employee
Moscow, Moscow, Russian Federation
Moscow, Russian Federation
Russian Federation
employee
Moscow, Moscow, Russian Federation
Moskva, Moscow, Russian Federation
employee
Moskva, Russian Federation
Minimizing risks in developing intellectually intensive products, connected with the exclusion of unauthorized entry into the design and technological project security system, is the most important task of preserving the development of Russian creative potential. The research method is to identify and analyse the application of engineering and psychological aspects of the design activities of intellectual-intensive products. Clearly formed and documented requirements for information and technological security, supplemented by research in the field of engineering psychology, make it possible to minimise the risks of threats to enter the system along the entire chain of the design and production process. Building a model for minimising the risks of a design and technological project, which makes it possible to fulfil technological safety requirements based on developing quality assessment criteria, considering the use of engineering and psychological knowledge, is the solution to a very urgent problem.
automation, management, information security, risks, intellectual-intensive product, web platform, modelling
Введение
Впервые кибернетический подход в развитии теории управления был использован американским математиком Норбертом Винером в 1948 году «Кибернетика или управление, связь в животном мире и в машине».
Достоинство кибернетического подхода заключается в использовании методов моделирования систем управления в процессах управления сложно-ориентированными объектами различной природы [4].
Основным условием функционирования сложно-ориентированного объекта является процесс. Вторым условием является вход в систему, включающий в себя набор подсистем, например, конструкторскую подсистему, технологическую подсистему, подсистему оборудования, подсистему кадрового ресурса. Следующим условием является входная информация, обеспеченная новейшими информационными технологиями [9] и предусматривающая подсистемы защиты информации на всех этапах конструкторско-технологического проекта.
Методология исследования
Обеспечение безопасности [2] на уровне разработки проекта требует повышенного внимания по предотвращению несанкционированных доступов, связанных с потерей творческих замыслов и идей, зафиксированных на различных носителях информации. Именно поэтому на данном этапе необходимо создавать наивысший уровень контроля по защите информации на основе автоматизации выявления уязвимых точек повышенного риска. Примером систем с высоким уровнем контроля могут служить веб-платформы космической безопасности.
Веб-платформа является одним из основных носителей, обеспечивающих передачу данных (рис. 1).
Рис. 1. Мониторинг этапов разработки проекта веб-платформы
Fig. 1. Monitoring the development stages of the web platform project
Для анализа данных о скорости реагирования системы защиты информации веб-платформы должны быть выполнены следующие требования:
– Соответствующие инструменты сбора данных. В качестве типовых инструментов для сбора данных об эффективности любых приложений могут использоваться:
а) анализ журнала веб-сервера;
б) метрика конверсии пользовательского решения.
– Необходимый объем данных. Чтобы получить четкое представление о производительности системы, необходимо иметь достаточно данных для анализа, требуемый объем которых не должен быть менее 50 000 пользовательских событий в день.
– Качество данных. Собранные данные должны быть точными и надежными, поэтому в качестве инструмента веб-аналитики был выбран сервис Yandex Metrika.
– Методы анализа. Собранные данные должны быть проанализированы с использованием соответствующих методов, таких как выявление рисков и обработка выбросов.
– Показатели производительности. Время загрузки страницы.
Результаты исследования и обсуждение
Чтобы обеспечить полноту данных состояния веб-платформы, также требуется соблюдение требований к ведению журнала (логирование). Это включает в себя сбор и запись информации об активности и поведении системы. Целью ведения журнала данных является предоставление информации о производительности системы и выявление потенциальных проблем, которые могут повлиять на стабильность функционирования. Ключевыми требованиями к ведению журнала являются:
– актуальность: регистрируемые данные должны иметь отношение к производительности и поведению системы. Журналы должны фиксировать такие данные, как использование ресурсов сервера, время отклика и сообщения об ошибках.
– своевременность: журналы должны записываться в режиме реального времени, чтобы гарантировать сбор данных по мере использования системы.
– согласованность: формат и структура журналов должны быть согласованными, чтобы упростить анализ и отчетность.
– хранение: журналы должны храниться в централизованном месте, чтобы их можно было легко извлечь и проанализировать.
– безопасность: журналы должны быть защищены, чтобы гарантировать, что конфиденциальная информация не будет раскрыта или утеряна.
– хранение: журналы должны храниться в течение достаточного периода времени, чтобы обеспечить возможность исторического анализа производительности системы.
– масштабируемость: система ведения журнала должна быть способна масштабироваться для обработки больших объемов данных, особенно по мере роста системы.
– доступность: журналы должны быть доступны уполномоченному персоналу с соответствующим уровнем доступа, чтобы обеспечить эффективный анализ и отчетность.
Удовлетворение данных требований позволяет системе веб-приложений хранить ценную информацию о своем поведении, позволяя разработчикам и администраторам выявлять потенциальные проблемы и принимать обоснованные решения для повышения не только общей производительности, но и защиты информации.
На основе имитационной модели в рамках соответствующих функций защиты производится количественная оценка рисков при выявлении информационных угроз [1].
Представленная на рис. 2 схема иллюстрирует возможности автоматизации процессов информационного реагирования (управления) на возникновение риска (утечки информации) при проектировании конструкторско-технологических решений.
Рис. 2. Модель автоматизации процесса реагирования на риск
Fig. 2. A model for automating the risk response process
Одной из важнейших подсистем является подсистема выбора моделей и методик расчета, входящая в комбинированный подход, и, которая учитывает как обеспечение физической безопасности IT-систем, так и разграничение уровней доступа к IT-системам с одновременным шифрованием особо важных/конфиденциальных данных.
На рис. 3 представлена модель методов защиты трех этапов разработки конструкторско-технологического проекта.
Рис. 3. Модель методов защиты этапов конструкторско-технологического проекта на основе анализа производственных процессов инженерного прогнозирования
Fig. 3. A model of methods for protecting the stages of a design and technological project based on the analysis of production processes of engineering forecasting
Этап I – концепция конструкции на основе анализа производственных процессов инженерного прогнозирования и планирования. Цель.
Этап II – разработка модели технологического проекта с учетом оптимизации конструкторских решений с выработкой технического задания (ТЗ).
Этап III – создание экспериментально-опытного образца.
Как видно из диаграммы, основными методами защиты [6] на первом этапе являются:
– интеллектуальное тестирование методологии контроля;
– обеспечение физической безопасности IT-систем (от пожара, кражи);
– разграничение уровней доступа к IT-системам;
– шифрование и контроль особо важных/конфиденциальных данных.
На втором этапе:
– предотвращение перехвата информации. Защитные экраны сетей;
– аудит/проверка безопасности IT-систем;
– системы управления мобильными устройствами;
– специальная политика безопасности для съемных носителей.
На третьем этапе:
– шифрование всех хранимых данных;
– антивирусные установки;
– защита от вредоносного ПО;
– структура сети (разделение критически важных сетей).
Из диаграммы видно, что второй и третий этапы нуждаются в усилении мер защиты по предотвращению рисков информационной безопасности.
Заключение
Моделирование методов защиты создания интеллектуалоемкой продукции предполагает разработку ряда вариантов конструкторско-технологических решений с инвариантными принципами функционирования, обладающих различными свойствами, но выполняющими все требования веб-платформы.
Для более эффективного и достоверного обеспечения уровня качества проектирования интеллектуальной продукции необходимо анализировать инженерно-психологический опыт процессов моделирования с использованием автоматизации процессов информационного реагирования (управления) на возникновение риска.
Разработка имитационной модели на основе сочетания методов и средств обеспечения информационной безопасности позволяет снизить риск потери авторского решения на этапе разработки, а также исключить несанкционированный доступ к значимым данным конструкторско-технологического проекта.
1. Vikhorev S.V. Classification of Threats in Information Security [Internet]. [cited 2020 Apr 04]. Available from: http://www.cnews.ru/reviews/free/security
2. Galatenko V.A. Fundamentals of Information Security [Internet]. Moscow; 2016 [cited 2020 Mar 16]. - http://en.bookfi.net/book/584428
3. Gatsko M. On the Relationship Between the Concepts of “Threat” and “Danger” [Internet]. 1997 [cited 2020 Mar 25]. Available from: http://old.nasledie.ru/oboz/N07_97/7_06.HTM
4. Tsvetkova O.L., Aidinyan A.R. Intelligent System Evaluation Information Security of the Enterprise From Internal Threats. Vestnik Komp'iuternykh I Informatsionnykh Tekhnologii. 2014;8(122):48-53.
5. GOST R ISO/IEC 27005-2010 Information Technology.
6. ISO/IEC 27005:2008. Methods and Means of Ensuring Safety.
7. ISO/IEC 27005:2008. Information Security Risk Management.
8. ISO/IEC 27005. Information Technology. Security Techniques. Information Security Risk Management.
9. GOST R ISO/IEC 27001. Information Technology. Security Techniques. Information Security Management Systems. Requirements.