УПРАВЛЕНИЕ ПРЕДПРИЯТИЕМ
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ЭКОНОМИЧЕСКОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ УПРАВЛЕНИЯ ВЫСОКОТЕХНОЛОГИЧНЫХ ПРЕДПРИЯТИЙ
И.В. Казьмина
Воронежский государственный технический университет
Россия, 394026, Воронеж, Московский пр-т, 14
В.И. Маслов
Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю
Россия, 394026, Воронеж, ул. 9 Января, 280а
В статье проводится анализ вопросов обеспечения безопасности циркулирующей информации в экономических информационных системах. Экономическая информационная система представляет собой совокупность коммуникационных и вычислительных средств по сбору, хранению, передаче, переработке информации об объекте. Основным назначением экономических информационных систем является автоматизация процессов планирования, учета и управления по основным направлениям деятельности предприятия. Системный анализ существующих технических каналов утечки информации и путей несанкционированного доступа к ней позволил сформулировать применительно к экономическим информационным системам перечень основных несанкционированных действий злоумышленника и технических каналов утечки информации при перехвате конфиденциальной информации, содержащейся в экономических информационных системах: с использованием результатов анализа уточнены меры по обеспечению конфиденциальности, целостности и доступности циркулирующей информации в экономических информационных системах, выполненных на основе современных информационных технологий
Ключевые слова: экономическая информационная система, обработка информации, безопасность информации, меры по обеспечению конфиденциальности, целостности и доступности информации
Использование в экономических информационных систем (ЭИС) современных информационных технологий повлекло появление ряда специфических проблем.
Для цитирования:
Казьмина, И.В. Обеспечение безопасности информации в экономической информационной системе управления высокотехнологичных предприятий [Текст] / И.В. Казьмина, В.И. Маслов // Организатор производства. - 2016. - Т.69. - С. 32 - 40. Сведения об авторах:
Ирина Владимировна Казьмина (канд. экон. наук, artemidas@ rambler.ru), ст. преподаватель кафедры Экономика и управление на предприятии машиностроения. Владимир Иванович Маслов (канд. техн. наук, artemidas@rambler. т), старший научный сотрудник.
Одна из них - необходимость обеспечения эффективной защиты информации, циркулирующей в ЭИС. К защищаемой информации относится информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации [7,9]. Экономическая информационная система управления предприятием принимает во внимание различия между уровнями управления, сферами действия, а также внешними обстоятельствами и дает каждому уровню технологического производства и управления только ту информацию, которая ему
необходима для эффективной реализации производственных процессов [8]. Объем циркулирующей в ЭИС информации находится в квадратичной зависимости от производственного потенциала предприятия.
По мнению американских специалистов, отмена защиты информации в компьютерных сетях приведет к разорению 20% средних компаний в течение нескольких часов, 40% средних и 16% крупных компаний потерпят крах через несколько дней, 33% банков закроются в течение 2 -5 часов, 50% банков - через 2 - 3 дня [3]. Осознают важность обеспечения безопасности ЭИС не только в США, но и в России. Российский рынок обеспечения безопасности информации в ЭИС стремительно растет, по данным некоторых исследований он удваивается ежегодно. Для того, чтобы злоумышленнику завладеть конфиденциальной информацией предприятия, достаточно проникнуть в ЭИС или вывести из строя какой-либо узел информационной сети. Все это приведет к колоссальному ущербу. Причем не только к прямому ущербу, который может выражаться в материальных и финансовых потерях, но и к косвенному. Например, неисправность в сервере ЭИС того или иного узла приводит к замене программного обеспечения или самого узла, временным затратам при восстановлении его работоспособности, а, следовательно, и к материальным затратам. Одновременно все это может привести к снижению доверия к предприятию и, как следствие, потере части потребителей продукции и снижению доходов. В связи с этим исследование вопросов безопасности информации, циркулирующей в ЭИС, с учетом специфики ее функционирования является весьма актуальным [1 -6].
Целью настоящей статьи является исследование вопросов обеспечения безопасности циркулирующей информации в ЭИС и уточнение на этой основе основных мер по обеспечению конфиденциальности, целостности и доступности информации, содержащейся в ЭИС.
Ниже под безопасностью информации, циркулирующей в ЭИС, будем понимать такое состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность [10]. Адаптация системы защиты информации от несанкционированного доступа предусматривает:
учет, хранение и выдачу пользователям информационных паролей;
ведение служебной информации (паролей, сопровождение правил разграничения доступа);
контроль за ходом процесса обработки финансово-кредитной информации;
контроль за функционированием систем защиты секретной информации;
отслеживание опасных событий.
К методам защиты, используемым для создания механизма защиты, относятся следующие.
Технические методы реализуют свои возможности в электрических, электромеханических и электронных устройствах. К ним относятся:
аппаратные технические средства -устройства, встраиваемые непосредственно в вычислительную технику.
физические средства - автономные устройства и системы (замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации).
программные средства - программное обеспечение, специально предназначенное для выполнения функций защиты информации.
Организационные методы защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций.
Морально-этические методы защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в
обществе. Подобные нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета и престижа человека.
Законодательные методы защиты определяются законодательными актами страны, регламентирующими правила пользования, обработки и передачи информации ограниченного доступа и устанавливающими меры ответственности за нарушение этих правил.
Прежде чем перейти к вопросам исследования безопасности информации, циркулирующей в ЭИС, рассмотрим модель, отображающую состав и особенности организации ЭИС управления предприятием. На рисунке 1 приведена модель информационной системы предприятия.
Из модели следует, что основными процессами при функционировании ЭИС являются:
• ввод информации из внешних (например, от поставщиков комплектующих изделий или конкурентов) или внутренних источников с использованием коммуникационных средств;
• обработка и хранение входной информации и представление ее в удобном виде для последующей обработки;
• создание и ведение информационной базы данных;
• вывод информации для предоставления потребителям или передача в другую ЭИС;
• перехват информации злоумышленником путем несанкционированного доступа к оборудованию ЭИС с использованием специальной аппаратуры;
• обратная связь - это информация переработанная сотрудниками данного предприятия и (или) ЭИС другого предприятия для коррекции входной информации.
Общая схема информационной системы высокотехнологичного предприятия ОРГАНИЗАТОР ПРОИЗВОДСТВА. 2016. № 2 WWW. ORG-PROIZVOD STVA.RU 35
Для решения производственной задачи на предприятии с использованием ЭИС требуется наличие ряда компонентов со сложной организацией, вызванной многообразием действий [13-16]:
1) баз данных;
2) исходной и нормативно-справочной информации для расчета;
3) методов (алгоритмов) решения задач в виде программ типа CASE (Computer Aided Software Engineering) - технологии разработки информационных систем;
4) ЭВМ как исполнителя алгоритмов;
5) средств беспроводной сотовой связи типа GSM;
6) каналов передачи данных типа Bluetooth, WiFi или WiMAX;
7) каналов передачи данных глобальной беспроводной Internet-связи;
8) пользователей с ПЭВМ, то есть лиц, использующих результаты решения в своей профессиональной деятельности.
При этом основными функциями компонентов обработки данных являются следующие:
• сбор, регистрация и перенос информации на машинные носители;
• передача информации в места ее хранения и обработки;
• ввод, контроль и компоновка информации в памяти компьютера;
• создание и ведение информационной базы данных;
• обработка информации на ЭВМ (накопление, сортировка, корректировка, выборка, арифметическая и логическая обработка) для решения функциональных задач системы управления объектом;
• вывод информации в виде табуляграмм, видеограмм, сигналов для прямого управления технологическими процессами, информации для взаимодействия с другими ЭИС;
• организация управления вычислительным процессом (планирование, учет, контроль, анализ реализации хода вычислений) в локальных и глобальных вычисли-вычислительных сетях.
Таким образом, ЭИС представляет собой совокупность коммуникационных и вычислительных средств по сбору, хранению, передаче, переработке информации об объекте. Основным назначением ЭИС является автоматизация процессов планирования, учета и управления по основным направлениям деятельности предприятия и поэтому в общих чертах можно рассматривать данную систему как интегрированную совокупность следующих основных подсистем: управление финансами, управление материальными потоками, управление производством, управление проектами, управление сервисным обслуживанием, управление качеством, управление персоналом, организации и управления реинжинирингом.
Приведенная выше последовательность функциональных подсистем не претендует на полноту и отражает основные направления деятельности предприятия. Каждая из перечисленных подсистем может включать в себя функциональные блоки, которые также могут быть оформлены в виде отдельных подсистем, в каждой из которых осуществляется обработка конфиденциальной информации в больших объемах.
При функционировании перечисленных выше компонентов ЭИС и описанных методах обработки информации возможна ее утечка по техническим каналам или за счет несанкционированного доступа к ней.
Системный анализ существующих [11,12,18] технических каналов утечки информации и путей [5, 7] несанкционированного доступа к ней позволил сформулировать применительно к ЭИС перечень основных несанкционированных действий злоумышленника и технических каналов утечки информации при перехвате конфиденциальной информации, содержащейся в ЭИС. В таблице 1 приведен перечень основных несанкционированных действий злоумышленника и технических каналов утечки информации в ЭИС при ее перехвате.
Перечень основных несанкционированных действий злоумышленника и технических кана_лов утечки информации в ЭИС при ее перехвате_
№ п.п. Варианты реализации утечки информации Перечень основных несанкционированных действий злоумышленника и технических каналов утечки информации в ЭИС
1 Утечка информации за счет несанкционированного физического доступа к ЭИС отсутствие контроля и управления физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования ЭИС; отсутствие контроля в помещении, в котором установлена ЭИС
2 Утечка информации за счет несанкционированных действий выявление имен зарегистрированных пользователей ЭИС с целью последующего выявления их паролей; изменение конфигурации технических средств ЭИС, внедрение в нее программно-аппаратных закладок и осуществление съема информации, используя непосредственное подключение к оборудованию ЭИС; взлом системы защиты ЭИС и создание условий для последующего неоднократного входа в операционную среду; хищение информации, обрабатываемой в ЭИС (нарушение ее конфиденциальности); модификацию системных и пользовательских данных (нарушение целостности); блокирование доступа к данным, их несанкционированное перемещение, вывод из строя технических средств ЭИС (нарушение доступности); внедрение вредоносных программ в операционную среду ЭИС и проведение съема с их помощью информации, циркулирующей в ЭИС
3 Утечка информации по техническим каналам каналы основного излучения средств беспроводной связи (оборудование сетей сотовой связи и каналов передачи данных Bluetooth, WiFi, WiMAX и др.), по которым передаются цифровые данные и речевая информация; каналы информативных излучений средств вычислительной техники (серверы, системные блоки, мониторы, принтеры и др.), оборудования беспроводной связи (ноутбуки, планшетные компьютеры и др.), входящих в состав системы, за счет побочных электромагнитных излучений и наводок (ПЭМИН); каналы утечки речевой информации и цифровых данных с использованием закладочных устройств и аппаратных закладок; каналы утечки информации, вводимой клавиатурой ПЭВМ, с использованием аппаратных закладок; каналы утечки речевой информации за счет перехвата акустических и виброакустических излучений, возникающих при ведении сотрудниками предприятия переговоров; каналы утечки речевой информации по оптико-электронному (лазерному) каналу из помещения, в котором размещено оборудование системы; каналы утечки видовой информации с экрана монитора средств вычислительной техники и ПЭВМ, входящих в состав оборудования системы; каналы утечки информации за счет электромагнитного облучения оборудования и линий связи с целью получения паразитной информативной модуляции несущей частоты
Наличие разнообразных вариантов и каналов утечки информации в ЭИС (см. таблицу) требует от ЭИС решения ряда сложных специфических задач, связанных с безопасностью информации:
• хранение и защита от взломов и вирусов информации;
• защита информации от утечки по техническим каналам и от несанкционированного доступа;
• защита от несанкционированного запуска имеющихся в ЭИС приложений и от внедрения вредоносных программ;
• обеспечение доступа к информации сотрудников предприятия в любой момент и в любом месте;
• удобство управления всей ЭИС. Обеспечение безопасности информации,
циркулирующей в ЭИС, имеет много аспектов и только при комплексном подходе к решению этой задачи может быть создана действительно безопасная среда для функционирования ЭИС. В число этих аспектов входит [14-17]:
обеспечение конфиденциальности, доступности, целостности и аутентичности информации;
разграничение прав сотрудников предприятия по доступу к ресурсам информационной системы;
защита средств вычислительной техники и коммуникаций, каналов беспроводной связи и их элементов от несанкционированного доступа, входящих в состав оборудования ЭИС;
защита информации, циркулирующей в информационной системе, от утечки по техническим (акустическим, электромагнитным, оптоэлектронным и др.) каналам;
обеспечение юридической значимости электронных документов для внешнего использования.
При этом защита информации, содержащейся в ЭИС, является составной частью работ по созданию и эксплуатации ЭИС и должна обеспечиваться на всех этапах ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты.
Для обеспечения защиты информации, содержащейся в ЭИС, должны проводиться следующие организационные мероприятия:
формирование требований к защите информации, содержащейся в ЭИС;
разработка системы защиты информации ЭИС;
внедрение системы защиты информации ЭИС.
Основные технические меры по обеспечению конфиденциальности, целостности и
доступности информации, содержащейся в ЭИС, состоят в следующем [7 - 12]:
1. Меры по обеспечению конфиденциальности информации, рекомендуется реализовывать за счет:
исключения неправомерного доступа и копирования информации, содержащейся в ЭИС;
запрещения предоставления или распространения выходной информации при функционировании ЭИС;
2. Меры по обеспечению целостности баз данных и программного обеспечения ЭИС рекомендуется реализовывать путем:
использования протоколов контроля целостности пакетов передаваемых данных;
проверки контрольных сумм пакетов передаваемых данных, подлежащих защите;
оценки их соответствия эталонным контрольным суммам;
3. Меры по обеспечению доступности циркулирующей в ЭИС информации, рекомендуется реализовывать за счет:
резервного периодического копирования защищаемых данных;
выявления и анализа в журналах безопасности событий отказов оборудования ЭИС;
установки и автоматического подключения резервных (дублирующих) блоков для предотвращения случаев сбоя оборудования ЭИС при отказе штатных средств;
резервирования системы электропитания для обеспечения непрерывности работы наиболее значимых узлов и блоков ЭИС.
Таким образом, на основании проведенного анализа вопросов обеспечения безопасности циркулирующей информации в ЭИС и уточнения на этой основе основных мер по обеспечению конфиденциальности, целостности и доступности информации, содержащейся в ЭИС, можно сделать следующие выводы:
1. ЭИС представляет собой совокупность коммуникационных и вычислительных средств по сбору, хранению, передаче, переработке информации об объекте.
2. Основным назначением ЭИС является автоматизация процессов планирования, учета и управления по основным направлениям деятельности предприятия
3. Основные подсистемы ЭИС: управление финансами, управление материальными потоками, управление производством, управление проектами, управление сервисным обслуживанием, управление качеством, управление персоналом, организации и управления реинжинирингом.
Библиографический список
1. Конкурентоспособность и реинжиниринг в антикризисном управлении [Текст]: под ред. Дорофеева В.Д. - Пенза: «ПИЭРАУ», 2012.
2. Туровец, О.Г. Организация реинжиниринга производственных процессов на промышленном предприятии [Текст]: монография / О.Г. Туровец, И.В. Маслова. -Воронеж: Воронеж. гос. техн. ун-т, 2007. 235 с
3. Щеголева, Т.В. Организация производственных процессов на принципах логистических интеграций [Текст] / Т.В. Щеголева // Организатор производства. -2010. - Т. 47. - № 4. - С. 13-17.
4. Щеголева, Т.В. Логистические принципы организации сложного наукоемкого производства [Текст]/ Т.В. Щеголева // Эко-номинфо. - 2012. - № 17. - С. 67-70.
5. Игнатьев, В.А. Информационная безопасность современного коммерческого предприятия [Текст]: монография / В.А. Игнатьев. - Старый Оскол: ООО «ТНТ», 2005.
6. Технические методы и средства защиты информации [Текст] / Ю.Н. Максимов, В.Г. Сонников, В.Г. Петров и др. - СПБ.: ООО «Издательство Полигон», 2000.
7. Технические средства и методы защиты информации [Текст]: учеб. для вузов / А.П. Зайцев, А.А. Шелупанов, Р.В. Мещеряков и др.; под ред. А.П. Зайцева и А.А. Шелупа-нова. - М.: ООО «Издательство Машиностроение», 2009.
Поступила в редакцию - 2016 г. Принята в печать - 24 июня 2016 г.
THE PROVISION OF INFORMATION SECURITY IN THE ECONOMIC INFORMATIONAL SYSTEM OF HIGH-TECH ENTERPRISES
I.V. Kazmina
Voronezh State Technical University,
14, Moskovsky av., Voronezh, 394026, Russian Federation
V.I. Maslov
State Scientific-Research Testing Institute of the Problems of Technical Information Protection (the Federal Service for Technical and Export Control),
280a, 9 Yanvarya st., Voronezh, 394026, Russian Federation
Abstract
The article analyses the issues related to providing the security of circulating information in economic informational systems. An economic informational system is a set of communication and computational means for collection, storage, transmission and processing of information about an object. The primary purpose of economic informational systems is the automation of processes concerned with planning, accounting and management in key areas of enterprise activity. The systemic analysis of existing technical channels of information leakage and the ways of unauthorized data access made it possible to formulate the list of major unauthorized malicious acts and technical
channels of information leakage during interception of confidential information, contained in economic informational systems. Using the results of the analysis, the measures have been specified to ensure confidentiality, integrity and availability of circulating information in economic informational systems, implemented on the basis of modern information technologies.
Key words: economic information system, processing of information, information security, measures of ensuring confidentiality, integrity and availability of information
For citing:
Kazmina, I.V., Maslov, V.I. (2016) Obespechenie bezopasnosti informacii v ehkonomicheskoj informacionnoj sisteme upravleniya vysokotekhnologichnyh predpriyatij [Tekst] [The provision of information security in the economic informational system of high-tech enterprise management [Text]]. Organizator proizvodstva [Organizer of Production], 2, 69, 31 - 40.
On authors:
Irina Vladimirovna Kazmina (Candidate of Economic Science, [email protected]), Senior Lecturer of the Chair of Economics and Management at Machine-Construction Enterprises.
Vladimir Ivanovich Maslov (Candidate of Technical Science, artemidas@rambler. ru), Senior Researcher.
References
1. Dorofeyev, V.D. (2012). Konkurentosposobnost' i reinzhiniring v antikrizisnom upravlenii [Competitiveness and re-engineering in anti-crisis management]. Penza. «Penza Institute of Economic Development and Anti-Crisis Management».
2. Turovets, O.G., Maslova, I.V. (2007). Organizacija reinzhiniringa proizvodstvennyh pro-cessov na promyshlennom predprijatii: monografija [Organizing the re-engineering of production processes and insustrial enterprises: a monograph]. Voronezh. Voronezh State Technical University, 235.
3. Shchegoleva, T.V. (2010). Organizacija proizvodstvennyh processov na principah logistich-eskih integracij [The organization of industrial processes based on principles of logistic integrations]. Organizator proizvodstva [Organizer of production], 4, 47, 13-17.
4. Shchegoleva, T.V. (2012). Logisticheskie principy organizacii slozhnogo naukoemkogo proizvodstva [The logistic principles of establishing the complex science-based production]. JEkonominfo [Ekonominfo], 17, 67-70.
5. Ignatyev, V.A. (2005). Informacionnaja bezopasnost' sovremennogo kommercheskogo predprijatija: monografija [Information security of a modern commercial enterprise: a monograph]. Stary Oskol. LLC «INI»
6. Maximov, Yu.N., Sonnikov, V. G., Petrov, V. G. (2000). Tehnicheskie metody i sredstva zashhity informacii [Technical methods and means of information protection]. St.Petersburg. LLC «Izdatelstvo Poligon».
7. Zaytsev, A.P., Shelupanov, A.A., Meshcheryakov, R. V. (2009). Tehnicheskie sredstva i metody zashhity informacii [Technical means and methods of information protection]. Мoscow. LLC «Izdatelstvo Mashinostroenie».