Например, Бобцов

ИНВЕНТАРИЗАЦИЯ ИНФОРМАЦИОННЫХ РЕСУРСОВ КАК ОСНОВА БЕЗОПАСНОГО ФУНКЦИОНИРОВАНИЯ АСУ

35
УКД 004.043
М. Ю. МОНАХОВ, О. И. ФАЙМАН
ИНВЕНТАРИЗАЦИЯ ИНФОРМАЦИОННЫХ РЕСУРСОВ КАК ОСНОВА БЕЗОПАСНОГО ФУНКЦИОНИРОВАНИЯ АСУ
Приведен перечень информационных ресурсов автоматизированных систем управления (АСУ) на основе степени их вовлеченности в протекающие на предприятии бизнес-процессы. Определены критичные для безопасного функционирования АСУ характеристики информационных ресурсов. Предложена методика инвентаризации информационных ресурсов, проанализированы особенности ее применения. Ключевые слова: инвентаризация, информационные ресурсы, бизнес-процессы, информационная безопасность.
Введение. Информационные ресурсы (ИР) являются принципиальной составляющей управления предприятием. Недостаточная систематизация и несовершенная структурная организация ИР и как следствие — неэффективность информационного обеспечения бизнеспроцессов приводят к деструктивным, а порою и катастрофическим последствиям для производственной деятельности предприятия. Чаще всего подобные ситуации складываются при интеграции различных автоматизированных систем управления предприятием (АСУП), когда
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2012. Т. 55, № 8

36 М. Ю. Монахов, О. И. Файман
достаточно убедительно продумываются интеграционные вопросы производственной деятельности, а новая информационная инфраструктура формируется путем простого объединения имеющихся ИР и средств их обработки.
Системным решением, позволяющим преодолеть подобные проблемы, является инвентаризация и структуризация имеющихся ИР с целью выявления степени их критичности для функционирования предприятия [1, 2], что потребует обеспечения их надежного хранения, поддержания целостности и достоверности содержащейся в них информации. Кроме того, часть ИР представляет собой производственную тайну, следовательно, необходимо обеспечение конфиденциальности. Насколько точно и всесторонне представлены сведения об ИР, настолько более адекватно будет система защиты информации (СЗИ) обеспечивать конфиденциальность, целостность и доступность циркулирующей на предприятии информации [3].
Классы информационных ресурсов. Для интегрированной АСУ современного предприятия характерен типовой набор ИР, который предлагается разделить на 13 классов. Внутри класса информация каждого ИР может обладать своей степенью конфиденциальности, целостности, доступности. Степень таких категорий безопасности, как правило, устанавливается собственником предприятия.
1. Класс ИР „Производство“ содержит информацию о кадрах и структуре производства; об организации труда, о наличии оборудования и его характеристиках, уровне запасов материалов, комплектующих, готовой продукции; о резервах сырья; о применяемых материалах; о комплектующих изделиях, придающих продукции новые потребительские качества.
2. Класс ИР „Управление“ содержит информацию о подготовке решений руководства и их исполнении; о планах по расширению производства, закупкам и продажам; о проектах экспортно-импортных планов, инвестиционных программ; об объемах капитальных вложений и строительно-монтажных работ; об эффективности экспорта и импорта товаров; о свертывании и расширении производства.
3. Класс ИР „Финансы“ содержит информацию о плановых и фактических показателях финансового плана; о стоимости товарных запасов и оборотных средств; о показателях рентабельности производства, прибыли; об объемах финансирования капитальных вложений и затрат на внедрение новой техники; о состоянии кредита; о проведении переговоров, в том числе о границах полномочий должностных лиц по ценам, скидкам и другим условиям; о генеральной линии и тактике в валютных и кредитных вопросах.
4. Класс ИР „Рынок сбыта“ содержит информацию об оригинальных методах изучения рынка сбыта; о состоянии рынка и перспективах рыночной конъюнктуры; о маркетинговых исследованиях; об эффективности коммерческой деятельности; о внешнеэкономической деятельности; о конкретных направлениях в торговой политике.
5. Класс ИР „Деловое партнерство“ содержит информацию о клиентуре, компаньонах, посредниках, поставщиках, подрядчиках и спонсорах; о коммерческих связях; о местах закупки товаров; о предприятии как торговом партнере.
6. Класс ИР „Переговоры“ содержит информацию о подготовке и результатах переговоров; о заказах и предложениях; о лицах, ведущих переговоры; о деловой политике предприятия по сделкам; о содержании переговоров с представителями иностранных фирм.
7. Класс ИР „Контракты“ содержит информацию об условиях контрактов, сделок и соглашений; об исполнении контрактов; о номенклатуре товаров по взаимным обязательствам, предусмотренным соглашениями и протоколами о товарообороте.
8. Класс ИР „Цены“ содержит информацию о механизмах образования цены на продукцию; о калькуляции издержек производства; о внутренних прейскурантах и тарифах скидок; о методике расчетов цен по экспорту и импорту; о себестоимости и контрактных ценах товаров и услуг.
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2012. Т. 55, № 8

Инвентаризация информационных ресурсов

37

9. Класс ИР „Торги“ содержит информацию о подготовке к торгам или аукционам; о предполагаемом конкурсе или торгах; о приложениях к предложениям на публичных торгах.
10. Класс ИР „Наука и техника“ содержит информацию о программах перспективных научных исследований; о конструктивных решениях разрабатываемого изделия, придающих ему новые потребительские свойства; о методах защиты от подделки товарных знаков; об исполнителях и потенциальных заказчиках НИР и ОКР; об изобретениях, научных, технических, конструкторских и технологических решениях.
11. Класс ИР „Технология“ содержит информацию об особенностях используемых и разрабатываемых технологий; о технологических достижениях, обеспечивающих преимущества в конкурентной борьбе; о модификации и модернизации технологий, процессов и оборудования; об организации работ по качеству; о программном обеспечении АСУ.
12. Класс ИР „Безопасность“ содержит информацию о структуре, составе, оснащении службы безопасности; об организации СЗИ; об организации и технических средствах охраны, пропускном режиме, системе сигнализации; о коммерческой тайне предприятий-партнеров.
13. Класс ИР „Конкуренты“ содержит информацию об отечественных и зарубежных предприятиях как потенциальных конкурентах; о деловых отношениях с конкурирующими предприятиями.
Представление результатов инвентаризации. Результатом инвентаризации является формирование „Перечня информационных ресурсов“ предприятия, который постоянно поддерживается в актуальном состоянии и позволяет обеспечить документированное отображение состава и структуры ИР. Инвентаризация ИР кроме наведения „порядка“ в информационной инфраструктуре АСУ должна обеспечивать решение ряда стратегических задач построения многоуровневой СЗИ на предприятии:
— разграничение ИР по уровню конфиденциальности, целостности и доступности. Это необходимо, чтобы выделить ИР, которые нуждаются в организации специальных механизмов защиты;
— разграничение ИР по принадлежности к подразделениям, пользователям, конкретным бизнес-процессам и поддерживающим их программным приложениям (информационным процессам, ИП), что позволит упорядочить информационный обмен предприятия, построить эффективную политику разграничения доступа;
— разграничение ИР по степени „ценности“ как меры значимости (критичности) для реализации ИП, что позволит выявить дополнительные точки воздействия угроз информационной безопасности, а значит, более точно оценить уровень защищенности ИР (уровень риска) и предложить адекватные механизмы защиты.
„Перечень информационных ресурсов“ предлагается формировать в форме таблицы со следующими полями:
1) „Наименование ИР“. Вносится конкретное наименование документа, например, в классе „Производство“ — документ „Организационная структура предприятия“;
2) „Обозначение ИР“. В данное поле вносится принятое (закодированное) имя данного документа в СЗИ, включая номер класса ИР и имя ИР внутри класса, например, 3ИР1;
3) „Краткое содержание ИР“. В данное поле заносится наиболее существенная информация о документе — краткая аннотация;
4) „Уровень безопасности“. В первый столбец данного поля вносятся сведения об уровне конфиденциальности информации, содержащейся в данном ИР („строго конфиденциальная“ (СК), „конфиденциальная“ (К), „открытая“ (О)), во втором — об уровне целостности („высокая“ (ВЦ), „средняя“ (СЦ), „низкая“ (НЦ — нет требований)), в третьем — доступности („высокая доступность“ (ВД), „средняя доступность“ (СД), „низкая доступность“ (НД — нет требований));

ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2012. Т. 55, № 8

38 М. Ю. Монахов, О. И. Файман
5) „Место хранения“. В данное поле вносится информация о конкретном местонахождении данного ИР. Принят следующий формат: „Номер_подразделения“, „Номер_помещения“, „Номер_шкафа / Сейфа / Стола“, „Номер_оборудования (компьютера)“. Если ИР электронный, то добавляется имя файла и путь к нему внутри компьютера;
6) „Приложения, использующие ИР“. В данное поле вносится информация о функциональных подсистемах и прикладных сервисах, которым „принадлежит“ ИР. Заметим, что каждый конкретный ИР на предприятии используется как в задачах организационного управления („бумажный“ документ), так и в электронном документообороте (компьютерный файл или база данных). Здесь перечисляются номера ИП из „Перечня информационных процессов (функциональных подсистем и приложений)“, реализующих принятые на предприятии бизнес-процессы. Данный перечень ИП включает „закрепленных“ за каждым ИП пользователей, т.е. пользователи автоматически „прикреплены“ к ресурсам;
7) „Уровень ценности“. Для отдельных ИР владелец может задать стоимость, рассчитываемую по методике, предложенной в статье [4]. Стоимость может быть выражена в денежных или относительных единицах, или в качественных шкалах, например: „незначительный ущерб“, „существенный ущерб“ и т.д. В данной методике предлагается включить для каждого ИР показатель ценности как меры важности (полезности) ИР для реализации бизнеспроцессов. За данную величину авторы принимали относительную частоту использования ИР в бизнес-процессах, приносящих наибольшую прибыль;
8) „Ответственное лицо“. Как правило, это руководитель структурного подразделения, где хранится ИР. Заметим, что ответственное лицо может не являться пользователем данного ИР. Основная функция ответственного — обеспечить безопасность ИР.
Особенности инвентаризации ИР на промышленном предприятии. В таблице представлен фрагмент Перечня ИР ОАО „Промышленное предприятие Владимирской области“.

Наимено- Обознавание ИР чение
Заказы ЗК-2 клиентов

Уровень запасов сырья

УЗС-1

Краткое

Уровень

содержание ИР безопасности

КЦ Д

На основе данной информации ежедневно формируются планы производства

К

СЦ СД

Недопусти- К ВЦ СД мость этих данных делает невозможной отгрузку со складов на производство

Место хранения
4, 1, 100001 C://program files/axap.exe
4, 1, 100001 C://program files/axap.exe

Приложения, использующие
ИР
Microsoft Dynamics AX, Новиков Н.Д., главный инженер
Microsoft Dynamics AX , Новиков Н.Д., главный инженер

Уровень Ответствен-

ценности

ное

лицо

31695,15 (руб.)
0,15

Новиков Н.Д., главный инженер

68958 (руб.)
0,23

Новиков Н.Д., главный инженер

В результате анализа перечня были выработаны замечания и рекомендации: 1) основными сложностями при проведении работ являются организационнотехнические мероприятия по сбору информации об ИР от подразделений, непонимание руководителями значимости и специфики проведения работы. Кроме того, они с трудом классифицируют ИР по уровню конфиденциальности, целостности и доступности; 2) группе, проводящей инвентаризацию ИР, необходимо тщательно подготовиться к данному процессу: внести четкость и однозначность в используемые понятия, касающиеся назначения, содержания, состава и структуры ИР; составить предварительный список

ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2012. Т. 55, № 8

Модель оценки факторов изменения достоверности информации

39

возможных ИР, специфичных для подразделения, понятный руководству; предусмотреть автоматизированные средства обработки больших объемов полученной информации.

СПИСОК ЛИТЕРАТУРЫ

1. Королев А. В., Королев В. И. Методика проведения инвентаризации и структуризации информационных ресурсов на объекте информатизации // Безопасность информационных технологий. 2009. № 4 [Электронный ресурс]: .

2. Симонов С. В. Технологии и методики классификации информационных ресурсов // Тр. ИСА РАН. 2006. Т. 27. С. 58—73.

3. Федеральный закон РФ № 149 „Об информации, информационных технологиях и о защите информации“. 2006.

4. Файман О. И. Математическая модель оценки информационных ресурсов в рамках управления информационными ресурсами // „Математические методы в технике и технологиях – ММТТ-22“. Сб. тр. XXII Междунар. науч. конф. 2010. Т. 11. С. 55—58.

Михаил Юрьевич Монахов Ольга Игоревна Файман

Сведения об авторах — д-р техн. наук, профессор; Владимирский государственный университет
им. А. Г. и Н. Г. Столетовых, кафедра информатики и защиты информации; заведующий кафедрой; E-mail: mmonakhov@vlsu.ru — Владимирский государственный университет им. А. Г. и Н. Г. Столетовых, кафедра информатики и защиты информации; ассистент; E-mail: Olich06@inbox.ru

Рекомендована ВлГУ

Поступила в редакцию 17.04.12 г.

ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2012. Т. 55, № 8