Экспертиза промышленной безопасности здания газовой котельной

Новости

На связи Антон Башарин, технический директор Swordfish Security. После некоторого перерыва мы продолжаем наш цикл статей, рассказывающий о процессах безопасной разработки в контексте стандартов серии ГОСТ Р ИСО/МЭК 15408.

В этом, финальном, материале данной серии мы посмотрим на обозначенный вопрос с точки зрения оценщика, который проводит сертификацию, проверки на наличие уязвимостей и соответствие стандартам безопасности, а также наметим будущие изменения в практиках и подходах.

По традиции, в подготовке статьи нам помогал независимый эксперт и специалист по информационной безопасности Рустам Гусейнов.

Введение

С момента публикации второго материала (июль 2021 года) кое-что успело измениться. А если говорить конкретно:

  • Несколько стандартов были обновлены.
  • Появились новые требования и понимание опыта разработки за последние полгода.

Но есть и то, что осталось без изменений. В частности, по-прежнему отсутствует четкая обратная связь от регулятора в лице Банка России по степени детализации работ, совершаемых как на стороне разработчика, так и на стороне оценщика. Также всё еще актуально Информационное письмо Банка России от 8 июля 2020 г. N ИН-014-56/110 Об анализе уязвимостей ПО по требованиям к оценочному уровню доверия (ОУД).

Это письмо гласит, что работы проводятся в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013. Еще в нем рекомендуется применять методический документ Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций.

Таким образом, подходы регулятора остаются стабильными со времен вступления в силу Положения № 382-П и семейства стандартов ГОСТ 57580. Иными словами, специалисты получают обратную связь о качестве, корректности и полноте проведенных ими работ только во время визитов аудиторов Банка России. Шаблонов и примеров документов по-прежнему нет, потому что необходимое уже содержится в стандартах и нормативно-правовых актах.

Читайте также:  Бетонщик 4 разряда обязанности

И лучшее, что остается делать разработчикам и оценщикам в этой ситуации – внимательно изучать стандарты и сопутствующие документы, по возможности сверяться с экспертизой специалистов испытательных лабораторий ФСТЭК России. Они много лет работают в системе ОУД, а в последние годы развивают собственные подходы к уровням доверия и стандартизации требований к типовым средствам защиты.

Напомним, что сертификация ОО в испытательной лаборатории является вторым легитимным способом выполнения требований Банка России к ОУД4. Эта позиция зафиксирована во всех сопутствующих нормативно-правовых актах ЦБ по защите информации (683-П, 719-П, 757-П и ряде других). Значит, консультации с испытательными лабораториями, даже если вы выбрали путь самооценки, помогут получить полезную обратную связь от практиков, которые выполняют аналогичные задачи более десяти лет.

Конец преамбулы. Теперь, основываясь на ней, давайте поговорим о том, что же должны делать оценщики.

## Экспертиза промышленной безопасности здания газовой котельной

Вывод экспертизы промышленной безопасности, как вы знаете, стал однозначным. Теперь забраковать объект ЭПБ проще простого. И на первый план выходит не только соблюдение обязательных требований, но и знание самих этих требований (критериев соответствия) применительно к конкретному объекту экспертизы.

Как понятно из заголовка, первой жертвой станет самый ходовой вариант. Чуть ли не главный клиент (после кранов и сосудов) экспертных организаций всея Российской Федерации (особенно если брать объекты советской и раннероссийской постройки).

Здание газовой котельной, которое зачастую входит в состав наших любимых сетей газопотребления. Оно, как и другие здания (сооружения) на ОПО, предназначенные для осуществления технологических процессов, хранения сырья или продукции, перемещения людей и грузов, локализации и ликвидации последствий аварий, подлежит экспертизе промышленной безопасности. Достаточно заглянуть в часть 1 статьи 13 ФЗ № 116 или в п. 5 ФНП Правила проведения экспертизы промышленной безопасности, утв. приказом Ростехнадзора от 20.10.2020 № 420.

ЭПБ нужна не всем подряд, а в определенных случаях. Например:

К сожалению, оценочные мероприятия не всегда заканчиваются позитивным результатом. Но если раньше можно было использовать вывод ЭПБ не в полной мере, чтобы затереть некоторые огрехи и нарушения, то сейчас эта опция недоступна.

Поэтому самое время начать с начала и вспомнить, что ЭПБ здания состоит из двух частей:

1) Анализ документов. В случае со зданием газовой котельной это могут быть:

2) Обследование (оценка фактического состояния), в ходе которого должно и нужно:

### Критерии соответствия

ФНП и вовсе обходят их стороной. А технический регламент дает два кратких комментария:

Действительно, ФНП ОРПД предлагают несколько интересных требований (критериев соответствия). Например:

В основном это требования к размещению котлов, а также к внутреннему устройству помещений (без особого упоминания строительных конструкций здания).

Из технического регламента о безопасности ЗС мы, например, узнаем, что такое строительная конструкция – часть здания или сооружения, выполняющая определенные несущие, ограждающие и (или) эстетические функции (статья 2, п. 24). И в общих чертах понимаем, что именно будут проверять эксперты в рамках ЭПБ.

А то бывают случаи, когда заказчик экспертизы категорически не согласен с исполнителем – стоит ли считать ту или иную часть здания строительной конструкцией (особенно если по спорному элементу есть замечания).

Это, конечно, здорово, но все-таки теория. Нет цифр, конкретных параметров, методик расчета и т.д. Только общие фразы (как и положено федеральному законодательству).

Анализ документации

(В идеале) обстоятельное и скрупулезное (всегда хотелось употребить это слово) изучение на предмет достаточности, комплектности и соответствия нормативным требованиям.

Кто крайний в очереди?

Конечно же, проект вместе с рабочими чертежами. По структуре и содержанию он должен соответствовать требованиям НПА, по которым был изготовлен.

Если сделан до 2008 года (но уже в России) – СНиП 11-01-95 Инструкция о порядке разработки, согласования, утверждения и составе проектной документации на строительство предприятий, зданий и сооружений, утв. постановлением Минстроя России от 30.06.1995 № 18-64.

Если на современном этапе (после 2008 года), то постановлению Правительства РФ от 16.02.2008 № 87 О составе разделов проектной документации и требованиях к их содержанию (вернее, той редакции документа, которая действовала на момент разработки проекта).

На этом, кстати, муки проекта и рабочих чертежей не закончатся. Эксперты проверят их соответствие требованиям (как минимум):

  • Вот такой вот базис.
  • Разумеется, были и есть ГОСТы, СНиПы, СП (архивные и не очень) по отдельным разделам проекта (в т.ч. рабочим чертежам) – смотрите, например, приказ Росстандарта от 02.04.2020 № 687.
  • Их разные версии тоже могут учесть при анализе проектной документации.

С остальными документами проще. По сути, они просто должны быть (или не быть, но тогда не ровен час получить отрицательное заключение). Понятно, что если не было ремонтов, изменений в конструкции здания, аварий или экспертиз, то никакие бумаги из воздуха доставать не нужно.

А вот остальные документы, зачастую, принципиально важны для законной и безопасной эксплуатации строительного объекта (нашего любимого здания газовой котельной).

Эксперты могут проверить их комплектность и форму на соответствие, например:

Обследование

Шаг масштабный, глобальный и судьбоносный. Ведь результаты обследования, по сути, определяют знак заключения экспертизы.

Почему ГОСТ 31937-2011 так важен?

Потому что он:

Экспертиза технического состояния зданий и сооружений – это важный этап в рассмотрении состояния объекта недвижимости. Экспертиза проводится специалистами с целью определения текущего состояния строительных конструкций и зданий, их надежности и безопасности. В данной статье мы рассмотрим основные аспекты и этапы проведения экспертизы технического состояния зданий.

Методика проведения обследования

Экспертиза технического состояния включает в себя несколько этапов:

  1. Подготовка к проведению обследования: анализ рабочих чертежей, разработка программы работ и т.д.
  2. Предварительное (визуальное) обследование: осмотр здания, выявление дефектов, фотографирование, оценка технического состояния.
  3. Детальное (инструментальное) обследование: измерение параметров, расчеты, исследование причин возможных дефектов.

Критерии оценки технического состояния

В ходе экспертизы используются критерии оценки технического состояния, определенные проектом или нормативными документами. Они характеризуют параметры, такие как деформация, несущая способность и другие характеристики строительных конструкций.

Категории технического состояния

Эксперты выделяют категории технического состояния зданий, которые могут влиять на итоговую положительность или отрицательность заключения экспертизы.

Документы и стандарты

  1. ГОСТ 27751-2014 – Надежность строительных конструкций и оснований.
  2. СП 20.13330.2016 – Нагрузки и воздействия.
  3. СП 70.13330.2012 – Несущие и ограждающие конструкции.
  4. СП 255.1325800.2016 – Здания и сооружения. Правила эксплуатации.

СП 56.13330.2021

Документ устанавливает общие требования к производственным зданиям, включая геометрические параметры, пожарную безопасность и требования к конструкциям.

Проведение экспертизы технического состояния – важный этап в обеспечении безопасности жилых и производственных помещений. Он позволяет выявить возможные дефекты и проблемы, а также определить необходимость ремонтных работ.

  1. СП 303.1325800.2017 «Здания одноэтажные промышленных предприятий. Правила эксплуатации» либо СП 324.1325800.2017 «Здания многоэтажные промышленных предприятий. Правила эксплуатации» – а это уже специальные требования в дополнение к СП 255.1325800.2016, в которых вы найдете:

Сюда же просятся СП 62.13330.2011 «Газораспределительные системы. Актуализированная редакция СНиП 42-01-2002» и СП 89.13330.2016 «Котельные установки. Актуализированная редакция СНиП II-35-76» (мы же все-таки говорим о здании газовой котельной), но в них крайне мало информации о зданиях и сооружениях. А «критерии соответствия» совпадают с теми, что прописаны в Техническом регламенте о безопасности сетей газораспределения и газопотребления, а также ФНП ОРПД.

III. Документы «почти» специальные, которые касаются отдельных строительных мероприятий или элементов строительных конструкций

  1. СП 50.13330.2012 «Тепловая защита зданий. Актуализированная редакция СНиП 23-02-2003» (прежде всего – для ограждающих конструкций), где прописаны:

  2. СП 28.13330.2017 «Защита строительных конструкций от коррозии. Актуализированная редакция СНиП 2.03.11-85», где указаны:

  3. СП 72.13330.2016 «Защита строительных конструкций и сооружений от коррозии. Актуализированная редакция СНиП 3.04.03-85» – это не «клон» предыдущего СП, здесь детально рассматривается вторичная защита (когда первичная не справилась или не реализована).

  4. СП 71.13330.2017 «Изоляционные и отделочные покрытия. Актуализированная редакция СНиП 3.04.01-87», в котором содержатся, например:

IV. «Специальные» документы, которые касаются конкретных типов строительных конструкций (по материалу или функциональному назначению)

  1. СП 63.13330.2018 «Бетонные и железобетонные конструкции. Основные положения. Актуализированная редакция СНиП 52-01-2003».

  2. СП 27.13330.2017 «Бетонные и железобетонные конструкции, предназначенные для работы в условиях воздействия повышенных и высоких температур. Актуализированная редакция СНиП 2.03.04-84» – «special edition» для зданий (газовых) котельных (разумеется, не только для них); здесь и показатели качества бетона (прочность, плотность, водонепроницаемость, термическая стойкость и т.д.), и показатели качества арматуры, и нормативные типы сварных соединений арматуры, и много чего еще.

  3. СП 16.13330.2017 «Стальные конструкции. Актуализированная редакция СНиП II-23-81».

  4. СП 15.13330.2020 «Каменные и армокаменные конструкции. Актуализированная редакция СНиП II-22-81» (кирпичные кладки+).

  5. СП 96.13330.2016 «Армоцементные конструкции. Актуализированная редакция СНиП 2.03.03-85».

  6. СП 97.13330.2016 «Асбестоцементные конструкции. Актуализированная редакция СНиП 2.03.09-85».

  7. СП 64.13330.2017 «Деревянные конструкции. Актуализированная редакция СНиП II-25-80» – здесь много параметров (влажность; сопротивление растяжению, изгибу, сжатию вдоль и поперек волокон, скалыванию; упругость) и предельных состояний (гибкость, огнестойкость и т.д.).

  8. СП 128.13330.2016 «Алюминиевые конструкции. Актуализированная редакция СНиП 2.03.06-85».

  9. СП 22.13330.2016 «Основания зданий и сооружений. Актуализированная редакция СНиП 2.02.01-83» (и фундаменты, разумеется) – здесь особенно ценны «предельно допустимая осадка фундамента» и «предельные деформации основания фундаментов».

  10. СП 45.13330.2017 «Земляные сооружения, основания и фундаменты. Актуализированная редакция СНиП 3.02.01-87» (взгляд не с проектной, а со строительной колокольни).

  11. СП 17.13330.2017 «Кровли. Актуализированная редакция СНиП II-26-76», где прописаны нормативные уклоны кровель в зависимости от применяемых материалов; требования к материалам кровли (с нормативными значениями, например, теплостойкости и водостойкости), к несущим конструкциям крыш (из каких материалов, с какими параметрами), к крепежным элементам и т.д.

  12. (на счастье) СП 29.13330.2011 «Полы. Актуализированная редакция СНиП 2.03.13-88» – очень важный элемент здания газовой котельной, ведь на нем размещаются котлы и другое оборудование; здесь вы найдете требования к покрытиям (например, нормативная толщина, класс бетона или прочность другого материала) и прочие параметры.

Наш «список», конечно, не исчерпывающий. Были, есть и, наверняка, будут другие ГОСТы, СНиПы и СП, содержащие требования к строительным объектам в целом и к отдельным строительным конструкциям (в т.ч. зданий на ОПО). Посмотрите всё тот же приказ Росстандарта от 02.04.2020 № 687. Там больше 600 (!) позиций. В статье же мы обозначили базовые вещи, не претендуя на «истину в последней инстанции».

Да, чуть не забыли. Есть еще два критерия оценки технического состояния зданий и сооружений. Более абстрактных, но не менее важных. Речь про моральный и физический износ объекта в целом или отдельных его элементов (в т.ч. строительных конструкций).

Кстати, о путях и смыслах. На финише этой (большой и информационно насыщенной) части нашей статьи давайте чуть-чуть коснемся «экспертной мифологии». Это когда за «ключевые» критерии соответствия выдаются вещи, с объектом экспертизы никак не связанные. Например, отсутствие лицензии, просроченная страховка ОСОПО или «документальные огрехи» в производственном контроле применительно, скажем, к ЭПБ здания газовой котельной (или другого здания на ОПО).

Как получить положительное заключение ЭПБ на здание газовой котельной?

Ну, во-первых, нужно добросовестно эксплуатировать объект. Регулярно проводить осмотры. Оперативно делать ремонты. Не затягивать с реконструкцией или модернизацией.

Во-вторых, не мешало бы исправить все нарушения до проведения экспертизы. Только сначала понять, есть ли они у вас. А если есть, то какие именно.

Разумеется, когда у вашего здания сквозная трещина на полстены:

Но что делать, если некоторые «дефекты и повреждения» не столь очевидны? Сможете ли вы «на глаз» определить, например, величину вертикального прогиба железобетонных плит площадки, на которой установлены котлы? Умозрительно понять, что она превышает предельно допустимый уровень (в миллиметрах!), установленный СП 20.13330.2016 (таблица Д.1) и ГОСТ 31937-2011 (таблица Е.1). Или распознать (незначительное, но «критичное») смещение железобетонных плит. Определить прочность кирпичной кладки, бетона, стальных конструкций и т.д. Вряд ли, товарищи (поверьте, мы ничуть не умаляем ваших достоинств). Ведь для этого нужно, как минимум, оборудование. Как максимум – оборудование, знания и опыт. Согласитесь, не все эксплуатирующие организации такое потянут.

Вопрос – как быть (и быть ли вовсе)? На ум приходят два варианта:

Наша задача – рассказать вам, как обстоят дела. Описать «критерии соответствия» со ссылками на нормативные документы (списка хватит на год неспешного изучения). И помочь в проведении ЭПБ, если потребуется.

Хочется верить, что мы с ней справились. И повысили ваши шансы на получение положительного заключения, которое особенно ценно в условиях «однозначного» вывода экспертизы промышленной безопасности.

Оценка по чек-листу

Нередко среди инженеров по информационной безопасности, технических писателей и других ИТ-специалистов встречаются те, кто при выполнении задач полагается только на свою экспертизу, интуицию и привычки – так сказать, берется за творчество, где нет места четким, выверенным планам. Что ж, может, и есть ситуации, где этот подход способен принести хороший результат. Но оценщикам такая «самодеятельность» строго противопоказана. Как раз первое, с чего им нужно начать – вспомнить о ценности чек-листов.

Второе, что нужно сделать оценщикам – выпить как минимум три чашки кофе, приготовиться к хардкору и открыть ГОСТ Р ИСО/МЭК 18045-2013. В нем есть исчерпывающее описание всех действий с подробными разъяснениями, что и как нужно реализовать на каждом шаге работы, в привязке к индексам требований, установленным в семействе 15408, которые мы разобрали ранее.

Для примера рассмотрим случайное место стандарта:

Описание шага оценки и действий специалиста

Пример разъяснений уровня класса и семейства

Справочные приложения ГОСТ Р ИСО/МЭК 18045-2013

Тем не менее при кажущейся избыточности проверок и шагов действия оценщика описываются достаточно верхнеуровнево. И получается не такая уж страшная задача, если исходить из того, что по букве закона оценщик не должен заниматься созданием документации и другими вопросами разработчика ОО (например, тестированием приложения в рамках класса ATE), и что из всего объема шагов, содержащихся в стандарте, необходимо выполнить лишь минимум, свойственный ОУД4. Более того, в стандарте 18045 в Приложении А прямо говорится о возможности использования выборок и отсутствии жестких требований к отчетности. В целом принятие решений о полноте и достаточности работ в документе делегируется на систему оценки/орган по сертификации. Это создает некоторую рекурсию с упомянутым во введении письмом ЦБ, где дается ссылка на стандарты как на источник всех необходимых требований к работе оценщика.

Отсылка Приложения А на принятие решений по корректности и полноте в рамках проверок системы оценки/органа по сертификации

Таким образом, всё, что вам нужно – это просто взять и сделать всю работу, согласно стандарту 18045.

Но есть ли здесь какие-нибудь прикладные нюансы, которые помогут новичкам на тернистом пути оценки соответствия и раскроют старожилам возможности оптимизации процесса? – Разбираемся.

Городской Центр Учета и Экономии ресурсов

127051, г. Москва, улица Трубная, дом 25, строение 2, комната 1А

Телефон

8 (499) 110-72-36 (многоканальный) 8 (495) 212-17-79 8 (499) 940-92-98

Участник рейтинга с

Вы хотите меньше платить за коммунальные услуги, но не знаете как? Ваш старый водосчетчик не только считает израсходованное количество воды, но и прибавляет 20-40%? Прошло уже 4-6 лет после установки счетчика и необходимо провести его поверку? Разобраться с любой из этих проблем вам помогут специалисты «Городского Центра Учета и Экономии Ресурсов».

Внимание! Данная компания не имеет физического адреса!

Последние отзывы о "Городской Центр Учета и Экономии ресурсов"

Экспертиза промышленной безопасности здания газовой котельной

Скандалы в ЖКХ

Есть ли штрафы за отсутствие счетчиков воды в МКД

При отсутствии прибора учета расхода воды, оплата за водоснабжение будет начисляться по полуторному тарифу на количество проживающих жильцов. Перерасчет за временное неиспользование водообеспечения не производится.

Кто проверяет счетчики воды

Межповерочный интервал устанавливается в зависимости от типа водомера. Он указан в техническом паспорте на счетчик. Если это водомер учета расхода холодного водоснабжения, то поверку необходимо осуществлять один раз в шесть лет.

Кто ответит за сгоревшую технику при скачке напряжения

Часто во время таких перепадов напряжения страдает или полностью выходит из строя дорогостоящая бытовая и электротехника. Это ощутимые потери для семейного бюджета, которые вполне можно компенсировать, используя определенный алгоритм действий. О нем и поговорим ниже.

Чем должен быть оборудован умный МКД

Многие из вас точно уже слышали о модной концепции умного многоквартирного дома, разработка и совершенствование которой ведется очень активно в нынешнее время. Что же это представляет собой данная концепция и что она подразумевает под сбой, что должна включать. Давайте подробно разберемся в нашей статье.

Кому мешают мусоропроводы в многоквартирных домах

Мусоропровод в многоквартирном доме скоро может стать пережитком прошлого и атавизмом. А в новостройках новоселы никогда не узнают, что когда- то существовала такая мера комфортной среды. Давайте разбираться, кому мешают мусоропроводы в МКД и почему их планируют ликвидировать.

Когда счетчики воды признают не годными

У каждого прибора учета ресурсов есть параметры, которым он должен соответствовать. Но даже при полном соответствии нет ничего вечного и рано или поздно абонент сталкивается с диагнозом о негодности счетчика. В каких случаях счетчик воды могут признать негодным и чем это грозит, рассмотрим в статье.

Путин освободил мобилизованных от пеней за долги по ЖКУ и капремонту

Президент России Владимир Путин подписал закон, согласно которому мобилизованным россиянам и их семьям не будут начислять пени за долги по жилищно-коммунальным услугам (ЖКУ) и взносам за капитальный ремонт. Соответствующий документ опубликован на портале правовых актов.

До конца 2022 года пени на "коммунальные" долги будут рассчитываться исходя из значения ключевой ставки 9,5%

В текущем году у Правительства РФ есть специальное полномочие определять особенности начисления и уплаты пени в ЖКХ-отрасли (Постановление Правительства РФ от 26 марта 2022 г. № 474).

Как сэкономить на коммунальных платежах в отопительный сезон

В Москве начался отопительный сезон. Жильцам надо быть готовыми к увеличению расходов на коммунальные услуги. Так как же их сократить?

Возможности автоматизации

В 2022 году на конференции Coop-Days в выступлении, посвященном проблематике ОУД4, прозвучала идея шаблонизировать соответствующие документы, в том числе отчетности по итогам выполненных проверок. Сегодня, когда на свет вышел GitHub Copilot, ChatGPT 4 автоматизирует работу программистов, а Stable Diffusion «радует» дизайнеров, всё чаще звучит вопрос: «А нельзя ли доверить оценку роботам?» Ведь там, где есть четкие и понятные шаги, где существуют прозрачные критерии, где все сводимо к набору типовых элементов, сам бог велел освободить людей от ручной работы с помощью AI. Но так ли всё просто на самом деле?

Первая проблема, как часто это бывает в случае с AI, возникает в области этики и ответственности за результаты работы подобной системы. Нередко встречаются моменты, где допустима субъективность, и более того – именно она помогает достичь оптимальных для обеих сторон результатов. А полное делегирование задач машинам, в свою очередь, может привести к утрате «гибкости» работы.

Теперь представим, что специалисты придумали конструкции, позволяющие безболезненно и этично переносить подобные задачи на плечи виртуальных помощников. И здесь мы сталкиваемся со второй проблемой – современные AI основаны на использовании нейронных сетей, которые учатся на определенных выборках данных и таким образом формируют свои модели мира. Но эти модели и результаты, которые выдает конкретная сеть в ответ на отправленную ей информацию, являются для пользователей черным ящиком. Да, современные нейросети способны корректно дополнять поисковые системы или выступать в роли джунов-помощников, выполняющих какие-то отдельные, хорошо описанные операции. Но если работать в области, далекой от «массового пользователя», или поручать подобным инструментам слишком большой объем задач без пояснений и ограничений, то вероятность столкнуться с «галлюцинациями», поверхностными решениями, грубыми ошибками и даже фальсификатом будет стремиться к 100%.

Возможности классической автоматизации также оказываются ограниченными в силу того, что каждая команда разработки по-своему «несчастна». Бывает, что внутри одной компании существуют десятки и сотни различных подразделений. Все они используют разные стеки технологий и устанавливают свои требования к документированию собственных процессов, API, архитектуры и прочего. И даже там, где подобные моменты стандартизованы, возникают вопросы интеграции и получения данных, а также адаптации к изменениям, которые происходят всё быстрее благодаря современным парадигмам разработки и развития продуктов.

Вот и получается, что на данном этапе автоматизация является скорее нишевым, сильно адаптированным под конкретный кейс и организацию продуктом. Но если рассматривать эту технологию в контексте грядущих подходов к сертификации жизненного цикла разработки и относительно статичного пайплайна, возможно, здесь она сможет довольно неплохо работать. Заглядывая в будущее, также допустимо предположить, что появится универсальное решение по типу некого оркестратора, который будет адаптироваться под запросы конкретного заказчика. Но такой продукт, вероятно, смогут купить только крупные компании с большим бюджетом, остальные же обратятся к старым добрым аудиторам, которые за меньшую стоимость подстроятся под ситуацию и «срежут углы».

ТОП-3 популярных вопросов

Для начала ответим на часто встречающиеся вопросы, которые касаются ОУД.

Кажется, что можно очень здорово оптимизировать трудозатраты и не мучиться с адаптацией под ОУД4. Но нам стоит держать в уме то, что Профиль защиты – рекомендация, и нормативно-правовые акты ссылаются на ГОСТ Р ИСО/МЭК 15408-3-2013 – в нем ничего нет о Профиле, а его реализацию необходимо оценивать по ГОСТ Р ИСО/МЭК 18045-2013. Так, если мы пройдемся дальше по Профилю защиты, то обнаружим, что в разъяснениях нам предлагают довольно консервативную практику, которая не очень-то снижает трудозатраты.

Например, в рамках класса ATE по-прежнему необходимо проводить тестирование функций безопасности, то есть натурально проверять, как все заложенные в ОО возможности (парольная политика, безопасная аутентификация, журналирование событий и тому подобное) отрабатывают себя.

Фактически нам предстоит выполнить всё тот же ОУД, просто здесь (см. табл. 2) есть словарик, сопоставляющий его практики с некоторыми терминами DevSecOps и Agile.

Оглавление

В итоге мы имеем достаточно простой набор задач для оценщика, если исходить из того, что разработчик ответственно выполнил все, что описано во второй статье нашего цикла. Вот что получается:

Исходя из этого нехитрого списка, можно сказать, что главная задача заключается в том, чтобы хорошо запустить проект, а именно:

Если говорить о составе ролей и объеме работ, наша выборка клиентов не позволяет дать более-менее точные ответы. В отличие от классического консалтинга, интеграции или пентестов, ОУДы остаются во многом «ремеслом», в котором из-за отсутствия у заказчиков опыта подобных работ и «партизанского сопротивления» разработчиков могут возникать самые неожиданные коллизии и задержки. В итоге даже небольшой проект может растягиваться по срокам, а крупный – неожиданно заканчиваться со значительным опережением графика.

С учетом ожидаемых новаций со стороны ФСТЭК России есть все шансы, что соответствующий опыт и производственная статистика, характерные для полей услуг с практикой реализации сроком от 5 лет, могут так и не сформироваться до конца. То есть ОУД4 останется «фронтирной» областью, больше похожей не на промышленный конвейер, а на некие «шаманские» практики. Справедливости ради нужно отметить, что классические направления ИТ вроде системного администрирования тоже когда-то проходили период «танцев с бубном». И это естественная часть эволюции любой практики и соответствующих методологий/теорий/взглядов.

Итак, мы подошли к финалу. С учетом изменений регуляторки можно прогнозировать, что через какое-то время на смену ОУД4 придут новые практики, гармонизированные с требованиями ФСТЭК России. А раз ФСТЭК отходит от ОУД в сторону развития собственных практик, то и финансовым организациям как субъектам критической информационной инфраструктуры стоит опираться на общие подходы и многолетний опыт главного регулятора в области технической защиты информации и безопасности разработки.

Тем не менее опыт ОУД не пройдет бесследно. Несмотря на различия, в основе всех практик лежат универсальные принципы. Подобно тому как положение 382-П готовило финансовые организации к более изощренным и детализированным инфраструктурным требованиям ГОСТ 57580.1-2017, так и практики ОУД4 стали для финсектора первым шагом на пути к бесконечному развитию безопасности приложений.

Можно сказать, что благодаря инициативе Банка России финансовая отрасль на наших глазах за пять лет практически прошла тот путь, который система оценки ФСТЭК России преодолевала с начала нулевых годов, когда стандарты серии 15408 только вступили в силу на территории РФ. – Уже тогда эксперты подчеркивали неясность вопроса и пророчили ему «непростую судьбу».

На этом всё. До новых встреч, друзья!

P. S. Будем рады ответить на ваши вопросы и получить обратную связь в комментариях)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *