Объекты инфраструктуры относятся к сложным системам, в состав которых входят взаимосвязанные между собой технические решения и сложные строительные объекты (здания, сооружения с входящими в их состав инженерными сетями и системами поддержания жизнедеятельности, реализации процессов, обеспечения безопасности, энергосбережения, поддержания комфорта и др.). В суровых климатических условиях РФ требуется высочайшая надежность этих систем.
С целью обеспечения противостояния угрозам различной природы должен быть применен комплексный подход к объединению всех систем безопасности объектов инфраструктуры в интегрированную систему безопасности (ИСБ). С этой целью должен быть разработан аппаратно-программный комплекс (АПК), позволяющий:
Такой АПК используется для антитеррористической защищенности объектов (территорий), в соответствии с отраслевыми постановлениями Правительства РФ "Об утверждении требований к антитеррористической защищенности объектов (территорий)".
Основная проблема применения подобных комплексов – их слабая приспособленность к функционированию в составе группы разноотраслевых объектов, объединенных в кластер, или отраслевой территориально разбросанной группы объектов из-за высокой информационной и киберуязвимости.
Согласно постановлению Правительства РФ от 14 августа 2020 г. № 1225 "Об утверждении правил разработки критериев отнесения объектов всех форм собственности к критически важным объектам", объекты инфраструктуры и связанные с ними транспортные системы относятся к критически важным объектам федерального уровня – I категории значимости, объектам, нарушение или прекращение функционирования которых приведет к потере управления экономикой двух и более субъектов РФ, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения двух и более субъектов РФ.
Вопросы обеспечения безопасности и антитеррористической защищенности объектов (включая объекты инфраструктуры) следует решать, начиная с проектирования. Объекты инфраструктуры относятся к высокорисковым критически и стратегически важным объектам, субъектам критической информационной инфраструктуры (КИИ), использующим:
Наличие этих трех условий (КИИ, ГИС и ИСПДН) предопределяет необходимость разработки стандартов в области обеспечения информационной безопасности и, что особенно важно, их обязательного применения.
Подавляющее число международных, региональных и национальных (включая российские) стандартов в области надежности, безопасности и информационной безопасности, разработанных в XX веке, и часть стандартов, разработанных в первом десятилетии XХI века, были основаны на прежних подходах к вопросам безопасности:
Такие стандарты перестали удовлетворять производителей и потребителей, представителей надзорных и контролирующих органов, страховых и аудиторских компаний.
С первых лет XXI века в мире была принята новая парадигма безопасности, основанная на базовой серии стандартов МЭК 61508 "Функциональная безопасность электрических, электронных, программируемых электронных систем, связанных с безопасностью", Руководстве ИСО/МЭК 51 "Аспекты безопасности.
Их применение в стандартах" и серии стандартов ИСО 9000 – ИСО 10000 "Менеджмент качества". Международные стандарты функциональной безопасности систем, связанных с безопасностью, стали быстро развиваться и в первом десятилетии были внедрены во многие области стандартизации. Впервые в мировой практике стандарты функциональной безопасности систем, связанных с безопасностью в строительстве, были созданы в РФ. Это серия ГОСТ Р 53195 [11–15], а также серия ГОСТ 34332 на ее основе, что крайне важно для гарантирования безопасности объектов инфраструктуры.
Особенность стандартов серий МЭК 61508, ГОСТ Р53195, ГОСТ 34332 состоит в том, что, в отличие от выполнения требований других международных, региональных или национальных стандартов в области безопасности систем, выполнение их требований гарантирует с заданной степенью вероятности достижение и поддержание в период эксплуатации требуемой полноты функциональной безопасности систем и адекватную защиту объектов инфраструктуры.
Разработанные в РФ под руководством В.И. Щербины стандарты серий ГОСТ Р 53195 свыше 10 лет не имели международных и региональных аналогов. На основе их положений первый зарубежный национальный стандарт по одной из СБЗС-систем (VDI 6010, часть 4) только недавно был принят в Германии.
Во втором десятилетии XXI века новая парадигма развивалась на основе стандартов серии МЭК 62443 защиты промышленных коммуникационных сетей, руководств ИСО 26000 "Руководящие указания по социальной ответственности" и МЭК 120 "Аспекты информационной защиты (кибербезопасности) – Руководящие указания по их включению в стандарты". В ней закреплен системный комплексный процессный риск-ориентированный подход с условиями устойчивого развития организаций всех форм собственности, при которых обеспечивается удовлетворение потребностей существующего поколения без риска невозможности удовлетворения потребностей будущих поколений.
Применительно к объектам инфраструктуры важным является определение различия, взаимосвязи и взаимодействия систем и средств информационной защиты и обеспечения функциональной безопасности.
Системы и средства информационной защиты (ИЗ) ориентированы на противодействие несанкционированному (противоправному) доступу к каналам контроля и управления оборудованием и каналам обмена данными (рис. 1).
Системы и средства функциональной безопасности (ФБ) ориентированы на достижение и поддержание необходимой полноты безопасности электрических, электронных, программируемых электронных систем (включая системы, связанные с безопасностью зданий и сооружений, – СБЗС-системы), а также технических систем и средств ИЗ.
Стандарты на системы информационной защиты и стандарты на системы функциональной безопасности охватывают полный жизненный цикл продукции каждой из систем (рис. 1). В них применены схожие процедуры на стадиях жизненных циклов систем (рис. 2). Их совместное использование приводит к усилению синергетического эффекта. При совместном применении стандартов на ИЗ- и ФБ-системы следует синхронизировать процессы (согласовать скорости соответствующих процессов и интервалы их осуществления).
В стандартах должен быть применен системный комплексный процессный риск-ориентированный подход, соответствующий условиям обновленной парадигмы обеспечения безопасности и кибербезопасности. Такие стандарты:
Стандарты, отвечающие этим требованиям, ориентированы на комплексное обеспечение безопасности и информационной защищенности инфраструктурных систем в целях недопущения неприемлемого риска причинения вреда жизни и здоровью людей, имуществу, окружающей среде. Стандарты учитывают требования к инфраструктурным системам в части обеспечения:
Описанные стандарты посвящены инфраструктурным системам, но могут быть использованы в производственных системах и системах городского хозяйства. Это обеспечит высокую эффективность функционирования объектов инфраструктуры, а применение в обязательном порядке будет способствовать:
Объектами стандартизации для обеспечения информационной безопасности являются объекты инфраструктуры, а аспекты стандартизации – это:
Состав подсистем должен быть научно обоснован по набору функций подсистем, обеспечивающих действия объектовой, региональной системы как единого целого с заданным уровнем безопасности. Объектом инфраструктуры должно быть обеспечено выполнение функций информационной защиты и функций безопасности.
1. Информационная защита:
а) каналов связи приема данных, поступающих от транспортных средств;
б) программируемых систем и средств контроля и управления процессами управления движением, компьютерных систем и средств приема/передачи, обработки и архивирования данных ("ядра" технологических систем управления движением);
в) систем здания или сооружения объекта транспортной системы, осуществляющих внутренний и внешний обмен данными, влияющими на безопасность здания (сооружения), систем жизнеобеспечения, систем, связанных с безопасностью здания и сооружения.
2. Обеспечение безопасности:
а) всех технических средств и систем, используемых для образования каналов связи для обмена данными между объектами инфраструктуры и транспортными средствами;
б) технических средств и систем, входящих в "ядро" технологических систем;
в) технических систем и подсистем, влияющих на безопасность здания или сооружения объекта инфраструктуры транспортной системы.
Здания и сооружения рассматриваются при этом как сложные системы, в состав которых входят системы строительных конструкций и инженерные системы в различных сочетаниях для жизнеобеспечения, реализации процессов, поддержания комфорта, энерго-/ресурсосбережения и обеспечения безопасности. Все эти системы взаимосвязаны, взаимодействуют с внешней и внутренней средами и вместе действуют как единое целое при воздействиях природного, техногенного и антропогенного характера (рис. 3).
Для снижения риска применяются системы, связанные с безопасностью зданий и сооружений, а также средства уменьшения риска, которые системами не являются, но их использование приводит к снижению риска (например, инженерные средства безопасности – ограда, ров).
Безопасность достигается путем снижения риска, обусловленного внешними и внутренними опасными проектными воздействиями на строительные конструкции и инженерные системы природного, техногенного и антропогенного характера (рис. 4).
Снижение риска осуществляется на всех стадиях и этапах жизненного цикла систем и средств уменьшения риска синхронно со стадиями и этапами жизненного цикла объекта.
Таким образом, комплексный системный процессный риск-ориентированный подход при разработке стандартов в сфере безопасности систем можно расценить как вклад РФ в дальнейшее развитие новой парадигмы безопасности XXI века.