshop
г) бази Microsoft Excel 36 25.2 10.8
(калькуляції)
д) бази договорів з 160 112 48
постачальниками
е) бази договорів з 48 33,6 14,4
замовниками
2 Налаштування 89 62,3 26,7 M2
політики інф.
безпеки (у тому
числі):
а) переналаштування 24 16,8 7,2
обладнання
відповідно до
створеної політики
безпеки
б) заміна обладнання, 25 17,5 7,5
яке неможливо
налаштувати
відповідно до
створеної політики
в) налаштування 11 7,7 3,3
системи
контролю доступу
(TACACS/RADIUS/A
D)
г) налаштування 5 3,5 1,5
політики
безпеки на
клієнтських
машинах організації
(Доменні політики
AD, політики
обмеженого
поширення програм)
д) політика 5 3,5 1,5
мінімального
доступу для
користувачів до
ланкам бізнес-процесу
е) налаштування 16 11,2 4,8
комутаційного
обладнання на основі
політики безпеки
ж) налаштування 3 2,1 0,9
доступу до
мережевим ресурсам
на основі
політики безпеки та
ролей підрозділів
організації
3 Створення політики 40 28 12 M3
безпеки організації з
врахуванням
актуальних загроз
комп'ютерних систем
на основі ролей і
функцій в бізнес-
процесі
Разом Т на 605 423.5 181.5
відновлення:
Заходи ІБ для вибору стратегії інформаційної безпеки організації:
– визначення політики розмежування доступу та привілеї для різних
категорій співробітників (користувачів, системних адміністраторів,
адміністраторів безпеки, керівників);
– виявлення та блокування вірусів та інших шкідливих програм;
– визначення порядку розробки та супроводу АС
– навчання персоналу з питань безпеки ІБ,
– захист від не декларованих можливостей ПЗ,
– ліквідація наслідків порушення політики безпеки та відповідальність
порушників,
– посилання на детальніші документи з безпеки ІБ (положення,
інструкції),
– аудит та оновлення політики безпеки.
На жаль, на практиці після впровадження в організаціях систем
забезпечення ІБ можуть бути недоліки, серед яких можна виділити типові:
- відсутність необхідної організаційної основи, що забезпечує
узгоджені дії підрозділів організації з вироблення та реалізації єдиної
політики безпеки ІБ,
- відсутність в організаційно-штатній структурі організації
спеціального підрозділу, безпосередньо відповідального за вирішення
питань забезпечення безпеки ІБ в організації, за розробку та впровадження в
організації єдиної технології управління безпекою ІБ,
– неповнота та суперечливість нормативно-правової бази організації з
питань забезпечення безпеки ІБ, слабка ув'язка існуючих організаційно-
розпорядчих документів з реальними потребами та вимогами,
- відсутність системного підходу до забезпечення безпеки ІБ
організації, при якому була б забезпечена комплексна захист інформації на
всіх етапах життєвого циклу АС та технологічних циклів її обробки та
передачі.
Серед таких методик можна назвати Infrastructure Maturity Model
(Gartner Group), Architecture Maturity Model (MTI), Infrastructure Optimization
Model (Microsoft) та низку інших. Набір послуг у моделях зрілості часто
називають рівнем зрілості.
2.4 Висновки у розділі
У цьому розділі розроблено модель загроз для бізнес-процесу
організації. Наведено малюнок вербального наповнення факторами
майбутньої стратегії інформаційної безпеки організації. Розписано ієрархію,
яка передбачає ймовірність виникнення загроз ІБ.
Визначено потенційні проблеми загроз ІХ, які можуть бути із
зовнішнього периметра (інтернету), по пристроях мережі.
Подано канонічно подвійну формулу завдання вибору оптимальної
стратегії ІБ.
Представлено вихідний бізнес-процес організації (на прикладі ТОВ
«Кронвел» м. Ставрополь) у вигляді «маршрутної карти» бізнес-процесу для
одного замовлення на інформаційну послугу з монтажу системи
відеоспостереження для замовника, для спрощення (об'єднання) факторів
загроз до значення трьох - Х.
ВИСНОВОК
У першому розділі випускної роботи розглянуто:
– основи інформаційної безпеки бізнес-процесу організації та сучасні
проблеми даної теорії,
– мета забезпечення інформаційної безпеки інформаційних активів
організації, що беруть участь у бізнес-процесі,
– методологічні основи інформаційної безпеки для вибору стратегії ІБ,
– типи сучасних загроз інформаційної безпеки
– компоненти, що підлягають захисту інформаційної безпеки.
Також перераховано тактичні заходи щодо забезпечення
інформаційної безпеки організації.
Представлено динаміку загроз інформаційній безпеці у 2018 році на
прикладі кількох організацій, яка включила у себе всіляке обладнання, яке
контактує з мережею.
Докладніше розглянуто зарубіжний досвід розробки стратегії
інформаційної безпеки, а також досвід реєстрації загроз та законодавство
про кіберзлочини, де зазначені статті та терміни покарань Кримінального
кодексу в різних країнах.
Наведено приклади факторів, що впливають на розробку стратегії
інформаційної безпеки для організацій.
У другому розділі описані теоретичні основи моделювання стратегії
та методологічні проблеми визначення цілей стратегічного моделювання
інформаційної безпеки для бізнес-процесу організації.
Наведено малюнки розташування суб'єктів управління інформаційною
системою бізнес-процесу організації, об'єднаних єдиним кіберпростором.
Вказано можливі атаки по зонах бізнеспроцесу, а також розроблено
необхідні заходи щодо протидії кібератакам ззовні організації.
Наведено вербальний математичний опис факторної моделі
інформаційної безпеки для бізнес-процесу з використанням вхідних та
вихідних величин ймовірності загроз для всієї системи інформаційної
безпеки, а також будь-які фактори, що впливають на них з боку зовнішнього
середовища. Імовірні загрози наводять у простою бізнеспроцесу на
величину часу, а заходи протидії мають час, необхідний реалізації типу
стратегії ІБ.