Функциональная безопасность, часть 7 из 7. методы обеспечения информационной и функциональной безопасности

Наши компетенции

Расчёты наработок на отказ (MTBF)
Экспертные оценки надёжности систем и оборудования посредством расчётов наработок на отказ (MTBF) в соответствии с международными и Российскими стандартами

Анализ видов, последствий и критичности отказов (FMEA/FMECA)
Анализ видов, последствий и критичности отказов для оборудования, систем и процессов

Блок-схемы надежности (RBD)
Функциональный анализ надёжности и доступности систем на базе технологий построения Блок-схем надежности (Reliability Block Diagram)

Анализ дерева отказов (FTA)
Применение технологии анализа дерева отказов (Fault Tree Analysis) для идентификации и оценки величин рисков, связанных с критическими отказами оборудования и систем

Марковский Анализ
Анализ оборудования и систем на предмет определения вероятностей наступления их определенных состояний

Анализ дерева событий
Системный анализ последствий нежелательных событий (дефектов, отказов) оборудования и систем на базе технологии построения дерева событий (Event Tree)

Семинары и тренинги
Фундаментальное и практическое обучение персонала в областях управления надёжностью и безопасностью оборудования и систем, включая возможности применения соответствующих программных решений

Решения для анализа и управления надёжностью
Специализированные решения для надёжности при проектировании, производстве и обслуживании сложных систем

Внедрение и поддержка прикладного программного обеспечения
Поставка, обучение пользователей, техническая поддержка ПО для анализа надёжности и функциональной безопасностью оборудования и систем

Техническая документация
Экспертиза и разработка необходимой технической документации в области надёжности и функциональной безопасности

Оценка и сертификация
Независимая оценочная деятельность и услуги сертификации систем и оборудования по международным и национальным стандартам

Консалтинг по обеспечению надёжности и функциональной безопасности
Разработка и практическое внедрение процессов и методологий, аудит систем управления качеством

Планирование ресурсов и управление предприятием (Enterprise Resource Planning, ERP)

ERP-система — это набор интегрированных приложений, позволяющих создать интегрированную информационную среду для автоматизации планирования, учета, контроля и анализа всех основных бизнес-операций предприятия.

Основные функции ERP систем

• ведение конструкторских и технологических спецификаций;
• формирование планов продаж и производства;
• планирование потребностей в материалах и комплектующих, сроков и объемов поставок;
• управление запасами и закупками;
• планирование производственных мощностей;
• оперативное управление финансами;
• управление проектами.

Проверка соответствия системы стандарту ERP

1.Наличие связи между модулем оперативного планирования производства и модулем управления персоналом.

2.Система должна обеспечивать увязку всех видов затрат ресурсов с бюджетом предприятия.

3.Система должна предоставлять информацию о фактических затратах на производство отдельных видов продукции и затратах на содержание подразделений в разрезе статей, режимов работы, факторов отклонений и центров ответственности.

Основные отличия ERP-систем (от MRP)

• Поддержка различных типов производств и видов деятельности предприятий и организаций.
• Поддержка планирования ресурсов по различным направлениям деятельности предприятия.
• ERP-системы ориентированы на управление распределённым предприятием.
• В ERP-системах больше внимания уделено финансовым подсистемам.
• Добавлены механизмы управления транснациональными корпорациями.
• Повышенные требования к инфраструктуре, масштабируемости, гибкости, надежности и производительности программных средств и различных платформ.
• Повышены требования к интегрируемости ERP-систем с приложениями, уже используемыми предприятием, а также с новыми приложениями.
• Больше внимания уделено программным средствам поддержки принятия решений и средствам интеграции с хранилищами данных.

Нормативы и стандарты

Наличие стандартов служит, пожалуй, наиболее важным свидетельством зрелости
подхода к обеспечению информационной безопасности. Существует целый ряд
отечественных и международных стандартов. Все стандарты делятся
на нормативные (требования к средствам защиты информации),
функциональные (основные действия по защите информации)
и технологические (отдельные технологические протоколы и форматы работы
механизмов безопасности).

В последние годы по инициативе Гостехкомиссии проводится большая работа
по гармонизации отечественной и международной нормативной базы.
В рамках этой работы выполнена адаптация стандарта ISO 15408
и предложен отечественный стандарт ГОСТ Р ИСО/МЭК 15408-х-2002.

Стандарт ГОСТ / ИСО 15408 служит для унификации описания требований
и решений в отношении средств защиты информации. Связанные с новым стандартом
существенные изменения позволяют, с одной стороны, логически связать угрозы
и меры противодействия, и с другой стороны, дать подробную систематизацию
критериев для систем и средств защиты информации. Необходимо отметить
его продуманное сопряжение с существующей нормативной базой,
возможностью конкретизации старых требований в новых терминах.
Примером функционального стандарта может служить стандарт
ГОСТ Р 51583-2000, описывающий этапность построения защищенных
информационных систем. Важным функциональным стандартом является
документ СТР-К.

• ГОСТ Р 50922-96. Защита информации. Основные термины и определения
• ГОСТ Р 50739-95. Средства вычислительной техники.
  Защита от несанкционированного доступа к информации.
  Общие технические требования
• ГОСТ Р 51275-99. Защита информации. Объект информации.
  Факторы, воздействующие на информацию. Общие положения
• ГОСТ Р 51583-2000. Защита информации.
  Порядок создания систем в защищенном исполнении
• ГОСТ Р ИСО/МЭК 15408-х-2002 «Информационная технология.
  Методы и средства обеспечения безопасности.
  Критерии оценки безопасности информационных технологий»
• ISO 15408. Information technology. Security techniques.
  Evaluation criteria for IT security

Илья Трифаленков, Наталья Зайцева,
сотрудники компании «Инфосистемы Джет»
08.08.2002«Открытые системы»,
№ 7-8/2002

Статью «08.08.2002. Функциональная безопасность корпоративных систем»

Эволюция КИС

Статистическое управление запасами (Statistical Inventory Control, SIC)

Недостатки:

• Излиш­ние запасы материалов и комплектующих;
• Проблемы функционирования произ­водства;
• Не сбалансированные запасы и будущий спрос.

Планирование потребности в материалах (Material Requirements Planning, MRP)

СПРОС:

Данные о потребности в изделиях независимого спроса — заинтересованность в получении номенклатурных позиций (НП) проявляет потребитель продукции предприятия (готовые изделия, запасные части, продаваемые на сторону  пф  и  комплектующие,  т. д.).

Данная потребность может быть представлена

• прогнозом продаж,
• уже имеющимися в наличии заказами покупателей
• и тем и другим одновременно.

Информация о прогнозах продаж и заказах на продажу фиксируется в главном календарном плане производства (MPS — Master Production Schedule), охватывающем все включаемые в план производства НП.

ЗАПАСЫ:

• запасы готовой продукции, отгружаемой на сторону, запасы сырья, закупаемого у поставщиков;
• запасы НП всех промежуточных стадий производства продукции (полуфабрикаты собственного изготовления, сборочные единицы, узлы и т.п.).

Понятие “открытый заказ” введено как для производимых, так и для закупаемых НП и относится к тем заказам, изготовление или закупка которых начаты, но еще не завершены.

СПЕЦИФИКАЦИЯ – это данные о составе изделий и нормах расхода сырья, материалов и компонентов на единицу измерения готовой продукции. В теории MRP эта информация получила название ВОМ (Bill of Material) — спецификация.

Основными целями MRP-систем являются:

• удовлетворение потребности в материалах, компонентах и продукции для планирования производства и доставки потребителям;
• поддержка уровней запасов не выше запланированных;
• планирование производственных операций, расписаний доставки, закупочных операций.

Order In Time + Kanban = Just In Time

Планирование потребности в мощностях (Capacity Requirements Planning, CRP)

Для работы механизма CRP необходимо:

1.Данные о главном календарном плане производства (являются исходными и для MRP).

2.Данные о рабочих центрах. Рабочий центр — это определенная производственная мощность, состоящая из одной или нескольких машин (людей и/или оборудования), которая в целях планирования потребности в мощностях (CRP) и подробного календарного планирования может рассматриваться как одна производственная единица.

3.Данные о технологических маршрутах изготовления НП, здесь указываются все сведения о порядке осуществления технологических операций и их характеристики (технологические времена, персонал, другая информация).

Планирование потребности в материалах в замкнутом цикле (Closed Loop MRP)

Замкнутый цикл MRP – это система, построенная вокруг планирования потребности в материалах (MRP), с включением дополнительных плановых функций:

1.укрупненное планирование производства (production planning, aggregate planning),

2.разработка главного календарного плана производства (MPS),

3.планирование потребности в мощностях (capacity requirements planning).

Функции управления производством:

1.измерение входного/выходного материального потока (мощности) (input—output (capacity) measurement),

2.формирование подробных графиков и диспетчирование,

3.отчетность по предполагаемому отставанию и т.д.

Задачи, решаемые КИС

это методологическая и информационная поддержка

• процесса управления потоками материалов,
• использования оборудования и персонала,
• координации операций предприятия с действиями поставщиков,
• определения потребностей рынка,
• взаимодействия с клиентами.

Типичные области управления, охватываемые системой, включают:

• планирование потребностей предприятия в ресурсах и оценку возможности удовлетворения потребностей рынка;
• планирование своевременных поставок материалов в количествах, реально необходимых для удовлетворения спроса;
• обеспечение оптимального использования оборудования и людских ресурсов;
• поддержку необходимых запасов материалов, незавершенного производства и готовой продукции — в нужных количествах и в нужных местах;
• составление производственных заданий и графиков с учетом технологических требований и наличия производственных ресурсов (люди и оборудование);
• поддержку отношений с поставщиками и клиентами, как при выполнении отдельных заказов, так и в долгосрочной перспективе;
• удовлетворение постоянно меняющихся потребностей рынка;
• быстрое реагирование на возникающие производственные проблемы;
• формирование информации для финансового управления компанией.

Система производственного планирования и управления (упрощенная схема)

Обеспечение функциональной безопасности

Функциональная безопасность (functional safety) – это часть общей безопасности системы, компонента системы или оборудования, работающих правильно в ответ на входные воздействия и обеспечивающих отсутствие неприемлемого риска здоровью людей, их собственности или окружающей среде со своей стороны.

Используемые стандарты функциональный безопасности рассматривают весь жизненный цикл электрических, электронных или программируемых электронных систем и изделий. С развитием производства современного оборудования, активно применяемого во всех отраслях промышленности, это оборудование, как система, усложняется, а его неотъемлемыми составляющими становятся программные и электронные компоненты. Последствия отказа такого оборудования тоже становятся серьезнее, так как мы все чаще доверяем функции защиты от вредных последствий этих отказов программному обеспечению и электронным элементам в составе этих систем.

Функциональная безопасность оборудования как системы определяется и анализируется путем рассмотрения этой системы как единого целого и среды, с которой она взаимодействует.

Производители систем, оборудования и их компонентов должны предпринимать конкретные шаги для того, чтобы убедиться в отсутствии недопустимого риска, связанного с опасностями в результате ненадлежащего функционирования своей продукции. Это влечёт необходимость внедрения конкретных методов оценки функциональной безопасности систем и управления её показателями.

Целью управления функциональной безопасностью является минимизация неприемлемого риска нанесения вреда здоровья людей (непосредственно или косвенно — через нанесение ущерба собственности или окружающей среде).

Цель обеспечения функциональной безопасности считается достигнутой, когда каждая определённая функция обеспечения функциональной безопасности системы осуществляется практически и обеспечивает выполнение требуемых показателей.

Мероприятия по внедрению методов и процессов управления функциональной безопасностью и анализа её показателей требуют соответствующего инструментария для проведения соответствующих вычислений.

Программные решения, предназначенные для автоматизации работы специалистов по обеспечению функциональной безопасности, обычно поддерживают такие ключевые функции, как определение компонентов системы, анализ угроз, оценка рисков, определение уровня полноты безопасности, анализ и управление по целям в области функциональной безопасности, анализ видов и последствий отказов, системное и функциональное моделирование (в т.ч. с применением дерева отказов — Fault Tree), выявление сложных взаимосвязей между компонентами системы и сценариями функционального поведения этих компонентов.

Одним из успешно и широко используемых решений для автоматизации управления функциональной безопасностью является платформа medini analyze компании ANSYS medini Technologies AG.

Субъекты обеспечения безопасности:

• 1 вариант — обеспечением безопасности занимается руководство компании;
• 2 вариант — обеспечением безопасности занимается сотрудник, у которого есть иные должностные обязанности (работа по совместительству);
• 3 вариант — обеспечением безопасности занимается сотрудник, у которого эта работа входит в основные должностные обязанности (отдельная должность);
• 4 вариант — обеспечением безопасности занимается Совет по безопасности (совещательный орган) и сотрудник, у которого эта работа входит в основные должностные обязанности;
• 5 вариант — обеспечением безопасности занимается внешняя организация (аутсорсинг безопасности);
• 6 вариант — обеспечением безопасности занимается Служба безопасности;
• 7 вариант — смешанный вариант из вышеперечисленных.

Виды аутсорсинга безопасности

• полный;
• частичный (по времени или по решаемым задачам).

На аутсорсинг рекомендуется отдать:

• создание систем инженерно-технической, технической и ИТ безопасности;
• проведение независимого аудита корпоративной безопасности или отдельных направлений;
• независимое консультирование по вопросам корпоративной безопасности;
• проведение охранных мероприятий;
• осуществление детективной деятельности;
• осуществление контрольно-пропускного и внутриобъектового режимов;
• стратегическое направление бизнес-разведки, предполагающее использование информационно-аналитических систем;
• правовую защиту бизнеса (привлечение адвокатов и юридических организаций);
• осуществление защиты от аппаратуры промышленного шпионажа, проведение спецпроверок и специсследований помещений и технических средств обработки информации;
• услуги по взысканию долгов (коллекторские услуги).

На Службу безопасности рекомендуется возложить:

• организацию работ по созданию корпоративной безопасности;
• создание нормативно-правовой базы компании, регламентирующей безопасность компании и осуществление контроля за ее выполнением;
• координацию действий сотрудников и подразделений компании по вопросам обеспечения безопасности;
• взаимодействие с государственными и правоохранительными органам по вопросам, затрагивающим безопасность компании;
• взаимодействие с аутсорсинговыми организациями, представляющими услуги по корпоративной безопасности;
• организацию защиты конфиденциальной информации;
• текущее обслуживание технических средств безопасности и охраны;
• информационно-аналитическую работу по обеспечению безопасности компании;
• анализ финансовой деятельности компании с целью предотвращения и вычисления противоправных действий, наносящих ущерб интересам компании (воровство, откаты, мошенничество, коммерческий подкуп и т.д.);
• проведение мероприятий, направленных на обеспечение кадровой безопасности компании;
• проведение внутренних проверок по фактам совершения противоправных действий со стороны персонала компании;
• консультирование и предоставление рекомендаций руководству и персоналу компании по вопросам обеспечения безопасности.

Плюсы аутсорсинга по безопасности:

• профессионально;
• проще для компании;
• привязка к гражданско-правовому договору;
• возможность нестандартных решений исходя из опыта работы;
• нет зависимости от мнения руководства компании;
• в некоторых случаях дешевле;
• последствия безопасны для компании.

Минусы аутсорсинга по безопасности:

• в некоторых случаях дороже;
• медленное погружение в тематику;
• замедленное реагирование на изменение ситуации (допсоглашение к договору);
• допуск посторонних людей в компанию;
• конкуренция за квалифицированный персонал внутри аутсорсинговой компании, так как наиболее профессиональные сотрудники обслуживают ключевых клиентов;
• разные интересы (увеличить прибыль для аутсорсинговой организации и снизить затраты для самой компании).

Модули ERP-системы

• управления логистическими цепочками (Distribution Resource Planning — DRP);
• усовершенствованного планирования и составления производственных графиков (Advanced Planning and Scheduling — APS);
• управления взаимоотношениями с клиентами (Customer Relation Management — CRM, ранее назывался модулем автоматизации продаж — Sales Force Automation);
• электронной коммерции (Electronic Commerce — ЕС);
• управления данными об изделии (Product Data Management — PDM);
• надстройки Business Intelligence, включающей решения на основе технологий OLAP (On-Line Analytical Processing) и DSS (Decision Support Systems);
• автономный модуль, отвечающий за конфигурирование системы (Standalone Configuration Engine — SCE);
• окончательного (детализированного) планирования ресурсов FRP (Finite Resource Planning).

Взаимосвязь функциональных блоков

Минимальные требования, предъявляемые к КИС:

1.Функциональная полнота системы

2.Надежная система защиты информации

3.Наличие инструментальных средств адаптации и сопровождения системы

4.Реализация удаленного доступа и работы в распределенных сетях

5.Обеспечение обмена данными между разработанными информационными системами и др. программными продуктами, функционирующими в организации.

6.Возможность консолидации информации

7.Наличие специальных средств анализа состояния системы в процессе эксплуатации

Обязательные требования, предъявляемые к КИС:

1.Использование архитектуры клиент-сервер с возможностью применения большинства промышленных СУБД

2.Поддержка распределенной обработки информации

3.Модульный принцип построения из оперативно-независимых функциональных блоков с расширением за счет открытых стандартов (API, COM+, CORBA и другие)

4.Обеспечение поддержки технологий Internet/intranet.

5.Гибкость

6.Надежность

7.Эффективность

8.Безопасность

Особенности использования ERP-систем на предприятиях

• После внедрения необходимо научиться использовать систему для решения бизнес-задач предприятия.
• Если предприятие не использует методологию управ­ления, которую отображает система, то использование системы не может быть эффективным.
• Корректность отобража­емой в ERP-системе информации зависит от всего персонала предприятия.
• Система ERP является отображением работы предприятия.
• Система ERP является транзакционной системой реального време­ни.

Пример конфигурации информационной системы

Взаимодействие с системами автоматизированного проектирования

• PDM—система (Product Data Management) — система управления данными об изделии;
• CAD—система (Сomputer-Aided Design) – система автоматизированного проектирования;
• CAM-система (Сomputer-Aided Manufacturing) – автоматизированная система, предназначенная для подготовки управляющих программ для станков с ЧПУ;
• CAE-система (Сomputer-Aided Engineering) – система инженерного анализа.

Основные задачи интерфейса с системами конструирования:

• обес­печение передачи конструкторской информации из системы конструи­рования в ERP-систему;
• обеспечение возможности доступа технологов к первичным документам из ERP-системы.

Схема взаимодействия систем

• обозначение и наименование деталей и сборочных единиц;
• их количество в сборке и применяемость;
• информация о материалах и нормах материалов на изделие;
• информация о типе;
• информация о маршруте изготовления;
• подготовительно-заключительное время;
• информация о конструкторско-технологических изменениях.

Принципы передачи информации

• В виде бумажного документа.
• В цифровом виде:
  • Через промежуточный файл;
  • В режиме реального времени.

Корпоративные базы данных

Основные требования к базам данных:

1.Полнота  представления данных.

2.Целостность базы данных.

3.Гибкость структуры данных.

4.Реализуемость.

5.Доступность.

6.Избыточность.

OLTP-приложения, OnLine Transaction Processing

OLAP-приложения, OnLine Analytical Processing

Data Warehousing, DW

Business Intelligence

Планирование необходимых материалов и мощностей

1. Что заказать (произвести или закупить);
2. Как много заказать;
3. Когда заказать и когда заказанное количество должно быть на складе;
4. Когда заказ должен быть выполнен;
5. Когда необходимо оплачивать.

Исходные данные MRP-модуля:

1.Информация по ОПП.

2.Информация об объектах планирования:

• факторы планирования;
• статус каждого объекта планиро­вания.

3.Спецификации/рецептуры:

• все составляющие, необходимые для изготовления конечного изде­лия;
• каждая из составляющих долж­на иметь свой уникальный код;
• существенными характеристиками деталей являются их форма и предназначение.

Алгоритм расчета материальных потребностей

• разузлование и смещение (по времени);
• определение брутто- и нетто-потребностей;
• формирование заказов на производство или закупку.

Алгоритм расчета материальных потребностей

А – 100 единиц:

В —    100 единиц;

С —    200 единиц;

D —    200 единиц;

Е —    200 единиц;

F —    400 единиц.

Расчет нетто-потребностей

Расчет нетто-потребностей во времени:

Определение сроков закупки и изготовления:

Технология «Клиент-сервер»

• общие данные на одном или нескольких серверах;
• много пользователей на различных вычислительных установках, совместно обрабатывающих общие данные.

Модели технологии «Клиент-сервер»:

• модель файлового сервера (File Server — FS);
• модель удаленного доступа к данным (Remote Data Access — RDA);
• модель сервера базы данных (DataBase Server — DBS);
• модель сервера приложений (Application Server — AS).

Модель файлового сервера (FS)

Достоинства:

• простота,
• отсутствие высоких требований к производительности сервера.

Недостатки:

• высокий сетевой трафик,
• отсутствие специальных механизмов обеспечения безопасности.

Модель удаленного доступа к данным (RDA)

Достоинства:

• Уменьшение числа процессов в операционной системе;
• Сервер БД освобождается от несвойственных ему функций;
• Резко уменьшается загрузка сети.

Недостатки:

• Существенный трафик сети;
• Излишнее дублирование кода приложений;
• Сервер играет пассивную роль;
• Высокие требования к клиентским установкам.

Модель сервера баз данных (DBS)

Достоинства:

• Повышение надежности;
• Возможности коллективной работы пользователей
• Более активная роль сервера;
• Разгрузка сети.

Недостатки:

Большая загрузка сервера.

Модель сервера приложений (АS)

Достоинства:

• Повышение надежности;
• Возможности коллективной работы пользователей
• Более активная роль сервера;
• Оптимальное построение вычислительной схемы.

Недостатки:

Трафик сети.

Требования, предъявляемые к корпоративным базам данных

• Простой и понятный пользователю ввод данных в базу,
• Хранение данных в виде, который не приведет к чрезмерному разрастанию данных,
• Доступность к общей информации сотрудников всех подразделений корпорации при обязательном условии разграничения прав доступа,
• Быстрое нахождение и выборка требуемой информации,
• Сортировку и фильтрацию необходимых данных,
• Группировку одноименных данных,
• Промежуточные и итоговые вычисления над полями,
• Преобразование и наглядность выводимых данных,
• Масштабируемость,
• Защищенность от случайных сбоев, безвозвратной потери данных и несанкционированного доступа.