Научная статья на тему 'Інформаційні загрози та проблеми забезпечення інформаційної безпеки промислових компаній'

Інформаційні загрози та проблеми забезпечення інформаційної безпеки промислових компаній Текст научной статьи по специальности «Экономика и бизнес»

CC BY
352
54
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
інформаційні загрози / інформаційна безпека / інформаційні технології / джерела загроз / промислова компанія / information threats / information security / information technology / threat sources / industrial company

Аннотация научной статьи по экономике и бизнесу, автор научной работы — А І. Кунинець, Ю І. Грицюк

Розглянуто причини виникнення сучасних інформаційних загроз та проблеми забезпечення інформаційної безпеки (ІБ) промислових компаній. З'ясовано, що проблема забезпечення ІБ будь-якої компанії є надзвичайно актуальною на сучасному етапі розвитку інформаційних технологій (ІТ), вона супроводжується постійними інформаційними загрозами – як зовнішніми, так і внутрішніми. Тому керівники служб ІБ мають прийняти як аксіому твердження про те, що звичайна оперативність реагування на сучасні загрози ІБ вже не є достатньою для запобігання їм чи знешкодження з найменшими втратами.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Information threats and issues of information security of industrial companies

The reasons for the emergence of modern information threats and problems of information security (IS) manufacturing companies. It was found that the issue of information security of any company is extremely topical at the present stage of development of information technology (IT), followed by constant information threats – both external and internal. Therefore, security service managers must take for granted the claim that the usual quick response to modern threats IS is no longer sufficient to prevent them or neutralization with minimal losses.

Текст научной работы на тему «Інформаційні загрози та проблеми забезпечення інформаційної безпеки промислових компаній»

11. Буч Грейди. Язык UML. Руководство пользователя = The Unified Modeling Language user guide / Грейди Буч, Джеймс Рамбо, Айвар Джекобсон. - Изд. 2-ое, [перераб. и доп.]. - М .СПб. : ДМК Пресс, изд-во "Питер", 2004. - 432 с.

12. Буч Г. UML. Классика CS : пер. с англ. / Г. Буч, А. Якобсон, Дж. Рамбо. - Изд. 2-ое, [перераб. и доп.] / под общ. ред. проф. С. Орлова. - СПб. : Изд-во "Питер", 2006. - 736 с.

13. Пукач А.1. Розроблення спещалiзованоi комп'ютерно! системи для автоматичного контролю величини резистивних параметрiв мжроелектромехашчних систем / А.1. Пукач, В.М. Теслюк, Р.-А.Д. 1ванщв // Збiрник наукових праць 1ППМЕ iм. Г.С. Пухова НАН Укра-ши. - К. : Вид-во 1ППМЕ iм. Г.С. Пухова, 2012. - Вип. 64. - С. 197-202.

Пукач А.И., Теслюк В.Н., Теслюк Т.В. Разработка микроконтроллера специализированной компьютерной системы автоматического контроля величины резистивных параметров микроэлектромеханических систем

Разработан микроконтроллер на базе микроконтроллера семейства Arduino, и соответствующее программное обеспечение (ПО), для специализированной компьютерной системы (СКС) автоматического контроля величины резистивных параметров микроэлектромеханических систем. Для обеспечения максимального соответствия разработанного ПО аппаратной составляющей разработанной системы был применен подход с использованием унифицированного языка моделирования UML.

Ключевые слова: система, автоматизация, контроль, МЭМС, резистор, Arduino, UML, модель.

Pukach A.I., Teslyuk V.M., Teslyuk T.V. Development of microcontroller of specialized computer system for automatic control of micro-electro-mechanical system resistive parameters value

In this article a microcontroler of the specialized computer system for automatic control of MEMS resistive parameters value, based on Arduino microcontrollers family, and related software, are developed. For ensuring maximal accordance between developed software and appropriate hardware component of developed system the Unified Modeling Language (UML) approach was applied.

Keywords: system, automation, control, MEMS, resistor, Arduino, UML, model.

УДК 004.056:061.68 Студ. А.1. Кунинець, магктрант;

проф. Ю.1. Грицюк, д-р техн. наук - Львiвський ДУ БЖД

1НФОРМАЦ1ЙН1 ЗАГРОЗИ ТА ПРОБЛЕМИ ЗАБЕЗПЕЧЕННЯ ШФОРМАЦШНО1 БЕЗПЕКИ ПРОМИСЛОВИХ КОМПАН1Й

Розглянуто причини виникнення сучасних шформацшних загроз та проблеми забезпечення шформацшно! безпеки (1Б) промислових компанш. З'ясовано, що проблема забезпечення 1Б будь-яко! компани е надзвичайно актуальною на сучасному еташ розвитку шформацшних технологш (1Т), вона супроводжуеться постшними ш-формацшними загрозами - як зовшшшми, так i внутршшми. Тому керiвники служб 1Б мають прийняти як аксюму твердження про те, що звичайна оператившсть реагу-вання на сучасш загрози 1Б вже не е достатньою для запоб^ання !м чи знешкоджен-ня з найменшими втратами.

Ключовг слова: шформацшш загрози, шформацшна безпека, шформацшш технологи, джерела загроз, промислова компашя.

Вступ. У процес свое! д1яльносп будь-яка компашя оперуе шформа-щею як специф1чним товаром значно! вартосп. Володшня достов1рною 1 своечасною шформащею, а також !! оптимальне використання забезпечуе ефективне функцюнування суб'екта господарювання як цшюного комплексу [4]. Тому проблема забезпечення шформацшно! безпеки (1Б) будь-яко! ком-

пани [2] е надзвичайно актуальною на сучасному етат розвитку шформа-цiйних технологш (1Т), яка супроводжуеться постiйними шформацшними загрозами - як зовшшшми, так i внутрiшнiми [1].

Загрози 1Б - це сукупнiсть умов i чинниюв, що створюють небезпеку життево важливим iнтересам компанп в шформацшнш сферi [1]. Дослщжен-ня причин виникнення загроз, 1х характеристик, особливостей впливу на кор-поративнi мережi та iнформацiйнi ресурси сприяе розробленню ефективних заходiв 1х захисту, спрямованих на забезпечення нормально! господарсько! дiяльностi компанiй [4, 7, 10]. Управлшня 1Б та стiйкiстю функцiонування компанш залежить вiд глибини прогнозу соцiально-економiчних наслiдкiв небезпечних ситуацiй та своечасного планування та виконання низки запо-бiжних i захисних заходiв [8].

Зпдно з даними звiту "Глобальне дослiдження шформацшно! безпеки, 2012 рж", який 29 жовтня 2012 р. опублжувала компанiя "Ернст енд Янг1", для захисту компанiй вiд загроз 1Б, якi е наслiдком ди наявних i впроваджен-ня нових 1Т, потрiбно докорiнно змiнити тдхщ до забезпечення !х 1Б [5, 6]. Цей звгг (вже п'ятнадцягий за рахунком) е одним з найбшьш повних досль джень в галузi 1Б, який базуеться на вщповщях понад 1850 респондентiв - ке-рiвникiв iнформацiйно-комунiкацiйних мереж i служб 1Б з 64 кра!н свiту.

Хоча на сьогоднi керiвники практично всiх компанiй поступово наро-щують свiй потенцiал у виршенш короткотермiнових завдань [10], пов'яза-них iз проблемою забезпечення 1Б, але при цьому не придiляють уваги проблемам, виршення яких е доцшьним вже зараз для зниження загрози 1Б в майбутньому. Насамперед в1дчуваеться потреба в створеннi надшно! архггек-тури 1Б, про наявнють яко! зголосилися тiльки 31 % респондента i вщзначи-ли збшьшення кiлькостi випадкiв !! порушення протягом останнiх двох рокiв. Тим не менш, в 63 %> компанiй така архiтектура не створена, i тiльки 16 °% респондента вважають, що !х система 1Б повнiстю вiдповiдае потребам захисту власних корпоративних мереж та шформацшних ресуршв [3].

Це означае, що керiвники служб 1Б мають прийняти як аксiому твер-дження про те, що звичайна оператившсть реагування на сучаснi загрози 1Б вже не е достатньою для !х попередження чи знешкодження з найменшими втратами [2, 4, 6, 8]. Швидюсть i складнiсть динамiки джерел загроз 1Б про-мислових компанш зростае з роками колосальними темпами. I без того непроста ситуащя у сферi 1Б ускладнюеться впливом ринкiв нових 1Т, кшьюсть яких стрiмко розвиваються, тривалою нестабшьнютю в економiцi та полiтицi, офшорнш дiяльностi багатьох промислових компанiй i посиленням норма-тивних вимог у сферi 1Б.

1. Зб1льшення кшькост загроз 1нформац1йн1й безпец1. У багатьох керiвникiв служб 1Б промислових компанш на сьогодш вже е розумшня того, що сама природа i характер ризикiв втрат iнформацiйних ресуршв швидко мь

1 Компатя "Ернст енд Янг" е м1жнародним лщером з аудиту, оподаткування, супроводу угод i консульту-вання. Колектив компанп нараховуе 167 000 спiвробiгникiв у р1зних кра!нах свпу, яких об'еднують стльш цiнносгi та високi стандарти якост послуг.

няються, а разом i3 збiльшенням частоти появи загроз 1Б зростае i юльюсть порушень та iнцидентiв 1Б [2, 7]. Приблизно 77 % респонденпв рiзних ком-панiй пiдтвердили зростання ризику зовнiшнiх хакерських атак, проте вони не е единим джерелом занепокоення для вирiшення глобальних проблем 1Б, позаяк 46 % респонденпв вiдзначають, що внутрiшня уразливiсть шформацшних ресуршв також невпинно зростае за рахунок iнсайдерiв. Постiйне зростання обсягу VoIP-продукпв змушуе керiвникiв служби 1Б швидше ре-агувати на появу нових витоюв конфщенцшно1 шформацп [9, 10].

Компанiя Sophos1 опублжувала "Дослiдження загроз у сферi 1Б - 2013", в якому було проведено детальний аналiз подiй в област 1Т-безпеки за 2012 року та зроблено прогноз на 2013 рж [6]. Зокрема, зазначалося, що 80 %> хакерських атак у 2012 рощ використали переадресащю з шбито благона-дiйних сайтiв рiзних органiзацiй, а майже 18 % домешв - з експлойт Blackhole, якi знаходилися в Росп. За словами фахiвцiв ще1 компанп, 2012 рж був роком нових програмних платформ i нових хакерських загроз. Якщо зовсiм недавно основною операцшною системою в свiтi була Windows, то тепер на зм^ 1й прийшла нова рiзноманiтнiсть програмних платформ. Розробники шюдливого ПЗ активно користуються цiею ситуацiею, придумуючи новi неприемш сюр-призи для працiвникiв вщдшу 1Т та служби 1Б промислових компанш.

Незахищеш комп'ютери схильнi до атак рiзного шкiдливого ПЗ, яке поширюеться мережею 1нтернет [2]. Шюдливе ПЗ (англ. malware, malicious software - шюдлива програма, зловмисне ПЗ) - будь-яке ПЗ, призначене для отримання несанкщонованого доступу до обчислювальних ресурив самого комп'ютера або до шформацшних ресуршв, якi зберiгаються на ньому, призначене для несанкщонованого власником 1х використання чи спричинення шкоди (нанесення збитку) власниковi комп'ютера, шформацп чи комп'ютер-нiй мережi шляхом копiювання, спотворення даних, видалення або пiдмiни шформацп.

Термiн "шюдлива програма" (malware - це скорочення вщ "malicious software") за трактуванням корпорацп Microsoft зазвичай використовуеться як загальноприйнятий термш для позначення будь-якого ПЗ, спещально створеного для того, щоб заподiювати збиток окремому комп'ютеру, серверу, або комп'ютернш мережi, незалежно вiд того, чи е воно вiрусом, шпигунсь-кою програмою i т. д.

Шкiдливi програми за нанесеним збитком подшяються на таю, що:

1) Створюють перешкоди в робот зараженого комп'ютера: починаючи вщ вiдкриття-закриття пiддону CD-ROM i заюнчуючи знищенням даних i поломкою апаратного забезпечення; блокування антивiрусних сайпв, антивь русного ПЗ i адмшютративних функцiй ОС з метою ускладнення 1х л^ван-ня; саботаж виробничих процешв, керованих комп'ютером (цим вщомий черв'як Stuxnet).

1 Sophos - розробник/виробник засоб1в захисту шформацп для наст1льних комп'ютер1в, сервер1в, поштових систем i мережевих шлюз1в. Компашя створюе програмш та апаратш продукты для фшьтрацл спаму, бо-ротьби з в1русами i шпигунським ПЗ, а також розробляе криптограф1чш засоби i DLP-системи. Заснована компашя у 1985 рощ, штат натчуе близько 1500 пращвниюв.

2) Виконують шсталящю iншого шкiдливого ПЗ: завантаження з ме-режi (downloader); розпаковування iншоï шкiдливоï програми, що вже мю-титься уcерединi файлу (dropper).

3) Здiйcнюють крадiжку, шахрайство, здирство i шпигунство за корис-тувачем. Для крадiжки може застосовуватися сканування жорсткого диска, реecтрацiя натиснень клавш (Keylogger) i перенаправлення користувача на тдроблеш сайти, в точноcтi повторюючи вихiднi ресурси. Викрадання даних, яю представляють цiннicть або таемницю. Крадiжка аккаунтiв рiзних служб (електронноï пошти, меccенджерiв, iгрових cерверiв.). Аккаунти застосовують-ся для розсилання спаму, а через електронну пошту можна роздобути паролi вiд iнших аккаунтiв, водночас як вiртуальне майно можна продати в MMOG (Massively multiplayer online game). Крадiжка аккаунтiв платiжних систем.

Шюдливе ПЗ створюють блокування комп'ютера, шифрування файлiв користувача з метою шантажу i здирства грошових кошпв (Ransomware1). Здебiльшого пicля оплати комп'ютер або не розблоковуеться, або незабаром блокуеться другий раз. Шкiдлива програма використовуе телефонний модем для здшснення дорогих дзвiнкiв, що спричиняе за собою значш суми в теле-фонних рахунках. Платне ПЗ, яке iмiтуе, наприклад, антивiруc, але шчого ко-рисного для цього не робить (fraudware або scareware).

4) Виконують шшу незаконна дiяльнicть: отримання несанкцюновано-го (i дармового) доступу до ресуршв самого комп'ютера або трепх реcурciв, доступних через нього, у т.ч. пряме управлшня комп'ютером (так званий backdoor). Органiзацiя на комп'ютерi вiдкритих релеïв i загальнодоступних прокci-cерверiв. Заражений комп'ютер (у cкладi ботнета) може бути викорис-таний для проведення DDoS-атак. Збирання адрес електронноï пошти i поши-рення спаму, у т.ч. у cкладi ботнета2. Накручування електронних голосувань, клацань по рекламних банерах. Генерування монет платiжноï системи Bitco-in. Використання ефекту 25-го кадру для зомбування людини.

5) Записують файли, яю не е ютинно шюдливими, але здебшьшого не-бажанi: жартiвливе ПЗ, тобто робить яю-небудь речi, що непокоять користувача. Наприклад, програма Adware показуе рекламу, а програма Spyware по-силае через мережу 1нтернет iнформацiю, неcанкцiоновану користувачем. Створюють видимють "отруення" документiв, яю дестабЫзують ПЗ, що вщ-кривае ïх (наприклад, архiв розмiром менше мегабайта може мютити пга-байти даних, а при його архiвуваннi може надовго "зависнути" архiватор). Програми вщдаленого адмiнicтрування можуть застосовуватися як для того, щоб диcтанцiйно вирiшувати проблеми з комп'ютером, так i для зловмисних цшей. Rootkit (руткiт, вщ англ. root kit, тобто "набiр root'а") програма або на-бiр програм, призначений для приховування слдав приcутноcтi зловмисника або шкiдливого ПЗ вщ cтороннiх очей.

1 Ransomware (вщ англ. ransom - викуп i software - програмне забезпечення) - це шкiдливе ПЗ, яке працюе як здирник.

2 Ботнет (англ. botnet вiд robot i network) - це комп'ютерна мережа, яка складаеться з деяко1 кшькост1 хост1в, i3 запущеними ботами - автономним ПЗ. Найчастiше бот у склада ботнета е програмою, яка приховано встановлюеться на комп'ютерi жертви i дае змогу зловмисниковi виконувати певнi Д11 з використанням ре-сурсiв iнфiкованого комп'ютера.

1нколи шюдливе ПЗ для власного "життезабезпечення" встановлюе додатковi утилiти: Ш.С-ктенти, nporpaMHi маршрутизатори, вiдкритi 6!6ль отеки перехоплення клавiатури. Таке ПЗ шкiдливим не е, але через те, що за ним часто знаходиться бшьш шюдлива програма, яка детектуеться антивiру-сами. Бувае навпъ, що шкiдливим е тшьки скрипт з одного рядка, а останш програми сповна лептимш.

Шкiдливi програми за методом розмноження подшяються на:

1) Експлойт1 - теоретично нешюдливий набiр даних (наприклад, гра-фiчний файл або мережевий пакет), що некоректно сприймаеться програмою, яка працюе з такими даними. Тут шкоду наносить не сам файл, а неадекватна поведшку ПЗ з помилкою. Також експлойтом називають програму для гене-рування подiбних "отруених" даних.

2) Логiчна бомба в програмi спрацьовуе за певноï умови, е не-вiд'емною вщ корисноï програми-носiя.

3) Троянська програма не мае власного мехашзму розмноження.

4) Комп'ютерний вiрус розмножуеться в межах комп'ютера i через змшш диски. Розмноження через локальну мережу можливо, якщо користу-вач сам викладе заражений файл в мережу. Вiруси, водночас, подiляються за типом файлiв, що заражаються (файловi, завантажувальш, макро-файловi, та-кi, що автозапускаються); за способом прикрiплення до файлiв (паразитнi, су-путнi i таю, що перезаписують) i т.д.

5) Мережевий черв'як здатний самостшно розмножуватися мережею. Подiляеться на IRC2, поштов^ такi, що розмножуються за допомогою експлойтiв i т.д.

Шкiдливе ПЗ може утворювати ланцюжки: наприклад, за допомогою експлойта (1) на комп'ютерi жертви розгортаеться завантажувач (2), який встановлюе з мережi 1нтернет черв'яка (3)

Мiжнародна мережа центрiв дослщжень в галузi 1Б SophosLabs компа-нiï Sophos на основi аналiзу мережевого трафiку створила рейтинг краш з найбiльшим i найменшим ризиками (шдекс поширеностi шкiдливого ПЗ роз-рахований на основi кiлькостi хакерських атак комп'ютерiв за останнi три мь сяцi 2012 року) [8]:

• з найбшьшим ризиком: Гонконг - 23,54 %; Тайвань - 21,26 %; Арабськi Емь

рати - 20,78 %; Мексика - 19,81 %; Iндiя - 17,44 %.

• з найменшим ризиком: Норвегiя - 1,81 %; Швецш - 2,59 %; Японiя - 2,63 %;

Великобританiя - 3,51 %; Швейцарiя - 3,81 %.

Фахiвцi компанiï Sophos вважають, якщо до цього моменту безлiч хакерських атак не завдавали iстотноï шкоди компанiям, то в 2013-му, з розвит-ком рiзних програмних платформ для тестування наборiв експлойпв - шк1д-

1 Експлойт (вщ англ. exploit - експлуатувати) - це комп'ютерна програма, фрагмент програмного коду або посл1довн1сть команд, що використовують вразлнвост1 в ПЗ та призначет для проведення атаки на обчис-лювальну систему. Метою атаки може бути як захоплення контролю над системою (пщвищення прив1ле-1'в), так i порушення ïi функцюнування (DoS-атака).

2 IRC (в1д англ. Internet Relay Chat) - сервк мереж1 1нтернет, який надае користувачам можлив1сть сп1лку-вання шляхом надсилання текстових пов1домлень багатьом людям з усього свпу одночасно (в режим! реального часу).

ливого ПЗ, ситуащя може кардинально змшитися - традицшш системи 1Б корпоративних мереж перестануть !х захищати вiд нових загроз. Деякi вироб-ники подiбних платформ навiть гарантують покупцям повернення кошпв у разi невдачi 1х продуктiв. Внаслiдок цього очiкуeться збшьшення кiлькостi шциденпв, коли шахра1 отримають доступ до корпоративних мереж i активно користуватимуться ними.

Також для 2013 р. в галузi 1Б буде характерно:

• збшьшення кшькосп критичних помилок для систем 1Б у налаштуваннях

веб-серверш;

• зростання обсяпв шюдливого ПЗ, яке важко анал1зувати;

• поява шструменпв для створення хакерських програм з новими сервюами;

• спрощення процесу виявлення експлойтш - шюдливого ПЗ;

• проблеми штеграци, конфвденцшносп шформацн та 11 безпеки.

Поява нових 1Т ввдкривають перед компашями не тшьки небачеш можливосп, але й пiддають !х потенцшним загрозам з невiдомих ранiше джерел [1, 7, 10]. Хмарш комп'ютерш технологи як i ранiше е головним дже-релом iнновацiй в сучасному iнформацiйному середовищi: за останш декшь-ка рокiв кiлькiсть компанш, якi використовують хмарнi обчислення, збшьши-лася майже удвiчi. Тим не менше, 38 % таких компанш не вжили жодних за-ходiв щодо зниження ризикiв витоку шформацн, зокрема не забезпечили бiльш строгого нагляду за управлiнням контрактами з провайдерами, як на-дають послуги з хмарного оброблення даних, або застосування методiв шиф-рування [9].

Ще однiею новою 1Т, яка заслуговуе на увагу, е мобшьш пристро! для роботи в мережi 1нтернет, технологiчну досконалiсть яких, а також пов'язаш з ними переваги для бiзнесу, забезпечили стрiмке зростання !х популярностi [4]. Станом на 2012 рж 44 % рiзних компанiй давали змогу сво!м пращвни-кам використовувати корпоративнi або особисп планшети (аналогiчний по-казник за 2001 рж становив 20 %), за допомогою яких спiвробiтники выправляли i отримували значнi обсяги шформацн, що ютотно ускладнювало контроль за 1Б не тшьки корпоративно! мережi, але й вше! компанн загалом.

Керiвники служб 1Б визнають, що мобiльним технологiям потрiбно придiляти бiльш пильну увагу [9]. При цьому засоби забезпечення 1Б i спецi-альне програмне забезпечення, яке б вщстежувало трафiк мобшьних пристро-!в, як i рашше досить рiдко застосовуються на динамiчному ринку мобiльних технологiй. Тiльки 40 % рiзних компанiй використовують той чи шший метод шифрування даних на мобiльних пристроях.

2. Витрати на забезпечення 1Б б1льш1 - ефективн1сть менша. Бiль-шють керiвникiв рiзних компанiй вiдповiдають на зростання ризиюв i збiль-шення кшькосп шформацшних систем, як1 тдлягають захисту, збiльшенням бюджетiв на !х обслуговування та змiною прiоритетiв [5, 6]. 51 % керiвникiв рiзних компанiй повiдомили, що в 2013 рощ планують збiльшити бюджет на 5 %. 32 % компанш вклали в розвиток системи 1Б бiльше 1 млн $, однак обсяг швестицш iстотно вiдрiзняеться залежно вiд регiону: 48 % американських компанш витратили на 1Б бшьше 1 млн $, водночас як у Азiатсько-Тихооке-

анському регюш, кра1нах Свропи, Близького Сходу, Африки i в 1ндн (ЕМЕ1А) частка таких компанш становила 35 % i 26 % вiдповiдно. Що сто-суеться розподiлу бюджету, то головними статтями витрат е отримання но-вих 1Т (55 %) i забезпечення безперервностi бiзнесу (47 %).

Однак заплановане збiльшення бюджету на удосконалення системи 1Б виявиться ефективним тшьки в разi належного розподiлу обов'язкiв мiж вщ-повщальними за прийняття рiшень. У багатьох компашях питанням забезпечення 1Б як i ранiше займаються шформацшно-технолопчш вiддiли: 63 % респондентiв повщомили, що вiдповiдальнiсть за 1Б в 1х компанiях знахо-диться на фахiвцях у областi 1Т [9]. Осюльки забезпечення 1Б починае вихо-дити за рамки традицiйних можливостей 1Т, в даний час потрiбно приймати рiшення про вибiр дещо iнших iнструментiв, процесiв i методiв монiторингу джерел загроз 1Б, ощнювання ефективностi роботи персоналу служби 1Б, по-шуку прогалин у системi 1Б, що i визначае потребу перерозподшу вщповь дальностi.

Станом на 2012 рж тiльки 5 % компанш стверджують, що забезпечення 1Б належить до компетенцн керiвника служби управлiння ризиками [7]. У багатьох компашях таю служби не забезпечеш наявними формалiзованими механiзмами ощнювання ризиюв. Як наслiдок, 52 % компанш не мають у своему розпорядженш програм аналiзу та збирання даних про ризики. Збшь-шення 1х кiлькостi та розриву мiж рiвнями уразливостi та захищеностi компа-нн вимагае використання декiлькох джерел та (або) функцш оцiнювання стану 1Б, в т.ч. i внутрiшнiй аудит, внутрiшню самооцiнку i оцiнку третiх сторiн.

При прийнятп рiшень щодо забезпечення 1Б керiвники деяких компа-нiй враховують питання наявност квалiфiкованих кадрiв i 1х вiдповiдна тд-готовка, рiвня зршосп працiвникiв щодо оргашзацн 1Б, видшення бюджету на 1х ефективне функщонування [10]. Але цi очевиднi питання, як i численнi обхiднi ршення, що дають змогу задовольнити потреби 1Б в короткотермшо-вiй перспектив^ приховують бiльш серйозну проблему шформацшно-комуш-кацшно1 вразливостi будь-яко1 компанн.

Практика роботи керiвникiв рiзних компанiй Укра1ни щодо 1Б загалом не вiдрiзняеться в кращий бiк вiд загального 11 стану, якi спостерiгаються в кра1нах ближнього i дальнього зарубiжжя. Бiльшiсть компанн в основному проводять реактивш дп на тi, чи iншi iнциденти 1Б; рiзнi пщроздши, якi в рамках одше1 компанп так чи iнакше займаються питаннями ощнювання загроз та управлшня 1Б, дiють найчастiше роз'еднано й фрагментарно покрива-ють тiльки явно видимi проблеми; iнформацiйнi процеси шби i контролю-ються, але далеко не вш, якi варто було б вщстежувати. Внаслiдок цього ви-ходить як за Райкiним - Гудзики пришитi вiдмiнно, кишенi на мющ, але костюм при цьому "якийсь не такий".

Щодо перспектив удосконалення системи 1Б, то тут можна констату-вати таке: фахiвцям з вiддiлу 1Т i служби 1Б вдалося виявити деюлька сучас-них проблем, але на горизонт виникають новi, серед яких - посилення ролi державних оргашв управлiння та посилення регулятивних вимог щодо управлшня 1Б загалом [10]. Якщо найближчим часом керiвники компанш не

приймуть заходiв щодо розроблення всеосяжно! системи 1Б, наслiдки сучас-них i майбутшх проблем тiльки додадуть джерел загроз 1Б в майбутньому.

Таким чином, використання наявних 1Т в повсякденнш дiяльностi рiз-них компанiй значно тдвищуе ефективнiсть виробничих процесiв, зменшуе затрати на !х проведення, проте водночас зумовлюе виникнення нових загроз 1Б для успiшного !х функцюнування. Отже, 1Б фактично вiдображаеться у ступеш захищеностi важливо! для компанп шформацп вiд впливу дiй випад-кового або навмисного характеру, яю можуть завдати збиткiв компанп. Опти-мальним варiантом забезпечення 1Б компанп е дотримання систематичного поеднання правових, оргашзацшних i програмно-технiчних методiв у процеш управлiння 1Б.

Висновки:

1. З'ясовано, що проблема забезпечення шформацшно! безпеки (1Б) будь-яко! компанп е надзвичайно актуальною на сучасному етат розвитку iнформацiйних технологiй (1Т), яка супроводжуеться постiйними шформа-цiйними загрозами - як зовнiшнiми, так i внутрiшнiми. Тому керiвники служб 1Б мають прийняти як аксiому твердження про те, що звичайна опера-тивнють реагування на сучаснi загрози 1Б вже не е достатньою для !х попере-дження чи знешкодження з найменшими втратами.

2. Встановлено, що поява нових 1Т вщкривають перед компанiями не тшьки небаченi можливостi, але й тддають !х потенцiйним загрозам з невь домих ранiше джерел. Хмарнi комп'ютерш технологи як i ранiше е головним джерелом шновацш в сучасному шформацшному середовищi: за останнi де-кiлька рокiв кiлькiсть компанiй, яю використовують хмарнi обчислення, збiльшилася майже удвiчi.

3. Виявлено, що заплановане збшьшення бюджету на удосконалення системи 1Б виявиться ефективним тiльки в разi належного розподiлу обов'яз-юв мiж вiдповiдальними за прийняття ршень. У багатьох компанiях питан-ням забезпечення 1Б як i рашше займаються iнформацiйно-технологiчнi вщ-дiли. Осюльки забезпечення 1Б починае виходити за рамки традицшних мож-ливостей IT, в даний час потрiбно приймати ршення про вибiр дещо шших iнструментiв, процесiв i методiв мошторингу джерел загроз 1Б, оцiнювання ефективносп роботи персоналу служби 1Б, пошуку прогалин у системi 1Б, що i визначае потребу перерозподiлу вщповщальносп.

Л1тература

1. Аншовська Г.Я. ¡нформацшна безпека тдприемства в умовах використання сучасних шформацшних технологш / Г.Я. Аншовська. [Електронний ресурс]. - Доступний з http:// nbuv.gov.ua/portal/chem_biol/nvnltu/18_9/270_Anilowska_18_9.pdf

2. Бегун А.В. ¡нформацшна безпека / А.В. Бегун. - К. : Вид-во КНЕУ, 2008. - 280 с.

3. В 63% организаций отсутствует архитектура системы безопасности. [Электронный ресурс]. - Доступный с http://www.cnews.ru/news/2012/11/01/v_63_organizaciy_otsutstvuet_arhi tektura_sistemy _bezopasnosti_508436

4. Герасименко О.В. ¡нформацшна безпека тдприемства: поняття та методи li забезпечення / О.В. Герасименко, А.В. Козак. [Електронний ресурс]. - Доступний з http:// intkonf.org/ken-gerasimenko-ov-kozak-av-informatsiyna-bezpeka-pidpriemstva-ponyattya-ta-meto-di-yiyi-zabezpechennya/

5. Глобальное исследование информационной безопасности. [Электронный ресурс]. -Доступный с http://www.gosbook.ru/node/64161

6. Глобальное исследование инцидентов внутренней информационной безопасности. [Электронный ресурс]. - Доступный с http://www.securitylab.ru/analytics/291018.php

7. Гриджук Г.С. Систематизащя метсдав шформацшно1 безпеки пщприемства / Г.С. Гри-джук. [Електронний ресурс]. - Доступний з http://www.nbuv.gov.ua/portal/natural/Vntu/ 2009_19_1/pdf/64.pdf

8. Компании ищут способы оперативного реагирования на современные угрозы и больше не могут обеспечивать информационную безопасность путем решения отдельных задач. [Электронный ресурс]. - Доступный с http://www.ey.com/RU/ru/Newsroom/News-rele-ases/Press-Release—2012-10-29-2

9. Мониторинг утечек информации. [Электронный ресурс]. - Доступный с http://www. infowatch.ru/analytics/leaks_monitoring

10. Сорогавська О.А. 1нформацшна безпека пщприемства: œœi загрози та перспективи / О.А. Сорогавська, В.Л. Гевко. [Електронний ресурс]. - Доступний з http:// nbuv.gov.ua/portal/ Soc_Gum/Vchnu_ekon/2010_2_2/032-035 .pdf

Кунинец А.И., Грыцюк Ю.И. Информационные угрозы и проблемы обеспечения информационной безопасности промышленных компаний

Рассмотрены причины возникновения современных информационных угроз и проблемы обеспечения информационной безопасности (ИБ) промышленных компаний. Выяснено, что проблема обеспечения ИБ любой компании чрезвычайно актуальна на современном этапе развития информационных технологий (ИТ), она сопровождается постоянными информационными угрозами - как внешними, так и внутренними. Поэтому руководители служб ИБ должны принять как аксиому утверждение о том, что обычная оперативность реагирования на современные угрозы ИБ уже не является достаточной для их предупреждения или обезвреживания с наименьшими потерями.

Ключевые слова: информационные угрозы, информационная безопасность, информационные технологии, источники угроз, промышленная компания.

Kunynec A.I., Grycyuk Yu.I. Information threats and issues of information security of industrial companies

The reasons for the emergence of modern information threats and problems of information security (IS) manufacturing companies. It was found that the issue of information security of any company is extremely topical at the present stage of development of information technology (IT), followed by constant information threats - both external and internal. Therefore, security service managers must take for granted the claim that the usual quick response to modern threats IS is no longer sufficient to prevent them or neutralization with minimal losses.

Keywords: information threats, information security, information technology, threat sources, industrial company.

УДК 336.26 Доц. Н.1. Власюк, канд. екон. наук - Льв1вська КА

1НТЕГРАЛЬНЕ ОЦ1НЮВАННЯ ЙМОВ1РНОСТ1 БАНКРУТСТВА ШДПРИеМСТВ

З використанням математичних методiв на базi системи коефщенпв ощнювання фшансового стану шдприемств проведено штегральний аналiз ймовiрностi бан-крутства. Запропонована методика дасть змогу на основi аналiзу фшансово! зв^носп передбачити фшансову кризу на пщприемства

Ключовг слова: банкрутство, фшансовий стан, модель побудови штегрального показника, еталонш показники, стандартизащя показнигав, локальш штегральш по-казники.

i Надоели баннеры? Вы всегда можете отключить рекламу.