Стандарты безопасности объектов инфраструктуры

Объекты инфраструктуры относятся к сложным системам, в состав которых входят взаимосвязанные между собой технические решения и сложные строительные объекты (здания, сооружения с входящими в их состав инженерными сетями и системами поддержания жизнедеятельности, реализации процессов, обеспечения безопасности, энергосбережения, поддержания комфорта и др.). В суровых климатических условиях РФ требуется высочайшая надежность этих систем.

С целью обеспечения противостояния угрозам различной природы должен быть применен комплексный подход к объединению всех систем безопасности объектов инфраструктуры в интегрированную систему безопасности (ИСБ). С этой целью должен быть разработан аппаратно-программный комплекс (АПК), позволяющий:

• оперативно реагировать на незаконный пронос/провоз запрещенных веществ (радиоактивных, взрывчатых, отравляющих, биологических, химических, холодного и огнестрельного оружия, боеприпасов);
• интегрировать инженерно-технические средства между собой;
• фиксировать нарушителя с помощью системы видеонаблюдения с выдачей информации на АРМ оператора и для передачи на более высокий уровень;
• определять уровень тревоги;
• выделять нарушителя в многопроходной группе КПП;
• идентифицировать опасные вещества;
• осуществлять мониторинг окружающей среды и систем жизнеобеспечения (систем кондиционирования и вентиляции) на запрещенные вещества.
  

Такой АПК используется для антитеррористической защищенности объектов (территорий), в соответствии с отраслевыми постановлениями Правительства РФ "Об утверждении требований к антитеррористической защищенности объектов (территорий)".

Основная проблема применения подобных комплексов – их слабая приспособленность к функционированию в составе группы разноотраслевых объектов, объединенных в кластер, или отраслевой территориально разбросанной группы объектов из-за высокой информационной и киберуязвимости.

Необходимость стандартов для критически важных объектов

Согласно постановлению Правительства РФ от 14 августа 2020 г. № 1225 "Об утверждении правил разработки критериев отнесения объектов всех форм собственности к критически важным объектам", объекты инфраструктуры и связанные с ними транспортные системы относятся к критически важным объектам федерального уровня – I категории значимости, объектам, нарушение или прекращение функционирования которых приведет к потере управления экономикой двух и более субъектов РФ, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения двух и более субъектов РФ.

Вопросы обеспечения безопасности и антитеррористической защищенности объектов (включая объекты инфраструктуры) следует решать, начиная с проектирования. Объекты инфраструктуры относятся к высокорисковым критически и стратегически важным объектам, субъектам критической информационной инфраструктуры (КИИ), использующим:

• для управления техническими средствами – геоинформационные системы (ГИС), в том числе системы управления базами данных;
• для работы с людьми (управление персоналом, системы безопасности) – информационные системы персональных данных (ИСПДН).
  

Наличие этих трех условий (КИИ, ГИС и ИСПДН) предопределяет необходимость разработки стандартов в области обеспечения информационной безопасности и, что особенно важно, их обязательного применения.

Новая парадигма безопасности

Подавляющее число международных, региональных и национальных (включая российские) стандартов в области надежности, безопасности и информационной безопасности, разработанных в XX веке, и часть стандартов, разработанных в первом десятилетии XХI века, были основаны на прежних подходах к вопросам безопасности:

• объект стандартизации – законченный объект (вещь в себе, "черный ящик");
• отсутствие предыстории создания объекта, прослеживаемости его составляющих;
• характеристики объекта – малофакторные, не всегда отражающие свойства объекта в реальных условиях применения;
• вопросы надежности, безопасности, информационной безопасности рассматривались отдельно, независимо друг от друга, без учета их возможной взаимосвязи.
  

Такие стандарты перестали удовлетворять производителей и потребителей, представителей надзорных и контролирующих органов, страховых и аудиторских компаний.

С первых лет XXI века в мире была принята новая парадигма безопасности, основанная на базовой серии стандартов МЭК 61508 "Функциональная безопасность электрических, электронных, программируемых электронных систем, связанных с безопасностью", Руководстве ИСО/МЭК 51 "Аспекты безопасности.

Их применение в стандартах" и серии стандартов ИСО 9000 – ИСО 10000 "Менеджмент качества". Международные стандарты функциональной безопасности систем, связанных с безопасностью, стали быстро развиваться и в первом десятилетии были внедрены во многие области стандартизации. Впервые в мировой практике стандарты функциональной безопасности систем, связанных с безопасностью в строительстве, были созданы в РФ. Это серия ГОСТ Р 53195 [11–15], а также серия ГОСТ 34332 на ее основе, что крайне важно для гарантирования безопасности объектов инфраструктуры.

Комплексный процессный риск-ориентированный подход

Особенность стандартов серий МЭК 61508, ГОСТ Р53195, ГОСТ 34332 состоит в том, что, в отличие от выполнения требований других международных, региональных или национальных стандартов в области безопасности систем, выполнение их требований гарантирует с заданной степенью вероятности достижение и поддержание в период эксплуатации требуемой полноты функциональной безопасности систем и адекватную защиту объектов инфраструктуры.

Разработанные в РФ под руководством В.И. Щербины стандарты серий ГОСТ Р 53195 свыше 10 лет не имели международных и региональных аналогов. На основе их положений первый зарубежный национальный стандарт по одной из СБЗС-систем (VDI 6010, часть 4) только недавно был принят в Германии.

Во втором десятилетии XXI века новая парадигма развивалась на основе стандартов серии МЭК 62443 защиты промышленных коммуникационных сетей, руководств ИСО 26000 "Руководящие указания по социальной ответственности" и МЭК 120 "Аспекты информационной защиты (кибербезопасности) – Руководящие указания по их включению в стандарты". В ней закреплен системный комплексный процессный риск-ориентированный подход с условиями устойчивого развития организаций всех форм собственности, при которых обеспечивается удовлетворение потребностей существующего поколения без риска невозможности удовлетворения потребностей будущих поколений.

Взаимодействие систем и средств информационной защиты и функциональной безопасности

Применительно к объектам инфраструктуры важным является определение различия, взаимосвязи и взаимодействия систем и средств информационной защиты и обеспечения функциональной безопасности.

Системы и средства информационной защиты (ИЗ) ориентированы на противодействие несанкционированному (противоправному) доступу к каналам контроля и управления оборудованием и каналам обмена данными (рис. 1).

Рис. 1. Стандарты серии МЭК 62443

Системы и средства функциональной безопасности (ФБ) ориентированы на достижение и поддержание необходимой полноты безопасности электрических, электронных, программируемых электронных систем (включая системы, связанные с безопасностью зданий и сооружений, – СБЗС-системы), а также технических систем и средств ИЗ.

Стандарты на системы информационной защиты и стандарты на системы функциональной безопасности охватывают полный жизненный цикл продукции каждой из систем (рис. 1). В них применены схожие процедуры на стадиях жизненных циклов систем (рис. 2). Их совместное использование приводит к усилению синергетического эффекта. При совместном применении стандартов на ИЗ- и ФБ-системы следует синхронизировать процессы (согласовать скорости соответствующих процессов и интервалы их осуществления).

Рис. 2. Схожесть стадий жизненных циклов и процедур в стандартах на системы ИЗ и ФБ

Основные требования к стандартам

В стандартах должен быть применен системный комплексный процессный риск-ориентированный подход, соответствующий условиям обновленной парадигмы обеспечения безопасности и кибербезопасности. Такие стандарты:

• устанавливают требования к средствам, их составляющим, обеспечивающим функциональную безопасность;
• устанавливают требования к функциональной безопасности составляющих объектов инфраструктуры;
• устанавливают требования к информационной защищенности (кибербезопасности) объектов инфраструктуры для обеспечения надежного обмена данными между объектами инфраструктуры;
• определяют различия между требованиями информационной защищенности и функциональной безопасности;
• устанавливают необходимость взаимосвязи на стадиях жизненных циклов объектов инфраструктуры, между специалистами – разработчиками средств и систем, связанных с безопасностью инфраструктуры, со специалистами кибербезопасности;
• содержат рекомендации по построению инфраструктуры и систем.
  

Стандарты, отвечающие этим требованиям, ориентированы на комплексное обеспечение безопасности и информационной защищенности инфраструктурных систем в целях недопущения неприемлемого риска причинения вреда жизни и здоровью людей, имуществу, окружающей среде. Стандарты учитывают требования к инфраструктурным системам в части обеспечения:

• надежности обмена данными между объектами инфраструктуры для устойчивого и безопасного функционирования их систем;
• информационной безопасности в условиях электромагнитных воздействий природного, техногенного и социогенного происхождения (молниевые разряды, коммутационные помехи, радиочастотные поля, качество сети питания, магнитные поля, переходные и аварийные режимы в энергосистеме, электростатические разряды, геомагнитные токи, промышленные помехи в контурах заземления).

Перспективы применения в производственных системах и системах городского хозяйства

Описанные стандарты посвящены инфраструктурным системам, но могут быть использованы в производственных системах и системах городского хозяйства. Это обеспечит высокую эффективность функционирования объектов инфраструктуры, а применение в обязательном порядке будет способствовать:

• обеспечению функциональной безопасности;
• приобретению конкурентных преимуществ производителями элементов систем, производителями (застройщиками) объектов инфраструктуры, производителями аппаратных средств и программного обеспечения;
• созданию новых рабочих мест на предприятиях – производителях упомянутых систем, застройщиках объектов инфраструктуры;
• внедрению культуры безопасности и кибербезопасности;
• развитию стандартизации в области других систем;
• более глубокому пониманию регулятивными органами того, что на современном уровне представляют собой системы и инфраструктурные системы, для того чтобы избежать грубых ошибок при подготовке норм правового регулирования;
• интенсификации развития экономики страны.

Информационная защита и функции безопасности как аспекты стандартизации

Объектами стандартизации для обеспечения информационной безопасности являются объекты инфраструктуры, а аспекты стандартизации – это:

• информационная защита данных обмена между объектами инфраструктуры, данных управления и контроля, используемых в технологических процессах;
• обеспечение безопасности систем и их компонентов.
  

Состав подсистем должен быть научно обоснован по набору функций подсистем, обеспечивающих действия объектовой, региональной системы как единого целого с заданным уровнем безопасности. Объектом инфраструктуры должно быть обеспечено выполнение функций информационной защиты и функций безопасности.

1. Информационная защита:

а) каналов связи приема данных, поступающих от транспортных средств;

б) программируемых систем и средств контроля и управления процессами управления движением, компьютерных систем и средств приема/передачи, обработки и архивирования данных ("ядра" технологических систем управления движением);

в) систем здания или сооружения объекта транспортной системы, осуществляющих внутренний и внешний обмен данными, влияющими на безопасность здания (сооружения), систем жизнеобеспечения, систем, связанных с безопасностью здания и сооружения.

2. Обеспечение безопасности:

а) всех технических средств и систем, используемых для образования каналов связи для обмена данными между объектами инфраструктуры и транспортными средствами;

б) технических средств и систем, входящих в "ядро" технологических систем;

в) технических систем и подсистем, влияющих на безопасность здания или сооружения объекта инфраструктуры транспортной системы.

Здания и сооружения рассматриваются при этом как сложные системы, в состав которых входят системы строительных конструкций и инженерные системы в различных сочетаниях для жизнеобеспечения, реализации процессов, поддержания комфорта, энерго-/ресурсосбережения и обеспечения безопасности. Все эти системы взаимосвязаны, взаимодействуют с внешней и внутренней средами и вместе действуют как единое целое при воздействиях природного, техногенного и антропогенного характера (рис. 3).

Рис. 3. Модель здания или сооружения как сложной системы

Фокус на снижении риска

Для снижения риска применяются системы, связанные с безопасностью зданий и сооружений, а также средства уменьшения риска, которые системами не являются, но их использование приводит к снижению риска (например, инженерные средства безопасности – ограда, ров).

Безопасность достигается путем снижения риска, обусловленного внешними и внутренними опасными проектными воздействиями на строительные конструкции и инженерные системы природного, техногенного и антропогенного характера (рис. 4).

Рис. 4. Снижение риска до приемлемого уровня

Снижение риска осуществляется на всех стадиях и этапах жизненного цикла систем и средств уменьшения риска синхронно со стадиями и этапами жизненного цикла объекта.

Таким образом, комплексный системный процессный риск-ориентированный подход при разработке стандартов в сфере безопасности систем можно расценить как вклад РФ в дальнейшее развитие новой парадигмы безопасности XXI века.