CC BY
10Решетневские чтения
УДК 629.78.017.1:002.6
Д. Е. Курбатов, М. Е. Курбатов, В. В. Двирный
ОАО «Информационные спутниковые системы» имени академика М. Ф. Решетнева», Россия, Железногорск
ОБ ЭФФЕКТИВНОСТИ И ЗАЩИТЕ ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ В ПРОЦЕССЕ СОЗДАНИЯ ИЗДЕЛИЙ
Усложнение продукции, повышение требований к ее качеству, обострение конкуренции - это лишь некоторые причины, по которым производители вынуждены кардинально пересматривать формы и способы ведения своей деятельности, изменение аспектов проблемы защиты информации в области информационного обеспечения.
Частичные улучшения производственных процессов обычно не дают желаемых результатов и не позволяют получить конкурентное преимущество. Необходимо использовать новые подходы, которые помогут в полной мере реализовать возможности новых технологий и человеческих ресурсов. Рассмотрим функционально-аналитическую модель информационного обеспечения, экспертный подход в конфиденциальности и защищенности информационного обеспечения разработок и т. д.
Поскольку вопросы эффективности информационного обеспечения качества технических разработок напрямую связаны с уровнем состояния науки, техники и технологий, научные исследования по совершенствованию системы и методов информационного обеспечения процесса создания конкурентоспособных КА различного функционального назначения, интенсификации информационной деятельности, ее интеграции с процессами творчества и управления на этапах проектирования и разработки, наземной экспериментальной отработки, летных испытаний и эксплуатации были и остаются весьма актуальными и востребованными [1].
Задачей информационного обеспечения (ИО) в процессе создания изделий является выявление тенденций развития техники и прогнозирование изменения информационных потребностей. В эту задачу входят:
- обеспечение специалистов, выступающих как потребители информации, нужными сведениями из системы научно-технических коммуникаций;
- реализация новых методов информационного анализа;
- осуществление принципов программно-целевого подхода и сетевые методы управления в планировании;
- обеспечение однократной и многоаспектной обработки входного потока сведений.
Таким образом, специфика ИО заключается в том, организациям требуется не только научно-техническая информация, но и также информация о рыночной конъюнктуре в соответствующих сегментах, о патентах и «ноу-хау», о предложениях на научно-технические и экспериментальные услуги и т. д., одним словом, ИО носит комплексный характер [2].
В анализе работы предложена методика оценки ресурсов с точки зрения информационной безопасности, опасности угроз, оценки рисков, основанная на
концепции нечетких множеств и опробования в экспертной автоматизированной информационной системе поддержки принятия решений по обеспечению информационной безопасности организации.
Задачи оценки важности ресурсов и опасности угроз из-за многокритериальности и неопределенности лучше решать с использованием концепции нечетких множеств (НМ).
Для оценки ресурсов и угроз воспользуемся правилом Заде «Задания лингвистических переменных» (ЛП):
а = {м>, Г(м>), А, О, 0),
где м> - название переменной; Т - терм-множество значений, т. е. совокупность ее лингвистических значений; А - носитель; О - синтаксическое правило, порождающее термы множества Т; б - семантическое правило, которое каждому лингвистическому значению V ставит в соответствие его смысл б(^), причем б(м>) обозначает нечеткое подмножество носителя и.
Для оценки угрозы зададим ЛП: аи = «Опасность угрозы», которая принимает нечеткие значения Т = {Т1, Т2, Т3, Т4, Т5), где Т1 = «Незначимая», Т2 = «Значимая», Т3 = «Опасная», Т4 = «Очень опасная», Т5 = «Критическая».
Для определения носителя множества аи, содержащего терм-значения Т, в рамках решаемой задачи проведем балльный метод экспертной оценки. В качестве факторов, обуславливающих опасность угрозы, будем использовать параметры, из которых первые пять - Б1, Б2, Б3, Б4, Б5 характеризуют источник и цель угрозы, остальные - Б6, Б7, Б8, Б9, Б10, Б11, Б12, Б13 -степень опасности угрозы.
Здесь Б1 - источник угрозы; Б2 - расположение источника угрозы; Б3 - преднамеренность воздействия; Б1 - цель угрозы нарушения аспекта ИБ; Б5 -объект угрозы; Б6 - уровень нарушителя; Б7 - возможность предотвращения или нейтрализации угрозы; Б8 - возможность обнаружения реализации угрозы; Б9 - возможность восстановления объекта после реализации угрозы; Б10 - частота появления угрозы за год; Б11 - опасность реализации угрозы для объекта с точки зрения ущерба; Б12 - затраты на реализацию угрозы; Б13 - простота реализации угрозы. Количественная оценка каждого параметра определяется в баллах - от 1 до 4. Для вычисления носителя множества аи данные сводятся по показателям Б,5—Б13 в таблицу и рассчитываются интервалы для каждого терм-значения.
Методы и средства защиты информации
Комплексная оценка показывает критичность /-го ресурса во всей системе обеспечения информационной безопасности (ОИБ) организации, а также общий уровень защищенности ресурса. Такая методика оценки ресурса в системе ОИБ позволяет добавлять и оценивать любой ресурс. Кроме того, каждая графа в таблице характеризует некоторый параметр, существенный с точки зрения ОИБ организации. Так, например, графа А8к характеризует критичность ресурса по
такому аспекту ИБ, как нарушение конфиденциальности. Если уровень критичности /-го ресурса по конфиденциальности высокий, то необходимо предусмотреть мероприятия по защите ресурса от раскрытия, ознакомления [3, 4].
Таким образом, помимо комплексной оценки ресурса, отражающей критичность ресурса во всей системе ОИБ и уязвимость ресурса, данные в ячейках таблицы являются параметрами, на основании которых строятся правила сопоставления каждому ресурсу
множества связанных с ним угроз и вариантов мероприятий по ОИБ.
Библиографические ссылки
1. Туркенич Р. П., Курбатов Д. Е., Двирный В. В. Информационное обеспечение проектирования приборов космических аппаратов связи // Электронные и электромеханические системы и устройства : тез. докл. XVIII науч.-техн. конф. (22-23 апр. 2010, г. Томск). Томск : ООО «Печатная мануфактура», 2010.
2. Звежинский С. М. Эффективность информационного обеспечения научно-технических разработок. Львов : Вища школа, 1987.
3. Ловцов Д. А., Ермаков И. В. Защита информации от доступа по нетрадиционным информационным каналам // НТИ. 2006. № 9. С. 1-9.
4. Королева Н. А., Тютюнник В. М. Методика оценки уровня обеспечения информационной безопасности организации // НТИ. 2007. № 1. С. 15-17.
D. E. Kurbatov, M. E. Kurbatov, V. V. Dvirniy JSC «Academician M. F. Reshetnev «Information Satellite Systems», Russia, Zheleznogorsk
CONCERNING EFFICIENCY AND INFORMATIONAL PROTECTION IN THE COURSE OF PRODUCTS CREATION
Production complication, increase of requirements to its quality, a competition aggravation - here there are only some reasons on which manufacturers are compelled to reconsider the forms and ways of conducting the activity, change ofprotection problem aspects of the information in the field of informational supply.
© Курбатов Д. Е., Курбатов М. Е., Двирный В. В., 2010
УДК 004.056
В. Г. Миронова, А. А. Шелупанов Томский государственный университет систем управления и радиоэлектроники, Россия, Томск
ПРОВЕДЕНИЕ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ПРЕДПРОЕКТНОМ ОБСЛЕДОВАНИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Рассмотрен этап проведения аудита информационной безопасности при предпроектном обследовании информационных систем персональных данных. Предложен подход для минимизации ресурсов при создании системы защиты персональных данных.
Принятие Федерального закона № 152-ФЗ «О персональных данных» направлено на обеспечение защиты конституционных прав и свобод граждан Российской Федерации (РФ) и определило необходимость защиты данных граждан, сведения о которых обрабатываются в информационных системах персональных данных (ИСПДн). Согласно [1] информационные системы, обрабатывающие ПДн, должны быть приведены в соответствие с требованиями Федерального закона не позднее 1 января 2011 года.
За невыполнение требований Закона «О персональных данных» предусмотрена административная и уголовная (в соответствии со статьями КоАП и УК РФ) ответственность. Ответственность может быть
наложена как на юридические (организации), так и на физические лица: рядовых сотрудников и руководителей предприятия. Деятельность организации (оператора) по обработке ПДн также может быть приостановлена по требованию Роскомнадзора.
В перечень мероприятий по приведению ИСПДн в соответствии с требованиями нормативно-методической документации и законодательства РФ по защите персональных данных (ПДн) включается:
- предпроектное обследование ИСПДн;
- проектирование системы защиты персональных данных (СЗПДн);
- ввод в действие СЗПДн.
