Пути обеспечения информационной безопасности автоматизированных систем менеджмента промышленных предприятий России. Можаев Олег Александрович, начальник отдела сертификации СМИБ и СЭМ АНО «ИнИС ВВТ», эксперт высшей квалификационной категории по сертификации СМК СДС «ВОЕННЫЙ РЕГИСТР», к.т.н.,

2 Современные условия развития менеджмента качества оборонных предприятий планирование комплексного перевооружения РА с ростом объемов государственного оборонного заказа, планирование комплексного перевооружения РА с ростом объемов государственного оборонного заказа, незавершенность структурных изменений управления ОПК России, например, в отношении создания и функционирования интегрированных структур, взаимодействия с надзорными органами, финансовыми организациями, федеральными и региональными органами исполнительной власти, незавершенность структурных изменений управления ОПК России, например, в отношении создания и функционирования интегрированных структур, взаимодействия с надзорными органами, финансовыми организациями, федеральными и региональными органами исполнительной власти, экономические проблемы развития оборонных предприятий, связанных с высокими кредитными ставками банков, ограниченное ресурсное обеспечение выполнения работ в финансовой, технологической, кадровой и пр. сферах деятельности, экономические проблемы развития оборонных предприятий, связанных с высокими кредитными ставками банков, ограниченное ресурсное обеспечение выполнения работ в финансовой, технологической, кадровой и пр. сферах деятельности, заметная слабость законодательного, правового и нормативного обеспечения деятельности участника государственного оборонного заказа, требующих существенного совершенствования заметная слабость законодательного, правового и нормативного обеспечения деятельности участника государственного оборонного заказа, требующих существенного совершенствования 1

3 Системы менеджмента качества предприятий ОПК 1. Необходимость наличия и предъявления СМК у предприятия – участника государственного оборонного заказа определяется правовыми и нормативными документами. 2. В настоящее время более 80% головных исполнителей ГОЗ сертифицировали СМК на соответствие требованиям международных и национальных стандартов. 3. В настоящее время в целом определены отраслевые требования к СМК предприятия – участника ГОЗ. 4. Традиционно СМК рассматривается в качества основного элемента общего менеджмента предприятия действующего на рынке товаров и услуг и является непременным атрибутом гарантированного успешного бизнеса. 5. Развитие СМК направлено на удовлетворение государственных заказчиков и внешних потребителей продукции на рынках товаров и услуг. 2

… КС УКП СРПП ВТ Около 200 требований по обеспечению качества продукции ИСО серии 9000:1994 ГОСТ ВР ИСО серии 9000:2000 ГОСТ ВР Около 880 требований по менеджменту качества Около 400 требований по менеджменту качества Около 300 требований по управлению качеством продукции Около 240 требований по управлению качеством продукции Число требований Годы 3 КАНАРСПИ

5 Нормативный базис требований ГСС действующего уровня в задаче повышения результативности СМ СтандартПредназначение ГОСТ Р ИСО 9001 Требования к СМК ГОСТ РВ Требования к СМК производства ВВТ ГОСТ Р ИСО Требования к СЭМ ГОСТ Требования к СУОТ OHSAS Требования к СУОТ ГОСТ Р ИСО/МЭК Требования к СМИБ ГОСТ Р ИСО/МЭК Руководство по управлению рисками ИБ ГОСТ Р ИСО/МЭК Практические рекомендации по управлению ИБ AS9100 REV.A Системы качества - Авиакосмическая промышленность. Модель для обеспечения качества при проектировании, разработке, производстве, монтаже и обслуживании П/П РФ 629 от О внесении изменений в некоторые постановления Правительства РФ по вопросам обеспечения качества продукции военного назначения, производимой в рамках ГОЗ и на экспорт ВР РД Порядок сертификации СМИБ. 4

Переход на СМ интегрированных структур (ИС: Корпорации, холдинги, НПО, …… = СМ ИС Перевод СМ ИС в категорию автоматизированных СМ ИС (АСМ ИС) Проведенный по ГК НИР «ТК» обосновал две основные концепции развития СМК продукции организаций и предприятий, выпускающих ПВ и ДН СТРАТЕГИЯ модернизации организаций и предприятий, выпускающих ПВ и ДН 5

САМ АСМ КСАМиМ СМИБ СУОТ СЭМ СМ СМК ИТ Рис. 2 Структура формирования и состав КСАМиМ 6

СМИБ ЭДО СМ ИС АСМ ИС Предприятие ОПК САМиУВ SAP: ERP, PLM, CRM, SRM, HCM, MDM, AS,…… SAP: «Галактика ERP»,…… SAP: ERP, PLM, CRM, SRM, HCM, MDM, AS,…… SAP: ERP, PLM, CRM, SRM, HCM, MDM, AS,…… SAP: ERP, PLM, CRM, SRM, HCM, MDM, AS,…… 7

9 КСАМиМ качества продукции предприятий ОПК КСАМиМ СМ Внедрение ИТ на платформе действующих СМ предполагается при активизации на предприятиях ОПК Системы менеджмента информационной безопасностью (СМИБ), соответствующей требованиям ГОСТ Р ИСО/МЭК и предусматривает развитие 2-х функционально Взаимодействующих систем – «Систему Автоматизированного Мониторинга» (САМ) и «Систему Менеджмента» (СМ), которые интегрируются в «Комплексную систему Автоматизированного мониторинга и менеджмента (КСАМиМ) качества продукции предприятий ОПК»: ИТ 8 САМ СМИБ М О Н И Т О Р И Н Г

10 СИСТЕМА АВТОМАТИЗИРОВАННОГО МОНИТОРИНГА Система автоматизированного мониторинга (САМ) обеспечивает автоматизированный мониторинг всех процессов систем менеджмента (СМК, СЭМ, СУОТ, СМИБ), внедренных и внедряемых на предприятиях и организациях ОПК для оперативной оценки их результативности и принятия соответствующих управленческих решений. Система автоматизированного мониторинга (САМ) обеспечивает автоматизированный мониторинг всех процессов систем менеджмента (СМК, СЭМ, СУОТ, СМИБ), внедренных и внедряемых на предприятиях и организациях ОПК для оперативной оценки их результативности и принятия соответствующих управленческих решений. 9

11 Обоснование необходимости принятия Постановления Правительства «Об информационном обмене в системах менеджмента предприятий и организаций ОПК» Для по специальным вопросам «Об информационном обмене в системах менеджмента предприятий и организаций ОПК» в целях формирования в сфере деятельности предприятий и организаций ОПК правовой среды, учитывающей соответствующие ограничения, налагаемые на эту деятельность международным правом, Конституцией Российской Федерации, Федеральным законом «О техническом регулировании», законом Российской Федерации «О защите гостайны», другими федеральными законами и иными нормативными правовыми актами Российской Федерации, а также в целях сохранения сложившейся в отечественной промышленности ОПК системы обеспечения боевой эффективности, надежности и безопасности ПВН, выпускаемой предприятиями и организациями ОПК. Для ввода в контракты (договоры) с предприятиями и организациями – исполнителями ГОЗ требований о наличии в организации документально оформленного порядка выполнения работ по обеспечению информационной безопасности в соответствии с требованиями ГОСТ Р ИСО/МЭК необходимо, прежде всего, Постановление Правительства по специальным вопросам «Об информационном обмене в системах менеджмента предприятий и организаций ОПК» в целях формирования в сфере деятельности предприятий и организаций ОПК правовой среды, учитывающей соответствующие ограничения, налагаемые на эту деятельность международным правом, Конституцией Российской Федерации, Федеральным законом «О техническом регулировании», законом Российской Федерации «О защите гостайны», другими федеральными законами и иными нормативными правовыми актами Российской Федерации, а также в целях сохранения сложившейся в отечественной промышленности ОПК системы обеспечения боевой эффективности, надежности и безопасности ПВН, выпускаемой предприятиями и организациями ОПК. 10

СМИБ (СУИБ) Согласно ГОСТ Р ИСО/МЭК 27001, система менеджмента информационной безопасности (СМИБ) это «та часть общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности». Система управления включает в себя организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы. Согласно ГОСТ Р ИСО/МЭК 27001, система менеджмента информационной безопасности (СМИБ) это «та часть общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности». Система управления включает в себя организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы. 11

КОНТРМЕРЫ ISO/IES ISO/IES Политика безопасности. 2. Организация ИБ. 3. Управление Активами ИБ, связанная с персоналом. 4. Физическая безопасность. 5. Управление коммуникациями и операциями. 6. Управление доступом. 7. Приемка, разработка и поддержка информационных систем. 8. Управление инцидентами ИБ. 9. Управление обеспечением непрерывности бизнеса. 10. Выполнение требований. СМ ИС ISO 9001 ISO ISO OHSAS AS 9100 REV.A EN 9100 СМИБ ISO/IES

СТАНДАРТЫ по ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СтандартПредназначение ГОСТ Р Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ОСТ Р ИСО/МЭК ТО "Информационная технология. Методы и средства обеспечения безопасности". Часть 3. Методы менеджмента безопасности информационных технологий. ГОСТ Р ИСО/МЭК ТО "Информационная технология. Методы и средства обеспечения безопасности". Часть 4. Выбор защитных мер. ГОСТ Р ИСО/МЭК Информационная технология - Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. ГОСТ Р ИСО/МЭК Информационная технология. Практические правила управления информационной безопасностью. ГОСТ Р ИСО/МЭК Требования к СМИБ ГОСТ Р ИСО/МЭК Руководство по управлению рисками ИБ ГОСТ Р ИСО/МЭК ТО "Информационная технология. Методы и средства обеспечения безопасности". Часть 5. Руководство по менеджменту безопасности сети. ГОСТ Р ИСО/МЭК ТО Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. ВР РД Положение об органе по сертификации СМИБ. ВР РД Положение о Центре сертификации СМИБ ВР РД Порядок сертификации СМИБ. 13

15 Сертификация КСАМиМ СМ ГОСТ РВ ГОСТ Р ИСО/МЭК Мониторинг ГОСТ РВ СЕРТИФИКАЦИЯ по ГОСТ РВ ГОСТ Р ИСО 9001 ГОСТ Р ИСО ГОСТ ИТ 14 СЕРТИФИКАЦИЯ по ГОСТ РВ КСАМиМ САМ

Проведенные работы по внедрению КСАМиМ на предприятиях и организациях ОПК 16 Разработка методики проектирования КСАМиМ Разработка концепции КСАМиМ предприятий ОПК Проведение НИР по разработке ТЗ на КСАМиМ Организация и подготовка работ по сертификации КСАМиМ II-2011 Проведение НИОКР на КСАМиМ Разработка проекта Постановления Правительства: «О специальном информационном обмене в системах менеджмента предприятий и организаций ОПК» II-2013III-2013IV-2014III-2011IV-2011I

17 ВЫВОДЫ-постулаты (1-11): 1. Конкурентоспособность предприятий и организаций российского ОПК в современных условиях приобретает первостепенное значение. Она становится главной стратегической целью социально- экономического развития, одним из основных направлений обеспечения национальной безопасности РФ и должна быть закреплена в качестве стратегической цели законодательными актами Российской Федерации. 16

18 2. Современная модель модернизации российского ОПК должна изменить сложившийся тренд ОПК и привести параметры его модернизации в соответствие с уровнем развития передовых стран. 17

3. Автоматизация процессов менеджмента качества продукции и услуг предприятий и организаций ОПК, как современная форма организации деятельности позволяет принципиально изменить регулирование рынка, содействовать повышению качества работ и услуг в секторе ОПК. Базовые принципы КСАМиМ – автоматизированный мониторинг в контуре СРПП ВТ процессов менеджмента качества продукции и услуг на всех этапах ЖЦП с требуемым гарантированным обеспечением защиты информационных потоков, циркулирующих в КСАМиМ от НСВ. 18

4. Обеспечение функционирования КСАМиМ является приоритетным направлением модернизации ОПК, а ключевым вопросом для его успешной реализации - грамотное определение перечня видов работ, обеспечивающих информационную безопасность КСАМиМ предприятий и организаций ОПК. 19

5. Актуальна необходимость разработки постановления Правительства Российской Федерации об организации работ по упорядочению процедур государственного лицензирования в рамках сертификации КСАМиМ деятельности организаций и предприятий ОПК по выпуску качественной ПВН. 20

6. Необходимо завершить работы по разработке: - Концепции КСАМиМ, - предложений по организации НИР на формирование ТТЗ на КСАМиМ и НИОКР на создание («Soft» + «Hard») КСАМиМ, - предложений по организации работ по сертификации КСАМиМ. 21

7. Центральному органу СДС «Военный Регистр» необходимо перестраивать свою деятельность на основе внедрения КАСМиМ на предприятиях и организациях ОПК с переходом на сертификацию этой системы на соответствие действующим в настоящее время военным стандартам и техническим регламентам. 22

8. Необходима государственная поддержка реализации КСАМиМ как комплексного процесса современного реформирования ОПК, влияющего на социально- экономическое развитие и национальную безопасность России. 23

9. Необходимо создать ряд межведомственных групп для выработки интерфейсных и протокольных решений в области лицензирования деятельности предприятий и организаций ОПК с учетом сертификации КСАМиМ. 24

10. Создать в АНО «ИнИС ВВТ» рабочую группу с участием представителей Центрального органа СДС «Военный Регистр», ФСТЭК, Минпромторга России по разработке и проектированию КСАМиМ. Информационно-технической площадкой рабочей группы должно стать одно из предприятий ОПК г. Москвы (предварительные переговоры проведены в мае 2012 г.). 25

11. Рабочей группе следует проработать процедуру ввода в контракты (договоры) с предприятиями и организациями – исполнителями ГОЗ требований о наличии в организации документально оформленного порядка выполнения работ по обеспечению информационной безопасности в соответствии с требованиями ГОСТ Р ИСО/МЭК

Благодарю за внимание!