Транспортная газета Евразия Вести

Разделы:

 Свежий номер
 Подшивка
 Материалы
 Новости
 О газете
 Редакция
 Подписка

 Консалтинг
 Лицензирование
 Сертификация
 Юридические
 услуги

 Партнеры
 Ресурсы сети
 Реклама на сайте

Поиск:


 

ВНИИАС 50 ЛЕТ


Версия для печати
Обсудить в форуме

Техническое регулирование и безопасность

Этой важной теме, обозначенной в заголовке материала, посвящена статья заведующего отделом технического регулирования ВНИИАС В.В. Митина.

Федеральный закон «О техническом регулировании» от 27 декабря 2002 года направлен на установление правил государственного регулирования требований по безопасности продукции, а также связанных с нею процессам.

Закон представляет собой комплексный законодательный акт Российской Федерации и устанавливает на высшем юридическом уровне на основе Конституции РФ порядок разработки, принятия, применения и исполнения общеобязательных государственных требований к продукции, процессам ее производства, эксплуатации (использования), хранения, перевозки, реализации и утилизации; осуществления тех же процедур в отношении необязательных требований к указанным объектам, а также к работам и услугам; подтверждения соответствия регулируемых объектов обязательным или необязательным требованиям; организации и осуществления государственного контроля (надзора) за соблюдением общеобязательных требований к регулируемым объектам.

Какие новые цели стандартизации установлены в Законе «О техническом регулировании»?

Это – повышение уровня безопасности жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества, экологической безопасности, безопасности жизни или здоровья животных или растений и содействие соблюдению требований технических регламентов.

И что не менее важно – повышение уровня безопасности объектов с учетом риска возникновения чрезвычайных ситуаций природного или техногенного характера.

Не может быть абсолютной безопасности – всегда остается некоторый риск. Поэтому продукция, процесс или услуга могут быть только относительно безопасными.

Безопасность достигается путем уменьшения риска до допустимого уровня. Допустимый риск есть результат поиска оптимального баланса между идеалом абсолютной безопасности и требованиями, которым должны удовлетворять продукция, процесс или услуга, а также между такими факторами, как выгода пользователя, соответствие цели и эффективность затрат.

Это означает, что существует необходимость постоянного пересмотра допустимого уровня, в особенности когда развитие технологии и знаний может привести к экономически оправданным усовершенствованиям, чтобы достичь минимума риска совместимого с использованием продукции, процессов или услуг.

Допустимый риск достигается с помощью итерактивного процесса общей оценки риска: (анализа риска и оценки риска) и уменьшения риска.

Итак, в чем состоят новые подходы в установлении уровня безопасности систем сигнализации, блокировки, железнодорожной электросвязи и информатизации в разрабатываемых нашим институтом регламентах?

Во-первых, требования безопасности устанавливаются к системам в целом, а не к отдельным их составляющим. Вообще оцениваться могут и элементы систем, но принципиальной основой является оценка безопасности системы.

Во-вторых, установление требований безопасности и оценка продукции на их соответствие проводятся на всех этапах жизненного цикла: проектирование (разработка), изготовление (поставка), транспортирование и хранение, эксплуатация, утилизация.

В-третьих, должны быть идентифицированы все известные и прогнозируемые опасности на всех стадиях жизненного цикла системы и ее оборудования (включая анализ принятой модели эксплуатации).

Для достижения требуемого уровня полноты безопасности должны применяться соответствующие конструкционные, производственные и эксплуатационные способы в оптимальном их сочетании, например защита систем от влияния внешних воздействующих факторов, виды и кратности резервирования, защита от деградации и реконфигурации структуры систем, требования к импортируемому оборудованию, защита информации, требования к процессу разработки и сопровождения программного обеспечения, к квалификации эксплуатационного и обслуживающего персонала.

В общем случае с учетом степени риска системы должны обеспечивать выполнение следующих минимально необходимых требований: функциональная и информационная безопасность; надежность; электромагнитная совместимость; требования к органам управления, к сигнальным устройствам и устройствам защитных ограждений; электро-, механическая и пожарная безопасность, безопасность излучений.

* * *

Рассмотрим конкретный процесс обеспечения соответствия основным требованиям безопасности информационных систем (ИС) и программного обеспечения.

В этом ответственном деле требуется систематическое, охватывающее все этапы жизненного цикла выполнение следующих действий: определение опасностей, рисков и критериев рисков, необходимого снижения рисков для удовлетворения критериям рисков, технических приемов и мер, предназначенных для достижения требуемого уровня рисков; выбор подходящей архитектуры ИС; планирование, наблюдение и управление технической и управленческой деятельностью, необходимой для реализации требований по безопасности систем в ИС с установленным уровнем безопасности.

Перечислю и обязательные к применению принципы. Вот они: методы проектирования «сверху – вниз»; модульность; верификация каждой фазы жизненного цикла ИС и программного обеспечения; верифицированные модули и библиотеки модулей; понятность, однозначность, непротиворечивость и проверяемость документации; тестируемость.

Для информационных систем должны быть разработаны требования по безопасности и установлен уровень безопасности, которые следует указать в документе «Доказательство безопасности».

При разработке названных требований должен использоваться Список требований к функциям безопасности ИС в мере, необходимой для конкретной системы (он приведен в разрабатываемом регламенте).

Риск должен быть определен как количественная или, при невозможности количественной оценки, качественная оценка риска конкретных видов потерь и ущербов для каждой идентифицированной опасности.

Для каждого риска конкретных видов потерь должны быть выполнены анализ прогнозируемой частоты их наступления, ранжирование каждого риска для каждого конкретного вида потерь и определение необходимых мер для снижения рисков, для удовлетворения требований к их критериям, выбранным заказчиком.

В соответствии с принятыми критериями рисков должен быть определен уровень безопасности ИС как один из следующих: очень высокий, высокий, средний, низкий или «не связано с обеспечением безопасности».

Каждому из требований по безопасности должен соответствовать уровень безопасности программного обеспечения.

Модель жизненного цикла системы должна быть подробно описана в плане обеспечения качества ИС. Процедуры обеспечения качества должны выполняться параллельно с деятельностью жизненного цикла.

Вся деятельность, осуществляемая в течение стадии жизненного цикла, должна быть определена до начала этой стадии. Каждая стадия жизненного цикла ИС должна быть разделена на элементарные задачи с хорошо определенным входными и выходными данными и видом деятельности для каждой из них.

План обеспечения качества ИС должен описывать, какие требуются верификационные процедуры и отчеты.

Необходимо иметь средства контроля для защиты рабочих систем и средств аудита во время их проверки.

Технические средства, разрабатываемые и изготавливаемые или приобретаемые (в том числе ввозимые на территорию Российской Федерации) для применения в составе ИС, должны во всех штатных режимах, при условии правильной эксплуатации и наличии соответствующей системы технического обслуживания и ремонта, обеспечивать соответствие информационных систем требованиям по безопасности.

© Евразия Вести V 2006







V 2006

Евразия Вести V 2006

Роль ВНИИАС в период реформирования транспортной системы

50 лет в строю

Залог повышения безопасности - многофункциональные системы регулирования движения поездов

КЛУБ-У: ближайшие перспективы

Чтобы сортировочная станция работала как автомат

Эффективность защиты ТСЖАТ

Пути повышения качества и надежности ЖАТ

Система центров управления перевозками на железных дорогах России

Научный подход к управлению перевозками

АСОУП - основа информационных технологий перевозок

Основные этапы разработки и совершенствования системы ДИСПАРК

ДИСКОН: уверенный старт, обязывающие перспективы

«Грузовой Экспресс» на морских причалах и пограничных переходах

Методы анализа рисков нарушения безопасности систем управления

Для геоинформационных технологий - «зеленый»

Современная цифровая технологическая связь российских железных дорог

Внедрение и развитие системы управления пассажирскими перевозками «ЭКСПРЕСС-3»

Как лучше управлять интеллектуальной собственностью компании «РЖД»

PDF-формат



 

Copyright © 2003-2016 "Евразия Вести"
Разработка: интернет-студия "ОРИЕНС"

Евразия Вести