CC BY
39
Научная статья Original article УДК 004.9:672.9
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ПРИМЕНЕНИИ ОБЛАЧНЫХ ТЕХНОЛОГИЙ В ПРОИЗВОДСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
ENSURING INFORMATION SECURITY AT THE APPLICATION OF CLOUD TECHNOLOGIES IN PRODUCTION INFORMATION SYSTEMS
Немировская-Дутчак Ольга Эрнестовна, старший преподаватель кафедры Высшей Математики и Программирования, Федеральное государственное бюджетное образовательное учреждение высшего образования «МИРЭА -Российский технологический университет»
Морозова Татьяна Анатольевна, старший преподаватель кафедры Высшей Математики и Программирования, Федеральное государственное бюджетное образовательное учреждение высшего образования «МИРЭА - Российский технологический университет»
Кузнецова Екатерина Юрьевна, старший преподаватель кафедры Высшей Математики и Программирования, Федеральное государственное бюджетное образовательное учреждение высшего образования «МИРЭА - Российский технологический университет»
Пронина Елена Владиславовна, к. ф.-м., доцент, кафедры Высшей Математики и Программирования, Федеральное государственное бюджетное
1805
образовательное учреждение высшего образования «МИРЭА - Российский технологический университет»
Nemirovskaya-Dutchak Olga Ernestovna, Senior lecturer, department of mathematics and programming, MIREA - Russian Technological University Morozova Tatyana Anatolyevna, Senior lecturer, department of mathematics and programming, MIREA - Russian Technological University Kuznetsova Ekaterina Yurievna, Senior lecturer, department of mathematics and programming, MIREA - Russian Technological University
Pronina Elena Vladislavovna, PhD in Physics and Mathematics, Associate Professor, department of mathematics and programming, MIREA - Russian Technological University
Аннотация. В статье является рассматриваются виды, специфики использования облачных технологий и обеспечении безопасности информации в производственных информационных системах. Оцениваются угрозы и проблемы, связанные с внедрением облачных технологий в производственных информационных системах. Проводится анализ стандартов и ГОСТов, устанавливающий требования к обеспечению безопасности автоматизированных системм управления технологическим процессом. Abstract. The article deals with the types, specifics of the use of cloud technologies and ensuring the security of information in production information systems. The threats and problems associated with the introduction of cloud technologies in production information systems are assessed. An analysis of standards and GOSTs is being carried out that establishes requirements for ensuring the safety of automated process control systems.
Ключевые слова: информационная безопасность, облачные технологии, производство, информационные системы, безопасность, информационные технологии
1806
Keywords: information security, cloud technologies, production, information systems, security, information technology
Сегодня цифровизация в промышленности и иных сферах деятельности предприятий переходит из стадии прогнозов их будущего развития в реальность, без которой уже невозможно представить фактически ни один современный бизнес-процесс.
Переход на «Цифровую экономику» является стратегической задачей развития Российской федерации. В состав национальной программы которой входят следующие проекты:
• «Нормативное регулирование цифровой среды»
• «Кадры для цифровой экономики»
• «Информационная инфраструктура»
• «Информационная безопасность»
• «Цифровые технологии»
• «Цифровое государственное управление» [1]
Актуальность данного исследования обусловлена вышеуказанным переходом к «цифровой экономике» и необходимостью использования предприятиями различного рода инновационных технологий в частности -облачных и обеспечении безопасности данных при их использовании.
Целью исследования является изучение видов, специфики использования облачных технологий и обеспечении безопасности информации в производственных информационных системах.
Объектом данного исследования являются разновидности облачных технологий и информационная безопасность данных.
Предметом исследования выступают: нормативные документы РФ и зарубежных стран регулирующие вопросы защиты информационной безопасности.
1807
Обрабатывающая промышленность, как и любая другая, зависит от своих информационных систем.
Согласно международному стандарту ISO/IEC 2382:2015 информационной системой является система предназначенная для поиска, хранения и обработки информации а также организационные ресурсы обеспечивающие и распространяющие информацию. [2]
Общая процедура работы отрасли может быть представлена тремя последовательными стадиями: проектирование, закупка и производство.
Информационные системы играют важную роль в координации деятельности в обрабатывающей промышленности, между обрабатывающей промышленностью вдоль производственной цепочки и между обрабатывающей промышленностью и внешними организациями, такими как финансовые организации. Следовательно, информационные системы могут связывать обрабатывающую промышленность, их клиентов, поставщиков и поставщиков услуг. Чтобы работать лучше в быстро меняющемся и конкурентном рынке, необходимо интегрировать в производство информационные системы. Производственные информационные системы обеспечивают планирование, разработку и производство продуктов и услуг, а также контролируют поток производства. Внедрение таких систем происходит повсеместно, несмотря на связанные с этим значительные затраты.
По большей части, при автоматизации какой-либо сферы деятельности чаще всего учитываются только явные затраты - на разработку и внедрение информационной системы, - и меньше внимания уделяют последующим, скрытым затратам - эксплуатационным расходам. Затраты на эксплуатацию информационной системы могут в несколько раз превышать расходы на ее создание и внедрение. И тут на помощь приходят облачные технологии.
Согласно ГОСТ КОЛЕС 17788-2016 облачные технологии или облачные вычисления — это модель по представлению возможности сетевого доступа к
1808
эластичному и масштабируемому пулу разделяемых физических и виртуальных ресурсов, который обеспечивает самообслуживание и администрирование по требованию пользователя. [3]
Облачные технологии, объединяющие аппаратные средства, программное обеспечение и инфраструктуру, позволяют предоставлять услуги облачных вычислений через интернет. Любой пользователь облачной системы получает доступ к вычислительным службам через веб-браузер, являющийся в данном случае информационной моделью, которая переносит вычислительную нагрузку на удаленное местоположение.
При использовании облачных технологий возникает риск потери, утечки и разрушения данных. В то же время, хотя необходимость сохранения конфиденциальности данных, с которыми работает производственная информационная система, как правило, не является требованием производства, но часто служит существенной причиной, по которой до сих пор многие предприятия не переносят свои серверы в облако.
Исходя из исследования Института статистических исследований и экономики знаний НИУ ВШЭ по данным на 2018 год стратегия цифровизации есть только у 10% российских обрабатывающих производств. Основной причиной столь низкого показателя 60% опрошенных назвали недостаток финансовых ресурсов, также руководители каждого третьего предприятия отметили низкую готовность производств к внедрению современных технологий, 20% называли причиной нехватку компетенций в сфере информационно-коммуникационных технологий у персонала. [5]
На данный момент существует проект стандарта ГОСТ «Защита информации при использовании облачных технологий» который конкретизирует возможные угрозы как со стороны потребителя, так и со стороны пользователя облачных технологий». [6] В этом проекте угрозы при использовании облачных технологий делятся на:
1809
• угрозы для потребителей облачных услуг;
• угрозы для поставщиков облачных услуг.
Угрозы схожи между собой для всех возможных сторон взаимодействия, однако выделяется гораздо больше угроз именно для поставщиков. Для потребителей облачных технологий выделены следующие угрозы:
• угроза неопределённости ответственности;
• угроза потери управления;
• угроза потери доверия;
• угроза привязки к провайдеру облачных услуг;
• угроза осуществления незащищённого доступа потребителями облачных услуг;
• угроза недостатка управления информацией/облачными ресурсами;
• угроза потери и утечки данных.
Выделяют следующие угрозы для поставщиков облачных услуг:
• угроза неопределённости в распределении ответственности;
• угроза несогласованности политик безопасности;
• угроза непрерывной модернизации;
• угроза приостановки оказания услуг вследствие технических сбоев;
• угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения;
• угроза политик лицензирования;
• угроза конфликта юрисдикций различных стран;
• угроза некачественного переноса инфраструктуры в облако;
• угроза незащищённого администрирования облачных услуг;
• угроза общедоступности инфраструктуры;
• угроза использования технологий виртуализации;
1810
• угроза нарушения доступности облачного сервера;
• угроза недобросовестного исполнения обязательств поставщиками облачных услуг;
• угроза злоупотребления со стороны поставщиков облачных услуг;
• угроза злоупотребления со стороны потребителей облачных услуг.
Так же все угрозы сведены в сводную табличку, в которой угрозы разделены не только для поставщиков и потребителей, но и в зависимости от оказываемой облачной услуги.
В наши дни любая информация передается по открытым каналам в зашифрованном виде.
Типом облака определяется фактическая модель размещения и использования физической инфраструктуры, а также уровень безопасности и сохранности данных.
Под частным облаком понимается модель облачных вычислений, в которой информационно-вычислительные услуги предоставляются через частную инфраструктуру для отдельного использования одной организацией. Частное облако обычно управляется через внутренние ресурсы. Термины «частное облако» и «виртуальное частное облако» (УРС) часто используются взаимозаменяемо. Технически говоря, УРС - это частное облако, использующее инфраструктуру стороннего поставщика облачных услуг, а частное облако реализовано поверх внутренней инфраструктуры. Частные облака можно также называть корпоративными облаками.
Публичное облако - это платформа, которая использует стандартную модель облачных вычислений для удаленного доступа к таким ресурсам, как виртуальные машины (ВМ), приложения или хранилище. Публичные облачные сервисы могут быть бесплатными или предлагаться с помощью
1811
различных схем подписки или ценообразования по требованию, включая модель с оплатой за использование.
Гибридное облако - это вычислительная среда, которая объединяет локальные частные облачные сервисы компании и стороннее общедоступное облако в единую гибкую инфраструктуру для запуска приложений и рабочих нагрузок организации.
Принцип, лежащий в основе гибридного облака, заключается в том, что его сочетание общедоступных и частных облачных ресурсов - с уровнем согласованности между ними - дает организации гибкость в выборе оптимального облака для каждого приложения или рабочей нагрузки (и для свободного перемещения рабочих нагрузок между двумя облаками по мере необходимости. обстоятельства меняются). Это позволяет организации выполнять свои технические и бизнес-задачи более эффективно и с минимальными затратами, чем при использовании только публичного или частного облака.
С точки зрения технологии частное и публичное облака не сильно различаются. Однако частное облако считается более безопасным. [4]
Тем не менее одним из основных факторов обеспечения безопасности при использовании облачных технологий является своевременное и качественное обучение штата сотрудников. Как отмечается в исследование acatech: когда сотрудники регулярно работают с ИТ-системами и в связи с этим часто соприкасаются с конфиденциальной информацией, им необходимо осознавать важность информационной безопасности. Информирование сотрудников о возможных утечках данных и их причинах является важнейшей частью обучения персонала. Учитывая растущую популярность социальных сетей и инструментов для совместной работы, для внутренней и особенно внешней коммуникации необходимо разрабатывать и применять новые правила. Тогда как доступ к обширной базе данных полезен при принятии решений, часть
1812
этих данных может представлять собой интеллектуальную собственность компании, поэтому ее нельзя передавать третьим лицам. Стандарты, такие как IEC 62443 обеспечивают комплексную стратегию ИТ-безопасности сетей и производственных систем. [7, 24]
На данный момент существует четыре базовые концепции обеспечения облачной безопасности (Рис.1). [9]
Рисунок 1. Базовые концепции обеспечения облачной безопасности. [9]
Основным документом, регулирующим вопросы защиты информации в АСУ ТП является 31-й приказ ФСТЭК, вступивший в силу 17 августа 2014 года. В первой половине 2017 года в приказ были внесены поправки. Прежде чем 31 -й приказ вступил в силу, защита информации в АСУ ТП регулировалась нормативными документами по КСИИ, наиболее значимыми из которых являлся набор документов ФСТЭК, часть из которых имеет гриф «для служебного пользования», и ГОСТ РО 0043-002-2012. Иностранный аналог АСУ ТП - SCADA, произошедший от системы управления и сбора данных и в настоящее время ассоциирующийся с АСУ ТП. Существует достаточно большое количество национальных и отраслевых стандартов разных стран по управлению безопасностью АСУ ТП и SCADA кроме 31 -ого приказа ФСТЭК. Однако в отличие от 31-го приказа ФСТЭК такие стандарты как: ISA SP99, NERC, NIST PCSRF, IEC 61784-4 и др. не обязательны к выполнению в РФ, но могут также быть использованы при построении системы защиты АСУ ТП. [8, стр.26]
1813
При систематизации порядка действий по обеспечению безопасности АСУ ТП реализуется следующий порядок действий:
1. Необходимо определить требования к защите информации в АСУ ТП, выделить критическую для данного технологического процесса информацию, классифицировать АСУ ТП исходя из требований защиты информации, разработать модель угроз безопасности и на основании построенной модели выявить требования к системе защиты АСУ ТП.
2. Провести разработку и внедрение проекта системы защиты АСУ ТП, содержащий в себе комплект из организационной и эксплуатационной документации, а также провести предварительные испытания.
3. Необходимо поддерживать планы действий в нештатных ситуациях, системы управления инцидентами информационной безопасности и регистрации в актуальном состоянии, и проводить регулярное обучение персонала по перечисленным темам.
4. С 1-го января 2018 года необходимо обеспечить обмен информации о компьютерных инцидентах с гос. системой обнаружения, предупреждения и ликвидации компьютерных атак (ГосСОПКА). [8, стр.27]
В рамках исследования также установлено, что ФСТЭК является не единственным регулятором, который устанавливает требования к обеспечению безопасности АСУ ТП. Иными регуляторами являются: Минтранс, Банк России, МинЭнерго, МЧС и др. которые также имеют право устанавливать дополнительные требования к информационной безопасности исходя из особенности функционирования КИИ конкретных областей. В том числе 1-го января 2018 года вступил в законную силу Федеральный закон №194-ФЗ «О внесении изменений в Уголовный кодекс РФ и статью 151
1814
уголовно-процессуального кодекса РФ в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»», устанавливающий уголовную ответсвенность за неправомерное воздействие на критическую инфраструктуру РФ, а также вопросов информационной безопасности. [8, стр.28] По результатам исследования:
• Установлено, что на данный момент все больше и больше предприятий стремятся минимизировать риски, а также сократить расходы с помощью внедрения современных технологий, однако это не всегда удается так как использование инновационных технологий также кроет в себе и затраты и новые угрозы для организации. Тем не менее динамика рынка облачных сервисов носит положительный тренд.
• Выявлена необходимость в принятии нового стандарта для конкретизации возможных угроз как со стороны пользователя (потребителя) облачных технологий, так и со стороны поставщика данного рода услуг.
• Показана острая необходимость в повышении кадровой квалификации для работы с современными информационными технологиями для минимизации рисков при работе с облачными технологиями на предприятии, а также в рамках выполнения стратегической задачи РФ при переходе на «Цифровую экономика»
• Установлено, что ФСТЭК является не единственным регулятором устанавливающий требования к обеспечению безопасности АСУ ТП, а стандарты ISA SP99, NERC, NIST PCSRF, IEC 61784-4 и др. не обязательны к выполнению в РФ, но могут также быть использованы при построении системы защиты АСУ ТП.
• Проанализированы 4 основные концепции облачной безопасности.
1815
Литература
1. [Электронный ресурс]. - Режим доступа: URL: http://kremlin.ru/events/councils/by-council/1029/54983 (дата обращения: 26.11.2022);
2. Международный стандарт ISO/IEC 2382:2015 Information technology [Электронный ресурс]. - Режим доступа: URL: https://www.iso.org/obp/ui/#iso:std:iso-iec:2382:ed-1 :v1 :en (дата обращения: 26.11.2022);
3. ГОСТ ISO/IEC 17788-2016 Информационные технологии (ИТ). Облачные вычисления. Общие положения и терминология [Электронный ресурс]. - Режим доступа: URL: http://docs.cntd.ru/document/1200141425 (дата обращения: 26.11.2022);
4. Нестеркина Е. Методы реализации стандартной стратегии рисков облачных вычислений (cloud computing) // ЦОД, датацентры, облачные вычисления, Saas, 2013 [Электронный ресурс]. - Режим доступа: http://dcnt.ru/?p=10700 (Дата обращения 27.12.2022)
5. [Электронный ресурс]. - Режим доступа: URL: https://www.hse.ru/monitoring/buscl/press/250127125.html (дата обращения: 13.12.2022)
6. Окончательная редакция проекта ГОСТ Р «Защита информации. Защита информации при использовании облачных технологий. Общие положения» [Электронный ресурс]. - Режим доступа: http://tk.gost.ru/wps/portal/tk362?WCM_GLOBAL_CONTEXT=/tk/tk362/ main/activity/1387260406652, (дата обращения: 25.11.2022)
7. Индекс зрелости Индустрии 4.0. Управление цифровым преобразованием Компаний. Исследование acatech. URL: https://www.acatech.de/wp-
1816
content/uploads/2018/03/acatech_STUDIE_ms_Maturity_Index_WEB .pdf (дата обращения: 21.12.2022).
8. А. Шабалин. Безопасность АСУ ТП, как снизить IT-риски в промышленности. Журнал ДИРЕКТОР ПО БЕЗОПАСНОСТИ .2017, No. 11, 25-28. [Электронный ресурс]. - Режим доступа:
https ://www. s-director.ru/magazine/archive/viewnumber/2017/11.html (дата обращения: 21.11.2022).
9. А. Адрияшин. Четыре основные концепции безопасности облачных технологий. 2019 [Электронный ресурс] URL: https://www.anti-malware.ru/analytics/Technology Analysis/4-cloud-security-concepts (Дата обращения 25.12.2022)
References
1. [Electronic resource]. - Access mode: URL: http://kremlin.ru/events/councils/by-council/1029/54983 (accessed: 26.11.2022);
2. International standard ISO / IEC 2382: 2015 Information technology [Electronic resource]. - Access mode: URL: https://www.iso.org/obp/ui/#iso:std:iso-iec:2382:ed-1 :v1 :en (accessed date: 26.11.2022);
3. GOST ISO / IEC 17788-2016 Information Technology (IT). Cloud computing. General provisions and terminology [Electronic resource]. - Access mode: URL: http://docs.cntd.ru/document/1200141425 (accessed date: 26.11.2022);
4. Nesterkina E. Methods for implementing the standard cloud computing risk strategy // Data Center, Data Centers, Cloud Computing, Saas, 2013 [Electronic resource]. - Access mode: http://dcnt.ru/?p=10700 (accessed date: 27.12.2022)
5. [Electronic resource]. - Access mode: URL: https://www.hse.ru/monitoring/buscl/press/250127125.html (accessed date: 13.12.2022)
1817
6. The final version of the draft GOST R "Information Security. Information security when using cloud technology. General Provisions "[Electronic resource]. - Access mode: http://tk.gost.ru/wps/portal/tk362?WCM_GLOBAL_CONTEXT=/tk/tk362/m ain/activity/1387260406652, (accessed date: 25.11.2022)
7. Industry Maturity Index 4.0. Digital Transformation Management Companies. Acatech study. URL: https://www.acatech.de/wp-content/uploads/2018/03/acatech_STUDIE_rus_Maturity_Index_WEB .pdf (accessed date: 21.12.2022).
8. A. Shabalin. ICS safety, how to reduce IT risks in the industry. SECURITY DIRECTOR Magazine. 2017, No. 11, 25-28. [Electronic resource]. - Access mode: https://www.s-director.ru/magazine/archive/viewnumber/2017/11 .html (accessed date: 21.11.2022).
9. A. Adriyashin. Four basic cloud security concepts. 2019 [Electronic resource] URL: https://www.anti-malware.ru/analytics/Technology_Analysis/4-cloud-security-concepts (accessed date: 25.12.2022)
© Немировская-Дутчак О.Э., Морозова Т.А., Кузнецова Е.Ю., Пронина Е.В., 2022 Международный журнал прикладных наук и технологий "Integral" № 5/2022
Для цитирования: Немировская-Дутчак О.Э., Морозова Т.А., Кузнецова Е.Ю., Пронина Е.В. Обеспечение информационной безопасности при применении облачных технологий в производственных информационных системах // Международный журнал прикладных наук и технологий "Integral" № 5/2022
1818
