«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
305
УДК 681.3
БАГРАМОВА М.А., БУРИБАЕВА А.К.
МЕТОДИКА УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
(Евразийский национальный университет им.Л.Н. Гумилева, Астана)
На
сегодняшний
день
практически
любая
компания
в
мире
использует
телекоммуникационные сети и компьютерные системы, для координации своей
деятельности, ведения бухгалтерского учета, выполнения продаж и многих других важных
функций. Оборудование, программное обеспечение, информация, используемые компанией,
могут быть потенциально повреждены в результате ошибки оператора, отключения
электроэнергии, саботажа, компьютерных вирусов и прочих обстоятельств.
Поэтому компании важно осозновать необходимость контролировать влияние рисков
на бизнес-процессы при использовании информационных технологий. При этом важность
контроля над связанными рисками возрастает по мере возрастающей зависимости компании
от информационных технологий и автоматизированных процессов.
Рассматривая управление рисками в фокусе информационной безопасности, для начала
познакомимся с несколькими более общими документами.
Международный стандарт ISO 31000:2009 – основной международный стандарт по
управлению рисками для организаций – дает основные определения и принципы, которыми
должна руководствоваться организация после принятия решения о внедрении системы
управления рисками. Этот документ можно использовать в качестве руководства для первых
шагов. ISO 31000:2009 подойдет в качестве основного для любой организации.
Более подробные инструкции содержатся в концептуальных основах управления
рисками «Комитета спонсорских организаций комиссии Тредвея» (The Committee of
Sponsoring Organizations of the Treadway Commission, COSO). В частности, помимо самого
документа, практическую пользу представляют дополнительные материалы, выпущенные
COSO.
В целях обеспечения информационной безопасности предприятия и в соответствии с
требованиями современного мира, международной организацией ISO был выпущен стандарт
по управлению рисками информационной безопасности в организации: ISO 27005:2008
«Информационные
технологии
–
техники
безопасности
–
управление
рисками
информационной безопасности».
Рассмотрим подход по управлению рисками, основанный на стандарте ISO 27005:2008.
Процесс управления рисками информационной безопасности можно разделить на
следующие этапы.
Идентификация активов и оценка ценности активов
Все риски информационных технологий всегда связаны с активами, которые находятся
в
области
применения
системы
управления
информационной
безопасности
и
зарегистрированы в перечне активов. Идентифицированые активы должны быть оценены для
определения их критичности с точки зрения влияния на деятельность компани.
В контексте информационной безопасности, безопасность активов характеризуется
следующими свойствами: доступность, целостность и конфедициальность. Соответственно,
центром работы процесса управления рисками информационной безопасности является
оценка угроз по отношению к этим свойствам. В качестве источника информации
используется экспертная оценка владельца актива.
«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
306
В ходе процесса оценки актива также оценивается и связь между активами: в случае,
если один актив, с высоки значением, зависит от актива с низким, то ценность второго
актива повышается, чтобы удовлетворить зависимость.
Ответственность за управление рисками информационной безопасности каждого
актива лежит на владельце актива. Это часть ответственности владельца, которая позволяет
убедиться, что актив учавствует в цепочке создания ценности для компании.
Анализ и оценка рисков.
Следующим этапом оценки рисков является анализ возможных угроз и связанных
уязвимостей активов. Комбинация угрозы и связанной уязвимости определеяет сценарий
инцидента для дальнейшего анализа. Стоит отметить, что в область исследования
уязвимостей попадают также уязвимости, связанные с помещениями и персоналом.
Особое внимание стоит уделить угрозам, носителями которых являются люди (хакеры,
террористы, нелояльные сотрудники, промышленный шпионаж.
На этом шаге качественная оценка накладывается на сценарий, полученный на
предыдущем шаге. Оценка простоты использования уязвимости выполняется качественно,
для определения вероятности реализации угрозы могут быть использованы исторические
данные или статистика.
Следующим элементом измерения является трудность обнаружения инцидента,
которое также производится качественным образом. Данный параметр зависит от наличия
средств мониторинга для той области, в которой может произойти инцидент.
Результатом
проведения
исследования
с
описанными
шагами
является
документирование карты рисков, в который каждый риск имеет уникальный идентификатор,
описание, возможное влияние, оценку и владельца.
Ценность актива, связанные с ним угрозы, уязвимости и уровни обнаружения
сопоставляются в матрице для идентификации возможных комбинаций, которые
ранжируются по шкале, принятой в компаниию.
Обработка и мониторинг риска.
Далее необходимо установить критерий приемлемости рисков, который необходим для
правильной расстановки приоритетов. Основываясь на карте рисков, руководство компании
принимает решение о вариантах обработки рисков (снижение, принятие, избежание,
передача риска).
Для каждого риска должен быть определен владелец (в большинстве случаев,
владельцем риска является владелец актива). Ответственность владельца риска состоит в
том, чтобы отслеживать статус риска и контролировать исполнение обработки риска.
В то время как информационно-технологическое окружение современных компаний
становится все более сложным, идентификация связанных рисков, как основа управления
рисками, становится все более трудной. Соответственно, способ оценки рисков должен быть
изменен,
чтобы
адресовать
информационно-технологические
риски
в
контексте
корпоративного управления рисками, а также сделать процесс управления информационно-
технологическими рисками более прозрачным.
«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
307
УДК 004.031.2
БАЙМУРАТОВ О.А., АРАЛОВ Б.Д.
БЕЗОПАСНОСТЬ И УПРАВЛЕНИЕ ОХРАННОЙ СИСТЕМОЙ
СИГНАЛИЗАЦИЕЙ АВТОМОБИЛЯ С ПОМОЩЬЮ МОБИЛЬНЫХ УСТРОЙСТВ
(Университет имени Сулеймана Демиреля, г. Каскелен, Республика Казахстан)
В данной статье представлена охранная система сигнализации автомобиля, которая
позволяет владельцам удаленно управлять охранной системой с помощью мобильного
устройства. Приложение реализовано на платформе Андроид, который позволяет открывать
и закрывать замки дверей, багажника, включать и выключать зажигание автомобиля,
управлять сигнализацией, в случае когда не требуются ключи. Многие функций находится
под контролем пользователя благодаря разработанному мобильному приложению, который
осуществляет управление через Bluetooth.
Ключевые слова: мобильные устройства, мобильные приложения, охранная система
сигнализации, Arduino UNO, Bluetooth, безопастность.
С развитием технологии мобильных устройств за прошедшие 10 лет, интеграция
мобильных устройств (МУ) и приложений в различные отрасли промышленности и техники
существенно возросла [1-10]. На сегодняшний день применение МУ и мобильных
приложений (МП) дают возможность обеспечить:
- удобство (заключается в комфортности и в удобстве применения МУ, компактность,
меньшие объемы)
- мобильность в реализации (заключается в эффективном применение МУ для решения
некоторых случайно возникших задач (ситуации), реализация в любое время и в любом
месте)
- сокращение времени и др. важных ресурсов (быстрота выполнения задач, приводит к
сокращенно времени)
- простоту в понимания и применения программных приложений (простота
заключается в том, что разработанные приложения могут применять пользователи, для
которых не требуются специальные технические знания) [1-13].
Развитие информационных технологий, технологий программирования, технологий
машиностроения, робототехники и ряд др. технологий определило применение технологий в
управлении системой охранной сигнализацией автомобилей, что является актуальной темой
и потребностью для водителей автомобилей имеющих МУ (смартфон, планшет), [13-15].
Безопасность – является одним из важных и актуальных аспектов, как в
информационной, так и в социальной среде.
Современный системы защиты автомобилей требуют наличий охранной сигнализации,
системы оповещения через интернет, идентификации, системы шифрования и т.д.
Применение МУ как устройство для идентификации, как устройство для генерации и
модуляции цифровых сигналов дает возможность улучшить систему обеспечивающую
безопасность автомобиля.
В качестве практического примера рассмотрим пульт управления охранной
сигнализацией автомобиля модели Mazda 626. Для проведения экспериментов и
тестирования
кода
программ
необходимо
сконструировать
идентичную
модель,
представленную на рисунке 1
«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
308
Рисунок 1 – схема идентичной модели пульта управления охранной сигнализацией автомобиля
а)
б)
в)
Рисунок 2 а, б- схема соединения платы Arduino UNO с Bluetooth HC 06
в- Скриншот мобильного приложения
Как видно из рисунка 1 основной частью является плата Arduino UNO, схема
соединения с Bluetooth HC 06 которой представлено на рисунке 2, [16].
Программный код для платы Arduino UNO и для МП, представлен в таблице 1, [17].
«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
309
Таблица 1
char incomingByte; // входящие данные
int LED = 12; // LED подключен к 12
пину i
int ledpin=13;
void setup() {
Serial.begin(9600); // инициализация порта
pinMode(LED, OUTPUT);
}
void loop()
{
if (Serial.available() > 0) { //если данные
приняты
incomingByte = Serial.read(); // считываем
байт
if(incomingByte == '0') {
digitalWrite(LED, LOW); // если 0, то
выключаем LED
}
if(incomingByte == '1') {
digitalWrite(LED, HIGH); // если 1, то
включаем LED
}
if(incomingByte == '2') {
digitalWrite(ledpin,HIGH); // если 2, то
выключаем LED
}
if(incomingByte == '3') {
digitalWrite(ledpin,LOW); // если 3, то
включаем LED
}
}
}
void adbEventHandler(Connection * connection,
adb_eventType event, uint16_t length, uint8_t * data)
{
if (event == ADB_CONNECTION_RECEIVE) //
Если приняли данные
{
digitalWrite(13, data[0]); // Изменяем состояние
LED в зависимости от принятой переменной
Serial.println(data[0],DEC); // Вывод в Serial
Monitor для отладки
}
}
void setup()
{
Serial.begin(57600);
pinMode(13,OUTPUT);
//
Используем
встроенный светодиод L платы Seeeduino ADK
ADB::init(); // Инициализация подсистемы ADB.
// Open an ADB stream to the phone's shell. Auto-
reconnect. Use any unused port number eg:4568
connection = ADB::addConnection("tcp:4568", true,
adbEventHandler);
}
void loop()
{
ADB::poll(); // Poll the ADB subsystem.
}
Вывод. Представленная охранная система сигнализации, представляет собой систему
автомобильной сигнализации использующая Bluetooth hc 06 и Arduino UNO для локализации
автомобиля. Также представленная система может реализовать функцию отслеживания
автомобиля и мониторинга основных параметров и реакции при аварийном включении
сигнализации и т.д.
Список использованных источников
1. Ioan Lita, Ion Bogdan Cioc, Daniel Alexandru Visan, “A New Approach of Automobile
Localization System Using GPS and GSM/GPRS Transmission” стр. 115-119
2. Stephan Hartwig, Matthias Luck, Janne Aaltonen, Reza Serafat, “MOBILE MULTIMEDIA -
CHALLENGES AND OPPORTUNITIES INVITED PAPER” Mobile Multimedia - Challenges and
Opportunities, стр. 1167-1177
3. Chia-Hung Lien, Ying-Wen Bai, and Ming-Bo Lin, “Remote-Controllable Power Outlet System for
Home Power Management” // EEE Transactions on Consumer Electronics, Vol. 53, No. 4, NOVEMBER
2007, стр. 1634-1641
4. Sonal N. Parmar, Sumita Nainan, Kanchan Bakade, Dolly Sen, “An Efficient Mobile GPS
Navigator, Tracker And Altimeter System for Location Based Services”, стр. 1-4
5. L. Boquete, I. Bravo, R. Barea, M.A. Garcı, “Telemetry and control system with GSM
communications”, Microprocessors and Microsystems 27 (2003), стр. 1-14
6. http://www.bluetooth.com/
7. Erdal Bekiroglu, Nihat Daldal, “Remote control of an ultrasonic motor by using a GSM mobile
phone”, Sensors and Actuators A 120 (2005), стр. 536–542
«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
310
8. Lambros Boukas , Georgios Kambourakis, Stefanos Gritzalis, “An SMS-oriented m-informational
system for educational realms”, Journal of Network and Computer Applications 32 (2009), стр. 684–702
9. http://www.etsi.org, European Telecommunications Standards Institute (ETSI);
10. M. W. Oliphant: "The mobile phone meets the Internet", IEEE Spectrum, Vol. 36 No. 8, August
1999, стр. 20-28
11. http://arduino-uno.ru/blog/arduino_projects/
12. http://www.atmel.com/Images/doc8161.pdf
13. http://www.telefonopt.org.ru/
14.
Constantinos K. Coursaris
,
Khaled Hassanein
,
Milena M. Head
,
Nick Bontis
“The impact of
distractions on the usability and intention to use mobile devices for wireless data services”, Computers in
Human Behavior,
Volume 28, Issue 4
, July 2012, стр. 1439–1449
15. Orazio Briante, Claudia Campolo, Antonio Iera, Antonella Molinaro, Stefano Yuri Paratore,
Giuseppe Ruggeri “Supporting augmented floating car data through smartphone-based crowd-sensing”,
Vehicular Communications
, стр. 1-16
16. http://du2014-grp106-13.blogspot.com/2014/04/fun-with-bluetooth.html
(diagram of how the Bluetooth module was wired)
17.
http://arduino.ru/Tutorial/PWM
УДК 681.3
БОРАНБАЕВ С.Н., АЛТАЕВ С.А.
ПОСТРОЕНИЕ НАДЕЖНЫХ И БЕЗОПАСНЫХ КОРПОРАТИВНЫХ
ИНФОРМАЦИОННЫХ СИСТЕМ УПРАВЛЕНИЯ
(Евразийский национальный университет имени Л.Н.Гумилева, г. Астана)
Система поддержки принятия и исполнения решений для управления социально-
экономическим
развитием
государства
–
это
комплекс
нормативно-правовых,
организационных,
информационно-методических
и
технических
элементов,
обеспечивающий поддержку государственных органов при выполнении их функций и
решении
задач
управления
социально-экономическим
развитием.
Корпоративные
информационные системы, основанные на стандартной модели «клиент-сервер» и
традиционных методах управления, не обеспечивают достаточной надежности и
безопасности,
требуемого
качества
информационного
анализа
и
необходимой
эффективности формирования управляющих воздействий в условиях недостаточности
априорной информации о внешней среде функционирования, большого количества трудно
учитываемых факторов, не стационарности субъективного их характера, изменяемости целей
и критериев качества управления, вследствие деградации или целенаправленной
реконфигурации. Эти и другие вопросы надежности и безопасности информационных
систем были исследованы в работах [1-10]. Таким образом, сложились условия для
разработки систем поддержки принятия решений, основанных на методах искусственного
интеллекта. Для описания всего комплекса элементов, обеспечивающих поддержку принятия
решений, необходимо создание системы требований к данным описаниям и формирование
контейнера, структурирующего разрабатываемый материал по единым принципам,
обеспечивающим дальнейшую работу с ним. Необходимо разработать комплекс требований
к описанию функций государственных органов и контейнера, объединяющего эти описания в
единую модель управления. Для обеспечения решения этих задач необходимо формирование
архитектуры, задающей требования и правила разработки систем поддержки принятия
решений государственных органов, как совокупности видов обеспечения выполнения их
функций. Можно определить два направления, которые описывают архитектуру системы
поддержки принятия решений (СППР): функции государственных органов (ГО) и виды
«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
311
обеспечения выполнения этих функций. Первым фактором, определяющим применение
СППР является необходимость решения вопросов автоматизации и информатизации
государственных органов. Вторым фактором является потребность в общности результатов
электронного госоргана и применимости их для подразделений. С учетом того, что
существует
система
разделения
полномочий
различных
уровней,
регулируемая
нормативными актами, то наиболее существенным результатом в данных условиях является
решение вопроса информационного взаимодействия госоргана и государственных
центральных и местных исполнительных органов. Третьим фактором является сам процесс
выполнения функции ГО, при котором специалисты государственных органов погружены в
информационные процессы сбора и получения исходной информации, а затем ее обработки
и получении результата.
Становление парадигмы распределенных интеллектуальных систем достигло сегодня
той стадии, когда такие системы начинают превращаться в техническую реальность. При
этом центральной проблемой разработки агентно-ориентированных систем является
отсутствие теоретически обоснованной методологии проектирования, охватывающей все
стадии процесса создания системы и обеспечивающей переход от абстрактной архитектуры
распределенной системы и формальных логических моделей интеллектуальных агентов (ИА)
к стадии технической реализации. Немногочисленные попытки создания подобной
методологии фактически являются пионерскими и ориентированы на определенный
ограниченный класс задач, моделируемый в рамках конкретного программного
инструментария.
Таким
образом,
необходимо
решить
научно-техническую
проблему
создания
корпоративных систем поддержки принятия решений в государственных органах, обладающих
необходимыми интегративными и интеллектуальными свойствами для принятия эффективных
решений в условиях изменяющейся разнородной информационной среды.
Для этого, в частности, необходимо решить следующие основные задачи: разработка
концепции
системы
поддержки
принятия
решений,
устанавливающей
уровни
интеллектуальной иерархии и обосновывающей типы интеллектуальных компонентов
СППР; разработка базовой архитектуры системы для поддержки принятия решений;
разработка
и
внедрение
методологии
и
технологии
построения
корпоративной
интеллектуальной системы поддержки принятия решений (КИНС ППР), включая разработку
концептуальной
модели
предметной
области
функционирования
корпоративной
интеллектуальной системы, ориентированной на автоматизацию системного этапа процесса
построения и методов ее построения; применение разработанных методов и технологий для
решения задач интеллектуальной интеграции в различных прикладных системах поддержки
принятия решений.
Решение этих задач позволит: повысить интеллектуальный уровень корпоративных
систем, и тем самым сократить время на решение задач управления в изменяющейся
информационной среде; создать инженерные методики автоматизированного построения
корпоративных интеллектуальных систем поддержки принятия решений, ориентированных на
широкий класс задач организационного и технического управления; автоматизировать процесс
построения систем поддержки принятия решений, учесть специфику предметной области и
характер решаемых управленческих задач, минимизировать затраты на разработку и повысить
эффективность использования информационных ресурсов.
За последние годы значительно возросли объем и разнородность информации,
необходимой для принятия оптимальных решений в корпоративных системах (КС). Развитие
конкуренции, увеличение сложности и стоимости информационных проектов сужают
диапазон возможных ошибок и ограничивают время руководителя на принятие правильного
решения.
Рассмотрим взаимосвязь уровней управления и уровней интеграции в КС. На уровне
стратегического управления решаются такие задачи как анализ и моделирование действий в
|