Как правило, государственное регулирование тех или иных областей касается обеспечения безопасности граждан (собственно, такова основная функция государства). По этой причине все законодательные акты, обязательные для исполнения, направлены на противодействие угрозам аварий, которые могут повлечь за собой человеческие жертвы или нарушить обороноспособность страны, т. е. угрожают жизнедеятельности людей и сохранению государственности. Государство не вмешивается в такие тонкие материи, как повышение эффективности труда, улучшение качества продукции, рост прибыльности того или иного бизнеса. Имеющиеся нормативные акты в этих областях, как правило, носят рекомендательный характер или отдаются на откуп в министерства (отраслевые стандарты, нормы и правила) и саморегулирующиеся организации (нормативные документы СРО). Нормы обязательности исполнения таких требований сохраняются только в пределах определенной отрасли или СРО.
С учётом вышеприведенных оговорок безопасность технологических процессов в нормативных актах государственного или отраслевого значения рассматривается исключительно с точки зрения безопасности промышленной, т. е. охраны труда и соблюдения норм техники безопасности при проведении работ и эксплуатации технических средств.
Следует понять, что в отличие от сферы защиты информации ограниченного доступа, осознание заказчиком необходимости обеспечения безопасности АСУ ТП лежит не в области соблюдения требований государственных регулирующих органов, а в области повышения эффективности и маржинальности производства.
Нормативная база защиты технологических процессов
В документах Роскомнадзора используются термины «требования к безопасности технологических процессов» (приказ Ростехнадзора от 22.11.2013 № 563 «Об утверждении федеральных норм и правил в области промышленной безопасности „Правила безопасности грузовых подвесных канатных дорог“»); «требования безопасности к технологическим процессам» (ПОТ РО-13153-ЦШ-877-02. Отраслевые правила по охране труда при техническом обслуживании и ремонте устройств сигнализации, централизации и блокировки на федеральном железнодорожном транспорте, утверждённые МПС РФ 19.02.2002, или постановление Госгортехнадзора РФ от 27.05.2003 № 41 «Об утверждении Правил промышленной безопасности резиновых производств»); «безопасность ведения технологических процессов» (приказ Ростехнадзора от 11.03.2013 № 96 «Об утверждении федеральных норм и правил в области промышленной безопасности «Общие правила взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств») и т. п.; причём используются они исключительно в области охраны труда и соблюдения техники безопасности при проведении работ. Аналогичную ситуацию можно наблюдать относительно термина «соблюдение (или контроль) технологической дисциплины».
Какие-либо требования со стороны государства, как правило, сопровождаются указанием на должностное лицо, с которого в конечном итоге будут спрашивать за их неисполнение. Помимо очевидного «руководителя организации», который является публичным физическим лицом, представляющим предприятие, и соответственно несет всю полноту ответственности за его деятельность или бездействие в целом, в большинстве регулируемых областей указывается и должностное лицо, ответственное за организацию выполнения устанавливаемых требований. Например, за нарушения в области бухгалтерского и налогового учета, из-за которых бюджет недополучил своей копеечки от деятельности организации, отвечать перед государством будет не только руководитель, но и главный бухгалтер. В рамках рассматриваемого вопроса нормативными актами определено, что понятия «безопасность технологических процессов» и «контроль технологической дисциплины» лежат в сфере ответственности Главного инженера предприятия. Это подтверждается положениями «Квалификационного справочника должностей руководителей, специалистов и других служащих» (утверждён постановлением Минтруда России от 21.08.1998 № 37), в том числе в разделах квалификационных характеристик должностей в разного рода опасных производствах (приказы Минздравсоцразвития России от 10.12.2009 № 977, от 10.04.2012 № 328н, от 23.04.2008 № 188 и др.).
Непосредственное исполнение мероприятий по контролю технологической дисциплины и техническому контролю качества выпускаемой продукции возлагается на работников технологических служб. Постановлением Минтруда РФ от 21.04.1993 № 86 «Об утверждении укрупненных норм времени на разработку технологической документации» определено, что на планирование и выполнение контрольных процедур для простейшего технологического процесса, в котором задействовано всего два или даже одно рабочее место, уже требуется как минимум два нормо-часа, а только на разработку методов технического контроля и испытания качества при массовом производстве (т. е. уже при изготовлении свыше тысячи единиц продукции) понадобится более недели рабочего времени. В современных условиях, когда конкурентная борьба диктует необходимость внесения изменений в выпускаемую продукцию за минимальные сроки, такие цифры совершенно неприемлемы.
Необходима автоматизация
Руководитель предприятия оказывается в непростом положении, когда из-за снижения качества продукции и простоя оборудования вследствие постоянно возникающих аварийных ситуаций либо из-за чрезмерно больших сроков перестройки технологических процессов и внедрения методов их контроля компания может утратить конкурентные преимущества.
Решить эти проблемы помогает автоматизация управления производственными и технологическими процессами, под которой в данном случае следует понимать внедрение широкого набора инструментов — от систем управления предприятием (ERP) и производством (MES, АСУП) до систем автоматизации отдельных производств (АСУ ТП) или даже отдельных операций (станок с ЧПУ).
К сожалению, в большинстве случаев возможности, предоставляемые АСУ ТП, используются в первую очередь для снижения сроков внесения изменений в производимую продукцию. Мероприятия по переключению процедур контроля её качества и соблюдению технологии на всех этапах производства катастрофически запаздывают. Довольно часто буквально через один-два месяца после поступления в продажу первых партий тех или иных продуктов выпускаются их новые версии, в которых изначально заявленные характеристики не просто декларируются, но реально обеспечиваются. Между тем первые версии оказывают весьма негативное влияние на потребительское доверие к торговой марке.
Под контролем государства
Государство тоже не остается в стороне от оценки новых рисков, связанных с внедрением средств автоматизации управления производством, особенно на объектах, имеющих критическую важность для сохранения основной государственной функции — обеспечения безопасности граждан. В «Основных направлениях государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012, № 803) определен термин «безопасность автоматизированной системы управления критически важным объектом (КВО)» как такое «состояние автоматизированной системы управления КВО, при котором обеспечивается соблюдение проектных пределов значений параметров выполнения ею целевых функций (штатный режим функционирования) при проведении в отношении ее компьютерных атак». Разумеется, государство в первую очередь озабочено защитой от целенаправленного вредоносного воздействия на КВО, справедливо полагая, что задачи обеспечения выпуска заданного количества продукции заданного качества и в заданный срок будут решаться руководителями предприятий без напоминания с его стороны.
В тех случаях, когда государство выступает в роли потребителя какой-либо продукции и вопросы ее качества и соблюдения сроков производства начинают влиять на основную государственную функцию, в дело вступают нормы «добровольной» сертификации в области управления качеством. Добровольность этой процедуры заключается в том, что никто не заставляет ту или иную организацию предлагать свою продукцию государственным заказчикам, но если такое желание возникло, то извольте внедрить у себя процедуры системы менеджмента качества (СМК) и подтвердить их должное исполнение результатами соответствующих сертификационных испытаний. Сертификат СМК может входить в состав технической документации на изделие при выполнении требования обязательности подтверждения его соответствия в форме декларирования (федеральный закон от 27.12.2002 №
Стандарты СМК (ГОСТ Р ИСО
Таким образом, деятельность по обеспечению основных свойств производственного и технологического процессов, то есть по соблюдению сроков, качества и объема производимой продукции, осуществлялась и раньше, но с увеличением требований к гибкости производственных процессов и неизбежной автоматизацией управления производственными и технологическими процессами эта задача существенно усложнилась. Необходимость соблюдения технологической дисциплины на производстве никуда не делась, выполнение этого требования по-прежнему влияет на качество и своевременность выпуска продукции, но перечень процессов, входящих в систему менеджмента качества, значительно расширился.
Следует отметить, что с расширением списка задач, которые должны решаться в рамках обеспечения качества и своевременности выпуска продукции в условиях все большего проникновения в производственные процессы средств автоматизации управления, уровень качества автоматизации деятельности технологической службы и ОТК не повысился. Безусловно, технологическая точность контрольно-измерительного оборудования, находящегося на вооружении работников этих служб, стала гораздо выше, но автоматизация диагностики и принятия решений осталась практически на прежнем уровне. Текущий уровень автоматизации деятельности служб, отвечающих за сохранение смысла функционирования всего производства в целом, ограничивается реагированием на негативное воздействие уже после того, как оно привело к нарушению контролируемых параметров продукции, и качественного перехода к применению превентивных мер, нейтрализующих это воздействие до списания некой части продукции в брак, пока не произошло. Тот факт, что новые средства контроля качества позволяют инспектору ОТК выявить даже самое ничтожное отклонение от нормы, никак не помогает увеличить прибыль от выпуска большего объема высококачественной продукции и снизить количество впустую потраченных ресурсов на изготовление забракованных изделий. Решение этой проблемы целиком и полностью возложено на плечи руководителей предприятий, так как регулирующая роль государства ограничивается требованиями к технологической точности контрольно-измерительного оборудования. Например, приказ Ростехнадзора от 29.03.2016 № 125 «Об утверждении федеральных норм и правил в области промышленной безопасности „Правила безопасности нефтегазоперерабатывающих производств“» гласит, что «...метрологические характеристики систем, приборов, устройств автоматизации и телемеханизации не должны быть ниже значений, указанных в проектной и технической документации». Требования государственных регуляторов предполагают также, что в системе управления наряду с функциями управления производством должны быть и функции защиты самой АСУ ТП. Например, в приказе Ростехнадзора от 26.12.2014 № 615 «Об утверждении федеральных норм и правил в области промышленной безопасности „Требования к безопасному ведению технологических процессов нитрования“» сказано, что «...АСУ ТП должны обеспечивать стабильность технологического процесса с помощью автоматизированного контроля технологических параметров, визуализации процесса и выдачи управляющих воздействий на исполнительные механизмы как в автоматическом режиме, так и в результате действий оператора», а также «должна быть обеспечена надежная защита АСУ ТП от несанкционированного доступа и от разрушения или остановки работы программного обеспечения в результате некорректных действий оператора». Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» устанавливает требования к защите АСУ ТП, где уровень такой защиты опять же определяется в соответствии с масштабом чрезвычайной ситуации, которая может возникнуть в случае, если нарушен штатный режим работы системы управления, и сопряжён с затратами на устранение ее последствий, но не со стоимостью ресурсов предприятия, списанных на производство брака.
***
Подводя итог, можно сказать, что государственное регулирование в области безопасности производственных и технологических процессов, включая требования к функциям и защите систем автоматизации управления ими, ограничено вопросами обеспечения безопасности граждан — как непосредственно персонала потенциально опасных производств, так и населения, проживающего в зоне чрезвычайной ситуации, которая может возникнуть в результате аварии на производстве. Вопросы качества и сроков производства продукции могут регулироваться государственными заказчиками через требования к наличию на производстве сертифицированной системы управления качеством. Определение путей и способов решения проблем экономии временных и материальных ресурсов, которые тратятся на производство продукции с нарушением тех или иных параметров (производственного брака), снижения времени перестройки технологических процессов для выпуска новых версий или типов продуктов при сохранении заданного уровня их качества, равно как и решение прочих подобных вопросов, возникающих в условиях конкурентной борьбы (или режима жесткой экономии при выполнении государственных заказов), возложено на самих руководителей предприятий. Те компании, руководство которых сегодня начнет обращать внимание на эти проблемы, завтра получат неоспоримое конкурентное преимущество.
Интеграторам в области защиты информации, которые с выходом в свет