На правах рекламы:
ISSN 0236-235X (P)
ISSN 2311-2735 (E)

Авторитетность издания

ВАК - К1
RSCI, ядро РИНЦ

Добавить в закладки

Следующий номер на сайте

4
Ожидается:
09 Сентября 2024

Комплексное управление безопасностью в едином информационном пространстве предприятия

Статья опубликована в выпуске журнала № 4 за 2008 год.
Аннотация:
Abstract:
Авторы: Иващенко А.В. (anton-ivashenko@yandex.ru) - Самарский государственный аэрокосмический университет им. академика С.П. Королева (национальный исследовательский университет) (профессор), Самара, Россия, доктор технических наук, Федосеев А.А. (fedoseevale@gmail.com) - Самарский национальный исследовательский университет им. академика С.П. Королева (начальник сектора), Самара, Россия, Прохоров С.А. (sp.prokhorov@gmail.com) - Самарский государственный аэрокосмический университет им. С.П. Королева (национальный исследовательский университет) (профессор, зав. кафедрой), Самара, Россия, доктор технических наук
Ключевые слова: единое информационное пространство, безопасность, сапр
Keywords: solid information environment, security, CAD system
Количество просмотров: 14669
Версия для печати
Выпуск в формате PDF (8.40Мб)

Размер шрифта:       Шрифт:

Управление современным предприятием непосредственно связано с построением единого информационного пространства (ЕИП), которое содержит актуальные знания и осуществляет информационную поддержку всех этапов проектирования и производства [1]. Кроме того, ЕИП обеспечивает безопасность функционирования предприятия, снижая риски потери, порчи или разглашения информации, подлежащей защи- те [2].

 

При этом традиционно активность развития интегрированной информационной среды и обеспечение безопасности находятся в противодействии. Развитие предприятия, активных взаимоотношений с партнерами часто ограничивается из-за необходимости обеспечения безопасности. В связи с этим нужно определить методику взаимодействия различных подразделений предприятия при решении задач повышения эффективности и качества производства за счет совместного развития интегрированной информационной среды и системы обеспечения безопасности.

Суть автоматизации комплексного управления безопасностью – в централизации, то есть в создании единой системы поддержки принятия решений. При этом необходимо, во-первых, обеспечить централизованное накопление и постоянное обновление актуальных знаний обо всех бизнес-процессах предприятия, во-вторых, организовать обработку этой информации в автоматическом или автоматизированном режимах и генерирование возможных управляющих воздействий.

Управление безопасностью в условиях ЕИП

Организация ЕИП в соответствии с современными тенденциями развития информационных технологий состоит в интеграции всех информационных ресурсов предприятия. При этом осуществляются внедрение автоматизированных систем с различной функциональностью, разработка нового программного обеспечения и активное использование современных информационных технологий на предприятии.

С точки зрения подразделения по обеспечению безопасности возникновение рисков связано с активным использованием нового аппаратного и программного обеспечения, безопасность которого относительно отказоустойчивости и защиты информации часто недостаточно исследована и обоснована, с необходимостью организации совместных работ со сторонними организациями, поставляющими это аппаратное и программное обеспечение, а также с централизованным накоплением информации, подлежащей защите, в электронном виде. Таким образом, возникает задача комплексного управления безопасностью в условиях организации ЕИП.

С другой стороны, знания о безопасности предприятия являются неотъемлемой частью ЕИП, в связи с чем новые технологии хранения данных и их аналитической обработки весьма востребованы в подразделениях современных предприятий, занимающихся управлением безопасностью. Однако с учетом характера этой информации и связанных с ее обработкой процессов внедряемое для организации этой части ЕИП программное обеспечение должно удовлетворять особым требованиям к обеспечению надежности хранения и защиты информации.

Наиболее функционально нагруженный аспект современной автоматизации управления безопасностью – это использование ЕИП в качестве источника актуальной информации для системы поддержки принятия решений.

Например, в случае сохранения в ЕИП данных о доступе на предприятие и к охраняемым документам можно проводить анализ рисков, связанных с утечкой охраняемой информации. В случае поступления информации со складов и проходных предприятия можно анализировать сведения о пропаже изделий и противодействовать кражам. А в случае сохранения данных с датчиков противопожарной сигнализации и сведений о проводимых профилактических работах можно идентифицировать наиболее пожароопасные участки производства.

Прецеденты управления безопасностью

Описанные аспекты построения такой системы управления безопасностью обусловливают необходимость формулирования новых требований к методам организации ЕИП и к используемому аппаратному, программному и информационному обеспечению. Эти требования включают, кроме обеспечения надежности и защиты информации, возможность сохранения в ЕИП данных, используемых при анализе рисков и информационной поддержке деятельности подразделения безопасности.

Организация взаимодействия подразделений

Обычно при построении системы безопасности предприятия действия по обеспечению хранения и обмена данными воспринимаются как источник риска возможной утечки информации. Связано это с высоким прогрессом современной вычислительной техники, опережающим развитие средств обеспечения безопасности. Этот факт также обусловливает необходимость внедрения в ЕИП средств анализа информационных потоков и определения возможных рисков и угроз.

Взаимодействие субъектов обеспечения функционирования ЕИП предприятия в системе управления безопасностью приведено на рисунке. Здесь выделены компоненты ЕИП, обеспечивающие конструкторско-технологическую подготовку производства и управление процессами и ресурсами. Данные компоненты составляют общепринятую структуру ЕИП предприятия, которая широко применяется в машиностроении.

Сложность такой структуры заключается в необходимости поддерживать различные по сво- ей природе этапы жизненного цикла изделия – от проектных работ, связанных с коллективной обработкой большого количества информации и инновационной деятельностью, до управления материально-техническим обеспечением производственных процессов, когда решаются задачи оптимального использования ресурсов с учетом множественных критериев и ограничений.

Поскольку эти процессы разного характера, различаются и задачи по обеспечению безопасности при их организации. Действительно, если при организации документооборота основной акцент следует делать на снижении вероятности утечки защищаемой информации, производственный процесс в большей степени требует обеспечения контроля качества изделий. Тем не менее, все этапы жизненного цикла изделия схожи в том смысле, что могут быть представлены в виде последовательных преобразований некоторых информационных объектов.

На рисунке можно выделить цепочку взаимосвязанных вариантов использования. Обобщенная функциональность по обновлению и изменению информации используется всеми участниками основного бизнес-процесса, в том числе руководителем отдела информационных технологий, который управляет конфигурированием интегрированной информационной среды. А результаты анализа информационных потоков предприятия используются руководителем подразделения безопасности для управления рисками.

Поддержка принятия решений

Автоматизация управления безопасностью может быть основана на диагностировании отклонения одного или нескольких рисков от допустимого состояния и выработке реакций на это отклонение, заключающихся в запуске мероприятий, направленных на возвращение риска в допустимые пределы.

Действие мероприятий необязательно должно быть симметричным, так как внешнее воздействие может иметь непрерывный или периодический характер. В этом случае мероприятие должно обеспечить компенсацию продолжения действия по увеличению риска.

Определить величину такого противодействия достаточно сложно. В связи с этим при увеличении одного из показателей риска (вероятности или величины ущерба) более целесообразно производить компенсирующее воздействие на второй показатель. Например, в случае увеличения вероятности риска более чем на допустимую величину можно перераспределить информацию таким образом, чтобы уменьшился ущерб.

Предложим следующий алгоритм поддержки принятия решений. Для каждого риска на подготовительном этапе конфигурирования аналитиком определяется список возможных мероприятий и дается экспертная оценка эффективности каждого из них.

Организационно необходимо обеспечить работу службы безопасности таким образом, чтобы информация обо всех мероприятиях и выставляемых преградах сохранялась в базе данных. Сделать это можно путем автоматизации формирования отчетов по результатам работы и организации регулярной проверки создаваемой отчетности. Косвенным преимуществом в этом случае будет обеспечение более жесткого контроля деятельности службы безопасности со стороны руководства предприятия.

Определение величины риска состоит в оценке первоначальных значений вероятности и ожидаемого ущерба, а также в периодической повторной оценке этих параметров с течением времени. Оценка вероятности риска может осуществляться на основе анализа статистики событий, информация о которых накапливается в ЕИП предприятия, и корректироваться экспертами. Периодическое изменение значения вероятности может производиться на основе проведения регулярного повторного анализа.

Оценка ожидаемого ущерба складывается из условной стоимости физического или информационного объекта и потерь предприятия в случае срабатывания риска, в том числе стоимости мероприятий по устранению последствий. При оценке риска следует исходить из наиболее пессимистичного предположения о том, что для любого риска есть активная противодействующая сторона, деятельность которой направлена на его увеличение.

При условии, что известна эффективность мероприятия по снижению определенного риска (по результатам статистической обработки исторических данных, на основании экспертных оценок или данных, полученных в ходе имитационного моделирования), задача поддержки принятия решений состоит в выборе необходимых мероприятий на основе данных об изменении риска.

Оценка рисков должна производиться при взаимодействии с противником в игре с неизвестными платежами. При этом необходимо учитывать возможность появления неконтролируемых искажающих воздействий. Задачу управления безопасностью следует отнести к классу задач, связанных с неравноправием партнеров, когда противник располагает неизвестными возможностями. Действия предприятия при этом заключаются в активации мероприятий, направленных на снижение риска, а действия противника – в создании новых угроз, направленных на повышение риска.

Отметим, что действия противника в ЕИП можно отследить как определенное изменение данных, связанное со снижением эффективности мероприятия. Решения принимаются при условии, что противник знает о проводимых мероприятиях, но не знает о том, в связи с каким риском эти мероприятия были активированы.

Игра во враждебной ситуации выражается в воздействиях игроков на существующую систему преград. Предприятие совершенствует ее, применяя комплекс мероприятий, а противник старается преодолеть преграды. Когда стратегия при особых условиях выбирается случайно, то есть реализуется смешанная стратегия, противодействие противника затруднено. Таким образом, для определения решений необходимо использовать тактику забывающего автомата, которая наиболее устойчива к действиям противника.

Итак, сделаем выводы. При организации системы управления безопасностью современного предприятия необходимо обеспечить тесное взаимодействие сотрудников подразделений информационных технологий и обеспечения безопасности.

ЕИП предприятия должно быть сформировано с учетом необходимости использования его элементов для управления безопасностью. Информационная поддержка принятия решений по обеспечению комплексной безопасности предприятия должна осуществляться на основе использования актуальных знаний, накапливаемых в ЕИП.

Для поддержки принятия решения в состав ЕИП предприятия необходимо включить подсистемы мониторинга и управления безопасностью, а также инструментарий оперативной работы сотрудников подразделений, обеспечивающих безопасность предприятия.

Управление безопасностью необходимо организовать на основе анализа динамики изменения рисков, представленных парой параметров (вероятности возникновения и оценки ущерба). Управление безопасностью – непрерывный процесс,  связанный с постоянным анализом рисков и активацией или отменой мероприятий на основе соображений безопасности и экономии затрат на ее обеспечение.

При оценке рисков и выборе мероприятий необходимо учитывать враждебность среды, в связи с чем в алгоритмах управления целесообразно использовать методы теории игр, в частности, тактику забывающего автомата.

При реализации предлагаемых алгоритмов особое внимание следует уделить механизмам интеграции подсистемы обеспечения безопасности с PLM- и ERP-системами предприятия, а также проработке пользовательского интерфейса системы.

Продолжение исследований необходимо прежде всего для уточнения экспертных оценок рисков и эффективности мероприятий и для проработки методики внедрения предлагаемых алгоритмов в машиностроении.

Список литературы

1.  Норенков И.П., Кузьмик П.К. Информационная поддержка наукоемких изделий. CALS-технологии. – М.: Изд-во МГТУ им. Н.Э. Баумана, 2002. – 320 с.

2.  Резников Г.Я., Бабин С.А., Костогрызов А.И., Родионов В.Н. Количественная оценка защищенности автоматизированных систем от несанкционированного доступа. // Информационные технологии в проектировании и производстве. – 2004. – № 1. – С. 11–22.


Постоянный адрес статьи:
http://swsys.ru/index.php?page=article&id=1644&lang=&lang=&like=1
Версия для печати
Выпуск в формате PDF (8.40Мб)
Статья опубликована в выпуске журнала № 4 за 2008 год.

Возможно, Вас заинтересуют следующие статьи схожих тематик: