CC BY
55
2. Духонин Е.Ю. Управление эффективностью бизнеса. Концепция Business Performance Management / Альпина-Паблишер, 2012 г. 112 с.
3. Прокушева А.П., Липатникова Т.Ф., Колесникова Н.А. Информационные технологии в коммерческой деятельности / М.: Маркетинг, 2013 - 192 с.
4. Патрушина С.М. Информационные системы в экономике / М.: Бизнес, 2014. 352 с.
К ВОПРОСУ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СИСТЕМЫ УПРАВЛЕНИЯ ДАННЫМИ АВТОМАТИЗИРОВАННОГО ПРОЕКТИРОВАНИЯ НА ГЕОГРАФИЧЕСКИ РАСПРЕДЕЛЕННОМ
ПРЕДПРИЯТИИ Сухова А.Р.
Сухова Алина Рашитовна — студент, кафедра вычислительной техники и защиты информации, Уфимский государственный авиационный технический университет, г. Уфа
Аннотация: в статье анализируются вопросы обеспечения безопасности системы управления данными автоматизированного проектирования на географически распределенном предприятии двигателестроительной отрасли. Поднимается актуальная проблема отсутствия методики, позволяющей оценить обеспечение безопасности исследуемой системы и выработать рекомендации по повышению уровня защиты. Делается вывод о возможности объединения двух подходов к оценке обеспечения безопасности системы.
Ключевые слова: PLM, PDM, САПР, обеспечение безопасности, оценка безопасности, организационные требования по защите информации, технические требования по защите информации, КИИ, ФСТЭК России.
Последовательное развитие информационной инфраструктуры двигателестроительных предприятий позволило перевести процессы проектирования, подготовки и управления производством в электронный вид. Самым революционным преобразованием конца XX — начала XXI века стала реализация продуктно-ориентированного подхода к описанию изделий вместо чертежно-ориентированного, для чего были разработаны новые информационные системы производственного характера - системы управления данными автоматизированного проектирования - PDM-системы (Product Data Management) на основе концепции управления жизненным циклом изделия (PLM - Product Lifecycle Management) [1].
Создание 2D- и 3D-моделей обеспечиваются системами автоматизированного проектирования (САПР), которые могут быть интегрированы с PDM/PLM-системами, необходимыми для:
- управления операциями с моделями изделий;
- ведения электронного архива конструкторской и технологической документации;
- размещения их в базах данных (БД) с определенными правами доступа для работников;
- контроля и координации процесса совместного проектирования;
- быстрого поиска изделий, изменений;
- исключения дублирования разработки ранее созданных компонентов;
- обеспечения проведения изменений;
- выдачи конструкторской документации в производство [2].
Одна из главных функций PDM/PLM - взаимодействие между пользователями, которое позволяет на любом этапе разработки и реализации изделия обращаться к электронным данным о нем, вне зависимости от географической удаленности разработчиков и изготовителей [3]. Такое взаимодействие осуществляется через глобальную сеть. В частности, ПАО «ОДК-УМПО» участвует в кооперации с другими предприятиями объединенной двигателестроительной корпорации в проекте создания двигателя ПД-14 для Магистрального самолета 21 -го века (МС-21) [4].
Вышеизложенное позволяет сделать вывод, что особенности PDM/PLM-системы в виде хранения конструкторско-технологических данных об уникальных изделиях в электронном виде в БД и их передачи по каналам связи географически распределенным предприятиям несут в себе потенциально серьезные риски при отсутствии обеспечения безопасности или низкого
уровня защиты в виду возможности реализации угроз безопасности, направленных на утрату конфиденциальности, целостности и доступности информации.
Анализ российских и зарубежных публикаций показывает, что РБМ-системы и концепция РЬМ в целом представляют научный интерес для исследователей в сфере информационных технологий. Однако большинство публикаций носят практический характер и посвящены вопросам интеграции различных САПР с системой управления конструкторско-технологическими данными [5, 6], архитектуры [7, 8] и внедрения РБМ/РЬМ-систем [9, 10], создания единого информационного пространства на основе РБМ/РЬМ-систем для распределенного выполнения проектов двигателестроительной отрасли [11, 12].
В публикациях [13, 14, 15] освещены некоторые проблемы обеспечения безопасности РБМ/РЬМ-систем: наиболее деструктивные угрозы безопасности, сложность и разнородность содержащихся данных, необходимость организационных и технических мероприятий. Но в них не рассматриваются требования нормативных правовых актов, международных стандартов в области информационной безопасности и нет ответов на следующие вопросы: каким образом можно оценить уровень обеспечения безопасности системы; достаточно ли существующих защитных мер;
почему стоит реализовывать конкретные организационные или технические мероприятия для обеспечения безопасности системы;
целесообразна ли реализация дополнительных мероприятий.
Иными словами, нет конкретной методики, которая позволила бы в полной мере ответить на поставленные вопросы, то есть, проанализировать PDM/PЬM-систему с точки зрения обеспечения безопасности, выявить слабые места, выработать рекомендации для принятия адекватных защитных мер и тем самым повысить уровень обеспечения безопасности.
Актуальной проблемой также было отсутствие специализированной нормативной документации в области обеспечения безопасности PDM/PLM-систем. Однако с 1 января 2018 года вступил в силу федеральный закон от 26.06.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры», предназначенный для регулирования деятельности по обеспечению безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства, «...в целях устойчивого функционирования при проведении в отношении их компьютерных атак» [16]. В соответствии с № 187-ФЗ к объектам критической информационной инфраструктуры (КИИ) могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в 10 различных сферах, представленных на рисунке 1.
Рис. 1. Сфера действия № 187-ФЗ «О безопасности критической информационной инфраструктуры»
Так как система управления данными автоматизированного проектирования рассматривается на предприятии оборонно-промышленного комплекса, действие положений № 187-ФЗ может распространяться и на нее в том числе.
Организационные и технические мероприятия для КИИ разработаны и утверждены ФСТЭК России Приказом от 25.12.2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» [17].
Таким образом, для обеспечения безопасности системы управления данными автоматизированного проектирования на географически распределенном предприятии необходима разработка методики оценки, которая позволила бы проанализировать систему по двум критериям:
соответствие требованиям законодательства; достаточность и адекватность принятых мер.
В настоящее время для информационных систем применяются несколько подходов, позволяющих оценить обеспечение безопасности, представленных на рисунке 2.
Оценка обеспечения безопасности системы
1 1
По эталону Риск-ориентированная оценка По экономическим показателям
Рис. 2. Подходы к оценке обеспечения безопасности системы
Первый подход позволяет оценить степень соответствия системы некоему эталону, в качестве которого может быть принята модель «нулевого риска» [18], описывающая анализируемый объект совокупностью эталонных требований к обеспечению безопасности на основе Федеральных законов, международных и национальных стандартов, отраслевых, нормативных, методических и иных документов в сфере информационной безопасности.
При риск-ориентированной оценке обеспечения безопасности системы возможные риски, вычисляемые на основе вероятности реализации угроз безопасности, сопоставляются с принимаемыми защитными мерами. В результате делается вывод об адекватности существующих мер или их несоответствии вычисленным рискам.
Оценка по экономическим показателям сводится к сравнению затрат на реализацию обеспечения безопасности системы (внедрение, эксплуатацию и сопровождение ИБ) с затратами других предприятий отрасли для подобных систем.
Так как применение третьего подхода не представляется возможным в виду отсутствия сведений о расходах двигателестроительных предприятий на обеспечение безопасности PDM/PLM-системы, для разработки методики с учетом обозначеных выше критериев следует объединить два подхода к оценке обеспечения безопасности системы - по эталону и риск-ориентированный подход.
Список литературы
1. Беспалов В. Развитие систем PDM: вчера, сегодня, завтра // САПР и графика. [Электронный ресурс]. URL: https://sapr.ru/article/8133/ (дата обращения: 18.11.2017).
2. Михайлов В.Г. О подходах к созданию интегрированной информационной системы PDM-ERP // Системный анализ и прикладная информатика, 2016. №2. С. 17-23.
3. Product Data Management. [Электронный ресурс]. URL: http://www.tadviser.ru/index.php/Статья:PDM_(Product_Data_Management)_-_Управление данными об изделии/ (дата обращения: 20.12.2017).
4. О предприятии // ПАО «ОДК-УМПО». [Электронный ресурс]. URL: http://www.umpo.ru/ (дата обращения: 10.03.2018).
5. Конев М.В. Интеграция различных CAD-систем в едином информационном пространстве на базе Teamcenter // Рациональное управление предприятием, 2017. № 1. С. 16-18.
6. Черников М.С. Совершенствование автоматизированной системы технологической подготовки производства на основе интеграции данных автоматизированных систем управления различной функциональности // Известия Самарского научного центра Российской академии наук, 2012. № 4 (2). Т. 14. С. 540-544.
7. Липатова С.В. Архитектура интегрированной автоматизированной системы поддержки жизненного цикла воздушного судна // Известия Самарского научного центра Российской академии наук, 2013. № 4 (3). Т. 15. С. 621-627.
8. Сафронов В.В. Анализ архитектуры развертывания PLM систем// Вестник Воронежского государственного технического университета, 2011. № 10. Т. 7. С. 69-73.
9. Глущенко А.А. Внедрение PDM-системы на производственном предприятии: опыт ЛАНИТ // Рациональное управление предприятием, 2009. № 6. С. 52-54.
10. Кошелев М.В. Разработка концепции применения ИПИ (PLM)-технологии и программы первоочередных мероприятий по ее реализации в промышленности // Вестник Волжского университета им. В.Н. Татищева, 2010. № 15. С. 22-28.
11. Куликов Г.Г. Организация единого информационного пространства для распределенного выполнения проектов в авиадвигателестроении // Вестник УГАТУ, 2012. № 6 (51). Т. 16. С. 202-210.
12. Серебренников А.С. Вопросы создания элементов единого информационного пространства системы управления жизненным циклом пл в проектной организации // Известия Самарского научного центра Российской академии наук, 2016. № 4(3). Т. 18. С. 548-551.
13. PLM security: data and classification complexity. [Электронный ресурс]. URL: http://beyondplm.com/2014/07/30/plm-security-data-and-dassification-complexity/ (дата обращения: 10.02.2018).
14. Protecting Intellectual Property for Product Lifecycle Management (PLM): The Right Way to Do Rights Management // NextLabs, Inc. [Электронный ресурс]. URL: https://nextlabs.wordpress.com/2015/11/19/prot ecting-intellectual-property-for-product-lifecycle-management-plm-the-rightway -to-do-rights-management/ (дата обращения: 15.03.2018).
15. Жалдак И.В. Обеспечение безопасности конструкторской документации на предприятиях авиационной промышленности // Известия Самарского научного центра Российской академии наук, 2012. Т. 14, № 4 (2). С. 611-612.
16. Федеральный закон «О безопасности критической информационной инфраструктуры» от 26.06.2017 № 187-ФЗ. [Электронный ресурс]. URL: http://www.consultant.ru/document/cons_doc_LAW_220885/ (дата обращения: 18.03.2018).
17. Приказ ФСТЭК России № 239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». [Электронный ресурс]. URL: https://fstec.ru/component/attachments/download/1879/ (дата обращения: 20.03.2018).
18. Зефиров С.Л. Способы оценки информационной безопасности организации // Труды международного симпозиума «Надежность и качество», 2011. № 2. С. 407-409.
