The Web-site of design Company Chelyabenergoproekt in English   English
Проектные работы в проектной организации Челябэнергопроект Заказать проектные работы в письме к проектной организации Челябэнергопроект Карта сайта
Die Web-seite der Projektorganisation Tscheljabenergoprojekt in Deutsch   Deutsch




Création de site web société française Chelyabenergoproekt   Française

   Облако тегов на сайте проектной организации Челябэнергопроект
Проекты интеллектуального мастерства!
новости компании
30.12.2015 С Новым годом!
Администрация ...
21.12.2015 С Днём Энергетика!
Уважаемые друзья и коллеги! Поздравляю вас с нашим большим праздником – Днем Энергетика! ...



новости отрасли
объекты Ростехнадзора
  Облако тегов
проектирование монтаж ключ котел кран сертификат ГОСТ ремонт заказЧелябинск

Защита инженерных данных на базе ПО АСКОН
Информационная безопасность (ИБ) – один из важнейших аспектов деятельности любого предприятия. Актуальность вопросов информационной безопасности становится все более ощутимой при экспоненциальном росте информатизации всех без исключения отраслей

промышленности, характерном для последнего десятилетия. Сегодня нет практически ни одного бизнес-процесса на предприятии, где не была бы внедрена та или иная информационная система, а персональный компьютер – это рабочий инструмент практически каждого сотрудника. Очевидно, что прогресс имеет свою цену, и зачастую платой за преимущества информатизации является необходимость уделять серьезное внимание вопросам защиты информационных систем и надежности используемого программного обеспечения.

По общепринятой модели составляющими информационной безопасности являются:
- конфиденциальность (обеспечение доступа к информации только авторизованным пользователям);
- целостность (обеспечение достоверности и полноты информации и методов ее обработки);
- доступность (обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости).

Нарушение этих условий, например несанкционированный доступ к электронным данным предприятия, может повлечь самые серьезные последствия. Сегодня в СМИ регулярно появляются сообщения о взломе корпоративных сетей и утечках важных данных, от которых страдают довольно крупные и уважаемые корпорации, а также государственные структуры различных стран.

Один из таких примеров, вызвавших большой резонанс в мире, – кража секретных документов с планами военных действий Южной Кореи против КНДР. Компьютерные взломщики воспользовались тем, что один из офицеров подключил карту памяти, на которой содержалась секретная информация, к незащищенному компьютеру. Новости о кражах персональных данных тысяч пользователей, номеров кредиток или денежных средств из банков появляются практически еженедельно, и это только то, что становится известно общественности.

По данным CSI Computer Crime and Security Survey 2009, с июля 2008-го по июнь 2009 года по причине инцидентов, связанных с информационной безопасностью, средние потери опрошенных в рамках исследования компаний составили 234,244 долл. При этом максимальные цифры могут исчисляться миллионами долларов, если добавить сюда сопутствующие подобным инцидентам факторы, такие как потеря репутации компании и утрата доверия со стороны клиентов.

Поэтому, несмотря на экономический спад 2008-2009 годов, компании не снижают затраты на ИБ. Более того, в новых экономических

условиях растущее давление со стороны конкурентов, риски, связанные с кадровыми преобразованиями в компаниях, и забота о сохранении репутации заставляют компании повышать расходы в этой сфере. В рамках проведенного в 2009 году исследования (опрошены руководители

около 1900 компаний из 60 стран) специалисты компании «Эрнстэнд Янг» выяснили, что 40% респондентов намерены увеличить свои расходы на информационную безопасность.

Учитывая относительную легкость реализации подобных преступлений и серьезный уровень последствий для национальной экономики, государство уделяет большое внимание этой сфере, справедливо соотнося информационную безопасность экономических субъектов с вопросами национальной безопасности. Во всех промышленно развитых странах на законодательном уровне обеспечивается защита

интересов государственных и экономических структур от подобных угроз. В частности, в России в последнее время много внимания уделяется ужесточению правил обработки персональных данных граждан.

В целом при системном подходе к описанию информационной безопасности можно выделить следующие уровни:
- законодательная, нормативно-правовая и научная база. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ;
- организационно-технические и режимные меры и методы (политика информационной безопасности);
- программно-технические способы и средства обеспечения информационной безопасности.

Не будем подробно анализировать нормативно-правовые акты РФ в этой сфере и глубоко рассматривать такой важный вопрос, как разработка политики информационной безопасности, а заострим внимание на программно-технической составляющей в контексте экономической и национальной безопасности.

Рассмотрим экономическую безопасность и ИТ-инфраструктуру промышленных предприятий.

Очевидно, что целью злоумышленников на промышленных, производственных предприятиях являются самые важные и ценные разработки, которые на любом современном предприятии создаются и хранятся централизованно или локально, на клиентских местах, в виде электронных моделей, чертежей и документов.

Совершается ли преступление с целью дальнейшей продажи технологий, использования в целях недобросовестной конкуренции или же злоумышленник просто проверяет информационную безопасность предприятия и свои способности хакера – во всех этих случаях потери компании – владельца информации могут быть колоссальными. Инновации всегда подразумевают серьезные инвестиции, зачастую многолетние исследования и дорогостоящие испытания. И здесь все преимущества внедрения ИТ-технологий в работу рядовых конструкторов и технологов – повышение производительности и качества труда, снижение издержек – оборачиваются необходимостью серьезно заниматься обеспечением конфиденциальности.

В техническом плане слабыми местами корпоративной безопасности чаще всего являются:
- уязвимость используемого ПО, а также умышленное заражение рабочих компьютеров вредоносным программным обеспечением (трояны, программы-шпионы, вирусы), которое проникает в корпоративную ИТ- инфраструктуру через электронную почту, мессенджеры типа ICQ, во время веб-серфинга, а также за счет обмена файлами посредством внешних носителей информации;
- физические носители информации (флэш-накопители, CDDVD, внешние жесткие диски и т.д.), с помощью которых критические данные выносятся с предприятия. При этом не всегда факт утечки является намеренным действием злоумышленника (работника предприятия), очень часто имеет место обычная беспечность и ненадлежащее внимание к вопросам информационной безопасности: нерадивые сотрудники просто теряют физические накопители или даже ноутбуки с важнейшими данными. К этой же категории относится неправильная утилизация физических носителей – без применения спецсредств большая часть удаленной информации довольно легко восстанавливается даже с поврежденных дисков;
- методы социальной инженерии – доступ к подлежащим защите данным без задействования технических средств, путем манипуляции человеческими слабостями.

На ИТ-рынке существует большое количество компаний, занимающихся разработкой программно-технических решений для предотвращения утечек, однако специализированных решений в сфере САПР практически нет. CAD-система – главный инструмент конструктора и проектировщика, с помощью которого создается вся основная техническая документация. Одно из наиболее эффективных решений в данном случае – встроить средства обеспечения конфиденциальности непосредственно в САПР. Успешный пример подобного решения на рынке есть – это разработанная компанией АСКОН система безопасности данных КОМПАС-ЗАЩИТА, предохраняющая от несанкционированного

доступа к электронным документам (чертежи, модели, спецификации и т.д.), разработанным в КОМПАС-3D. При этом система работает совершенно прозрачно для пользователя и не влияет на производительность: если включена опция «Защищать файлы», любой документ

КОМПАС при сохранении будет защищен. Последующее его открытие станет возможным только на тех рабочих местах, где установлена

система безопасности, а код, хранимый на персональном ключе пользователя, совпадает с кодом, которым защищен файл. Электронный ключ – гарантия защищенности. Без него невозможен доступ к защищенному документу. Но, даже имея ключ, без знания кода невозможно изменить конфигурацию системы КОМПАС-ЗАЩИТА, что запрещает опасные действия. К тому же это избавляет от затрат на специальную утилизацию физических носителей информации. Использование в качестве носителя кода электронного ключа HASP, по своим свойствам являющегося аналогом идентификатора пользователя, обеспечит упорядочение применения автоматизированных рабочих мест в целом. Защита и учет электронных ключей как физических объектов (а через КОМПАС-ЗАЩИТУ и файлов электронных документов) упрощают и повышают эффективность мер по охране интеллектуальной собственности.

Принцип защиты основан на кодировании файлов. Код задается пользователем при настройке системы перед началом ее использования и хранится в электронном ключе аппаратной защиты КОМПАС. В число настроек системы входят разрешение/запрет снятия защиты с файлов, разрешение/запрет экспорта и печати данных. Код защиты и настройки системы может быть в любой момент изменен. Условием смены кода, как и изменения других настроек, является правильный ввод кода, хранимого в настоящий момент в ключе. Таким образом, конфиденциальность данных обеспечивается конфиденциальностью кода и ограничением доступа к ключу аппаратной защиты.

Рассмотрим ИТ-технологии и вопросы национальной безопасности.

По отношению к определенным предприятиям за внешним интересом к техническим разработкам и ноу-хау могут стоять не коммерческие цели или удовлетворение амбиций в сфере взлома корпоративных сетей, а некие структуры зарубежных государств, целенаправленно собирающие сведения об уровне технических разработок в Российской Федерации в определенных областях. В первую очередь речь идет о предприятиях оборонно-промышленного комплекса, для которых вопросы информационной безопасности являются частью повседневной деятельности и тесно связаны с вопросами национальной безопасности.

Проблема осознается на государственном уровне, что однозначно демонстрирует, например, Указ Президента РФ «О концепции национальной безопасности РФ»: «...Усиливаются угрозы национальной безопасности Российской Федерации в информационной сфере. Серьезную опасность представляют собой стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению

России с внешнего и внутреннего информационного рынка; разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним...»

Именно поэтому многие государственные учреждения и организации в России, работающие в военной, энергетической, транспортной, нефтегазовой и других секторах российской экономики, предъявляют жесткие требования к используемым программно-техническим комплексам.

Отдельного внимания заслуживают риски, связанные с наличием неизвестных исполняемых кодов в используемом программном обеспечении. Речь идет о так называемых недекларированных возможностях (НДВ) и защите от несанкционированного доступа к информации (НСД) в программных продуктах. Одна из разновидностей недекларированных возможностей – программные закладки, представляющие собой совокупность команд, преднамеренно включенных в программные продукты. При определенных условиях они инициируют выполнение функций ПО, не описанных в сопутствующей документации, что может привести как к изменению функционирования вычислительной системы, так и к несанкционированному считыванию и модификации информации вплоть до ее уничтожения. CAD- и PDM-системы, как информационные среды, обрабатывающие конфиденциальную информацию, являются в этом плане потенциально уязвимыми объектами.

Рассмотрим сертификацию программно-технических средств.

Соответствие ПО требованиям безопасного применения обеспечивается системой сертификации. Для обеспечения контроля над информацией определенной категории, в первую очередь связанной с национальной безопасностью, государство предъявляет определенные требования к производителям ПО. Сегодня в мире существует достаточно большое количество систем сертификации программного обеспечения – как национальных, так и международных.

Российская система сертификации ПО для госсектора заметно отличается от зарубежных систем и имеет более высокие требования. На соответствие проверяется каждая копия ПО с целью обеспечения полной идентичности образцу, прошедшему проверку и испытания при сертификации, то есть существует возможность в любое время проконтролировать продукты на отсутствие несертифицированных изменений. Для сравнения: по условиям международной системы сертификации Common Сriteria идентичность каждого продаваемого экземпляра не контролируется и используемый экземпляр ПО может, в принципе, не соответствовать протестированному.

Внутри РФ действует несколько систем сертификации, ориентированных на различные предметные области. Так, сертификация ФСБ сфокусирована на проверке криптографических алгоритмов.

Что касается системы сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК), то она исследует весь функционал ПО, за исключением его криптографической части. Требования системы сертификации ФСТЭК являются открытыми и опубликованы на официальном сайте организации (www.fstek.ru).

Сертифицированное ФСТЭК России программное обеспечение рекомендуется применять организациям государственного сектора, поскольку оно позволяет легально обрабатывать на рабочих местах конфиденциальную информацию, защищаемую в соответствии с законодательством РФ, и устраняет риски санкций со стороны ФСБ и ФСТЭК, контролирующих соблюдение законодательства в сфере информационной безопасности.

В настоящее время единственными в Российской Федерации CAD- и PDM-системами, имеющими документальное подтверждение принципиальной возможности работы с конфиденциальными данными, являются программные продукты КОМПАС-3D и ЛОЦМАН:PLM.

В декабре 2009 года компания АСКОН завершила работы по сертификации этих систем, и данное ПО можно безопасно использовать для разработки продукции военного назначения, ракетной техники, ядерных и любых других объектов, связанных с необходимостью обеспечения конфиденциальности обрабатываемых данных, а также для выпуска соответствующей технической документации.

Преимуществами решений АСКОН являются высокое качество и полное удовлетворение требований, предъявляемых к современному производству как с точки зрения международного менеджмента качества, так и с позиций управления жизненным циклом изделия на этапе конструкторско-технологической подготовки производства (КТПП), а также полное соответствие российским стандартам.


Источники:
1. Магомедов, А. Информационная безопасность и защита инженерных данных // САПР. – 2010 [http://ascon.ru/source/articles/SiG_01_2010.pdf]
2. Система безопасности данных КОМПАС-Защита
[http://machinery.ascon.ru/software/developers/items/?prpid=828]
3. Личман, А.В., Синяков, Е.С. Время эффективных инноваций. Комплекс решений АСКОН для машиностроения // CAD/CAM/CAE Observer. – 2009. – №51 [http://ascon.ru/source/articles/vremja_innovacij.pdf]

Автор: Челябэнергопроект
Дата: 23.03.2010

Комментарии специалистов Челябэнергопроект:
Нет
Статьи

смета проектных работ
©Челябэнергопроект – проектные работыinfo@chepr.ru, 2007-2013
DRA.RU - проектирование сайта под ключ; системный администратор ООО «Челябэнергопроект»
Главная|О компании|Стратегия|
Компетенция / услуги|Контакты
Сертификат качества