Методический подход к оценке информационной безопасности экономической деятельности высокотехнологичных предприятий
Калачанов Вячеслав Дмитриевич,
д.э.н., профессор заведующий кафедрой 315, ФГБОУ ВО «Московский авиационный институт (национальный исследовательский университет)» (МАИ), [email protected].
Ефимова Наталья Сергеевна,
к.э.н., доцент ФГБОУ ВО «Московский авиационный институт (национальный исследовательский университет)» (МАИ), [email protected]
Канашова Юлия Георгиевна,
заместитель директора ФГБУ «Центр методологии контроля и аудита», [email protected]
В современных экономических условиях информационная безопасность является неотъемлемой составной частью единой системы экономической безопасности любого высокотехнологичного предприятия. В полной мере это относится к предприятиям авиастроения, так как надежное обеспечение информационной безопасности является непременным условием перехода на модель устойчивого развития не только авиастроительной отрасли, но и экономики страны в целом.
В настоящее время отсутствует единый методический подход основных аспектов информационной безопасности производства высокотехнологичной продукции, простые и логические методы их исследования. При этом наличие довольно большого объема научной литературы, раскрывающей различные стороны этой глубокой проблемы привели, к выборочному подходу и отдельным ее аспектам. Ключевые слова: высокотехнологичные предприятия, информационная безопасность, информационные технологии, оценка угроз, наукоемкая продукция.
Обеспечение информационной безопасности экономической деятельности высокотехнологичных предприятий направлено на осуществление взаимоувязанных правовых, организационных, разведывательных, контрразведывательных, научно-технических, информационно-аналитических, кадровых, экономических и иных мер по прогнозированию, обнаружению, сдерживанию, предотвращению, отражению информационных угроз и ликвидации последствий их проявления. В этой связи наблюдаемые проблемы на предприятиях производимых высокотехнологичную продукцию, безусловно, являются объективным следствием недостаточного внимания к проблемам разработки и внедрения перспективных информационных технологий защиты информации. При этом практика внедрения информационных технологий без увязки с обеспечением информационной безопасности существенно повышает вероятность проявления информационных угроз. Обеспечение информационной безопасности - это процесс сохранение и защита деятельности высокотехнологичных предприятий и создание возможностей для выхода на более высокий уровень развития их потенциала в условиях неопределенности и угроз. Внедрение на высокотехнологичных предприятиях интегрированных информационных систем на всех стадиях создания и производства наукоемкой продукции позволит: сократить трудоёмкость проектирования и планирования, сократить сроки проектирования, сократить себестоимость проектирования и изготовления, уменьшить издержки на эксплуатацию, повысить качество и технико-экономического уровня результатов проектирования, сократить затрат на натурное моделирование и испытания.
С учетом специфики производства высокотехнологичной продукции на предприятиях используется, как правило САПР, а также CAPP, CAM и CAE системы, ERP- систем которые обеспечивают выполнение всех процессов создания наукоемкой техники (см.рис.1).
В большинстве случаев любая угроза информационной безопасности является следствием наличия уязвимых мест в защите информационных систем действующих на микроэкономическом уровне- уровне высокотехнологичных предприятий .
Для обеспечения повышенных требований информационной безопасности на высокотехнологичных предприятиях целесообразна реализация ряда мероприятий, а именно:
- объединенного в единый, целостный механизм защиты информации всех используемых программных средств и методов;
- проектирование механизм защиты информации параллельно с созданием систем обработки данных, начиная с момента проектирования информационной системы;
- обеспечение функционирование методов защиты во взаимосвязи с планированием и обеспечением основных процессов ее автоматизированной обработки ;
- регулярный контроль и мониторинг функционирования механизма защиты информации высокотехнологичных предприятий.
При идентификации угроз следует использовать результаты аудитов, данные об инцидентах, связанных с информационной безопасностью, экспертные оценки специалистов по информационной безопасности, ИТ-специалистов и внешних консультантов.
Осуществление своевременного мониторинга угроз высокотехнологичного производства способствует определению возможного ущерба, наносимого высокотехнологичным предприятиям в результате нарушений информационной безопасности, степени тяжести последствий от нарушения конфиденциальности, целостности, доступности и других важных свойств информационной безопасности, а также их комплексной оценке.
Одним из возможных подходов к защите информационной системы от несанкци-онирного доступа, к предотвращению утечки информации является внедрение новых
О À
В
S
№ 2
1Л
I
ей
2 ©
информационных технологий сбора и первичной обработки данных.Кроме того, должны практиковаться периодически проверки определенных бизнес-процессов пользователей сотрудниками информационной безопасности. Проведения подобных проверок преследует следующие основные цели:
- обновление бизнес-процессов работы с информационной системой в части предоставления прав доступа, управления инцидентами, идентификации пользователей;
- разработка рекомендаций по изменению политики безопасности предприятия при внедрении новых систем и интеграции между существующими информационными системами осуществление организационных мероприятий по усилению информационной безопасности с сотрудниками.
Ниже представлена таблица с перечислением основных задач информационной безопасности, которые должны выполняться на высокотехнологичных предприятиях в рамках интеграции информационных систем и автоматизированных систем проектирования.
При обеспечении защиты информации высокотехнологичных предприятий предлагается использовать методических подход к оценке и анализу угроз информационной безопасности. Несмотря на повышение интереса к управлению угрозами, используемые в настоящее время методики относительно неэффективны, поскольку этот процесс во многих организациях осуществляется каждым подразделением независимо. Централизованный контроль над их действиями зачастую отсутствует, что исключает возможность реализации единого и целостного подхода к управлению угрозами на высокотехнологичном предприятии в целом.
Угрозы информационной безопасности деятельности высокотехнологичных предприятий представляют собой совокупность факторов и условий, возникающих в процессе взаимодействия различных объектов и способных оказывать негативное воздействие на конкретный объект информационной безопасности. Негативные воздействия различаются по характеру наносимого вреда, а именно по степени изменения свойств объекта безопасности и возможности ликвидации последствий проявления угрозы. В связи с этим можно провести следующую классификация угроз информационной безопасности высокотехнологичных предприятий:
Рисунок 1. Информационная модель взаимосвязи информационных систем на авиастроительных организаций
Таблица 1
Основные задачи развития системы информационной безопасности с учетом интеграции информационных систем на высокотехнологичных предприятиях
№ П/п Задачи Область действия Периодичность решения
и Учет требован и й информационной безопасности Ори разрабогке информационной системы с учетом специфики производства Закупка информационных систем Каждый раз ори внедрении и разработке интеграции систем
43 Постоянный мониторинг регуляторов безопасности с целью оценки эффективности Оценка безопасности при интеграции Контроль ежемесячно
44 Авторизация введения в эксплуатацию информационных систем и установление соединений с другими информационными системами Оценка безопасности при интеграции Каждый раз при внедрении и разработке интеграции систем
55 Обеспечение защиты информации и информационной системы при проведении организационно-штатных мероприятии Кадры Контроль ежемесячно
66 Применение соответствующих официальных санкции к нарушителям политики и процедур безопасности Кадры Контроль ежемесячно
11 Обеспечение и отслеживание, документирования и доведение информации об инцидентах соответствующим должностным лицам предприятия и уполномоченным органам Протоколирование и аудит Контроль еженедельно
К Обеспечение прослсживасмости действий в информационных системах с точностью до пользователя (подотчетность пользователей). Идентификация и ауте нтифи каци я Контроль еженедельно
9 Отслеживание сигналов о нарушениях безопасности и сообщений о новых угрозах для информационной системы И реагировать на НИХ должным образом Целостность систем Постоянный контроль
- по источнику угроз -внутренние (возникают непосредственно на объекте и обусловлены взаимодействием между его элементами или субъектами) и вне-
шние (возникают вследствие его взаимодействия с внешними объектами);
- по вероятности реализации -потенциальные и реальные;
Таблица 2.
Разработанная модель источника угроз на высоктехнологичном предприятии
Исто 41 [ПК >1 УГрО! Прогнозируемые Ма.чопрогнози-руемые Немрогнози руг мыс
Внуг рспп НС Администраторг.г информационной безопасно с ти (ЛИ Б) Внутренний техногенный источник угроз (аппаратные средства, программные средства,
Сетевые администраторы (ЛДМС)
Администраторы при жадных систем, баз данных (АДМП)
Инженерно-технический персонал (ТЕХ)
Пользователи (ПОЛ) инженерно-технические средства)( В НУТ)
Вспомогательный персонал (ВСП)
Программисты (ПРГ)
Руководители( РУК)
Внеш ние Разработчики, Тестировщики (РАЗР) Внешний техногенный источник угроз (энергетические сети, инженерные сети, средства связи, транспорт) (В НЕТ) Стихийный источник угроз (пожар, наводнение, ураган, землетря-сение, климяг) (СТХ)
Уволенные сотрудники (УВС)
Хакеры (ХАК)
Внешние злоумышленники (конкуренты, спецслужбы) (ВНЕШ)
Посетители, клиенты (ПОС)
Обслуживающие предприятия (ОБС)
Таблица 3
Качественные значения уровня опасности источника угроз
Суммарный параметр Первый параметр
4 уровень 3 уровень 2 уровень 1 уровень 0 уровень
Второй параметр 4 уровень 4 уровень 4 уровень 3 уровень 3 уровень 2 уровень
3 уровень 4 уровень 3 уровень 3 уровень 2 уровень 1 уровень
2 уровень 3 уровень 3 уровень 2 уровень 1 уровень 1 уровень
1 уровень 3 уровень 2 уровень 1 уровень 1 уровень 0 уровень
0 уровень 2 уровень 1 уровень I уровень 0 уровень 0 уровень
Таблица 4
Предлагаемая оценка уровней опасности источников информационных угроз высокотехнологичных предприятий
Категория источника угроз Квалификация (мощность, ответстве нность работ) Доступность (близость) 1 фактор Потенциал источника угроз 2 фактор Мотивация (предраспол о-же н посте) Уровень опасности источника угроз
1- Внутренние источники уж юз
АИБ высокий макс. макс. Низкий высокий
АДМС высокий макс. макс. 11ИЗКИЙ высокий
АДМП высокий макс. маке. Низкий высокий
ТЕХ средний средний средний Низкий низкий
ПОЛ средний средний средний Средний сред: ти й
ВСП МИНИМ- низкий ММНИМ- Средний НИЗКИЙ
ПРГ высокий высокий высокий Низкий средний
РУК средний высокий высокий МИ] [ИМ. низкий
2. Внешние источники угроз
РАЗР ВЕЛ СО КИЙ высокий высокий 11изкий средний
УВС высокий средний высокий Средний средний
ХАК максимальный средний средний Высокий средний
ВИЕШ максимальный низкий высокий Максим аль ный максимальный
ПОС средний низкий низкий Низкий низкий
ОБС средний средний средний Средний средний
3. Естественные негочники угроз
ВНЕТ максимальный низкий средний Минимален ый НИЗКИЙ
ВНУТ высокий средний высокий Низкий средний
СТХ максимальный минимальный средний Минимален ый НИЗКИЙ
- по размерам наносимого ущерба -общие, локальные и частные;
- по природе происхождения - случайные и преднамеренные;
- по предпосылкам возникновения -объективные и субъективные;
- по видам объектов безопасности -угрозы собственно информации, угрозы персоналу объекта, угрозы деятельности по обеспечению информационной безопасности.
Разработанная модель источника угроз, приведенная в таблице 2.
Так например, уровень опасности источника угроз А, состоящий из двух показателей В и С, может быть вычислен по формуле:
- где В и Втах- первый параметр (оцениваемое и максимальное значение);
- где С и Стах - второй параметр (оцениваемое и максимальное значение)
- Качественные значения параметра приведены в таблице 3.
Предлагаемая оценка уровня опасности источников угроз высокотехнологичных предприятий приведены в табл. 4.
Оценку опасности угроз информационной безопасности целесообразно проводить на основе опроса специалистов по защите информации и определяется показателем Роу, который имеет три значения. Вербальные градации опасности угроз информационной безопасности приведены в таблице 5.
По итогам оценки двух вышеуказанных показателей для каждой угрозы определяется ее актуальность Ау. Отнесение угрозы к актуальной проводится по следующим правилам:
В соответствии с вышеуказанными правилами определяется актуальность угрозы. Правила определения актуальности угрозы приведены в таблице 6
В соответствии с приведенной методикой формируется перечень актуальных угроз информационной безопасности интегрированных информационных систем на высокотехнологичных предприятиях.
За счет интеграции ERP-системы с инженерно-конструкторскими комплексами CAD/CAM/PLM/PDM создается единая база информации, включающая данные о составе изделий, временных и материальных затратах, технологических маршрутах, и др. Подобные инновационные решения позволяют оптимизировать производственные процессы, за счет
О £
В
3
№ 2
1Л
I
2 ©
чего удается сократить сроки выхода на рынок новой продукции. Кроме того, интегрированный комплекс позволит: составлять долговременные прогнозы потребностей в материалах и ресурсах на основе накопленных данных, рассчитывать себестоимость продукции, планировать загрузку мощностей, обеспечивать прозрачность и управляемость всего цикла конструирования, создать единую базу информации (о составе изделий, нормах расхода материалов, справочные базы данных и пр.), управлять замкнутым производственным циклом, включающим в себя подготовку производства, его планирование и оперативное управление, осуществлять учет материалов и комплектующих в производстве, осуществлять финансовый учет на производстве.
Литература
1. Государственная программа Российской Федерации «Развитие авиационной промышленности на 2013-2025 годы» [Электронный ресурс] - Режим доступа: http://minpromtorg.gov.ru (дата обращения 02.03.18).
2. Мантуров Д.В., Ефимова Н.С. Внедрение систем информационной поддержки наукоемкой продукции при организации производства в авиастроении // Вооружение и экономика, -М.: 46 ЦНИИ Минобороны России , № 3 (19), 2012, с. 50-55
3. Калачанов В.Д., Ефимова Н.С., Ка-лачанов В.В., Новиков С.Н. Экономическая безопасность деятельности организации. -М: ФГБНу «Аналитический центр», 2015. С.257
4. Ефимова Н.С. Формирование методов информационной поддержки процессов разработки наукоемкой продукции в условиях информационной безопасности предприятия // Всероссийский научный журнал «Вестник московского авиационного института», 2015,т.22, №2,
- М.: Изд-во «МАИ», 2015, с.214-220
5.Корчак, В.Ю. Стандартизация и импортозамещение. Производство высокотехнологичной продукции [Текст] // Компетентность.-2016.- № 5 (126). - С. 3 - 7.
6.Корчак, В.Ю. Прогноз развития приоритетных направлений науки как элемент системы исходных данных [Текст] / В.А.Вихров, Е.З. Тужиков // Компетент-ность.-2016.- № 9-10 (140-141). - С. 6
- 11.
7. Демин, С.С. Экономическая безопасность инновационной деятельности организации авиастроения [Текст] / Н.С.
Таблица 5
Вербальные градации опасности угроз информационной безопасности
Градации Описание Значение
Низкая опасность Реализация угрозы может привести к незначительным негативным последствиям для информации и элементов корпоративных информационных систем 1
Средняя опасность Реализация угрозы может привести к негативным последствиям для информации и элементов корпоративных информационных систем 2
Высокая опасность Реализация угрозы может привести к значительным негативным последствиям для информации и -элементов корпоративных информационных систем 3
Таблица 6
Правила определения актуальности угроз
Опасность угрозы Вероятность реализации угрозы Низкая опасность Средняя опасность Высокая опасность
Маловероятно 1 Неактуальная (НА) 2 Неактуальная (НА) 3 Актуальная (А)
Низкая вероятность 2 Неактуальна (НА) 4 Актуальная (А) 6 Актуальная (А)
Сре;*ння вероятность Актуальная (А) 6 Актуальная (Л) 9 Актуальная (Л)
Высокая порой тост 1. 4 Актуальная (А) 8 Актуальная (Л) 12 Актуальная (Л)
Ефимова, Д.В. Бондарев, С.Н. Новиков// Научный вестник ГосНИИГА.- 2016.- № 3(327)- С.7-21
8. Ефимова Н.С., Калачанов В.Д., Рычагов М.С., Добров В.П. Организация производства авиационной техники на основе внедрения корпоративных информационных систем // Всероссийский научный журнал «Организатор производства», 2015, №2(65),- М.: Изд-во «Экономика и финансы», 2015, с.47-58
9. Батьковский А.М., Калачанов В.Д. Моделирование инновационного развития экономических систем // Вопросы радиоэлектроники, серия ОТ, 2015, № 1, - М.: ОАО «ЦНИИ «Электроника», 2015, с.324-330
10. Калачанов В.Д., Ефимова Н.С., Сорокин А.Е. Обоснование направлений информационной поддержки производства наукоемкой продукции (на примере авиационной промышленности) // Организатор производства, 2014, №1(60),-М.: Изд-во «Экономика и финансы», 2014, с.23-29
11. Батьковский А.М., Ефимова Н.С., Калачанов В.Д., Батьковский М.А. Оптимизация финансового обеспечения процесса подготовки специалистов для обо-
ронно-промышленного комплекса // Национальные интересы: приоритеты и безопасность, 2014, № 8(245), -М.: «Изд. дом ФИНАНСЫ и КРЕДИТ», 2014, с. 2-12
12. Калачанов В.Д., Формирование финансового обеспечения научных исследований и опытно-конструкторских разработок в ракетно-космической промышленности // Организатор производства, 2013, №1(56),- М.: Изд-во «Экономика и финансы», 2013 , с .50-55
13. Калачанов В.Д., Мантуров Д.В. Экономическое обоснование основных направлений организации производства наукоемкой продукции в промышленности России (на примере авиационной промышленности) // Организатор производства, 2012, № 4(55),- М.: Изд-во «Экономика и финансы», 2012 , с .62-67
Methodical approach to the assessment of information security of economic activities of high-tech enterprises Kalachanov V.D., Yefimova N.S.,
Kanashova Yu.G. Moscow Aviation institute (national research University) » (MAI), Center of methodology control and audit In modern economic conditions, information security is an integral part of a single system of economic security for any high-tech enterprise. This fully applies to aircraft manufacturing enterprises,
since reliable provision of information security is an indispensable condition for the transition to a model of sustainable development not only of the aircraft manufacturing industry but also of the country's economy as a whole.
At present, there is no single methodical approach to the main aspects of information security of high-tech products, simple and logical methods for their investigation. At the same time, the existence of a rather large volume of scientific literature revealing the various aspects of this deep problem has led to a selective approach and its separate aspects.
Keywords: aircraft building, high-tech enterprises, information security, information technology, threat assessment, production processes.
References
1. The State Program of the Russian Federation
«Development of the aviation industry for 2013-2025» [Electronic resource] - Access mode: http://minpromtorg.gov.ru (the date of conversion 02.03.18).
2. Manturov DV, Efimova NS Introduction of
information support systems for science-intensive products in the organization of production in aircraft building // Armament and Economics, -M .: 46 Central Research Institute of the Ministry of Defense of Russia, No. 3 (19), 2012, p. 50-55
3. Kalachanov VD, Efimova NS, Kalachanov VV,
Novikov SN Economic security of the
organization. -M: 4>rEHy «Analytical Center», 2015. P.257
4. Efimova N.S. Formation of methods of information
support for the development of science-intensive products in the context of information security of the enterprise // All-Russian Scientific Journal «Bulletin of the Moscow Aviation Institute», 2015, vol.22, №2, - Moscow: Izd-vo MAI, 2015, p.214 -220
5. Korchak, V.Yu. Standardization and import
substitution. Production of high-tech products [Text] // Competence.-2016.-? 5 (126). - P. 3 - 7.
6.Korchak, V.Yu. Forecast of development of priority directions of science as an element of the system of initial data [Text] / VAA.Vikhrov, E.Z. Tuzhikov // Competence.-2016.- No. 9-10 (140-141). - pp. 6 - 11.
7. Demin, S.S. Economic safety of innovative activity
of the organization of aircraft construction [Text] / N.S. Efimova, D.V. Bondarev, S.N. Novikov / / Scientific Bulletin of GosNIIGA-2016.- № 3 (327) - P.7-21
8. Efimova NS, Kalachanov VD, Rychagov MS,
Dobrov VP Organization of production of aviation equipment based on the introduction of corporate information systems // All-Russian Scientific Journal «Production Organizer», 2015, №2 (65), - Moscow: Izdatelstvo «Economics and Finance», 2015, p.47-58
9. Batkovsky AM, Kalachanov V.D. Modeling of
innovative development of economic systems // Questions of radio electronics, series OT, 2015, № 1, - M .: JSC «CRI» Electronics «, 2015, c.324-330
10. Kalachanov VD, Efimova NS, Sorokin AE Substantiation of directions of information support of production of science-intensive products (on the example of the aviation industry) // Organizer of production, 2014, №1 (60), - Moscow: Izdatelstvo «Ekonomika i finansy», 2014, p.23-29
11. Batkovsky AM, Efimova NS, Kalachanov VD, Batkovskiy MA Optimization of financial support for the training of specialists for the defense industry // National interests: priorities and security, 2014, No. 8 ( 245), -M .: «Izd. house FINANCE AND CREDIT «, 2014, p. 2-12
12. Kalachanov VD, Formation of financial support for scientific research and development in the rocket and space industry / / Organizer of production, 2013, №1 (56), - Moscow: Izdatelstvo «Economics and Finance», 2013 , pp. 50-55
13. Kalachanov VD, Manturov DV Economic justification of the main directions of the organization of production of science-intensive products in the industry of Russia (on the example of the aviation industry) // Organizer of production, 2012, No. 4 (55), - Moscow: Izdatelstvo «Ekonomika i finansy», 2012, pp. 62-67
О À
В
S
№ 2