Москва, г. Москва и Московская область, Россия
Москва, г. Москва и Московская область, Россия
г. Москва и Московская область, Россия
Целью научной работы является создание методики построения иерархических уровней конфиденциальности информационных ресурсов промышленного предприятия в зависимости от этапов жизненного цикла производства. Основу методики составляет модель Белла-Лападулы «не писать ниже, не читать выше», применяемая поэтапно к жизненному циклу производства. Новизной работы является предложенная креативная концепция использования модели разграничения доступа к информационным ресурсам промышленного предприятия относительно этапов жизненного цикла производства. Результатом исследования являются рекомендации по применению модели Белла-Лападулы при построении иерархических уровней конфиденциальности информационных ресурсов. При этом иерархичность уровней определяется согласно этапам жизненного цикла.
автоматизация, конфиденциальность, жизненный цикл производства, защита информации, информационная безопасность
Введение
Современные промышленные предприятия сталкиваются с задачей обеспечения высокого уровня конфиденциальности информационных ресурсов [1 – 4]. Однако при этом важно соблюдать баланс «цена-качество» и при выборе средств защиты не заходить за рамки бюджета. Статья посвящена решению задачи рационального распределения средств обеспечения конфиденциальности информационных ресурсов в зависимости от этапа жизненного цикла производства.
Исследование возможных причин инцидентов информационной безопасности. Анализ жизненного цикла производства продукции промышленного предприятия
Жизненный цикл (ЖЦ) производства продукции промышленного предприятия состоит из основных этапов, представленных на рис. 1 [5 – 9].
Рис. 1. Основные этапы ЖЦ производства промышленного предприятия
Fig. 1. Main stages of life cycle of production of an industrial enterprise
Согласно рис. 1, ЖЦ производства состоит из последовательности этапов, начиная с идеи и заканчивая утилизацией. При этом каждый этап (кроме этапа идеи) имеет обратные связи со всеми предыдущими этапами. Данные обратные связи позволяют вносить изменения, в том числе в процессы управления ресурсами, что обеспечивает своевременную минимизацию и исправление ошибок.
При этом цена ошибки (или дефекта) является наиболее высокой на начальных этапах ЖЦ. Это связано, в первую очередь, с уже затраченными материальными, трудовыми и информационными ресурсами предприятия на последующих этапах ЖЦ [5 – 10].
Иерархические уровни конфиденциальности информационных ресурсов промышленного предприятия
Наиболее популярной модельною градации уровней конфиденциальности является модель Белла-Лападулы. Схема Белла-Лападулы для двух уровней конфиденциальности представлена на рис. 2, для нескольких уровней – на рис. 3.
Рис. 2. Модель Белла-Лападулы для двух уровней конфиденциальности [7, 11]
Fig. 2. Bell-Lapadula model for two levels of privacy [7, 11]
Рис. 3. Модель Белла-Лападулы для N уровней конфиденциальности [12]
Figure 3. Bell-Lapadula model for N levels of privacy [12]
В модели разграничения доступа задействованы:
– субъекты с высоким и низким уровнями доступа – работники предприятия;
– объекты с низкой и высокой конфиденциальностью – единицы информационных ресурсов предприятия.
Согласно рис. 2, субъект с высоким уровнем доступа имеет право:
– производить запись (вносить изменения) в объект высокой конфиденциальности;
– читать содержимое объекта высокой конфиденциальности;
– читать содержимое объекта низкой конфиденциальности.
Производить запись в объект с низкой конфиденциальностью субъект с высоким уровнем доступа не имеет права, так как таким образом он может внести более конфиденциальные сведения в объект, и тем самым повысить уровень конфиденциальности объекта.
Субъект с низким уровнем доступа имеет право:
– производить запись («дозапись») в объект высокой конфиденциальности;
– производить запись («дозапись») в объект низкой конфиденциальности;
– читать содержимое объекта низкой конфиденциальности.
Читать содержимое объекта более высокой конфиденциальности субъект с низким уровнем доступа не имеет права. Таким образом модель Белла-Лападулы определяется выражением «Не писать ниже, не читать выше».
Согласно рис. 3, в рассматриваемой системе существует N уровней конфиденциальности ресурсов, и N уровней доступа к ним.
Наиболее высоким уровнем доступа субъекта (и конфиденциальности объекта) является уровень «1», наиболее низким – уровень «N».
Таким образом, субъект с уровнем доступа «1» может читать содержимое абсолютно всех объектов (ресурсов) системы. Однако редактировать (модифицировать, вносить любые изменения) может только объект с уровнем доступа «1».
Субъект с уровнем доступа «N» может производить «дозапись» в информационные ресурсы во все объекты системы, однако читать содержимо может только у объекта с уровнем конфиденциальности «N».
Субъект с уровнем доступа «i» может читать содержимое объектов с уровнями конфиденциальности [i, i+1, …, N], может производить «дозапись» в объекты с уровнями конфиденциальности [1, 2, …, i].
Применение модели Белла-Лападулы для этапов жизненного цикла производства продукции промышленного предприятия
На рис. 4 представлена модель Белла-Лападулы для этапов ЖЦ производства продукции промышленного предприятия.
Согласно рис. 4, наибольшим уровнем конфиденциальности обладают информационные ресурсы на этапе идеи. Наименьший уровень конфиденциальности соответствует этапам эксплуатации и утилизации. Это также связано с передачей продукции клиенту.
Также важно отметить временной аспект: чем «дальше» этап ЖЦ от первого этапа – этапа идеи, тем быстрее информационные ресурсы теряют свою актуальность, и соответственно уровень конфиденциальности понижается.
При этом ошибка на этапе идеи влечет за собой необходимость модификации (и дополнительные расходы) на всех последующих этапах ЖЦ, в то время как ошибка на этапе утилизации требует внесения изменений только в рамках текущего этапа ЖЦ.
Таким образом, понижение уровня конфиденциальности информационных ресурсов от этапа идеи к этапу утилизации связано с понижением их ценности и актуальности, а также с понижением цены ошибки.
Рис. 4. Модель Белла-Лападулы для этапов ЖЦ производства продукции промышленного предприятия
Fig. 4. Bell-Lapadula model for the life cycle stages of industrial production
Согласно рис. 4 на предприятии для работников предусмотрено три уровня доступа к ресурсам: «высший», «средний», «низкий»:
– работники предприятия с наивысшим уровнем доступа могут:
- вносить изменения в ресурсы на этапе ЖЦ «Идея»;
- просматривать ресурсы на всех этапах ЖЦ;
– работники предприятия со средним уровнем доступа могут:
- вносить изменения в ресурсы на этапах ЖЦ:
- «Идея»;
- «Исследование рынка (Маркетинг)»;
- «Планирование»;
- «Конструирование»;
- просматривать ресурсы на этапах ЖЦ:
- «Конструирование»;
- «Производство»;
- «Эксплуатация»;
- «Утилизация»;
– работники предприятия с наивысшим уровнем доступа могут:
- просматривать ресурсы на этапах ЖЦ «Эксплуатация», «Утилизация»;
- вносить изменения в ресурсы на всех этапах ЖЦ.
Где «вносить изменения» в ресурсы в контексте статьи – предлагать методы улучшения (совершенствования) управления ими в рамках обратной связи этапов ЖЦ, а «просматривать ресурсы» – иметь полный доступ к управлению ресурсами этапа ЖЦ.
Таким образом, распределение механизмов защиты должно быть проведено согласно понижению уровня конфиденциальности информационных ресурсов промышленного предприятия, относительно последовательности этапов ЖЦ производства.
Заключение
Статья посвящена решению актуальной задачи рационального распределения механизмов обеспечения должного уровня конфиденциальности информационных ресурсов промышленного предприятия. Представлена схема совмещения модели Белла-Лападулы с моделью этапов ЖЦ производства. Также в работе рассмотрен аспект корреляции актуальности и конфиденциальности информационных ресурсов в рамках ЖЦ производства продукции предприятия.
1. Kuznetsova N.M., Karlova T.V., Bekmeshov A.Yu. Method of Timely Prevention from Advanced Persistent Threats on the Enterprise Automated Systems // 2022 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS).
2. Kuznetsova N.M., Karlova T.V., Bekmeshov A.Yu. et. al. Mathematical and Algorithmic Prevention of Biometric Data Leaks Proceedings of the 2021 IEEE International Conference «Quality Management, Transport and Information Security, Information Technologies», IT and QM and IS 2021, 2021, pp. 210-212.
3. Kuznetsova N.M, Karlova T.V., Bekmeshov A.Yu., et. al. Development of the Model for Automating the Process of Information Transfer in Order to Increase Its Realibility, 2023 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS), Petrozavodsk, Russian Federation, 2023, pp. 56 58.
4. Karlova T.V., Bekmeshov A.Yu., Kuznetsova N.M. Protection the Data Banks in State Critical Information Infrastructure Organizations / Proceedings of the 2019 IEEE International Conference «Quality Management, Transport and Information Security, Information Technologies» (IT&QM&IS), Sochi, Russia // Proceedings Edited by S. Shaposhnikov, St. Petersburg, Russia: Saint Petersburg Electrotechnical University «LETI», 2019.
5. Кузнецова Н.М., Карлова Т.В. Всеобщее управление качеством. Решение задачи повышения уровня информационной безопасности в рамках комплексного обеспечения качества на промышленном предприятии: уч. пос. – М.: Янус-К, 2019. – 64 с.
6. Кузнецова Н.М., Карлова Т.В. Средства и методы управления качеством. Аспекты автоматизации процессов. Управления качеством на промышленном предприятии. уч. пос. – М.: Янус-К, 2019. – 112 с.
7. Кузнецова Н.М., Карлова Т.В. Управление, моделирование и анализ производственных процессов: уч. пос. – М.: Янус-К, 2021. – 108 с.
8. Кузнецова Н.М., Карлова Т.В. Совершенствование процессов управления в производственной среде. Аспекты автоматизации процессов управления: уч. пос. – М.: Янус-К, 2021. – 160 с.
9. Ефимов В.В. Средства и методы управления качеством: уч. пос. – 3-е изд., стер. – М.: КНОРУС, 2012. – 232 с.
10. Макконнелл С. Совершенный код. Мастер-класс / Пер. С англ. – М.: издательство «Русская Редакция»; СПб. :Питер, 2008. – 896 с.
11. Хорев П.Б. Программно-аппаратная защита информации: уч. пос. – 2-е испр. и доп. – М. ФОРУМ : ИНФА-М, 2019. – 352 с.
12. Кузнецова Н.М. Применение биометрической аутентификации в автоматизированных системах защиты стратегически важных ресурсов предприятия: монография. – М: ФГБОУ ВО «МГТУ «СТАНКИН», Янус-К, 2023. – 136 с.
