Методичний підхід до формалізації стратегічного планування у сфері забезпечення інформаційної безпеки

Визначення критерію (критеріїв) реалізації головної мети. У формулюванні головної мети визначено основний критерій її досягнення - прийнятний рівень забезпечення інформаційної безпеки Zп та нижню границю інтервалу його можливих значень - мінімально припустимий рівень забезпечення інформаційної безпеки Z*min.

При цьому Z*min(t) є фактично порогом рівня безпеки, нижче якого починається деградація інформаційної складової системи. Спроможність СЗНБ зберігати та розвивати значення необхідних параметрів вище порога Z*min(t) при суттєвій мінливості зовнішніх та внутрішніх деструктивних та дестабілізуючих факторів впливу, що загрожують спадом якості життя, сприяє усталеному розвитку суспільства та держави.Прийнятний та мінімально припустимий рівні забезпечення національної безпеки можуть задаватись системою вищого рівня як у вигляді скалярних величин Zп, Z*min, які є інтегрованими (узагальненими) критеріями досягнення головної мети стратегічного планування, так і у вигляді відповідних векторів Zп, Z*min, параметри яких Zпk та Z*mink (k=1,…,K) – прийнятний і мінімально припустимий рівні забезпечення інформаційної безпеки для k-ї офіційно визначеної складової інформаційної безпеки. Можлива також ситуація, яка є основною, більш загальною і складною для СЗНБ, коли прийнятний та мінімально припустимий рівні забезпечення інформаційної безпеки мають визначатись безпосередньо в ході здійснення стратегічного планування.

На сьогодні рівень розвитку теорії державного управління у сфері забезпечення інформаційної безпеки не дозволяє отримувати кількісні значення величин Zп, Z*min на основі об’єктивних методів та моделей. Тому безпосередня їх оцінка можлива тільки на основі застосування суб’єктивних методів.

Спільно з основним критерієм при обґрунтуванні варіантів стратегічних рішень доцільно також використовувати критерій мінімуму ризику не досягти прийнятного рівня забезпечення інформаційної безпеки та обмеження на форму траєкторії кривої, що відповідає відібраному варіанту стратегічних рішень.

Визначення інтервалу стратегічного планування [t0; t0+Tсп] може бути нормативно задано для СЗНБ системою вищого рівня, або його значення необхідно знайти в ході стратегічного планування. В останньому випадку на вхід СЗНБ мають надаватись обмеження щодо можливих значень Tсп: Tсп min≤Tсп≤Tсп max. Величина Tсп min визначається витратами часу, що необхідні для підготовки та прийняття стратегічного рішення, а величина Tсп max - припустимим для СЗНБ рівнем ризику не досягти Zп: ∆Zп(t=t0+Tсп)≤∆Z*. Для ситуації, що склалась в Україні сьогодні, величина Tсп для Стратегії інформаційної безпеки має визначатись виходячи зі строку дії Стратегії національної безпеки України та Основних засад розвитку інформаційного суспільства в Україні.

Результатами формалізації державної політики та державного управління, що необхідно використати при обґрунтуванні варіантів стратегічних рішень, також є прийнятний Zп, мінімально припустимий Z*min та максимально можливий (теоретичний) Z*max, рівні забезпечення інформаційної безпеки, множини національних цінностей {Iнц }, національних інтересів {Iні}, національних {Iц} та стратегічних {Iс} цілей, множина потенційних та реальних зовнішніх і внутрішніх загроз в інформаційній сфері {Fз(Fвз, Fзз)}, обмеження на ресурси W*, що можуть бути виділені державою для забезпечення інформаційної безпеки, та на U*ду управлінські (регуляторні) дії СЗНБ у цій сфері, насамперед нормативно-правового характеру, тощо.

За результатами здійснення Огляду сектору безпеки СЗНБ оцінуються інтервал поточного рівня забезпечення інформаційної безпеки з координатою центру інтервалу Zп(t=t0)=Z0 та його розміром ∆Zп(t=t0)=∆Z0, а також вимірюються конкретні значення рівнів потенційних та реальних внутрішніх Fвз і зовнішніх Fзз загроз (викликів та ризиків) реалізації національних інтересів (деструктивних дестабілізуючих факторів впливу на досягнення цільового стану).

Обґрунтування варіантів стратегічних рішень у сфері забезпечення інформаційної безпеки передбачає виконання низки таких процедур:

• генерування альтернативних варіантів рішень;

• попередній відбір найбільш імовірних та несуперечливих варіантів рішень (фільтрація);

• відбір варіантів рішень для особи, що приймає рішення (ОПР).

Генерування альтернативних варіантів рішень здійснюється на базі суб’єктивних методів. Цей етап формалізації стратегічного планування має починатись із визначення кількості J альтернативних рішень, що мають генеруватись і які в будь-якому випадку мають бути не меншими від трьох та не більшими за дев’ять (3≤ J≤9).