CC BY
191
ки" в городской инфраструктуре, характеризующейся плотной застройкой, не обеспечивают равномерного покрытия городской черты и поддержки требуемого уровня QoS передачи данных в условиях движения объекта исследования. Плавный переход обслуживания объекта между базовыми станциями организован, но имеет место достаточно высокая вероятность разрыва соединения с сетью оператора. В утренние и вечерние часы вероятность потери связи с МбТС выше, чем в дневное время. Существуют „проблемные" географические зоны, в которых зафиксированы случаи потери связи, не перекрываемые сетями операторов связи.
Имея карту „проблемных" зон города, в целом можно организовать переключение потока данных между сетями операторов связи, основываясь на уровне сигнала от базовой станции и времени суток, увеличив тем самым надежность канала связи и целостность информации, передаваемой в распределенной телекоммуникационной среде.
список литературы
1. Волков А. Н., Рыжков А. Е., Сиверс М. А. UMTS. Стандарт сотовой связи третьего поколения. СПб: Изд-во „Линк", 2008.
2. Holma H., Toskala A. WCDMA FOR UMTS: Radio Access for Third Generation Mobile Communication. London: John Wiley & Sons Ltd, 2004.
Алексей Владимирович Горячев
Михаил Юрьевич Монахов
Сведения об авторах аспирант; Владимирский государственный университет им. А. Г. и Н. Г. Столетовых, кафедра информатики и защиты информации; E-mail: a.goryachev@rfc-cfa.ru
д-р техн. наук, профессор; Владимирский государственный университет им. А. Г. и Н. Г. Столетовых, кафедра информатики и защиты информации; заведующий кафедрой; E-mail: mmonakhov@vlsu.ru
Рекомендована ВлГУ
Поступила в редакцию 17.04.12 г.
УКД 004.043
М. Ю. Монахов, О. И. Файман
ИНВЕНТАРИЗАЦИЯ ИНФОРМАЦИОННЫХ РЕСУРСОВ КАК ОСНОВА БЕЗОПАСНОГО ФУНКЦИОНИРОВАНИЯ АСУ
Приведен перечень информационных ресурсов автоматизированных систем управления (АСУ) на основе степени их вовлеченности в протекающие на предприятии бизнес-процессы. Определены критичные для безопасного функционирования АСУ характеристики информационных ресурсов. Предложена методика инвентаризации информационных ресурсов, проанализированы особенности ее применения.
Ключевые слова: инвентаризация, информационные ресурсы, бизнес-процессы, информационная безопасность.
Введение. Информационные ресурсы (ИР) являются принципиальной составляющей управления предприятием. Недостаточная систематизация и несовершенная структурная организация ИР и как следствие — неэффективность информационного обеспечения бизнес-процессов приводят к деструктивным, а порою и катастрофическим последствиям для производственной деятельности предприятия. Чаще всего подобные ситуации складываются при интеграции различных автоматизированных систем управления предприятием (АСУП), когда
достаточно убедительно продумываются интеграционные вопросы производственной деятельности, а новая информационная инфраструктура формируется путем простого объединения имеющихся ИР и средств их обработки.
Системным решением, позволяющим преодолеть подобные проблемы, является инвентаризация и структуризация имеющихся ИР с целью выявления степени их критичности для функционирования предприятия [1, 2], что потребует обеспечения их надежного хранения, поддержания целостности и достоверности содержащейся в них информации. Кроме того, часть ИР представляет собой производственную тайну, следовательно, необходимо обеспечение конфиденциальности. Насколько точно и всесторонне представлены сведения об ИР, настолько более адекватно будет система защиты информации (СЗИ) обеспечивать конфиденциальность, целостность и доступность циркулирующей на предприятии информации [3].
Классы информационных ресурсов. Для интегрированной АСУ современного предприятия характерен типовой набор ИР, который предлагается разделить на 13 классов. Внутри класса информация каждого ИР может обладать своей степенью конфиденциальности, целостности, доступности. Степень таких категорий безопасности, как правило, устанавливается собственником предприятия.
1. Класс ИР „Производство" содержит информацию о кадрах и структуре производства; об организации труда, о наличии оборудования и его характеристиках, уровне запасов материалов, комплектующих, готовой продукции; о резервах сырья; о применяемых материалах; о комплектующих изделиях, придающих продукции новые потребительские качества.
2. Класс ИР „ Управление " содержит информацию о подготовке решений руководства и их исполнении; о планах по расширению производства, закупкам и продажам; о проектах экспортно-импортных планов, инвестиционных программ; об объемах капитальных вложений и строительно-монтажных работ; об эффективности экспорта и импорта товаров; о свертывании и расширении производства.
3. Класс ИР „ Финансы " содержит информацию о плановых и фактических показателях финансового плана; о стоимости товарных запасов и оборотных средств; о показателях рентабельности производства, прибыли; об объемах финансирования капитальных вложений и затрат на внедрение новой техники; о состоянии кредита; о проведении переговоров, в том числе о границах полномочий должностных лиц по ценам, скидкам и другим условиям; о генеральной линии и тактике в валютных и кредитных вопросах.
4. Класс ИР „Рынок сбыта" содержит информацию об оригинальных методах изучения рынка сбыта; о состоянии рынка и перспективах рыночной конъюнктуры; о маркетинговых исследованиях; об эффективности коммерческой деятельности; о внешнеэкономической деятельности; о конкретных направлениях в торговой политике.
5. Класс ИР „Деловое партнерство" содержит информацию о клиентуре, компаньонах, посредниках, поставщиках, подрядчиках и спонсорах; о коммерческих связях; о местах закупки товаров; о предприятии как торговом партнере.
6. Класс ИР „Переговоры" содержит информацию о подготовке и результатах переговоров; о заказах и предложениях; о лицах, ведущих переговоры; о деловой политике предприятия по сделкам; о содержании переговоров с представителями иностранных фирм.
7. Класс ИР „Контракты" содержит информацию об условиях контрактов, сделок и соглашений; об исполнении контрактов; о номенклатуре товаров по взаимным обязательствам, предусмотренным соглашениями и протоколами о товарообороте.
8. Класс ИР „Цены" содержит информацию о механизмах образования цены на продукцию; о калькуляции издержек производства; о внутренних прейскурантах и тарифах скидок; о методике расчетов цен по экспорту и импорту; о себестоимости и контрактных ценах товаров и услуг.
9. Класс ИР „Торги" содержит информацию о подготовке к торгам или аукционам; о предполагаемом конкурсе или торгах; о приложениях к предложениям на публичных торгах.
10. Класс ИР „Наука и техника" содержит информацию о программах перспективных научных исследований; о конструктивных решениях разрабатываемого изделия, придающих ему новые потребительские свойства; о методах защиты от подделки товарных знаков; об исполнителях и потенциальных заказчиках НИР и ОКР; об изобретениях, научных, технических, конструкторских и технологических решениях.
11. Класс ИР „ Технология" содержит информацию об особенностях используемых и разрабатываемых технологий; о технологических достижениях, обеспечивающих преимущества в конкурентной борьбе; о модификации и модернизации технологий, процессов и оборудования; об организации работ по качеству; о программном обеспечении АСУ.
12. Класс ИР „Безопасность" содержит информацию о структуре, составе, оснащении службы безопасности; об организации СЗИ; об организации и технических средствах охраны, пропускном режиме, системе сигнализации; о коммерческой тайне предприятий-партнеров.
13. Класс ИР „Конкуренты" содержит информацию об отечественных и зарубежных предприятиях как потенциальных конкурентах; о деловых отношениях с конкурирующими предприятиями.
Представление результатов инвентаризации. Результатом инвентаризации является формирование „Перечня информационных ресурсов" предприятия, который постоянно поддерживается в актуальном состоянии и позволяет обеспечить документированное отображение состава и структуры ИР. Инвентаризация ИР кроме наведения „порядка" в информационной инфраструктуре АСУ должна обеспечивать решение ряда стратегических задач построения многоуровневой СЗИ на предприятии:
— разграничение ИР по уровню конфиденциальности, целостности и доступности. Это необходимо, чтобы выделить ИР, которые нуждаются в организации специальных механизмов защиты;
— разграничение ИР по принадлежности к подразделениям, пользователям, конкретным бизнес-процессам и поддерживающим их программным приложениям (информационным процессам, ИП), что позволит упорядочить информационный обмен предприятия, построить эффективную политику разграничения доступа;
— разграничение ИР по степени „ценности" как меры значимости (критичности) для реализации ИП, что позволит выявить дополнительные точки воздействия угроз информационной безопасности, а значит, более точно оценить уровень защищенности ИР (уровень риска) и предложить адекватные механизмы защиты.
„Перечень информационных ресурсов" предлагается формировать в форме таблицы со следующими полями:
1) „Наименование ИР". Вносится конкретное наименование документа, например, в классе „Производство" — документ „Организационная структура предприятия";
2) „Обозначение ИР". В данное поле вносится принятое (закодированное) имя данного документа в СЗИ, включая номер класса ИР и имя ИР внутри класса, например, 3ИР1;
3) „Краткое содержание ИР". В данное поле заносится наиболее существенная информация о документе — краткая аннотация;
4) „Уровень безопасности". В первый столбец данного поля вносятся сведения об уровне конфиденциальности информации, содержащейся в данном ИР („строго конфиденциальная" (СК), „конфиденциальная" (К), „открытая" (О)), во втором — об уровне целостности („высокая" (ВЦ), „средняя" (СЦ), „низкая" (НЦ — нет требований)), в третьем — доступности („высокая доступность" (ВД), „средняя доступность" (СД), „низкая доступность" (НД — нет требований));
5) „Место хранения". В данное поле вносится информация о конкретном местонахождении данного ИР. Принят следующий формат: „Номер_подразделения", „Но-мер_помещения", „Номер_шкафа / Сейфа / Стола", „Номер_оборудования (компьютера)". Если ИР электронный, то добавляется имя файла и путь к нему внутри компьютера;
6) „Приложения, использующие ИР". В данное поле вносится информация о функциональных подсистемах и прикладных сервисах, которым „принадлежит" ИР. Заметим, что каждый конкретный ИР на предприятии используется как в задачах организационного управления („бумажный" документ), так и в электронном документообороте (компьютерный файл или база данных). Здесь перечисляются номера ИП из „Перечня информационных процессов (функциональных подсистем и приложений)", реализующих принятые на предприятии бизнес-процессы. Данный перечень ИП включает „закрепленных" за каждым ИП пользователей, т. е. пользователи автоматически „прикреплены" к ресурсам;
7) „Уровень ценности". Для отдельных ИР владелец может задать стоимость, рассчитываемую по методике, предложенной в статье [4]. Стоимость может быть выражена в денежных или относительных единицах, или в качественных шкалах, например: „незначительный ущерб", „существенный ущерб" и т. д. В данной методике предлагается включить для каждого ИР показатель ценности как меры важности (полезности) ИР для реализации бизнес-процессов. За данную величину авторы принимали относительную частоту использования ИР в бизнес-процессах, приносящих наибольшую прибыль;
8) „Ответственное лицо". Как правило, это руководитель структурного подразделения, где хранится ИР. Заметим, что ответственное лицо может не являться пользователем данного ИР. Основная функция ответственного — обеспечить безопасность ИР.
Особенности инвентаризации ИР на промышленном предприятии. В таблице представлен фрагмент Перечня ИР ОАО „Промышленное предприятие Владимирской области".
Наименование ИР Обозначение Краткое содержание ИР Уровень безопасности Место хранения Приложения, использующие ИР Уровень ценности Ответственное лицо
К Ц Д
Заказы клиентов ЗК-2 На основе данной информации ежедневно формируются планы производства К СЦ СД 4, 1, 100001 C://program files/axap.exe Microsoft Dynamics AX, Новиков Н.Д., главный инженер 31695,15 (руб.) 0,15 Новиков Н. Д., главный инженер
Уровень запасов сырья УЗС-1 Недопустимость этих данных делает невозможной отгрузку со складов на производство К ВЦ СД 4, 1, 100001 C://program files/axap.exe Microsoft Dynamics AX , Новиков Н.Д., главный инженер 68958 (руб.) 0,23 Новиков Н.Д., главный инженер
В результате анализа перечня были выработаны замечания и рекомендации:
1) основными сложностями при проведении работ являются организационно-технические мероприятия по сбору информации об ИР от подразделений, непонимание руководителями значимости и специфики проведения работы. Кроме того, они с трудом классифицируют ИР по уровню конфиденциальности, целостности и доступности;
2) группе, проводящей инвентаризацию ИР, необходимо тщательно подготовиться к данному процессу: внести четкость и однозначность в используемые понятия, касающиеся назначения, содержания, состава и структуры ИР; составить предварительный список
Модель оценки факторов изменения достоверности информации
39
возможных ИР, специфичных для подразделения, понятный руководству; предусмотреть автоматизированные средства обработки больших объемов полученной информации.
список литературы
1. Королев А. В., Королев В. И. Методика проведения инвентаризации и структуризации информационных ресурсов на объекте информатизации // Безопасность информационных технологий. 2009. № 4 [Электронный ресурс]: <http://www.pvti.ru/articles_16.htm>.
2. Симонов С. В. Технологии и методики классификации информационных ресурсов // Тр. ИСА РАН. 2006. Т. 27. С. 58—73.
3. Федеральный закон РФ № 149 „Об информации, информационных технологиях и о защите информации". 2006.
4. Файман О. И. Математическая модель оценки информационных ресурсов в рамках управления информационными ресурсами // „Математические методы в технике и технологиях - ММТТ-22". Сб. тр. XXII Междунар. науч. конф. 2010. Т. 11. С. 55—58.
Сведения об авторах
— д-р техн. наук, профессор; Владимирский государственный университет им. А. Г. и Н. Г. Столетовых, кафедра информатики и защиты информации; заведующий кафедрой; E-mail: mmonakhov@vlsu.ru
— Владимирский государственный университет им. А. Г. и Н. Г. Столетовых, кафедра информатики и защиты информации; ассистент; E-mail: 0lich06@inbox.ru
Поступила в редакцию 17.04.12 г.
УДК 004.891.3
Д. А. Полянский, М. Ю. Монахов МОДЕЛЬ
ОЦЕНКИ ФАКТОРОВ ИЗМЕНЕНИЯ ДОСТОВЕРНОСТИ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ ПЕРЕДАЧИ ДАННЫХ
Проанализированы особенности обеспечения достоверности информации в корпоративной сети передачи данных. Определена зависимость достоверности от ряда трудноформализуемых характеристик и факторов. Предложена модель оценки достоверности информации и прогнозирования ее изменения.
Ключевые слова: достоверность данных, информационный ресурс, корпоративная сеть передачи данных, дестабилизирующий фактор, экспертная оценка.
Достоверность информации, циркулирующей в корпоративной сети передачи данных (КСПД), означает тождество содержания источника, носителя и приемника информации [1]. Дестабилизирующие факторы (ДФ), т.е. внутренние или внешние по отношению к КСПД события, которые приводят к изменению либо уничтожению информационных ресурсов (ИР), снижают уровень достоверности. Примерами ДФ можно назвать неправильную интерпретацию данных, неудачную установку и конфигурирование технических средств обработки данных, неверное считывание данных в процессе ввода и формирования сообщений, искажения в канале передачи, сбои в работе оборудования, ошибочные или злонамеренные действия оператора.
Михаил Юрьевич Монахов
Ольга Игоревна Файман
Рекомендована ВлГУ
