CC BY
28
УДК: 338: 65
DOI: 10.51965/2076-7919_2021_2_1_88
Королева Е.И.
ОСОБЕННОСТИ ЦИФРОВОЙ ТРАНСФОРМАЦИИ ИНТЕГРИРОВАННЫХ
ПРОИЗВОДСТВЕННЫХ СТРУКТУР
Koroleva E.I.
PECULIARITIES OF DIGITAL TRANSFORMATION OF INTEGRATED PRODUCTION
STRUCTURES
Ключевые слова: цифровая трансформация интегрированных структур, стандартизация, построение профилей защиты безопасности, требования к специалистам в условиях цифровизации.
Keywords: digital transformation of integrated structures, standardization, construction of security protection profiles, requirements for specialists in the conditions of digitalization.
Аннотация: В условиях развития цифровой экономики и трансферта цифровых технологий в деятельность высокотехнологичных производств, возникают нестандартные ситуации, требующие быстрейшей адаптации к новым условиям хозяйствования. В интегрированных структурах при их совместном взаимодействии рождаются некоторые проблемы. Одной из таковых является стандартизация, суть которой в своевременном обновлении требований нормативных документов. Одним из таких документов, влияющих на ускорение процессов цифровизации является ГОСТР 57628-2017. Этот нормативный документ позволяет сформировать компетенции разработки оригинальных профилей защиты информации в каждой из структур, входящих в интеграцию. Важность формирования подобных навыков и компетенций обоснована потребностью повышения качества информации, с которой работают интегрированные структуры.
Целью статьи является разработка процедуры формирования профилей защиты информационной безопасности в деятельности интегрированной производственной структуры.
Методами исследования являются методы комплексного, процессного, системного и интегрированного подхода. Объектом исследования является деятельность интегрированной структуры на примере деятельности АО "Тяжмаш". Изучалась информационная составляющая деятельности производственной структуры в рамках интегрированной системы менеджмента качества.
В статье предложена концептуальная модель необходимых требований к персоналу интегрированных производственных структур, представлена процессная модель контролируемых процессов, показана комплексная процедура формирования Профилей защиты информации.
Новизна и практическая ценность работы состоит в классификации требований ГОСТР.57628-2017 по формированию профилей защиты информации для интегрированной производственной структуры, что позволит снизить риски потери информации при интеграции деятельности всех бизнес структур.
Abstract: With the development of digital economy and the transfer of digital technology in the activities of high-tech industries, there are non-standard situations that require rapid adaptation to the new conditions of management. Some problems arise in integrated structures in their joint interaction. One of them is standardization, the essence of which is the timely updating of the requirements of regulatory documents. One of such, influencing the acceleration of digitalization processes is GOST R 57628-2017. This normative document allows the formation of new skills to build information security protection profiles in each of the structures included in the integrationb.
The importance of forming such skills and competencies is justified by the need to improve the quality of information with which integrated structures work.
The aim of the article is to develop a procedure for building information security protection profiles in the activities of integrated production structures.
The methods of research are methods of complex, process, system and integrated approach. The object of the research is the activity of an integrated structure on the example of Tyazhmash JSC. The information component of the production structure activity within the framework of the integrated quality management system was studied.
The article proposes a conceptual model of the necessary requirements for the personnel of integrated production structures, presents a process model of controlled processes, shows a comprehensive procedure for the formation of information protection profiles.
The newness and practical value of the work lies in the classification of the requirements of GOST R.57628-2017 on the formation of information protection profiles for integrated production structure, which will reduce the risks of information loss when integrating the activities of all business structures.
Введение
Информатизация и цифровизация дали толчок быстрому развитию наукоемких технологий, и это потребовало от бизнеса постановку новых целей и задач. Сегодня акцент сделан на превращение вызовов эпохи цифровых трансфертов в новые возможности развития. Для интегрированных производственных структур это проявляется в первую очередь в снижении сроков выполнения производственных заданий. Объектом исследования в научном изыскании выступила производственная деятельность АО «Тяжмаш». Как показал анализ исследуемых источников [1,2] - это крупное и экономически устойчивое предприятие отрасли тяжелого машиностроения. Оно выпускает продукцию для атомной промышленности. Имеет высокий имидж и деловую репутацию за счет высокого качества и надежности партнерских отношений с партнерами на многих континентах. Актуальность изучения процессов интеграции в цифровой
экономике является важным и обоснованным решением, что нашло отражение в работе [3], где показано, что укрупненные и интегрированные производственные объединения создают сегодня более 60% ВВП
[4].
Производственное объединение
АО Тяжмаш выбрано к рассмотрению, так как оно постоянно развивается, одно из первых внедряет современные цифровые и коммуникационные технологии. Например, используемая ими платформа
3DEXPERIENCE® помогает создавать уникальные революционные продукты благодаря обширному портфелю решений Industry Solution Experiences и интеграции знаний, услуг, используемых приложений, контент, совокупность цифровых технологий и программного обеспечения.
Анализ экспортных услуг за 2020 г. показал, что на период развития 20182025 г. они являются стабильными (рис. 1).
Рисунок 1 - Экспорт услуг АО Тяжмаш [по источнику: 2]
Устойчивость развития можно проанализировать и по тенденции увеличения заказов (рис. 2). Информация представлена из источника [2] на период развития 2018-2025 гг.
Направление Сумма, руб.
Б из пес-един и ца по снециальн ому оборудованию 15 801 924 673
Б из пес-един и ца по оборудованию для атомной энергетики 10 693 776 703
Бизиес-единица по гидроэнергетическому оборудованию Ъ 623 208 797
Бизнес-единица по теплоэнергетическому оборудованию 520583 07 8
Бизнес-единицапо дробил ьн о- раз мол ьн о му о борудова нию 321891389
Б из нес-еди н и ца п о кон ве йер ному обо рудо ва н и га 559164329
Итого по всем направлениям: 31 520 553 969
Рисунок 2 - Тенденция развития заказов
Несмотря на успешное развитие, в компании были выявлены различные риски, влияние которых необходимо контролировать и снижать, принимая упредительные меры по их нейтрализации.
Развивающиеся рынки РФ характеризуются сегодня высокой нестабильностью, чем более развитые рынки, что способствует инициации значительных правовых, экономических и политических рисков. Некоторые из них возникают в силу ряда причин, обосновываясь, в частности, недостаточным уровнем сформированности индекса цифро-
вой грамотности населения страны [5] и частыми потерями информационных активов ввиду низкой компетенции формирования профилей защиты информации (рис. 3).
Процесс управления рисками на АО «Тяжмаш» систематически совершенствуется, что обусловлено имеющейся корпоративной системой управления рисками. На основе этой системы производится системный контроллинг и мониторинг тех факторов, которые являются существенными для развития интегрированных процессов.
□ Недостаточный уровень компетенций по формированию Профилей защиты информации
□ Недостаточный уровень оценки защищенности информационных активов интеграционных процессов
□ Отсутствие стандартизированной процедуры формирования Профилей защиты информации
□ Недостаточный уровень цифровой грамотности сотрудников интегративной структуры
□ Недостаточный уровень практического владения инструментами управления рисками
□ Недостаточный уровень владения навыками защиты информационных активов в интегрированных структурах
□ Недостаточное владение навыками поддержки принятия решения на основе требования ГОСТ Р ИСО 9001-2015 и ГОСТ Р 57628-2017
□ Наличие непроизводственных потерь, по причине нарушения информационой безопасности
Рисунок 3 - Причины возникновение рисков потери информации
На рисунке, как видно из диаграммы, отражены некоторые из причин, способные инициировать возникновение ситуаций неопределенности и риска. В основном это финансовые риски, которые связаны с потерями на восстановление информационных активов предприятия. Опрос сотрудников одной из структур в 2020 году показал, что совокупные потери по анализируемым факторам свыше допустимых границ.
Наибольшие риски вызвали такие показатели, как "недостаточный уровень владения навыками защиты информационных активов предприятия (более 12%), и "недостаточны уровень стандартизации интеграционных процессов" (свыше 16%), но это относится лишь к той сфере новых стандартов, которая связана с цифровыми трансфертами в интегрированные структуры. Эти нормативные документы надо изучать и
10%
12%
4%
внедрять. В остальном, все интегрированные процессы поддерживаются системой менеджмента качества на высоком уровне стандартизации.
Отметим, что выявленные кризисные проявления экономического благосостояния возникают как результат неполного соответствия организации внутренних бизнес-процессов требованиям ГОСТ Р.57628-2017. Это регламентирующий документ по разработке профилей защиты информации и формированию заданий по безопасности. В связи с чем была предпринята детализация информационных потоков, которая проводилась среди специалистов информацион-
ного центра одной из структурных бизнес-единиц, входящих в интеграцию. Оценивалась возможность разработки документированной процедуры, которая называлась "Разработка Профиля защиты информационных активов".
Рисунок (рис. 4) отражает контекстную диаграмму детализации первого уровня. Показан процесс внедрения интегрированной системы менеджмента (ИСМ). В нашем конкретном случае речь идет только о том, чтобы "встраивать" требования ГОСТ Р.57628-2017 в деятельность существующей на предприя-тии СМК.
Рисунок 4 - Модель интеграции процессов защиты информации в деятельность СМК
предприятия
Здесь потоки входящей информации (например, информация об ИСМ, КСЗИ, документы: служебные записки, приказы и прочее) воздействуют на все внутренние процессы. Отметим важность тех информационных активов, к которым применена существующая КСЗИ. Проблема, как видно из рисунка, состоит в том, что в контролируемых процессах отсутствует учет требований Политики безопасности и нет методики построения профилей защиты активов. В этом конкретном случае они должны выступать в виде управляющих воздействий (стрелка сверху вниз, рядом со
стрелкой "Политика безопасности"). Должны измениться и выходные потоки. На рисунке (рис.4) они показаны в общем виде как "усовершенствованный комплекс средств защиты информации".
Совершенствование возможно за счет того, что появляются новые выходные документы, например, "Спецификация требований к функциональной
безопасности", "Спецификация требований к уровню цифрового доверия", "Требования доверия к безопасности средств защиты информации" и прочее. Весь набор описанных в процессной модели
функциональных требований соответствует описанию контента ГОСТ Р 57628-2017. Его необходимо модернизировать и изменить параметры модели, отразив процессы адаптации требований по формированию нормативного акта, в котором учитывается возможность снижения рисков в деятельности интегрированной бизнес-структуры.
Результаты исследований
Анализ требований к формированию уровня цифровой грамотности [5-9] и нор-
мативных документов [10-15] позволил автору сформулировать собственное видение, реализованное в интегрированных структурах.
Рисунок 5 отражает схему последовательного заполнения базы знаний, которая должна быть сформирована на этапе изучения методики, описанной в анализируемом ГОСТ Р 57628-2017.
ГОСТ Р 57628-2017
Улучшение деятельности интегрированных структур
База знаний ГОСТ Р 576282017
Контент извлеченных знаний
Формируемые компетенции и
опыт деятельности
т
Управление рисками ЭБ
эксперты по ИБ, специалисты ИТ, специалисты по ЭБ, начальники отделов, архитектор по вопросам защиты информации
Рисунок 5 - Модель трансформации знаний к управлению рисками защиты информации
(авторское видение)
Диаграмма (рис. 6) отражает результаты проведенного опроса работников АО "Тяжмаш" (служба маркетинга по специальному оборудованию и оборудованию
12,6
4,9
20,2
27,3
для атомной энергетики, 2020 г.), которые отразили недостаточный уровень сформи-рованности компетенции построения профилей защиты информации.
□ Политика безопасности
□ Задания безопасности
□ Профиль защиты ИБ
□ Цели и задачи системы защиты безопасности
□ Аудит безопасности
6,1
□ Угрозы и уязвимости
Рисунок 6 - Оценка уровня готовности кадров к формированию профилей защиты информационной безопасности на рабочих местах
Общий анализ полученных результатов и источников [16-19] отражает тот факт, что в процессе подготовки кадров в высших учебных заведениях следует больше времени уделять изучению нормативной базы цифровых трансформаций. Это набор новых законов и стандартов, которые описывает требования по работе с облачными технологиями, с такими документами как Политика безопасности и другими. Необходимо, чтобы специалист в области экономики (современной цифровой экономики) имел представление, в первую очередь, о том, как он может защитить свои информационные активы. Он должен иметь навыки по выявлению уязвимости и определению угроз, их классификации и оценки потерь, связанных с порчей и утратой информационного акти-
ва. В совокупности этот набор знаний, умений и навыков, трансформируемый в набор компетенций и определяет профиль знаний сотрудников. Анализ индекса цифровой грамотности для сотрудников интегрированной структуры показал низкую оценку сформированности таких понятий, как "аудит безопасности", "задание безопасности", "профиль информационной безопасности" и другие категории, которые необходимо изучить в рамках внедряемого стандарта.
Чтобы глубже понять суть этих вопросов и их прямое назначение, роль в обеспечении реализации Политики безопасности на предприятии, рекомендуем следующую комплексную процедуру (рис. 7).
Рисунок 7 - Схема комплексной процедуры построения Профилей защиты информации
Подготовительный этап формирует базовые знания персонала, вовлеченного в процесс построения профилей защиты информации. Этот этап характеризуется процессом накопления необходимых знаний и умений.
Основной этап состоит из совокупности стадий, он позволяет сформировать практические умения работы с методиками по выявлению объектов оценки (ОО) информационных активов, выявлению потен-
циальных угроз, корректировке существующей Политики безопасности и прочее.
Заключительный этап формирует набор необходимых компетенций персонала. На каждом из этапов формируется навык работ с нормативной документацией (ГОСТ).
Концептуальная модель необходимых требований к персоналу интегрированных производственных структур (рис. 8) может быть реализована внутри производственных комплексов (показано авторское видение).
Нормативная о аз а
Формируемые компетенции
Возможные стандартизированные процедуры для внедрения в интегрированные структуры
ГОСТР
ИСО/МЭК 385002017
Информационные технологии. Стратегически е правление ИТ в организации ГОСТР
ИСО/МЭК 270002012
Информационные
технологии.
Методы и
средства
обеспечения
безопасности.
Системы
менеджмента
ин формаци онн ой
оезопасности.
Общий обзор и
терминология
ГОСТР
ИСО/МЭК 270022012
Информационные
технологии.
Методы и
средства
обеспечения
оезопасности.
1) формулировка потребности в безопасности, 2) выявленние пробтемы безопасности;
3) описание пробтемы безопасности;
4) перечень выявленных угроз безопасности со стороны внешней и внутренней среды;
5) выявление объектов оценки и описание их базовых характеристик;
6) построение "дерева целей" безопасности объектов оценки
7) формирование "дерева возможных рисков" объектов оценки
8) трансформация "дерево целей" в "дерево требований" для описания Профилей защиты информации;
9) логическая структура взаимосвязи "дерево требований" - "дерево решений"
10)перечень ф^тпсци он альных требований доверия и безопасности
Рис а). Требования ГОСТР 57628-2017
Процедура "Определение угроз и проблем ЭБ в разрезе ИБ"
Процедура "Построение "дерева целей"" дерев а решений" для безопасности объекта оценки
«ПЕРСТЫ СРЕШЫ БЕМПАСИОСТИ ОБЪЕКТА (ЩЕНКИ
ПРШПЕН* БЕЗОПАСНОСТИ
ДОН безопасности
I
! / (1>он БваышмкРйЛ !
^ ^Дта дбьрсай йийнщ<у ^ у |
Рис б). ГОСТР 57628-2017
Рисунок 8 - Требования к персоналу по формированию Профилей защиты ИБ (фрагмент)
Внедрение комплексной процедуры позволит сформировать Профили защиты информационных активов всех объектов оценки в интегрированной структуре.
Выводы
Особенности цифровой трансформации интегрированных производственных структур состоят в целесообразности соответствия внедряемым новым документам проводимой стандартизации в стране, которая поддерживает проводимые цифровые
трансформации экономики. Одним из таких юстированных документов является ГОСТ Р 57628-2017. Умение его применять в интегрированных структурах несомненно, так как он направлен на то, чтобы сформировать компетенции оценки соответствия информации в информационных активах на ее достоверность, актуальность, целостность. Так как финансовый ущерб в интегрированной структуре от утери информации гораздо выше, чем в одной структурной единице.
БИБЛИОГРАФИЧЕСКИМ СПИСОК
1. АО «Тяжмаш». Карточка компании. Центр раскрытия корпоративной информации. Дата обращения: 8 мая 2019.
2. Годовой отчет за 2019 год Акционерного общества «Тяжмаш» (pdf). АО «Тяжмаш» (17 мая 2020). Дата обращения: 8 марта 2021.
3. Материалы официального Информационного агентства AK&M [Электронный ресурс]. - Режим доступа: www.akm.ru/ (дата обращения: 02.11.2018).
4. Королева, Е.И. Стандартизация, оценка соответствия и информационное обеспечение в интегрированных производственных структурах / Е.И. Королева // Научные основы современного прогресса. - Магнитогорск, 2016. - С. 69-71.
5. Digital Intelligence Index70Endnotes1 Words of an Unprecedented Year, Ox-fordLanguages, Oxford University Press 2020, accessed November 29, 2020, URL: https://languages.oup.com/word-of-the-year/2020/.
6. Тенденции развития информационного общества в Российской Федерации. 2020: краткий статистический сборник / Федеральная служба государственной статистики; Нац. исслед. ун-т «Высшая школа экономики». - М.: НИУ ВШЭ, 2020. - 220 с. - 250 экз. -ISBN 978-5-7598-2344-5 (в обл.).
7. Андреева, Г.Н., Бадальянц, С.В., Богатырева, Т.Г. и др. Развитие цифровой экономики в России как ключевой фактор экономического роста и повышения качества жизни населения: монография. Н. Новгород: Профессиональная наука, 2018.
8. Развитие цифровой экономики в России. Программа до 2035 года // Клуб субъектов инновационного и технологического развития России. URL: http://innclub.info/wp-content/uploads/2017/05/strategy.pdf.
9. Халин, В.Г., Чернова, Г.В. Цифровизация и её влияние на российскую экономику и общество: преимущества, вызовы, угрозы и риски // Управленческое консультирование. 2018. No 10. С. 43-63.
10. ГОСТ P 1.1-2002. Межгосударственная система стандартизации. Термины и определения [Электронный ресурс]. - Режим доступа: http://www.termika.ru/dou/?id=5761/ (дата обращения: 10.08.2016).
11. ГОСТ Р 57628-2017 Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности [Электронный ресурс] - Режим доступа: Режим доступа: http://www.termika.ru/dou/?id=5761/ (дата обращения: 30.11.2018).
12. ГОСТ Р 1.5-2004. Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила построения, изложения, оформления и обозначения [Электронный ресурс]. - Режим доступа: http://www.termika.ru/dou/?id=5765/ (дата обращения: 10.11.2018).
13. ГОСТ Р ИСО 9001-2015 Системы менеджмента качества. Требования [Электронный ресурс]. - Режим доступа: http://www.termika.ru/dou/?id=5769/ (дата обращения: 10.11.2018).
14. Государственная программа Российской Федерации «Развитие промышленности и повышения ее конкурентоспособности»: Постановление Правительства РФ от 15 апреля 2014 г. № 328 [Электронный ресурс]. - Режим доступа: http://pravo.gov.ru/proxy/ips/?docbody = &nd=102352828&rdk= &backlink=1 (дата обращения: 06.11.2020.
15. Глухова, Л.В. Некоторые подходы к оценке конкурентоспособности интегрированных производственных структур/ Л.В. Глухова, А.Д. Немцев // Вестник Волжского университета имени В.Н. Татищева. Раздел «Экономика». - 2017. - № 1, Том 1. -C.58-65.
16. Глухова, Л.В. Управление изменениями и нововведениями: концептуальный подход к применению инструментов менеджмента качества / Л.В. Глухова, А.Д. Немцев // Вестник Волжского университета имени В.Н. Татищева. Раздел «Экономика». - 2013. - № 2 (26). - C. 21-29.
17. Королева, Е.И. Особенности стандартизации и информационного обеспечения для регулирования качества деятельности интегрированной системы управления / Е.И. Королева // Проблемы современной экономики. - Новосибирск, 2016. - С. 88-96.
18. Королева, Е.И. Стандартизация как инструмент развития интегрированных производственных структур / Е.И. Королева // Новшества в экономике и менеджменте: материалы Междунар. науч.-практ. конф. - Тюмень, 2016. - С. 87-91.
19. Королева, Е.И. Методика оценки инструментов стандартизации в интегрированных процессах производственных структур. // Вестник Волжского ун-та им. В.Н. Татищева. Экономика. .№ 4(40) т.1, 2017, с. 63-70.
Дата поступления: 25.01.2021
