egengrinovich (egengrinovich) wrote,
egengrinovich
egengrinovich

Технологии для метрологии и информационной безопасности

МЕТРОЛОГИЯ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
ЧТО ОБЩЕГО?

В сфере информационной безопасности есть такое понятие «комплаенс». Этот термин подразумевает контроль выполнения пользователями и приложениями корпоративной сети некой последовательности действий, предусмотренных регламентирующими документами. Особенно это востребовано в крупных финансовых организациях. Метрология по сути своей тоже обеспечивает государственный контроль за проведением измерений путем четкой регламентации всех действий, имеющих отношение к получению результатов измерений. Сегодня программное обеспечение стало неотъемлемой частью измерительных систем и классическими методами обеспечить должный уровень контроля проведения измерений становится невозможно.
Программное обеспечение в составе измерительных систем предназначено для обработки, хранения, предоставления и визуализации измерительных данных. Измерительные данные – это один из видов информации. Необходимость ее обработки и визуализации, сегодня, ни у кого сомнений не вызывает. Более того, чем более качественно информация будет систематизирована, тем больший эффект от ее использования может быть достигнут.
Чтобы решить возникающее противоречие, давайте подробнее рассмотрим жизненный цикл измерительных данных, как вида информации. Его можно разделить на три этапа:
1. измерения;
2. передача информации;
3. хранение и обработка.
Непосредственно измерительные процессы протекают в специализированном оборудовании. Обычно поверка программного обеспечения вне оборудования не требуется, так как определены алгоритмы работы на физическом и логическом уровне. Подробное описание этих алгоритмов обычно приводится в метрологической документации на прибор. Утверждается методика поверки оборудования.
Итак, измерения проведены, далее измерительная информация передается (чаще всего по запросу) по каналам передачи данных и попадает в хранилище данных. Здесь информация становится доступной потребителям (функциональным пользователям, внешним системам). На этом этапе вызывающему приложению необходимо отсылать реквизиты вызываемому приложению, в нашем случае программному обеспечению специализированного прибора, описанного выше. Здесь возникают первые угрозы для измерительных данных. Получив доступ к пользовательским данным, возможно, получить бесконтрольный доступ и нарушить установленный порядок работы измерительной системы.
Следующий этап – хранение и обработка данных. Он осуществляется уже программным обеспечением верхнего уровня, где риски доступа и изменения измерительных данных уже столь многовариантны, что пытаться их анализировать здесь не имеет никакого смысла.
Долгое время вопросам метрологического обеспечения верхнего уровня (программного обеспечения) не уделялось должного внимания. В результате сложилась фактическая ИТ-инфраструктура с устоявшимися бизнес-процессами и уже внедренными решениями, одномоментное изменение, которых невозможно. В свою очередь, контроль работы алгоритмов оперирующих с измерительными данными должен осуществляться в реальном времени.
Рассмотрим риски, которые должны быть исключены в процессе метрологического контроля и надзора. Далеко не полный их перечень, приведен ниже:
• ошибки персонала;
• преднамеренные действия по изменению измерительной информации;
• качество сервиса;
• ошибки программного обеспечения;
• нарушения методологии (МВИ) работы;
• искажения отчетности.
Классическое решение проблемы с использованием иерархии персональных паролей в системе, к сожалению, уже не является достаточным. Каждый сервер может администрироваться несколькими сотрудниками, зачастую не имеющими прямого отношения к обслуживанию непосредственно измерительной системы. Распределенные системы хранения данных от ведущих производителей, обеспечивают высокую надежность, но определить при этом, на каком конкретном физическом устройстве, в данный момент, хранятся измерительные данные также невозможно.
Возникает вопрос, а существуют ли в принципе, инструменты, с помощью которых, поставленная задача может быть решена? Да существует! Просто надо немного отвлечься от метрологии и посмотреть решения в сфере информационной безопасности. Попытаемся проанализировать, что общего у таких задач как:
• защита от мошенничества и неконтролируемой утечки информации в финансовой сфере;
• финансовый и операционный контроль;
• контроль качества эксплуатации ИТ-систем;
• предотвращение отказов, вызванных ошибками программного обеспечения;
• метрологический контроль и надзор.
При более внимательном рассмотрении, все эти задачи могут решаться с помощью одних и тех же инструментов, которые включают в себя:
• построение модели состояния данных;
• механизмы и методы контроля;
• индикаторы;
• автоматические правила (алгоритмы).
В финансовой сфере такие системы контроля уже давно и успешно используются на практике. Более того компании, чьи акции торгуются на международных торговых площадках, в обязательном порядке, используют аналогичные системы контроля, в соответствии с действующими нормативными документами. Специально для этой статьи я подобрал краткий перечень действующих, на сегодняшний день, нормативных документов для различных областей деятельности:
• СТО БР ИББС-1.0-2010, Россия
– требует определить процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявлять неправомерные или подозрительные операции и транзакции.
• Sarbanes-Oxley - закон Сарбанес-Оксли ,США
– коммерческие компании и организации обязаны осуществлять эффективный внутренний информационный контроль
• Gramm–Leach–Bliley ׂ-Закон Грэма-Лича-Блилей, США
– требует от финансовых организаций принятия мер для регистрации доступа к информационным системам
• Basel 2 legislation, «Базель 2»
– требует создания эффективных служб внутреннего контроля и управления рисками
• HIPAA - Закон об отчетности и использовании данных в сфере страхования здоровья ,США
– требует принятия мер для регистрации и отслеживания деятельности медицинских учреждений
Как видно из приведенного перечня, Российский Центробанк первым в Российской Федерации регламентировал использование автоматизированных систем контроля в банковской сфере.
Теперь сформируем модель отношений в области измерительных систем, которая позволит слова «поверка алгоритма» из набора слов превратить в нечто конкретное. Сегодня Государственный реестр средств измерений – это громадный бумажный архив. Чтобы внести изменения в документацию, требуется подготовить определенный перечень бумаг, их подписать, утвердить, представить и только после этого использование модифицированного средства измерений становится легитимным. Когда мы говорим об современных распределенных измерительных системах, изменения происходят ежедневно и в результате требования, которые по объективным причинам, выполнить нельзя, порождают ситуацию, когда они просто не выполняются до выявления фактов несоответствия при очередной проверке и то, если проверка их выявляет. Проверяющие часто не в состоянии объехать 100% измерительных комплексов, а эксплуатирующая организация знает, что где и когда показывать. В результате, в случае с распределенными измерительными системами, текущая информация в Государственном реестре и реальная на объектах, совпадает не более чем в течение месяца после внесения документов в Государственный реестр средств измерений! В корне изменить ситуацию может создание электронного реестра измерительных систем, хотя мое мнение, что на современном этапе развития информатизации общества, весь Государственный реестр средств измерений должен быть электронным. Создав Государственный электронный реестр средств измерений, помимо требований, эксплуатирующим компаниям будут предоставлены инструменты для актуализации текущего состояния в предусмотренном порядке. Возможно, определить градацию данных, которые могут быть актуализированы непосредственно эксплуатирующей организацией и данных актуализируемых через ГЦИ СИ. В рамках статьи подробно описывать методологию перехода на электронный реестр и порядка работы с ним не имеет никакого смысла. При этом сам по себе электронный реестр это просто изменение формы хранения информации. Следующий шаг, снижение рисков описанных выше. Ростехрегулирование должно подготовить и выпустить документ, аналогичный СТО БР ИББС-1.0-2010, который, в том числе, должен определить положение о государственном реестре программ контроля работы алгоритмов в измерительных системах.
Каждое новое средство измерений, не говоря уже об распределенных измерительных системах, сегодня содержит серьезный объем программного обеспечения, влияющего на результаты измерений. И тут два пути:
• ограничить сферу метрологического контроля только физическими измеренными параметрами, а контроль остального предоставить финансовым системам (для них это величина – фактический объем товара важный показатель, влияющий на финансовые параметры), но тогда надо менять все установившиеся процедуры информационного обмена;
• формировать набор новых инструментов, позволяющих обеспечить реальный метрологический контроль измерительных данных, от прибора до отчета.
Tags: Информационная безопасность, Метрология, комплаенс, технологии
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 0 comments