CC BY
14
УДК 004
Андаков А.Р. студент магистратуры Евразийский национальный университет им. Л.Н. Гумилева
научный руководитель: Конырханова А.А.
доцент
кафедра «Информатика и информационная безопасность» Евразийский национальный университет им. Л.Н. Гумилева
Казахстан, г. Нур-Султан ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В МАШИНОСТРОЕНИИ-ПРОБЛЕМЫ РЕАЛИЗАЦИИ ТРЕБОВАНИЙ МЕЖДУНАРОДНОГО
СТАНДАРТА
Аннотация: Одним из эффективных средств конкурентной борьбы современного общества является постоянный мониторинг деятельности конкурентов, например: исследование новейших изобретений, опытно-конструкторских разработок, применяемых технологий. Интерес иностранных корпораций и разведслужб к промышленности, в основном «оборонке», прослеживается фактически все время ее существования, причем особую активность проявляют как раз страны Азиатско-Тихоокеанского региона.
Ключевые слова: стандарты ,ISO,ИТ сервисы.
Andakov A.R.
master student
L.N. Gumilyov Eurasian National University
Kazakhstan, Nur-Sultan Supervisor: Konyrkhanova A.A.
Associate Professor of the Department "Informatics and
Information Security" L.N. Gumilyov Eurasian National University
Kazakhstan, Nur-Sultan INFORMATION SECURITY IN MECHANICAL ENGINEERING -PROBLEMS OF IMPLEMENTATION OF THE REQUIREMENTS OF THE INTERNATIONAL STANDARD
Abstract: One of the effective means of competition in modern society is the constant monitoring of competitors, for example: research on recent inventions, development projects, applied technologies. The Asia-Pacific region attracts the attention of all foreign corporations and special services.
Keywords: standards, ISO, IT services.
Информационная безопасность машиностроительного
предприятия (далее ИБМП) - это статус сохранности корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность. (ИБМП) достигается целым комплексом организационных и технических мер, направленных на защиту
корпоративных данных.
1. Организационные меры включают документированные процедуры и правила работы с разными видами информации, ИТ-сервисами, средствами защиты и т.д.
2. Технические меры заключаются в использовании аппаратных и программных средств контроля доступа, мониторинга утечек, антивирусной защиты, межсетевого экранирования, защиты от электромагнитных излучений и прочих источников уязвимостей.
Задача ИБМП по сравнению с информационной безопасностью других систем, другого уровня - гораздо проще, однако из за узкой направленности крайне не развита, а ведь речь идет о защите данных связанных с машиностроительным производством, что означает более узкий подход к проблеме. На этом уровне ИБМП охватывает (криптографическую обработку сведений, правовой аспект защиты информации (далее ЗИ), специализированное по для ведения проектного учета сведений, лицензирование средств защиты сведений, составляющую коммерческую тайну на машиностроительном предприятии).
ИБМП возможно только при системном и комплексном подходе к защите, в то время как Рынок ИБ в нашей стране не развит и существуют организации, занимающиеся либо интеграцией средств ИБ, либо консультированием. В системе ИБМП должны быть приняты все подходы и учитываться все актуальные угрозы и уязвимости.
Полноценная информационная безопасность подразумевает непрерывный контроль в реальном времени всех важных событий и состояний, влияющих на безопасность данных. Защита должна осуществляться круглосуточно и круглогодично и охватывать весь жизненный цикл сведений - от её поступления или создания до уничтожения.
Информационная безопасность в начале третьего тысячелетия уверенно выходит на первое место в системе национальной безопасности. Поэтому наиболее актуальным сейчас является афоризм «кто владеет информацией, тот владеет миром». Информация превратилась из абстрактного понятия в едва ли не самый ценный объект и ход всех значимых событий в науке, коммерции, социуме связан с процессами производства и владения информацией. В нашем случае ИБМП должна быть построена, как многоуровневая схема информационной системы с внешними и внутренними связями[1].
Автоматизированные или автоматические производственные и сборочные линии являются неотъемлемым атрибутом современного машиностроительного производства. Работа оборудования с числовым программным управлением (ЧПУ), а также программируемых промышленных роботов (сварочных, сборочных и т. д.) позволяет значительно увеличить производительность, исключить вероятность влияния человеческого фактора и улучшить качество продукции. Наличие
программируемого оборудования в несколько раз увеличивает эффективность производства и значительно сокращает издержки.
При переходе к автоматизированному производству ключевую роль играет информация, определяющая технологический процесс
На различных этапах подготовки производственных мощностей и непосредственно производства деталей (изделий, узлов и т. д.) в системах автоматизированного проектирования формируются файлы данных. Первым этапом является разработка трехмерной модели и чертежей в системах автоматизированного проектирования (CAD-системах). При этом файлы данных хранятся во внутреннем представлении CAD-системы на АРМ технологического персонала. Следующим этапом является формирование управляющей траектории в CAM-системе, которая также хранится во внутреннем представлении CAM-системы в файле проекта обработки или в CL-файле. Для преобразования управляющей траектории в управляющую программу для станка с ЧПУ применяется постпроцессор. Полученная управляющая программа хранится в текстовом файле на АРМ технологического персонала
Формат файла определяется конкретным типом оборудования и постпроцессора.
Перенос управляющей программы на стойку ЧПУ возможен различными способами:
• непосредственным вводом управляющей программы на стойке;
• через последовательный порт;
• через flash-накопитель;
• через Ethernet-контроллер.
Таким образом, учитывая тесную интеграцию CAD/CAM-систем и стоек ЧПУ в условиях современного машиностроительного производства, злоумышленники имеют широкие возможности для кражи данных на любом этапе подготовки производства и непосредственно в ходе производства. АРМ технологического персонала, как правило, находятся в контролируемой зоне — в охраняемом здании, под видеонаблюдением. Сами АРМ обладают программными средствами защиты — системой идентификации и аутентификации, журналами учета и контроля доступа и т. д. Технологическое оборудование в производственных помещениях, как правило, не оснащено комплексными системами обеспечения информационной безопасности. Оборудование находится
в производственных помещениях, которые, как правило, оснащены только периметровым видеонаблюдением. Физический доступ к оборудованию имеют все сотрудники данного предприятия (цеха). Также на предприятиях зачастую не контролируется процесс переноса данных с АРМ технологического персонала на стойки ЧПУ и носители, с помощью которых осуществляется эта процедура. Вендоры оборудования, интеграторы и обслуживающие компании, осуществляющие пуско-наладку, техническое обслуживание и ремонт оборудования, также имеют практически
неограниченный доступ к оборудованию во время проведения работ, в том числе и посредством удаленного доступа к нему.
Что может происходить (и происходит)?
Возможны три основных сценария похищения информации о технологическом процессе.
Сценарий 1. Злоумышленники похищают технологическую информацию из СЛО/СЛМ-систем. АРМ технологического и инженерного персонала часто имеют совмещенный функционал, и на них ведется работа как с технологической информацией, так и в приложениях корпоративного сегмента. Интеграция с корпоративной сетью осуществляется как через выделенные линии, так и через сеть Интернет.
Сценарий 2. При переносе управляющих программ на стойку станка с ЧПУ возможна утечка данных. Современное оборудование всё чаще подразумевает использование технологической сети для взаимодействия технолога со станком. При этом, технологическое оборудование по умолчанию не требует использования каких-либо средств контроля и управления подключениями и мониторинга сетевой активности. Злоумышленники могут перехватить трафик при передаче управляющих программ с АРМ технолога на станок, подключившись к технологической сети.
Сценарий 3. Управляющие программы могут быть скопированы непосредственно с производственного оборудования через
коммуникационные интерфейсы. Производственное оборудование имеет минимальный набор средств защиты (идентификации) пользователей. В случае, если злоумышленником является легитимный пользователь оборудования (оператор, мастер-наладчик), такой сотрудник имеет возможность беспрепятственно и бесконтрольно завладеть управляющей программой
Основной целью всех трех сценариев является передача полученных данных третьим лицам (другому предприятию) для изготовления в первую очередь контрафактных запасных частей, узлов и агрегатов, а также для анализа конструкторских решений. Данные действия приводят к значительным измеримым материальным потерям предприятия-правообладателя, а также негативно сказываются на его репутации.
Учитывая высокую стоимость машинного времени оборудования с ЧПУ, как правило, на нем производятся наиболее сложные детали с максимальной долей добавочной стоимости. При этом предприятие вкладывает большие интеллектуальные и материальные ресурсы в подготовку производственных мощностей и непосредственно самого процесса производства — в разработку технологической документации, трехмерных моделей и управляющих программ, проведение испытаний.
Известны случаи, когда полученные незаконно управляющие программы использовались сторонними предприятиями для производства деталей, полностью повторяющих по своим свойствам оригинальные,
но со значительно меньшей себестоимостью. С подобными проблемами сталкиваются не только автомобилестроительные заводы,
но и производители железнодорожной, строительной и другой техники, а также запчастей и комплектующих к ним. Учитывая тот факт, что контрафактная продукция поставляется под видом оригинальной с соответствующей маркировкой и документацией, предприятие-правообладатель вынуждено выполнять гарантийные обязательства по ремонту данной продукции. Очевидно, что это влечет дополнительные материальные издержки.
Согласно распространенной в открытых источниках статистике, только одна из автомобилестроительных компаний ежегодно несет убытки из-за производителей контрафактных изделий в размере нескольких миллионов долларов США. В случае, если предприятие занимается изготовлением военной или специальной техники, реализация подобного правонарушения может серьезно угрожать государственной безопасности. Только за последние несколько лет в СМИ была опубликована информация о краже технологической информации о нескольких образцах перспективной военной техники Армии США хакерами из России и Китая. Данные факты демонстрируют, что для обеспечения информационной безопасности на предприятиях военно-промышленного комплекса недостаточно обеспечить физическую защиту объекта и исключить сетевое взаимодействие через Интернет. На подавляющем большинстве машиностроительных предприятий России, в том числе производящих оборонную продукцию и продукцию двойного назначения, применяется оборудование и программное обеспечение иностранного производства, которое не проходит испытания на отсутствие недекларированных возможностей. Такая же ситуация характерна и для программного обеспечения, используемого в процессе подготовки производства.
Таким образом, для обеспечения сохранности интеллектуальной собственности предприятия в области подготовки производственных мощностей и непосредственно самих производственных процессов необходимым условием является систематический аудит уровня защищенности, испытание программного обеспечения на отсутствие недекларированных возможностей, развертывание комплексных систем защиты информации, реализующих как организационные, так и технические меры защиты. Не менее важным является также организационно -правовое регулирование работы с технологической информацией на всём жизненном цикле продукции. [2].
Международный стандарт - стандарт, принятый международной организацией по стандартизации и доступный широкому кругу потребителей (Закон Республики Казахстан «О техническом регулировании» от 9 ноября 2004 года).
Международные стандарты служат базовыми документами для расширения торговли между странами, благодаря ценности, содержащейся в
них информации, направленной на обеспечение требуемого уровня безопасности людей, охраны здоровья и защиты окружающей среды.
Основной идеей международной стандартизации являлось создание международных стандартов на базе уже разработанных национальных стандартов с последующей их реализацией на национальном уровне. Поэтому технические комитеты международных организаций разрабатывали рекомендации, с помощью которых предполагалось повлиять на имеющиеся национальные стандарты. Первые рекомендации («Стандартные справочные температуры для промышленных измерений») появились в 1951 г., к десятилетию ИСО в 1957 г. насчитывалось всего лишь 57 рекомендаций. Но при этом, предприятия не могли апеллировать к ним как к независимым международным стандартам. В связи с этим началась перестройка работы с ориентиром на принятии международных стандартов.
Основными системообразующими авторитетными международными организациями в области стандартизации являются:
- Международная организация по стандартизации, ИСО (International Organization for Standardization, ISO) - международная организация по стандартизации, объединяющая 169 стран мира [1] . Главная цель ИСО -разработка международных стандартов для развития международной торговли и расширения международного сотрудничества. Стандарт ИСО представляет собой результат соглашения между комитетами-членами ИСО, его можно использовать как таковой или внедрить путем введения в национальные стандарты различных стран.
- Международная электротехническая комиссия, МЭК (International Electrotechnical Comission, IEC) - международная некоммерческая организация по стандартизации в области электрических, электронных и смежных технологий. МЭК составлена из представителей национальных служб стандартов, в настоящее время в её состав входят более 76 стран [2] . Основная цель организации — содействие международному сотрудничеству по стандартизации и смежным с ней проблемам в области электротехники и радиотехники путем разработки международных стандартов и других документов. [3].
10 ноября, мировая общественность отмечает Всемирный день качества, который проводится по инициативе Европейской организации по качеству каждый второй четверг ноября с 1989 года.
«Качество является основным критерием эффективности экономической системы, в рамках вступления Казахстана в ВТО актуальным вопросом на сегодня является внедрение международных стандартов качества».
На сегодняшний день систему менеджмента качества ИСО 9000 сертифицировали 388 отечественных предприятий и еще 160 готовятся к его внедрению [4].
Национальная палата предпринимателей Республики Казахстан «Атамекен», согласно Трудовому кодексу РК, с 1 января 2016
года утверждает профессиональные стандарты, разработанные отраслевыми объединениями работодателей.
Работа по становлению основ Национальной системы квалификации РК с 2016 года продолжается в рамках Соглашения о партнерстве между Правительством Республики Казахстан и Международным Банком Реконструкции и Развития по проекту «Развитие трудовых навыков и стимулирование рабочих мест». Срок реализации настоящего проекта 5 лет (2016-2020 гг.). В рамках подкомпонета 1.1. «Совершенствование профессиональных стандартов, включая процессы пересмотра и согласования» планируется разработать около 550 профессиональных стандартов.
Профессиональные стандарты могут быть разработаны по инициативе объединений работодателей совместными группами экспертов производственных предприятий, учебных заведений и научных учреждений. В настоящее время составляется и согласовывается перечень профессий (областей профессиональной деятельности, видов трудовой деятельности) для разработки профессиональных стандартов в рамках проекта «Развитие трудовых навыков и стимулирование рабочих мест».[5]
Использованные источники:
1. http://www.rusnauka.com/27 NNP 2014/Informatica/4 176699.doc.htm
2. http://it-enigma.ru/resheniya/mashinostroitelnyie-predpriyatiya
3.https://busmess.gov.kz/m/quaHty-and-standards/standards/mtemational-standards.php
4. https://online.zakon.kz/Document/?doc id=30032221#pos=4;-155
5. http ://atameken.kz/ru/services/16-professional-nye-standarty
6. Янченко, В.Н. Информационная безопасность в машиностроении -проблемы реализации требований международного стандарта ISO 27001
