1 - 2010

Информационная безопасность и защита инженерных данных

Александр Магомедов

Введение

Экономическая безопасность и ИТ-инфраструктура промышленных предприятий

ИТ­технологии и вопросы национальной безопасности

Сертификация программно­технических средств

Компания АСКОН

Введение

Информационная безопасность (ИБ) — один из важнейших аспектов деятельности любого предприятия. Актуальность вопросов информационной без­опасности становится все более ощутимой при экспоненциальном росте информатизации всех без исключения отраслей промышленности, характерном для последнего десятилетия. Сегодня нет практически ни одного бизнес­процесса на предприятии, где не была бы внедрена та или иная информационная система, а персональный компьютер — это рабочий инструмент практически каждого сотрудника. Очевидно, что прогресс имеет свою цену, и зачастую платой за преимущества информатизации является необходимость уделять серьезное внимание вопросам защиты информационных систем и надежности используемого программного обеспечения.

По общепринятой модели составляющими информационной безопасности являются:

  • конфиденциальность (обеспечение доступа к информации только авторизованным пользователям);
  • целостность (обеспечение достоверности и полноты информации и методов ее обработки);
  • доступность (обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости).

Нарушение этих условий, например несанкционированный доступ к электронным данным предприятия, может повлечь самые серьезные последствия. Сегодня в СМИ регулярно появляются сообщения о взломе корпоративных сетей и утечках важных данных, от которых страдают довольно крупные и уважаемые корпорации, а также государственные структуры различных стран.

Один из таких примеров, вызвавших большой резонанс в мире, — кража секретных документов с планами военных действий Южной Кореи против КНДР. Компьютерные взломщики воспользовались тем, что один из офицеров подключил карту памяти, на которой содержалась секретная информация, к незащищенному компьютеру. Новости о кражах персональных данных тысяч пользователей, номеров кредиток или денежных средств из банков появляются практически еженедельно, и это только то, что становится известно общественности.

По данным CSI Computer Crime and Security Survey 20091, с июля 2008­го по июнь 2009 года по причине инцидентов, связанных с информационной безопасностью, средние потери опрошенных в рамках исследования компаний составили 234,244 долл. При этом максимальные цифры могут исчисляться миллионами долларов, если добавить сюда сопутствующие подобным инцидентам факторы, такие как потеря репутации компании и утрата доверия со стороны клиентов.

Поэтому, несмотря на экономический спад 2008­2009 годов, компании не снижают затраты на ИБ. Более того, в новых экономических условиях растущее давление со стороны конкурентов, риски, связанные с кадровыми преобразованиями в компаниях, и забота о сохранении репутации заставляют компании повышать расходы в этой сфере. В рамках проведенного в 2009 году исследования (опрошены руководители около 1900 компаний из 60 стран) специалисты компании «Эрнст энд Янг» выяснили, что 40% респондентов намерены увеличить свои расходы на информационную безопасность.

Учитывая относительную легкость реализации подобных преступлений и серьезный уровень последствий для национальной экономики, государство уделяет большое внимание этой сфере, справедливо соотнося информационную безопасность экономических субъектов с вопросами национальной безопасности. Во всех промышленно развитых странах на законодательном уровне обеспечивается защита интересов государственных и экономических структур от подобных угроз. В частности, в России в последнее время много внимания уделяется ужесточению правил обработки персональных данных граждан.

В целом при системном подходе к описанию информационной безопасности можно выделить следующие уровни:

  • законодательная, нормативно­правовая и научная база. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ;
  • организационно­технические и режимные меры и методы (политика информационной безопасности);
  • программно­технические способы и средства обеспечения информационной безопасности.

Не будем подробно анализировать нормативно­правовые акты РФ в этой сфере и глубоко рассматривать такой важный вопрос, как разработка политики информационной безопасности, а за­острим внимание на программно­технической составляющей в контексте экономической и национальной безопасности.

В начало В начало

Экономическая безопасность и ИТ-инфраструктура промышленных предприятий

Очевидно, что целью злоумышленников на промышленных, производственных предприятиях являются самые важные и ценные разработки, которые на любом современном предприятии создаются и хранятся централизованно или локально, на клиентских местах, в виде электронных моделей, чертежей и документов.

Совершается ли преступление с целью дальнейшей продажи технологий, использования в целях недобросовестной конкуренции или же злоумышленник просто проверяет информационную безопасность предприятия и свои способности хакера — во всех этих случаях потери компании — владельца информации могут быть колоссальными. Инновации всегда подразумевают серьезные инвестиции, зачастую многолетние исследования и дорогостоящие испытания. И здесь все преимущества внедрения ИТ­технологий в работу рядовых конструкторов и технологов — повышение производительности и качества труда, снижение издержек — оборачиваются необходимостью серьезно заниматься обеспечением конфиденциальности.

В техническом плане слабыми местами корпоративной безопасности чаще всего являются:

  • уязвимость используемого ПО, а также умышленное заражение рабочих компьютеров вредоносным программным обес­печением (трояны, программы­шпионы, вирусы), которое проникает в корпоративную ИТ­инфраструктуру через электронную почту, мессенджеры типа ICQ, во время веб­серфинга, а также за счет обмена файлами посредством внешних носителей информации;
  • физические носители информации (флэш­накопители, CD­DVD, внешние жесткие диски и т.д.), с помощью которых критические данные выносятся с предприятия. При этом не всегда факт утечки является намеренным действием злоумышленника (работника предприятия), очень часто имеет место обычная беспечность и ненадлежащее внимание к вопросам информационной безопасности: нерадивые сотрудники просто теряют физические накопители или даже ноутбуки с важнейшими данными. К этой же категории относится неправильная утилизация физических носителей — без применения спецсредств большая часть удаленной информации довольно легко восстанавливается даже с поврежденных дисков;
  • методы социальной инженерии — доступ к подлежащим защите данным без задействования технических средств, путем манипуляции человеческими слабостями.

На ИТ­рынке существует большое количество компаний, занимающихся разработкой программно­технических решений для предотвращения утечек, однако специализированных решений в сфере САПР практически нет. CAD­система — главный инструмент конструктора и проектировщика, с помощью которого создается вся основная техническая документация. Одно из наиболее эффективных решений в данном случае — встроить средства обеспечения конфиденциальности непосредственно в САПР. Успешный пример подобного решения на рынке есть — это разработанная компанией АСКОН система безопасности данных КОМПАС­ЗАЩИТА, предохраняющая от несанкционированного доступа к электронным документам (чертежи, модели, спецификации и т.д.), разработанным в КОМПАС­3D. При этом система работает совершенно прозрачно для пользователя и не влияет на производительность: если включена опция «Защищать файлы», любой документ КОМПАС при сохранении будет защищен. Последующее его открытие станет возможным только на тех рабочих местах, где установлена система безопасности, а код, хранимый на персональном ключе пользователя, совпадает с кодом, которым защищен файл. Электронный ключ — гарантия защищенности. Без него невозможен доступ к защищенному документу. Но, даже имея ключ, без знания кода невозможно изменить конфигурацию системы КОМПАС­ЗАЩИТА, что запрещает опасные действия. К тому же это избавляет от затрат на специальную утилизацию физических носителей информации. Использование в качестве носителя кода электронного ключа HASP, по своим свойствам являющегося аналогом идентификатора пользователя, обеспечит упорядочение применения автоматизированных рабочих мест в целом. Защита и учет электронных ключей как физических объектов (а через КОМПАС­ЗАЩИТУ и файлов электронных документов) упрощают и повышают эффективность мер по охране интеллектуальной собственности.

В начало В начало

ИТ­технологии и вопросы национальной безопасности

По отношению к определенным предприятиям за внешним интересом к техническим разработкам и ноу­хау могут стоять не коммерческие цели или удовлетворение амбиций в сфере взлома корпоративных сетей, а некие структуры зарубежных государств, целенаправленно собирающие сведения об уровне технических разработок в Российской Федерации в определенных областях. В первую очередь речь идет о предприятиях оборонно­промышленного комплекса, для которых вопросы информационной безопасности являются час­тью повседневной деятельности и тесно связаны с вопросами национальной безопасности.

Проблема осознается на государственном уровне, что однозначно демонстрирует, например, Указ Президента РФ «О концепции национальной безопасности РФ»: «...Усиливаются угрозы национальной безопасности Российской Федерации в информационной сфере. Серьезную опасность представляют собой стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка; разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним...»

Именно поэтому многие государственные учреждения и организации в России, работающие в военной, энергетической, транспортной, нефтегазовой и других секторах российской экономики, предъявляют жесткие требования к используемым программно­техническим комплексам.

Отдельного внимания заслуживают риски, связанные с наличием неизвестных исполняемых кодов в используемом программном обеспечении. Речь идет о так называемых недекларированных возможностях (НДВ) и защите от несанкционированного доступа к информации (НСД) в программных продуктах. Одна из разновидностей недекларированных возможностей — программные закладки, представляющие собой совокупность команд, преднамеренно включенных в программные продукты. При определенных условиях они инициируют выполнение функций ПО, не описанных в сопутствующей документации, что может привести как к изменению функционирования вычислительной системы, так и к несанкционированному считыванию и модификации информации вплоть до ее уничтожения. CAD­ и PDM­системы, как информационные среды, обрабатывающие конфиденциальную информацию, являются в этом плане потенциально уязвимыми объектами.

В начало В начало

Сертификация программно­технических средств

Соответствие ПО требованиям безопасного применения обес­печивается системой сертификации. Для обеспечения контроля над информацией определенной категории, в первую очередь связанной с национальной безопасностью, государство предъявляет определенные требования к производителям ПО. Сегодня в мире существует достаточно большое количество систем сертификации программного обеспечения — как национальных, так и международных.

Российская система сертификации ПО для госсектора заметно отличается от зарубежных систем и имеет более высокие требования. На соответствие проверяется каждая копия ПО с целью обеспечения полной идентичности образцу, прошедшему проверку и испытания при сертификации, то есть существует возможность в любое время проконтролировать продукты на отсутствие несертифицированных изменений. Для сравнения: по условиям международной системы сертификации Common Сriteria идентичность каждого продаваемого экземпляра не контролируется и используемый экземпляр ПО может, в принципе, не соответствовать протестированному.

Внутри РФ действует несколько систем сертификации, ориентированных на различные предметные области. Так, сертификация ФСБ сфокусирована на проверке криптографических алгоритмов.

Что касается системы сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК), то она исследует весь функционал ПО, за исключением его криптографической части. Требования системы сертификации ФСТЭК являются открытыми и опубликованы на официальном сайте организации (www.fstek.ru).

Сертифицированное ФСТЭК России программное обеспечение рекомендуется применять организациям государственного сектора, поскольку оно позволяет легально обрабатывать на рабочих местах конфиденциальную информацию, защищаемую в соответствии с законодательством РФ, и устраняет риски санкций со стороны ФСБ и ФСТЭК, контролирующих соблюдение законодательства в сфере информационной безопасности.

В настоящее время единственными в Российской Федерации CAD­ и PDM­системами, имеющими документальное подтверждение принципиальной возможности работы с конфиденциальными данными, являются программные продукты КОМПАС­3D и ЛОЦМАН:PLM. В декабре 2009 года компания АСКОН завершила работы по сертификации этих систем, и данное ПО можно безопасно использовать для разработки продукции военного назначения, ракетной техники, ядерных и любых других объектов, связанных с необходимостью обеспечения конфиденциальности обрабатываемых данных, а также для выпуска соответствующей технической документации.

Системы КОМПАС­3D и ЛОЦМАН:PLM полностью соответствуют 4­му уровню контроля НДВ («Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (НДВ)» (Гостехкомиссия России, 1999; см. Приложение № 1).

Дополнительно система ЛОЦМАН:PLM соответствует 5­му классу защищенности в соответствии с требованиями руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (ФСТЭК России, 1992).

В начало В начало

Компания АСКОН

Компания АСКОН — ведущий российский разработчик инженерного ПО. Флагманские решения компании успешно функционируют на более чем 5 тыс. ведущих промышленных предприятий и проектных организаций России и СНГ. Среди значимых заказчиков ОПК можно назвать ФГУП ПО «Уральский опытно­механический завод», ОАО НПК «Уралвагонзавод», ФГУП ПО «Севмаш», ОАО «Концерн ПВО «Алмаз­Антей», РСК «МиГ», ФГУП «Государственный научно­производственный ракетно­космический центр «ЦСКБ­Прогресс», НПО «Искра», ФГУП «ММПП «Салют», ФГУП «Адмиралтейские верфи», ОАО «Равенство», ОАО «Звезда» и сотни других предприятий.

Преимуществами решений АСКОН являются высокое качество и полное удовлетворение требований, предъявляемых к современному производству как с точки зрения международного менеджмента качества, так и с позиций управления жизненным циклом изделия на этапе конструкторско­технологической подготовки производства (КТПП), а также полное соответствие российским стандартам.

http://www.fstec.ru.

В начало В начало

САПР и графика 1`2010

Популярные статьи

BIMbox — комплексное внедрение BIM на платформе Autodesk Revit

Автор рассказывает о новом продукте, предоставляемом компанией CSD на рынке САПР в области внедрения технологий информационного моделирования, — BIMbox

Репортаж с конференции «Год в Инфраструктуре 2017»

В октябре состоялась ежегодная конференция, организованная компанией Bentley Systems, — «Год в Инфраструктуре 2017». В этот раз организаторы впервые провели конференцию в Азии, а именно в Сингапуре. Местом проведения был выбран конференц­центр Sands Expo и выставочный центр первоклассного отеля Marina Bay Sands

В новейшей версии системы NX от Siemens представлены средства междисциплинарной разработки изделий, реализованные на единой платформе

В новой версии системы NX реализовано новое поколение решений для конструкторско-технологической подготовки производства и численного моделирования, достигнуто полное объединение процессов проектирования электрических и механических узлов, а также систем управления на основе тесной интеграции с системами Mentor Graphics, Capital Harness и Xpedition