сотрудник
Москва, г. Москва и Московская область, Россия
г. Москва и Московская область, Россия
Россия
сотрудник
Москва, г. Москва и Московская область, Россия
Москва, г. Москва и Московская область, Россия
сотрудник
Москва, Россия
Минимизация рисков при разработке интеллектуалоемкой продукции, связанная с исключением несанкционированного вхождения в систему безопасности конструкторско-технологического проекта, является важнейшей задачей сохранения развития российского творческого потенциала. Методом исследования является выявление и анализ применения инженерно-психологических аспектов проектной деятельности интеллектуалоемкой продукции. Четко сформированные и оформленные требования к информационной и технологической безопасности, дополненные исследованиями в области инженерной психологии, дают возможность минимизировать риски угроз вхождения в систему по всей цепочке проектно-производственного процесса. Формирование модели минимизации рисков конструкторско-технологического проекта, позволяющей осуществлять контроль выполнения требований к технологической безопасности на основе разработки критериев оценки качества с учетом применения инженерно-психологических знаний является решением весьма актуальной задачи.
автоматизация, управление, информационная безопасность, риски, интеллектуалоемкий продукт, веб-платформа, моделирование
Введение
Впервые кибернетический подход в развитии теории управления был использован американским математиком Норбертом Винером в 1948 году «Кибернетика или управление, связь в животном мире и в машине».
Достоинство кибернетического подхода заключается в использовании методов моделирования систем управления в процессах управления сложно-ориентированными объектами различной природы [4].
Основным условием функционирования сложно-ориентированного объекта является процесс. Вторым условием является вход в систему, включающий в себя набор подсистем, например, конструкторскую подсистему, технологическую подсистему, подсистему оборудования, подсистему кадрового ресурса. Следующим условием является входная информация, обеспеченная новейшими информационными технологиями [9] и предусматривающая подсистемы защиты информации на всех этапах конструкторско-технологического проекта.
Методология исследования
Обеспечение безопасности [2] на уровне разработки проекта требует повышенного внимания по предотвращению несанкционированных доступов, связанных с потерей творческих замыслов и идей, зафиксированных на различных носителях информации. Именно поэтому на данном этапе необходимо создавать наивысший уровень контроля по защите информации на основе автоматизации выявления уязвимых точек повышенного риска. Примером систем с высоким уровнем контроля могут служить веб-платформы космической безопасности.
Веб-платформа является одним из основных носителей, обеспечивающих передачу данных (рис. 1).
Рис. 1. Мониторинг этапов разработки проекта веб-платформы
Fig. 1. Monitoring the development stages of the web platform project
Для анализа данных о скорости реагирования системы защиты информации веб-платформы должны быть выполнены следующие требования:
– Соответствующие инструменты сбора данных. В качестве типовых инструментов для сбора данных об эффективности любых приложений могут использоваться:
а) анализ журнала веб-сервера;
б) метрика конверсии пользовательского решения.
– Необходимый объем данных. Чтобы получить четкое представление о производительности системы, необходимо иметь достаточно данных для анализа, требуемый объем которых не должен быть менее 50 000 пользовательских событий в день.
– Качество данных. Собранные данные должны быть точными и надежными, поэтому в качестве инструмента веб-аналитики был выбран сервис Yandex Metrika.
– Методы анализа. Собранные данные должны быть проанализированы с использованием соответствующих методов, таких как выявление рисков и обработка выбросов.
– Показатели производительности. Время загрузки страницы.
Результаты исследования и обсуждение
Чтобы обеспечить полноту данных состояния веб-платформы, также требуется соблюдение требований к ведению журнала (логирование). Это включает в себя сбор и запись информации об активности и поведении системы. Целью ведения журнала данных является предоставление информации о производительности системы и выявление потенциальных проблем, которые могут повлиять на стабильность функционирования. Ключевыми требованиями к ведению журнала являются:
– актуальность: регистрируемые данные должны иметь отношение к производительности и поведению системы. Журналы должны фиксировать такие данные, как использование ресурсов сервера, время отклика и сообщения об ошибках.
– своевременность: журналы должны записываться в режиме реального времени, чтобы гарантировать сбор данных по мере использования системы.
– согласованность: формат и структура журналов должны быть согласованными, чтобы упростить анализ и отчетность.
– хранение: журналы должны храниться в централизованном месте, чтобы их можно было легко извлечь и проанализировать.
– безопасность: журналы должны быть защищены, чтобы гарантировать, что конфиденциальная информация не будет раскрыта или утеряна.
– хранение: журналы должны храниться в течение достаточного периода времени, чтобы обеспечить возможность исторического анализа производительности системы.
– масштабируемость: система ведения журнала должна быть способна масштабироваться для обработки больших объемов данных, особенно по мере роста системы.
– доступность: журналы должны быть доступны уполномоченному персоналу с соответствующим уровнем доступа, чтобы обеспечить эффективный анализ и отчетность.
Удовлетворение данных требований позволяет системе веб-приложений хранить ценную информацию о своем поведении, позволяя разработчикам и администраторам выявлять потенциальные проблемы и принимать обоснованные решения для повышения не только общей производительности, но и защиты информации.
На основе имитационной модели в рамках соответствующих функций защиты производится количественная оценка рисков при выявлении информационных угроз [1].
Представленная на рис. 2 схема иллюстрирует возможности автоматизации процессов информационного реагирования (управления) на возникновение риска (утечки информации) при проектировании конструкторско-технологических решений.
Рис. 2. Модель автоматизации процесса реагирования на риск
Fig. 2. A model for automating the risk response process
Одной из важнейших подсистем является подсистема выбора моделей и методик расчета, входящая в комбинированный подход, и, которая учитывает как обеспечение физической безопасности IT-систем, так и разграничение уровней доступа к IT-системам с одновременным шифрованием особо важных/конфиденциальных данных.
На рис. 3 представлена модель методов защиты трех этапов разработки конструкторско-технологического проекта.
Рис. 3. Модель методов защиты этапов конструкторско-технологического проекта на основе анализа производственных процессов инженерного прогнозирования
Fig. 3. A model of methods for protecting the stages of a design and technological project based on the analysis of production processes of engineering forecasting
Этап I – концепция конструкции на основе анализа производственных процессов инженерного прогнозирования и планирования. Цель.
Этап II – разработка модели технологического проекта с учетом оптимизации конструкторских решений с выработкой технического задания (ТЗ).
Этап III – создание экспериментально-опытного образца.
Как видно из диаграммы, основными методами защиты [6] на первом этапе являются:
– интеллектуальное тестирование методологии контроля;
– обеспечение физической безопасности IT-систем (от пожара, кражи);
– разграничение уровней доступа к IT-системам;
– шифрование и контроль особо важных/конфиденциальных данных.
На втором этапе:
– предотвращение перехвата информации. Защитные экраны сетей;
– аудит/проверка безопасности IT-систем;
– системы управления мобильными устройствами;
– специальная политика безопасности для съемных носителей.
На третьем этапе:
– шифрование всех хранимых данных;
– антивирусные установки;
– защита от вредоносного ПО;
– структура сети (разделение критически важных сетей).
Из диаграммы видно, что второй и третий этапы нуждаются в усилении мер защиты по предотвращению рисков информационной безопасности.
Заключение
Моделирование методов защиты создания интеллектуалоемкой продукции предполагает разработку ряда вариантов конструкторско-технологических решений с инвариантными принципами функционирования, обладающих различными свойствами, но выполняющими все требования веб-платформы.
Для более эффективного и достоверного обеспечения уровня качества проектирования интеллектуальной продукции необходимо анализировать инженерно-психологический опыт процессов моделирования с использованием автоматизации процессов информационного реагирования (управления) на возникновение риска.
Разработка имитационной модели на основе сочетания методов и средств обеспечения информационной безопасности позволяет снизить риск потери авторского решения на этапе разработки, а также исключить несанкционированный доступ к значимым данным конструкторско-технологического проекта.
1. Вихорев С.В. Классификация угроз информационной безопасности. - [Электронный ресурс]. - http://www.cnews.ru/reviews/free/security (дата обращения 04.04.2020).
2. Галатенко В.А. Основы информационной безопасности. - Москва. - 2016. 264 с. - [Электронный ресурс]. - http://en.bookfi.net/book/584428 (дата обращения 16.03.2020).
3. Гацко М. О соотношении понятий «угроза» и «опасность» - [Электронный ресурс] - http://old.nasledie.ru/oboz/N07_97/7_06.HTM (дата обращения 25.03.2020).
4. Цветкова О.Л., Айдинян А.Р. Интеллектуальная система оценки информационной безопасности предприятия от внутренних угроз // Вестник компьютерных и информационных технологий. - 2014. - №8 (122). - С. 48-53.
5. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология.
6. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.
7. Менеджмент риска информационной безопасности.
8. Information technology. Security techniques. Information security risk management.
9. ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
