ЕКОНОМІЧНА ЕФЕКТИВНІСТЬ СИСТЕМ ЗАХИСТУ КОРПОРАТИВНОЇ ІНФОРМАЦІЇ Спеціальністю 08.00.04 – економіка та управління підприємствами
Вантажиться...
Дата
2025
Affiliation
Назва журналу
Номер ISSN
Назва тому
Видавець
ДЕРЖАВНИЙ ТОРГОВЕЛЬНО-ЕКОНОМІЧНИЙ УНІВЕРСИТЕТ
Анотація
Чубаєвський В. І. Економічна ефективність систем захисту корпоративної інформації. – Кваліфікаційна наукова праця на правах рукопису. Дисертація на здобуття ступеня доктора наук за спеціальністю 08.00.04 – економіка та управління підприємствами (за видами економічної діяльності) – Державний торговельно-економічний університет, Київ, 2023. У дисертації досліджено теоретико-методологічні засади та методичні підходи до формування економічно-ефективної системи захисту корпоративної інформації. За результатми дослідження визначено основні сутнісні характеристики корпоративного інформаційного простору: безперервний процес виробництва та споживання інформації, результат та спосіб пізнання дійсності, суб’єктність, системність та організованість, фактор розвитку суб’єкта та об’єкт управління та визначено його зміст як сукупність інформації та інформаційних процесів, яка є станом, засобом та результатом функціонування системи, чинником її розвитку та формою представлення. Виходячи із цього, визначено сутність корпоративного інформаційного простору як організовану систему інформації та інформаційних процесів корпорації, яка є станом та результатом її функціонування, способом її розвитку та представлення. На основі аналізу та узагальнення сучасних досліджень ідентифіковано три етапи еволюції корпоративного інформаційного простору: паперовий (до середини 70-х років), автоматизований (із середини 70-х років до початку 90-х років), мережевий (із початку 90-х по теперішній час). На сучасному етапі корпоративний інформаційний простір характеризується глобальністю, відсутністю фізичних меж зберігання інформації, високою інтенсивністю та швидкістю її поширення, надлишковістю, уразливістю та зростанням витрат на захист, посиленим впливом на трансформацію корпоративних бізнес-моделей. З’ясовано, що корпоративний інформаційний простір характеризується єдністю та взаємообумовленістю окремих елементів. У структурі корпоративного інформаційного простору запропоновано виокремлювати чотири принципові компоненти: суб’єкти, семантичну складову (інформаційний контент), інформаційну інфраструктуру, регламенти та норми. Обгрунтовано зміст та склад окремих компонентів. На основі аналізу та узагальнення сучасних досліджень визначено зміст корпоративної інформаційної безпеки як стан захищеності інтересів підприємства від недобросовісних дій (умисних та неумисних) щодо корпоративної інформації, що спрямовані на всі компоненти корпоративного інформаційного простору та доведено чіткий взаємозв’язок між захистом корпоративної інформації та досягненням високих економічних результатів функціонування підприємства, які і є відображенням його інтересів. Сформульовано концептуальне бачення місця захисту корпоративної інформації в забезпеченні ефективного економічного розвитку підприємства на основі доведеної взаємообумовлюючої залежності між параметрами та функціями корпоративного інформаційного простору; розширено перелік параметрів КІП такими характеристиками як рівень цифровізації КІП, цифрові компетентності персоналу, рівень інноваційності інформаційної інфраструктури, рівень корпоративної інформаційної культури, ступінь захищеності та якість регламентації КІП; ідентифіковано систему функцій КІП (інтегруюча, комунікативна, актуалізуюча, соціальна, навчальна, інноваційна, акселеруюча) та сформульовано авторське бачення сутності захисту корпоративної інформації як системи принципів, методів та процесів протидії загрозам інформаційній безпеці підприємства, які спрямовуються на порушення функціонування КІП і передбачають їх ідентифікацію, аналіз, попередження та нейтралізацію. Представлено теоретичний концепт сутності економічної ефективності управління підприємством на основі нової авторської трактовки змісту «управління підприємством» як інтегральної характеристики сукупності функціональних підрозділів, управлінських процесів, управлінських рішень, управлінського персоналу, центрів фінансової відповідальності в межах єдиного корпоративного інформаційного простору та відповідно сформульованої її видової класифікації з визначеними сутністю та місцем у ній економічної ефективності захисту корпоративної інформації, що дозволило систематизувати основні методичні підходи до оцінювання ефективності захисту корпоративної інформації. Отже, економічну ефективність захисту корпоративної інформації запропоновано визначати як міру економічного ефекту витрачених ресурсів на реалізацію системи заходів з ідетифікації, аналізу, попередження та нейтралізації загроз порушення функціонування корпоративного інформаційного поля. На основі аналізу та розвитку наявного доробку визначено сутність концепції формування корпоративної інформаційної безпеки як систему поглядів на організацію та забезпечення такої безпеки, що відображається через обрану методологію формування, окреслені принципи та розроблений механізм забезпечення. Таким чином, ідентифіковано, що концепція формування корпоративної інформаційної безпеки має містити три принципові структурні компоненти: методологічну основу, принципи, механізм, які знаходяться в логічному зв’язку та підпорядкуванні. Відповідно до сформульованого бачення обґрунтовано авторську концепцію формування корпоративної інформаційної безпеки, що ґрунтується на позитивістській та нормативній економічних теоріях, поєднанні системного, процесного, проектного підходів в управлінні та концепції динамічних компетентностей, сформульованій системі принципів та механізмі забезпечення, що сприятиме більш комплексному розумінню проблем формування інформаційної безпеки та забезпеченню комплексності заходів щодо її забезпечення. Доведено, що політика інформаційної безпеки корпорацій є елементом корпоративного управління і випливає із стратегічних вимог до управління ризиками та корпоративного управління. Інформаційна безпека корпорацій має бути реалізована відповідно до бізнес-цілей, які характеризуються високим рівнем динамічності за умов необхідності безперервного, послідовного узгодження між політикою безпеки та іншими напрямами корпоративної бізнес-політики тастратегіями. З’ясовано, що послідовне узгодження політики інформаційної безпеки може бути досягнуте шляхом конвергенції корпоративної політики інформаційної безпеки з іншими бізнес-політиками організації в межах циклу стратегічного управління. У дисертації систематизовано та узагальнено напрями корпоративної політики інформаційної безпеки через обґрунтування домінантних чинників формування її базису в глобальному бізнес-середовищі з виокремленням таких як: створення єдиного цифрового корпоративного бізнес-простору, зростання швидкості впровадження цифрових бізнес-стратегії з високим рівнем технологічного розгортання та інтенсивності порушень стійкості системи захисту корпоративної інформації, на основі чого, на відміну від превалюючих підходів, доведено необхідність підвищення ефективності корпоративної політики інформаційної безпеки за рахунок її гнучкого реагування на зміну стратегічних цілей діяльності корпоративних структур. Вивчення сучасних підходів до оцінювання економічної ефективності корпоративної інформаційної безпеки дозволило зробити висновок про складність застосування єдиної наявної методики для формування вичерпного висновку щодо ефективності корпоративної інформаційної безпеки та виявити ряд проблем, які потребують вирішення, зокрема: відсутність чітко сформульованих принципів оцінювання та систематизації показників економічної ефективності та їх критеріальних значень, відсутність рекомендацій щодо логічної послідовності аналізу окремих показників та підходів до формування інтегрального або узагальнюючого показника економічної ефективності корпоративної інформаційної безпеки. З метою вирішення цих проблем у дисертації розроблено методологічний підхід до оцінювання економічної ефективності захисту корпоративної інформації, який включає: принципи оцінювання та систематизації показників; систему часткових показників економічної ефективності та критеріальну шкалу їх інтерпретації; узагальнюючу оцінку економічної ефективності захисту корпоративної інформації на основі поєднання інтегрального показника та показника прогресивності розвитку системи захисту корпоративної інформації (КІ), структурно-логічну послідовність етапів оцінювання, що створює основу для запровадження дієвих систем оцінювання економічної ефективності захисту корпоративної інформації. У межах зазначеного підходу пропонується також оцінювання ступеня досягнення максимально можливого прибутку корпоративної структур за рахунок визначення потенційних можливостей системи захисту корпоративної інформації, який сприяє отриманню своєчасної та достовірної інформації як основи для прийняття та реалізації суб’єктами безпеки тактичних і стратегічних управлінських рішень та дозволяє надавати керівникам корпорацій комплексну оцінку ефективності управлінських дій щодо використання інноваційних технологій інформаційної безпеки на всіх ієрархічних рівнях організаційної структури управління. Доведено, що з ускладненням сценаріїв проведення кібернетичних атак, особливо таргетованих, розширюється і простір ознак, що характеризують способи отримання несанкціонованого доступу до інформаційних ресурсів підприємств. Оскільки простір ознак несанкціонованого доступу постійно розширюється, навіть кваліфікованим експертам у сфері інформаційна безпека без підтримки спеціалізованих програмних продуктів при прийнятті рішення в подібних питаннях обійтися складно. Це зумовлює необхідність продовження досліджень у напрямі інтелектуалізації на основі ІТ процедури первинної формалізації неправомірних дій комп’ютерних зловмисників, які роблять спроби отримати несанкціонований доступ до ІС суб’єктів господарської діяльності. У дисертації розроблено методологічний підхід до процедури формалізації ознакового функціонального подання неправомірних дій комп’ютерного зловмисника в ході реалізації функцій несанкціонованого доступу до ресурсів ІС підприємств за рахунок формалізації ієрархічної схеми формування множини ознак несанкціонованого доступу до ресурсів ІС підприємства; отримана ієрархічна структура є основою для подальшого синтезу інтелектуальної системи виявлення спроб несанкціонованого доступу в умовах важкозрозумілих ознак або їх невеликого числа, що дозволяє ефективно реалізувати первинну формалізацію неправомірних дій комп’ютерних зловмисників для подальшого математичного опису параметра ймовірності несанкціонованого доступу. Удосконалено методологічний підхід, що дозволяє автоматизувати та систематизувати прояви ефекту захищеності інформації від витоків технічними каналами шляхом доповнення ймовірнісної моделі виконання загроз, яка дозволяє на основі запропонованого програмного забезпечення (ПЗ) залучати кілька експертів для оцінки актуальності загроз витоку інформації щодо ТКПІ в умовах динамічного вдосконалення ТЗР. З’ясовано зростаючий тренд кількості та варіативності видів кібератак. Виявлено, що найбільш поширеними видами кібератак, з якими стикаються невеликі підприємства – це фішинг, вторгнення в мережу компанії, випадки ненавмисного витоку інформації, розкрадання пристроїв, помилкова конфігурація мережі та її захисту. З’ясовано, що в Україні найбільше від кібератак потерпають державні установи, промислові підприємства, медичні заклади, фінансові установи, заклади освіти і науки та та підприємства торгівлі. Спостерігається зростання інтересу менеджменту компаній до проблем захисту корпоративної інформації та практичного впровадження програм навчання персоналу діям при кібератаках. Розроблено підхід до організації процесу управління подіями інформаційної безпеки (ІБ) для підприємства, який на відміну від існуючих пропонує комплексну деталізацію алгоритму підпроцесу «Обробка подій» відповідно до життєвого циклу подій ІБ, що дозволить на практиці заповнити потенційні прогалини інформації при створенні системи управління ІБ підприємства, реалізовувати цей підпроцес у незалежному режимі, спростити процедуру управління ІБ підприємства в цілому та знизити витрати на її побудову для невеликих підприємств. Сформульовано підхід до адаптивного моніторингу інформаційної безпеки, який включає процедури оброблення та аналізу подій інформаційної безпеки в межах їх життєвого циклу, відповідає принципам ієрархічної пов’язаності, цілісності та подібності подій ІБ, який на відміну від існуючих характеризується інваріантністю по відношенню до способів реалізації інфраструктурних рішень ІБ підприємства та, зокрема, його КІС. Це дозволяє, не змінюючи методичний інструментарій, масштабувати цей підхід і адаптувати його до СУІБ різних підприємств. Доведено, що в процесі оцінки ефективності функціонування СЗІ об’єкта господарювання найбільш доцільно застосовувати ймовірнісні методи. Відповідно до цих методів прийнятний для сторони захисту гарантований рівень ІБ трансформуватиметься в довірчі ймовірності відповідних метрик захисту інформації та КБ ОБІ підприємства. Обгрунтовано методичні підходи до моделювання системи оцінювання рівня інформаційної безпеки (ІБ) для об’єктів інформатизації (ОБІ), яка на відміну від існуючих ґрунтується на методі аналізу ієрархій (МАІ) та дозволяє оцінювати її результативність за визначеними критеріями. Обгрунтовано необхідність розроблення та впровадження дієвого організаційно-економічного забезпечення як основи практичної реалізації політики захисту корпоративної інформації. Розроблено методологічний підхід до формування організаційно-економічного забезпечення ефективного захисту корпоративної інформації як комплексу взаємоузгоджених елементів (заходів) різної спрямованості та частоти застосування, які перебувають у постійній взаємодії, виступають частиною економічного механізму інформаційної безпеки, реалізуються на різних контурах управління та інтегровані в систему загальнокорпоративного управління з метою досягнення визначених цілей та який на відміну від існуючих передбачає чітку систематизацію елементів за їх функціональним напрямом, можливістю впливу на КІБ, частотою застосування, контуром управління. Це дозволило окреслити систематизований комплекс практичних заходів із захисту корпоративної інформації, що підвищить обґрунтованість та ефективність їх запровадження в практичній діяльності. Обгрунтовано наукові підходи до створення моделі, що описує процедуру формалізації завдання оптимізації системи захисту інформації (СЗІ) суб’єкта господарської діяльності (підприємства), яка на відміну від існуючих передбачає математико-алгоритмічну та комп’ютерну підтримку процедури прийняття рішень у питаннях організаційно-економічного забезпечення ефективного захисту корпоративної інформації в контексті завдань менеджменту інформаційної безпеки (ІБ) підприємств. Запропонований підхід дає можливість стороні захисту максимально ефективно визначати параметри організаційного управління інфраструктурою СЗІ підприємства. Розроблено та описано інтелектуальну систему оцінки загроз витоку інформації щодо ТКПІ (технічних каналів передачі інформації), в основу якої покладено метод аудиту інформаційної безпеки, заснований на автоматизації процедур аудиту шляхом залучення для оцінки ризиків інформаційної безпеки апарату Байєсовських мереж (БМ) та штучних нейронних мереж (ШНМ). Така система дозволяє підвищити ступінь достовірності результатів проведення комплексного аудиту ІБ ОБІ та комплексної оцінки ризиків, своєчасно реагувати на загрози адміністратору ІБ розподіленої обчислювальної мережі (РОМ). Сформульовано методичний підхід до процедури аудиту інформаційної безпеки (АІБ), який на відміну від існуючих забезпечує багатостороннє оцінювання інформаційної безпеки об’єктів інформатизації на основі поєднання стандартних чисельних та експертних метрик оцінювання ІБ, що дозволяє оперативно в ході аудиту інформаційної безпеки (АІБ) визначати актуальні ризики ІБ ОБІ та автоматизувати процедури АІБ на основі застосування Байєсовських мереж (БМ) і штучної нейронної мережі (ШНМ), а адміністратору ІБ розподіленої обчислювальної мережі (РОМ) своєчасно та динамічно реагувати на загрози. Практична значущість отриманих результатів полягає в тому, що всі пропозиції доведено до практичних рекомендацій і може бути впроваджено в практику корпоративного управління. Результати наукового дослідження, що мають прикладний характер, набули практичного застосування в роботі Департаменту кіберполіції Національної поліції України, Ради Національної безпеки і оборони України, ТОВ «КАРМА ДІДЖИТАЛ ЛТД», Державної служби спеціального зв’язку та захисту інформації України, при викладанні дисциплін у Державному торговельно-економічному університеті.
Опис
Ключові слова
економічна ефективність, економічна безпека, корпоративна інформаційна безпека, захист корпоративної інформації, корпоративний інформаційний простір, політика захисту корпоративної інформації, economic efficiency, economic security, corporate information security, protection of corporate information, corporate information space, corporate information protection policy
Бібліографічний опис
Чубаєвський В.І. (2023) ЕКОНОМІЧНА ЕФЕКТИВНІСТЬ СИСТЕМ ЗАХИСТУ КОРПОРАТИВНОЇ ІНФОРМАЦІЇ, м. Київ [На здобуття наукового ступеня доктора економічних наук за спецільністю 08.00.04 – економіка та управління підприємствами Державний торговельно-економічний університет]. Репозитарій Державного торговельно-економічного університету. https://ur.knute.edu.ua/handle/123456789/11111