Транспортная газета Евразия Вести

Разделы:

 Свежий номер
 Подшивка
 Материалы
 Новости
 О газете
 Редакция
 Подписка

 Консалтинг
 Лицензирование
 Сертификация
 Юридические
 услуги

 Партнеры
 Ресурсы сети
 Реклама на сайте

Поиск:


 

ВНИИАС 50 ЛЕТ


Версия для печати
Обсудить в форуме

Методы анализа рисков нарушения безопасности систем управления

Системы управления перевозочным процессом – это сложные, критически важные программно-технические комплексы, реализующие современные информационные технологии. К ним относятся системы ЦУП, СИРИУС, АСОУП, ЦУПР, ЕДЦУ, ЦУМР, ДЦ, МПЦ и др. О методах анализа рисков нарушения безопасности систем управления перевозочным процессом нашему корреспонденту рассказал заведующий отделением информационной безопасности ВНИИАС МПС России доктор технических наук, профессор И.Б. Шубинский.

Фото И. Максимова
Безопасность эксплуатации систем управления регулируется техническими регламентами (закон Российской Федерации «О техническом регулировании»). Научные и практические основы обеспечения безопасности систем управления взаимоувязаны с научными дисциплинами защиты информации, надежности и функциональной безопасности технических систем.

Для построения безопасной системы необходим анализ рисков нарушений безопасности. Риск характеризует социальную, экологическую, экономическую и др. опасности, которым может подвергаться со стороны системы управления внешняя среда. Результаты анализа рисков могут быть использованы при оценке допустимого риска, выборе мер по предотвращению или устранению рисков, оценке затрат на обеспечение поддержания безопасного состояния.

Мировая практика управления рисками информационной безопасности (ИБ) показала, что распространенным подходом к оценке и управлению рисками ИБ является подход, описанный Американским национальным институтом стандартов (National Institute of Standards and Technology – NIST) в документе SP 800-30. Практически все широко применяемые методы, информация о которых не является коммерческой тайной аудиторских организаций и разработчиков, основаны на этом подходе.

Эффективное управление рисками должно быть полностью интегрировано в процесс жизненного цикла системы. Управление рисками является интерактивными процессом, который может производиться на каждой главной стадии жизненного цикла системы.

Методы оценки рисков ИБ представляют различные комбинации метода ранжирования угроз и метода анализа причин и последствий и носят качественный или количественный характер. Методы количественного характера (например, RiscWatch, CRAMM и др.) выражают риски в числовых данных, т.е. ожидаемые потери в числовом эквиваленте (различные шкалы, денежное выражение), и вероятность или частоту этих потерь (например, ежегодные ожидаемые потери). Качественные методики и методы (например, КОНДОР+, COBRA, OCTAVE и др.) не имеют числовых оценок и обычно выражают мнение. Результаты этих методов используют часто слова «низкий», «средний», «высокий».

Для оценки рисков надежности разработаны и приняты на уровне международных стандартов следующие: «Анализ видов и последствий отказов (FMEA)», «Анализ диаграммы всех возможных последствии несрабатывания или аварии системы (анализ «дерева неисправностей (FTA)»), «Анализ диаграммы возможных последствий события (анализ «дерева событий») (ЕТА)», «Анализ отказов по общей причине (анализ отказов – общих для нескольких компонентов (CCF))», «Исследование опасности и связанных с ней проблем (HAZOP)», методы экспертной оценки (в том числе методы составления экспертного мнения, такие как Делфи, парных сопоставлений, классификации групп риска) и др.

Для оценки рисков функциональной безопасности разработаны европейские и международные стандарты EN 50129, IEC 61508, IEC 61511, IEC 61513, британские стандарты МО 00-56 и пр.

Перечисленные ранее методы анализа рисков надежности систем в полной мере применяются и при оценках рисков нарушения функциональной безопасности систем.

При оценке рисков нарушения функциональной безопасности программных средств систем управления рекомендуется применение конечных автоматов и таблиц истинности, сетей Петри, логических блок-схем функций, формальных методов (включая CCS, CPS, HOL, LOTOS, OBJ).

Сопоставление различных методов анализа рисков показывает общность целей анализа рисков как информационной безопасности, так и функциональной безопасности и надежности. Они направлены на систематическую идентификацию потенциальных опасностей и возможных видов отказов, ошибок управления, нарушений конфиденциальности, целостности, доступности; количественное оценивание или ранжирование рисков; выявление факторов, обуславливающих риск, и слабых звеньев в системе; возможность выбора мер и приемов по обеспечению снижения риска; определение допустимого уровня остаточного риска; сбалансированное с позиций безопасности и экономики задание требований по безопасности системы управления.

© Евразия Вести V 2006







V 2006

Евразия Вести V 2006

Роль ВНИИАС в период реформирования транспортной системы

50 лет в строю

Залог повышения безопасности - многофункциональные системы регулирования движения поездов

КЛУБ-У: ближайшие перспективы

Чтобы сортировочная станция работала как автомат

Эффективность защиты ТСЖАТ

Пути повышения качества и надежности ЖАТ

Система центров управления перевозками на железных дорогах России

Научный подход к управлению перевозками

АСОУП - основа информационных технологий перевозок

Основные этапы разработки и совершенствования системы ДИСПАРК

ДИСКОН: уверенный старт, обязывающие перспективы

«Грузовой Экспресс» на морских причалах и пограничных переходах

Для геоинформационных технологий - «зеленый»

Современная цифровая технологическая связь российских железных дорог

Внедрение и развитие системы управления пассажирскими перевозками «ЭКСПРЕСС-3»

Как лучше управлять интеллектуальной собственностью компании «РЖД»

Техническое регулирование и безопасность

PDF-формат



 

Copyright © 2003-2016 "Евразия Вести"
Разработка: интернет-студия "ОРИЕНС"

Евразия Вести