CC BY
43
Актуальные проблемы авиации и космонавтики. Информационные технологии
Для контроля целостности в качестве аттестованного алгоритма в методике используется алгоритм ГОСТ Р 34.11-94 «Информационная технология. Криптографическая защита информации. Функция хэширования». Получения значений хэш-функции происходит с помощью взаимодействия с криптопровайдером Крип-тоПро CSP через функции CryptoAPI. Данный крипто-провайдер реализует алгоритм выработки значения хэш-функции в соответствии с ГОСТ Р 34.11-94.
В качестве практической реализации методики динамического контроля целостности программной среды выступает разработанное программное средство (ПС), которое состоит из библиотеки, сервиса и интерфейса для работы с базой контрольных характеристик разрешенных процессов.
В качестве средства разработки элементов ПС, реализующего разработанную методику, используется линейка продуктов Microsoft Visual Studio, включающая редактор исходных текстов, компилятор, компоновщик и отладчик. Функциональность ПС реализована c помощью функций WinAPI и CryptoAPI. ПС разработано для использования в ОС Windows XP.
Разработанная методика позволяет повысить уровень программной защиты АС в результате обеспече-
ния неизменности программной среды и осуществления динамического контроля целостности процессов, как во время запуска, так и во время их функционирования. Практическая реализация методики свидетельствует о ее применимость в АС.
Методика с реализованными в ней функциями удовлетворяет требованию РД ГТК «Автоматизированные системы. Защита от несанкционированного доступа. Классификация автоматизированных систем и требования по защите информации» для подсистемы обеспечения целостности и может применяться в АС класса 1А.
Библиографическая ссылка
1. Автоматизированные системы. Защита от несанкционированного доступа. Классификация автоматизированных систем и требования по защите информации: руководящий документ Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992 г. // Доступ из справ.-правовой системы «КонсультантПлюс»: Послед. Обновление: 01.02.2013.
© Купрюхина М. В., 2013
УДК 004.056
А. Г. Пятков Научный руководитель - В. В. Золотарёв Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
О ПРОБЛЕМЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В МАЛЫХ ИННОВАЦИОННЫХ ПРЕДПРИЯТИЯХ
Рассматривается проблема информационной безопасности в малых инновационных предприятиях, ряд решений поднятой проблемы, а также предлагается вариант собственного решения с учетом особенности предприятий.
Под малым инновационным предприятием понимается «субъект малого предпринимательства, осуществляющий инновационную деятельность в научно-технической сфере, в том числе разработку и внедрение технических или технологических инноваций» [1]. Для предприятий такого типа свойственны гибкость, адаптивность к внешней среде, малый бюджет компании, готовность идти на риск, лучшая (по сравнению с более крупными компаниями) координации действий [2]. Зачастую такого рода компании выделяются особенными, инновационными идеями или подходами к решению некоторых задач. Кроме защиты собственных идей (ноу-хау) и других важных для компании сведений, предприятиям нужно выполнять требования законодательства РФ, к примеру, требования по защите персональных данных. При этом с одной стороны ресурсы малых инновационных предприятий весьма не велики (зачастую нет квалифицированных человеческих ресурсов и финансовых средств), с другой задачи информационной безопасности должны быть решены.
Для решения упомянутых задач для такого рода компаний среди зарубежных компаний можно выде-
лить такие методы, как применение патентной системы, технопарки и бизнес инкубаторы (инновационные центры), аутсорсинг информационной безопасности. Зарубежные организации по патентованию, к примеру, USPTO (United States Patent and Trademark Office -Бюро по патентам и торговым маркам США) [3] имеют хорошо развитую систему патентов (патенты на идеи, дизайнерские решения), применение торговых марок. Также система аутсорсинга на Западе развивается с 80-х годов XX века и получила широкое распространение, в то время как в России этот процесс начался лишь с середины 90-тых. Хотя можно заметить, что в последние годы существует тенденция к распространению аутсорсинга в области информационной безопасности [4], но стоимость услуг по аутсорсингу для малых инновационных предприятий весьма высока. Так только формирование в организации комплекта документации по персональным данным компаниями «GlobalTrust», «ДиалогНаука» оценивается в среднем в 75 тысяч рублей [5]. Инновационные центры появляются и в России (Казанский ИТ-парк), но число «резидентов» таких центров ограничено, как и время их нахождения в центре. Такие цен-
Секция «Методы и средства зашиты информации»
тры оказывают ряд услуг инновационным компаниям, в том числе и в области информационной безопасности. Также стоит отметить, что согласно законодательства РФ есть 3 вида объектов патентного права (изобретения, полезные модели, промышленные образцы), которые не предусматривают патентование дизайнерских решений (кроме одежды) [6].
Для малых инновационных предприятий в РФ услуги аутсорсинговых компаний могут оказаться слишком дороги, не все компании оказываются «резидентами» инновационных центров, а применение патентов ограничено, да и патенты не бесплатны, а предприятия ограничены в бюджеты. В случаях, когда инженерно-технические, программно-аппаратные средства оказываются слишком дороги или нецелесообразны для компании, применение административных (организационных) мер является «золотой серединой» для минимизации риска утечки информации до тех пор, пока компания не сможет дополнить систему защиты другими средствами, если это экономически целесообразно. Под системой организационных мер понимается совокупность комплекса организационно-распорядительной документации, регламентирующей вопросы информационной безопасности, и комплекса организационных мероприятий, закреплённых в плане защиты. В таких случаях применение методики построения системы организационных мер защиты информации, которая будет ориентирована именно на такие компании с учётом их особенностей, в частности структуры (согласно [7] для малых компаний такого типа подходят функциональная и матричная структуры), информационных потоков и пр. может послужить решением описанной проблемы. Кроме этого в методике построения такой системы следует учитывать обязательные требования законодательства РФ по защите информации (требования по защите персональных данных, коммерческой тайны), требования самой компании (с учётом её особенностей), её партнёров и клиентов.
Таким образом, для малых инновационных предприятий в условиях ограниченных ресурсов построе-
ние системы организационных мер защиты информации на основании некоторой методики представляется наиболее рентабельным. Для оценки принятых мер можно использовать методику OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) [8; 9].
Библиографические ссылки
1. План мероприятий о поддержке субъектов малого и среднего предпринимательства в инновационной сфере на 2010-2012 гг. : Постановление Правительства Москвы от 29 декабря 2009 г. № 1471-ПП. URL: http://www.consultant.ru/ (дата обращения: 27.03.13).
2. Особенности и значение малых инновационных фирм. URL: http://libsib.ru/innovatsionniy-menedzhment (дата обращения: 27.03.13).
3. USPTO. Types of Patent Applications/Proceedings. URL: http://www.uspto.gov/patents/resources/types/ in-dex.jsp (дата обращения: 27.03.13).
4. Башлыков В. Информационная безопасность: тренды 2013. URL: http://www.computerra.ru/cio/1993 (дата обращения: 27.03.13).
5. Типовые документы и политики безопасности. URL: http://shop.globaltrust.ru/show _good.php?idtov =1071 (дата обращения: 27.03.13).
6. Патент на изобретения, полезные модели, промобразцы. Вопросы и ответы. URL: http://subscribe.ru/archive/service.patent/200905/061318 28.html (дата обращения: 27.03.13).
7. Быковский В. В., Мищенко Е. С., Быковская Е. В. и др. Управление инновационными проектами и программами : учеб. пособие. Тамбов : Изд-во ГОУ ВПО ТГТУ, 2011. 104 с.
8. Астахов А. М. Искусство управления информационными рисками. М. : LVR Пресс, 2010. 312 с.
9. Carnegie Mellon CERT, OCTAVE. URL: http://www.cert.org/octave (дата обращения: 27.03.13).
© Пятков А. Г., 2013
УДК 004.056
Т. А. Саламатова, С. С. Пугачев Научный руководитель - В. Г. Жуков Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
О ПРИМЕНЕНИИ ИСКУССТВЕННЫХ ИММУННЫХ СИСТЕМ В СИСТЕМАХ ПРЕВЕНТИВНОЙ ЗАЩИТЫ ИНФОРМАЦИИ
Рассматривается исследование эффективности искусственных иммунных систем на основе алгоритма клональной селекции.
На сегодняшний день перспективными для разработки алгоритмического обеспечения систем превентивной защиты информации являются методы, основанные на принципах работы нейронной сети, имитационного моделирования с использованием нечетких когнитивных карт, иммунной системы. Использова-
ние последнего метода в системах обнаружения вторжений является наиболее актуальным, так как сам принцип работы иммунной системы и свойства, которыми она характеризуется, максимально ориентированы на решение задачи обнаружения инцидентов информационной безопасности [1].
