вого кодекса РФ.
Таким образом, правосудие склонно считать более приемлемым второе толкование данной спорной ситуации, используя для административных правоотношений аналогию ст. 392 ТК РФ, что, в конечном счете, не способствует восстановлению трудовых прав, особенно на фоне тотальных нарушений трудового законодательства, допускаемых работодателями. Да и
главная цель гражданского судопроизводства - вынесение законного и обоснованного судебного решения - не может быть реализована, если по одной и той же правовой ситуации суды будут выносить противоположные по смыслу судебные акты. Полагаем, что последнее слово по данному вопросу должно остаться за законодателем.
Статья поступила 09.09.2014 г.
Библиографический список
1. Буянова М.О. Трудовые споры: учеб. пособие. М.: Проспект, 2011. 240 с.
2. Грин Е.В. К вопросу о различии понятий «сроки обращения в суд» по трудовым делам и «сроки исковой давности» // Российская юстиция. 2009. № 3. С. 23-25.
3. Грось Л.А. К вопросу о сроках в материальном и процессуальном праве // Юрист. 2005. № 10. С. 35-38.
4. Ильичев П.А. Некоторые вопросы определения правовой природы срока исковой давности // Актуальные проблемы
российского права. 2013. № 2. С. 151-155.
5. Князева Н.А. Сроки обращения за защитой трудовых прав работников: юридическая природа, продолжительность и порядок применения // Актуальные проблемы российского права. 2013. № 4. С. 451-457.
6. Крекова М.А., Пересторонина В.С. Проблемы достижения эффективности работы государственных инспекций труда: вопросы теории и правоприменения // Вестник ИрГТУ. 2013. № 8. С. 279-282.
УДК 621.01(07)
МЕТОДИЧЕСКИЕ ПОДХОДЫ ПРИ ВНЕДРЕНИИ СИСТЕМ ЭНЕРГОМЕНЕДЖМЕНТА И РЕАЛИЗАЦИИ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ ПРОМЫШЛЕННЫХ ОБЪЕКТОВ
1 9 Я
© И.И. Лившиц1, А.Е. Танатарова2, П.А. Лонцих3
1,2Санкт-Петербургский институт информатики и автоматизации РАН, 199178, Россия, г. Санкт-Петербург, 14-я линия, 39. 3Иркутский государственный технический университет, 664074, Россия, г. Иркутск, ул. Лермонтова, 83.
Показано, что внедрение новых стандартов в области энергоменеджмента ISO 50001:2011 возможно достаточно эффективно увязать с решением широкого спектра проблем современной организации. Показано, что актуальность обращения к вероятностной оценке риска и анализу последствий возможного состоявшегося риска предложена в новой редакции стандарта ISO 9001:2015, проект которого опубликован в мае 2014 г. Обосновано, что возможно предложить на практике для решения проблемы обеспечения комплексной безопасности промышленных объектов применение системы аудитов, анализа со стороны руководства, постоянного улучшения результативности в единой интегрированной системе менеджмента организации. Этот подход позволит значительно сократить операционные издержки, связанные с разработкой и внедрением системы энергетического менеджмента и обеспечить гибкую интеграцию с уже действующей системой менеджмента. Ил. 3. Табл. 1. Библиогр. 10 назв.
Ключевые слова: система энергоменеджмента; система менеджмента информационной безопасности; интегрированная система менеджмента; цикл PDCA; аудит; управление затратами; цели; энергетические результаты.
METHODOLOGICAL APPROACHES UNDER INTRODUCTION OF ENERGY MANAGEMENT SYSTEMS AND IMPLEMENTATION OF INTEGRATED SAFETY AND SECURITY OF INDUSTRIAL FACILITIES I.I. Livshits, A.E. Tanatarova, P.A. Lontsikh
St. Petersburg Institute for Informatics and Automation of RAS, 39, 14-Line, St. Petersburg, 199178, Russia. Irkutsk State Technical University, 83 Lermontov St., Irkutsk, 664074, Russia.
Introduction of new standards in the field of energy management ISO 50001:2011 efficiently correlates with the solution of the wide range of problems in modern organizations. The article shows that the new edition of ISO 9001:2015, the draft of which was published in May 2014, proposes the relevance of using the probabilistic risk assessment and the
1Лившиц Илья Иосифович, кандидат технических наук, тел.: 89219344846,e-mail: [email protected] Livshits Ilya, Candidate of technical sciences, tel.: 89219344846, e-mail: [email protected]
2Танатарова Алмажан Тулеужановна, эксперт-консультант кафедры оценочной деятельности, e-mail: [email protected] Tanatarova Almazhan, Consulting Expert of the Department of Valuation Activities, e-mail: [email protected]
3Лонцих Павел Абрамович, доктор технических наук, профессор, зав. кафедрой, тел.: 89025165047, e-mail: [email protected] Lontsikh Pavel, Doctor of technical sciences, Professor, Head of the Department, tel.: 89025165047, e-mail: [email protected]
analysis of the possible risk impact. It is proved that the application of the audit systems, management review, continuous improvement in the effectiveness of a single integrated management system of the organization are practical measures to solve the problem of ensuring integrated safety and security of industrial facilities. This approach will significantly reduce the transaction costs associated with the development and implementation of the energy management system and ensure flexible integration with the already operating system of management. 3 figures. 1 table. 10 sources.
Key words: energy management system; information security management system; integrated management system; PDCA Cycle; audit; cost management; goals; energy results.
Стандарт в области энергоменеджмента ISO 50001:2011 [10] в последнее время привлекает к себе определенное внимание специалистов в области систем менеджмента. Как показывает практика, «специфические» инженерные стандарты, к которым можно отнести и указанный стандарт, внедряются в организациях уже после широко известных стандартов ISO 9001, ISO 14001 или OHSAS 18001. Требования повышения энергоэффективности отражены в законодательстве стран Таможенного союза, например в Законе Республики Казахстан от 13.01.2012 № 541-IV «Об энергосбережении и повышении энергоэффективности» и Федеральном законе Российской Федерации от 23 ноября 2009 г. N 261-ФЗ «Об энергосбережении и о повышении энергетической эффективности и о внесении изменений в отдельные законодательные акты Российской Федерации». Вместе с тем решение узких задач системы энергетического менеджмента (СЭнМ) можно достаточно эффективно увязать с решением целого спектра проблем (например, в области управления затратами), а в более широком толковании - предложить для решения проблемы обеспечения комплексной безопасности промышленных объектов [3-5]. В рамках данной публикации предлагается рассмотреть специфические требования стандарта [10] на примере ряда проектов, в которых СЭнМ дополняет множество уже внедренных стандартов ISO. Подобный методический подход применим, в частности, при создании интегрированных систем менеджмента (ИСМ) или проектов системы менеджмента информационной безопасности (СМИБ) с единым перечнем активов, уязвимостей, угроз и рисков.
Постановка задачи
Внедрение любой новой системы менеджмента -в данном случае СЭнМ - должно быть, безусловно, «в русле» общей политики организации, в том числе применительно для целей обеспечения комплексной безопасности [3-7]. Процесс внедрения СЭнМ и ее интеграция с существующими системами менеджмента являются более чем эффективным способом решения практических вопросов обеспечения безопасности прежде всего потому, что соответствие требованиям стандарта [10] касаются персонала организации (пп. 4.2.1 e, 4.2.2f, 4.3g), предусматривают проведение энергетического анализа использования и потребления энергии на объектах организации (п. 4.4.3), поддерживают процесс управления операциями (п. 4.5.5) и требуют проведения мониторинга, измерения и анализа (п. 4.6.1). Отдельно необходимо отметить многократные требования соответствия законода-
тельства (пп. 4.3d, 4.4.2, 4.6.3, 4.7.2d).
В качестве примера, показывающего важность учета требований СЭнМ в целях обеспечения комплексной безопасности, приведем информацию о заражении систем управления промышленной безопасности сотен европейских и американских энергетических компаний сложной вредоносной программой (такие данные приведены в отчете компании Symantec [2]). По данным Symantec, хакеры использовали мощную вредоносную программу Energetic Bear, которая позволяет отслеживать потребление электроэнергии в реальном времени или же повреждать физические системы (включая турбины, газопроводы и электростанции). Эта программа имеет сходство с вирусом Stuxnet, разработанным в США и Израиле, который использовался для заражения установок Ирана по обогащению урана. Эксперты считают, что хакеры в течение полутора лет использовали Energetic Bear для осуществления атак на компьютерные системы более чем 1000 организаций в 84 странах мира.
Обратим внимание, что для целей обеспечения безопасности промышленных объектов необходимо формировать и поддерживать определенные уровни доступности (для нормальной работы оборудования, информационных систем, систем безопасности). Гарантировать требуемые бизнес-процессами современного промышленного объекта уровни доступности невозможно без обеспечения на согласованном уровне «качества» и «доступности» энергоресурсов, в том числе и с учетом рисков прерывания нормальной работы в силу инцидентов различного характера. Эти термины очень хорошо согласуются с понятием триада информационной безопасности СМИБ как обеспечение конфиденциальности, целостности и доступности. Определенные уровни доступности для критичных систем приведены в докладе «Инфраструктурные решения HP» (Минск, 2014) (рис. 1).
Дополнительно к задаче обеспечения определенного уровня доступности - в целом для промышленного объекта и конкретно для целей обеспечения безопасности в аспекте СМИБ - необходимо составить, как уже отмечалось выше, единый перечень активов, уязвимостей, угроз и рисков. В частности, возможно применить достаточно интересный подход компании CheckPoint, представленный в докладе «Угрозы, которые нужно предотвратить» (Минск, 2014) (рис. 2). Важно отметить, что на данный момент не все стандарты ISO, применяемые для целей создания систем менеджмента в промышленности, поддерживают риск-ориентированный подход. Конкретно стандарт [10] не
Определение уровня доступности Mission-Critical
Уровни
доступности Определение по стандартам IDC
AL4 * Прозрачно для пользователя * Без прерывания обслуживания ■ Без потери транзакций * Без потери производительности
AL3 • Система остается доступна • Потребуется рестарт транзакции • Ожидается падение производительности систем
AL2 * Пользовательская сессия разорвана, потребуется повторный вход пользователя в систему * Возможно потребуется восстановление транзакций * Ожидается деградация (ухудшение) качества сервиса
AL 1 • Выполнение транзакций остановлено • Неконтроллируемое прерывание сервиса
Source; IDC Worldwide and U S. High-Availability Server, 2011-2015 Forecast and Analysis
Рис. 1. Уровни доступности критичных систем
Мы знаем об этих угрозах и умеем защищаться
ANTI VIRUS
ANTI ВОТ
IPS
Рис. 2. Учет различных категорий угроз для промышленных объектов
оперирует понятием риска так, как это определено в стандартах ISO/IEC (например, серии 20000 и 27001). Отметим, что актуальность обращения к вероятностной оценки риска и анализу последствий возможного состоявшегося риска предложена в новой редакции стандарта ISO 9001:2015, проект которого опубликован в мае 2014 г. В новой редакции стандарта есть несколько важных моментов в части учета рисков, уделено особое внимание на принятие решений с учетом рисков. Этот подход заменил отдельный пункт «Предупреждающие действия» [1]. В работе [8] указано, что риск-менеджмент является основой ряда стандартов серии ISO 9000. Там же приведены концепции приемлемого риска и анализ возможности воздействия на начальный уровень риска с целью доведения этого уровня до приемлемого значения.
Соответственно, представляется крайне важным использовать процесс внедрения СЭнМ как дополнительный контур контроля всех важнейших «энергетических активов» организации и спланировать этот процесс с учетом актуальных рисков и перспективных
требований обеспечения комплексной безопасности промышленных объектов [6; 7]. Далее представлены некоторые примеры проведения СДР-аудита в процессе внедрения СЭнМ на ряде крупнейших организаций и даны некоторые комментарии в части, касающейся обеспечения комплексной безопасности.
Методика внедрения СЭнМ
В процессе выполнения авторами ряда проектов по СЭнМ была отработана методика, которая учитывает требования систем менеджмента (например, СМК, СМИБ) и планирование последующей интеграции в единую ИСМ и кратко может быть представлена в следующем виде:
1. Формирование команды проекта.
2. Разработка и согласование плана проекта.
3. Выполнение СДР-анализа.
4. Выполнение энергетического планирования.
5. Выполнение энергетического анализа.
6. Формирование энергетической базовой линии и показателей энергетических результатов.
7. Определение энергетических целей, задач и
планов мероприятий.
8. Разработка документации (с учетом имеющейся документации ИСМ).
9. Обучение внутренних аудиторов СЭнМ (с учетом имеющейся компетенции по иным системам).
10. Проведение внутренних аудитов СЭнМ (с учетом единой программы аудитов ИСМ).
11. Проведение анализа СЭнМ со стороны руководства (с учетом принятого порядка ИСМ).
12. Формирование плана постоянного улучшения энергетической результативности СЭнМ.
Укажем, что внедрение систем энергоменеджмен-
та при решении задачи реализации комплексной безопасности промышленных объектов должно выполняться на всем жизненном цикле, а следовательно, должен быть задействован аппарат управления цепочкой поставок. В настоящее время управление цепями поставок как концепция Supply chain management (SCM) является одним из эффективных способов увеличения прибыли и доли рынка и активно внедряется в экономике промышленно развитых стран. Многие крупные компании, в том числе и в энергоменеджменте, внедряют принципы SCM как новую идеологию бизнеса. Ясно, что эффективное управление цепями поставок - следующий шаг, который необходим для повышения конкурентоспособности [9].
По вопросу формирования команды проекта (группы энергоменеджмента) можно дать «традиционную» рекомендацию - включить в состав команд представителя высшего менеджмента (хотя стандарт ISO 5001:2011 [10] в п. 4.2.2 прямо этого не требует) и пригласить представителей всех подразделений, связанных с потреблением энергоресурсов. Например, главный энергетик организации приказом может быть назначен представителем руководства, он же формирует группу энергоменеджмента, дополнительно могут быть приглашены представители служб IT, финансово-экономической службы (стандарт [10] в п. 4.5.7 устанавливает определенные требования к закупкам энергетических услуг, продукции и оборудования), службы внутреннего контроля (аудита), представители
службы безопасности.
План проекта разработки и внедрения СЭнМ включает в себя все основные пункты типового проекта внедрения системы менеджмента и в данном конкретном случае включает ряд специфических требований стандарта [10]. Пример плана проекта представлен в таблице. В реальном проекте могут быть различные изменения и дополнения, вызванные спецификой деятельности организации, территориальным расположением, сменностью работы, численность команды энергоменеджмента, доступными ресурсами и волей высшего руководства.
Рассмотрим пример результатов GAP-анализа. Для одной крупной организации (численность персонала - свыше 1500 чел., непрерывный режим работы, наличие собственных котельных, дизель-генераторов, медицинской части и пищеблока) GAP-анализ проводился командой аудиторов в течение одной недели. Основную часть отчета содержало описание деятельности организации и свидетельств аудита, среди которых, например, были такие:
• В части, касающейся потребления электроэнергии, поддерживается реестр оборудования, по видам оборудования хранится техническая документация (паспорта), фирменная документация (например, Schneider Electric), часть документации доступна в электронном виде. Вся документация позволяет определять основные характеристики потребления электроэнергии.
• В части, касающейся потребления тепловой энергии, поддерживается реестр оборудования, по видам оборудования хранится техническая документация (паспорта), фирменная документация на котлы, цистерны, насосы. Управление выполняется в полуавтоматическом режиме. Все данные по циклам управления хранятся в журнале оператора. Вся документация позволяет определять основные характеристики потребления тепловой энергии.
• Требования в части метрологического обеспечения выполняются не в полной мере. На ряде объектов («А», «Б», «В») при осмотре выявлены сред-
Примерный плана проекта внедрения СЭнМ
Мероприятие Ответственный Срок, дни
Постановка задачи внедрения СЭнМ высшее руководство 1
Назначение представителя руководства (ПР) высшее руководство 1
Назначение команды энергоменеджмента высшее руководство 5
Формирование рабочего плана внедрения СЭнМ, определение достаточных ресурсов проекта ПР 10
Проведение GAP-анализа ПР 20
Проведение документального обследования СЭнМ ПР 20
Проведение инструментального обследования СЭнМ ПР 30
Проведение обучения в области СЭнМ ПР 20
Проведение энергетического анализа ПР 10
Определение значительного потребления энергии ПР 10
Утверждение энергетических целей и задач, разработка планов действий высшее руководство 20
Проведение внутреннего аудита СЭнМ ПР 10
Проведение анализа СЭнМ со стороны руководства высшее руководство 1
Планирование постоянного улучшения СЭнМ высшее руководство 5
ства измерения без отметок о проведении поверки в установленном порядке или просроченные поверочные клейма, паспорта объектов (в том числе сосудов, работающих под давлением). Реестр СИ и график поверки СИ на 2014 г. не представлен.
Дополнительно в качестве свидетельств аудита (если это допускается по известным соображениям) в качестве приложения к отчету по результатам СДР-анализа могут быть приложены фото различных объектов. На рис. 3 показано несколько примеров фотографий объектов.
Оценка и интерпретация данных энергетического анализа
Кратко рассмотрим еще один важный этап - проведение энергетического анализа (п. 4.4.3 стандарта [10]). Поскольку для выполнения этого вида деятельности может требоваться лицензия, то для получения качественных результатов группе энергоменеджмента рекомендуется формировать для исполнителей формальное техническое задание (ТЗ) и контролировать
II
tvl
а)
выполнение всех указанных требований. В частности, в ТЗ могут быть четко специфицированы сроки, перечень объектов, состав измерений, формы отчетности, период анализа накопленных данных и пр.
Необходимо сделать важное замечание в части соответствия поставленной задачи данной публикации: поскольку GAP-анализ проводился совместно с представителями организации, был выделен сопровождающий из службы безопасности. В одном из административно-бытовых комплексов (АБК) организации в процессе анализа использования и потребления энергии был обнаружен сетевой шкаф, который вызвал определенное внимание. В частности, как видно на рис. 3,в, данный шкаф в АБК был не заперт, к нему были подключены через заднюю стенку несколько удлинителей («пилотов»), доступ посторонних лиц никак не контролировался. Этот пример является крайне ценным доказательством высокой эффектив ности предложенного выше подхода, при котором новая система менеджмента - СЭнМ - должна разраба-
б)
в)
Рис. 3. Фото объектов в приложении к отчету по результатам вДР-анализа: а - насосный зал; б - серверное помещение; в - сетевой шкаф в АБК
тываться и внедряться с учетом требований обеспечения комплексной безопасности промышленного объекта [3; 7]. Аудиторы СЭнМ проходят все бизнес-процессы организации и способны отметить все области, которые требуют повышенного внимания в аспекте обеспечения соответствия требованиям выбранных стандартов.
Приемка отчета по итогам проведения энергетического анализа также должна быть коллективной: помимо сопровождения на объектах представители группы энергоменеджмента должны тщательно проверить всю информацию (достоверность, полноту, адекватность). В частности, в адекватном отчете по итогам выполнения энергетического анализа должны быть как минимум:
- законодательные требования и ограничения;
- виды используемой энергии;
- объемы потребления энергии за анализируемый период;
- анализ структуры потребления энергии (на собственные нужды, сторонними организациями);
- сведения о затратах на топливно-энергетические ресурсы организации;
- анализ использования топливно-энергетических ресурсов организации;
- анализ потерь энергии, в том числе расчет нормативной величины потерь;
- выявление областей значительного потребления энергии.
Дальнейшие действия группы энергоменеджмента должны базироваться на достоверных и согласованных результатах энергетического анализа и включать в себя (минимально):
- формирование энергетической базовой линии (п. 4.4.4 стандарта [10]),
- определение показателей энергетических результатов (п. 4.4.5 стандарта [10]),
- определение энергетических целей, задач и планов мероприятий (п. 4.4.6 стандарта [10]).
Отдельно рассмотрим некоторые наиболее характерные замечания, предъявляемые к отчетности с результатами энергетического анализа, которые могут существенно снизить полезность представленной ин-
формации и затруднить последующий анализ:
• Могут быть представлены разные оценки потребления энергии (например, жидкого топлива), полученные разными сотрудниками в разных подразделениях организации, которые не приведены к единому нормируемому показателю (т, кВт, Гкал).
• Могут быть предложены гипотезы, основанные на недостоверных и/или неполных данных (например, в одном из отчетов отмечалось, что «имеется тенденция к снижению доли потребления воды», хотя данные за 2011 г. - 14%, данные за 2012 и 2013 гг. - 20%»).
• Может наблюдаться «избирательность» в анализе данных по разным объектам (например, по ряду котельных пропущены измерения потребления энергии, как потом пояснили - «далеко и жарко...»), но такая «избирательность» не способствует получению единой целостной и достоверной картины энергопотребления.
• Могут наблюдаться ошибки методического плана - приводятся общим списком службы (например, транспортная), здания (например, лаборатории) и процессы (например, производство). Причем в разных таблицах эти объекты могут разниться -списками, данными, структурой, - что не способствует получению единой целостной и достоверной картины энергопотребления.
Таким образом, внедрение новых стандартов, например ISO 50001:2011 в области энергоменеджмента, возможно достаточно эффективно увязать с решением широкого спектра проблем современной организации. Также возможно предложить на практике для решения проблемы обеспечения комплексной безопасности промышленных объектов применение системы аудитов, анализа со стороны руководства, постоянного улучшения результативности в единой интегрированной системе менеджмента организации. Этот подход позволит значительно сократить операционные издержки, связанные с разработкой и внедрением новой СЭнМ и обеспечить гибкую интеграцию с уже действующей системой менеджмента.
Статья поступила 22.09.2014 г.
1. Езрахович А.Я. Как подготовиться к аудиту СМК органом по оценке соответствия (практика результативного аудита): мат-лы открытого семинара по подготовке нового стандарта ISO 9001:2015. (СПб., 15-16 апреля 2014 г.). СПб.: Русский Регистр, 2014.
2. К мощной атаке на западные энергокомпании могли быть причастны российские хакеры // Newsru.com. Технологии [Электронный ресурс]. URL: http://hitech.newsru.com/article/01jul2014/dragonfly
3. Лившиц И.И. Подходы к решению проблемы учета потерь в интегрированных системах менеджмента // Информатизация и связь. 2013. Вып. 1. С. 55-60.
4. Лившиц И.И. Применение моделей СМИБ для оценки защищенности интегрированных систем менеджмента // Труды СПИИРАН. 2013. Вып. 8 (31). С. 147-163.
5. Лившиц И.И. Совместное решение задач аудита информационной безопасности и обеспечения доступности информационных систем на основании требований международных стандартов BSI / ISO // Информатизация и связь.
ский список
2013. Вып. 6. С. 48-51.
6. Лившиц И.И., Молдовян А.А., Танатарова А.Т. Исследование зависимости сертификации по международным стандартам ISO от типов организации для ведущих отраслей промышленности // Труды СПИИРАН. 2014. Вып. 3 (34). С. 160-177.
7. Лившиц И.И., Танатарова А.Т. Ценность внутренних аудитов интегрированной системы менеджмента для проведения результативного анализа со стороны руководства // Стандарты и качество. 2014. Вып. 8.
8. Лонцих П.А., Марцынковский Д.А., Шулешко А.Н. Управление качеством. Прогнозирование, риск-менеджмент, оптимизация: монография. Германия: Lambert Academic Publishing, 2011. 301 с.
9. Уотерс Д. Логистика. Управление цепью поставок / пер. с англ. М.: Юнити-Дана, 2003. 503 с.
10. ISO 50001:2011. Energy management systems - Requirements with guidance for use // Iso.org [Электронный ресурс]. URL: http://www.iso.org/iso/catalogue_detail7csnumbeR51297