Irina-vaiman.ru

Дизайн и Архитектура
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Организация рабочего пространства по принципу 5С

Организация рабочего пространства по принципу 5С

5С находится на втором месте после картирования по популярности использования в ТЕХНОНИКОЛЬ. Внедрение 5С мы начали в Компании около 10 лет назад и продолжаем до сих пор. Этот инструмент помогает добиваться удовлетворенности клиентов, лидерства в издержках, безопасности, высокой производительности труда. Проблемы не видны до тех пор, пока не организовано рабочее место. Чистка и уборка рабочего места помогает вскрыть проблемы, а обнаружение проблем — это первый шаг к улучшениям. 5С — это пять слов, начинающихся с буквы «с»:

Шаг 1 — «сортировка» — четкое разделение вещей на нужные и ненужные и избавление от последних.

Шаг 2 — «соблюдение порядка» (аккуратность) — организация хранения необходимых вещей, которая позволяет быстро и просто их найти и использовать.

Шаг 3 — «содержание в чистоте» (уборка) — соблюдение рабочего места в чистоте и опрятности.

Шаг 4 — «стандартизация» (поддержание порядка) — выполнение установленных процедур первых трех шагов.

Шаг 5 — «совершенствование» или «самодисциплина» (формирование привычки) — улучшение, поддержание результатов, достигнутых ранее.

s1-1443440946.jpg

Рисунок 1. Организация рабочего пространства по принципу 5C

Основные цели 5С:

  1. Обеспечение чистоты на рабочем месте.
  2. Экономия времени, главным образом на поиск необходимого в работе.
  3. Обеспечение безопасного труда, снижение числа несчастных случаев.
  4. Повышение уровня качества продукции, снижение количества дефектов.
  5. Создание комфортного психологического климата, стимулирование желания работать.
  6. Исключение всех видов потерь.
  7. Повышение производительности труда (что в свою очередь ведет к увеличению прибыли предприятия и соответственно росту уровня дохода рабочих).

Шаг 1 «1С»

  1. Разделение всех предметов в операционной зоне на нужные и ненужные.
  2. Удаление из операционной зоны ненужных предметов.

Для удаления ненужных предметов из операционной зоны на первоначальном этапе внедрения мы использовали так называемую «кампанию красных ярлыков», когда на каждый предмет — кандидат на удаление — приклеивается или вывешивается красный ярлык (флажок). Все сотрудники подразделения, где проходила сортировка, были вовлечены в этот процесс, в итоге выявили предметы, которые:

  • должны быть немедленно вынесены, выброшены, утилизированы;
  • должны быть перемещены в более подходящее место для хранения;
  • должны быть оставлены и для них должны быть созданы и обозначены свои места.

Для предметов с красными флажками организовали «зону карантина», которую раз в месяц перебирали. Предметы, которые пролежали в зоне карантина свыше 30 дней, либо перемещали в место постоянного хранения, как правило, в складской зоне, либо продавали, а иногда и утилизировали.

Красный ярлык может представлять собой обычный красный стикер с нанесенной на него датой перемещения этого предмета в зону карантина, а может быть более сложный по форме: с информацией о подразделении, причинах перемещения в зону карантина, ответственных и т.д. Пример красного ярлыка на рисунке 2.

s5

Рисунок 2. «Зона карантина» с помещенными в нее предметами с красными флажками

Ниже приведена таблица с рекомендациями по сортировке предметов с различной частотой использования в рабочей зоне:

s35-1443450460.png

Шаг 2 «2С»

Недостаточно один раз все разложить по местам, этот порядок должен соблюдаться всегда и всеми. При обходах рабочих мест на первоначальном этапе внедрения 5С возникало много проблем с возвратом инструментов, инвентаря на место. Прошло определенное время, пока подобрали оптимальное расположение для предметов в операционной зоне, которое позволило любому сотруднику легко использовать, быстро находить и возвращать на место документацию, инструменты, материалы, комплектующие. При маркировке места хранения предметов старались использовать принципы, позволяющие при первом же взгляде на любое из мест сразу определить, что там должно лежать, каково количество предметов и срок их хранения. Для этих целей использовали разные методы визуализации:

1. Оконтуривание предметов — нанесение контура предмета на поверхность, где данный предмет должен храниться

s18-1443443377.jpg

Рисунок 3. Стол качества, производство минеральной изоляции, г. Рязань

s19-1443443377.jpg

Рисунок 4. Оконтуривание предметов на столе качества, производство минеральной изоляции, г. Рязань

s20-1443443377.jpg

Рисунок 5. Стенд с инструментом, слесарный участок, г. Юрга

s21-1443443377.jpg

Рисунок 6. Стенд с инструментом (вертикальное размещение и хранение инструмента), производственный участок, г. Хабаровск

s22-1443443377.jpg

Рисунок 7. Стол с инструментом (горизонтальное размещение и хранение инструмента), производственный участок, г. Хабаровск

2. Цветовая маркировка, при которой разным видам инструментов и приспособлений соответствуют разные цвета

s23-1443443377.jpg s24-1443443377.jpg

Рисунок 8. Фото разъемов центрифуги с ответной частью, соответствующей по цвету, производство минеральной изоляции, г. Рязань

s25-1443443377.jpg

Рисунок 9. Цветовая маркировка трубопроводов на участке подготовки связующего, г. Хабаровск

3. Маркировка краской для выделения места хранения на полу и/или в проходах

s26-1443443377.jpg

Рисунок 10. Обозначение мест хранения пил в производственном цехе, г. Рязань

s27-1443443377.jpg

Рисунок 11. Слесарный участок, производство минеральной изоляции, г. Заинск

s28-1443443377.jpg

Рисунок 12. Открытая складская площадка, производство минеральной изоляции, г. Рязань

s29-1443443377.jpg

Рисунок 13. Склад запчастей, производство минеральной изоляции, г. Юрга

Маркировку краской применяют также для обозначения разделительных линий между рабочими зонами или транспортных проездов.

s30-1443443377.jpg s31-1443443377.jpg

Рисунок 14. Цех по производству минеральной изоляции, г. Рязань

Шаг 3 «3С»

Есть такая поговорка «чисто не там, где метут, а там, где не сорят». Конечно, содержание в чистоте предусматривает уборку рабочих мест, придание оборудованию и рабочему месту опрятность, достаточную для проведения контроля, но главное было в том, чтобы создать такие условия, при которых образование грязи и пыли сводилось к минимально допустимому количеству. Этот процесс продолжается до сих пор, на эту тему подается немало предложений по улучшению оборудования или рабочего места.

Читайте так же:
Крафт кузнечного стола

Казалось бы, все понимают преимущества уборки:

  • чистое рабочее место, на котором приятно работать (что повышает эмоциональное состояние работника и делает рабочее место более привлекательным);
  • постоянная готовность к работе всего, что может потребоваться для выполнения производственных задач;
  • обеспечение безопасности выполнения работ (например, пролитое машинное масло и лужи на полу могут привести к травмам);
  • обеспечение работоспособности оборудования (нет риска попадания пыли и грязи в работающие механизмы);
  • отсутствие брака.

Тем не менее, переход от убеждения к действиям, особенно на старых заводах с 50-летней историей, был совсем не легким. Во всех подразделениях проверки чистоты проводим в соответствии с заранее определенными критериями чистоты (чистота в офисе и в производственном цехе — не одно и то же), которые указываются в контрольном листе. В контрольном листе на ряде участков подробно описаны содержание и порядок работ по наведению чистоты, есть фотографии мест их проведения:

s6-1443440946.jpg

s7-1443440946.png

Чтобы упростить периодический осмотр, контрольные листы прикрепили рядом с соответствующим оборудованием, чтобы быстро проверять на правильность заполнения и устранять выявленные недостатки.

Есть еще один простой инструмент для контроля стандарта чистоты рабочего места — это фотография рабочего места в том виде, в каком оно должно быть. Ниже пример.

s32-1443443377.jpg

Рисунок 15. Стандарт чистоты, производство минеральной изоляции, г. Рязань

Шаг 4 «4С»

Стандартизация — создание единого подхода к выполнению заданий и процедур. Основная цель этого этапа — предотвратить отход от постоянной реализации первых трех этапов. Стандартизировать — значит разработать такой контрольный лист, который всем понятен и прост в использовании. Ниже пример табличной части контрольного листка для производственного подразделения и офиса.

Контрольный листок для производственного подразделения

s8-1443440946.jpg

Контрольный листок для офиса

s9-1443440946.jpg

Выполнение требований 5С является частью профессиональной аттестации рабочих и ИТР и давно превратилось в общую культурную норму — от кабинета директора до производственных и вспомогательных помещений.

s10-1443440946.jpg

Рисунок 16. Стандарт рабочего места в производственной зоне г. Рязань

s11-1443440946.jpg

Рисунок 17. Доска 5С на складе готовой продукции, производство минеральной изоляции, г. Хабаровск

s12-1443440946.jpg

Рисунок 18. Стандарт рабочего места главного энергетика, производство минеральной изоляции, г. Хабаровск

s13-1443440946.jpg

Рисунок 19. Стандарт безопасности рабочего места, производство минеральной изоляции, г. Челябинск

Шаг 5 «5С»

Пятый этап — это совершенствование или самодисциплина, поддержание результатов, достигнутых ранее. Стабильность системы 5С зависит не от того, насколько хорошо внедрены процедуры первых четырех этапов, а от того, будут ли поддерживаться первые четыре этапа пятым.

В отличие от первых четырех «С» совершенствование нельзя внедрить как технику, результаты совершенствования не поддаются измерению, однако можно создать условия, которые будут стимулировать сотрудников на дальнейшую деятельность в рамках системы 5С. В Компании ТЕХНОНИКОЛЬ для этого применяются разные инструменты: лозунги 5С, плакаты 5С, информационные доски «БЫЛО»—«СТАЛО», рассылки 5С, визиты в подразделения, где внедряют 5С и др.

s34-1443445930.jpg s14-1443440946.jpg

Рисунок 20. Плакаты 5С, производство минеральной изоляции, г. Черкассы

s15-1443440946.jpg s16-1443440946.jpg

Рисунок 21. Фрагмент информационной доски 5С «БЫЛО»-«СТАЛО», г. Рязань

s17-1443440946.jpg

Рисунок 22. Закрепление персональной ответственности на складе готовой продукции, г. Заинск

Политика безопасности

Политика безопасности организации (англ.  organizational security policies ) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Политика безопасности зависит:

  • от конкретной технологии обработки информации;
  • от используемых технических и программных средств;
  • от расположения организации;

Методы оценки

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия «исследование снизу вверх» и «исследование сверху вниз».

Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, возможна ли такая атака со стороны реального злоумышленника.

Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Предполагаемые ущербы

Далее следует выяснение насколько серьёзный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Существует множество схем вычисления рисков, остановимся на одной из самых простых.

Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей :

Величина ущербаОписание
Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме
1Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты
2Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально
3Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов
4Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы.
5Фирма прекращает существование
Читайте так же:
Деревянный стол вздулся от воды что делать

Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей :

ВероятностьСредняя частота появления
Данный вид атаки отсутствует
1реже, чем раз в год
2около 1 раза в год
3около 1 раза в месяц
4около 1 раза в неделю
5практически ежедневно

Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.

Риск предприятия

Следующим этапом составляется таблица рисков предприятия. Она имеет следующий вид :

Описание атакиУщербВероятностьРиск (=Ущерб*Вероятность)
Спам (переполнение почтового ящика)144
Копирование жесткого диска из центрального офиса313
2
Итого : 9

На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7. Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка – это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7*2=14) с интегральным риском (ячейка «Итого»).

Если интегральный риск превышает допустимое значение, значит, в системе безопасности набирается множество мелких погрешностей, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дают самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.

Политика чистого стола в информационной безопасности

17. Угрозы безопасности информации. Угрозы конфиденциальности, целостности доступности АС. Понятие политики безопасности. Дискреционная политика безопасности. Мандатная политика безопасности. Мандатная политика целостности.

Угрозы безопасности информации. Угрозы конфиденциальности, целостности доступности АС.

Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Угроза информационной безопасности АС — возможность реализации воздействия на информацию, обрабатываемую в АС, приводящего к искажению, уничтожению, копированию, блокировании доступа к информации, а также возможность воздействия на компоненты АС, приводящего к утрате, уничтожению или сбою функционирования носителя информации, средства взаимодействия с носителем или средств его управления. В настоящее время рассматривается достаточно обширный перечень угроз информационной безопасности АС, насчитывающий сотни пунктов. Наиболее характерные и часто реализуемые из них перечислены ниже:

· несанкционированное копирование носителей информации;

· неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;

· игнорирование организационных ограничений (установленных правил) при определении ранга системы.

Задание возможных угроз информационной безопасности проводится с целью определения полного перечня требований к разрабатываемой системе защиты. Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для анализа риска реализации угроз и формулирования требований к системе защиты АС. Кроме выяв­ления возможных угроз должен быть проведен анализ этих угроз на основе их классификации по ряду признаков. Каждый из признаков классификации отражает одно из обобщенных требований к системе защиты. При этом угрозы, соответствующие каждому признаку классификации, позво­ляют детализировать отражаемое этим признаком требование.

Необходимость классификации угроз информационной безопасности АС обусловлена тем, что архитектура современных средств автоматизи­рованной обработки информации, организационное, структурное и функ­циональное построение информационно-вычислительных систем и сетей, технологии и условия автоматизированной обработки информации такие, что накапливаемая, хранимая и обрабатываемая информация подверже­на случайным влияниям чрезвычайно большого числа факторов, в силу чего становится невозможным формализовать задачу описания полного множества угроз. Как следствие, для защищаемой системы определяют не полный перечень угроз, а перечень классов угроз.

Вне зависимости от конкретных видов угроз или их проблемно-ориентированной классификации АС удовлетворяет потребности эксплуатирующих ее лиц, если обеспечиваются следующие свойства информации и систем ее обработки.

Конфиденциальность информации — субъективно определяемая (при­писываемая) характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью систе­мы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты их законных интересов от других субъектов информационных отношений.

Целостность информации — существование информации в неиска­женном виде (неизменном по отношению к некоторому фиксированно­му ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства — достоверности информации, которое скла­дывается из адекватности (полноты и точности) отображения состоя­ния предметной области и непосредственно целостности информации, т.е. ее не искаженности.

• Доступность информации — свойство системы (среды, средств и тех­нологии обработки), в которой циркулирует информация, характери­зующееся способностью обеспечивать своевременный беспрепятст­венный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию посту­пающих от субъектов запросов всегда, когда в обращении к ним возни­кает необходимость.

Таким образом, в соответствии с существующими подходами, приня­то считать, что информационная безопасность АС обеспечена в случае, если для любых информационных ресурсов в системе поддерживается определенный уровень конфиденциальности (невозможности несанкцио­нированного получения какой-либо информации), целостности (невозмож­ности несанкционированной или случайной ее модификации) и доступно­сти (возможности за разумное время получить требуемую информацию). Соответственно для автоматизированных систем было предложено рас­сматривать три основных вида угроз.

Читайте так же:
Установка полки для клавиатуры на компьютерном столе

Угроза нарушения конфиденциальности заключается в том, что ин­формация становится известной тому, кто не располагает полномо­чиями доступа к ней. В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда полу­чен доступ к некоторой секретной информации, хранящейся в вычис­лительной системе или передаваемой от одной системы к другой. Ино­гда, в связи с угрозой нарушения конфиденциальности, используется термин "утечка".

Угроза нарушения целостности включает в себя любое умышленное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Когда злоумышленники преднамеренно изменяют информацию, говорится, что целостность информации нарушена. Целостность также будет нарушена, если к не­санкционированному изменению приводит случайная ошибка про­граммного или аппаратного обеспечения. Санкционированными изме­нениями являются те, которые сделаны уполномоченными лицами с обоснованной целью (например, санкционированным изменением яв­ляется периодическая запланированная коррекция некоторой базы данных).

Угроза отказа служб возникает всякий раз, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным — запрашиваемый ресурс никогда не будет получен, или оно может вызывать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В этих случаях говорят, что ресурс исчерпан.

Данные виды угроз можно считать первичными или непосредственными, так как если рассматривать понятие угрозы как некоторой потенциальной опасности, реализация которой наносит ущерб информационной системе, то реализация вышеперечисленных угроз приведет к непосредственному воздействию на защищаемую информацию. В то же время не посредственное воздействие на информацию возможно для атакующей стороны в том случае, если система, в которой циркулирует информация, для нее "прозрачна", т. е. не существует никаких систем защиты или других препятствий. Описанные выше угрозы были сформулированы в 60-х годах для открытых UNIX — подобных систем, где не предпринимались меры по защите информации.
На современном этапе развития информационных технологий подсистемы или функции защиты являются неотъемлемой частью комплексов по обработке информации. Информация не представляется "в чистом виде", на пути к ней имеется хотя бы какая-нибудь система защиты, и поэтому, чтобы угрожать, скажем, нарушением конфиденциальности, атакующая сторона должна преодолеть эту систему. Однако не существует абсолют­но стойкой системы защиты, вопрос лишь во времени и средствах, тре­бующихся на ее преодоление. Исходя из данных условий, примем следующую модель: защита информационной системы считается преодолен­ной, если в ходе ее исследования определены все уязвимости системы. Поскольку преодоление защиты также представляет собой угрозу, для защищенных систем будем рассматривать ее четвертый вид — угрозу раскрытия параметров АС, включающей в себя систему защиты. С точки зрения практики любое проводимое мероприятие предваряется этапом разведки, в ходе которого определяются основные параметры системы, ее характеристики и т. п. Результатом этого этапа является уточнение поставленной задачи, а также выбор наиболее оптимального технического средства.

Угрозу раскрытия можно рассматривать как опосредованную. По­следствия ее реализации не причиняют какой-либо ущерб обрабатывае­мой информации, но дают возможность реализоваться первичным или непосредственным угрозам, перечисленным выше. Введение данного вида угроз позволяет описывать с научно-методологической точки зрения отличия защищенных информационных систем от открытых. Для послед­них угроза разведки параметров системы считается реализованной.

Понятие политики безопасности

Политика безопасности – совокупность норм и правил, регламентирующих процесс обработки информации, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз. Политика безопасности составляет необходимое, а иногда и достаточное условие безопасности системы. Формальное выражение политики безопасности, называется моделью безопасности. Существуют два типа политики безопасности: дискреционная и ман­датная.

Дискреционная политика безопасности

Дискреционная политика безопасности – политика безопасности осуществляемая на основании заданного администратором множества разрешенных отношений доступа.

Основой дискреционной (дискретной) политики безопасности яв­ляется дискреционное управление доступом (Discretionary Access Control -DAC), которое определяется двумя свойствами:

· все субъекты и объекты должны быть идентифицированы;

· права доступа субъекта к объекту системы определяются на основа­нии некоторого внешнего по отношению к системе правила (заранее не закладывается в систему).

К достоинствам дискреционной политики безопасности можно отне­сти относительно простую реализацию соответствующих механизмов за­щиты. Этим обусловлен тот факт, что большинство распространенных в настоящее время АС обеспечивают выполнение положений именно дан­ной политики безопасности.

Недостаток – статическая система.

В качестве примера реализаций дискреционной политики безопасно­сти в АС можно привести матрицу доступов, строки которой соответствуют субъектам системы, а столбцы — объектам; элементы матрицы характеризуют права доступа. К недостаткам относится статичность модели. Это означает, что данная политика безопасности не учитывает динамику из­менений состояния АС, не накладывает ограничений на состояния системы.

Кроме этого, при использовании дискреционной политики безопасно­сти возникает вопрос определения правил распространения прав доступа и анализа их влияния на безопасность АС. В общем случае при использо­вании данной политики безопасности перед МБО (монитором безопасности объектов), который при санкциони­ровании доступа субъекта к объекту руководствуется некоторым набором правил, стоит алгоритмически неразрешимая задача: проверить приведут ли его действия к нарушению безопасности или нет.

В то же время имеются модели АС, реализующих дискреционную по­литику безопасности (например, модель Take-Grant), которые предоставляют алгоритмы проверки безопасности.

Так или иначе, матрица доступов не является тем механизмом, кото­рый бы позволил реализовать ясную и четкую систему защиты информа­ции в АС. Этим обуславливается поиск других более совершенных поли­тик безопасности.

Читайте так же:
Причина списания стола

Мандатная политика безопасности

Мандатная политика безопасности – политика безопасности основанная на совокупности предоставления доступа, определенного на множестве атрибутов безопасности субъекта и объекта.

Основу мандатной (полномочной) политики безопасности состав­ляет мандатное управление доступом (Mandatory Access Control — MAC), которое подразумевает, что:

· все субъекты и объекты системы должны быть однозначно идентифи­цированы;

· задан линейно упорядоченный набор меток секретности;

· каждому объекту системы присвоена метка секретности, определяю­щая ценность содержащейся в нем информации — его уровень секрет­ности в АС;

· каждому субъекту системы присвоена метка секретности, определяю­щая уровень доверия к нему в АС — максимальное значение метки сек­ретности объектов, к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа.

Основная цель мандатной политики безопасности — предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа, т.е. противодействие возникновению в АС ин­формационных каналов сверху вниз.

Достоинство МПБ – более высокая степень надежности, правила ясны и понятны.

Это связано с тем, что МБО такой системы должен отслеживать не только правила доступа субъектов системы к объектам, но и состояния самой АС. Таким образом, каналы утечки в системах данного типа не заложены в нее непосредст­венно (что мы наблюдаем в положениях предыдущей политики безопас­ности), а могут появиться только при практической реализации системы вследствие ошибок разработчика. В дополнении к этому правила мандат­ной политики безопасности более ясны и просты для понимания разра­ботчиками и пользователями АС, что также является фактором, положи­тельно влияющим на уровень безопасности системы.

Недостатки – реализация систем с политикой безопасности данного типа довольно сложна и требует значительных ресурсов вычислительной системы.

В качестве примера модели АС, реализующих мандатную по­литику безопасности можно привести — модель Белла-Лапалуда. В рамках данной модели доказывается важное утверждение, указывающее на принципиальное отличие систем, реали­зующих мандатную защиту, от систем с дискреционной защитой: если на­чальное состояние системы безопасно, и все переходы системы из со­стояния в состояние не нарушают ограничений, сформулированных политикой безопасности, то любое состояние системы безопасно.

Мандатная политика целостности (Абстрактная модель защиты информации)

Одной из первых моделей была опубликована в 1977 модель Биба. Согласно ей все субъекты и объекты предварительно разделяются по нескольким уровням доступа, а затем на их взаимодействия накладываются следующие ограничения:

1) субъект не может вызывать на исполнение субъекты с более низким уровнем доступа;

2) субъект не может модифицировать объекты с более высоким уровнем доступа.

Как видим, эта модель очень напоминает ограничения, введенные в защищенном режиме микропроцессоров в INTEL 80386+ относительно уровней привилегий.

Физическая информационная безопасность — Physical information security

Физическая информационная безопасность — это пересечение, общая основа между физической безопасностью и информационной безопасностью . В первую очередь это касается защиты материальных активов, связанных с информацией, таких как компьютерные системы и носители, от физических угроз реального мира, таких как несанкционированный физический доступ, кража, пожар и наводнение. Обычно он включает в себя физические средства контроля, такие как защитные барьеры и замки, источники бесперебойного питания и измельчители. Средства контроля информационной безопасности в физическом домене дополняют средства контроля в логическом домене (например, шифрование), а также процедурные или административные средства контроля (например, осведомленность о информационной безопасности и соблюдение политик и законов).

Содержание

Задний план

Активы по своей природе ценны, но при этом уязвимы для широкого спектра угроз, как злонамеренных (например, кража, поджог), так и случайных / естественных (например, утраченное имущество, лесной пожар). Если угрозы материализуются и используют эти уязвимости, вызывая инциденты, вероятно, будут неблагоприятные воздействия на организации или отдельных лиц, которые законно владеют и используют активы, от незначительных до разрушительных. Меры безопасности предназначены для снижения вероятности или частоты возникновения и / или серьезности воздействий, возникающих в результате инцидентов, тем самым защищая стоимость активов.

Физическая безопасность предполагает использование средств контроля, таких как детекторы дыма, пожарной сигнализации и огнетушителей, а также соответствующих законов, постановлений, политик и процедур, касающихся их использования. Барьеры, такие как заборы, стены и двери, являются очевидными средствами физической защиты, предназначенными для предотвращения или предотвращения несанкционированного физического доступа в контролируемую зону, такую ​​как дом или офис. Рвы и стены средневековых замков являются классическими примерами контроля физического доступа, равно как и банковские хранилища и сейфы.

Средства контроля информационной безопасности защищают ценность информационных активов, в частности, самой информации (т.е. нематериального информационного содержания, данных, интеллектуальной собственности, знаний и т. Д.), А также компьютерного и телекоммуникационного оборудования, носителей информации (включая бумаги и цифровые носители), кабелей и прочего. материальные активы, связанные с информацией (например, компьютерные блоки питания). Корпоративная мантра «Наши люди — наши величайшие активы» буквально верна в том смысле, что так называемые работники умственного труда квалифицируются как чрезвычайно ценные, возможно, незаменимые информационные активы. Поэтому меры по охране здоровья и безопасности и даже медицинская практика также могут быть классифицированы как меры контроля физической информационной безопасности, поскольку они защищают людей от травм, болезней и смерти. Эта точка зрения демонстрирует повсеместность и ценность информации. Современное человеческое общество сильно зависит от информации, и информация имеет значение и ценность на более глубоком, более фундаментальном уровне. В принципе, субклеточные биохимические механизмы, обеспечивающие точность репликации ДНК, можно даже классифицировать как жизненно важные средства контроля информационной безопасности, учитывая, что гены являются «информацией жизни».

Читайте так же:
Как называется стол для черчения профессиональный

В число злоумышленников, которые могут извлечь выгоду из физического доступа к информационным активам, входят взломщики компьютеров , корпоративные шпионы и мошенники. Ценность информационных активов очевидна в случае, например, украденных ноутбуков или серверов, которые можно продать за наличные, но информационное содержание часто гораздо более ценно, например ключи шифрования или пароли (используемые для получения доступа к дополнительным системам и информации), коммерческие тайны и другую интеллектуальную собственность (по своей сути ценную или ценную из-за предоставляемых ими коммерческих преимуществ) и номера кредитных карт (используемые для совершения мошенничества с идентификационными данными и дальнейшего кражи). Кроме того, потеря, кража или повреждение компьютерных систем, а также перебои в подаче электроэнергии, механические / электронные сбои и другие физические инциденты препятствуют их использованию, обычно вызывая сбои и косвенные расходы или убытки. Несанкционированное раскрытие конфиденциальной информации и даже принудительная угроза такого раскрытия может нанести серьезный ущерб, как мы видели во взломе Sony Pictures Entertainment в конце 2014 года и в многочисленных инцидентах с нарушением конфиденциальности. Даже при отсутствии доказательств того, что раскрытая личная информация действительно использовалась, сам факт того, что она больше не защищена и не находится под контролем ее законных владельцев, сам по себе потенциально опасен для конфиденциальности. Существенных штрафов, вреда для публичности / репутации и других штрафов за несоблюдение требований и последствий, проистекающих из серьезных нарушений конфиденциальности, лучше всего избегать, независимо от причины!

Примеры физических атак с целью получения информации

Есть несколько способов получить информацию с помощью физических атак или эксплуатации. Ниже приводится несколько примеров.

Дайвинг в мусорных контейнерах

Погружение в мусорное ведро — это практика поиска в мусоре в надежде получить что-то ценное, например, информацию, небрежно выброшенную на бумагу, компьютерные диски или другое оборудование.

Открытый доступ

Иногда злоумышленники просто заходят в здание и забирают нужную информацию. Часто при использовании этой стратегии злоумышленник маскируется под того, кто принадлежит к ситуации. Они могут изображать из себя сотрудника копировальной комнаты, снимать документ с чьего-либо стола, копировать документ, заменять оригинал и уходить с скопированным документом. Лица, претендующие на техническое обслуживание здания, могут получить доступ в другие ограниченные пространства . Они могут выйти прямо из здания с мешком для мусора, содержащим конфиденциальные документы, неся портативные устройства или носители информации, оставленные на столе, или, возможно, просто запомнив пароль на стикере, прикрепленном к чьему-то экрану компьютера или позвонив в коллега через открытый офис.

Примеры физических средств контроля информационной безопасности

Буквальное измельчение бумажных документов перед их утилизацией — это обычная физическая мера защиты информации, предназначенная для предотвращения попадания информационного содержания — если не носителя — в чужие руки. Цифровые данные также могут быть измельчены в переносном смысле, либо путем надежного шифрования, либо путем многократной перезаписи до тех пор, пока не исчезнет реальная вероятность того, что информация когда-либо будет извлечена, даже с использованием сложного судебно-медицинского анализа: это тоже представляет собой физический контроль безопасности информации, поскольку очищенные компьютерные носители данных можно свободно выбрасывать или продавать без ущерба для исходного информационного содержания. Эти два метода можно комбинировать в ситуациях с высокой степенью защиты, когда цифровое измельчение содержимого данных сопровождается физическим измельчением и сжиганием для уничтожения носителя данных.

Многие организации ограничивают физический доступ к контролируемым зонам, таким как их офисы, требуя от людей предъявления действительных удостоверений личности, проездных билетов или физических ключей. При условии, что токены доступа или устройства сами строго контролируются и защищены (что затрудняет получение или изготовление и использование их неуполномоченными лицами), а соответствующие электронные или механические замки, двери, стены, барьеры и т. Д. Достаточно прочны и укомплектованы, несанкционированные физический доступ в контролируемые зоны предотвращен, защищая информацию и другие активы внутри. Аналогичным образом, офисных работников обычно поощряют или требуют соблюдать политику «чистого стола», защищая документы и другие носители информации (включая портативные ИТ-устройства), убирая их вне поля зрения, возможно, в запираемых ящиках, картотечных шкафах, сейфах или хранилищах в соответствии с риски. Требование от работников запоминать свои пароли, а не записывать их в месте, которое может быть замечено посторонним (например, коллегой, посетителем или злоумышленником), является примером избежания риска.

Компьютеры явно нуждаются в электроэнергии, поэтому они уязвимы для таких проблем, как отключение электроэнергии, случайное отключение, разряженные батареи, отключение электроэнергии, скачки напряжения, скачки напряжения, электрические помехи и сбои электроники. Физические меры защиты информации для устранения связанных рисков включают: предохранители, бесперебойные источники питания с резервным питанием от батарей, электрические генераторы, резервные источники питания и кабели, предупреждающие знаки «Не снимать» на вилках, устройства защиты от перенапряжения, мониторинг качества электроэнергии, запасные батареи. , профессиональное проектирование и монтаж силовых цепей, а также регулярные проверки / испытания и профилактическое обслуживание . Парадоксально, что так называемые источники бесперебойного питания часто приводят к перебоям в подаче электроэнергии, если они неадекватно определены, спроектированы, изготовлены, используются, управляются или обслуживаются — пример отказа критически важного (физического) управления.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector