Требования безопасности пхд

Действующая редакция

10. ПЛАН ПРОВЕДЕНИЯ ПАРКОВО-ХОЗЯЙСТВЕННОГО ДНЯ

217. План проведения парково-хозяйственного дня разрабатывается штабом части совместно с заместителями командира части, начальниками родов войск и служб (Приложение N 5 к настоящему Положению).

Исходными данными для разработки плана проведения парково-хозяйственного дня являются:

— указания командира части и старших командиров (начальников);

— месячные планы эксплуатации и ремонта вооружения, боевой и другой техники, а также сроки проведения плановых и сезонных обслуживаний, установленных соответствующими приказами, наставлениями и инструкциями;

— результаты осмотров и проверок должностными лицами вооружения, боевой и другой техники и фактическая потребность в их обслуживании;

— итоги ранее проведенных парково-хозяйственных дней и работ по обслуживанию вооружения и техники;

— заявки командиров подразделений на необходимые работы по ремонту вооружения и техники;

— условия эксплуатации и хранения машин в части;

— намеченные хозяйственные мероприятия.

218. В плане проведения парково-хозяйственного дня указывается: наименование работ (мероприятий) и время их выполнения; в каких подразделениях производятся работы (объекты, места работы); привлекаемые силы и средства (количество личного состава, выделяемого для работ, и материально-техническое обеспечение проводимых мероприятий); должностные лица, ответственные за выполнение работ и контроль за работами; отметка о выполнении. В плане отражается также организация специальных постов и специализированных бригад, выделяемых из подразделений технического обслуживания и ремонта и предназначенных для обеспечения качественного выполнения работ в парке.

219. В плане проведения парково-хозяйственного дня предусматривается выполнение следующих основных мероприятий:

— осмотр состояния всех видов вооружения, техники и имущества должностными лицами;

— выполнение экипажами, расчетами, водителями и специалистами плановых работ по обслуживанию вооружения и техники, а также устранение выявленных на них неисправностей;

— проверка состояния и обслуживание источников и потребителей электроэнергии (аккумуляторных батарей, генераторов, стартеров, электроприборов, радиостанций, контрольно-измерительных приборов, электростанций и агрегатов питания, диэлектрических средств защиты);

— проверка работы и обслуживание вооружения, стабилизаторов, боеприпасов, средств связи, средств защиты, противопожарного оборудования, приборов ночного видения и освидетельствование баллонов высокого давления;

— обслуживание средств эвакуации, подвижных ремонтных средств, станочного, силового и другого оборудования;

— проверка наличия, доукомплектование и обслуживание ЗИП;

— обслуживание погрузочно-разгрузочных механизмов, средств освещения и сигнализации;

— ремонт и оборудование подъездных путей, внутрипарковых дорог, ограждений, элементов парка, уборка территории парка и парковых помещений;

— осмотр и дооборудование учебно-материальной базы (классов, полигонов, стрельбищ, автодромов, танкодромов и других объектов);

— проверка наличия и качества горючего в баках машин и на складах, исправности средств хранения и перекачки горючего;

— ремонт мебели, казарменного оборудования и инвентаря, солдатского обмундирования и обуви;

— уборка и благоустройство территории военного городка, казарменных помещений, объектов учебно-материальной базы, столовых, складов, мастерских, бань, объектов прикухонного хозяйства, очистка от снега территории части и другие работы.

220. Все мероприятия парково-хозяйственного дня группируются в плане по разделам. Такими разделами могут быть: организационные и партийно-политические мероприятия; проверка, обслуживание и ремонт вооружения, техники и имущества; оборудование и совершенствование учебно-материальной базы боевой подготовки и политической работы; хозяйственные работы; уборка рабочих мест и подведение итогов парково-хозяйственного дня.

Разработанный и подписанный начальником штаба план проведения очередного парково-хозяйственного дня утверждается командиром части.

Выписки из утвержденного плана доводятся штабом части до заместителей командира, начальников родов войск и служб части и командиров подразделений.

221. На основании выписок из плана проведения парково-хозяйственного дня части командиры батальонов (дивизионов) и рот (батарей) составляют планы проведения парково-хозяйственного дня в своих подразделениях.

Экипажам, расчетам и водителям их непосредственные командиры ставят конкретные задачи накануне проведения парково-хозяйственного дня.

Система страхования рисков производственно-хозяйственной деятельности предприятий оборонно-промышленного комплекса

В отличие от классических видов страхования, страхование рисков производственно-хозяйственной деятельности предприятий оборонно-промышленного комплекса (ОПК) характеризуется большим и не всегда четко определенным набором рисковых ситуаций, крупными размерами убытков при меньшей частоте их возникновения, а также усложненной и растянутой во времени системой определения размеров и причин возникновения этих убытков. Современная методология оценки предпринимательских рисков включает учет статистики действительных ущербов, которые произошли в мировой промышленности.

На основе этих статистических данных установлены стандарты, процедуры и практические законы для минимизации вероятности повторения опасных ситуаций. Крупные западные страховщики имеют набор специальных инструкций для инспекторов, в которых перечислены основные требования для объектов страхования, без выполнения которых и речи не может идти о заключении договоров страхования рисков производственно-хозяйственной деятельности предприятий, выполняющих экспортные контракты.

Это, во-первых, требования к используемому оборудованию и оснащению его системами безопасности, во-вторых, требования к отбору контрагентов на всем пути товародвижения – от предприятия-изготовителя продукции до покупателя того или иного вида продукции, и, в-третьих, требования достаточно высокого уровня уже имеющейся страховой защиты от имущественных рисков (страхование имущества предприятий-изготовителей, страхование грузов транспортируемой продукции на специально оговоренных условиях и т. д.).

В соответствии с этими инструкциями страховщик обязан обратить внимание на производственный, технический и управленческий факторы у потенциального страхователя и определить в каждом конкретном случае присущие этим факторам опасности.

В деятельности любого хозяйствующего субъекта, а особенно предприятий ОПК, необходим индивидуальный подход при отборе рисков для заключения договоров страхования. С понятием «риск» тесно связано понятие ущерба. Если риск – это только возможное отрицательное отклонение, то ущерб – реально состоявшаяся потеря. Принимая решения по тем или иным вопросам хозяйственной деятельности, предприятие должно оценить степень риска. В условиях рыночной экономики можно выделить пять основных областей риска в деятельности предприятий ОПК.

1. Безрисковая область.

При «осторожном ведении дел», когда предприятие ничем не рискует, отсутствуют любые потери, и оно получает как минимум расчетную прибыль. Теоретически, объем прибыли в данном случае ничем не ограничен, но в условиях сегодняшней жесточайшей конкуренции такое упразднение риска упраздняет и прибыль.

2. Область минимального риска.

В процессе деятельности предприятие рискует лишь частью или в пределах всей величины чистой прибыли.

3. Область повышенного риска.

Предприятие рискует тем, что в худшем случае произведет покрытие всех затрат, а в лучшем – получит прибыль намного меньше расчетного уровня.

4. Область критического риска.

Предприятие рискует не только потерять прибыль, но и недополучить предполагаемую выручку. В этом случае ему придутся возмещать часть затрат за свой счет.

5. Область недопустимого (катастрофического) риска.

Деятельность предприятия приводит к банкротству, в том числе потере инвестиций.

Количественная оценка риска – это численное определение размеров ущерба и недополученной прибыли (убытков) от наступления конкретного риска и от всей деятельности в целом при помощи различных методов:

  1. статистического;
  2. анализа целесообразности затрат;
  3. метода экспертных оценок;
  4. использования аналогов.

В первом случае анализируется статистика потерь и прибылей в деятельности данного или аналогичного предприятия как субъекта хозяйствования. Составляется расчет на будущее, рассчитываются вариация, дисперсия и стандартные отклонения.

Вариация – изменение количественной оценки признака при переходе от одного случая к другому. Например, изменение рентабельности определяется суммированием произведений фактических значений рентабельности (ЭРi) на соответствующие значения вероятностей (Рi):

, i = 1, …, n.

Вариация оценивается дисперсией, т. е. мерой отклонения фактического значения признака от его среднего значения. Средневзвешенную дисперсию рассчитывают по формуле:

, i = 1, …, n.

Чем выше результат, тем рискованней анализируемая деятельность. Статистический анализ степени риска требует значительного числа данных, не всегда имеющихся в наличии.

Анализ целесообразности затрат ориентирован на установление потенциальных зон риска, так называемых «узких мест». Перерасход затрат может быть вызван одним из четырех факторов или их комбинацией:

  • первоначальная недооценка стоимости;
  • изменение границ проектирования;
  • различие в производительности;
  • увеличение первоначальной стоимости.

Метод экспертных оценок основан на создании обобщенной базы оценок нескольких специалистов-экспертов, имеющих высокий профессиональный уровень и большой практический уровень в области оценки риска.

Метод использования аналогов заключается в поиске и использовании сходства систем похожих (аналогичных) оценок на основании сопоставления результатов.

Оценка риска – это оценка вероятности (частоты) наступления рисковой ситуации, прогнозирование уровня потерь и исходя из этого определение их стоимости. Существует шкала вероятности убытка, согласно которой некое (неблагоприятное) событие произойдет в рассматриваемый период хотя бы один раз (см. табл. 1).

Таблица 1
Шкала вероятности убытка

Вероятность убытка крайне мала

Небольшая вероятность убытка

Вероятность убытка менее 50%

Вероятность убытка 50%

Убыток достаточно вероятен

Убыток весьма вероятен

Убыток произойдет наверняка

Целью количественной оценки и качественного анализа рисков является выработка стратегии управления ими. Решение по снижению степени риска методом заключения договоров страхования с профессиональными страховыми организациями становится очевидным исходя из анализа убытков, пример которого приведен в табл. 2.

Таблица 2
Решение по снижению степени риска методом заключения договоров страхования с профессиональными страховыми организациями.

Величина серьезности убытка

Воздействие на деятельность субъекта хозяйствования

Решение о страховании

Суть количественной оценки и качественного анализа всех предпринимательских рисков, присущих деятельности того или иного предприятия ОПК как субъекта хозяйствования, состоит в построении наибольшего числа всевозможных сценариев возникновения и развития рисковых ситуаций и присущих им неблагоприятных последствий при помощи математических моделей и на основе статистических данных.

К настоящему моменту в России, к сожалению, не выработано никаких общепринятых методик подобного всестороннего анализа предпринимательских рисков, особенно для предприятий ОПК, выполняющих экспортные контракты. В некоторых крупных профессиональных страховых организациях, серьезно занимающихся этим видом страхования, актуарии и риск-менеджеры самостоятельно, путем допущений и прогнозов, разрабатывают методологию для решения задач, связанных с оценкой отдельных видов предпринимательских рисков (рисков аварий на различных промышленных производствах, рисков перерывов в хозяйственной деятельности, вызванных теми или иными причинами и т. д.).

Подобными разработками с более высокой степенью точности обладают страховые организации, являющиеся кэптивными компаниями крупных финансово-промышленных групп и транснациональных корпораций, занятых в определенных отраслях промышленности и обладающих наиболее полной и достоверной информацией о состоянии и перспективах данных отраслей.

При оценке риска производственно-хозяйственной деятельности предприятий ОПК следует учитывать такую возможность, что к одному ущербу могут привести несколько рисковых событий. Простой пример – ущерб от риска перерыва в хозяйственной деятельности, который может произойти вследствие цепочки нескольких наступивших рисковых ситуаций: первая – пожар, вторая – отключение электроэнергии по причине повреждения электропроводки, третья – ремонт помещений и замена поврежденного оборудования и т. д. Другой пример – учет статистики возникновения пожаров на производствах при оценке риска. Однако возгорание – причина пожара – может, в свою очередь, быть вызвано халатностью работников, электрическим замыканием, сухой и жаркой погодой и другими событиями.

С учетом вероятных сценариев возникновения рисковых ситуаций, присущих российской экономике, и признаков ущерба, рассмотрим структуру системы страхования рисков производственно-хозяйственной деятельности промышленного предприятия ОПК. Как это не парадоксально, степень риска зависит от вида и размера ущерба, хотя в жизни все наоборот: сначала существует риск (вероятность) наступления какого-либо ущерба, и лишь затем может наступить этот ущерб как таковой.

Но так как риск – это возможность наступления определенного вида ущерба, то его невозможно заранее измерить, можно лишь спрогнозировать его наступление. Оценить же степень риска (R) можно только исходя из размера и выяснив причины наступившего в связи с ним ущерба (D):

Раскроем подробнее приведенную зависимость применительно к производственно-хозяйственной деятельности промышленного предприятия ОПК, выполняющего экспортные контракты. Для этого введем показатели для видов ущерба, характерных этой деятельности:

H (Human) – различные виды ущерба жизни и здоровью людей (количество погибших, пострадавших, эвакуированных и т. д.);

T (Technical) – технические ущербы (разрушения производственных систем, возникновение различных видов аварий);

E (Ecological) – экологические последствия (количеств выбросов в окружающую среду, загрязненные площади);

L (Labor) – материальные потери имущества, наступление ответственности перед третьими лицами, ущерб от неплановых простоев производства.

Указанные показатели рассчитываются для каждого сценария наступившего рискового события, последовавшего за ним ущерба, а также с учетом возможной частоты возникновения подобного сценария. Полученные данные используются для определения степени (вероятности наступления) риска по следующей формуле:

R – степень (вероятность наступления) оцениваемого риска;

i – множество всех сценариев оцениваемых рисковых событий [1; N];

p – вероятность конкретного i-го сценария;

Смотрите так же:  Договор поставки товара по аккредитиву

– ожидаемая частота наступления конкретного i-го сценария;

Di – ущерб в конкретном i-ом сценарии, причем D (Damage) – переменная величина, зависящая от вида ущерба, и если

D = H, то R – риск, связанный с угрозой жизни и здоровью людей,

D = T, то R – технический риск,

D = E, то R – экологический риск,

D = L, то R – финансовый риск.

Анализ рассчитанных показателей степеней рисков позволяет количественно описать уровень безопасности деятельности, адекватно учесть национальные особенности, выявить «узкие места», выбрать более удачные варианты по снижению риска, обосновать выбор программ по повышению безопасности, и в будущем прогнозировать и по возможности учитывать вероятные потери. Данный метод может быть представлен в виде алгоритмической программы, содержащей периодически пополняющуюся статистическую базу данных о наступивших рисковых ситуациях и ущербах в данной сфере деятельности и смежных областях.

Процедура количественной оценки степеней рисков состоит из двух основных этапов: идентификация рисковых ситуаций и сам расчет. Аналогично можно представить алгоритм предложенной программы (рис. 2).

1. Идентификация рисков.

Существо этого этапа – сбор информации по всей деятельности предприятия, выявление и «количественное» описание опасностей. Например, составляется список предприятий-изготовителей продукции высоких технологий (ПВТ), которую планируется поставить покупателям. По каждому из них составляется отдельный список оборудования, выход из строя которого может привести к аварии, задержке (перерыву в производстве), т. е. неисполнению (ненадлежащему исполнению) обязательств по договору и т. д. Причем для каждой единицы такого оборудования желательно собрать информацию о его типе и местонахождении на конкретном предприятии, технологических характеристиках, сроке ввода в эксплуатацию, сроках прошедших и предстоящих ремонтов и освидетельствований, стоимости и т. д. Сбор данных по конкретному предприятию проводится на основе запрашиваемой документации. Кроме того, необходима информация о составе персонала и его действиях при возникновении аварий и чрезвычайных ситуациях.

Рис. 2. Алгоритм оценки рисков в зависимости от сценариев рисковых событий и с учетом деления ущерба на несколько показателей, связанных со степенью конкретного сценария риска

При расчете моделируются различные рисковые случаи, частота которых определяется на основе статистических данных об имевших место в данной отрасли отказах оборудования, отклонениях от технологических режимов, ошибках персонала, внешних воздействиях.

Далее, для каждого вероятного рискового случая собирается набор возможных сценариев развития – цепочек неблагоприятных событий, и рассчитывается частота возникновения каждого и последних.

На основе всех полученных данных вычисляются ожидаемые рисковые сценарии по всей совокупности деятельности государственного посредника в сфере военно-технического сотрудничества, оценивается оптимальный размер ущерба, выявляются основные составляющие рисков.

На основе результатов количественного анализа рисков разрабатывается программа мер по профилактике неблагоприятных событий и противодействию им в ходе их развития. Оглавление

Основные положения контроллинга производственно-хозяйственной деятельности и методические указания по организации внутреннего аудита в рамках контроллинговых систем

Документом в практику организации и управления в энергетике вводится методология осуществления контроллинга производственно-хозяйственной деятельности энергопредприятий, который является важным звеном в процессе дальнейшего совершенствования системы управления энергетическим производством. Данная методология совершенствования управления финансовой, экономической, производственно-технической, инвестиционной и кадровой политикой организаций электроэнергетики должна послужить основой общей концепции управления, которая включила бы в себя сквозную методологию перехода от «управления по состоянию» на «управление по результатам». В рамках управления, ориентированного на результат, контроллинг должен обеспечить определение стратегических позиций для достижения лучших конечных результатов и помочь соответствующим уровням управления более отчетливо представлять панораму событий, результатов и намечать последующие действия.

ДЕПАРТАМЕНТ ГЕНЕРАЛЬНОЙ ИНСПЕКЦИИ ПО ЭКСПЛУАТАЦИИ И ФИНАНСОВОГО АУДИТА

103074, г. Москва, Китайгородский пр. 7 тел. 220-51-40, факс 220-43-23

на №____________ от ___________

Руководителям подразделений исполнительного аппарата, филиалов, дочерних и зависимых акционерных обществ

О вводе в действие РД 153-34.0-08.102-98 — «Основные положения контроллинга производственно-хозяйственной деятельности и методические указания по организации внутреннего аудита в рамках контроллинговых систем»

Направляю утвержденный Председателем Правления РАО «ЕЭС России» руководящий отраслевой документ «Основные положения контроллинга производственно-хозяйственной деятельности и методические указания по организации внутреннего аудита в рамках контроллинговых систем» (РД 153-34.0-08.102-98), разработанный в соответствии с поручением приказа РАО «ЕЭС России» от 28.09.98 № 179 «О совершенствовании системы отраслевого контроля».

Этим документом положено начало созданию комплексной системы аудита в рамках основных контроллинговых систем, основывающейся на результатах внутреннего аудита по направлениям: финансового, технического, энергосбытовой и инвестиционной деятельности, охраны труда. Документом вводится трехуровневая модель осуществления внутреннего аудита: центральный аудит, который является отраслевым или внутрихолдинговым аудитом, местный внутренний аудит на уровне акционерных обществ и самоаудит на уровне их структурных подразделений.

Этот документ — методический и им не предусмотрены рекомендации по организационным структурам внутреннего аудита для каждого конкретного уровня. Приказом РАО «ЕЭС России» от 21.12.98 № 270 «О дальнейшем развитии отраслевой системы внутреннего аудита» поручено Департаменту генеральной инспекции по эксплуатации и финансового аудита и Дирекции социально-трудовых отношений и оргструктур разработать и представить на утверждение предложения по организационным структурам аудиторской деятельности. Эта работа сейчас ведется.

С переходом на акционерную форму собственности большинство энергосистем или упразднили, или растеряли кадры ревизорских подразделений, и результат от этого сказался — отрицательный результат! После наших проверок многие начинают понимать необходимость их восстановления. Конечно, подталкивают руководителей акционерных обществ к этому в большей степени выходящие по результатам проверок приказы и та масса замечаний, которые называются в актах проверок.

Результаты аудита показывают, что из-за недостатков в организации системы внутреннего контроля акционерные общества несут серьезные финансовые потери. Следует отметить, что акционерные общества, которые уделяют серьезное внимание организации системы внутреннего контроля, имеют и лучший результат производственно-хозяйственной и финансовой деятельности.

Поэтому акционерным обществам — энергосистемам необходимо приступить к восстановлению ревизорской деятельности в рамках действующих нормативов и утвержденных ранее оргструктур. Сложнее это сделать в АО-электростанциях и в МЭСах, которым, тем не менее, также необходимо, не дожидаясь разработки отраслевых рекомендаций, приступать к организации системы внутреннего контроля за производственно-хозяйственной и финансовой деятельностью. Этот процесс мы с Вами должны ускорять!

Приказом Председателя Правления РАО «ЕЭС России» от 28.09.99 № 179 «О совершенствования системы отраслевого контроля» Департамент генеральной инспекции по эксплуатации и финансового аудита наделен полномочиями по осуществлению контроллинга производственно-хозяйственной деятельности.

Более подробно о контроллинге и аудите мы будем вести разговор на отраслевых тематических селекторных совещаниях, проводимых по четвергам в соответствии с приказами РАО «ЕЭС России» от 14.02.97 № 65 «О проведении отраслевых тематических селекторных совещаний по проблемам надежности энергетического оборудования» и от 11.03.99 № 93 «О проведении отраслевых тематических селекторных совещаний по проблемам производственно-хозяйственной и финансовой деятельности». Это серьезная, важная и полезная для повышения эффективности производственно-хозяйственной деятельности и для повышения результативности управления в целом сфера деятельности.

В нашем «традиционном» управлении, где результаты «не подчеркнуты», мало шансов на улучшение хозяйственно-экономической ситуации в отрасли. Примером тому является увлечение акционерных обществ переуступкой права требования долга и взаимозачетами, что приводит к колоссальным финансовым потерям из-за, во-первых, несопоставимости цен в цепочках расчетов, во-вторых, к неоправданным «накладным» расходам, в-третьих, к замораживанию дебиторской задолженности за отпущенную энергию в посреднических коммерческие фирмах и невозможности возврата большей ее части. Анализ результатов аудита финансово-хозяйственной деятельности показывает наличие выходящих за пределы «правового поля» управленческих решений, принимаемых руководителями акционерных обществ и их подразделений. Попытки оправданий таких действий и решений ссылкой на «форс-мажор в экономике страны» не спасет от административной и уголовной ответственности!

Спасти может только эффективная действенная система внутреннего контроля, не допускающая, предотвращающая и корректирующая (отменяющая) решения и действия, опасные с точки зрения последующей ответственности и с точки зрения финансового ущерба для акционерного общества. И на это должна быть направлена сквозная система контроллинга в каждом акционерном обществе и по всей иерархии отрасли!

В рамках управления, ориентированного на результаты, контроллинг ставит вопрос, как об оперативной, так и о стратегической позиции для достижения конечных результатов и помогает руководителю более отчетливо представлять панораму событий и результатов. Наиболее отчетливо это проявляется в панораме учета затрат по центрам их формирования как одной из основ для принятия управленческих решений.

Подобная система «контроллинга на местах», «самоконтроллинга» — это признак современного грамотного управления, так как только непосредственный руководитель подразделения с определенным центром возникновения затрат может лучше других судить о рациональности соотношения между произведенными затратами и достигнутыми результатами. Прежде всего, речь идет о том, чтобы своевременно предпринимать меры по улучшению указанных соотношений. При полном и последовательном введении в действие контроллинговых систем могут быть сделаны важные выводы и предприняты соответствующие меры, например:

• при превышении бюджета затрат по отдельным видам могут быть проведены целевые мероприятия в рамках политики «контруправления»;

• путем сравнения фактического и запрогнозированного в бюджете показателя выработки или производительности труда могут быть целевым образом спланированы изменения в кадровой политике;

• финансовые результаты, исчисленные в отношении носителей затрат, могут приводить к выводам и заключениям, учитываемым при расчете предварительной калькуляции на последующие периоды;

• по итогам сравнения затрат, учитываемых по различным местам их формирования в рамках участка, цеха или подразделения, может быть извлечена важная информация для определения эффективности производства;

• по данным учета затрат по центрам их возникновения могут быть подготовлены дополнительные материалы для корректировки управленческих решений;

• по данным анализа расчетов ценными бумагами могут быть обнаружены недостатки, приводящие к значительным финансовым потерям для акционерного общества из-за халатности, неграмотности или преднамеренных действий.

Аналогичные подходы могут быть применены и в осуществлении технической политики и производственной деятельности, например:

• анализ фактических затрат на ремонт может показать завышение стоимости выполняемых привлеченными ремонтными организациями работ и позволит сделать заключение о необходимости проведения тендера при выборе подрядчика;

• анализ трудозатрат на единицу выработки может показать недостатки в организации и стимулировании труда эксплуатационного и ремонтного персонала, то есть недоиспользование возможностей повышения производительности за счет улучшения организации, а также наличие лишнего персонала,

• при сравнении фактического и нормативно-расчетного показателя расхода условного топлива на отпущенный киловатт-час может быть обнаружено отсутствие достаточного анализа пережога топлива по отдельным составляющим (неплановые пуски, пароводяные потери, присосы воздуха в вакуумную систему турбин, присосы воздуха в топки и газовоздушный тракт котлов, потери тепла с уходящими газами или из-за недогрева питательной воды и пропуска арматуры и т.п.), а также контроля за к.п.д. котлоагрегатов и турбоустановок в темпе процесса;

• сравнение фактических потерь электроэнергии в сетях с нормативными позволит обнаружить причину потерь из-за недостатков в системе учета (из-за отсутствия или неисправности средств учета) и роста коммерческой составляющей потерь в электрических сетях;

• по итогам годовой платы за экологические показатели может быть выявлено, что переход от расчетных методов определения выбросов в атмосферу на инструментальные может быстро окупить затраты на установку приборов и снизить эту составляющую себестоимости.

Начальник ДГИЭФА Паули В.К.

ОСНОВНЫЕ ПОЛОЖЕНИЯ КОНТРОЛЛИНГА ПРОИЗВОДСТВЕННО-ХОЗЯЙСТВЕННОЙ ДЕЯТЕЛЬНОСТИ И МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПО ОРГАНИЗАЦИИ ВНУТРЕННЕГО АУДИТА В РАМКАХ КОНТРОЛЛИНГОВЫХ СИСТЕМ

РАЗРАБОТАН Российским акционерным обществом энергетики и электрификации «ЕЭС России»

ИСПОЛНИТЕЛИ Паули В.К. (д.т.н.), Образцов С.В., Сидоров С.Б., Сляднев С.Л., Жуков Ю.И., Бохмат И.С., Осипов В.И., Борисов С.Б., Ледекер Ю.А.

РЕЦЕНЗЕНТЫ д.э.н. Эдельман В.И. (НИИЭЭ), д.э.н. Петровский Е.С. (ГУУ)

УТВЕРЖДЕН Российским акционерным обществом энергетики и электрификации «ЕЭС России»

Председатель Правления А.Б. Чубайс

«3» апреля 1999 г.

1 . ЗАДАЧИ И КОНЦЕПЦИЯ КОНТРОЛЛИНГА ПРОИЗВОДСТВЕННО-ХОЗЯЙСТВЕННОЙ ДЕЯТЕЛЬНОСТИ

Настоящим отраслевым документом в практику организации и управления в энергетике вводится методология осуществления контроллинга производственно-хозяйственной деятельности энергопредприятий, который является важным звеном в процессе дальнейшего совершенствования системы управления энергетическим производством. Данная методология совершенствования управления финансовой, экономической, производственно-технической, инвестиционной и кадровой политикой организаций электроэнергетики должна послужить основой общей концепции управления, которая включила бы в себя сквозную методологию перехода от «управления по состоянию» на «управление по результатам». В рамках управления, ориентированного на результат, контроллинг должен обеспечить определение стратегических позиций для достижения лучших конечных результатов и помочь соответствующим уровням управления более отчетливо представлять панораму событий, результатов и намечать последующие действия.

Осуществление контроллинга производственно-хозяйственной деятельности включает в себя одновременное действие комплекса контроллинговых систем, основывающихся на контроле результатов деятельности по направлениям с помощью внутреннего аудита: финансового, технического, энергосбытовой и инвестиционной деятельности, охраны труда. Таким образом информационной основой для эффективного осуществления контроллинга производственно-хозяйственной деятельности являются результаты внутреннего аудита в рамках всех контроллинговых систем.

Смотрите так же:  Заявление на выдачу справки об отсутствии задолженности в банке

Необходимость формирования концепции воздействия на качество энергетического производства через контроллинг производственно-хозяйственной деятельности обусловлена тем, что переход от «управления по состоянию» на «управление по результатам» требует введения в действие механизма управления, осуществляемого при эффективных обратных связях, основанных не на традиционном контроле, а на совокупности контрольных и управленческих функций. Поэтому переход от контроля к контроллингу носит закономерный эволюционный характер и вызван, прежде всего, необходимостью поиска путей решения задач повышения эффективности управления в целом. А эффективность может повышаться за счет сочетания системы, отслеживающей процесс выполнения задач, с осуществлением необходимой коррекции на стадии их исполнения с целью улучшения результата за счет позитивных управленческих решений.

Учитывая, что контроллинг — это также система управления по целям, он позволяет определить, кто отвечает за тот или иной результат, кто планирует и проводит мероприятия по достижению целей. Поэтому через организацию управления путем постановки целей происходит выход на изучение личностного аспекта, как важной составляющей всего процесса управления, ориентированного на результат. Это дает возможность оценки соответствия конкретного руководителя порученным задачам и возложенным обязанностям.

Контроллинг в современной экономической теории и практике сложное синтезированное понятие — это не только контроль, но и управление через согласование целей. Поэтому контроллинг следует понимать как подсистему управления производственно-хозяйственной деятельностью, осуществляемую на основе соблюдения установленных отраслевых положений, стандартов и нормативов, постоянного регулирования и мониторинга деятельности на каждом уровне управления (руководства), представляющем собой общее поле взаимодействия контроллинговых систем.

Для того, чтобы полнее использовать имеющиеся возможности и своевременно реагировать на появляющиеся негативные тенденции, необходимо построить систему раннего обнаружения отклонений от предполагаемого развития событий. Это необходимо для определения специфических для каждого предприятия ключевых факторов и индикаторов системы. На первой стадии целесообразно ограничиваться определением проблемных ситуаций и целевых показателей, а также поиском важнейших факторов, оказывающих на них влияние. Цель данного этапа — расчет доминирующих зависимостей, в наиболее значительной степени определяющих развитие событий в рамках общей проблемной ситуации. В экономическом аспекте это означает анализ учета затрат по функциям и процессам или учет процессуальных издержек, который позволяет разрабатывать и осуществлять проекты по сокращению уровня затрат и производить противодействующее их росту планирование.

Эффективность методологии контроллинга напрямую зависит от организации внутреннего контроля как технического, так и финансового, осуществляемого на всех уровнях управления. Поэтому осуществление контроллинга производственно-хозяйственной деятельности предполагает одновременное действие комплекса контроллинговых систем, основывающихся на результатах внутреннего аудита по направлениям: финансового, технического, энергосбытовой и инвестиционной деятельности, охраны труда.

Контроллинг, с точки зрения управления, означает непрерывное информационное сопровождение руководителей всех уровней управления по алгоритму, приведенному в таблице 1.

Особенности построения комплексной системы информационной безопасности газотранспортного предприятия

Особенности построения комплексной системы информационной безопасности газотранспортного предприятия

Особенности построения комплексной системы информационной безопасности газотранспортного предприятия

Начальник отдела информационной безопасности
ООО «Мострансгаз» к.т.н. А.В. Полещук

Анализ газового рынка показывает, что в ближайшие годы и десятилетия прогнозируется существенный рост спроса на газ, а значит и роль «Газпрома», как современной энергетической компании на мировом рынке, будет возрастать.

В условиях роста спроса на газ главная стратегическая цель предприятий газовой отрасли — повышение эффективности и динамичный рост производства в интересах потребителей, совершенствование его организационной структуры.

Возрастание требований к качеству обмена информацией и уровню ее защиты определяется, прежде всего, конкуренцией на газовом и финансовом рынках. Пристальное внимание этому вопросу уделяет и Служба безопасности ОАО «Газпром». Безусловно, это диктуется еще и производственной спецификой технологических процессов транспортировки и хранения газа, которая предъявляет повышенные требования к защите от «информационного терроризма» систем оперативно-диспетчерского управления.

Уместно привести несколько фактов, подтверждающих актуальность работы по защите информации — в год происходит до 6 000 попыток заражения сетей передачи данных ОАО «Газпром» различными вирусами, все это приводит к выходу из строя на длительные сроки автоматизированных рабочих мест в корпоративной информационной системе Общества. Финансовые потери времени на простой, трудозатраты на восстановление и с учетом возможно недополученной прибыли могут составлять сотни тысяч долларов США.

В целом следует констатировать, что угрозы вирусного заражения и угрозы со стороны внутренних нарушителей продолжают оставаться крайне актуальными для предприятий ОАО «Газпром».

В год до 82 % мировых компаний подвергаются вирусным атакам;

77% компаний подвергались атакам со стороны своих сотрудников;

40 % — со стороны конкурентов.

В соответствии с Федеральным законом Российской Федерации «Об информации, информатизации и защите информации» владелец информации обязан обеспечить соблюдение режима обработки и правил предоставления информации пользователям. В случае, когда информация составляет коммерческую или иную тайну, эта обязанность включает и защиту информации.

В соответствии с положениями «Специальных требований и рекомендаций по технической защите конфиденциальной информации», принятыми в ОАО «Газпром», его дочерних обществах и организациях (СТР-К) к руководству и исполнению ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей подразделений.

Очевидно, что обеспечение информационной безопасности требует комплексного подхода, в основе которого должна лежать система обеспечения информационной безопасности, включающая организационную (подготовленный персонал и нормативные документы) и техническую (средства защиты информации) составляющие.

Создание такой системы должно базироваться на следующих принципах и подходах.

Выделенное ниже списано отсюда: http://www.lghost.ru/lib/security/kurs5/theme01_chapter04.htm

Первым и наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности. Суть этого принципа заключается в постоянном контроле функционирования системы, выявлении ее слабых мест, потенциально возможных каналов утечки информации и НСД, обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации. Таким образом, обеспечение информационной безопасности не может быть одноразовым актом.

Вторым является принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.

Комплексный характер защиты информации проистекает, прежде всего, из характера действий злоумышленников, стремящихся любой совокупностью средств добыть важную для конкурентной борьбы информацию. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения.

Кроме того, наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм — систему информационной безопасности. Только в этом случае появляются системные свойства не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования.

Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм сотрудников, занимающихся вопросами информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.

Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты.

С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований.

Защита информации должна быть:

  • централизованной; необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;
  • плановой; планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;
  • конкретной и целенаправленной; защите подлежат конкретные информационной ресурсы, которые могут представлять интерес для конкурентов;
  • активной; защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;
  • надежной и универсальной, охватыватьвесь технологический комплекс информационной деятельности объекта; методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;
  • нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;
  • открытой для изменения и дополнения мер обеспечения безопасности информации;
  • экономически эффективной; затраты на систему защиты не должны превышать размеры возможного ущерба.

Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые полезно использовать при создании систем информационной безопасности:

  • средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;
  • каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;
  • возможность отключения защиты в особых случаях, например, когда механизмы защиты реально мешают выполнению работ;
  • независимость системы защиты от субъектов защиты;
  • разработчики должны предполагать, что пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;
  • отсутствие на предприятии излишней информации о существовании механизмов защиты.

Все перечисленные позиции должны лечь в основу формирования системы защиты информации газотранспортного предприятия.

На начальном этапе разработки системы защиты информации, необходимо определить, какая же информация на предприятии составляет коммерческую тайну (КТ) и носит конфиденциальный характер. Для этого необходимо составить перечень сведений, которые составляют КТ Общества. Такой перечень составляется на основе перечня ОАО «Газпром». Также необходимо оценить информационные потоки Общества и степень конфиденциальности циркулирующей по ним информации.

Дальнейшими этапами должны быть:

  • определение границ управления системой защиты информации объекта;
  • анализ уязвимости объекта к информационным угрозам;
  • выбор контрмер, обеспечивающих защиту информации; определение политики информационной безопасности;
  • проверка системы защиты;
  • составление плана защиты;
  • реализация плана защиты (управление системой защиты).

Любые действия по созданию системы защиты информации должны заканчиваться определенными результатами в виде документа или технического решения.

Как показывает разработка реальных систем, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не является надежным, а максимальный эффект достигается при объединении всех их в целостную систему защиты информации. Только оптимальное сочетание организационных, технических и программных мероприятий, а также постоянное внимание и контроль над поддержанием системы защиты в актуальном состоянии позволит с наибольшей эффективностью обеспечить решение постоянной задачи.

Основными этапами создания комплексной системы защиты информации должны быть:

  • обследование организации.
    Выполнение работ по аудиту информационной безопасности может быть как внутренними силами, так и с привлечением сторонней организации;
  • проектирование системы защиты информации.
    Проектирование комплексной системы защиты информации выполняется по результатам проведенного аудита информационной безопасности;
  • внедрение системы защиты информации
    Осуществляется, как правило, силами сторонней организации при участии сотрудников отдела информационной безопасности для обеспечения контроля качества;
  • сопровождение системы информационной безопасности
    Техническое сопровождение комплексной системы ИБ осуществляется силами сторонней организации, а эксплуатация и администрирование безопасности силами отдела ИБ;
  • обучение специалистов по защите информации
    Обучение проводится в плановом порядке по графику, утвержденному СБ ОАО «Газпром».
    Как правило, газотранспортное предприятие является территориально-распределенной организацией, имеющей большое количество территориально удаленных от центрального офиса филиалов и дочерних организаций.
    Информационно-телекоммуникационная система такого предприятия носит территориально-распределенный характер и имеет возможность взаимодействия с внешними информационными системами — федеральных органов исполнительной власти, субъектов федерации, местных органов власти, а также различными открытыми сетями (Интернет, Рейтер и др.).
    Корпоративная вычислительная сеть газотранспортного предприятия предназначена для обеспечения информационного взаимодействия администрации предприятия с филиалами, дочерними организациями, внешними организациями и, как правило, состоит из:
  • локальных вычислительных сетей администрации предприятия и филиалов;
  • каналов связи, выходящих за границы контролируемой зоны объектов предприятия и арендованных у корпоративного провайдера связи:
  • распределенной сети передачи данных (РСПД), используемой для связи администрации предприятия с филиалами;
  • единой ведомственной сети передачи данных (ЕВСПД), используемой для связи администрации предприятия с информационными ресурсами корпоративного провайдера связи и ресурсами Интернет.

Корпоративная вычислительная сеть газотранспортного предприятия, как правило, разделена логически на две независимые сети – сеть автоматизированной системы управления технологическими процессами (АСУ ТП) и сеть информационной управляющей системы производственно-хозяйственной деятельностью (ИУС ПХД).

Комплексная система информационной безопасности должна включать в себя две составляющие: организационно-распорядительную составляющую и техническую составляющую КСИБ.

В основе организационно-распорядительной составляющей лежит комплекс внутренних документов, регламентирующих вопросы обеспечения безопасности информации. К основным документам в этой области относятся:

  1. Документы стратегического (первого) уровня Политики безопасности информации, определяющие стратегические цели руководства Общества в области обеспечения безопасности информации.
  2. Документы второго уровня Политики безопасности информации, включающие организационно-распорядительные документы, регламентирующие вопросы организации и проведения работ по защите ИР.
  3. Документы третьего уровня Политики безопасности информации (включающие исполнительную документацию, должностные обязанности и инструкции, а также эксплуатационные документы средств защиты информации, в том числе документы, регламентирующие вопросы защиты информации при использовании ИУС ПХД.
Смотрите так же:  Страховка детям за границу

Техническая составляющая должна включать следующие подсистемы:

  • подсистему антивирусной защиты;
  • подсистему резервного копирования и архивирования;
  • подсистему защиты электронной почты;
  • подсистемы обнаружения атак;
  • подсистемы управления информационной безопасности, централизованного мониторинга и аудита событий ИБ;
  • подсистемы защиты каналов передачи данных;
  • подсистемы управления доступом (идентификации и аутентификации пользователей);
  • подсистему регистрации и учета;
  • подсистему обеспечения целостности;
  • подсистему защиты информации в ЛВС филиалов и дочерних Обществ;

Структурная схема СЗИ приведена на рисунке (см. Рисунок 1 ):

Рисунок 1. Структурная схема СЗИ

  1. Подсистема антивирусной защиты

Эта подсистема должна соответствовать следующим требованиям:

  • должен быть организован мониторинг антивирусной активности;
  • желательно организовать двухуровневую антивирусную защиту с применением антивирусного ПО различных производителей;
  • должна быть обеспечена антивирусная защита серверного оборудования.
  1. Подсистема резервного копирования и архивирования.

Эта подсистема должна соответствовать следующим требованиям:

  • необходимо создать соответствующие документы и инструкции, регламентирующие процесс резервного копирования и архивирования и связанные с производственной необходимостью;
  • организовать резервное копирование для всех серверов, указанных в регламентах резервного копирования;
  • разработать процедуры и регулярно проводить тестирование резервных копий.
  1. Подсистема защиты электронной почты.

Эта подсистема должна соответствовать следующим требованиям:

  • должны быть задействованы механизмы защищенного почтового обмена внутри ЛВС, должна быть обеспечена аутентификация пользователей при отправке почты;
  • почтовый сервер для приема внешней электронной почты должен быть выделен в демилитаризованную зону.
  1. Подсистема обнаружения атак

В целях контроля и оперативного реагирования на выполнение несанкционированных операций в сегменте сопряжения и серверных сегментах ЛВС рекомендуется внедрить систему IDS\IPS. Подсистема обнаружения атак (ПОА) предназначена для своевременного обнаружения атак на узлы сети.

В состав подсистемы входят:

  • сервер управления подсистемой;
  • сетевой и серверные сенсоры обнаружения атак;
  • телекоммуникационное оборудование.
    Сервер управления подсистемой выполняет следующие функции:
  • централизованное управление сенсорами обнаружения атак;
  • централизованное обновление баз данных сигнатур;
  • централизованное получение данных с сенсоров обнаружения атак;
  • хранение зафиксированных событий за определенный промежуток времени.
    Сенсоры обнаружения атак выполняют следующие функции:
  • обнаружение враждебной деятельности и распознавание атак на узлы сети;
  • обработка сетевого трафика на основе заданной политики и имеющейся базы данных сигнатур атак;
  • захват сетевого трафика.
    Телекоммуникационное оборудование выполняет роль «агента», который передает необходимый сетевой трафик на сенсор. При этом используется технология SPAN (Switch Port Analyzer), которая позволяет передать на сенсор копию сетевого трафика необходимого сегмента сети.
  1. Подсистема управления информационной безопасностью, централизованного мониторинга и аудита событий

Для организации мониторинга, определения и своевременного реагирования на угрозы ИБ рекомендуется внедрение подсистемы управления ИБ, централизованного мониторинга и аудита событий ИБ.

В состав подсистемы входят:

  • ПАК мониторинга и аудита;
  • ПАК управления подсистемой мониторинга и аудита.
    ПАК мониторинга и аудита выполняет следующие функции:
  • сбор событий безопасности с сетевых устройств и агентов (с помощью технологии NetFlow).
    ПАК управления подсистемой мониторинга и аудита выполняет следующие основные функции:
  • управление ПАК мониторинга и аудита;
  • интеграцию собранных с ПАК мониторинга и аудита данных о событиях безопасности;
  • оперативное оповещение об инцидентах безопасности;
  • генерацию сводных отчётов с рекомендациями по управлению ИБ.
  1. Подсистема защиты каналов передачи данных

В целях обеспечения защиты передаваемых данных рекомендуется организовать соединения VPN, что позволит значительно увеличить безопасность существующих внешних информационных потоков для внешних организаций. В дальнейшем подсистема может также послужить основой для организации защищенного мобильного доступа сотрудников.

В состав подсистемы входят:

  • маршрутизатор с функциями шлюза VPN;
  • программные агенты VPN, установленные на АРМ удалённых пользователей.
    Маршрутизатор с функциями шлюза VPN выполняет следующие основные функции:
  • поддержку межсетевого взаимодействия с удалёнными подразделениями;
  • защиту транзитного трафика между удалёнными пользователями и узлами сети;
  • защиту трафика самого маршрутизатора;
  • пакетную фильтрацию трафика.
    Программные агенты VPN выполняют следующие функции:
  • защиту транзитного трафика между удалёнными пользователями и узлами сети;
  • пакетную фильтрацию трафика.
  1. Подсистема идентификации и аутентификации пользователей

Для централизации управления аутентификационной информацией, а также для обеспечения соответствия АС требованиям нормативных документов РФ, рекомендуется внедрять подсистему идентификации и аутентификации пользователей.

  • индивидуальную идентификацию и аутентификацию пользователей при доступе к информационным ресурсам;
  • поддержку различных методов аутентификации, в т.ч. предлагаемый метод с использованием сертификатов открытых ключей;
  • возможность использования различных электронных ключевых носителей (eToken), в т.ч. предлагаемых на пластиковых смарт-картах;
  • использование компонент подсистемы для организации подсистемы защищённой электронной почты;
  • возможность оперативного контроля за процессом предоставления доступа ко всем важным приложениям и ресурсам организации
  • эффективное управление правами доступа и идентификацией пользователей информационных систем;
  • применение пользователями одного пароля для идентификации для многих приложений и ресурсов;
  • ведение статистики использования информационных ресурсов, подготовка отчетов, проведение аудитов.
    В состав подсистемы должны входить:
  • Сервер Удостоверяющего Центра;
  • Сервер публичного каталога LDAP;
  • Сервер управления средствами идентификации;
  • Сервер хранилища информации о пользователях;
  • ПО защищённого доступа;
  • Смарт-карты и считыватели на АРМ пользователей.
    Сервер Удостоверяющего Центра (УЦ) должен обеспечивать:
  • единую систему управления ключевой информацией и соответствующими цифровыми сертификатами;
  • использование функций шифрования и ЭЦП, на основе цифровых сертификатов X.509;
  • проверка подлинности и актуальности сертификата со стороны клиента. Цифровые сертификаты, выпускаемые УЦ, могут быть использованы для:
  • реализации функций шифрования, ЭЦП в подсистеме защищённой электронной почты;
  • обеспечения однократной аутентификации при доступе к домену Windows;
  • аутентификации компонент VPN-инфраструктуры.
    Сервер публичного каталога LDAP должен обеспечивать хранение открытых ключей сертификатов и списков отозванных сертификатов и поддерживает публичный доступ к ним.
    Сервер управления средствами идентификации должен позволять с минимальными затратами времени и средств выполнять основные задания по комплексному управлению USB-ключами и смарт-картами, в том числе:
  • создавать, импортировать, экспортировать, редактировать учётные записи пользователей;
  • назначать пользователям смарт-карты и USB-ключи;
  • записывать в памяти этих устройств сертификаты открытого ключа и закрытые ключи;
  • печатать фотографию, имя пользователя, штрих-код и другую информацию на комбинированных картах;
  • регистрировать имплантированные в карты радио-метки (RFID);
  • обновлять, отзывать сертификаты;
  • разблокировать устройства;
  • управлять полномочиями пользователей.
    Сервер хранилища информации о пользователях должен обеспечивать:
  • масштабируемое и высокодоступное за счет репликации хранилище информации о пользователях, основанное на стандартах LDAP;
  • единую точку проверки прав доступа для всех сетевых приложений заказчика;
  • управление всем жизненным циклом информации о пользователях (заведение, изменение и удаление) из единой точки, доступной уполномоченным администраторам через браузер;
  • средства автоматической синхронизации информации о пользователях между реестрами различных приложений и операционных систем;
  • средства делегирования полномочий по администрированию пользователей на уровень департамента, отдела и т.д.;
  • средства синхронизации паролей между различными приложениями и автоматического восстановления пароля в случае его утери пользователем;
  • средства создания отчетов и аудита политики безопасности в реальном масштабе времени;
  • средства интеграции с другими системами безопасности, например, с системами контроля за доступом в здание.
    Для реализации защищённого входа в сеть должно применяться ПО защищённого доступа, обеспечивающее:
  • аутентификацию пользователей на компьютере и в сети Windows с помощью USB-ключей или смарт-карт;
  • использование регистрационных имён и паролей для локального входа в систему или для входа в домен;
  • использование цифровых сертификатов Х.509, сертификатов пользователя со смарт-картой и закрытых ключей для входа в домен;
  • генерирование и последующее применение случайных паролей, неизвестных пользователю;
  • возможности однофакторной и двухфакторной аутентификации.
    Смарт-карты обеспечивают единое хранилище сертификатов сотрудников для доступа к АРМ и ресурсам ЛВС, для защиты электронных документов (ЭЦП, шифрование), для установления защищенных соединений (VPN, SSL). Смарт-карты могут также служить для визуальной идентификации сотрудника и для обеспечения доступа сотрудника в помещения.
  1. Подсистема регистрации и учета.

Должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.

Должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию.

Должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.

Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.

Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей.

Должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).

Учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема).

Должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

  1. Подсистема обеспечения целостности.

Должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды.

Должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время.

Должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД.

Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.

  1. Подсистема защиты информации в ЛВС филиалов и дочерних Обществ

Учитывая то, что ЛВС филиалов и дочерних Обществ газотранспортного предприятия в большинстве случаев подключены к РСПД предприятия, необходимо определить общие требования к системе ИБ филиала:

  • ЛВС филиала должна подключаться к РСПД через систему межсетевого экранирования;
  • системы защиты информации прикладных информационных систем, функционирующих в филиале, должны работать под управлением единого сервера безопасности филиала;
  • элементы АСУ ТП, функционирующие в филиале для обеспечения надежной передачи технологической информации должны иметь несколько резервных каналов связи;
  • система ЗИ от НСД филиала должна соответствовать требования по классу защищенности 1Г в соответствии с методическими документами Гостехкомиссии России.
  • создание комплексной системы информационной безопасности газотранспортного предприятия является актуальной задачей;
  • особенностью информационно-управляющей системы газотранспортного предприятия является наличие в ее составе АСУ ТП и ИУС ПХД;
  • организационно-распорядительная составляющая КСЗИ газотранспортного предприятия должна строиться по трехуровневой схеме и соответствовать требованиям федеральной законодательной базе по защите информации и отраслевым требованиям ОАО «Газпром»;

Техническая составляющая должна включать следующие подсистемы:

  • подсистему антивирусной защиты;
  • подсистему резервного копирования и архивирования;
  • подсистему защиты электронной почты;
  • подсистемы обнаружения атак;
  • подсистемы управления информационной безопасности, централизованного мониторинга и аудита событий ИБ;
  • подсистемы защиты каналов передачи данных;
  • подсистемы управления доступом (идентификации и аутентификации пользователей);
  • подсистему регистрации и учета;
  • подсистему обеспечения целостности;
  • подсистему защиты информации в ЛВС филиалов и дочерних Обществ.

Другие публикации:

  • Про блондинку и адвоката Анекдоты про блондинок Блондинка:- Не бывает людей умных и красивых одновременно. Блин - получается, что я не существую?! Блондинка - подруге: - А я вчера на пляже вообще обалдела. Подходит ко мне парень, протягивает деньги. Ну, деньги я взяла, а парень мне […]
  • Приказ ртн 656 Учебно-инжиниринговый центр, Челябинск (351) 265-73-50 | Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. Постановление Правительства РФ № 460 от 5 мая 2012 г. Новости Нoрмативные документы […]
  • Перерасчет пенсии для военных пенсионеров Повышение пенсии военным пенсионерам в 2019 году — последние новости об индексации Бывшие военнослужащие представляют собой особую категорию граждан, претендующих на пенсионные выплаты. Служебный долг этих людей предусматривает постоянный риск жизни и […]
  • Город мончегорск нотариус Нотариусы Мончегорск +7 (499) 703-35-33 доб. 792 – Москва и МО Ниже представлен список нотариусов в выбранной категории. Чтобы посмотреть подробную информацию по конкретному нотариусу, кликните по ФИО нотариуса. Нотариус Лапшина Надежда Анатольевна Телефон: […]
  • Пьяный помощник прокурора в миассе Помощник прокурора устроил пьяную драку в магазине Челябинской области. «Бил посетителей при полицейских». ФОТО В Миассе полиция задержала помощника прокурора, устроившего дебош под утро в магазине. Продавцу пришлось вызывать вневедомственную охрану, чтобы […]
  • Заявление на изменение фамилии в водительском удостоверении Нужно ли менять водительское удостоверение при смене фамилии? Какие документы необходимы Рад приветствовать представительниц прекрасного пола на страницах сайта. Данная статья посвящена нашим прекрасным женщинам (хотя есть мужчины, которые тоже меняют […]

Вам также может понравиться