Стандарты безопасности объектов инфраструктуры
Владимир Балановский, Антон Прокопчук, Нина Николаева, Леонид Балановский, 16/06/21
Объекты инфраструктуры относятся к сложным системам, в состав которых входят взаимосвязанные между собой технические решения и сложные строительные объекты (здания, сооружения с входящими в их состав инженерными сетями и системами поддержания жизнедеятельности, реализации процессов, обеспечения безопасности, энергосбережения, поддержания комфорта и др.). В суровых климатических условиях РФ требуется высочайшая надежность этих систем.
С целью обеспечения противостояния угрозам различной природы должен быть применен комплексный подход к объединению всех систем безопасности объектов инфраструктуры в интегрированную систему безопасности (ИСБ). С этой целью должен быть разработан аппаратно-программный комплекс (АПК), позволяющий:
- оперативно реагировать на незаконный пронос/провоз запрещенных веществ (радиоактивных, взрывчатых, отравляющих, биологических, химических, холодного и огнестрельного оружия, боеприпасов);
- интегрировать инженерно-технические средства между собой;
- фиксировать нарушителя с помощью системы видеонаблюдения с выдачей информации на АРМ оператора и для передачи на более высокий уровень;
- определять уровень тревоги;
- выделять нарушителя в многопроходной группе КПП;
- идентифицировать опасные вещества;
- осуществлять мониторинг окружающей среды и систем жизнеобеспечения (систем кондиционирования и вентиляции) на запрещенные вещества.
Такой АПК используется для антитеррористической защищенности объектов (территорий), в соответствии с отраслевыми постановлениями Правительства РФ "Об утверждении требований к антитеррористической защищенности объектов (территорий)".
Основная проблема применения подобных комплексов – их слабая приспособленность к функционированию в составе группы разноотраслевых объектов, объединенных в кластер, или отраслевой территориально разбросанной группы объектов из-за высокой информационной и киберуязвимости.
Необходимость стандартов для критически важных объектов
Согласно постановлению Правительства РФ от 14 августа 2020 г. № 1225 "Об утверждении правил разработки критериев отнесения объектов всех форм собственности к критически важным объектам", объекты инфраструктуры и связанные с ними транспортные системы относятся к критически важным объектам федерального уровня – I категории значимости, объектам, нарушение или прекращение функционирования которых приведет к потере управления экономикой двух и более субъектов РФ, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения двух и более субъектов РФ.
Вопросы обеспечения безопасности и антитеррористической защищенности объектов (включая объекты инфраструктуры) следует решать, начиная с проектирования. Объекты инфраструктуры относятся к высокорисковым критически и стратегически важным объектам, субъектам критической информационной инфраструктуры (КИИ), использующим:
- для управления техническими средствами – геоинформационные системы (ГИС), в том числе системы управления базами данных;
- для работы с людьми (управление персоналом, системы безопасности) – информационные системы персональных данных (ИСПДН).
Наличие этих трех условий (КИИ, ГИС и ИСПДН) предопределяет необходимость разработки стандартов в области обеспечения информационной безопасности и, что особенно важно, их обязательного применения.
Новая парадигма безопасности
Подавляющее число международных, региональных и национальных (включая российские) стандартов в области надежности, безопасности и информационной безопасности, разработанных в XX веке, и часть стандартов, разработанных в первом десятилетии XХI века, были основаны на прежних подходах к вопросам безопасности:
- объект стандартизации – законченный объект (вещь в себе, "черный ящик");
- отсутствие предыстории создания объекта, прослеживаемости его составляющих;
- характеристики объекта – малофакторные, не всегда отражающие свойства объекта в реальных условиях применения;
- вопросы надежности, безопасности, информационной безопасности рассматривались отдельно, независимо друг от друга, без учета их возможной взаимосвязи.
Такие стандарты перестали удовлетворять производителей и потребителей, представителей надзорных и контролирующих органов, страховых и аудиторских компаний.
С первых лет XXI века в мире была принята новая парадигма безопасности, основанная на базовой серии стандартов МЭК 61508 "Функциональная безопасность электрических, электронных, программируемых электронных систем, связанных с безопасностью", Руководстве ИСО/МЭК 51 "Аспекты безопасности.
Их применение в стандартах" и серии стандартов ИСО 9000 – ИСО 10000 "Менеджмент качества". Международные стандарты функциональной безопасности систем, связанных с безопасностью, стали быстро развиваться и в первом десятилетии были внедрены во многие области стандартизации. Впервые в мировой практике стандарты функциональной безопасности систем, связанных с безопасностью в строительстве, были созданы в РФ. Это серия ГОСТ Р 53195 [11–15], а также серия ГОСТ 34332 на ее основе, что крайне важно для гарантирования безопасности объектов инфраструктуры.
Комплексный процессный риск-ориентированный подход
Особенность стандартов серий МЭК 61508, ГОСТ Р53195, ГОСТ 34332 состоит в том, что, в отличие от выполнения требований других международных, региональных или национальных стандартов в области безопасности систем, выполнение их требований гарантирует с заданной степенью вероятности достижение и поддержание в период эксплуатации требуемой полноты функциональной безопасности систем и адекватную защиту объектов инфраструктуры.
Разработанные в РФ под руководством В.И. Щербины стандарты серий ГОСТ Р 53195 свыше 10 лет не имели международных и региональных аналогов. На основе их положений первый зарубежный национальный стандарт по одной из СБЗС-систем (VDI 6010, часть 4) только недавно был принят в Германии.
Во втором десятилетии XXI века новая парадигма развивалась на основе стандартов серии МЭК 62443 защиты промышленных коммуникационных сетей, руководств ИСО 26000 "Руководящие указания по социальной ответственности" и МЭК 120 "Аспекты информационной защиты (кибербезопасности) – Руководящие указания по их включению в стандарты". В ней закреплен системный комплексный процессный риск-ориентированный подход с условиями устойчивого развития организаций всех форм собственности, при которых обеспечивается удовлетворение потребностей существующего поколения без риска невозможности удовлетворения потребностей будущих поколений.
Взаимодействие систем и средств информационной защиты и функциональной безопасности
Применительно к объектам инфраструктуры важным является определение различия, взаимосвязи и взаимодействия систем и средств информационной защиты и обеспечения функциональной безопасности.
Системы и средства информационной защиты (ИЗ) ориентированы на противодействие несанкционированному (противоправному) доступу к каналам контроля и управления оборудованием и каналам обмена данными (рис. 1).
Рис. 1. Стандарты серии МЭК 62443
Системы и средства функциональной безопасности (ФБ) ориентированы на достижение и поддержание необходимой полноты безопасности электрических, электронных, программируемых электронных систем (включая системы, связанные с безопасностью зданий и сооружений, – СБЗС-системы), а также технических систем и средств ИЗ.
Стандарты на системы информационной защиты и стандарты на системы функциональной безопасности охватывают полный жизненный цикл продукции каждой из систем (рис. 1). В них применены схожие процедуры на стадиях жизненных циклов систем (рис. 2). Их совместное использование приводит к усилению синергетического эффекта. При совместном применении стандартов на ИЗ- и ФБ-системы следует синхронизировать процессы (согласовать скорости соответствующих процессов и интервалы их осуществления).
Рис. 2. Схожесть стадий жизненных циклов и процедур в стандартах на системы ИЗ и ФБ
Основные требования к стандартам
В стандартах должен быть применен системный комплексный процессный риск-ориентированный подход, соответствующий условиям обновленной парадигмы обеспечения безопасности и кибербезопасности. Такие стандарты:
- устанавливают требования к средствам, их составляющим, обеспечивающим функциональную безопасность;
- устанавливают требования к функциональной безопасности составляющих объектов инфраструктуры;
- устанавливают требования к информационной защищенности (кибербезопасности) объектов инфраструктуры для обеспечения надежного обмена данными между объектами инфраструктуры;
- определяют различия между требованиями информационной защищенности и функциональной безопасности;
- устанавливают необходимость взаимосвязи на стадиях жизненных циклов объектов инфраструктуры, между специалистами – разработчиками средств и систем, связанных с безопасностью инфраструктуры, со специалистами кибербезопасности;
- содержат рекомендации по построению инфраструктуры и систем.
Стандарты, отвечающие этим требованиям, ориентированы на комплексное обеспечение безопасности и информационной защищенности инфраструктурных систем в целях недопущения неприемлемого риска причинения вреда жизни и здоровью людей, имуществу, окружающей среде. Стандарты учитывают требования к инфраструктурным системам в части обеспечения:
- надежности обмена данными между объектами инфраструктуры для устойчивого и безопасного функционирования их систем;
- информационной безопасности в условиях электромагнитных воздействий природного, техногенного и социогенного происхождения (молниевые разряды, коммутационные помехи, радиочастотные поля, качество сети питания, магнитные поля, переходные и аварийные режимы в энергосистеме, электростатические разряды, геомагнитные токи, промышленные помехи в контурах заземления).
Перспективы применения в производственных системах и системах городского хозяйства
Описанные стандарты посвящены инфраструктурным системам, но могут быть использованы в производственных системах и системах городского хозяйства. Это обеспечит высокую эффективность функционирования объектов инфраструктуры, а применение в обязательном порядке будет способствовать:
- обеспечению функциональной безопасности;
- приобретению конкурентных преимуществ производителями элементов систем, производителями (застройщиками) объектов инфраструктуры, производителями аппаратных средств и программного обеспечения;
- созданию новых рабочих мест на предприятиях – производителях упомянутых систем, застройщиках объектов инфраструктуры;
- внедрению культуры безопасности и кибербезопасности;
- развитию стандартизации в области других систем;
- более глубокому пониманию регулятивными органами того, что на современном уровне представляют собой системы и инфраструктурные системы, для того чтобы избежать грубых ошибок при подготовке норм правового регулирования;
- интенсификации развития экономики страны.
Информационная защита и функции безопасности как аспекты стандартизации
Объектами стандартизации для обеспечения информационной безопасности являются объекты инфраструктуры, а аспекты стандартизации – это:
- информационная защита данных обмена между объектами инфраструктуры, данных управления и контроля, используемых в технологических процессах;
- обеспечение безопасности систем и их компонентов.
Состав подсистем должен быть научно обоснован по набору функций подсистем, обеспечивающих действия объектовой, региональной системы как единого целого с заданным уровнем безопасности. Объектом инфраструктуры должно быть обеспечено выполнение функций информационной защиты и функций безопасности.
1. Информационная защита:
а) каналов связи приема данных, поступающих от транспортных средств;
б) программируемых систем и средств контроля и управления процессами управления движением, компьютерных систем и средств приема/передачи, обработки и архивирования данных ("ядра" технологических систем управления движением);
в) систем здания или сооружения объекта транспортной системы, осуществляющих внутренний и внешний обмен данными, влияющими на безопасность здания (сооружения), систем жизнеобеспечения, систем, связанных с безопасностью здания и сооружения.
2. Обеспечение безопасности:
а) всех технических средств и систем, используемых для образования каналов связи для обмена данными между объектами инфраструктуры и транспортными средствами;
б) технических средств и систем, входящих в "ядро" технологических систем;
в) технических систем и подсистем, влияющих на безопасность здания или сооружения объекта инфраструктуры транспортной системы.
Здания и сооружения рассматриваются при этом как сложные системы, в состав которых входят системы строительных конструкций и инженерные системы в различных сочетаниях для жизнеобеспечения, реализации процессов, поддержания комфорта, энерго-/ресурсосбережения и обеспечения безопасности. Все эти системы взаимосвязаны, взаимодействуют с внешней и внутренней средами и вместе действуют как единое целое при воздействиях природного, техногенного и антропогенного характера (рис. 3).
Рис. 3. Модель здания или сооружения как сложной системы
Фокус на снижении риска
Для снижения риска применяются системы, связанные с безопасностью зданий и сооружений, а также средства уменьшения риска, которые системами не являются, но их использование приводит к снижению риска (например, инженерные средства безопасности – ограда, ров).
Безопасность достигается путем снижения риска, обусловленного внешними и внутренними опасными проектными воздействиями на строительные конструкции и инженерные системы природного, техногенного и антропогенного характера (рис. 4).
Рис. 4. Снижение риска до приемлемого уровня
Снижение риска осуществляется на всех стадиях и этапах жизненного цикла систем и средств уменьшения риска синхронно со стадиями и этапами жизненного цикла объекта.
Таким образом, комплексный системный процессный риск-ориентированный подход при разработке стандартов в сфере безопасности систем можно расценить как вклад РФ в дальнейшее развитие новой парадигмы безопасности XXI века.
Леонид Балановский