Информационная безопасность и защита инженерных данных
Экономическая безопасность и ИТ-инфраструктура промышленных предприятий
ИТтехнологии и вопросы национальной безопасности
Сертификация программнотехнических средств
Введение
Информационная безопасность (ИБ) — один из важнейших аспектов деятельности любого предприятия. Актуальность вопросов информационной безопасности становится все более ощутимой при экспоненциальном росте информатизации всех без исключения отраслей промышленности, характерном для последнего десятилетия. Сегодня нет практически ни одного бизнеспроцесса на предприятии, где не была бы внедрена та или иная информационная система, а персональный компьютер — это рабочий инструмент практически каждого сотрудника. Очевидно, что прогресс имеет свою цену, и зачастую платой за преимущества информатизации является необходимость уделять серьезное внимание вопросам защиты информационных систем и надежности используемого программного обеспечения.
По общепринятой модели составляющими информационной безопасности являются:
- конфиденциальность (обеспечение доступа к информации только авторизованным пользователям);
- целостность (обеспечение достоверности и полноты информации и методов ее обработки);
- доступность (обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости).
Нарушение этих условий, например несанкционированный доступ к электронным данным предприятия, может повлечь самые серьезные последствия. Сегодня в СМИ регулярно появляются сообщения о взломе корпоративных сетей и утечках важных данных, от которых страдают довольно крупные и уважаемые корпорации, а также государственные структуры различных стран.
Один из таких примеров, вызвавших большой резонанс в мире, — кража секретных документов с планами военных действий Южной Кореи против КНДР. Компьютерные взломщики воспользовались тем, что один из офицеров подключил карту памяти, на которой содержалась секретная информация, к незащищенному компьютеру. Новости о кражах персональных данных тысяч пользователей, номеров кредиток или денежных средств из банков появляются практически еженедельно, и это только то, что становится известно общественности.
По данным CSI Computer Crime and Security Survey 20091, с июля 2008го по июнь 2009 года по причине инцидентов, связанных с информационной безопасностью, средние потери опрошенных в рамках исследования компаний составили 234,244 долл. При этом максимальные цифры могут исчисляться миллионами долларов, если добавить сюда сопутствующие подобным инцидентам факторы, такие как потеря репутации компании и утрата доверия со стороны клиентов.
Поэтому, несмотря на экономический спад 20082009 годов, компании не снижают затраты на ИБ. Более того, в новых экономических условиях растущее давление со стороны конкурентов, риски, связанные с кадровыми преобразованиями в компаниях, и забота о сохранении репутации заставляют компании повышать расходы в этой сфере. В рамках проведенного в 2009 году исследования (опрошены руководители около 1900 компаний из 60 стран) специалисты компании «Эрнст энд Янг» выяснили, что 40% респондентов намерены увеличить свои расходы на информационную безопасность.
Учитывая относительную легкость реализации подобных преступлений и серьезный уровень последствий для национальной экономики, государство уделяет большое внимание этой сфере, справедливо соотнося информационную безопасность экономических субъектов с вопросами национальной безопасности. Во всех промышленно развитых странах на законодательном уровне обеспечивается защита интересов государственных и экономических структур от подобных угроз. В частности, в России в последнее время много внимания уделяется ужесточению правил обработки персональных данных граждан.
В целом при системном подходе к описанию информационной безопасности можно выделить следующие уровни:
- законодательная, нормативноправовая и научная база. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ;
- организационнотехнические и режимные меры и методы (политика информационной безопасности);
- программнотехнические способы и средства обеспечения информационной безопасности.
Не будем подробно анализировать нормативноправовые акты РФ в этой сфере и глубоко рассматривать такой важный вопрос, как разработка политики информационной безопасности, а заострим внимание на программнотехнической составляющей в контексте экономической и национальной безопасности.
 |
|
Экономическая безопасность и ИТ-инфраструктура промышленных предприятий
Очевидно, что целью злоумышленников на промышленных, производственных предприятиях являются самые важные и ценные разработки, которые на любом современном предприятии создаются и хранятся централизованно или локально, на клиентских местах, в виде электронных моделей, чертежей и документов.
Совершается ли преступление с целью дальнейшей продажи технологий, использования в целях недобросовестной конкуренции или же злоумышленник просто проверяет информационную безопасность предприятия и свои способности хакера — во всех этих случаях потери компании — владельца информации могут быть колоссальными. Инновации всегда подразумевают серьезные инвестиции, зачастую многолетние исследования и дорогостоящие испытания. И здесь все преимущества внедрения ИТтехнологий в работу рядовых конструкторов и технологов — повышение производительности и качества труда, снижение издержек — оборачиваются необходимостью серьезно заниматься обеспечением конфиденциальности.
В техническом плане слабыми местами корпоративной безопасности чаще всего являются:
- уязвимость используемого ПО, а также умышленное заражение рабочих компьютеров вредоносным программным обеспечением (трояны, программышпионы, вирусы), которое проникает в корпоративную ИТинфраструктуру через электронную почту, мессенджеры типа ICQ, во время вебсерфинга, а также за счет обмена файлами посредством внешних носителей информации;
- физические носители информации (флэшнакопители, CDDVD, внешние жесткие диски и т.д.), с помощью которых критические данные выносятся с предприятия. При этом не всегда факт утечки является намеренным действием злоумышленника (работника предприятия), очень часто имеет место обычная беспечность и ненадлежащее внимание к вопросам информационной безопасности: нерадивые сотрудники просто теряют физические накопители или даже ноутбуки с важнейшими данными. К этой же категории относится неправильная утилизация физических носителей — без применения спецсредств большая часть удаленной информации довольно легко восстанавливается даже с поврежденных дисков;
- методы социальной инженерии — доступ к подлежащим защите данным без задействования технических средств, путем манипуляции человеческими слабостями.
На ИТрынке существует большое количество компаний, занимающихся разработкой программнотехнических решений для предотвращения утечек, однако специализированных решений в сфере САПР практически нет. CADсистема — главный инструмент конструктора и проектировщика, с помощью которого создается вся основная техническая документация. Одно из наиболее эффективных решений в данном случае — встроить средства обеспечения конфиденциальности непосредственно в САПР. Успешный пример подобного решения на рынке есть — это разработанная компанией АСКОН система безопасности данных КОМПАСЗАЩИТА, предохраняющая от несанкционированного доступа к электронным документам (чертежи, модели, спецификации и т.д.), разработанным в КОМПАС3D. При этом система работает совершенно прозрачно для пользователя и не влияет на производительность: если включена опция «Защищать файлы», любой документ КОМПАС при сохранении будет защищен. Последующее его открытие станет возможным только на тех рабочих местах, где установлена система безопасности, а код, хранимый на персональном ключе пользователя, совпадает с кодом, которым защищен файл. Электронный ключ — гарантия защищенности. Без него невозможен доступ к защищенному документу. Но, даже имея ключ, без знания кода невозможно изменить конфигурацию системы КОМПАСЗАЩИТА, что запрещает опасные действия. К тому же это избавляет от затрат на специальную утилизацию физических носителей информации. Использование в качестве носителя кода электронного ключа HASP, по своим свойствам являющегося аналогом идентификатора пользователя, обеспечит упорядочение применения автоматизированных рабочих мест в целом. Защита и учет электронных ключей как физических объектов (а через КОМПАСЗАЩИТУ и файлов электронных документов) упрощают и повышают эффективность мер по охране интеллектуальной собственности.
|
|
ИТтехнологии и вопросы национальной безопасности
По отношению к определенным предприятиям за внешним интересом к техническим разработкам и ноухау могут стоять не коммерческие цели или удовлетворение амбиций в сфере взлома корпоративных сетей, а некие структуры зарубежных государств, целенаправленно собирающие сведения об уровне технических разработок в Российской Федерации в определенных областях. В первую очередь речь идет о предприятиях обороннопромышленного комплекса, для которых вопросы информационной безопасности являются частью повседневной деятельности и тесно связаны с вопросами национальной безопасности.
Проблема осознается на государственном уровне, что однозначно демонстрирует, например, Указ Президента РФ «О концепции национальной безопасности РФ»: «...Усиливаются угрозы национальной безопасности Российской Федерации в информационной сфере. Серьезную опасность представляют собой стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка; разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним...»
Именно поэтому многие государственные учреждения и организации в России, работающие в военной, энергетической, транспортной, нефтегазовой и других секторах российской экономики, предъявляют жесткие требования к используемым программнотехническим комплексам.
Отдельного внимания заслуживают риски, связанные с наличием неизвестных исполняемых кодов в используемом программном обеспечении. Речь идет о так называемых недекларированных возможностях (НДВ) и защите от несанкционированного доступа к информации (НСД) в программных продуктах. Одна из разновидностей недекларированных возможностей — программные закладки, представляющие собой совокупность команд, преднамеренно включенных в программные продукты. При определенных условиях они инициируют выполнение функций ПО, не описанных в сопутствующей документации, что может привести как к изменению функционирования вычислительной системы, так и к несанкционированному считыванию и модификации информации вплоть до ее уничтожения. CAD и PDMсистемы, как информационные среды, обрабатывающие конфиденциальную информацию, являются в этом плане потенциально уязвимыми объектами.
|
|
Сертификация программнотехнических средств
Соответствие ПО требованиям безопасного применения обеспечивается системой сертификации. Для обеспечения контроля над информацией определенной категории, в первую очередь связанной с национальной безопасностью, государство предъявляет определенные требования к производителям ПО. Сегодня в мире существует достаточно большое количество систем сертификации программного обеспечения — как национальных, так и международных.
Российская система сертификации ПО для госсектора заметно отличается от зарубежных систем и имеет более высокие требования. На соответствие проверяется каждая копия ПО с целью обеспечения полной идентичности образцу, прошедшему проверку и испытания при сертификации, то есть существует возможность в любое время проконтролировать продукты на отсутствие несертифицированных изменений. Для сравнения: по условиям международной системы сертификации Common Сriteria идентичность каждого продаваемого экземпляра не контролируется и используемый экземпляр ПО может, в принципе, не соответствовать протестированному.
Внутри РФ действует несколько систем сертификации, ориентированных на различные предметные области. Так, сертификация ФСБ сфокусирована на проверке криптографических алгоритмов.
Что касается системы сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК), то она исследует весь функционал ПО, за исключением его криптографической части. Требования системы сертификации ФСТЭК являются открытыми и опубликованы на официальном сайте организации (www.fstek.ru).
Сертифицированное ФСТЭК России программное обеспечение рекомендуется применять организациям государственного сектора, поскольку оно позволяет легально обрабатывать на рабочих местах конфиденциальную информацию, защищаемую в соответствии с законодательством РФ, и устраняет риски санкций со стороны ФСБ и ФСТЭК, контролирующих соблюдение законодательства в сфере информационной безопасности.
В настоящее время единственными в Российской Федерации CAD и PDMсистемами, имеющими документальное подтверждение принципиальной возможности работы с конфиденциальными данными, являются программные продукты КОМПАС3D и ЛОЦМАН:PLM. В декабре 2009 года компания АСКОН завершила работы по сертификации этих систем, и данное ПО можно безопасно использовать для разработки продукции военного назначения, ракетной техники, ядерных и любых других объектов, связанных с необходимостью обеспечения конфиденциальности обрабатываемых данных, а также для выпуска соответствующей технической документации.
Системы КОМПАС3D и ЛОЦМАН:PLM полностью соответствуют 4му уровню контроля НДВ («Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (НДВ)» (Гостехкомиссия России, 1999; см. Приложение № 1).
Дополнительно система ЛОЦМАН:PLM соответствует 5му классу защищенности в соответствии с требованиями руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (ФСТЭК России, 1992).
|
|
Компания АСКОН
Компания АСКОН — ведущий российский разработчик инженерного ПО. Флагманские решения компании успешно функционируют на более чем 5 тыс. ведущих промышленных предприятий и проектных организаций России и СНГ. Среди значимых заказчиков ОПК можно назвать ФГУП ПО «Уральский опытномеханический завод», ОАО НПК «Уралвагонзавод», ФГУП ПО «Севмаш», ОАО «Концерн ПВО «АлмазАнтей», РСК «МиГ», ФГУП «Государственный научнопроизводственный ракетнокосмический центр «ЦСКБПрогресс», НПО «Искра», ФГУП «ММПП «Салют», ФГУП «Адмиралтейские верфи», ОАО «Равенство», ОАО «Звезда» и сотни других предприятий.
Преимуществами решений АСКОН являются высокое качество и полное удовлетворение требований, предъявляемых к современному производству как с точки зрения международного менеджмента качества, так и с позиций управления жизненным циклом изделия на этапе конструкторскотехнологической подготовки производства (КТПП), а также полное соответствие российским стандартам.
|
|
