eng
Выпуск #7/2020
К. Н. Темникова
Производство и применение лазеров: актуальные вопросы информационной безопасности и непрерывности деятельности
Производство и применение лазеров: актуальные вопросы информационной безопасности и непрерывности деятельности
Просмотры: 2386
DOI: 10.22184/1993-7296.FRos.2020.14.7.604.615
В статье рассматриваются вопросы производства и применения лазеров и связанные с этим возможности проникновения в программное обеспечение промышленных лазерных систем. Рассмотрены цели, преимущества и порядок внедрения системы менеджмента информационной безопасности ISO / IEC 27001:2013 (серия стандартов ISO 270ХХ). Представлен пошаговый алгоритм, как сформировать систему менеджмента информационной безопасности на предприятиях, чтобы снизить риски, избежать системных ошибок. Показана взаимосвязь предложенных мер с обеспечением непрерывности бизнеса и повышением инвестиционной привлекательности предприятий. Перебои в бизнесе приводят к потере клиентов, доходов и репутации, при этом отсутствие системы менеджмента непрерывности бизнеса на предприятии свидетельствует о неготовности к быстрому восстановлению деятельности и несоответствии международному уровню.
В статье рассматриваются вопросы производства и применения лазеров и связанные с этим возможности проникновения в программное обеспечение промышленных лазерных систем. Рассмотрены цели, преимущества и порядок внедрения системы менеджмента информационной безопасности ISO / IEC 27001:2013 (серия стандартов ISO 270ХХ). Представлен пошаговый алгоритм, как сформировать систему менеджмента информационной безопасности на предприятиях, чтобы снизить риски, избежать системных ошибок. Показана взаимосвязь предложенных мер с обеспечением непрерывности бизнеса и повышением инвестиционной привлекательности предприятий. Перебои в бизнесе приводят к потере клиентов, доходов и репутации, при этом отсутствие системы менеджмента непрерывности бизнеса на предприятии свидетельствует о неготовности к быстрому восстановлению деятельности и несоответствии международному уровню.
Теги: corporate information systems. business continuity management sy cyber security industrial laser systems. information security management system lasers информационная безопасность кибербезопасность корпоративные информационные системы лазеры промышленные лазерные системы система менеджмента информационной безопасности система менеджмента непрерывности бизнеса
Статья поступила: 14.11.2020
Статья принята к публикации: 19.11.2020
Возможности проникновения в ПО промышленных лазерных систем
Лазерные технологии развиваются быстрыми темпами. Лазерные технологические комплексы, предназначенные для реализации в промышленных условиях различных видов лазерных технологий обработки материалов, становятся все более востребованными. В этом смысле важно подчеркнуть, что «уникальные детали и изделия для заказчиков могут быть изготовлены со значительной экономией дорогостоящих материалов» [1, c. 65; 2].
Как отмечают эксперты, «продажи лазеров за десятилетие удвоилась, достигнув в 2018 году 13,76 млрд долл. объем продаж лазеров в 2019 году ожидается на уровне 14,6 млрд долл. 2018‑й был еще одним рекордным годом в секторе продажи промышленных лазеров: на уровне 5 млрд долл., в основном благодаря волоконным лазерам. Мировой рынок лазерных систем для обработки материалов в 2018 году достиг рекордного объема в 19,8 млрд долл [3].
Промышленные лазерные системы становятся все более сложными. Расширяется круг актуальных вопросов, связанных с фотонными и оптическими технологиями, оптическими материалами и элементами, используемыми в оптических системах, оборудовании и станках [4–19]. При этом промышленные комплексы высокоскоростного лазерного раскроя металлопроката, машины, создающие высококачественные изделия из металла и др., имеют сложное программное обеспечение. Безопасность и эффективность промышленных лазерных систем в значительной мере зависит от качества программного обеспечения.
Технологии с участием высокомощных лазеров (термообработка, сварка и резка) тесно связаны с информационными технологиями, в том числе с технологиями передачи информации по сети интернет, подключением различных устройств и т. п. По мере того как усложняются промышленные лазерные системы, возрастают риски проникновения в программное обеспечение этих систем.
Возможности проникновения в программное обеспечение промышленных лазерных систем связаны, например, с несвоевременным обновлением программного обеспечения, пренебрежением средствами защиты, излишней доверчивостью, несоблюдением парольной политики, недобросовестностью поставщиков и др. Следует также отметить недостаточное обеспечение информационной безопасности, нехватку высококвалифицированных кадров в этой области.
Проникновение в программное обеспечение промышленных лазерных систем возможно несколькими способами (рассмотрение этих способов может послужить предметом отдельной статьи). Злоумышленники используют различные виды программного обеспечения, методы социальной инженерии, фишинга и мошенничества. Следует во многом согласиться с тем, что по мере того, как киберпреступные посягательства будут становиться все более частыми и изощренными, конкуренция вытеснит с рынка предприятия с большим количеством инцидентов.
Как предприятиям-производителям, так и предприятиям, использующим промышленные лазерные системы, необходимо повышать конкурентоспособность, инвестиционную привлекательность и в короткий период обеспечить рост инфраструктуры и ее импортонезависимость, надежность и защищенность.
Какие пути выхода из сложившейся ситуации возможны? Назовем лишь некоторые из них:
На специализированных электронных ресурсах [22] представлены актуальные вопросы развития лазерных технологий. Вместе с тем вопросы о снижении рисков проникновения в программное обеспечение промышленных лазерных систем практически не рассматриваются.
В целях сокращения возможностей проникновения в программное обеспечение промышленных лазерных систем необходимо уделять внимание выработке единого видения обеспечения информационной безопасности как при разработке таких систем, так и при их эксплуатации с учетом совершенно новых вызовов, возникающих в информационном пространстве. При этом необходимо принимать во внимание новые риски в информационной среде с учетом того, что «киберпреступный мир развивает свои технологии, ничуть не отставая от темпов «гражданской» цифровизации, а иногда и опережая их» [23].
В связи с этим необходимо обратить внимание на возрастающую роль импортозамещения в обеспечении информационной безопасности, в том числе в части применения отечественного программного обеспечения в промышленных лазерных системах.
Внедрение системы менеджмента информационной безопасности
В специальной литературе отмечается увеличение рисков, связанных с применением цифровых технологий, распространением и сложностью киберугроз [24–26]. В связи с переходом на удаленную работу, применением дистанционных форматов взаимодействия в сети интернет риски значительно возрастают.
Для того чтобы снизить риски проникновения в программное обеспечение промышленных лазерных систем, избежать системных ошибок, целесообразно внедрить и поддерживать систему менеджмента информационной безопасности.
Рабочая группа внедрения опирается на международные стандарты, в том числе:
ISO / IEC 27001:2013(en) Information technology – Security techniques – Information security management systems – Requirements;
ISO / IEC 27000, Information technology – Security techniques – Information security management systems – Overview and vocabulary;
ISO / IEC 27002:2013, Information technology – Security Techniques – Code of practice for information security controls;
ISO / IEC 27003, Information technology – Security techniques – Information security management system implementation guidance;
ISO / IEC 27004, Information technology – Security techniques – Information security management – Measurement;
ISO / IEC 27005, Information technology – Security techniques – Information security risk management;
ISO 31000:2018, Risk management – Principles and guidelines (https://www.iso.org/obp/ui/
#iso:std:iso:31000:ed‑2:v1:en.
После приобретения международного стандарта, для разработки и внедрения системы управления информационной безопасностью в соответствии с ISO / IEC 27001 необходимо предпринять определенные последовательные действия, желательно с привлечением опытных экспертов.
Последовательность действий: диагностический аудит, подготовка рабочей группы и плана внедрения, тренинги по информационной безопасности, описание системных процедур и требований, описание базовых процедур и требований, корректировка процессов и процедур имеющихся систем менеджмента, методическая помощь по разработке / доработке документов, проведение аудитов, в том числе внутренних по итогам созданной системы менеджмента, проведение анализа созданной системы менеджмента.
Сопровождение сертификационного аудита – в случае необходимости.
Решение по внедрению системы управления информационной безопасностью в соответствии с ISO / IEC 27001 включает необходимую документацию, консалтинг, обучение, аудит, подготовку к сертификации. Решение применимо для отдельных предприятий, холдингов, групп компаний.
При внедрении системы менеджмента информационной безопасности для предприятий будут полезны такие ресурсы, как:
ISO / IEC 27001 – Руководство клиента – Информация о возможностях системы менеджмента информационной безопасности;
ISO / IEC 27001 – Брифинг для руководителей – Информация о преимуществах ISO / IEC 27001 для бизнеса;
ISO / IEC 27001 – Особенности и преимущества – Информация об особенностях и преимуществах стандарта ISO / IEC 27001;
ISO / IEC 27001 – Руководство по внедрению – Подробное руководство по внедрению системы менеджмента информационной безопасности;
ISO / IEC 27001 – Контрольный лист для самостоятельной проверки – контрольный лист для оценки степени готовности организации к внедрению системы менеджмента информационной безопасности.
Внедрение системы менеджмента информационной безопасности в соответствии с ISO / IEC 27001 позволит: повысить доверие к информационной безопасности предприятия, выполнить требования регуляторов и обязательства перед контрагентами, оптимизировать расходы на информационную безопасность.
Создание центра информационной безопасности (Security Operations Center, SOC)
Предприятиям целесообразно создать собственную сплоченную, подготовленную и мотивированную команду центра информационной безопасности (Security Operations Center, SOC). Альтернатива – использование услуг коммерческого SOC.
Согласно модели адаптивной архитектуры безопасности, разработанной Gartner, для того чтобы организация могла успешно бороться с киберпреступностью в современной среде угроз, ее команда SOC должна уметь прогнозировать, предотвращать и обнаруживать угрозы, а также эффективно реагировать на угрозы и прогнозировать будущие атаки [27].
На прошедшем SOC Forum 2019, в исследованиях SANS SOC 2018 и SANS SOC 2019 рассматривалась проблема кадрового обеспечения.
Внедрение системы менеджмента непрерывности бизнеса
Вопросы непрерывности бизнеса актуальны как в случае производства, так и в случае применения промышленных лазерных систем [28–30].
«Как сообщает портал BleepingComputer, IPG Photonics подверглась атаке вымогательского ПО, сорвавшей ее производственные процессы. Компании пришлось отключить компьютерные системы в своих представительствах по всему миру. В офисах были отключены телефоны и электронная почта, отсутствовала связь, на производстве остановились процессы изготовления деталей, не работала доставка» [31, 32].
Для устранения системных сбоев, которые могут быть связаны с проникновением в программное обеспечение промышленных лазерных систем, целесообразно внедрить международно признанный стандарт для системы менеджмента непрерывности бизнеса в соответствии с ISO 22301:2019, использовать лучшие практики.
Способность организации продолжать работать во время сбоев становиться все более актуальной. Перебои в бизнесе приводят к потере клиентов, доходов и репутации, при этом отсутствие системы менеджмента непрерывности бизнеса на предприятии свидетельствует о неготовности к быстрому восстановлению деятельности и несоответствии международному уровню.
Системы менеджмента непрерывности бизнеса должна учитывать целый комплекс вопросов, включая последствия отзыва продукции, мотивации и благополучие сотрудников, фактор заболеваний, не связанных с работой, влияние организационной зрелости на подход и результаты анализа долгосрочных тенденций, готовность организации к непредвиденным событиям, например к экстремальным погодным условиям и др.
Система управления непрерывностью бизнеса рассматривается как одно из наиболее динамично развивающихся направлений стратегического и оперативного менеджмента. Важно корректно определить цели и задачи управления непрерывностью бизнеса, область применения (основная направленность связана с обеспечением непрерывности деловых операций на установленном приемлемом уровне).
В фокусе внимания:
В начале 2020 года проявились новые тренды, новые требования регулирующих органов, поставщиков, потребителей. Существенно изменились риски [33]. Для многих предприятий актуальными стали риски информационной безопасности, риски комплаенс, риски прерывания цепочки поставок. В сложившихся условиях многие организации предпочитают использовать несколько стандартов, а не пройти сертификацию по одному стандарту. Для промышленных предприятий актуальны международные стандарты ISO 9001, ISO 14001, ISO 45001, ISO / IEC 27001, ISO 22301 и др.
Разработка и внедрение системы управления непрерывностью бизнеса в соответствии с ISO 22301 позволяет повысить эффективность управления, избежать системных ошибок. Основа этого стандарта гармонизирована с ISO 9001 и ISO / IEC 27001, что особенно важно в условиях цифровизации.
Комплексная защита информации
Для безопасного развития бизнеса, особенно при использовании промышленных лазерных систем, необходима комплексная защита информации. В этом плане необходимо сочетание передовых научно-обоснованных решений и практический опыт. Где можно найти такое сочетание? Ответ: в научно-исследовательском центре информационной безопасности.
Такой центр создан и успешно развивается. «На базе АО «Научно-исследовательского института вычислительных комплексов им. М. А. Карцева» в целях изучения и проведения работ по комплексной защите информации действует Научно-исследовательский центр информационной безопасности (НИЦ ИБ). Лаборатории Центра для проведения специальных исследований и специальных проверок оснащены необходимым оборудованием, соответствующим всем требованиям ФСТЭК и ФСБ России.
Имеются лицензии Роспотребнадзора, ФСТЭК и ФСБ России, в том числе и лицензия ФСБ России на разработку и производство шифровальных средств. Налажено взаимодействие с органами государственной власти, интеграторами, государственными корпорациями, предприятиями радиоэлектронной промышленности» [34].
Основные виды деятельности НИЦ ИБ представлены в информационном буклете, и с ними можно ознакомиться [35]:
В заключение хотелось бы отметить, что есть немало примеров успешного развития предприятий, деятельность которых непосредственно связана с промышленными лазерными системами.
Рекомендуется провести диагностический аудит, аудит поставщиков, провести обучение, внедрить системы менеджмента в соответствии с международными стандартами и лучшими практиками, повышать культуру информационной безопасности и выполнить комплекс других необходимых мер, включая выработку подхода к формированию и развитию собственной сплоченной, подготовленной и мотивированной команды SOC или использованию услуг коммерческих SOC. Важно принимать во внимание, что рано или поздно возникнет вопрос об окупаемости инвестиций в промышленные лазерные системы, а эти вопросы рассматриваются не только с точки зрения ESG-факторов, но и с точки зрения информационной безопасности, непрерывности бизнеса.
Нерешенность проблем в области информационной безопасности может привести не только к неверным данным о результатах работы, неверным выводам и неверным управленческим решениям, но и к более серьезным последствиям.
Важно, чтобы примеров успешной работы предприятий, деятельность которых непосредственно связана с промышленными лазерными системами, становилось больше. Это стратегическая задача в условиях цифровизации.
Список литературы
Холтон К. Рынок лазеров в 2020-м: обзор и прогноз. Лазерные рынки ищут свой курс в неспокойные времена. Лазер-Информ. 2020; 3 (666): 1-6.
Trumpf demonstrates additive manufacturing with copper and gold. Industrial Laser Solutions. 2019. JANUARY / FEBRUARY. Р. 6. www.industrial-lasers.com.
Белфорте Д.А. Мировой рынок лазерного оборудования для обработки материалов в промышленности. Лазер-Информ. 2020; 17-18 (680-681), 4-7.
Фоменко И. Современные лазерные системы в промышленности. 20.35. Университет НТИ. URL: http://skvot.2035.university/sovremennye-lazernye-systemy (дата обращения 12.11.2020).
Отчетный доклад Президента Лазерной ассоциации И. Б. Ковша. Лазер-Информ. 2018; 5–6 (620–621): 1–7.
Ковш И. Б. Фотоника в России: состояние и задачи. Лазер-Информ. 2019; 4 (643): 1–16.
Овертон Г., Ноджи А., Бельфорте Д., Геверт Б. Мировой лазерный рынок в 2018‑м и прогноз на 2019. Лазер-Информ. 2019; 5 (644): 1–8.
Lasers forge 21st century innovations. LASER MARKETPLACE 2014 / GAIL OVERTON, ALLEN NOGEE, and CONARD HOLTON. Laser Focus World, January 2014. P. 38–40, 42, 44, 46, 49, 51–54, 56–62.
Air Force to ask industry for 75-Watt sodium laser to create artificial stars for adaptive optics / John Keller // ; artificial-stars-adaptive-optics.html?cmpid=enl_mae_defense_executive_2019–0205&pwhid=faaefc33bfc7f79fa744508baa2ae2577c1d5af697871251a3c1ab‑77b05cd2ce24b36fbd579d3e69c246472c18183959bfa 392b76b0c46b517d1af9e3ba51ab8&eid=324695413&bid=2360681 17 / 01 / 2019
Laser beam shaping for innovative applications / SAMI LAROUI. Industrial Laser Solutions, MARCH / APRIL 2019; 22–23. www.industrial-lasers.com.
Spectrum supplies laser marking system for use in manufacturing Mars lander. Industrial Laser Solutions, MARCH / APRIL 2019. Р.10. www.industrial-lasers.com.
Игнатов А. Г. Военное применение лазерной техники набирает обороты и начинает определять технический уровень современного и перспективного вооружения. Фотоника. 2016; 56(2); 14–25.
Pelaprat J. M. , Fritz R. , Finuf M., Zediker M. High-power blue laser improves fabrication throughput . Industrial Laser Solutions. 2018; 1–2: 17–20.
Japan develops blue laser for advanced materials processing / KOJI TOJO, SHINICHIRO MASUNO, RITSUKO HIGASHINO, AND MASAHIRO TSUKAMOTO; Shimadzu Corporation.Industrial Laser Solutions. 2018, September / October, p. 27–31; www.industrial-lasers.com.
Belforte D. My view. Lasers make it better. Industrial Laser Solutions. 2018; № 1–2: 32.
Japan develops blue laser for advanced materials processing / KOJI TOJO, SHINICHIRO MASUNO, RITSUKO HIGASHINO, AND MASAHIRO TSUKAMOTO; Shimadzu Corporation. Industrial Laser Solutions. 2018, September / October, p. 27–31; www.industrial-lasers.com.
NUBURU has invented and is manufacturing the world’s first revolutionary high-power blue laser // URL: http://www.nuburu. net / markets / 31 / 01 / 2019
Trumpf demonstrates additive manufacturing with copper and gold // Industrial Laser Solutions, 2019, JANUARY / FEBRUARY. Р. 6. www.industrial-lasers.com.
2018 was another record year, contending with turmoil / DAVID A. BELFORTE. Industrial Laser Solutions. 2019, JANUARY / FEBRUARY. Р. 9–11. www.industrial-lasers.com.
Большой Национальный форум информационной безопасности. URL: https://infoforum.ru/main/17‑i-nacionalnyi-forym-informacionnoi-bezopasnosti (дата обращения: 12 ноября 2020 года).
URL: https://www.anti-malware.ru/analytics/Threats_Analysis/cyber-threats-and-security-tools-evolving‑2020‑forecast
Портал Photonica.Pro [Электронный ресурс]. URL: http://photonica.pro / (дата обращения: 12.11.2020).
Большой Национальный форум информационной безопасности. URL: https://infoforum.ru/main/17‑i-nacionalnyi-forym-informacionnoi-bezopasnosti (дата обращения: 12 ноября 2020 года).
Белоус А. И. , Солодуха В. А. Кибероружие и кибербезопасность. О сложных вещах простыми словами. – Москва. Вологда: Инфра-Инженерия, 2020. – 692 с.
Вайл П., Ворнер С. Цифровая трансформация бизнеса: Изменение бизнес-модели для организации нового поколения . – М.: Альпина Паблишер, 2019. – 257 с.
Кибербезопасность цифровой индустрии. Теория и практика функциональной устойчивости к кибератакам / Под редакцией профессора РАН, д.т.н. Д. П. Зегжды. – М.: Горячая линия – Телеком, 2020. – 560 с.: ил.
https://media.kaspersky.com/ru/business-security/enterprise/brochure-soc-powered-by-kl.pdf
Милославская Н. Г., Сенаторов М. Ю., Толстой А. И. Управление инцидентами информационной безопасности и непрерывностью бизнеса. Учебное пособие для вузов. – 2‑е изд., испр. – М.: Горячая линия – Телеком, 2019. – 170 с.: ил. – Серия «Вопросы управления информационной безопасностью. Выпуск 3».
Андрианов В. В. , Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса / 2‑е изд., перераб. и доп. – М.: ЦИПСиР: Альпина Паблишерз, 2011. – 373 с. + 8 с. вкл.
Конеев И. Р. Система управления непрерывностью бизнеса: Почему она должна быть внедрена на каждом предприятии? – М.: ЛЕНАНД, 2016. – 352 с.
URL: http://www.itsec.ru/news/krupneyshiy-v-ssha-proizvoditel-volokonnih-lazerov-stal-zhertvoy-vimogatelksogo-po
URL: https://www.securitylab.ru/news/512278.php
https://reports.weforum.org/global-risks-report‑2020/executive-summary/
http://www.niivk.ru/index.php?id=107
http://www.niivk.ru/images/ISRC.pdf
Автор
Темникова Ксения Николаевна, Московский политехнический университет, доц. кафедры «Информационная безопасность», ООО «Профконсалт ИСМ»,
эксперт, к. э. н.
ORCID 0000-0002-9645-7886,
идентификатор в РИНЦ SPIN-код: 6988-2051.
Профиль: консультирование, внедрение и аудит систем менеджмента информационной безопасности и систем менеджмента непрерывности бизнеса, инвестиции в промышленных роботов, лазерные технологические комплексы.
Статья принята к публикации: 19.11.2020
Возможности проникновения в ПО промышленных лазерных систем
Лазерные технологии развиваются быстрыми темпами. Лазерные технологические комплексы, предназначенные для реализации в промышленных условиях различных видов лазерных технологий обработки материалов, становятся все более востребованными. В этом смысле важно подчеркнуть, что «уникальные детали и изделия для заказчиков могут быть изготовлены со значительной экономией дорогостоящих материалов» [1, c. 65; 2].
Как отмечают эксперты, «продажи лазеров за десятилетие удвоилась, достигнув в 2018 году 13,76 млрд долл. объем продаж лазеров в 2019 году ожидается на уровне 14,6 млрд долл. 2018‑й был еще одним рекордным годом в секторе продажи промышленных лазеров: на уровне 5 млрд долл., в основном благодаря волоконным лазерам. Мировой рынок лазерных систем для обработки материалов в 2018 году достиг рекордного объема в 19,8 млрд долл [3].
Промышленные лазерные системы становятся все более сложными. Расширяется круг актуальных вопросов, связанных с фотонными и оптическими технологиями, оптическими материалами и элементами, используемыми в оптических системах, оборудовании и станках [4–19]. При этом промышленные комплексы высокоскоростного лазерного раскроя металлопроката, машины, создающие высококачественные изделия из металла и др., имеют сложное программное обеспечение. Безопасность и эффективность промышленных лазерных систем в значительной мере зависит от качества программного обеспечения.
Технологии с участием высокомощных лазеров (термообработка, сварка и резка) тесно связаны с информационными технологиями, в том числе с технологиями передачи информации по сети интернет, подключением различных устройств и т. п. По мере того как усложняются промышленные лазерные системы, возрастают риски проникновения в программное обеспечение этих систем.
Возможности проникновения в программное обеспечение промышленных лазерных систем связаны, например, с несвоевременным обновлением программного обеспечения, пренебрежением средствами защиты, излишней доверчивостью, несоблюдением парольной политики, недобросовестностью поставщиков и др. Следует также отметить недостаточное обеспечение информационной безопасности, нехватку высококвалифицированных кадров в этой области.
Проникновение в программное обеспечение промышленных лазерных систем возможно несколькими способами (рассмотрение этих способов может послужить предметом отдельной статьи). Злоумышленники используют различные виды программного обеспечения, методы социальной инженерии, фишинга и мошенничества. Следует во многом согласиться с тем, что по мере того, как киберпреступные посягательства будут становиться все более частыми и изощренными, конкуренция вытеснит с рынка предприятия с большим количеством инцидентов.
Как предприятиям-производителям, так и предприятиям, использующим промышленные лазерные системы, необходимо повышать конкурентоспособность, инвестиционную привлекательность и в короткий период обеспечить рост инфраструктуры и ее импортонезависимость, надежность и защищенность.
Какие пути выхода из сложившейся ситуации возможны? Назовем лишь некоторые из них:
- решение кадрового вопроса в области информационной безопасности (при этом следует учитывать, что «нередко отстаивать хороших специалистов приходится у хакеров» [20]);
- использование средств защиты, своевременное обновление программного обеспечения;
- аудит поставщиков программного обеспечения (здесь следует обратить внимание на мнение экспертов в отношении смежных отраслей: «Проблему для энергетического сектора будут составлять «supply chain» – атаки со стороны поставщиков программного и аппаратного обеспечения» [21]);
- участие специалистов по информационной безопасности в работе кросс-функциональных продуктовых групп, то есть активно использовать принцип DevSecOps (этот принцип получает все большее распространение в мире);
- повышение компетенций самих разработчиков, уровня их культуры в области информационной безопасности;
- разумный баланс между удобством и безопасностью инновационных решений;
- проверка всех принимаемых решений с точки зрения информационной безопасности (лазерным технологиям и технологиям управления инновациями уделяется особое внимание);
- внедрение систем менеджмента информационной безопасности в соответствии с ISO / IEC 27001 (серией стандартов ISO 270XX, лучшими практиками);
- внедрение систем менеджмента непрерывности бизнеса в соответствии с ISO 22301;
обучение персонала, проведение тренингов.
На специализированных электронных ресурсах [22] представлены актуальные вопросы развития лазерных технологий. Вместе с тем вопросы о снижении рисков проникновения в программное обеспечение промышленных лазерных систем практически не рассматриваются.
В целях сокращения возможностей проникновения в программное обеспечение промышленных лазерных систем необходимо уделять внимание выработке единого видения обеспечения информационной безопасности как при разработке таких систем, так и при их эксплуатации с учетом совершенно новых вызовов, возникающих в информационном пространстве. При этом необходимо принимать во внимание новые риски в информационной среде с учетом того, что «киберпреступный мир развивает свои технологии, ничуть не отставая от темпов «гражданской» цифровизации, а иногда и опережая их» [23].
В связи с этим необходимо обратить внимание на возрастающую роль импортозамещения в обеспечении информационной безопасности, в том числе в части применения отечественного программного обеспечения в промышленных лазерных системах.
Внедрение системы менеджмента информационной безопасности
В специальной литературе отмечается увеличение рисков, связанных с применением цифровых технологий, распространением и сложностью киберугроз [24–26]. В связи с переходом на удаленную работу, применением дистанционных форматов взаимодействия в сети интернет риски значительно возрастают.
Для того чтобы снизить риски проникновения в программное обеспечение промышленных лазерных систем, избежать системных ошибок, целесообразно внедрить и поддерживать систему менеджмента информационной безопасности.
Рабочая группа внедрения опирается на международные стандарты, в том числе:
ISO / IEC 27001:2013(en) Information technology – Security techniques – Information security management systems – Requirements;
ISO / IEC 27000, Information technology – Security techniques – Information security management systems – Overview and vocabulary;
ISO / IEC 27002:2013, Information technology – Security Techniques – Code of practice for information security controls;
ISO / IEC 27003, Information technology – Security techniques – Information security management system implementation guidance;
ISO / IEC 27004, Information technology – Security techniques – Information security management – Measurement;
ISO / IEC 27005, Information technology – Security techniques – Information security risk management;
ISO 31000:2018, Risk management – Principles and guidelines (https://www.iso.org/obp/ui/
#iso:std:iso:31000:ed‑2:v1:en.
После приобретения международного стандарта, для разработки и внедрения системы управления информационной безопасностью в соответствии с ISO / IEC 27001 необходимо предпринять определенные последовательные действия, желательно с привлечением опытных экспертов.
Последовательность действий: диагностический аудит, подготовка рабочей группы и плана внедрения, тренинги по информационной безопасности, описание системных процедур и требований, описание базовых процедур и требований, корректировка процессов и процедур имеющихся систем менеджмента, методическая помощь по разработке / доработке документов, проведение аудитов, в том числе внутренних по итогам созданной системы менеджмента, проведение анализа созданной системы менеджмента.
Сопровождение сертификационного аудита – в случае необходимости.
Решение по внедрению системы управления информационной безопасностью в соответствии с ISO / IEC 27001 включает необходимую документацию, консалтинг, обучение, аудит, подготовку к сертификации. Решение применимо для отдельных предприятий, холдингов, групп компаний.
При внедрении системы менеджмента информационной безопасности для предприятий будут полезны такие ресурсы, как:
ISO / IEC 27001 – Руководство клиента – Информация о возможностях системы менеджмента информационной безопасности;
ISO / IEC 27001 – Брифинг для руководителей – Информация о преимуществах ISO / IEC 27001 для бизнеса;
ISO / IEC 27001 – Особенности и преимущества – Информация об особенностях и преимуществах стандарта ISO / IEC 27001;
ISO / IEC 27001 – Руководство по внедрению – Подробное руководство по внедрению системы менеджмента информационной безопасности;
ISO / IEC 27001 – Контрольный лист для самостоятельной проверки – контрольный лист для оценки степени готовности организации к внедрению системы менеджмента информационной безопасности.
Внедрение системы менеджмента информационной безопасности в соответствии с ISO / IEC 27001 позволит: повысить доверие к информационной безопасности предприятия, выполнить требования регуляторов и обязательства перед контрагентами, оптимизировать расходы на информационную безопасность.
Создание центра информационной безопасности (Security Operations Center, SOC)
Предприятиям целесообразно создать собственную сплоченную, подготовленную и мотивированную команду центра информационной безопасности (Security Operations Center, SOC). Альтернатива – использование услуг коммерческого SOC.
Согласно модели адаптивной архитектуры безопасности, разработанной Gartner, для того чтобы организация могла успешно бороться с киберпреступностью в современной среде угроз, ее команда SOC должна уметь прогнозировать, предотвращать и обнаруживать угрозы, а также эффективно реагировать на угрозы и прогнозировать будущие атаки [27].
На прошедшем SOC Forum 2019, в исследованиях SANS SOC 2018 и SANS SOC 2019 рассматривалась проблема кадрового обеспечения.
Внедрение системы менеджмента непрерывности бизнеса
Вопросы непрерывности бизнеса актуальны как в случае производства, так и в случае применения промышленных лазерных систем [28–30].
«Как сообщает портал BleepingComputer, IPG Photonics подверглась атаке вымогательского ПО, сорвавшей ее производственные процессы. Компании пришлось отключить компьютерные системы в своих представительствах по всему миру. В офисах были отключены телефоны и электронная почта, отсутствовала связь, на производстве остановились процессы изготовления деталей, не работала доставка» [31, 32].
Для устранения системных сбоев, которые могут быть связаны с проникновением в программное обеспечение промышленных лазерных систем, целесообразно внедрить международно признанный стандарт для системы менеджмента непрерывности бизнеса в соответствии с ISO 22301:2019, использовать лучшие практики.
Способность организации продолжать работать во время сбоев становиться все более актуальной. Перебои в бизнесе приводят к потере клиентов, доходов и репутации, при этом отсутствие системы менеджмента непрерывности бизнеса на предприятии свидетельствует о неготовности к быстрому восстановлению деятельности и несоответствии международному уровню.
Системы менеджмента непрерывности бизнеса должна учитывать целый комплекс вопросов, включая последствия отзыва продукции, мотивации и благополучие сотрудников, фактор заболеваний, не связанных с работой, влияние организационной зрелости на подход и результаты анализа долгосрочных тенденций, готовность организации к непредвиденным событиям, например к экстремальным погодным условиям и др.
Система управления непрерывностью бизнеса рассматривается как одно из наиболее динамично развивающихся направлений стратегического и оперативного менеджмента. Важно корректно определить цели и задачи управления непрерывностью бизнеса, область применения (основная направленность связана с обеспечением непрерывности деловых операций на установленном приемлемом уровне).
В фокусе внимания:
- стратегия и планирование непрерывности бизнеса;
- анализ воздействия на бизнес (BIA). Определение RTO и PRO;
- оценка рисков. Модели и сценарии угроз;
- план обеспечения непрерывности бизнеса (BCP) и план восстановления бизнеса (DRP);
- разработка плана, ключевые факторы успеха и внедрение плана;
- программа повышения осведомленности сотрудников;
- обучение сотрудников, оценка осведомленности сотрудников;
- учения;
- тестирование плана обеспечения непрерывности бизнеса (BCP) и плана восстановления бизнеса (DRP). Типы тестирования;
- оценка текущего состояния и разработка дорожной карты для достижения целевого состояния.
В начале 2020 года проявились новые тренды, новые требования регулирующих органов, поставщиков, потребителей. Существенно изменились риски [33]. Для многих предприятий актуальными стали риски информационной безопасности, риски комплаенс, риски прерывания цепочки поставок. В сложившихся условиях многие организации предпочитают использовать несколько стандартов, а не пройти сертификацию по одному стандарту. Для промышленных предприятий актуальны международные стандарты ISO 9001, ISO 14001, ISO 45001, ISO / IEC 27001, ISO 22301 и др.
Разработка и внедрение системы управления непрерывностью бизнеса в соответствии с ISO 22301 позволяет повысить эффективность управления, избежать системных ошибок. Основа этого стандарта гармонизирована с ISO 9001 и ISO / IEC 27001, что особенно важно в условиях цифровизации.
Комплексная защита информации
Для безопасного развития бизнеса, особенно при использовании промышленных лазерных систем, необходима комплексная защита информации. В этом плане необходимо сочетание передовых научно-обоснованных решений и практический опыт. Где можно найти такое сочетание? Ответ: в научно-исследовательском центре информационной безопасности.
Такой центр создан и успешно развивается. «На базе АО «Научно-исследовательского института вычислительных комплексов им. М. А. Карцева» в целях изучения и проведения работ по комплексной защите информации действует Научно-исследовательский центр информационной безопасности (НИЦ ИБ). Лаборатории Центра для проведения специальных исследований и специальных проверок оснащены необходимым оборудованием, соответствующим всем требованиям ФСТЭК и ФСБ России.
Имеются лицензии Роспотребнадзора, ФСТЭК и ФСБ России, в том числе и лицензия ФСБ России на разработку и производство шифровальных средств. Налажено взаимодействие с органами государственной власти, интеграторами, государственными корпорациями, предприятиями радиоэлектронной промышленности» [34].
Основные виды деятельности НИЦ ИБ представлены в информационном буклете, и с ними можно ознакомиться [35]:
- специальные проверки технических средств и систем по выявлению электронных устройств, предназначенных для негласного получения информации, в технических средствах, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну;
- специальные исследования технических средств и систем с использованием контрольно-измерительной аппаратуры для выявления возможных технических каналов утечки защищаемой информации;
- аттестация объектов информатизации по требованиям безопасности информации;
- испытания на электромагнитную совместимость;
- разработки программно-аппаратных средств и систем защиты информации.
В заключение хотелось бы отметить, что есть немало примеров успешного развития предприятий, деятельность которых непосредственно связана с промышленными лазерными системами.
Рекомендуется провести диагностический аудит, аудит поставщиков, провести обучение, внедрить системы менеджмента в соответствии с международными стандартами и лучшими практиками, повышать культуру информационной безопасности и выполнить комплекс других необходимых мер, включая выработку подхода к формированию и развитию собственной сплоченной, подготовленной и мотивированной команды SOC или использованию услуг коммерческих SOC. Важно принимать во внимание, что рано или поздно возникнет вопрос об окупаемости инвестиций в промышленные лазерные системы, а эти вопросы рассматриваются не только с точки зрения ESG-факторов, но и с точки зрения информационной безопасности, непрерывности бизнеса.
Нерешенность проблем в области информационной безопасности может привести не только к неверным данным о результатах работы, неверным выводам и неверным управленческим решениям, но и к более серьезным последствиям.
Важно, чтобы примеров успешной работы предприятий, деятельность которых непосредственно связана с промышленными лазерными системами, становилось больше. Это стратегическая задача в условиях цифровизации.
Список литературы
Холтон К. Рынок лазеров в 2020-м: обзор и прогноз. Лазерные рынки ищут свой курс в неспокойные времена. Лазер-Информ. 2020; 3 (666): 1-6.
Trumpf demonstrates additive manufacturing with copper and gold. Industrial Laser Solutions. 2019. JANUARY / FEBRUARY. Р. 6. www.industrial-lasers.com.
Белфорте Д.А. Мировой рынок лазерного оборудования для обработки материалов в промышленности. Лазер-Информ. 2020; 17-18 (680-681), 4-7.
Фоменко И. Современные лазерные системы в промышленности. 20.35. Университет НТИ. URL: http://skvot.2035.university/sovremennye-lazernye-systemy (дата обращения 12.11.2020).
Отчетный доклад Президента Лазерной ассоциации И. Б. Ковша. Лазер-Информ. 2018; 5–6 (620–621): 1–7.
Ковш И. Б. Фотоника в России: состояние и задачи. Лазер-Информ. 2019; 4 (643): 1–16.
Овертон Г., Ноджи А., Бельфорте Д., Геверт Б. Мировой лазерный рынок в 2018‑м и прогноз на 2019. Лазер-Информ. 2019; 5 (644): 1–8.
Lasers forge 21st century innovations. LASER MARKETPLACE 2014 / GAIL OVERTON, ALLEN NOGEE, and CONARD HOLTON. Laser Focus World, January 2014. P. 38–40, 42, 44, 46, 49, 51–54, 56–62.
Air Force to ask industry for 75-Watt sodium laser to create artificial stars for adaptive optics / John Keller // ; artificial-stars-adaptive-optics.html?cmpid=enl_mae_defense_executive_2019–0205&pwhid=faaefc33bfc7f79fa744508baa2ae2577c1d5af697871251a3c1ab‑77b05cd2ce24b36fbd579d3e69c246472c18183959bfa 392b76b0c46b517d1af9e3ba51ab8&eid=324695413&bid=2360681 17 / 01 / 2019
Laser beam shaping for innovative applications / SAMI LAROUI. Industrial Laser Solutions, MARCH / APRIL 2019; 22–23. www.industrial-lasers.com.
Spectrum supplies laser marking system for use in manufacturing Mars lander. Industrial Laser Solutions, MARCH / APRIL 2019. Р.10. www.industrial-lasers.com.
Игнатов А. Г. Военное применение лазерной техники набирает обороты и начинает определять технический уровень современного и перспективного вооружения. Фотоника. 2016; 56(2); 14–25.
Pelaprat J. M. , Fritz R. , Finuf M., Zediker M. High-power blue laser improves fabrication throughput . Industrial Laser Solutions. 2018; 1–2: 17–20.
Japan develops blue laser for advanced materials processing / KOJI TOJO, SHINICHIRO MASUNO, RITSUKO HIGASHINO, AND MASAHIRO TSUKAMOTO; Shimadzu Corporation.Industrial Laser Solutions. 2018, September / October, p. 27–31; www.industrial-lasers.com.
Belforte D. My view. Lasers make it better. Industrial Laser Solutions. 2018; № 1–2: 32.
Japan develops blue laser for advanced materials processing / KOJI TOJO, SHINICHIRO MASUNO, RITSUKO HIGASHINO, AND MASAHIRO TSUKAMOTO; Shimadzu Corporation. Industrial Laser Solutions. 2018, September / October, p. 27–31; www.industrial-lasers.com.
NUBURU has invented and is manufacturing the world’s first revolutionary high-power blue laser // URL: http://www.nuburu. net / markets / 31 / 01 / 2019
Trumpf demonstrates additive manufacturing with copper and gold // Industrial Laser Solutions, 2019, JANUARY / FEBRUARY. Р. 6. www.industrial-lasers.com.
2018 was another record year, contending with turmoil / DAVID A. BELFORTE. Industrial Laser Solutions. 2019, JANUARY / FEBRUARY. Р. 9–11. www.industrial-lasers.com.
Большой Национальный форум информационной безопасности. URL: https://infoforum.ru/main/17‑i-nacionalnyi-forym-informacionnoi-bezopasnosti (дата обращения: 12 ноября 2020 года).
URL: https://www.anti-malware.ru/analytics/Threats_Analysis/cyber-threats-and-security-tools-evolving‑2020‑forecast
Портал Photonica.Pro [Электронный ресурс]. URL: http://photonica.pro / (дата обращения: 12.11.2020).
Большой Национальный форум информационной безопасности. URL: https://infoforum.ru/main/17‑i-nacionalnyi-forym-informacionnoi-bezopasnosti (дата обращения: 12 ноября 2020 года).
Белоус А. И. , Солодуха В. А. Кибероружие и кибербезопасность. О сложных вещах простыми словами. – Москва. Вологда: Инфра-Инженерия, 2020. – 692 с.
Вайл П., Ворнер С. Цифровая трансформация бизнеса: Изменение бизнес-модели для организации нового поколения . – М.: Альпина Паблишер, 2019. – 257 с.
Кибербезопасность цифровой индустрии. Теория и практика функциональной устойчивости к кибератакам / Под редакцией профессора РАН, д.т.н. Д. П. Зегжды. – М.: Горячая линия – Телеком, 2020. – 560 с.: ил.
https://media.kaspersky.com/ru/business-security/enterprise/brochure-soc-powered-by-kl.pdf
Милославская Н. Г., Сенаторов М. Ю., Толстой А. И. Управление инцидентами информационной безопасности и непрерывностью бизнеса. Учебное пособие для вузов. – 2‑е изд., испр. – М.: Горячая линия – Телеком, 2019. – 170 с.: ил. – Серия «Вопросы управления информационной безопасностью. Выпуск 3».
Андрианов В. В. , Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса / 2‑е изд., перераб. и доп. – М.: ЦИПСиР: Альпина Паблишерз, 2011. – 373 с. + 8 с. вкл.
Конеев И. Р. Система управления непрерывностью бизнеса: Почему она должна быть внедрена на каждом предприятии? – М.: ЛЕНАНД, 2016. – 352 с.
URL: http://www.itsec.ru/news/krupneyshiy-v-ssha-proizvoditel-volokonnih-lazerov-stal-zhertvoy-vimogatelksogo-po
URL: https://www.securitylab.ru/news/512278.php
https://reports.weforum.org/global-risks-report‑2020/executive-summary/
http://www.niivk.ru/index.php?id=107
http://www.niivk.ru/images/ISRC.pdf
Автор
Темникова Ксения Николаевна, Московский политехнический университет, доц. кафедры «Информационная безопасность», ООО «Профконсалт ИСМ»,
эксперт, к. э. н.
ORCID 0000-0002-9645-7886,
идентификатор в РИНЦ SPIN-код: 6988-2051.
Профиль: консультирование, внедрение и аудит систем менеджмента информационной безопасности и систем менеджмента непрерывности бизнеса, инвестиции в промышленных роботов, лазерные технологические комплексы.
Отзывы читателей
