Экономическая безопасность предприятия

Размещено на http://www.allbest.ru/

ВВЕДЕНИЕ

Актуальность исследования. Для предотвращения угроз, а также, возможности своевременно и адекватно реагировать на них, используются индикаторы экономической безопасности предприятия, позволяющие выявить болевые точки в его деятельности. Информационная безопасность на современном этапе является важным элементом обеспечения национальной системы безопасности государства. Формирование концепций в рассматриваемой сфере осуществлялось в относительно короткий исторический период, что определяется относительно недавним возникновением появлением данного вида угроз. При этом, проблемы информационной угрозы представляют особую опасность для деятельности всех видов структур, как на микро-, так и на макро- уровне.

В современное время в каждой организации, будь то банк, научно-исследовательский институт, оборонное предприятие, министерство либо ведомство, все большее значение начинают приобретать угрозы информации, которая циркулирует внутри организации, а также выходящей за его пределы. Таким образом, актуальность темы защиты информации не вызывает сомнений. В современном мире без грамотной защиты информации невозможно обеспечить гарантию прав и законных интересов создателей и пользователей. Российское научное сообщество обратило внимание на проблемы информационной безопасности в 90-е годы XX века в рамках обеспечения национальной безопасности государства, преодоления технологической и научно-технической зависимости Российской Федерации от внешних источников. информационный технологический контроль

Цифровые технологии глубоко погружаются в процессы деятельности (бизнес-процессы, процессы управления, сервисные процессы), становятся их составной частью. В условиях цифровой трансформации экономики решение проблемы экономической безопасности все в большей степени переходит в область обеспечения информационной безопасности.

Информационную безопасность рассматривали такие отечественные авторы как: В.К. Белозеров, Н.А. Васильева, М.А. Гареев, С.Б. Иванов, Л.Г. Ивашов, С.А. Комов, А.В. Лукин, И.Ф. Луппов, К.А. Панцирев, А.В. Понеделков, Д.О. Рогозин, А.С. Сергунин, А.А. Стрельцов, О.Ф. Шабров, Д.Н. Шакин, Е.Б. Шестопал и другие.

В научной литературе вопросы, посвященные исследованию экономической безопасности, нашли свое отражение в трудах таких ученых, как С.М. Микаилов, В.И. Попюк, В.У Хатуаев и др. Однако недостаточно проработанными остаются экономические аспекты информационной безопасности, требуют уточнения место и роль сетевых технологий в системе безопасности разных уровней, что предопределило направления данного исследования.

В современных условиях процесс успешного функционирования и экономического развития российских предприятий во многом зависит от совершенствования их деятельности в области обеспечения экономической безопасности. Экономическая безопасность предприятия является многогранным понятием и имеет в своем составе различные функциональные составляющие, такие, как кадровая, информационная, финансовая, имущественная безопасность и др. Из этого следует, что направления обеспечения экономической безопасности хозяйствующего субъекта должны разрабатываться применительно к каждой функциональной составляющей экономической безопасности.

Объектом исследования является система информационно-технологического контроля безопасности предприятия.

Предмет исследования - методы управления технологиями в системе экономической безопасностью предприятия.

Целью данного исследования является анализ применения технологий и контроля их безопасности в условиях информационного обеспечения предприятия.

Необходимость достижения поставленной цели предопределила следующие задачи данного исследования:

рассмотреть сущность, значение экономической безопасности в системе управления предприятием;

определить риски в системе обеспечивающей информационно-технологической инфраструктуры;

изучить влияние информационных технологий на обеспечение экономического развития;

провести анализ современного состояния и обозначить пути контроля в системе сетевых технологий;

определить приоритетные направления управления информационно-технологической безопасностью;

изучить особенности формирования рекламной политики предприятия в сети Интернет.

Теоретической основой данного исследования послужили труды зарубежных и российских ученых в области экономики, сетевой безопасности, учебные пособия, а также материалы периодической печати.

Информационной базой исследования послужили открытые данные периодической печати, пособий по информационной и технологической безопасности.



1. СОВРЕМЕННЫЕ УСЛОВИЯ ИНФОРМАЦИОННО-ТЕХНОЛОГИЧЕСКОГО КОНТРОЛЯ ПРОИЗВОДСТВЕННОГО ПРЕДПРИЯТИЯ

1.1 Средства технологического контроля поризводственного предприяти

На основе данных мониторинга 2019 года, мы отмечаем следующие тенденции:

Количество уникальных киберинцидентов продолжило расти и на 11% превысило показатели аналогичного периода в 2018 году.

Становится больше вредоносного ПО, которое сочетает в себе функции троянов нескольких типов. Гибкая модульная архитектура делает его универсальным. К примеру, зловред может демонстрировать рекламу и одновременно с этим воровать пользовательские данные.

Продолжает уменьшаться доля скрытого майнинга (7% против 9% в IV квартале 2018 года). Хакеры начали модернизировать майнеры до уровня многофункциональных троянов. Попав в систему с низкими вычислительными ресурсами, где майнинг малоэффективен, такой троян активирует функции шпионского ПО и ворует данные.

Растет число заражений шифровальщиками (24% против 9% в IV квартале 2018 года). Довольно часто данный тип вредоносного ПО используется в комбинации с фишингом, причем злоумышленники изобретают новые способы обмануть пользователей и побудить их заплатить выкуп.

Медицинские учреждения -- самые распространенные жертвы троянов-шифровальщиков. Возможно, руководство организаций здравоохранения охотнее соглашается заплатить выкуп, нежели другие компании, ведь на кону оказываются жизни и здоровье людей.

Кибератаки на государство главным образом направлены либо на кражу данных, для чего злоумышленники используют уникальное шпионское ПО собственной разработки, либо на взлом правительственных веб-ресурсов с целью заразить их посетителей вредоносным ПО.

Вредоносное ПО -- главная угроза для крупных промышленных компаний. Атакуя сферу промышленности, злоумышленники чаще всего заинтересованы в коммерческой тайне. В связи с этим нельзя исключать, что атаки шифровальщиков на промышленность направлены на сокрытие следов более ранних инцидентов.

Многомиллионные утечки учетных записей ставят под угрозу онлайн-сервисы. Злоумышленники охотно используют данные, которые оказались в открытом доступе, для атак типа credentials stuffing.

Атаки на веб-сайты с внедрением вредоносного JavaScript-кода (JS-снифферов), который ворует данные банковских карт, ставят под угрозу пользователей интернет-магазинов и онлайн-сервисов с функцией оплаты услуг.

Анализ защищенности информационной системы проводится путем внешнего и внутреннего тестирования на проникновение. Во время работ воссоздаются условия, максимально приближенные к условиям реальной атаки: это позволяет сформировать корректную оценку уровня защищенности. В ходе внешнего тестирования моделируются действия потенциального злоумышленника, который не обладает привилегиями в рассматриваемой системе и действует из интернета. В этом случае перед экспертами ставится задача преодолеть сетевой периметр и получить доступ к ресурсам локальной сети. Внутреннее тестирование подразумевает, что нарушитель действует из сегмента локальной сети, а его целью является контроль над инфраструктурой или над отдельными критически важными ресурсами.

При анализе защищенности наши эксперты выявляют различные уязвимости и недостатки механизмов защиты, которые можно разделить на четыре категории:

недостатки конфигурации;

отсутствие обновлений безопасности;

уязвимости в коде веб-приложений;

недостатки парольной политики.

Каждой уязвимости присваивается уровень риска (критический, высокий, средний или низкий), который рассчитывается в соответствии с системой классификации CVSS 3.0. Как и в прошлом году, практически во всех системах были обнаружены критически опасные уязвимости. В основном они связаны с недостатками парольной политики.

Важно учитывать, что работы по тестированию на проникновение проводятся методом черного ящика, поэтому невозможно выявить все уязвимости, существующие в системе. В инфраструктуре каждой компании могли присутствовать недостатки защиты, обусловленные отсутствием своевременного обновления ПО, уязвимостями в коде веб-приложений и использованием словарных паролей, которые не были обнаружены в ходе анализа. Целью тестирования является не поиск всех без исключения недостатков системы, а получение объективной оценки уровня ее защищенности от атак нарушителей.

Регулярно проводить анализ защищенности веб-приложений. Чем сложнее вебприложение и чем больше у него различных функций, тем выше вероятность того, что разработчики допустили в коде ошибку, которая позволит злоумышленнику провести атаку. Частично такие ошибки выявляются в рамках тестирования на проникновение, но наибольшее их число может быть выявлено только при проверке приложения методом белого ящика, подразумевающим анализ исходного кода. Для исправления уязвимостей обычно требуется внести изменения в код, на что может потребоваться значительное время. Чтобы сохранить непрерывность бизнес-процессов, рекомендуется применять межсетевой экран уровня приложений (web application firewall), который не позволит эксплуатировать уязвимость, пока ее не устранили, а также защитит от новых и еще не найденных уязвимостей.

Прочие векторы состояли преимущественно в подборе словарных паролей к различным системам -- Outlook Web App (OWA), VPN-серверам и рабочим станциям, а также в использовании недостатков конфигурации сетевого оборудования. Преодоление периметра потенциально возможно и через устаревшие версии ПО, которые содержат уязвимости, позволяющие получить контроль над сервером. Для многих таких уязвимостей есть общедоступные эксплойты, но их эксплуатация может нарушить работу систем, поэтому заказчики, как правило, не соглашаются на проведение подобных проверок в рамках тестирования на проникновение.

В ходе тестирования на проникновение обнаружено, что для доступа к сервису OWA используется доменная учетная запись test:test1234. Подключившись к OWA, наши эксперты загрузили автономную адресную книгу (Offline Address Book), где содержатся идентификаторы пользователей домена. Подобрав словарный пароль к учетной записи одного из пользователей, эксперты подключились к шлюзу удаленных рабочих столов (RDG) и по протоколу RDP получили доступ к компьютеру сотрудника и внутренней сети.

Размещено на http://www.allbest.ru/

Рисунок 1- Вектор проникновения, основанный на подборе словарных учетных записей



Интерфейс управления оборудованием доступен из внешних сетей

Словарные пароли пользователей

Использование уязвимой версии ПО. Выполнение произвольного кода

Один из распространенных вариантов проведения успешных атак в рамках тестирования -- обнаружение на сетевом периметре интерфейсов систем, которые должны быть доступны исключительно из внутренней сети. Несколько лет подряд мы сталкиваемся с некорректной настройкой и уязвимостями в системах видеонаблюдения, и 2018 год не стал исключением. Можно было не только просматривать видео с камер, но и выполнить произвольный код из-за устаревшей версии прошивки видеорегистратора, причем одна из уязвимостей (CVE-2013-0143) была опубликована пять лет назад. Этот пример показывает, как важно правильно определять границы сетевого периметра и следить за состоянием защищенности каждого компонента системы.

Рисунок 2 - Эксплуатация уязвимостей в системе видеонаблюдения

Десятка наиболее распространенных уязвимостей на сетевом периметре мало изменяется из года в год. Ранее мы отмечали существенное снижение доли компаний, где были выявлены словарные пароли, но в этом году они вернулись на первые строки рейтинга. Все еще широко распространено использование открытых протоколов передачи данных, в том числе для доступа к интерфейсам администрирования. Злоумышленник может перехватить учетные данные, передаваемые по открытым протоколам без использования шифрования, и получить доступ к соответствующим ресурсам. Более чем в половине систем внешнему нарушителю доступны интерфейсы удаленного доступа, управления оборудованием и подключения к СУБД.

Для защиты от сетевых угроз следует ограничить количество сервисов на сетевом периметре, убедиться в том, что открытые для подключения интерфейсы действительно должны быть доступны всем интернет-пользователям. Регулярно проводить инвентаризацию ресурсов, доступных для подключения из интернета. Уязвимости могут появиться в любой момент, поскольку конфигурация инфраструктуры постоянно меняется, в ней появляются новые узлы, новые системы, и не исключены ошибки администрирования.

Отказаться от использования простых и словарных паролей, разработать строгие правила для корпоративной парольной политики и контролировать их выполнение.

На ресурсах сетевого периметра часто хранятся в открытом виде важные данные, которые помогают злоумышленнику развить атаку. Это могут быть резервные копии веб-приложений, конфигурационная информация о системе, учетные данные для доступа к критически важным ресурсам или идентификаторы пользователей, к которым злоумышленник может подобрать пароль.

Следует убедиться, что в открытом виде (например, на страницах веб-приложения) не хранится чувствительная информация, представляющая интерес для злоумышленника. К такой информации могут относиться учетные данные для доступа к различным ресурсам, адресная книга компании, содержащая электронные адреса и доменные идентификаторы сотрудников, и т. п. Если у компании не хватает ресурсов, чтобы выполнить такие проверки собственными силами, то мы рекомендуем привлекать сторонних экспертов для тестирования на проникновение.

Актуальной остается и проблема несвоевременного обновления ПО. Чаще всего мы выявляем уязвимые версии прикладного ПО, веб-серверов и веб-приложений, поставляемых вендорами.

В ходе внешнего тестирования на проникновение на сетевом периметре компании была обнаружена устаревшая версия Cisco TelePresence Video Communication Server. Эта версия уязвима для атаки, направленной на обход аутентификации (CVE-2015- 0653). В результате эксплуатации этой уязвимости был получен доступ к веб-интерфейсу администрирования.

Веб-интерфейс администрирования содержит встроенную функцию загрузки обновлений, которую можно использовать для выполнения команд на сервере. Для этого создается архив, содержащий набор команд на языке командного интерпретатора shell. Архив загружается на сервер в качестве файла с обновлениями, и в результате злоумышленник получает возможность выполнять произвольные команды.

На сервере был выявлен интерфейс внутренней сети, следовательно, дальше злоумышленник может развивать атаку на ресурсы ЛВС.

Рисунок 3 - Выполнение команды id с информацией о текущем пользователе на сервере



Своевременно устанавливать обновления безопасности для ОС и последние версии прикладного ПО. Обеспечить регулярный контроль появления ПО с известными уязвимостями на периметре корпоративной сети.

Во всех исследуемых системах педставлен полный контроль над внутренней инфраструктурой. В среднем для этого требовалось четыре шага. Типовой вектор атаки строится на подборе словарных паролей и восстановлении учетных записей из памяти ОС с помощью специальных утилит. Повторяя эти шаги, злоумышленник перемещается внутри сети от одного узла к другому вплоть до обнаружения учетной записи администратора домена.

Необходимо обеспечить защиту инфраструктуры от атак, направленных на восстановление учетных записей из памяти ОС. Для этого на всех рабочих станциях привилегированных пользователей, а также на всех узлах, к которым осуществляется подключение с использованием привилегированных учетных записей, установить Windows версии выше 8.1 (на серверах -- Windows Server 2012 R2 или выше) и включить привилегированных пользователей домена в группу Protected Users. Кроме того, можно использовать современные версии Windows 10 на рабочих станциях и Windows Server 2016 на серверах, в которых реализована система Remote Credential Guard, позволяющая изолировать и защитить системный процесс lsass.exe от несанкционированного доступа.

Обеспечить дополнительную защиту привилегированных учетных записей (в частности администраторов домена). Хорошей практикой является использование двухфакторной аутентификации.

1.2 Задачи и цели управления производственными процессами

Улучшение качества продукции и поддержание его на высоком уровне неразрывно связаны с применением управления и различных методов технологического контроляконтроля, которые должны охватывать все стадии производства изделий, начиная с сырья и материалов и кончая готовыми изделиями,

Строгий технологический контроль за выполнением требований в большинстве случаев может быть обеспечен при помощи статистических методов. Поэтому статистические методы контроля качества и управления органически включены в технологический процесс производства при разработке технологической документации на конкретные виды изделий.

Технологический контроль качества продукции преследует две цели: во-первых, так организовать процесс производства, чтобы доля дефектных изделий была наименьшей; во - вторых исключить возможность отправки к потребителю партий несоответствующего качества.

Первая цель может быть достигнута путем организации и проведения статистического регулирования и управления технологическим процессом, вторая - путем организации и проведения сплошного или выборочного приемочного контроля, при котором оценка качества партии дается по результатам проверки всех изделий партии или по результатам проверки одной (нескольких) выборок.

Статистическое регулирование и управление технологического процесса осуществляется с целью контроля процесса изготовления изделий и внесения в него в случае необходимости изменений, т.е. корректировки настройки оборудования для устранения систематического или случайного смещения ее. Статистическое регулирование технологического процесса производится при помощи контрольных карт, которые служат для регистрации результатов периодического наблюдения за качеством продукции или технологического процесса. В подавляющем числе случаев параметры изделий или результаты выполнения технологических операций оценивают при помощи измерений.

Естественно, что результаты отдельных измерений не совпадают из-за действия целого ряда случайных причин при выполнении той или иной операции и ограниченной точности измерительных приборов. Однако все эти результаты измерений находятся в определенных пределах. При составлении контрольных карт используется среднее арифметическое и размах результатов измерений.

Имеются ряд объективных признаков технологического контроля, предупреждающих о проблемах технологического контроля на производстве:

нахождение одного или нескольких значений за контрольными пределами;

расположение нескольких последовательных значений вблизи контрольных пределов;

расположение большого числа значений по одну сторону от центральной линии;

постепенное приближение последовательных значений к контрольному пределу.

Для внесения в технологическую документацию и стандарты предприятия научно обоснованные методы статистического контроля, и управления необходимо стандартизация этих методов.

Имеются стандарты технологического контроля, охватывающие все области статистических методов контроля качества. Обобщение опыта статистических методов контроля качества и управления показывает, что созданы группы стандартов:

стандарты на терминологию и классификацию методов статистического контроля;

стандарты на методы анализа и регулирования технологических процессов;

стандарты на методы приемочного контроля;

стандарты на средства механизации и автоматизации расчетных и логических операций при статистическом анализе и контроле.

Каждая из этих групп с технологического контроля состоит из ряда стандартов. Так, в группу стандартов на методы приемочного контроля включены стандарты, регламентирующие:

одноступенчатый выборочный контроль с приемочным числом, равным нулю;

одноступенчатые и двухступенчатые планы контроля по альтернативным признакам;

последовательный контроль по альтернативным признакам;

одноступенчатый контроль по количественным признакам;

экономические планы контроля по альтернативным признакам и др.

В настоящее время разработаны и утверждены ряд стандартов, устанавливающих терминологию и методы регулирования и управления технологических процессов, технические требования к ним.

Разрабатываются и другие стандарты на статистические методы управления качеством и надежностью. Следует отметить, что на предприятиях накопили достаточный опыт использования статистических методов при производстве изделий различного назначения.

Проблема качества продукции является очень сложной проблемой, причем эта проблема носит не только научно-технический характер, но является острой экономической.

Различают организационные, экономические, правовые и другие методы управления качеством продукции. К числу наиболее актуальных относится проблема определения эффективных и рациональных форм закрепления технических, экономических и организационных решений, составляющих содержание системы управления качеством, а также исследования механизма регулирования в области стандартизации, метрологии и качества продукции.



2. ПРАКТИЧЕСКИЕ ПОДХОДЫ К ОРГАНИЗАЦИИ КОНТРОЛЯ ПРОИЗВОДСТВЕННЫХ ПРОЦЕССОВ СОВРЕМЕННОГО ПРОИЗВОДСТВА

2.1 Характеристика объекта исследования

«Вертолеты России» - один из мировых лидеров вертолетостроительной отрасли, единственный разработчик и производитель вертолетов в России, а также одна из немногих компаний в мире, обладающих возможностями проектирования, производства, испытаний и технического обслуживания современных гражданских и военных вертолетов. Холдинг «Вертолеты России» входит в структуру Госкорпорации Ростех.

География «Вертолетов России» охватывает всю страну. В состав холдинга входят конструкторские бюро, вертолетные заводы, предприятия по производству, обслуживанию и ремонту комплектующих изделий, авиаремонтные заводы, а также сервисные компании, обеспечивающие послепродажное сопровождение техники в России и за ее пределами. Головной офис «Вертолетов России» расположен в Москве. 

«Роствертол» -- авиастроительная российская компания, а также авиастроительное предприятие концерна "Вертолеты России, размещающееся в Ростове-на-Дону. На протяжении более шестидесяти лет на заводе выпускается техника, связанная с авиацией, в том числе более сорока лет вертолёты марки Ми. Предприятие в советский период носило название «Завод № 168», затем-- РВПО (Ростовское Вертолётное производственное объединение).

АО «Росвертол» имеет собственное высокотехнологичное производство, позволяющее обслуживать полный цикл опытно-конструкторских работ и выпускать серийную продукцию.

Производство расположено в просторных цеховых помещениях, оборудованных системами отопления и вентиляции, полностью соответствующими производственным стандартам.

АО «Росвертол» вправе ежеквартально (раз в полгода или раз в год) принимать решение о распределении своей чистой прибыли между участниками.

Решение о распределении прибыли принимает Общее собрание участников. Способ распределения части чистой прибыли, подлежащей распределению определяется пропорционально доле каждого участника.

Организационная структура предприятия полностью удовлетворяет главной цели деятельности - осуществление производственной и коммерческой деятельности для получения прибыли.

На данный момент существует система поцехового учета, которая была реализована без вложений с использованием возможностей Excel.

Рисунок 10. Структура автоматизированного контроля «Производственный план»



Целью проекта было создание системы управления жизненным циклом производства продукции, с учетом специфики РКТ, без привлечения дополнительных средств.

Система управления жизненным циклом производства охватывает все стадии от момента поступления в цех производственного задания до его изготовления и передачи потребителю. Дискретность обновления данных от одного до двух раз в день.

Управление данными в онлайн информационном пространстве происходит за счет средств общего доступа Microsoft Excel.

Программа строится на основании 3-х составляющих:

На первом этапе при поступлении производственного задания в цех, формируется Шаблон. Данные заносятся в столбцы:

Заказ;

Узел;

Инженерный шифр изделия;

Состав и наименование изготавливаемых изделий;

Количество единиц в комплекте и общее количество комплектов;

Подразделение получатель;

Вид приемки;

Срок исполнения;

Начальник цеха проставляет статус работ;

Далее, начиная с момента комплектования и следуя по технологическому маршруту, на основании данных с участков и цеховых журналов, формируются Переменные данные:

Цветом подкрашивается технологическая операция и проставляется дата её проведения. На цветовой индикации мы остановимся чуть дальше.

При необходимости заполняется примечание

А в случае изготовления изделия, поле красится зеленым цветом и в графе дата изготовления проставляется её дата.

3-м составляющим являются данные, которые автоматически выгружаются из приложений. Они выгружаются при совпадении двух составляющих: децимального номера изделия и узла, в которое оно входит:

Следующие графы:

данные по трудоемкости критичной для цеха заготовительно-монтажной операции (составляет примерно 50-60% от трудоемкости всех операций);

общая трудоемкость изделия;

ФИО исполнителя, выполняющего заготовительно-монтажную операцию, которая заносится на основании нормированного задания.

При получении производственного задания формируется шаблон, имеющий белый цвет, далее на складе цеха идет получение и комплектование изделий (строчки в плане окрашиваются розовым цветом), в случае появления дефицита строчка окрашивается красным цветом и в примечании прописывается дефицитное комплектующее, далее на монтажном участке выписывается маршрутный лист и проводится окончательное комплектование и подборка перепроверенной ТД и КД и вместе со сменно-суточным заданием выдается исполнителю (строчка окрашивается в желтый цвет и автоматически проставляется исполнитель выполняющий з/м операцию) и так далее по технологическому маршруту…

Цветовая индикация технологических операций необходима, потому что в цехе имеется большая номенклатура изделий, которые необходимо держать на оперативном контроле (порядка 2000 изделий-строчек), а общий план составляет более 14000 строчек.

Основные результаты внедренного проекта автоматизации:

Повышение производительности труда в цехе непосредственно в ходе изготовления изделий и ускорение решения оперативных задач управления цеховым производством;

Диспетчеризация производства (в любой момент времени можно определить текущее состояние по заказу, узлу, конкретному изделию и статусу их работ);

Возможность оценки времени изготовления «критичных» монтажных работ и общее время изготовления;

Получение полной информации по всему производственному плану; не кусочно выборочно по заказам.

Организовано Единое информационное пространство для работы всех служб цеха.

Очень важным фактором является то, что цех отработал многие моменты по автоматизации процесса и в дальнейшем будет очень просто внедрить PLM систему.

На сегодняшний день Внедрение программы позволило увеличить ежемесячный выпуск продукции в пересчете ФОТ на 681 900руб., что в объеме составляет 2 245 220руб.

Важно понимать, что основная проблема проекта в том, что диспетчеризация является локальной и не формирует результативность всего производственного предприятия.

2.2 Основные задачи технологического контроля

На сегодняшний день в холдинге «Вертолеты России» сформирована система управления качеством, позволяющая решать поставленные задачи. Она предусматривает решение стратегических вопросов и оперативное управление для принятия корректирующих и предупреждающих действий на предприятиях.

Службы качества предприятий выполняют все функции, необходимые для менеджмента и обеспечения качества и самостоятельны в вопросах контроля и приемки продукции предприятий.

Для выработки рекомендаций в области качества функционирует Координационный совет по качеству холдинга «Вертолеты России», в который входят представители управляющей компании, руководители служб качества всех предприятий холдинга и представители 708 ВП МО.

Для решения стратегических и оперативных вопросов холдинга в области качества в управляющей компании АО «Вертолеты России» создан Департамент качества и сертификации.

Цель деятельности департамента:

Создание условий для непрерывного повышения качества и надежности вертолетной техники и решение текущих проблемных вопросов по качеству

Задачи департамента:

Реализация проектов по созданию и совершенствованию систем менеджмента качества (СМК) управляющей компании, предприятий и холдинга в соответствии со стратегией развития холдинга.

Совершенствование системы технического контроля качества предприятий и ее инфраструктуры.

Организация разработки и контроль выполнения предупреждающих и корректирующих мероприятий влияющих на качество продукции и удовлетворенность потребителей.

Контроль деятельности предприятий в области качества и решение текущих проблемных вопросов.

СМК холдинга в настоящее время представляет собой набор самостоятельных (с учетом переданных функций Единоличного исполнительного органа) СМК предприятий, сертифицированных в системе сертификации «Военный регистр» по российскому стандарту ГОСТ РВ 15.002-2003 (Система разработки и постановки продукции на производство. Военная техника. Системы качества. Общие требования»), включающем требования ГОСТ Р ИСО 9001 (Система менеджмента качества. Требования).

В соответствии со стратегией развития холдинга «Вертолеты России» разработана Концепция «Корпоративная СМК АО «Вертолеты России».

Для реализации концепции в настоящее время происходит совершенствование СМК, до соответствия требованиям международных авиакосмических стандартов AS/EN 9100С (Системы менеджмента качества - Требования к организациям авиационной, космической и оборонной отрасли) на каждом из предприятий. Часть предприятий пройдут сертификацию в органах, признаваемых на международном уровне. Для этого реализуются:

Проект «Разработка и внедрение СМК АО «Вертолеты России».

План совершенствования СМК предприятий Холдинга.

Создаваемая корпоративная СМК должна представлять собой объединенную общей политикой и целями в области качества совокупность СМК УК и СМК предприятий, входящих в холдинг. В УК сосредоточены процессы менеджмента, обеспечивающие процессы и часть сквозных (двухуровневых) бизнес-процессов общих для всех предприятий холдинга, при этом основные производственные процессы для каждого предприятия свои, но частично интегрированы друг с другом. Политика в области качества прилагается.

АО «Вертолеты России» считает, что в настоящее время наличие СМК, соответствующей требованиям стандарта AS 9100/EN 9100, является обязательным условием для разработчиков и изготовителей вертолетной техники, ее комплектующих изделий и материалов. Необходимо обеспечить сертификацию в органах, признаваемых на международном уровне.



3. СИСТЕМЫ СОВЕРШЕНСТВОВАНИЯ ИНФОРМАЦИОННО-ТЕХНОЛОГИЧЕСКОГО КОНТРОЛЯ ПРОИЗВОДСТВЕННОГО ПРЕДПРИЯТИЯ

Современные условия рынка и развитие информационных технологий постоянно повышают требования технологическому контролю на всех этапах поизводства, и уже не достаточно производить изделия и оказывать услуги. Производство должно быть гибким и эффективным с возможностью быстрой модификации продукта, клиенту необходима полная и актуальная информация, которую возможно получить в онлайн-режиме в любой точке доступа с выводом на цифровые устройства.

Сложившаяся конкурентная среда требует от производителя принятия срочных, сложных и в тоже время гибких решений технологического контроля, возможных только при наличии цифровых моделей не только изделия, но и моделей производства, а также имитационных моделей производственных процессов (маршрутов движения и процессов изготовления).

С 2008 года в холдинге «Вертолеты России» началось активное освоение систем технологического контроля и управления жизненным циклом изделия, благодаря чему сформировалось понимание роли информационных технологий в конструкторско-технологической подготовке и производстве.

Предприятия холдинга постоянно ведут развитие информационных технологий в части автоматизации своих процессов и технологического контроля. Большая часть изделий имеет электронные макеты, запущены процессы безбумажного производства, а достигнутые результаты активно развиваются и тиражируются в рамках структуры компании.

В 2014 году в холдинге «Вертолеты России» была разработана политика повышения эффективности и результативности бизнеса за счет внедрения цифровых технологий в процессы проектирования, технологической подготовки производства, изготовления изделий, а также их поддержки в процессе эксплуатации. Для повышения эффективности, развития достигнутого успеха и концентрации усилий по освоению новых направлений информационных технологий разработана концепция развития «Цифрового производства». Основным принципом концепции является построение единого цифрового пространства на базе унифицированных решений конструкторско-технологической подготовки, планирования и мониторинга производства, качества продукции, складской логистики и обеспечения послепродажного обслуживания.

Системы технологического контроля и управления жизненным циклом изделия и проектирования уже давно применяются на предприятиях холдинга для задач конструкторско-технологической подготовки. Сегодня холдинг ставит задачи по имитационному моделированию производственных процессов и оценке возможностей цеха, участка и рабочих мест, а также моделированию процессов изготовления перед началом выполнения операций на оборудовании, для чего уже недостаточно иметь только изделия «в цифре» - необходима оцифровка всего производственного процесса и объектов производства.

Для построения системы технологического контроля и мониторинга производства от принятия заказа на вертолет до выдачи сменно-суточного задания рабочему цеха в 2016 году было начато внедрение ERP-системы. Сегодня идут проекты по разработке и внедрению ERP-решения для управляющей организации холдинга «Вертолеты России» и ПАО «Роствертол». Данные проекты расширят возможности холдинга по планированию и мониторингу производства в связки «Холдинг-Завод-Цех».

Процессы технологического контроля и данные жизненного цикла изделия, реализуемые на этапах конструкторско-технологической подготовки производства, являются исходными данными для планирования и мониторинга производства, поэтому параллельно запущены проекты интеграции внедряемых решений, что позволит построить единое информационное пространство.

Кроме того, в холдинге активно ведутся работы по развитию технологического контроля, таких как внедрение роботизации в трудоемкие технологические процессы, внедрение аддитивных технологий, новые технологии формообразования, композитное производство и т.д. Отличительной особенностью внедряемых перспективных технологий является сквозное использование «цифровых» данных во всей технологической цепочке: от разработки 3D-модели до контроля готовой продукции. Внедряемые средства технологического контроля предполагают, что все процессы создаются в автоматизированных системах, включая оборудование с ЧПУ, цифровые данные передаются по процессу в автоматическом режиме. Развитие 3D-технологий и числового программного управления стало основой развития технологий нового поколения.

Проекты по выполнению поставленных руководством задач инициированы на всех предприятиях холдинга, ведется активная работа по развитию направлений «Цифрового производства». Так, в 2016 году внедрение проекта технологического контроля. Цель проекта заключается в создании единой информационной платформы технологического контроля всех предприятий холдинга.

Данная платформа состоит из четырех компонентов технологического контроля. Первый, наиболее важный, блок охватывает вопросы технологической подготовки и управления конструкторской документацией. В рамках этого блока технологического контроля в ПАО «Росвертол» создается система управления инженерными данными, на базе которых строится вся деятельность предприятия. Второй компонент - это ряд подсистем технологического контроля, составляющих единую корпоративную систему управления ресурсами на базе 1С: ERP 2.2. Она охватывает финансово-экономический блок, обеспечение производства, планирование производства, бухгалтерию, управление зарплатой и кадрами, управленческий учет, управление сбытом, то есть практически все подсистемы предприятия.

Третий компонент технологического контроля - послепродажное обслуживание. И, не менее важный, четвертый блок - создание технического обеспечения всех вышеперечисленных компонентов. Более того, поскольку создание единой платформы подразумевает интеграцию с холдингом, то в рамках четвертого блока вопрос обеспечения необходимыми мощностями выйдет за рамки авиакомпании и затронет город и даже регион.

Работа специалистов ПАО «Росвертол» началась с внедрения системы планирования и мониторинга производственных заказов (СПМ ПЗ), которая является одним из подпроектов «Цифрового производства». Данная система направлена на то, чтобы выстроить в единую цепочку все процессы, связанные с исполнением заказа на предприятии, начиная с момента его открытия. Это вопросы по проработке данного заказа различными службами, его запуску в производство и дальнейшему сопровождению. Все они будут решаться на базе единой информационной платформы - вся информация, вводимая различными службами и необходимая для исполнения заказа, будет находиться в едином информационном поле и в открытом доступе для всех заинтересованных подразделений.

В планах холдинга «Вертолеты России» - создание трехуровневой системы технологического контроля. Система верхнего уровня разработана и внедряется на уровне холдинга, она представляет собой систему долгосрочного планирования производственных заказов. Второй уровень системы будет являться межцеховым, а третий - внутрицеховым. В настоящее время третий уровень в ПАО «Росвертол» представлен собственной системой АСУ «Прогресс», которая решает большую часть задач, поставленных разработчиками. А СПМ ПЗ на первом этапе должна «закрыть» второй уровень, с дальнейшим охватом третьего уровня.

Для решения поставленных холдингом задач в ПАО «Росвертол» открыт проект и создана рабочая группа технологического контроля, которая и займется внедрением проекта «Цифровое производство» в комплексе.

Новым шагом в продвижении цифровых технологий в холдинге «Вертолеты России» стало подписание в июле в рамках международного авиационно-космического салона МАКС-2017 соглашения о сотрудничестве в области создания цифрового производства с компанией «РТ-ИНФОРМ». Основной целью соглашения является повышение эффективности текущей деятельности «Вертолетов России» за счет планомерного перехода к использованию цифровых технологий в административном и производственном процессах. Заключенное соглашение подразумевает совместную работу по созданию распределенных централизованных систем технологического контроля и управления нормативно-справочной информацией в рамках комплексной программы «Цифровое производство».

Кроме того, будет вестись дальнейшая разработка системы планирования и мониторинга производственных заказов, информационной системы интегрированной логистической поддержки процессов послепродажного обслуживания вертолетной техники, а также автоматизация подготовки производства вертолетов военного назначения.

«Вертолеты России» всегда стремятся идти в ногу со временем, и внедрение цифровых технологий в производственную деятельность холдинга - это требование современных требований технологического контроля.



ЗАКЛЮЧЕНИЕ

В ходе исследования проведено практическое и теоретическое исследование

Для эффективного управления ИБ в компании должен существовать пусть и небольшой, но специализированный отдел, который будет сфокусирован на вопросах обеспечения информационной безопасности.

По данным аналитических исследований в сфере информационной безопасности, в 2019 г. на 14% возросло число организаций, где защиту информации обеспечивает ИТ-отдел. Также увеличилось число компаний, которые передали данный вопрос на аутсорсинг. По сравнению с предыдущим годом, в 2019 г. повысилась долгосрочность планирования стратегии информационной безопасности. Число компаний, перешедших от краткосрочной стратегии к долгосрочной, выросло в два раза. Изменения общей экономической ситуации в стране не отразились негативно на ИБ-бюджетах российских организаций. 35% участников опроса планируют повысить бюджет на информационную безопасность в 2019 г.

Больше половины (54%) оставят бюджет на информационную безопасность на прежнем уровне. И лишь 11% компаний в 2019 г. будут сокращать бюджет на обеспечение безопасности. Одним из значимых факторов, определяющих расходы организаций на обеспечение информационной безопасности, участники опроса назвали защиту критической информационной инфраструктуры (КИИ). Значение этого показателя по сравнению с предыдущим годом выросло с 33% до 47%. 97% участников российского рынка испытывают трудности с тем, чтобы убедить руководство в актуальности затрат на обеспечение информационной безопасности. Основной причиной сложностей является недостаточный уровень информированности высшего руководства в вопросах информационной безопасности, это отметили 34% российских компаний.

Выбор ИБ-решений для предприятия - одна из важнейших задач его высшего руководства. От этого зависит успешность функционирования информационной системы предприятия, которая на протяжении ряда последующих лет будет являться платформой развития конкурентных преимуществ предприятия и обеспечения его эффективности. Для российского рынка основными критериями выбора средств защиты информации стали оптимальное сочетание цены, производительности и функций (так считают 75 участников опроса). 48% считают, что продукт должен быть наиболее подходящим для текущих бизнес-задач. 46% компаний отметили важность критерия «качество системы управления».



СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 № 7-ФКЗ, от 05.02.2014 № 2-ФКЗ, от 21.07.2014 № 11-ФКЗ).

2. Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации».

3. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 9 сентября 2000 г. № Пр-1895) (утратила силу).

4. Указ Президента Российской Федерации от 31 декабря 2015 года № 683 «О Стратегии национальной безопасности Российской Федерации»

5. Федеральный закон РФ «О безопасности критической информационной структуры» от 26 июля 2017 г. № 187 - ФЗ: принят Гос. Думой Федер. Собр. Рос. Федерации 12 июля 2017 г. // Российская газета - 2017. - 31 июля.

6. О внесении изменений в статьи 10.4 и 15.3 Федерального закона «Об информации, информационных технологиях и о защите информации» и статью 6 Закона Российской Федерации «О средствах массовой информации»: федеральный закон от 25 ноября 2017 г. N 327 - ФЗ: принят Гос. Думой Федер. Собр. Рос. Федерации 15 ноября 2017 г. // Российская газета - 2017. - 27 ноября.

7. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция от 31.12.2017)

8. Перечень технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79" (утв. ФСТЭК России 24.07.2017)

9. Авакьян С. А. Государственная инновационная политика и ее организационно-правовое обеспечение // «Государственная власть и местное самоуправление», 2017, №11.

10. Бачило И. Л., Лопатин В.Н., Федотов М. А. Информационное право: учебник / под ред. Б.Н. Топорнина. СПб., 2015, С. 113

11. Бырдин И.В. Принципы фишинга // Обучение защиты от фишинга. [Электронный ресурс]. - Режим доступа - URL: https://www.cisco.com/c/ru_ru/products/security/email-security/what-isphishing.html (Дата обращения 15.11.2019).

12. Гаврилов Э.П. К вопросу об охране коммерческой, служебной и личной тайны. Гражданско-правовые аспекты // Хозяйство и право. 2019. № 5. С. 29

13. Головин А.И. Исследование программ вымогателей // Cisco Ransome Defense. [Электронный ресурс]. - Режим доступа - URL: https://www.cisco.com/c/dam/global/ru_ru/about/brochures/assets/pdfs/cisco_rans omware_defense_aag_ru.pdf (Дата обращения 19.11. 2019).

14. Ершова Т.В., Хохлов Ю.Е., Шапошник С.Б. Информационное общество для всех сегодня и завтра: совместные действия заинтересованных сторон по реализации стратегии развития информационного общества // Информационное общество. 2017. Вып. 5

15. Ильин В.В Dos/Ddos атаки // Распределенные сетевые атаки. [Электронный ресурс]. - Режим доступа - URL: https://www.kaspersky.ru/resourcecenter/threats/ddos-attacks (Дата обращения 16.11.2019).

16. Индекс сетевой готовности [Электронный ресурс]. URL: http://www.bizhit.ru/index/indeks_setevoj_gotov- nosti_2014/0-451 (дата обращения: 12.11.2019).

17. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. // Бюллетень международных договоров. 2014. № 4. С. 13-21.

18. Кузнецов П. У. Проблемы формирования источников нормативного обеспечения информационной среды // Информационное общество: проблемы развития законодательства. Сборник научных работ. -- М.: ИГП РАН, 2014 С.29

19. Об утверждении государственной программы «Информационное общество (2011-2020 годы)» : постановление Правительства РФ от 15 апреля 2014 г. № 313 // Российская газета. 2014. 24 апр.

20. Обирин А.В. Замена, искажение страниц сайта // Последствия взлома сайтов. [Электронный ресурс]. - Режим доступа - URL: https://insafety.org/deface.php (Дата обращения 20.11.2019).

21. Полякова Т.А. Правовое обеспечение информационной безопасности при построении информационного общества в России: дис... д-ра юрид. наук. М., 2008. C. 112; ЛопатинВ.Н. Информационная безопасность России: дис. д-ра юрид. наук. М., 2003. С. 91.

22. Полякова Т.А. Правовое обеспечение информационной безопасности при построении информационного общества в России : автореф. дис. ... д-ра юрид. наук. М., 2018.

23. Швецова Т.В. Информационная безопасность, безопасность информации, защита информации: соотношение понятий // Вестник Московского университета МВД России. 2017. № 2. С. 43-45.

24. Шендрик А.И. Информационное общество и его культура: противоречия становления и развития [Электронный ресурс]. URL: http://www.zpu-journal.ru/e-zpu/2010/4/Shendrik/ (дата обращения: 15.11.2019).



ПРИЛОЖЕНИЯ

Выбор технических решений по защите АИС



Подсистемы, требуемые к созданию согласно 152 ФЗ

Схема объекта

ПК	Сплит		ОКНО	ШКАФ
	ПК	ПК
ПК
		Стол	Стол	Стол
ПК
	ПК	ПК	ПК				ДВЕРЬ

Условные обозначения:

__________ Энергообеспечение

__________ Локальная сеть

Заключение по результатам аттестационных испытаний

объекта информатизации

(наименование объекта информатизации) в помещении _______________________________

____________________________________________________________

на соответствие требованиям безопасности информации, составляющей

государственную тайну

Настоящее заключение подготовлено на основании результатов аттестационных испытаний, на соответствие требованиям по безопасности информации, составляющей государственную тайну объекта информатизации _____________ в помещении __________________________.

Аттестационные испытания проводились на основании ______ и в соответствии с «Программой и методиками аттестационных испытаний объекта информатизации», утвержденной руководителем __________, действующим на основании следующих лицензий на деятельность в области защиты информации:

перечень имеемых лицензий

________________________

Состав аттестационной комиссии _______________________

Размещено на Allbest.ru