Информационная безопасность систем автоматизированного проектирования

    Главным документом в области обеспечения  безопасности в соответствии с ISO 17799 является политика безопасности. Именно она закладывает основу обеспечения и управления информационной безопасностью компании. Доступ к информационным активам компании может предоставляться сотрудникам компании, а также клиентам, подрядчикам и другим посторонним лицам. Следовательно, пользователями политики безопасности являются все те, кто имеют доступ к информационным активам компании и от деятельности кого зависит обеспечение безопасности информации компании.

    В документе политики безопасности следует  описать цели и задачи информационной безопасности, а также ценные активы компании, которые требуют защиты. Целями обеспечения информационной безопасности, как правило, является обеспечение конфиденциальности, целостности  и доступности информационных активов, а также обеспечение непрерывности  ведения бизнеса компании.

    Задачами  обеспечения информационной безопасности являются все действия, которые необходимо выполнить для достижения поставленных целей. В частности, необходимо решать такие задачи, как анализ и управление информационными рисками, расследование  инцидентов информационной безопасности, разработка и внедрение планов непрерывности  ведения бизнеса, повышение квалификации сотрудников компании в области  информационной безопасности и пр. Мероприятия по защите САПР также являются частью политики безопасности всех информационных ресурсов, а та, в свою очередь, частью концепции безопасности компании (не только информационной, но и физической, экономической и т.д.). Каждая организация должна иметь соответствующий документ (или набор документов), который в сжатой форме содержит описание всех процессов, связанных с обеспечением безопасности, перечень ответственных лиц, рисков и т.д. Именно на основе этого документа должна строиться вся работа организации. 

    Использование встроенных механизмов защиты программного обеспечения и процедур расширенной безопасности. 

    Как уже говорилось выше, современные  автоматизированные системы снабжены большим количеством различных  функций и возможностей. При этом очевидно, что любая САПР содержит встроенные возможности по обеспечению  безопасности своих информационных ресурсов, такие, как, например, идентификация и аутентификация пользователей и разграничение прав доступа. Конечно, важно отметить, что эти собственные механизмы защиты САПР не способны обеспечить безопасность ресурсов системы на должном уровне и не соответствуют ряду стандартов. Однако это не значит, что они не являются необходимыми.  Любой встроенный механизм защиты системы должен быть активизирован и обязательно дополнен другими мерами обеспечения безопасности САПР, разработанными в соответствии с принятой предприятием политикой безопасности.

    Если говорить о технических мерах (таких, как использование встроенных механизмов защиты программного обеспечения и процедур расширенной безопасности), то их можно разделить на 4 категории: отсечение нелегитимных пользователей, всесторонний контроль пользователей, имеющих права доступа, шифрование информации при передаче по сети, управление безопасностью и расследование инцидентов. Разграничение доступа позволяет реализовать принцип “минимума привилегий” и допускать к работе с САПР только авторизованных пользователей. При этом даже пользователей, имеющих право доступа, можно разделить по группам, чтобы иметь возможность сегментировать всю PLM-инфраструктуру в соответствии с различными требованиями по безопасности к каждой из групп. Реализовать данную задачу можно с помощью межсетевых экранов (firewall) и систем аутентификации. Причем аутентифицировать можно не только самих пользователей, но и компьютеры, с которых они подключаются к САПР. Можно пойти еще дальше и проверять, насколько конкретный компьютер соответствует политике безопасности – имеются ли на нем актуальные антивирусные программы, настроена ли система защиты, установлены ли все необходимые патчи и т.д. Это позволит гарантировать, что даже авторизованный, но нерасторопный пользователь, забывший вовремя обновить свой антивирус, не станет причиной снижения уровня защищенности корпоративных ресурсов. Такая технология получила название Network Access Control, называемая некоторыми производителями также Network Admission Control или Network Access Protection. Однако разграничение доступа еще не решает всех проблем с безопасностью. Необходимо также контролировать защищенность рабочих станций и серверов, на которых функционирует САПР. Это делается с помощью систем предотвращения атак уровня узла (HIPS), которые не только контролируют поведение пользователей и приложений, но и блокируют любые попытки нарушения политики безопасности. Дополнением систем данного класса являются средства контроля утечки информации через периферийные носители – USB, PCMCIA, CD, COM-порты, дискеты и т.д. Учитывая, что современные PLM-системы работают в распределенном режиме, необходимо решить еще две задачи: защитить передаваемый между компонентами трафик. С этой целью применяются технологии построения виртуальных частных сетей (VPN). Системы, обеспечивающие предотвращение атак, направленных на компоненты САПР, носят название сетевых систем отражения атак (IPS).

    При выборе технических мер защиты необходимо помнить, что они могут быть как интегрированными в инфраструктуру, так и реализованными в виде отдельных программных или программно-аппаратных решений. Интеграция позволяет сделать защиту более эффективной (за счет тесного взаимодействия с инфраструктурой) и снизить размер инвестиций.  
 

    Регулярный  аудит. 

Какие бы меры защиты ни были внедрены, с течением времени они могут утратить свою эффективность, да и сами информационные потоки могут претерпевать изменения. Поэтому необходимо регулярно проводить анализ имеющихся мер защиты, и отслеживать, как они соотносятся с необходимыми нормами и стандартами. Комплексный аудит информационной безопасности, проводимый внешними специалистами, позволяет вам получить наиболее полную и объективную оценку защищенности вашей информационной системы. К основным задачам, которые решаются в ходе аудита защищенности информационной системы относят:

• анализ структуры, функций, используемых технологий автоматизированной обработки и передачи информации в информационной системе, анализ бизнес-процессов, нормативно-распорядительной и технической документации;
• выявление значимых угроз информационной безопасности и путей их реализации, а также выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе;
• составление неформальной модели нарушителя, применение методики активного аудита для проверки возможности реализации нарушителем выявленных угроз информационной безопасности;
• анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов системы;
• разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности.

Заключение. 

    Информационные  технологии значительно расширили  возможности бизнеса. Но новые возможности  всегда сопряжены с новыми рисками. Чем сильнее основная деятельность компании зависит от информационных технологий, тем выше риск осуществления  по отношению к ней различных  угроз: например, финансового мошенничества  или хищения конфиденциальной информации. Когда возможный ущерб от потенциальных  угроз достаточно велик, необходимо внедрять адекватные и экономически оправданные меры защиты. Важно понимать, что единой технологии обеспечения безопасности не существует, но на настоящий момент разработана многоуровневая стратегия, в соответствии с которой выполняется интеграция компонентов безопасности во все устройства. Следование этой стратегии позволяет обеспечить наиболее эффективную защиту даже небольших САПР, не говоря уже о территориально распределенных внедрениях. К сожалению, производители PLM-продуктов не уделяют должного внимания вопросам безопасности их использования, что не всегда позволяет задействовать встроенные возможности самих систем. Однако при правильном применении “внешних” защитных механизмов и мер, описанных выше, можно построить действительно защищенную систему управления жизненным циклом продукта и не беспокоиться ни об утечке информации, ни о нарушении работоспособности компонентов САПР. При этом основные этапы построения системы безопасности не требуют серьезных денежных затрат и усилий. А результат – гарантия выпуска продукции в срок и возможность обойти конкурентов “на вираже”.