АВТОМАТИЗАЦИЯ ПРОЦЕССОВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВЕ РАЗРАБОТКИ МОДЕЛИ МИНИМИЗАЦИИ РИСКОВ КОНСТРУКТОРСКО-ТЕХНОЛОГИЧЕСКОГО ПРОЕКТА
Аннотация и ключевые слова
Аннотация (русский):
Минимизация рисков при разработке интеллектуалоемкой продукции, связанная с исключением несанкционированного вхождения в систему безопасности конструкторско-технологического проекта, является важнейшей задачей сохранения развития российского творческого потенциала. Методом исследования является выявление и анализ применения инженерно-психологических аспектов проектной деятельности интеллектуалоемкой продукции. Четко сформированные и оформленные требования к информационной и технологической безопасности, дополненные исследованиями в области инженерной психологии, дают возможность минимизировать риски угроз вхождения в систему по всей цепочке проектно-производственного процесса. Формирование модели минимизации рисков конструкторско-технологического проекта, позволяющей осуществлять контроль выполнения требований к технологической безопасности на основе разработки критериев оценки качества с учетом применения инженерно-психологических знаний является решением весьма актуальной задачи.

Ключевые слова:
автоматизация, управление, информационная безопасность, риски, интеллектуалоемкий продукт, веб-платформа, моделирование
Текст
Текст (PDF): Читать Скачать

Введение

 

Впервые кибернетический подход в развитии теории управления был использован американским математиком Норбертом Винером в 1948 году «Кибернетика или управление, связь в животном мире и в машине».

Достоинство кибернетического подхода заключается в использовании методов моделирования систем управления в процессах управления сложно-ориентированными объектами различной природы [4].

Основным условием функционирования сложно-ориентированного объекта является процесс. Вторым условием является вход в систему, включающий в себя набор подсистем, например, конструкторскую подсистему, технологическую подсистему, подсистему оборудования, подсистему кадрового ресурса. Следующим условием является входная информация, обеспеченная новейшими информационными технологиями [9] и предусматривающая подсистемы защиты информации на всех этапах конструкторско-технологического проекта.

 

Методология исследования

 

Обеспечение безопасности [2] на уровне разработки проекта требует повышенного внимания по предотвращению несанкционированных доступов, связанных с потерей творческих замыслов и идей, зафиксированных на различных носителях информации. Именно поэтому на данном этапе необходимо создавать наивысший уровень контроля по защите информации на основе автоматизации выявления уязвимых точек повышенного риска. Примером систем с высоким уровнем контроля могут служить веб-платформы космической безопасности.

Веб-платформа является одним из основных носителей, обеспечивающих передачу данных (рис. 1).

Рис. 1. Мониторинг этапов разработки проекта веб-платформы

Fig. 1. Monitoring the development stages of the web platform project

 

Для анализа данных о скорости реагирования системы защиты информации веб-платформы должны быть выполнены следующие требования:

Соответствующие инструменты сбора данных. В качестве типовых инструментов для сбора данных об эффективности любых приложений могут использоваться:

а) анализ журнала веб-сервера;

б) метрика конверсии пользовательского решения.

Необходимый объем данных. Чтобы получить четкое представление о производительности системы, необходимо иметь достаточно данных для анализа, требуемый объем которых не должен быть менее 50 000 пользовательских событий в день.

Качество данных. Собранные данные должны быть точными и надежными, поэтому в качестве инструмента веб-аналитики был выбран сервис Yandex Metrika.

Методы анализа. Собранные данные должны быть проанализированы с использованием соответствующих методов, таких как выявление рисков и обработка выбросов.

Показатели производительности. Время загрузки страницы.

 

Результаты исследования и обсуждение

 

Чтобы обеспечить полноту данных состояния веб-платформы, также требуется соблюдение требований к ведению журнала (логирование). Это включает в себя сбор и запись информации об активности и поведении системы. Целью ведения журнала данных является предоставление информации о производительности системы и выявление потенциальных проблем, которые могут повлиять на стабильность функционирования. Ключевыми требованиями к ведению журнала являются:

актуальность: регистрируемые данные должны иметь отношение к производительности и поведению системы. Журналы должны фиксировать такие данные, как использование ресурсов сервера, время отклика и сообщения об ошибках.

своевременность: журналы должны записываться в режиме реального времени, чтобы гарантировать сбор данных по мере использования системы.

согласованность: формат и структура журналов должны быть согласованными, чтобы упростить анализ и отчетность.

хранение: журналы должны храниться в централизованном месте, чтобы их можно было легко извлечь и проанализировать.

безопасность: журналы должны быть защищены, чтобы гарантировать, что конфиденциальная информация не будет раскрыта или утеряна.

хранение: журналы должны храниться в течение достаточного периода времени, чтобы обеспечить возможность исторического анализа производительности системы.

масштабируемость: система ведения журнала должна быть способна масштабироваться для обработки больших объемов данных, особенно по мере роста системы.

доступность: журналы должны быть доступны уполномоченному персоналу с соответствующим уровнем доступа, чтобы обеспечить эффективный анализ и отчетность.

Удовлетворение данных требований позволяет системе веб-приложений хранить ценную информацию о своем поведении, позволяя разработчикам и администраторам выявлять потенциальные проблемы и принимать обоснованные решения для повышения не только общей производительности, но и защиты информации.

На основе имитационной модели в рамках соответствующих функций защиты производится количественная оценка рисков при выявлении информационных угроз [1].

Представленная на рис. 2 схема иллюстрирует возможности автоматизации процессов информационного реагирования (управления) на возникновение риска (утечки информации) при проектировании конструкторско-технологических решений.

 

Рис. 2. Модель автоматизации процесса реагирования на риск

Fig. 2. A model for automating the risk response process

 

Одной из важнейших подсистем является подсистема выбора моделей и методик расчета, входящая в комбинированный подход, и, которая учитывает как обеспечение физической безопасности IT-систем, так и разграничение уровней доступа к IT-системам с одновременным шифрованием особо важных/конфиденциальных данных.

На рис. 3 представлена модель методов защиты трех этапов разработки конструкторско-технологического проекта.

Рис. 3. Модель методов защиты этапов конструкторско-технологического проекта на основе анализа производственных процессов инженерного прогнозирования

Fig. 3. A model of methods for protecting the stages of a design and technological project based on the analysis of production processes of engineering forecasting

 

Этап I – концепция конструкции на основе анализа производственных процессов инженерного прогнозирования и планирования. Цель.

Этап II – разработка модели технологического проекта с учетом оптимизации конструкторских решений с выработкой технического задания (ТЗ).

Этап III – создание экспериментально-опытного образца.

Как видно из диаграммы, основными методами защиты [6] на первом этапе являются:

– интеллектуальное тестирование методологии контроля;

– обеспечение физической безопасности IT-систем (от пожара, кражи);

– разграничение уровней доступа к IT-системам;

– шифрование и контроль особо важных/конфиденциальных данных.

На втором этапе:

– предотвращение перехвата информации. Защитные экраны сетей;

– аудит/проверка безопасности IT-систем;

– системы управления мобильными устройствами;

– специальная политика безопасности для съемных носителей.

На третьем этапе:

– шифрование всех хранимых данных;

– антивирусные установки;

– защита от вредоносного ПО;

– структура сети (разделение критически важных сетей).

Из диаграммы видно, что второй и третий этапы нуждаются в усилении мер защиты по предотвращению рисков информационной безопасности.

 

Заключение

 

Моделирование методов защиты создания интеллектуалоемкой продукции предполагает разработку ряда вариантов конструкторско-технологических решений с инвариантными принципами функционирования, обладающих различными свойствами, но выполняющими все требования веб-платформы.

Для более эффективного и достоверного обеспечения уровня качества проектирования интеллектуальной продукции необходимо анализировать инженерно-психологический опыт процессов моделирования с использованием автоматизации процессов информационного реагирования (управления) на возникновение риска.

Разработка имитационной модели на основе сочетания методов и средств обеспечения информационной безопасности позволяет снизить риск потери авторского решения на этапе разработки, а также исключить несанкционированный доступ к значимым данным конструкторско-технологического проекта.

Список литературы

1. Вихорев С.В. Классификация угроз информационной безопасности. - [Электронный ресурс]. - http://www.cnews.ru/reviews/free/security (дата обращения 04.04.2020).

2. Галатенко В.А. Основы информационной безопасности. - Москва. - 2016. 264 с. - [Электронный ресурс]. - http://en.bookfi.net/book/584428 (дата обращения 16.03.2020).

3. Гацко М. О соотношении понятий «угроза» и «опасность» - [Электронный ресурс] - http://old.nasledie.ru/oboz/N07_97/7_06.HTM (дата обращения 25.03.2020).

4. Цветкова О.Л., Айдинян А.Р. Интеллектуальная система оценки информационной безопасности предприятия от внутренних угроз // Вестник компьютерных и информационных технологий. - 2014. - №8 (122). - С. 48-53.

5. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология.

6. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.

7. Менеджмент риска информационной безопасности.

8. Information technology. Security techniques. Information security risk management.

9. ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.

Войти или Создать
* Забыли пароль?