Automation and modeling in design and management

Автоматизация и моделирование в проектировании и управлении

2658-3488 2658-6436

91386

10.30987/2658-6436-2024-4-59-65

Управление в организационных системах

Management in organizational systems

Управление в организационных системах

HIERARCHICAL LEVELS OF CONFIDENTIALITY OF INDUSTRIAL ENTERPRISES’ INFORMATION RESOURCES DEPENDING ON STAGES OF THE PRODUCTION LIFE CYCLE

ИЕРАРХИЧЕСКИЕ УРОВНИ КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ ПРОМЫШЛЕННОГО ПРЕДПРИЯТИЯ В ЗАВИСИМОСТИ ОТ ЭТАПОВ ЖИЗНЕННОГО ЦИКЛА ПРОИЗВОДСТВА

Кузнецова

Наталия Михайловна

Kuznetsova

Nataliya Mihailovna

knm87@mail.ru

кандидат технических наук;

candidate of technical sciences;

Карлова

Татьяна Владимировна

Karlova

Tatyana Viacheslavovna

karlova-t@yandex.ru

доктор социологических наук;кандидат технических наук;

doctor of sociological sciences;candidate of technical sciences;

Бекмешов

Александр Юрьевич

Bekmeshov

Aleksandr Yur'evich

кандидат технических наук;

candidate of technical sciences;

Московский государственный технологический университет «СТАНКИН» Москва Россия Moscow State Technological University “STANKIN” Moscow Russian Federation

Институт конструкторско-технологической информатики РАН Москва Россия Institute for design-technological Informatics of the RAS Moscow Russian Federation

Институт конструкторско-технологической информатики Российской академии наук Россия Институт конструкторско-технологической информатики Российской академии наук Russian Federation

20 12 2024

2024 4 59 65 17 09 2024 17 10 2024

https://bstu.editorum.ru/en/nauka/article/91386/view

Целью научной работы является создание методики построения иерархических уровней конфиденциальности информационных ресурсов промышленного предприятия в зависимости от этапов жизненного цикла производства. Основу методики составляет модель Белла-Лападулы «не писать ниже, не читать выше», применяемая поэтапно к жизненному циклу производства. Новизной работы является предложенная креативная концепция использования модели разграничения доступа к информационным ресурсам промышленного предприятия относительно этапов жизненного цикла производства. Результатом исследования являются рекомендации по применению модели Белла-Лападулы при построении иерархических уровней конфиденциальности информационных ресурсов. При этом иерархичность уровней определяется согласно этапам жизненного цикла.

The aim of the work is to create a methodology for constructing hierarchical levels of confidentiality of an industrial enterprise’s information resource depending on stages of the production life cycle. The base of the methodology is the Bell-Lapadula model “do not write below, do not read above”, applied in stages to the production life cycle. The novelty of the work is the proposed creative concept of using the model of access control to the industrial enterprise’s information resources in relation to the stages of the production life cycle. The result of the study is recommendations for applying the Bell-Lapadula model in constructing hierarchical levels of information resource confidentiality. In this case, the hierarchy of levels is determined according to the stages of the life cycle.

автоматизация конфиденциальность жизненный цикл производства защита информации информационная безопасность

automation confidentiality production life cycle information protection information security

Введение Современные промышленные предприятия сталкиваются с задачей обеспечения высокого уровня конфиденциальности информационных ресурсов [1 – 4]. Однако при этом важно соблюдать баланс «цена-качество» и при выборе средств защиты не заходить за рамки бюджета. Статья посвящена решению задачи рационального распределения средств обеспечения конфиденциальности информационных ресурсов в зависимости от этапа жизненного цикла производства. Исследование возможных причин инцидентов информационной безопасности. Анализ жизненного цикла производства продукции промышленного предприятия Жизненный цикл (ЖЦ) производства продукции промышленного предприятия состоит из основных этапов, представленных на рис. 1 [5 – 9].Рис. 1. Основные этапы ЖЦ производства промышленного предприятияFig. 1. Main stages of life cycle of production of an industrial enterprise Согласно рис. 1, ЖЦ производства состоит из последовательности этапов, начиная с идеи и заканчивая утилизацией. При этом каждый этап (кроме этапа идеи) имеет обратные связи со всеми предыдущими этапами. Данные обратные связи позволяют вносить изменения, в том числе в процессы управления ресурсами, что обеспечивает своевременную минимизацию и исправление ошибок. При этом цена ошибки (или дефекта) является наиболее высокой на начальных этапах ЖЦ. Это связано, в первую очередь, с уже затраченными материальными, трудовыми и информационными ресурсами предприятия на последующих этапах ЖЦ [5 – 10].Иерархические уровни конфиденциальности информационных ресурсов промышленного предприятия Наиболее популярной модельною градации уровней конфиденциальности является модель Белла-Лападулы. Схема Белла-Лападулы для двух уровней конфиденциальности представлена на рис. 2, для нескольких уровней – на рис. 3. Рис. 2. Модель Белла-Лападулы для двух уровней конфиденциальности [7, 11]Fig. 2. Bell-Lapadula model for two levels of privacy [7, 11]Рис. 3. Модель Белла-Лападулы для N уровней конфиденциальности [12]Figure 3. Bell-Lapadula model for N levels of privacy [12]В модели разграничения доступа задействованы:– субъекты с высоким и низким уровнями доступа – работники предприятия;– объекты с низкой и высокой конфиденциальностью – единицы информационных ресурсов предприятия.Согласно рис. 2, субъект с высоким уровнем доступа имеет право:– производить запись (вносить изменения) в объект высокой конфиденциальности;– читать содержимое объекта высокой конфиденциальности;– читать содержимое объекта низкой конфиденциальности.Производить запись в объект с низкой конфиденциальностью субъект с высоким уровнем доступа не имеет права, так как таким образом он может внести более конфиденциальные сведения в объект, и тем самым повысить уровень конфиденциальности объекта.Субъект с низким уровнем доступа имеет право:– производить запись («дозапись») в объект высокой конфиденциальности;– производить запись («дозапись») в объект низкой конфиденциальности;– читать содержимое объекта низкой конфиденциальности.Читать содержимое объекта более высокой конфиденциальности субъект с низким уровнем доступа не имеет права. Таким образом модель Белла-Лападулы определяется выражением «Не писать ниже, не читать выше».Согласно рис. 3, в рассматриваемой системе существует N уровней конфиденциальности ресурсов, и N уровней доступа к ним.Наиболее высоким уровнем доступа субъекта (и конфиденциальности объекта) является уровень «1», наиболее низким – уровень «N».Таким образом, субъект с уровнем доступа «1» может читать содержимое абсолютно всех объектов (ресурсов) системы. Однако редактировать (модифицировать, вносить любые изменения) может только объект с уровнем доступа «1».Субъект с уровнем доступа «N» может производить «дозапись» в информационные ресурсы во все объекты системы, однако читать содержимо может только у объекта с уровнем конфиденциальности «N».Субъект с уровнем доступа «i» может читать содержимое объектов с уровнями конфиденциальности [i, i+1, …, N], может производить «дозапись» в объекты с уровнями конфиденциальности [1, 2, …, i]. Применение модели Белла-Лападулы для этапов жизненного цикла производства продукции промышленного предприятия На рис. 4 представлена модель Белла-Лападулы для этапов ЖЦ производства продукции промышленного предприятия.Согласно рис. 4, наибольшим уровнем конфиденциальности обладают информационные ресурсы на этапе идеи. Наименьший уровень конфиденциальности соответствует этапам эксплуатации и утилизации. Это также связано с передачей продукции клиенту.Также важно отметить временной аспект: чем «дальше» этап ЖЦ от первого этапа – этапа идеи, тем быстрее информационные ресурсы теряют свою актуальность, и соответственно уровень конфиденциальности понижается.При этом ошибка на этапе идеи влечет за собой необходимость модификации (и дополнительные расходы) на всех последующих этапах ЖЦ, в то время как ошибка на этапе утилизации требует внесения изменений только в рамках текущего этапа ЖЦ.Таким образом, понижение уровня конфиденциальности информационных ресурсов от этапа идеи к этапу утилизации связано с понижением их ценности и актуальности, а также с понижением цены ошибки. Рис. 4. Модель Белла-Лападулы для этапов ЖЦ производства продукции промышленного предприятияFig. 4. Bell-Lapadula model for the life cycle stages of industrial production Согласно рис. 4 на предприятии для работников предусмотрено три уровня доступа к ресурсам: «высший», «средний», «низкий»:– работники предприятия с наивысшим уровнем доступа могут:вносить изменения в ресурсы на этапе ЖЦ «Идея»;просматривать ресурсы на всех этапах ЖЦ;– работники предприятия со средним уровнем доступа могут:вносить изменения в ресурсы на этапах ЖЦ:«Идея»;«Исследование рынка (Маркетинг)»;«Планирование»;«Конструирование»;просматривать ресурсы на этапах ЖЦ:«Конструирование»;«Производство»;«Эксплуатация»;«Утилизация»;– работники предприятия с наивысшим уровнем доступа могут:просматривать ресурсы на этапах ЖЦ «Эксплуатация», «Утилизация»;вносить изменения в ресурсы на всех этапах ЖЦ.Где «вносить изменения» в ресурсы в контексте статьи – предлагать методы улучшения (совершенствования) управления ими в рамках обратной связи этапов ЖЦ, а «просматривать ресурсы» – иметь полный доступ к управлению ресурсами этапа ЖЦ.Таким образом, распределение механизмов защиты должно быть проведено согласно понижению уровня конфиденциальности информационных ресурсов промышленного предприятия, относительно последовательности этапов ЖЦ производства. Заключение Статья посвящена решению актуальной задачи рационального распределения механизмов обеспечения должного уровня конфиденциальности информационных ресурсов промышленного предприятия. Представлена схема совмещения модели Белла-Лападулы с моделью этапов ЖЦ производства. Также в работе рассмотрен аспект корреляции актуальности и конфиденциальности информационных ресурсов в рамках ЖЦ производства продукции предприятия.

Kuznetsova N.M., Karlova T.V., Bekmeshov A.Yu. Method of Timely Prevention from Advanced Persistent Threats on the Enterprise Automated Systems // 2022 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS).

Kuznetsova N.M., Karlova TV, Bekmeshov AYu. Method of Timely Prevention From Advanced Persistent Threats on the Enterprise Automated Systems. In: Proceedings of the 2022 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS); Saint Petersburg: 2022. p. 158-161.

Kuznetsova N.M., Karlova T.V., Bekmeshov A.Yu. et. al. Mathematical and Algorithmic Prevention of Biometric Data Leaks Proceedings of the 2021 IEEE International Conference «Quality Management, Transport and Information Security, Information Technologies», IT and QM and IS 2021, 2021, pp. 210-212.

Kuznetsova N.M., Karlova T.V., Bekmeshov A.Yu., et al. Mathematical and Algorithmic Prevention of Biometric Data Leaks. In: Proceedings of the 2021 IEEE International Conference on Quality Management, Transport and Information Security, Information Technologies, IT and QM and IS; Yaroslavl: 2021. p. 210-212.

Kuznetsova N.M, Karlova T.V., Bekmeshov A.Yu., et. al. Development of the Model for Automating the Process of Information Transfer in Order to Increase Its Realibility, 2023 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS), Petrozavodsk, Russian Federation, 2023, pp. 56 58.

Kuznetsova N.M., Karlova T.V., Bekmeshov A.Yu., et al. Development of the Model for Automating the Process of Information Transfer in Order to Increase Its Reliability. In: Proceedings of the 2023 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS); Petrozavodsk: 2023. p. 56-58.

Karlova T.V., Bekmeshov A.Yu., Kuznetsova N.M. Protection the Data Banks in State Critical Information Infrastructure Organizations / Proceedings of the 2019 IEEE International Conference «Quality Management, Transport and Information Security, Information Technologies» (IT&QM&IS), Sochi, Russia // Proceedings Edited by S. Shaposhnikov, St. Petersburg, Russia: Saint Petersburg Electrotechnical University «LETI», 2019.

Karlova T.V., Bekmeshov A.Yu., Kuznetsova N.M. Protection the Data Banks in State Critical Information Infrastructure Organizations. In: Shaposhnikov S, editor. Proceedings of the 2019 IEEE International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS); 2019; Sochi; Saint Petersburg: Saint Petersburg Electrotechnical University “LETI”: 2019. p. 155-157.

Кузнецова Н.М., Карлова Т.В. Всеобщее управление качеством. Решение задачи повышения уровня информационной безопасности в рамках комплексного обеспечения качества на промышленном предприятии: уч. пос. – М.: Янус-К, 2019. – 64 с.

Kuznetsova N.M., Karlova T.V. Total Quality Management. Solving the Problem of Increasing the Level of Information Security at an Industrial Enterprise as Part of Quality Management System. Moscow: Janus-K; 2019.

Кузнецова Н.М., Карлова Т.В. Средства и методы управления качеством. Аспекты автоматизации процессов. Управления качеством на промышленном предприятии. уч. пос. – М.: Янус-К, 2019. – 112 с.

Kuznetsova N.M., Karlova T.V. Means and Methods of Quality Management. Aspects of Process Automation. Quality Management at an Industrial Enterprise. Moscow: Janus-K; 2019.

Кузнецова Н.М., Карлова Т.В. Управление, моделирование и анализ производственных процессов: уч. пос. – М.: Янус-К, 2021. – 108 с.

Kuznetsova N.M., Karlova T.V. Management, Modelling and Analysis of Production Processes. Moscow: Janus-K; 2021.

Кузнецова Н.М., Карлова Т.В. Совершенствование процессов управления в производственной среде. Аспекты автоматизации процессов управления: уч. пос. – М.: Янус-К, 2021. – 160 с.

Kuznetsova N.M., Karlova T.V. Improving Management Processes in the Production Environment. Aspects of Management Process Automation. Moscow: Janus-K; 2021.

Ефимов В.В. Средства и методы управления качеством: уч. пос. – 3-е изд., стер. – М.: КНОРУС, 2012. – 232 с.

Efimov V.V. Means and Methods of Quality Management. 3rd ed. Moscow: KNORUS; 2012.

10.

Макконнелл С. Совершенный код. Мастер-класс / Пер. С англ. – М.: издательство «Русская Редакция»; СПб. :Питер, 2008. – 896 с.

McConnell S. The Perfect Code. Master-Class. Translated from English. Moscow: Russian Edition; Saint Petersburg: Piter; 2008.

11.

Хорев П.Б. Программно-аппаратная защита информации: уч. пос. – 2-е испр. и доп. – М. ФОРУМ : ИНФА-М, 2019. – 352 с.

Khorev P.B Hardware and Software Information Protection. 2nd ed. Moscow: INFA-M; 2019.

12.

Кузнецова Н.М. Применение биометрической аутентификации в автоматизированных системах защиты стратегически важных ресурсов предприятия: монография. – М: ФГБОУ ВО «МГТУ «СТАНКИН», Янус-К, 2023. – 136 с.

Kuznetsova N.M. Application of Biometric Authentication in Automated Systems for the Protection of Strategically Important Resources of an Enterprise. Moscow: MSUT “STANKIN”, Janus-K; 2023.