РАЗРАБОТКА СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ СТРОИТЕЛЬНОЙ КОМПАНИИ

Научная статья
DOI:
https://doi.org/10.18454/IRJ.2016.52.175
Выпуск: № 10 (52), 2016
Опубликована:
2016/10/17
PDF

Стрункина М.С.1 ,  Воробьева А.В.2

1магистр, Кафедра "Высшая математика и физика", Направление "Прикладная информатика",

2профессор к.т.н., заведующая кафедрой "Высшая математика и физика", Московский государственный университет технологий и управления имени К. Г. Разумовского

РАЗРАБОТКА СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ СТРОИТЕЛЬНОЙ КОМПАНИИ

Аннотация

В статье рассматриваются проблемы распространения информации в различные информационные структуры, возможность сохранения конфиденциальности внутри компании. Рассматриваются все возможные факторы, которые могут предотвратить попадания личных данных в общую информационную базу. Для того что сохранить безопасность информации, используются программы специального назначения.

   Ключевые слова: защита информации, Строительные компании, программы специального назначения

Strunkina M.S.1, Vorobyeva A.V.2

1Master, Department of "Higher mathematics and physics"/ "Applied Computer Science" direction,

2PhD in Engineering, Professor, Head of the Chair  "Higher mathematics and physics", Moscow State University of Technologies and Management named after K.G. Razumovsky

DEVELOPMENT OF INFORMATION SECURITY SYSTEM FOR A CONSTRUCTION COMPANY

Abstract

The article deals with the problem of the dissemination of information in a variety of information structures, the ability to maintain confidentiality within the company. We consider all possible factors that can prevent personal data into a common data base. In order to maintain the security of the information used by special-purpose programs.

Keywords: information security, construction companies, special purpose program

В настоящее время уделяется большое внимание вопросам построения защищенных информационных систем, что связано с растущей необходимостью применения современных информационных технологий в тех областях, для которых основным требованием к автоматизированным системам обработки информации является обеспечение безопасности. Широко распространенные операционные системы (ОС) типа Linux или Windows не могут удовлетворить этому критерию. В то же время эти ОС обладают огромным количеством приложений для обработки информации и имеют привычный для пользователя интерфейс.

Наиболее полные исследования проблем обеспечения безопасности информации, использования незащищенных компонентов для безопасной обработки информации, подходов к построению защищенных информационных систем и моделей безопасности выполнены в работах В.А. Герасименко, С.П. Расторгуева, Л.М. Ухлинова, А.И. Толстого, С.Н. Смирнова, А.А. Грушо, А.Ю. Щербакова, Зегжды П.Д., а также зарубежных К. Лендвера, Д. МакЛина, Р. Сандху, П. Самарати, М. Бишопа, К. Брайса, П. Ньюмена, Т. Джегера и многих других.

На основе этих результатов для удовлетворения высоких требований к безопасности создаются специальные защищенные ОС (ЗОС), нацеленные в основном на обеспечение безопасности и сохранение целостности защищаемых информационных ресурсов.

Проблема защиты информации и обеспечения информационной безопасности уже давно является одним из главных приоритетов современных организаций.

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

В строительных компаниях  разрабатывается огромное множество проектов.

Документация по разработанным проектам   хранится в бумажном и электронном архивах. Таким образом, единого хранилища доступной информации не существует, что не позволяет эффективно использовать накопленный компанией опыт. Эту проблему можно решить с помощью базы данных, которая бы собрала воедино наиболее важные сведения о завершенных проектах. Однако в большей степени сведения о проекте необходимы компании непосредственно во время разработки. Здесь необходимо контролировать все стадии, начиная от эскизного проекта до выпуска рабочей документации.

Поэтому важно не только собрать информацию, но и поддерживать её в актуальном состоянии. Постоянное обновление и контроль требуют дополнительных средств, в том числе слежения программой за сроками выполнения работ, предоставление проектному менеджеру сведений о выполненных работах, об отклонениях от графика и т.д. Периодически необходимо формировать ответные и платежные документы на основе выполненных работ. Помимо этого может возникнуть необходимость в редактировании состава проекта, который является одним из основополагающих документов. Таким образом, возникает необходимость во внедрении системы, содержащей базу данных по проектам и обеспечивающей гибкое управление за счет перечисленных выше функций.

Сегодня на рынке информационной безопасности существует множество программ, который в той или иной степени поддерживают ведение проектов и обеспечивают защиту информации в строительных организациях. Однако большинство из них рассчитаны не на проектную деятельность (выпуск проектной документации в сфере строительства), а на проекты как метод управления компанией.

Схема реализации проекта по обеспечению безопасности в строительной организации представлена на рис.1. Вся схема должна работать четко и отлажено. Информационная защита   данных должна происходить таким образом, чтобы  не мешать сотрудникам компании заниматься  повседневными задачами.

Для обеспечения информационной безопасности и управляемости сети в строительных предприятиях используются следующие приемы. Системный администратор сети имеет возможность добавлять, менять и уничтожать параметры учетных записей пользователей для самых разных платформ, операционных систем и приложений. Такой подход, называется «единой точкой регистрации».

Управление информационной безопасностью системы из единой точки позволяет объединить в единую базу данных контроля доступа к ресурсам. Хороший защитный сервер предприятия обеспечивает прозрачное представление информации обо всех доступных пользователю ресурсах.

Система информационной безопасности выявляет подозрительные действия со стороны как внутренних, так и внешних пользователей. Для этого используются программы специального назначения.

Внедрение DLP-системы. Данная система защиты от утечек данных призвана обеспечивать контроль над распространением конфиденциальной информации за пределы предприятия по доступным каналам передачи информации. DLP - решение предотвращает несанкционированные операции с конфиденциальной информацией (копирование, изменение и т.д.) и ее перемещение (пересылку, передачу за пределы организации и т.д.). Функционал DLP направлен в первую очередь на защиту от случайных утечек, которые, как мы уже видели, из приведенной выше статистики, происходят чаще.

Основная задача DLP-системы заключается в том, чтобы обезопасить общество от нежелательных элементов и их пропагандистских заявлений. Рассмотренное нами явление носит именно социальный характер.

DLP – системы это довольно дорогостоящее оборудование. Экономическая эффективность применения средств, для защиты конфиденциальной информации, понятие, можно сказать, абстрактное.

Об экономических аспектах применения средств защиты информации и безопасности в целом, вспоминают обычно или в период формирования бюджета на следующий год или, когда произошло ЧП, например, утечка информации, проникновение в сеть или просто инцидент с нарушением безопасности.

Как правило, для оценки доходной части сначала анализируют те цели, задачи и направления бизнеса, которые нужно достигнуть с помощью внедрения или реорганизации существующих проектов в области информационной безопасности. Далее используют некоторые измеримые показатели эффективности бизнеса для оценки отдельно по каждому решению. Указанные показатели не надо выдумывать, они существуют в избыточном виде. Затем можно использовать методику расчета коэффициентов возврата инвестиций в инфраструктуру предприятия (ROI).

Показатель ROI определяется отношением суммы прибыли или убытков к сумме инвестиций. Значением прибыли может быть: процентный доход, прибыль/убытки по бухгалтерскому учету, прибыль/убытки по управленческому учету, чистая прибыль/убыток. Значением суммы инвестиций — активы, капитал, сумма основного долга бизнеса, другие, выраженные в деньгах, инвестиции.

Применение всевозможных технических средств не решает в полном объеме задачи по устранению угроз внешних вмешательств и возможности утечки информации конфиденциального содержания. Для комплекса необходимо также применение методов административного воздействия на персонал компании.

Поскольку строительные компании являются многопрофильными предприятиями и имеют в своей структуре, в том числе и логистический комплекс, то существуют дополнительные меры которые можно применить для обеспечения безопасности и защиты конфиденциальной информации.

Модернизацию всего этого процесса возможно осуществить путем внедрения в деятельность службы безопасности предприятия автоматизированной системы обеспечения пропускного режима. Для подготовки документов целесообразно использовать систему электронного документооборота (СЭД, на базе программы 1С), обеспечивающую автоматизированную подготовку необходимых документов в электронном виде, заверенных электронной подписью (ЭП), и их передачу по локальной сети. Для пропуска посетителей и сотрудников внедрить автоматизированную электронную систему с использованием магнитных электронных карт (прокси - карт) и автоматических пропускников (СКУД). На основании сведений обо всех посетителях и сотрудниках могут выдаваться отчеты о работе системы пропускного режима, а также справки по отдельным запросам. Создание эффективной системы пропускного режима позволит значительно сократить временные затраты на подготовку документов и обеспечит службу безопасности информацией, необходимой для выполнения ее функций и, как следствие, осуществлять контроль всех групп сотрудников и посетителей. Дополнительно можно будет контролировать время прихода и ухода каждого сотрудника.

Все эти меры в комплексе дают возможность дополнительного контроля, что, соответственно, обеспечивает безопасность на предприятии.

arta

Рис. 1 - Порядок выбора и применения мер обеспечения безопасности конфиденциальной информации и персональных данных

Список литературы / References

  1. Маилян Л.Р. Справочник современного проектировщика. Учебное пособие.- М.: Феникс, 2008. - 206 с.
  2. Мельников В.П. Информационная безопасность и защита информации: Учебное пособие для вузов — М.: Академия, 2008. — 336 c.
  3. Парошин А.А. Информационная безопасность: стандартизированные термины и понятия. – Владивосток: Изд - во Дальневосточное федерального ун – та, 2010. - 116 с.

Список литературы латинскими символами / References in Roman script

  1. Mailyan L.R. Spravochnik sovremennogo proektirovshhika. Uchebnoe posobie. [Handbook of contemporary designer. Manual]. - M.: Phoenix, 2008. - 206 p. [in Russian]
  2. Melnikov V.P. Informacionnaja bezopasnost' i zashhita informacii: Uchebnoe posobie dlja vuzov [Information security and data protection: Textbook for high schools]. - M .: Akademija, 2008. - 336 p. [in Russian]
  3. Paroshin A.A. Informacionnaja bezopasnost': standartizirovannye terminy i ponjatija [Information security: the standardized terms and concepts]. – Vladivostok: Publishing house of the Far Eastern Federal University - 2010. - 116 p. [in Russian]