ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
10 (31) - 2008
особенности и проблемы системы информационной безопасности в металлургических холдингах*
Л. в. юрьева,
кандидат экономических наук, доцент
Уральский государственный технический университет — УПИ
Успешное развитие предприятий металлургического комплекса нашей страны, который наряду с топливно-энергетическим комплексом, является стержнем национальной экономики, невозможно без создания современной ИТ-инфраструктуры. Используя целый ряд инструментальных средств, металлургические предприятия оптимизируют свои бизнес-процессы, что, в конечном счете, приводит к снижению эксплуатационных расходов. В борьбе за сохранение и увеличение своей доли на мировом рынке металлургические предприятия планомерно внедряют передовые технологии производства и управления. Только те из них, которые осуществляют запуск новых производственных объектов и внедрение современных информационных систем, смогут занять лидирующие позиции на рынке черных металлов.
Современные методы управления организацией предполагают широкое использование информационных технологий. Компьютерная техника, телекоммуникационные линии связи, а также персонал, владеющий навыками использования информационных технологий, являются необходимыми атрибутами конкурентоспособного предприятия.
Под «информационной технологией» понимается совокупность методов, производственных процессов и программно-технических средств, объединенных в технологическую цепочку, обеспечивающую сбор, хранение, обработку, вывод и распространение информации для снижения трудоемкости процессов использования информационных ресурсов, повышения их надежности и оперативности. В связи с этим выделяют понятие новой информационной технологии, под которой
* Статья подготовлена к печати Екатеринбургским информационным центром Издательского дома «Финансы и Кредит».
74 -
понимают информационную технологию, предполагающую использование персональных компьютеров и телекоммуникационных средств для доступа к удаленным базам данных и программам, а также наличие интуитивно-понятного пользовательского интерфейса.
В данном случае под технологией понимаются правила действия с использованием определенных средств, являющихся общими для успешного решения некоторой совокупности задач в определенных ситуациях. Если реализация технологии направлена на выработку управляющего воздействия, то это технология управления.
Рассмотрим факторы, которые формируют современные тенденции в развитии информационных технологий и обосновывают их возрастающую полезность для поддержки управления металлургическим предприятием.
Во-первых, в металлургической отрасли возрастет технологичность рыночных отношений и наблюдается глобализация деятельности. Участие металлургических предприятий в глобальных товарных цепочках вызывает необходимость повышения качества обработки информации. Конкурентоспособность предприятий металлургической отрасли все в большей мере зависит не столько от материальных ресурсов, сколько от наличия развитых средств коммуникации с клиентами и партнерами, объема накопленных сотрудниками профессиональных знаний и умений, а также возможностей их интенсивного использования.
Во-вторых, устойчивость и доходность деятельности металлургического предприятия во многом определяются скоростью реакции на изменение предпочтений потребителя. Претендующему на успех предприятию требуется быстрее других перестраивать свою организацию для поддержания готовности удовлетворить потребности клиента.
Таким образом, ему необходимо сокращать задержки и потери прохождения информации на предприятии. Скорость обращения информации становится решающим фактором борьбы за конкурентные преимущества.
В-третьих, требования к информации с точки зрения точности, своевременности, полноты и актуальности дополняются требованиями ее эффективного использования на всех уровнях управления. Имеется тенденция интеграции всех служб и информационных систем предприятия для непрерывного обеспечения руководства предприятия экономической информацией о положении дел и имеющихся возможностях на рынке.
Анализ перечисленных факторов показывает, что в современных условиях функционирования металлургическим предприятиям нужны информационные технологии с принципиально новыми ориентациями. Информационные технологии должны способствовать разработке решений, позволяющих без потерь и искажений добывать, хранить, передавать и объединять знания.
Металлургия — это одна из отраслей промышленности, где к информатизации приступили в конце 1980-х гг., практически одновременно с переходом страны на рыночные условия хозяйствования. В 1988 — 1989 гг. была разработана отраслевая программа поставок современных средств автоматизации, которая успешно выполнялась. К началу 1990-х гг. российская металлургия была обеспечена большим количеством автоматизированных рабочих мест на базе персональных компьютеров, современными операционными системами и системами управления базами данных.
Из числа ведущих специалистов по информационным технологиям отрасли было сформировано несколько групп, занимающихся разработкой интегрированных программных продуктов для предприятий отрасли. После обеспечения предприятий техническими средствами информатизации встал вопрос объединения персональных компьютеров в локальные сети и интеграции информационных ресурсов предприятий в единое информационное пространство. Сделано немало, но предстоит еще больше. На сегодняшний день нужно развивать основы информационного пространства отрасли. Для полного решения этой задачи недостаточно реально доступных сегодня скоростей и качества передачи данных по каналам связи предприятий.
По мнению специалистов, принципиальный переход к информационному обществу состоится тогда, когда будет обеспечена пропускная способность канала связи к рабочему месту пользователя
не ниже 2 Мбит/с. Именно такой уровень необходим, т. к. металлургия информационно очень насыщенна. Большой завод — это шедевр инженерной мысли, квинтэссенция самых разнообразных научных знаний: в области химии, физики, механики, электроники, экологии и т. д.
Металлургическое производство сложное и многогранное. Обеспечение гарантированной работоспособности технологических переделов и агрегатов на металлургических предприятиях требует использования сложных научно-технических разработок. При этом автоматизация производства принимается как основа для системы управления. Иными словами, процессы автоматизации накладываются на неупорядоченные системы с целью наведения в них порядка. В результате руководители служб автоматизированных систем управления (АСУ) предприятий наделяются дополнительными функциями, связанными с управлением производством.
Необходимо отметить, что правильно построенная система информационного обеспечения предоставляет руководству возможность наблюдать за ситуацией на любом рабочем месте, а также оперативно контролировать все технологические и бизнес-процессы. Кроме того, грамотно построенная система информационного обеспечения позволяет интегрировать все автономные контуры управления, появившиеся на предприятии с течением времени, при этом упраздняются избыточные. На каждом металлургическом предприятии существует множество таких отдельных контуров управления, или виртуальных сетей обмена информацией. Обслуживающие сети отталкиваются от функциональности предприятия и формируют интегрированную сетевую инфраструктуру, способную обеспечить потребности будущего развития предприятия.
Когда руководство предприятия приходит к пониманию необходимости внедрения современных методов управления, оно задумывается о приобретении ERP-системы — высокозатратного продукта, который металлургическому комбинату обходится дороже, чем, например, финансовой организации. Это связано с тем, что он требует дополнительной работы по выявлению связей между отдельными процессами и тонкой настройки программного обеспечения с учетом специфики технологических процессов комбината. Руководство вынуждено решать, куда прежде всего направить средства: на ЕЯР-систему или модернизацию сетевой инфраструктуры. Обычно принимают компромиссное решение, исходят из того, насколько существу- 75
ющая инфраструктура близка к идеальной. Имея целостное представление о возможных путях и способах будущей информатизации металлургического предприятия, можно реализовывать концепцию развития информационного обеспечения предприятия постепенно, начиная с оптимального базового варианта.
Многие металлургические предприятия имеют хорошее информационное обеспечение, современную телекоммуникационную базу для внедрения эффективных систем управления и автоматизации. Тем не менее эта сфера требует постоянного развития, модернизации, высококвалифицированного сервиса. В связи с этим на предприятиях создается много различных подразделений, структур, призванных предоставлять соответствующие услуги крупным производственным комплексам. Однако зачастую эти структуры не обладают необходимым технологическим потенциалом, а самое главное — не имеют опыта, обязательного для работы в такой специфической и сложной отрасли, как металлургия.
Черная металлургия в мире начала консолидироваться достаточно поздно: до начала 1990-х гг. производство стали являлось в большинстве стран стратегическим видом деятельности и регулировалось правительственными органами. Российские металлургические компании активно включились в процессы слияний и поглощений только в 2002 г., до того ограничиваясь поглощением российских предприятий в рамках вертикальной интеграции. На внутреннем рынке отечественная черная металлургия высоко консолидирована, что явилось следствием узкой специализации металлургических предприятий при плановой экономике, когда специализация доходила до отдельных видов продукции.
В результате интеграционных процессов четко выраженная в плановой экономике отраслевая структура (металлургическая, горнорудная, трубная, метизная, ломоперерабатывающая, ферросплавная и огнеупорная, представленная отдельными предприятиями), преобразовалась преимущественно в корпоративную с контролем отдельных российских рынков металлопродукции ограниченным количеством компаний. В настоящий момент несколько крупнейших российских металлургических холдингов обеспечивают выпуск от 70 до 100 % металлопродукции в зависимости от различных ее видов.
Наращивание производства металлопродукции сдерживается ограниченной емкостью российского рынка и сокращающимися возможностями экспорта. Российский рынок в состоянии использовать лишь около 50 % производимого российскими металлургическими компаниями проката. По расче-
76 -
там института экономики ЦНИИчермет, емкость внутреннего рынка, даже при достаточно высоких темпах развития металлопотребляющих отраслей, будет увеличиваться примерно на 5-6 % в год. Возможности же экспорта, с выходом черной металлургии Китая на внешний рынок как экспортера, также существенно сокращаются.
Поэтому при наличии инвестиционных ресурсов и объективной целесообразности повышения капитализации металлургических компаний на российском и мировом фондовых рынках, необходима выработка обоснованной концепции эффективных направлений формирования информационного пространства в металлургической отрасли.
Главным фактором, определяющим успех деятельности металлургического предприятия в рыночных условиях хозяйствования, является его конкурентоспособность. Создание и обеспечение устойчивости конкурентных преимуществ в долгосрочной перспективе основаны на информационном обеспечении управления в контексте стратегического развития.
Информационное обеспечение управления заключается в оценке роли и значения влияния того или иного фактора или их совокупности на деятельность металлургического холдинга. Таким образом, основная цель информационной поддержки заключается в извлечении выгоды из сложившейся ситуации или минимизация убытков, для чего руководство управляющей компании должно четко представлять, в каких условиях на данный момент находятся предприятия холдинга и каким образом ситуация будет развиваться в будущем.
Можно выделить две основные задачи эффективного информационного обеспечения металлургического холдинга. Первая заключается в выделении из огромного количества показателей, характеризующих данную ситуацию, самых значимых, т. е. тех, корректировка которых принесет максимальный экономический эффект.
Другой важной задачей информационного обеспечения является анализ оперативной ситуации для развития экономических процессов (во внешней и во внутренней среде) для своевременного корректирования стратегических планов или упреждения негативных последствий.
Организация информационных потоков и информационно-аналитического обеспечения коммерческой деятельности особенно актуальна для холдинговых структур, где в силу несогласованности работы отдельных служб и предприятий происходят распыление и потеря важной информации. Следует отметить, что с ростом уровня уп-
равленческой иерархии возрастает потребность в информационном обеспечении принятия решений, что обусловлено ростом неопределенности и финансовых рисков.
Система информационной безопасности формируется с целью внедрения, контроля и технической поддержки инфраструктуры безопасности, а также для разработки и контроля за соблюдением стандартов безопасности существующих, разрабатываемых и планируемых информационных связей первого, второго или третьего порядка (рис. 1).
Если рассмотреть информационные связи, возникающие в металлургическом холдинге, то можно выделить несколько причин, обусловливающих необходимость отслеживания безопасности информационного обеспечения этого крупнейшего предприятия.
Первая причина заключается в неординарных масштабах современных предприятий металлургического комплекса, размахе их информационных систем и совокупности всех угрозах, связанных с этим.
Вторая причина непосредственно связана с постоянным ростом как количества пользователей, так и подсистем, вливающихся в общую систему, вследствие расширения холдингов и углубления разделения труда внутри предприятий. Отметим, что по мере роста функциональной мощности корпоративной системы растут проблемы информационной безопасности. Если вся хозяйственно-финансовая деятельность осуществляется в среде корпоративной системы, то ее защита становится жизненно необходимой для предприятия, и наоборот. Но гораздо сложнее и дороже обеспечить защиту от несанкционированных действий внутри предприятия.
Третья причина связана с отсутствием комплексных систем безопасности. Отсутствие на металлургических предприятиях таких систем, которые обеспечивали бы эффективную защиту от широкого спектра внешних и внутренних угроз — это основная проблема в отрасли. Достаточно часто вопрос защиты информации на предприятиях металлургической отрасли решается фрагментарно по остаточному принципу, вследствие чего приходится сталкиваться с такими проблемами, как отсутствие нормативных документов по защите информации, неправильная организация процесса управления информацион-
ной безопасностью, отсутствие средств защиты от утечки конфиденциальных данных и т. д. Решением данных проблем может являться системная реализация комплексного подхода, предусматривающего реализацию организационного, технологического и кадрового обеспечения информационной безопасности.
Руководство металлургического предприятия зачастую видит эту проблему не во внешних угрозах, а во внутренних, связанных с обеспечением непрерывной работы информационных систем предприятия. Ныне все более возрастает зависимость цехов и производственных служб от доступности различной информации. Главный принцип ERP-системы, который состоит в формировании единой базы данных, оказывается палкой о двух концах. Ошибка в системе или введенные оператором одной из клиентских станций неверные данные могут привести к сбою в компьютерах, установленных на работающей производственной линии. И здесь не может быть частного решения. Требуется комплексная проработка всех вопросов — от проектирования информационной и технической архитектуры системы до планов действий при возникновении непредвиденных проблем. Непрерывность производства зависит теперь в полной мере и от действий сотрудников ИТ-служб, что рождает для них принципиально новый класс проблем.
Информационные угрозы усиливаются с каждым днем, становятся изощреннее и разнообразнее. Существующие межсетевые экраны, антивирусы, сетевые системы обнаружения вторжений не всегда могут защитить от этих угроз. Поэтому обеспечение безопасного использования информации в кор-
Металлургический холдинг
^^ Металлургическое
^^ Металлургическое
Информационны е связи 2-го уровня 4-
1 1 " 1 1 н 8
44
У /
Информационные связи 1 -го уровня
Рис. 1. Информационное пространство металлургического холдинга
поративных интегрированных системах во многом предопределяет успех бизнеса, выживаемость хозяйствующего субъекта на рынке. Формирование системы безопасности коммерчески ценных информационных ресурсов — это проблема комплексная, которую необходимо решать на юридическом, организационно-правовом и техническом уровнях одновременно. Получаемый синергети-ческий эффект позволяет компании выходить на качественно новый уровень, создавая информационно-управляющие системы, которые объединяют в одном информационном поле технологические и организационные процессы — от датчика или исполнительного механизма до бизнес-планирования на предприятии.
Основные задачи системы информационной безопасности связаны с планированием и мониторингом безопасности информационных технологий. Можно выделить следующие функции эффективно функционирующей системы информационной безопасности:
1) разработка корпоративной политики безопасности в области информационных технологий, обеспечение внимания к безопасности в этой сфере;
2) анализ проблем безопасности и рисков в этой области;
3) проведение аудита безопасности и оценка инцидентов в этой области;
4) установление процедур безопасности, включая защиту от вирусов;
5) выбор систем и инструментов поддержания безопасности;
6) работа над постоянным улучшением процесса.
Формирование системы информационной безопасности металлургических предприятий связано с отраслевыми особенностями.
Первая особенность заключается в многофункциональности предприятий металлургии. Количество различных типов потребителей информации на металлургических предприятиях на порядок выше, чем, например, в банках или финансовых структурах.
Вторая особенность состоит в том, что на заводах имеется большое число подвижных объектов, являющихся важными единицами управления.
Третья особенность формирования системы информационной безопасности состоит в том, что большое количество информации для принятия решений порождается в рамках технологических процессов. Таким образом, последствия неправильного управляющего воздействия могут быть катастрофическими, в том числе связанными с человеческими жертвами. Чтобы учесть все техно-
78 -
логические особенности и исключить негативные последствия, необходима дополнительная информация о протекании производственного процесса (например, об особых климатических условиях в цехах, где выплавляется сталь, о возможности локальных резких повышений температуры, об уровне вибрации, возникающей в процессе перемещения многотонных грузов, об уровне кислотности в промышленных помещениях, концентрации таких агрессивных средств, как бензин и масла нефтепродуктов и т. д.).
Во избежание негативных последствий в холдинговых структурах целесообразно формирование единого информационно-аналитического центра на каждом металлургическом предприятии, координирующего потоки экономической информации из других служб и подразделений. Очень часто в холдинговых структурах функции стратегического планирования и учета на отдельных предприятиях выполняет управляющая компания. Данный фактор требует от руководства управляющей компании постоянного переключения на различные блоки экономической информации, что при плохой подготовке исходного информационно-аналитического материала может привести к значительным финансовым потерям. Этот же фактор действует на подразделения, занимающиеся подготовкой информации: для детального изучения ситуации в различных отраслях деятельности холдинга при ограниченных человеческих и финансовых ресурсах им не хватает ни сил, ни времени. Таким образом, для полноценного информационного обеспечения стратегического планирования и учета необходимо организовать потоки информации с предприятий холдинга в единый информационно-аналитический центр управляющей компании, где должны происходить накопление, обработка, систематизация и хранение необходимой информации или знаний (рис. 2).
Условия, в которых работает металлургическое предприятие холдинга, требуют всеобъемлющей и глубокой защиты информационных систем. Особенности формирования информационной безопасности основаны на особенностях функционирования металлургического холдинга в целом и каждого отдельного предприятия, входящего в данный холдинг.
Формирование трехуровневой системы информационной безопасности связано с диагностированными информационными связями, возникающими в металлургическом холдинге. При анализе информационных связей первого уровня выявлено два направления проблем, возникающих при нарушении информационной безопасности.
Металлургическое предприятие
Информационно-аналитический центр
Металлургическое предприятие
Информационные связи 1 -го уровня
Информационные связи 2-го уровня
ш1
Управляющая компания
щ1
Информационно-аналитический центр
Информационные связи 3-го уровня
Рис. 2. Упорядочение системы информационного пространства
Во-первых, это связано с тем, что металлургическое производство чревато огромным ущербом для окружающей среды. Поэтому нарушение деятельности автоматизированных производственных агрегатов способно вызвать, без преувеличения, техногенную катастрофу.
Во-вторых, подавляющее большинство основных бизнес-процессов, в том числе таких критичных к времени простоя, как отгрузка, автоматизированы. Соответственно, обеспечить требуемую интенсивность этих процессов в традиционном «бумажном» режиме уже невозможно. Вывод из строя автоматизированных систем управления данного производства способен парализовать деятельность предприятия.
Анализ информационных связей второго уровня позволил диагностировать область проблем, связанных с нарушениями системы информационной безопасности. Это связано с необходимостью предоставления всем участникам производственной кооперации доступа к общим автоматизированным системам. Но у каждого из них есть и собственные коммерческие интересы, которые необходимо защищать, в том числе защищая их коммерческую информацию.
Нарушение третьего уровня информационных связей острее всего скажется на снижении конкурентоспособности холдинга. Это связано с тем, что металлургический рынок сильно консолидирован — здесь присутствует небольшое число поставщиков сырья, крупных металлургических
комбинатов и потребителей металлопродукции. В условиях, когда смена поставщика руды или готового металла влечет за собой заметные разовые издержки, а контракты на поставку обычно краткосрочны, для поставщиков сырья становится заманчивым внезапно поднять цены на свою продукцию, заставив контрагента согласиться на кабальные условия поставок, а для покупателей металла велик соблазн добиваться снижения цен на продукцию, угрожая отказом от закупок. Выигрыш в такой игре чреват сверхприбылями, а проигрыш — остановкой производства из-за отсутствия сырья либо сбыта. Хищение конфиденциальной коммерческой информации предприятия существенно упрощает шантаж со стороны поставщиков или покупателей.
Все это убеждает, что обеспечению информационной безопасности своих автоматизированных систем предприятия металлургического холдинга должны уделять самое серьезное внимание. Добиться высокого уровня защищенности от несанкционированного доступа к информации можно лишь комплексной защитой всех ключевых элементов информационной инфраструктуры в сочетании с надлежащей подготовкой эксплуатирующего ее персонала. Отметим, что реализовать такую защиту на практике очень сложно. В условиях хронического недофинансирования и бессистемности закупок предприятия тратят средства, выделенные на защиту информации, на антивирусы, межсетевые экраны, системы обнаружения атак, ведь польза от этого представляется очевидной и мгновенной. К сожалению, развертывание этих средств хотя и защищает от некоторых угроз, но оставляет в системе информационной безопасности зияющие бреши, создавая при этом опасную иллюзию надлежащей защищенности. Подлинным решением проблемы может быть системность подхода и правильная организация работы по обеспечению информационной безопасности.
В результате формирования системы информационной безопасности металлургическому предприятию удастся обеспечить высокую степень защиты автоматизированных систем, которая будет выражаться в следующем:
1) на уровне сети данные защищаются от несанкционированного доступа средствами виртуальных локальных сетей, межсетевых экранов. Безопасность работы серверов обеспечивают раз- 79
вертываемые системы обнаружения вторжений и антивирусы;
2) для повышения эффективности обнаружения вредоносных программ рабочие места сотрудников будут оснащаться системой обнаружения вторжений;
3) разграничение доступа пользователей к информационным ресурсам планомерно сосредоточивается в единой системе каталогов. По мере внедрения данной программы у пользователей изымаются полномочия локальных администраторов их рабочих мест, что снижает риск заражения вирусами и утечек конфиденциальной информации;
4) необходимо создать специальное подразделение, которое будет разрабатывать нормативные документы предприятия по информационной безопасности, контролировать их соблюдение, а также организует планомерное обучение и аттестацию персонала.
Только при решении всех указанных проблем можно с уверенностью утверждать, что на металлургическом предприятии будет создана целостная система информационной безопасности, надлежащим образом увязывающая разнообразные технические средства и деятельность персонала различных подразделений со стратегическими задачами предприятия.
Сформулируем основные пути решения проблем обеспечения информационной безопасности металлургического холдинга. Первое направление основано на необходимости разработки нормативной базы предприятия по информационной безопасности и контролю за ее соблюдением персоналом. Тогда в каждом управлении могут быть сформированы подразделения, обеспечивающие информационную безопасность систем и оборудования этих подразделений. Следовательно, во всех структурных подразделениях металлургического предприятия появляется возможность осуществить контроль за соблюдением правил информационной безопасности в своем подразделении. Важнейшая роль для решения данных проблем отводится персоналу.
Второе направление — это создание целостной системы информационной безопасности, тесно увязывающей технические средства и деятельность персонала подразделений со стратегическими за-
дачами (по отдельному металлургическому предприятию и холдингу в целом).
Главные недостатки в этой области связаны с тем, что ряд руководителей металлургических предприятий по-прежнему ставят во главу угла производственные технологии, а не принципы эффективного управления. Приобрести новую печь, батарею или карьерный самосвал считается эффективным расходованием средств, а на модернизацию процессов управления ресурсов не находится. Это вопрос коренной перестройки психологии мышления руководителей предприятия.
Первоочередной задачей является осознание руководством холдинга роли информационных технологий в завоевании успехов на рынке, в адекватной оценке рисков, присущих информационным технологиям, в надлежащем планомерном инвестировании средств в информационные технологии, грамотном и разумном управлении развитием и применением этих технологий. Грамотность управления проявляется, в том числе, и в постоянном внимании руководства к вопросам информационной безопасности, комплексном управлении рисками, выборе компетентных подрядчиков.
В заключение отметим, что информационная безопасность приводит не столько к сокращению прямых убытков или получению дополнительных доходов, сколько к предотвращение рисков. При этом возникают большие затраты на формирование системы информационной безопасности. Однако они неизмеримо меньше, чем затраты, которые появляются в связи с компенсацией последствий сбывшихся информационных рисков. Наша безопасность находится в наших руках. Для металлургического комплекса России данная истина особенно актуальна.
ЛИТЕРАТУРА
1. Коржов В. Центр управления информацией //Открытые системы. 2004. № 8.
2. Могилевский С. Д., Самойлов И. А. Корпорации в России: Правовой статус и основы деятельности. - М. : Дело, 2007. - 480 с.
3. Скрипкин К. Г. Экономическая эффективность информационных систем. — М. : ДМК Пресс, 2002. - 256 с.