Конспект лекций для студентов специальности 154 01 01 Метрология, стандартизация и сертификация

- анализа полученных данных, создание моделей угроз и нарушителей информационной безопасности;
- выявления рисков информационной безопасности;
- оценки рисков;
- разработки рекомендаций по минимизации существующих рисков.
Оценка рисков включает в себя мероприятия по определению того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Риск оценивается вероятностью причинения ущерба и величиной ущерба, наносимого организации в случае осуществления угрозы безопасности.
Процедура оценки рисков информационной безопасности включает в се­
бя ряд последовательных операций:
• настройка методологии оценки под конкретную организацию;
• выбор шкалы оценки рисков;
• оценка стоимости информационных активов, вероятности угроз и ве­
личины уязвимостей;
• определение допустимого уровня остаточных рисков;
• оценивание рисков и документирование результатов оценки;
• разработка реестра информационных рисков;
• принятие решений по обработке рисков (управление рисками);
• согласование и подготовка отчета.
В настоящее время для работ по оценке рисков информационной без­
опасности и внедрению процессов управления рисками в организации разрабо­
таны разнообразные программные продукты, участие в которых принимают разработчики стандартов ISO/IEC серии 27000.
В стандарте ISO/IEC 27001 в п. 6.1.2 даны рекомендации по оценке рис­
ков информационной безопасности, а в п. 6.1.3 рекомендации по обработке рисков информационной безопасности и выборе средств управления. В прило­
жении к стандарту установлен перечень задач управления рисками информаци­
онной безопасности и соответствующих средств, для их реализации.
Примеры рисков информационной безопасности:
Риски утечки конфиденциальной информации: утечка информации из се­
ти по каналам связи (e-mail, web, chat и др.); утечка информации на мобильных устройствах, носителях информации, ноутбуках; прослушивание внешних ка­
налов связи злоумышленниками; перехват информации на линиях связи путем использования различных видов анализаторов сетевого трафика; перехват поль­
зовательских паролей, передаваемых по каналам связей; замена, вставка, уда­
ление или изменение данных пользователей в информационном потоке.
46
Витебск ий государственный технологическ ий университет

Риски утечки информации по техническим каналам: побочные электро­
магнитные излучения от технических средств и линий передачи информации; радиоизлучение, возникающее при работе различных генераторов, входящих в состав технических средств; радиоизлучения, обусловленные воздействием на технические средства высокочастотных сигналов, создаваемых с помощью раз­
ведывательной аппаратуры; акустические излучения информативного речевого сигнала, обусловленные функционированием технических средств обработки информации; просмотр информации с экранов дисплеев с помощью оптических средств; вибрационные сигналы, возникающие посредством преобразования акустического сигнала.
Риски несанкционированного доступа: присвоение идентификатора поль­
зователя; использование чужих идентификаторов; доступ к ресурсам компании со стороны внешних злоумышленников; доступ к беспроводной сети компании; доступ к резервным копиям данных; внедрение вирусов; логические бомбы, пе­
ресылаемые по e-mail.
Риски физического характера: несанкционированный доступ в помеще­
ния организации, к серверам, к оборудованию, запоминающим устройствам, бумажным документам, носителям информации; кража или повреждение ком­
пьютерного оборудования и носителей информации инсайдерами или внешни­
ми злоумышленниками; физический доступ к комплексу средств защиты с це­
лью переконфигурирования или создания возможности обхода средств защиты.
Риски антропогенных и природных катастроф: взрыв, терроризм, заба­
стовка; затопление, пожар, ураган, землетрясение, молния.
Юридические риски: нарушение прав интеллектуальной собственности; нелегальное использование программного обеспечения; нарушение законода­
тельства и нормативной базы; нелегальный импорт/экспорт программного обеспечения; невыполнение контрактных обязательств.
Рекомендуемые информационные источники
1. ISO/IEC 27000-2014 Информационные технологии. Системы менедж­
мента информационной безопасности. Общие сведения и словарь (редакция
2014-01-15) - [Электронный ресурс], режим доступа : iso-management.com
2. СТБ ISO/IEC 27001-2016. Информационные технологии. Методы обес­
печения безопасности. Системы менеджмента информационной безопасности.
Требования. - Взамен СТБ ISO/IEC 27001-2011; введ. 01.10.2016. - Минск :
Госстандарт, 2016. - 28 с.
47
Витебск ий государственный технологическ ий университет

3. Дорофеев, А. В. Менеджмент информационной безопасности: основ­
ные концепции / А. В. Дорофеев, А. С. Марков // журнал «Вопросы кибербез­
опасности». - 2014. - № 1. - С. 67-73.
4. Анисимов, А. А. Менеджмент в сфере информационной безопасности -
Электрон. текстовые данные - Москва : Интернет-Университет Информацион­
ных Технологий (ИНТУИТ), 2016. - 212 с. - [Электронный ресурс], режим до­
ступа : iprbookshop.ru
5. Лившиц, И.
И.
Менеджмент информационной безопасности /
И. И. Лифшиц // журнал «Стандарты и качество». - 2017. - № 9. - С. 48-82.
48
Витебск ий государственный технологическ ий университет

5 СИСТЕМЫ ЭНЕРГЕТИЧЕКОГО
МЕНЕДЖМЕНТА
ISO 50001
5.1 Энергетический менеджмент: задачи и функции
Согласно данным Международной финансовой корпорации IFC, руково­
дители современных промышленных предприятий недооценивают потенциал энергосбережения, отмечая, что его значение может быть максимум 10 %. Од­
нако, практика реального сектора промышленности приводит совершенно дру­
гие цифры - в среднем от 20 до 35 %. Опыт зарубежных промышленных ком­
паний, своевременно внедривших основные инструменты энергосбережения, показывает, что снижение затрат на топливно-энергетические ресурсы (ТЭР) составляет не менее 30 %, а в некоторых случаях до 40 %. Эксперты отмечают, что актуальность энергосбережения в будущем будет приобретать все более масштабный характер с связи с постоянным ростом потребления ТЭР.
Повышение энергетической эффективности экономики требует реализа­
ции новых управленческих решений и механизмов. В условиях постоянно рас­
тущих цен на ТЭР актуальность приобретает энергетический менеджмент
(ЭнМ).
Энергетический менедж мент - это постоянно действующая система управления энергопотреблением, позволяющая значительно оптимизировать объёмы энергозатрат, прогнозировать и контролировать процессы выработки, транспортировки и использования необходимого количества энергоресурсов для обеспечения хозяйственной деятельности объектов.
Основная задача энергетического менеджмента - стимулирование про­
цесса рационального использования энергии на всех этапах получения, преоб­
разования и распределения энергии.
Основные пути решение этой задачи:
• максимальное стимулирование по использованию возобновляемых ис­
точников энергии;
• внедрение эффективных технологий производства, распределения и потребления энергии;
49
Витебск ий государственный технологическ ий университет

• внедрение инновационного оборудования, обеспечивающего снижение удельного расхода топлива, тепловой и электрической энергии;
• технологическая модернизация основных производственных фондов;
• расширение процесса использования вторичных ТЭР и др.
На практике энергетический менеджмент рассматривается на макро- и микро- уровнях. Энергоменеджмент макроуровня отражает управление рацио­
нальным употреблением ТЭР от межгосударственного до отраслевого уровня.
Энергоменеджмент микроуровня определяет управление на уровне орга­
низации или предприятия. Каждому из уровней соответствуют свои цели:
Межгосударственный ЭнМ - рациональное использование общих миро­
вых ресурсов, поиск инновационных источников энергии при условии сохране­
ния окружающей среды.
Внутригосударственный ЭнМ - энергетическая безопасность и независи­
мость страны, переход к энергоэффективной экономике.
Отраслевой ЭнМ - повышение производительности промышленных предприятий отрасли при условии неизменного потребления ТЭР.
ЭнМ промышленного предприятия - снижение удельных энергетических затрат в общей структуре издержек (доля затрат на энергоресурсы в себестои­
мости конечного продукта для разных отраслей составляет от 7 % до 40 %).
Функции энергетического менеджмента:
- взаимоотношения с компаниями-производителями электрической и тепловой энергии, а также с энергосбытовыми компаниями;
- анализ и контроль информации об энергопотреблении как в целом по предприятию, так и по отдельным его подразделениям;
- подготовка, реализация и контроль перспективных энергосберегающих проектов;
- взаимодействие руководства кампании с основными сотрудниками по вопросам энергопотребления и энергосбережения.
Система энергетического менеджмента (СЭнМ) представляет собой комплекс взаимосвязанных и взаимодействующих элементов, основанных на энергетической политике, целях, процессах и процедурах, позволяющих дости­
гать целей (ISO 50001-2011).
СЭнМ позволяет руководству предприятий принимать оперативные управленческие решения, направленные на обследование (энергоаудит) и по­
требление минимально необходимого количества ТЭР.
Основные условия внедрения системы энергетического менеджмента:
50
Витебск ий государственный технологическ ий университет

• наличие стратегии, предусматривающей выполнение необходимых из­
мерений, управленческих действий и ведения документации для непрерывного улучшения энергоэффективности;
• наличие подразделения, руководитель которого подчиняется непосред­
ственно руководству и несет ответственность за выполнение стратегического плана;
• наличие методик и требований относительно покупки и потребления энергоресурсов;
• наличие проектов, способных продемонстрировать непрерывное улуч­
шение энергоэффективности;
• создание Руководства энергоэффективности, как постоянно обновляе­
мого документа, который наряду с описанием процессов СЭнМ предполагал бы осуществление дополнительных проектов в области энергосбережения;
• идентификация ключевых индикаторов энергоэффективности (целевых показателей), измерение которых позволит управлять процессом повышения энергетической эффективности;
• периодическая отчетность о прогрессе, основанном на выполнении це­
левых показателей.
5.2 Стандарты ISO серии 50000
За последнее десятилетие во многих странах были приняты националь­
ные страндарты в области энергоменеджмента (Дания, Ирландия, Швеция,
США, Испания, Франция, Китай, Австралия и другие). В Республике Беларусь с 2009 года введён СТБ 1777-2009 «Системы управления энегосбережением».
Активное развитие национальной стандартизации в области энергоме­
неджмента привело к необходимости гармонизации требований на междуна­
родном уровне. В 2008 году в рамках ISO был создан новый технический коми­
тет ISO ТС 242 «Энергоменеджмент», который в 2011 году утвердил стандарт
ISO 50001:2011 «Системы энергетического менеджмента. Требования и руко­
водство по применению».
Стандарт ISO 50001 устанавливает требования к созданию, реализации, поддержанию и улучшению СЭнМ, которая позволяет организации применять системный подход для обеспечения непрерывного улучшения энергетической эффективности. При этом стандарт не содержит абсолютных требований к энергетической результативности, выходящих за рамки энергетической поли­
51
Витебск ий государственный технологическ ий университет

тики организации и ее обязательств по выполнению соответствующих законо­
дательных и других требований. Применение стандарта может быть адаптиро­
вано к особенностям организации с учетом сложности системы, количества ре­
сурсов, документов и т. д.
В основу модели СЭнМ положена концепция PDCA, которая означает:
•
P - проведение энергетического анализа и определение базовых кри­
териев показателей энергетической результативности, постановка целей, задач, разработка мероприятий по улучшению энергетической результативности в со­
ответствии с энергетической политикой;
•
D - внедрение планов мероприятий в области энергетического ме­
неджмента;
•
C - мониторинг и измерение процессов, определяющих энергетиче­
скую результативность в отношении реализации энергополитики и достижения энергоцелей.
•
A - принятие действий по постоянному улучшению СЭнМ.
Стандарт ISO 50001 применим для любой организации, которая желает продемонстрировать соответствие энергополитике как путем самооценки и де­
кларирования соответствия, так и путем сертификации третьей стороной.
Энергополитика - декларация общих намерений и направлений деятель­
ности организации, связанных с уровнем энергоэффективности, официально выраженная высшим руководством.
Энергоцель - заданный результат или набор достижений, согласованных с энергополитикой, и предназначенных для улучшения уровня энергоэффек­
тивности.
Уровень энергоэффективности - измеримые результаты, связанные с энергоэффективностью, характером использования энергии и количеством по­
требляемой энергии (относительно энергополитики, целей и других требований
СЭнМ).
Энергоэффективность - отношение или другая количественная зависи­
мость между выходным значением результата деятельности (услуг, продукции или энергии) и входным значением энергии.
Энергозадача - детальное и измеримое требование к уровню энергоэф­
фективности, принимаемое организацией в целом или её отдельным подразде­
лением, которая вытекает из энергоцели и должна быть выполнена, чтобы до­
стигнуть этой цели.
В соответствии с требованиями стандарта ISO 50001 организация должна:
- создать, задокументировать, внедрить, поддерживать и улучшать
СЭнМ;
52
Витебск ий государственный технологическ ий университет

- становить и задокументировать область применения и границы своей системы;
- разработать энергополитику;
- разработать энергоцели и энергозадачи в соответствии с энергополити­
кой;
- измерять результаты и анализировать данные для более полного пони­
мания как лучше использовать ТЭР;
- определить, каким образом будут выполняться требования по обеспе­
чению непрерывного улучшения энергетической результативности СЭнМ.
Энергетическая результативность - это измеримые результаты, отно­
сящиеся к энергетической эффективности, способам или видам энергопотреб­
ления и потреблению энергии.
Стандарт ISO 50001:2011 «Системы энергетического менеджмента. Тре­
бования и руководство по применению» является основным стандартом серии
50000 и имеет высокую степень совместимости с ISO 9001 и ISO 14001.
Основой стандарта ISO 50001:2011 стали национальные стандарты евро­
пейского союза EN 16001:2009, американский стандарт ANSI/MSE 2000:2008, корейский KS A 4000:2007.
В 2013-2014 гг. ISO были разработаны следующие стандарты серии ISO
50000:
- ISO 50002:2014 «Системы энергетического менеджмента. Энергетиче­
ский аудит»;
- ISO 50003:2014 «Системы энергетического менеджмента. Аудиты си­
стем энергоменеджмента и компетентность аудиторов»;
- ISO 50004:2014 «Системы энергетического менеджмента. Руководство по внедрению, поддержанию и улучшению системы»;
- ISO 50006:2014 «Системы энергетического менеджмента. Базовое ис­
пользование энергии и показатели энергоэффективности»;
- ISO 50015:2014 «Системы энергетического менеджмента. Мониторинг, измерение, анализ и верификация уровня энергоэффективности».
В нашей стране принят и действует СТБ ISO 50001-2013 «Системы энер­
гетического менеджмента. Требования и руководство по применению».
Основные ожидания от внедрения стандарта ISO 50001:2011:
- сокращение выбросов парниковых газов и других вредных воздействий на окружающую среду путем систематического управления энергоресурсами;
- обеспечение непрерывного улучшения энергетической результативно­
сти организаций;
- снижение затрат на энергоресурсы;
53
Витебск ий государственный технологическ ий университет

- управление энергопотреблением на всех этапах жизненного цикла, включая закупки;
- достижение максимальной эффективности использования ресурсов при существующем техническом уровне организации;
- демонстрация социальной ответственности;
- повышение конкурентоспособности организаций и обеспечение непре­
рывности и устойчивости их бизнеса.