Приготовление бетонной смеси

У рамках робіт зі створення АСУ можна виділити наступні основні етапи:

1. Ухвалення рішення про створення АСУ.

2. Підготовка до створення АСУ.

3. Аналіз ризиків.

4. Розробка політик і процедур АСУ.

5. Впровадження АСУ в експлуатацію.

Розглянемо дані етапи більш докладно.

 

Ухвалення рішення про створення АСУ

Рішення про створення і подальшої сертифікації АСУ повинно прийматися вищим керівництвом організації. Таким чином керівництво висловлює свою підтримку початку даного процесу, що є ключовим фактором для успішного впровадження АСУ в організації. При цьому керівництво повинно усвідомлювати кінцеву мету даного заходу і цінність сертифікації для бізнесу компанії.

Підготовка до створення АСУ

1. Організація робочої групи.

Не менш важливим фактором успішного впровадження АСУ є створення робочої групи, відповідальної за впровадження АСУ. До її складу мають увійти:

· представники вищого керівництва організації;

· представники бізнес-підрозділів, які охоплюються АСУ;

· фахівці підрозділів, що забезпечують інформаційну безпеку в компанії, що мають відповідну освіту або підготовку, знають основні принципи і кращі практики в області інформаційної безпеки.

Перераховані співробітники повинні розуміти універсальні механізми систем менеджменту, знати вимоги Стандарту і пройти навчання з питань створення та експлуатації АСУ.

До складу робочої групи, окрім співробітників компанії, можуть входити також залучені консультанти, що спеціалізуються в питаннях побудови АСУ.

Доброю практикою є створення в організації комітету з інформаційної безпеки, який, крім питань, пов'язаних з впровадженням АСУ, повинен на постійній основі забезпечити вирішення завдань, що визначаються експлуатацією даної АСУ та її безперервним вдосконаленням.

2. Нормативно-методичне забезпечення.

Робоча група повинна мати у своєму розпорядженні всю необхідну нормативно-методичну базу для успішного створення комплексної автоматизованої системи управління.

Нижче наведені стандарти та методики, якими слід керуватися:

ISO/IEC 27000 - Словник і визначення. Дата виходу невідома.

ISO/IEC 27001: 2005.

ISO/IEC 27002. Зараз: ISO/IEC 17799: 2005. Дата виходу - 2007.

ISO / IEC 27005. Зараз: BS 7799-3: 2006 - Керівництво по менеджменту ризиків ІБ.

ISO/IEC 27006. " Guidelines for information and communications technology disaster recovery services". Зараз: SS507: 2004 - Singapore Standards for Business Continuity/Disaster Recovery (BC/DR) Service Providers. Дата виходу невідома.

ISO/IEC Guide 73: 2002, Risk management - Vocabulary - Guidelines for use in standards.

ISO/IEC 19011: 2002 Guidelines for quality and/or environmental management systems auditing.

3. Вибір області діяльності організації, яка буде охоплена АСУ.

При виборі області діяльності, в якій силами спеціально створеної робочої групи будуть впроваджуватися механізми АСУ, повинні враховуватися наступні фактори:

· діяльність та послуги, що надаються організацією своїм партнерам і клієнтам;

· цільова інформація, безпека якої повинна бути забезпечена;

· бізнес-процеси, що забезпечують обробку цільової інформації;

· підрозділи і співробітники організації, задіяні в даних бізнес-процесах;

· програмно- технічні засоби, що забезпечують функціонування даних бізнес-процесів;

· територіальні майданчики компанії, в рамках яких відбуваються збір, обробка та передача цільової інформації.

Результатом є узгоджена з вищим керівництвом область діяльності організації, в рамках якої планується створення АСУ.

Виявлення невідповідностей

Для уточнення обсягу робіт і необхідних витрат на створення і подальшу сертифікацію АСУ члени робочої групи проводять роботи з виявлення й аналізу невідповідностей існуючих в організації заходів захисту вимогам Стандарту. При цьому аналізуються як організаційні заходи в галузі планування, впровадження, аудиту та модернізації заходів щодо забезпечення інформаційної безпеки, так і використовувані програмно-технічні засоби і механізми.

На даному етапі компанія також може вибрати незалежний орган з сертифікації систем менеджменту, що має відповідну акредитацію, в якому вона хотіла б пройти сертифікацію.

Доброю практикою є замовлення в органу з сертифікації попереднього аудиту для виявлення існуючих на поточний момент невідповідностей вимогам Стандарту. Попередній аудит на даному етапі допоможе виявити області, потребують удосконалення.

Результатом цих робіт повинен стати перелік невідповідностей вимогам Стандарту і план робіт зі створення АСУ організації.

Аналіз ризиків

Однією з найбільш відповідальних і складних завдань, що вирішуються в процесі створення АСУ, слід назвати проведення аналізу ризиків щодо активів організації в обраній галузі діяльності і прийняття вищим керівництвом рішення про вибір заходів протидії виявленим ризикам.

У процесі аналізу ризиків проводяться наступні роботи:

· ідентифікація всіх активів в рамках обраної галузі діяльності;

· визначення цінності ідентифікованих активів;

· ідентифікація загроз і вразливостей для ідентифікованих активів;

· оцінка ризиків для можливих випадків успішної реалізації загроз інформаційної безпеки щодо ідентифікованих активів;

· вибір критеріїв прийняття ризиків;

· підготовка плану обробки ризиків.

Виконання всіх зазначених завдань звичайно здійснюється відповідно до розроблюваної процедурою аналізу ризиків, в якій визначена методологія і відображені організаційні аспекти по кожному із завдань.

Ідентифікація та визначення цінності активів

У рамках даних робіт повинні бути розглянуті всі бізнес-процеси, що входять в обрану область діяльності організації. По кожному бізнес-процесу спільно з власником процесу проводиться ідентифікація задіяних активів.

Наступним кроком у проведенні аналізу ризиків щодо активів компанії є визначення цінності активу, яка виражається у величині збитку для організації, якщо порушується будь-яка з наступних властивостей активу: конфіденційність, цілісність, доступність.

Результатом даних робіт є звіт про ідентифікацію та оцінку цінності активів.

Аналіз ризиків - це основний рушійний процес АСУ. Він виконується не тільки при створенні АСУ, але і періодично при зміні бізнес-процесів організації та вимог.

Необхідно підібрати таку методику аналізу ризиків, яку можна було б використати з мінімальними змінами на постійній основі. Є два шляхи: використовувати існуючі на ринку методики та інструментарій для оцінки ризиків або ж розробити свою власну методику, яка найкращим чином підходитиме до специфіки компанії і охоплена АСУ галузі діяльності.

Останній варіант найкращий, оскільки поки більшість існуючих на ринку продуктів, що реалізують ту чи іншу методику аналізу ризиків, не відповідають вимогам Стандарту. Типовими недоліками таких методик є:

· стандартний набір загроз і вразливостей, який часто неможливо змінити;

· прийняття як активів тільки програмно-технічних та інформаційних ресурсів - без розгляду людських ресурсів, сервісів і інших важливих ресурсів;

· загальна складність методики з точки зору її стійкого і повторюваного використання.

У процесі аналізу ризиків для кожного з активів або групи активів проводиться ідентифікація можливих загроз і вразливостей, оцінюється ймовірність реалізації кожної з загроз і, з урахуванням величини можливого збитку для активу, визначається величина ризику, що відображає критичність тієї чи іншої загрози.

Необхідно відзначити, що відповідно до вимог Стандарту в процедурі аналізу ризиків повинні бути ідентифіковані критерії прийняття ризиків і прийнятні рівні ризику. Ці критерії мають базуватися на досягненні стратегічних, організаційних і управлінських цілей організації.

Вище керівництво компанії використовує дані критерії, приймаючи рішення щодо прийняття контрзаходів для протидії виявленим ризикам. Якщо виявлений ризик не перевищує встановленого рівня, він є прийнятним, і подальші заходи по його обробці не проводяться. У разі ж, коли виявлений ризик перевищує прийнятний рівень критичності загрози, вище керівництво повинне прийняти одне з таких можливих рішень:

· зниження ризику до прийнятного рівня за допомогою застосування відповідних контрзаходів;

· прийняття ризику;

· уникнення ризику;

· переклад ризику в іншу область, наприклад, за допомогою його страхування.

Реалізація плану обробки ризиків

Відповідно до прийнятих рішень формується план оброблення ризиків. Даний документ містить перелік першочергових заходів щодо зниження рівнів ризиків, а також цілі і засоби управління, спрямовані на зниження ризиків, із зазначенням:

· осіб, відповідальних за реалізацію даних заходів і засобів;

· термінів реалізації заходів і пріоритетів їх виконання;

· ресурсів для реалізації таких заходів;

· рівнів залишкових ризиків після впровадження заходів і засобів управління.

Прийняття плану обробки ризиків і контроль за його виконанням здійснює вище керівництво організації. Виконання ключових заходів плану є критерієм, що дозволяє прийняти рішення про введення АСУ в експлуатацію.

Розробка політик і процедур АСУ

Розробка організаційно-нормативної бази, необхідної для функціонування АСУ, може проводитися паралельно з реалізацією заходів плану обробки ризиків.

На даному етапі розробляються документи, необхідність реалізації яких випливає з результатів аналізу ризиків та з власних вимог компанії до захисту інформації. Зазвичай сюди входять такі основні політики та процедури:

1. область діяльності АСУ;

2. політика АСУ;

3. підполітики за основними механізмам забезпечення інформаційної безпеки, застосовним до обраної галузі діяльності, яка охоплюється АСУ, такі як:

· політика антивірусного захисту;

· політика надання доступу до інформаційних ресурсів;

· політика використання засобів криптографічного захисту;

· інші політики;

· процедури АСУ:

· правління документацією;

· управління записами;

· внутрішні аудити;

· коригувальні дії;

· запобіжні дії;

· управління інцидентами;

· аналіз функціонування АСУ керівництвом організації;

· оцінка ефективності механізмів управління АСУ;

· інші процедури та інструкції.

Розробляються політики та процедури повинні охоплювати наступні ключові процеси АСУ:

1. управління ризиками;

2. управління інцидентами;

3. управління ефективністю системи;

4. управління персоналом;

5. управління документацією та записами системи управління інформаційною безпекою;

6. перегляд і модернізація системи;

7. управління безперервністю бізнесу і відновлення після переривань.

Крім того, в посадові інструкції відповідального персоналу, положення про підрозділи, контрактні зобов'язання організації повинні бути включені обов'язки щодо забезпечення інформаційної безпеки.

Обов'язки з виконання вимог АСУ за допомогою відповідних наказів і розпоряджень покладаються на відповідальних співробітників підрозділів, які охоплюються АСУ.

Всі розроблені положення політики АСУ, процедури та інструкції доводяться до відома рядових співробітників при їх початковому і наступному періодичному навчанні та інформуванні.

Таким чином, в результаті не тільки створюється документальна база АСУ, але й відбувається реальний розподіл обов'язків щодо забезпечення безпеки інформації серед персоналу організації.

Впровадження АСУ в експлуатацію

Датою введення АСУ в експлуатацію є дата затвердження вищим керівництвом компанії положення про застосовність засобів управління. Даний документ є публічним і декларує цілі та засоби, обрані організацією для управління ризиками. Положення включає:

· засоби управління і контролю, вибрані на етапі обробки ризиків;

· існуючі в організації засоби управління і контролю;

· засоби, що забезпечують виконання вимог законодавства та вимог регулюючих організацій;

· засоби, що забезпечують виконання вимог замовників;

· кошти, що забезпечують виконання загальнокорпоративних вимог;

· будь-які інші відповідні засоби управління і контролю.

При введенні АСУ в експлуатацію задіюються всі розроблені процедури та механізми, що реалізують обрані цілі і засоби управління.

Підготовка до сертифікаційного аудиту

На даному етапі, як і на початковому, організації рекомендується пройти попередній аудит, який допоможе оцінити готовність до сертифікаційного аудиту. Попередній аудит зазвичай проводиться тим же органом з сертифікації, в якому передбачається проходження сертифікаційного аудиту.

За результатами попереднього аудиту орган по сертифікації складає звіт, в ньому зазначаються всі позитивні сторони створеної АСУ, виявлення невідповідності та рекомендації щодо їх усунення.

Для проведення сертифікаційного аудиту рекомендується, щоб АСУ компанії функціонувала від трьох до шести місяців. Це мінімальний період, необхідний для первинного виконання внутрішніх аудитів та аналізу АСУ з боку керівництва, а також для формування записів за результатами виконання всіх процедур АСУ, які аналізуються в ході сертифікаційного аудиту.

Результатом даного етапу є АСУ організації, готова до проходження сертифікаційного аудиту.

Висновок

Розглянувши основні етапи створення АСУ, відзначимо, що цей процес досить складний і тривалий. Очевидно, що роботи з розробки та впровадження системи не можуть увінчатися успіхом без яскраво вираженої прихильності вищого керівництва компанії до створення АСУ. Наявність такої прихильності допоможе створити ефективну і реально працюючу систему.

Зусилля, витрачені на створення системи управління, дозволять організації вийти на новий рівень відносин з клієнтами, партнерами, акціонерами, продемонструвати надійність компанії і нададуть можливість успішної конкуренції з провідними компаніями на міжнародному ринку.

 

Приготовление бетонной смеси.

Бетонная смесь:

Ø Вяжущее

Ø Заполнители: крупный – щебень; мелкий – песок.

Ø водозатворения

Ø добавки

тяжелый бетон для ГТС.

Жесткая б.с. – О.К.=1 3см, подвижная б.с. – О.К.=4 10см

Приготовление бетонной смеси:

Ø бетонный завод

Ø передвижные бетоносмесители

Ø бетоносмесительные установки

Рис. Схема бетонного хозяйства.

1 – приемное устройство для заполнителя; 2 - транспортные галереи; 3 – подштабельные транспортеры; 4 – штабель для заполнителя; 5 – бункер для подогрева; 6 – узел перегрузки; 7 – установка контроля грохочения; 8 – бетонный завод; 9 – приемное устройство для цемента; 10 – силосы; 11 – строительная лаборатория

 

Рис. а) конвейер; б) гравитационный бетоносмеситель;