CC BY
65
7. Цыбулин А.М. Архитектура автоматизированной системы управления информационной безопасностью предприятия // Известия ЮФУ. Технические науки. - 2011. - № 12 (125).
- С. 58-64.
8. Кавчук Д.А., Тумоян Е.П., Астафьев Г.А. Интеллектуальный подход к анализу рисков и уязвимостей информационных систем // Известия ЮФУ. Технические науки. - 2013.
- № 12 (149). - С. 79- 86.
Статью рекомендовал к опубликованию д.т.н., профессор О.Б. Макаревич.
Цыбулин Анатолий Михайлович - Волгоградский государственный университет; e-mail: anatsybulin@yandex.ru; 400062, г. Волгоград, пр. Университетский, 100; тел.: 88442460368; кафедра информационной безопасности; зав. кафедрой; к.т.н.; доцент.
Балдаев Вадим Андреевич - e-mail: infsec@volsu.ru; кафедра информационной безопасности; студент.
Бешта Александр Александрович - кафедра информационной безопасности; старший преподаватель.
Tsybulin Anatoly Mihaylovich - Volgograd State University; e-mail: anatsybulin@yandex.ru; 100, pr. Universitetsky,Volgograd, 400062, Russia; phone: +78442460368; the department of informational security; head of department.
Baldaev Vadim Andreevich - e-mail: infsec@volsu.ru; the department of informational security; student.
Beshta Aleksandr Aleksandrovich - the department of informational security; lecturer.
УДК 658.14
Е.П. Соколовский, О.А. Финько
ИНФОРМАЦИОННАЯ ПОДДЕРЖКА УПРАВЛЕНИЯ ЗАПАСАМИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В УСЛОВИЯХ НЕОПРЕДЕЛЕННОСТИ
Воздействие угроз информационной безопасности на объект информатизации и систему защиты информации порождает слабо прогнозируемый спрос на израсходованные (утраченные) элементы средств защиты информации. Для обеспечения функционирования системы защиты информации с требуемым качеством необходимо иметь запас наиболее востребованных элементов средств защиты информации. Рассматриваются такие системы защиты информации, для которых создается запас элементов средств защиты информации. В известных моделях управления запасами учитывается вероятностный характер спроса на предметы снабжения, однако возможность управления информационными потоками, циркулирующими в логистических системах, как правило, не используется. В целях обеспечения информационной поддержки процесса управления запасами элементов средств защиты информации в условиях неопределенности предлагается подход, основанный на управлении информационными потоками в интегрированных логистических системах и известном методе АВС-анализа.
Система защиты информации; информационная безопасность; запасы средств защиты информации.
E.P. Sokolovsky, O.A. Finko
INFORMATION SUPPORT OF STOCKPILE MANAGEMENT OF MEANS OF PROTECTION OF INFORMATION IN THE CONDITIONS OF UNCERTAINTY
Impact of threats of information security on object of informatization and system of information security generates poorly predicted demand for the spent (lost) elements of means ofpro-tection of information. For ensuring functioning of system of information security with demanded quality it is necessary to have a stock of the most demanded elements of means of protection of information. Such systems of information security for which the stock of elements of means ofprotection of information is created are considered. In known models of stockpile management probabilistic nature of demand for supply subjects is considered, however possibility of management isn't used by the information streams circulating in logistic systems, as a rule. For ensuring information support of management process with stocks of elements of means of protection of information in the conditions of uncertainty the approach based on management of information streams in integrated logistic systems and a known method of ABC analysis is offered.
Information security system; information security; stocks of means of protection of information.
Известно [1], что объект информатизации, а также создаваемая для обеспечения его информационной безопасности система защиты информации (ЗИ) подвержены воздействию угроз информационной безопасности (ИБ). Непосредственное обеспечение информационной безопасности достигается за счет использования средств защиты информации (СрЗИ). Функционирование системы ЗИ подразумевает расходование элементов СрЗИ, которое может быть:
♦ постепенным (прогнозируемым) - например, в результате реализации угроз физического износа или выхода из строя элементов СрЗИ;
♦ внезапным (случайным) - например, в результате реализации угроз воздействия нарушителя или аварии (пожара).
Очевидны следующие варианты реализации угроз ИБ для объекта информатизации и системы ЗИ.
1. Невозможность своевременного восстановления израсходованного (выведенного из строя) элемента СрЗИ - оказывает негативное влияние на качество функционирования системы ЗИ и является угрозой ИБ.
2. Излишний запас элементов СрЗИ - вызывает угрозы ИБ, связанные с издержками хранения элементов СрЗИ:
♦ нарушением в процессе хранения свойств целостности, доступности и конфиденциальности элементов СрЗИ;
♦ потерей качества элементов СрЗИ в результате устаревания и естественного разрушения в процессе хранения и возникновения пожара.
Анализ, проведенный в [2-6], показал, что решение задачи обеспечения системы ЗИ элементами СрЗИ находится в области логистики - теории и практики управления материальными и связанными с ними информационными потоками. При решении логистических задач возникает проблема непрерывного учета результатов функционирования логистической системы, что способствует внесению изменений, как в построение, так и в реализацию логистических процессов.
Основной целью управления ИП в ЛС является планирование и рациональная организация управления запасами и заказами предметов снабжения (ПС) (запасных частей, расходных материалов и т.п.). Управление ИП обеспечивает сокращение рисков и издержек заказчика, обусловленных дефицитом или избытком ПС [7].
ИП соответствует материальному потоку и может существовать в виде бумажного или электронного документа. Очевидно, что для решения задач и достижения цели управления ИП в нужном месте, в нужное время должна оказаться и нужная информация. Количество и качество этой информации должно отвечать предъявляемым требованиям по оперативности, достоверности, целостности и конфиденциальности.
Математическое обоснование расчета размера запасов ПС, в том числе и элементов СрЗИ, находит свое отражение в [5, 6, 8] и формирует основные положения логистической концепции:
♦ отказ от избыточных запасов;
♦ отказ от изготовления продукции, на которую нет заказа (спроса);
♦ устранение нерациональных перевозок.
Для достижения основной цели управления ИП ее необходимо декомпозировать на задачи [5].
Первая задача: планирование логистических потребностей.
Вторая задача: анализ решений, связанных с продвижением материальных потоков.
Третья задача: управленческий контроль логистических процессов.
При рассмотрении первой задачи, управление ИБ организации осуществляется, как правило, комплексно в рамках единой политики информационной безопасности [9]. Данное обстоятельство обусловливает централизацию и иерархичность системы снабжения элементами СрЗИ, посредством которой осуществляется обеспечение потребителей элементами СрЗИ в соответствии с их заявками (рис. 1).
Центральный склад
Рис. 1. Обобщенная структура централизованной системы снабжения
элементами СрЗИ
С целью надежного удовлетворения спроса в условиях дискретности поставок и случайности колебания в спросе за период между поставками, а также неравномерной длительности интервалов между поставками, на каждом уровне централизованной системы обеспечения создаются запасы элементов СрЗИ. Данные
обстоятельства способствуют увеличению размеров запасов, которые в условиях несогласованности между звеньями снабжения и политики их формирования, приводят к существенным издержкам работы системы обеспечения в целом [10].
Исходными данными по определению размеров запасов элементов СрЗИ должны стать нормы, а по формированию правил накопления - цели создания запасов.
Нормы содержания запасов элементов СрЗИ должны учитывать:
♦ характер спроса на элементы СрЗИ;
♦ страховой запас [10], предназначенный для предотвращения дефицита.
Необходимые данные должны комплексно собираться по принципу «снизу вверх» в форме позволяющей проводить анализ на вышестоящем уровне обеспечения. На основе проводимого анализа должны быть определены моменты размещения заказов, осуществления поставок и объемы распределения элементов СрЗИ по нижестоящим звеньям с целью поддержания размера запасов на установленном уровне.
Рассмотрим вторую задачу. Известно, что создаваемая система ЗИ должна противостоять максимальному количеству известных и предполагаемых угроз ИБ. Угрозы ИБ существенно отличаются в силу особенностей функционирования организации, что определяет индивидуальность разрабатываемых систем ЗИ. С учетом специфичности материального потока обеспечение элементами СрЗИ в рамках единой политики ИБ организации осуществляется, как правило, по схеме, представленной на рис. 2.
В логистике существует принцип, по которому лучше не обеспечить отдельный спрос потребителя, чем затоварить склад невостребованным ПС [11-13]. Действительно, в условиях нестабильности спроса на отдельные виды ПС затоваривание склада неликвидной продукцией не только увеличивает издержки хранения, но и увеличивает риск необеспечения ПС, на которые есть устойчивый спрос.
Известно, что обеспечение ИБ осуществляется по принципу «затраты на обеспечение ИБ не должны превышать затрат, связанных с утратой свойств безопасности информации» [14].
В условиях необходимости адекватного реагирования на меняющиеся угрозы ИБ существенным недостатком централизованной схемы обеспечения (рис. 2) является появление неиспользуемого дорогостоящего резерва элементов СрЗИ, который негативно влияет на ИБ и финансовую составляющую организации.
Возникает противоречие 1: с одной стороны необходимо обеспечить ИБ организации, с другой - не допустить создания излишествующих запасов элементов СрЗИ. Поэтому необходимо проводить такую политику формирования запасов, которая позволит обеспечить спрос и минимизирует издержки хранения и обеспечения.
Согласно [5] ИП генерируется материальным потоком и рассматривается только в ЛС или между звеньями ЛС. Для подготовки решений, связанных с продвижением материальных потоков, в логистике наиболее широкое распространение получил так называемый метод АВС-анализа [6], который применяют для контроля уровня товарных запасов (суть метода заключается в том, что в группу А включают ПС стабильного спроса, приносящие компании до 80 % прибыли и составляющие до 20 % общего объема номенклатуры продаж; запас таких товаров контролируется и поддерживается на уровне, гарантированно обеспечивающем заявки потребителей; в группе В находятся товары эпизодического спроса, запас которых поддерживается в филиалах центрального склада и выдается по заявкам торговых точек; в группу С включают товары редкого спроса, запас которых находится на центральном складе, вклад в общую прибыль компании от реализации данных товаров незначительный).
Рис. 2. Централизованная схема обеспечения элементами СрЗИ
Для преодоления противоречия 1 предлагается категориальное управление ИП формирования запасов элементов СрЗИ, основанное на использовании метода АВС-анализа (на примере регионального склада компании).
Шаг 1. На основании норм расходования и целевого предназначения элементов СрЗИ определяются категории содержания и размер запаса на региональном складе компании (табл. 1).
Шаг 2. На региональном складе организуется хранение и поддержание на нормативном уровне запасов элементов СрЗИ, имеющих постоянный спрос, например 1 и 2 категория (табл. 1). Для элементов СрЗИ эпизодического (перспективного) использования, например 3 и 4 категория (табл. 1), создаются минимально необходимые запасы. Запасы элементов СрЗИ 3 и 4 категорий в организациях не создаются и поставляются по мере необходимости (один раз в квартал, в год).
Шаг 3. Обеспечение документами эпизодического использования производится в соответствии с перспективными заявками на использование по схеме управления ИП при обеспечении элементами СрЗИ перспективного (эпизодического) использования (рис 3).
Таблица 1
Вариант определения категорий и норм содержания запасов элементов СрЗИ
на региональном складе компании
Элемент СрЗИ Норма содержания Региональный склад компании
Склад организации 1 Склад организации N Целевое предназначе- ние Относительная норма запаса, % Расчетная норма запаса Периодичность контроля, категория содержания
Группа элементов СрЗИ Элемент СрЗИ 1 31 31 ежедневное использование (расходова- ние) 50 78 Ежемесячно, 1 категория
Элемент СрЗИ 2 1 3 ежемесячное использование (расходова- ние) 25 5 Ежеквартально, 2 категория
Элемент СрЗИ 3 1 1 ежеквартальное использование (расходование) 5 1 1 раз/год, 3 категория
• • * * • * * *
Элемент СрЗИ К — — эпизодическое (перспективное) использование 3 1 1 раз/год, 4 категория
Элементы СрЗИ 3, 4 категорий поставляются по обобщенной заявке регионального склада компании
Предлагаемая схема (рис. 3) позволяет минимизировать экономические затраты и риски ИБ, связанные с пересылкой и издержками хранения элементов СрЗИ.
Рассмотрим третью задачу. Как правило, процесс функционирования ЛС обобщенно содержит 3 этапа:
1) этап: сбор, анализ и обобщение заявок на поставку ПС;
2) этап: планирование и заказ ПС у поставщиков;
3) этап: обеспечение в соответствии с планами поставки и контроль получения ПС заявителем.
Решение задачи контроля логистических процессов возможно осуществить за счет механизма «обратной связи» при управлении ИП. Суть механизма заключается во взаимном обмене информацией между участниками процесса обеспечения элементами СрЗИ.
На первом этапе необходимо сверить фактическое выполнение планирующих документов между всеми звеньями ЛС на предмет выявления остатков получения по предыдущей заявке. На втором этапе вышестоящее звено обеспечения доводит информацию нижестоящим звеньям обеспечения о том, что заявка принята в полном объеме, или какие-то позиции заявки будут удовлетворены в другом
порядке. На третьем этапе наиболее сложным для анализа результатов функционирования ЛС является учет «запаса в пути» [15]. «Запас в пути» появляется, когда обеспечивающий орган отправил ПС получателю, а получатель по факту не обеспеченный согласно заявке формирует новый (повторный) запрос на обеспечение ПС. Доставка любых ПС между уровнями обеспечения производится на основании соответствующей документации - путевых листов, накладных и прочих сопроводительных документах. Очевидно, что с целью управленческого контроля логистических процессов в сопроводительных документах на элементы СрЗИ следует указывать информацию - сколько еще поставок и когда будет осуществлено в интересах выполнения заявки заказчика на период обеспечения.
Рис. 3. Схема управления ИП при обеспечении элементами СрЗИ перспективного (эпизодического) использования
Выводы:
♦ согласно [5] управление ИП в рамках ЛС позволяет сократить риски и издержки обеспечения ПС за счет повышения качества логистического процесса, сокращения ошибок и временных интервалов обеспечения ПС, оптимизации размера запасов ПС и затрат на актуализацию данных;
♦ в условиях постоянного снижения стабильности рынка создание дорогостоящих резервных запасов будет вытесняться процессом внедрения информационных систем в ЛС, дающими больший эффект при обеспечении заявок потребителей элементами СрЗИ в условиях неопределенности;
♦ чем выше уровень (рис. 1) информационной системы, тем выше эффективность ЛС, поэтому качество информационной системы позволяет эффективно решать проблемы: управления запасами, транспортировки продукции, складирования и пр.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. № 375-ст. - М.: Стандартинформ, 2008. - 31 с.
2. Шрайбфедер Дж. Эффективное управление запасами: Пер. с англ. - М.: Альпина Бизнес Букс, 2006. - 304 с.
3. Джонсон, Дж. и др. Современная логистика: Пер. с англ. - М.: Вильямс, 2002. - 615 с.
4. Бауэрсокс Д., Клосс Д. Логистика. Интегрированная цепь поставок. - М.: Олимп-Бизнес, 2005. - 635 с.
5. Гаджинский А.М. Логистика: Учебник. - 20-е изд. - М.: Издательско-торговая корпорация «Дашков и Ко», 2012. - 484 с.
6. Волгин, В.В. Склад: логистика, управление, анализ. - 10-е изд., перераб. и доп. - М.: Издательско-торговая корпорация «Дашков и Ко», 2009. - 736 с.
7. ГОСТ Р. 53393-2009. Интегрированная логистическая поддержка. Основные положения. Принят и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 14 сентября 2009 г. № 394-ст. - М.: Стандартинформ, 2007. - 24 с.
8. Зацаринный А.А. и др. Особенности расчета комплектов ЗИП в автоматизированных информационных системах в защищенном исполнении // Системы и средства информатики.
- 2013. - Т. 23, № 1. - С. 113-131.
9. ГОСТ Р ИСО/МЭК 17799 — 2005. Информационная технология. Практические правила управления информационной безопасностью. Дата введения 2007-01-01. - Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г. № 447-ст. - М.: Стандартинформ, 2006. - 61 с.
10. Сакович В.А. Модели управления запасами / Под ред. М.И. Балашевича. - Минск.: Наука и техника, 1986. - 319 с.
11. Чудаков А.Д. Логистика: Учебник. - М.: РДП, 2001. - 480 с.
12. Радионов А.Р., Радионов Р.А. Логистика: нормирование сбытовых запасов и оборотных средств: Учеб. пособие. - М.: Проспект, 2006. - 416 с.
13. Модели и методы теории логистики: Учеб. пособие. - 2-е изд. / Под ред. В.С. Лукинского. СПб.: Питер, 2007. - 448 с.
14. ГОСТ Р ИСО/МЭК 13335-1 - 2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. - Дата введения 2007-06-01. - Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 19 декабря 2006 г. № 317-ст. - М.: Стандартинформ, 2007. - 24 с.
15. РыжиковЮ.И. Теория очередей и управление запасами. - СПб.: Питер, 2001. - 384 с.
Статью рекомендовал к опубликованию д.т.н. В.Н. Марков.
Соколовский Евгений Петрович - Филиал Военной академии связи (г. Краснодар); e-mail: Biryza_08@mail.ru; 350063, г. Краснодар, ул. Красина, 4; тел.: +79181744325; адъюнкт.
Финько Олег Анатольевич - e-mail: ofmko@yandex.ru; тел.: +79615874848; профессор.
Sokolovsky Evgeniy Petrovich - Branch of the Military Academy of Communications (Krasnodar); e-mail: Biryza_08 @mail.ru; 4, Krasina street, Krasnodar, 350063, Russia; phone: +79181744325; adjunct.
Finko Oleg Anatolievich - e-mail: ofinko@yandex.ru; phone: +79615874848; professor.
