Статьи
Інформаційна безпека та захист інженерних даних
- Вступ
- Економічна безпека та ІТ-інфраструктура промислових підприємств
- ІТтехнологіі і питання національної безпеки
- Сертифікація программнотехніческіх засобів
- компанія АСКОН
Олександр Магомедов
Вступ
Економічна безпека та ІТ-інфраструктура промислових підприємств
ІТтехнологіі і питання національної безпеки
Сертифікація программнотехніческіх засобів
компанія АСКОН
Вступ
Інформаційна безпека (ІБ) - один з найважливіших аспектів діяльності будь-якого підприємства. Актуальність питань інформаційної безпеки стає все більш відчутною при експоненційному зростанні інформатизації всіх без винятку галузей промисловості, характерному для останнього десятиліття. Сьогодні немає практично жодного бізнес-процесів на підприємстві, де не була б впроваджена та чи інша інформаційна система, а персональний комп'ютер - це робочий інструмент практично кожного співробітника. Очевидно, що прогрес має свою ціну, і найчастіше платою за переваги інформатизації є необхідність приділяти серйозну увагу питанням захисту інформаційних систем і надійності використовуваного програмного забезпечення.
За загальноприйнятою моделі складовими інформаційної безпеки є:
- конфіденційність (забезпечення доступу до інформації тільки авторизованим користувачам);
- цілісність (забезпечення достовірності і повноти інформації та методів її обробки);
- доступність (забезпечення доступу до інформації та пов'язаним з нею активів авторизованих користувачів в міру необхідності).
Порушення цих умов, наприклад несанкціонований доступ до електронних даних підприємства, може спричинити найсерйозніші наслідки. Сьогодні в ЗМІ регулярно з'являються повідомлення про злом корпоративних мереж і витоках важливих даних, від яких страждають досить великі і шановні корпорації, а також державні структури різних країн.
Один з таких прикладів, що викликали великий резонанс у світі, - крадіжка секретних документів з планами військових дій Південної Кореї проти КНДР. Комп'ютерні зломщики скористалися тим, що один з офіцерів підключив карту пам'яті, на якій містилася секретна інформація, до незахищеного комп'ютера. Новини про крадіжки персональних даних тисяч користувачів, номерів кредиток або грошових коштів з банків з'являються практично щотижня, і це тільки те, що стає відомо громадськості.
За даними CSI Computer Crime and Security Survey 2009 1 , З липня 2008-го по червень 2009 року з причини інцидентів, пов'язаних з інформаційною безпекою, середні втрати опитаних в рамках дослідження компаній склали 234,244 дол. При цьому максимальні цифри можуть обчислюватися мільйонами доларів, якщо додати сюди супутні подібних інцидентів чинники, такі як втрата репутації компанії і втрата довіри з боку клієнтів.
Тому, незважаючи на економічний спад 20082009 років, компанії не знижують витрати на ІБ. Більш того, в нових економічних умовах зростаючий тиск з боку конкурентів, ризики, пов'язані з кадровими перетвореннями в компаніях, і турбота про збереження репутації змушують компанії підвищувати витрати в цій сфері. В рамках проведеного в 2009 році дослідження (опитано керівники близько 1900 компаній з 60 країн) фахівці компанії «Ернст енд Янг» з'ясували, що 40% респондентів мають намір збільшити свої витрати на інформаційну безпеку.
З огляду на відносну легкість реалізації подібних злочинів і серйозний рівень наслідків для національної економіки, держава приділяє велику увагу цій сфері, справедливо співвідносячи інформаційну безпеку економічних суб'єктів з питаннями національної безпеки. В усіх промислово розвинених країнах на законодавчому рівні забезпечується захист інтересів державних і економічних структур від подібних загроз. Зокрема, в Росії останнім часом багато уваги приділяється посилення правил обробки персональних даних громадян.
В цілому при системному підході до опису інформаційної безпеки можна виділити такі рівні:
- законодавча, нормативно-правові та наукова база. Структура і завдання органів (підрозділів), що забезпечують безпеку ІТ;
- організаціоннотехніческіе і режимні заходи і методи (політика інформаційної безпеки);
- программнотехніческіе способи і засоби забезпечення інформаційної безпеки.
Не будемо детально аналізувати нормативно-правові акти РФ в цій сфері і глибоко розглядати таке важливе питання, як розробка політики інформаційної безпеки, а загострити увагу на программнотехніческой складової в контексті економічної і національної безпеки.
Економічна безпека та ІТ-інфраструктура промислових підприємств
Очевидно, що метою зловмисників на промислових, виробничих підприємствах є найважливіші і цінні розробки, які на будь-якому сучасному підприємстві створюються і зберігаються централізовано або локально, на клієнтських місцях, у вигляді електронних моделей, креслень і документів.
Чи відбувається злочин з метою подальшого продажу технологій, використання в цілях недобросовісної конкуренції або ж зловмисник просто перевіряє інформаційну безпеку підприємства і свої здібності хакера - у всіх цих випадках втрати компанії - власника інформації можуть бути колосальними. Інновації завжди мають на увазі серйозні інвестиції, часто багаторічні дослідження і дорогі випробування. І тут все переваги впровадження ІТтехнологій в роботу рядових конструкторів і технологів - підвищення продуктивності і якості праці, зниження витрат - обертаються необхідністю серйозно займатися забезпеченням конфіденційності.
З технічної точки зору слабкими місцями корпоративної безпеки найчастіше є:
- вразливість використовуваного ПО, а також умисне зараження робочих комп'ютерів шкідливим програмним забезпеченням (трояни, программишпіони, віруси), яке проникає в корпоративну ІТінфраструктуру через електронну пошту, месенджери типу ICQ, під час вебсерфінга, а також за рахунок обміну файлами за допомогою зовнішніх носіїв інформації;
- фізичні носії інформації (флешнакопітелі, CDDVD, зовнішні жорсткі диски і т.д.), за допомогою яких критичні дані виносяться з підприємства. При цьому не завжди факт витоку є навмисним дією зловмисника (працівника підприємства), дуже часто має місце звичайна безпечність та неналежна увага до питань інформаційної безпеки: недбайливі співробітники просто втрачають фізичні накопичувачі або навіть ноутбуки з найважливішими даними. До цієї ж категорії відноситься неправильна утилізація фізичних носіїв - без застосування спецзасобів велика частина вилученої інформації досить легко відновлюється навіть з пошкоджених дисків;
- методи соціальної інженерії - доступ до підлягає захисту даними без задіяння технічних засобів, шляхом маніпуляції людськими слабкостями.
На ІТринке існує велика кількість компаній, що займаються розробкою программнотехніческіх рішень для запобігання витоку, однак спеціалізованих рішень в сфері САПР практично немає. CADсістема - головний інструмент конструктора і проектувальника, за допомогою якого створюється вся основна технічна документація. Одне з найбільш ефективних рішень в даному випадку - вбудувати засоби забезпечення конфіденційності безпосередньо в САПР. Успішний приклад подібного рішення на ринку є - це розроблена компанією АСКОН система безпеки даних КОМПАСЗАЩІТА, що оберігає від несанкціонованого доступу до електронних документів (креслення, моделі, специфікації і т.д.), розробленим в КОМПАС3D. При цьому система працює абсолютно прозоро для користувача і не впливає на продуктивність: якщо включена опція «Захищати файли», будь-який документ КОМПАС при збереженні буде захищений. Подальше його відкриття стане можливим тільки на тих робочих місцях, де встановлена система безпеки, а код, що зберігається на персональному ключі користувача, збігається з кодом, яким захищений файл. Електронний ключ - гарантія захищеності. Без нього неможливий доступ до захищеного документа. Але, навіть маючи ключ, без знання коду неможливо змінити конфігурацію системи КОМПАСЗАЩІТА, що забороняє небезпечні дії. До того ж це позбавляє від витрат на спеціальну утилізацію фізичних носіїв інформації. Використання в якості носія коду електронного ключа HASP, за своїми властивостями є аналогом ідентифікатора користувача, забезпечить впорядкування застосування автоматизованих робочих місць в цілому. Захист і облік електронних ключів як фізичних об'єктів (а через КОМПАСЗАЩІТУ і файлів електронних документів) спрощують і підвищують ефективність заходів з охорони інтелектуальної власності.
ІТтехнологіі і питання національної безпеки
По відношенню до певних підприємствам за зовнішнім інтересом до технічних розробок і ноу-хау можуть стояти не комерційні цілі або задоволення амбіцій в сфері злому корпоративних мереж, а якісь структури зарубіжних держав, цілеспрямовано збирають відомості про рівень технічних розробок в Російській Федерації в певних областях. В першу чергу мова йде про підприємства обороннопромишленного комплексу, для яких питання інформаційної безпеки є частиною повсякденної діяльності і тісно пов'язані з питаннями національної безпеки.
Проблема усвідомлюється на державному рівні, що однозначно демонструє, наприклад, Указ Президента РФ «Про концепцію національної безпеки РФ»: «... Посилюються загрози національної безпеки Російської Федерації в інформаційній сфері. Серйозну небезпеку становлять собою прагнення ряду країн до домінування у світовому інформаційному просторі, витіснення Росії з зовнішнього і внутрішнього інформаційного ринку; розробка низкою держав концепції інформаційних війн, що передбачає створення засобів небезпечного впливу на інформаційні сфери інших країн світу; порушення нормального функціонування інформаційних та телекомунікаційних систем, а також збереження інформаційних ресурсів, отримання несанкціонованого доступу до них ... »
Саме тому багато державних установ і організації в Росії, що працюють у військовій, енергетичній, транспортній, нафтогазовій та інших секторах російської економіки, пред'являють жорсткі вимоги до використовуваних программнотехніческім комплексам.
На окрему увагу заслуговують ризики, пов'язані з наявністю невідомих виконуваних кодів в програмному забезпеченні. Йдеться про так званих недекларірованних можливості (НДВ) і захисту від несанкціонованого доступу до інформації (НСД) в програмних продуктах. Одна з різновидів декларованих можливостей - програмні закладки, що представляють собою сукупність команд, навмисно включених в програмні продукти. При певних умовах вони ініціюють виконання функцій програмне забезпечення, не описаних в супутньої документації, що може привести як до зміни функціонування обчислювальної системи, так і до несанкціонованого зчитування та модифікації інформації аж до її знищення. CAD і PDMсістеми, як інформаційні середовища, обробні конфіденційну інформацію, є в цьому плані потенційно уразливими об'єктами.
Сертифікація программнотехніческіх засобів
Відповідність ПО вимогам безпечного застосування забезпечується системою сертифікації. Для забезпечення контролю над інформацією певної категорії, в першу чергу пов'язаної з національною безпекою, держава висуває певні вимоги до виробників ПЗ. Сьогодні в світі існує досить велика кількість систем сертифікації програмного забезпечення - як національних, так і міжнародних.
Російська система сертифікації ПЗ для держсектора помітно відрізняється від зарубіжних систем і має більш високі вимоги. На відповідність перевіряється кожна копія ПО з метою забезпечення повної ідентичності зразком, який пройшов перевірку і випробування при сертифікації, тобто існує можливість в будь-який час проконтролювати продукти на відсутність несертифікованих змін. Для порівняння: за умовами міжнародної системи сертифікації Common Сriteria ідентичність кожного продаваного примірника не контролюється і використовується екземпляр ПО може, в принципі, не відповідати протестированному.
Всередині РФ діє кілька систем сертифікації, орієнтованих на різні предметні області. Так, сертифікація ФСБ сфокусована на перевірці криптографічних алгоритмів.
Що стосується системи сертифікації Федеральною службою з технічного та експортного контролю (ФСТЕК), то вона досліджує весь функціонал ПО, за винятком його криптографічного частини. Вимоги системи сертифікації ФСТЕК є відкритими і опубліковані на офіційному сайті організації ( www.fstek.ru ).
Сертифіковане ФСТЕК Росії програмне забезпечення рекомендується застосовувати організаціям державного сектора, оскільки воно дозволяє легально обробляти на робочих місцях конфіденційну інформацію, що захищається відповідно до законодавства РФ, і усуває ризики санкцій з боку ФСБ і ФСТЕК, які контролюють дотримання законодавства у сфері інформаційної безпеки.
В даний час єдиними в Російській Федерації CAD і PDMсістемамі, що мають документальне підтвердження принципової можливості роботи з конфіденційними даними, є програмні продукти КОМПАС3D і ЛОЦМАН: PLM. У грудні 2009 року компанія АСКОН завершила роботи по сертифікації цих систем, і ці програми можна безпечно використовувати для розробки продукції військового призначення, ракетної техніки, ядерних і будь-яких інших об'єктів, пов'язаних з необхідністю забезпечення конфіденційності даних, що обробляються, а також для випуску відповідної технічної документації.
Системи КОМПАС3D і ЛОЦМАН: PLM повністю відповідають 4му рівнем контролю НДВ ( «Захист від несанкціонованого доступу до інформації. Частина 1. Програмне забезпечення засобів захисту інформації. Класифікація за рівнем контролю відсутності декларованих можливостей (Стройтрест)» (Держтехкомісії Росії, 1999; див. Додаток № 1).
Додатково система ЛОЦМАН: PLM відповідає 5му класу захищеності відповідно до вимог керівного документа «Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації »(ФСТЕК Росії, 1992).
компанія АСКОН
Компанія АСКОН - провідний російський розробник інженерного ПО. Флагманські рішення компанії успішно функціонують на більш ніж 5 тис. Провідних промислових підприємств та проектних організацій Росії і СНД. Серед значущих замовників ОПК можна назвати ФГУП ПО «Уральський опитномеханіческій завод», ВАТ НПК "Уралвагонзавод", ФГУП ПО «Севмаш», ВАТ «Концерн ППО« АлмазАнтей », РСК« МіГ », ФГУП« Державний научнопроізводственний ракетнокосміческій центр «ЦСКБПрогресс», НВО «Іскра», ФГУП «ММПП« Салют », ФГУП« Адміралтейські верфі », ВАТ« Рівність », ВАТ« Зірка »та сотні інших підприємств.
Перевагами рішень АСКОН є висока якість і повне задоволення вимог, що пред'являються до сучасного виробництва як з точки зору міжнародного менеджменту якості, так і з позицій управління життєвим циклом вироби на етапі конструкторскотехнологіческой підготовки виробництва (КТПП), а також повну відповідність російським стандартам.
http://www.fstec.ru .
САПР і графіка 1`2010