Анализ безопасности выполнения работ (абвр). Безопасный вход в учетную запись Facebook

Практически любая бизнес-функция, поддерживаемая информационными технологиями предприятия, потенциально может быть доставлена в качестве службы и размещена на внешних хост-машинах. Программное обеспечение как услуга (SaaS) является популярным подходом к организации работы ИТ-систем.

Аналитическое исследование издания InformationWeek свидетельствует о том, что процент компаний, использующих SaaS, вырос с 47% до 60% всего за 11 месяцев. Однако, поставщики SaaS, как правило, уклоняются от обсуждения сферы безопасности. Они очень мало говорят о практической безопасности, ваших правах как клиента или защищенности данных вашей компании.

InformationWeek прогнозирует, что рост SaaS и других облачных сервисов приведет в конечном итоге к коллапсу, поскольку будут изучены риски угрозы безопасности данных. В этот момент поставщики облачных услуг будут вынуждены раскрыть больше информации. До тех пор пользователям надо самим проявить осмотрительность, прежде чем разрешить размещение важных данных за пределами компании.

В случае с компаниями поменьше, все обстоит иначе. Тогда возникает серьезный вопрос: почему вам должны доверять свои данные и репутацию компании, если вы не доверяете их документам или способности разобраться в теме?

К сожалению, для подавляющего большинства компаний, трудно получить официальную информацию, необходимую для принятия решений о величине риска. В таких случаях приходится брать дело в собственные руки. Адам Илай (Adam Ely), директор по безопасности компании TiVo , поделился с изданием InformationWeek своим видением взаимодействия с провайдерами SaaS и дал несколько рекомендаций.

1. Пользуйтесь сторонними информационными источниками. Поинтересуйтесь вокруг. Используйте социальные сети. Часто вам предложат познакомиться с человеком, который поможет в получения официальных и неофициальных ответов.

3. Поищите в Интернете информацию о поставщиках и ответах на любые предыдущие инциденты в сфере безопасности. Некоторые провайдеры, такие как Google, публикуют сообщения об их взглядах на безопасность и управление рисками. Чтение их может рассказать вам много нового.

4. Попросите провести контрольные тесты. Вам никогда не позволят оценить каждый элемент управления, имеющий значение, но сканирование нескольких уязвимостей и проверка кода могут обеспечить понимание практики поставщика SaaS. Большинство авторитетных поставщиков позволяет клиентам проводить некоторые испытания с предварительным уведомлением. Если провайдер показывает слабый контроль над простейшими элементами, есть смысл подумать, что необходима более продвинутая защита.

5. Используйте ваше влияние на полную катушку. Поставщики SaaS, как и остальные, пытаются строить свой бизнес, им всегда нужна маркетинговая подкормка. Даже если ваша компания не в Fortune 500, ваш частный случай использования услуг этого вендора, или вашей отрасли могут послужить ценной ссылкой для поставщика. Используйте это в качестве разменной монеты, чтобы получить более глубокое понимание безопасности и другой информации.

Иногда дело доходит до шестого чувства. Если продавец не внушает доверия, или заметны основания для сомнений в качестве его работы по управлению рисками от вашего имени, двигайтесь дальше, говорит эксперт. Новые поставщики появляются постоянно.

Что такое АБВР?Анализ Безопасности Выполнения Работ (АБВР) - это обязательная
последовательность действий, которая выполняется работником (группой
работников) самостоятельно или с участием руководителя перед началом
и периодически в ходе выполнения работ. Целью проведения АБВР
является анализ возможности безопасного выполнения/продолжения
работ и выполнения необходимых мер по защите людей и природы.
Анализ Безопасности Выполнения Работ (АБВР) – это обязательная и
неотъемлемая часть выполнения любой работы, а также центральный
элемент всего комплекса мероприятий по постоянному повышению
уровня безопасности на рабочих местах и предотвращению негативного
воздействия на окружающую среду.
АБВР не отменяет требования действующего законодательства,
внутренних документов предприятий Группы Метинвест и подрядных
организаций к безопасности производства работ и охране окружающей
среды

2

Карточка по АБВР

АБВР – это способ привить каждому работнику навык продумывать свои
действия каждый раз перед началом и в ходе выполнения любых работ.
Каждый работник обязан иметь при себе карточку с простым алгоритмом
проведения АБВР.
© ООО «МЕТИНВЕСТ ХОЛДИНГ» 2006-2009. Все права защищены
3

Права и обязанности по проведению АБВР

Запрещается приступать к работе без проведения Анализа
Безопасности Выполняемых Работ и без разработки и
выполнения мер по защите от опасностей. Если работник не
может провести АБВР или не может на практике выполнить
меры по защите от опасностей, он не должен начинать работу
или должен прекратить ее, принять меры по предотвращению
опасной ситуации и обратиться к вышестоящему руководителю.
Работник имеет право требовать проведения АБВР совместно
с руководителем.
При возникновении разногласий работник имеет право
обратиться в службу ОТ, ПБ и ООС.
При изменении условий в ходе выполнения работы необходимо заново
провести АБВР, разработать и выполнить дополнительные меры по защите
от опасностей.
© ООО «МЕТИНВЕСТ ХОЛДИНГ» 2006-2009. Все права защищены
4

Алгоритм проведения АБВР

Методика «5 шагов к безопасности»
Шаг 1. Определить источники опасности,
которые существуют или могут возникнуть
при выполнении данной работы.
Шаг 2. Оценить возможные последствия
для людей и окружающей среды.
Шаг 3. Определить и выполнить действия,

источников опасности.
Шаг 4. Продумать меры реагирования при
возможной нештатной ситуации.
Шаг 5. Принять решение о возможности
начать или продолжить работу.
© ООО «МЕТИНВЕСТ ХОЛДИНГ» 2006-2009. Все права защищены
5
2.Последствия
?
3.Меры?
4.Действия
в ЧС?
1.Опасности?
5.Можно
начинать
работу?

Шаг 1. Выявление источников опасности

Шаг 1 - Определить источники опасности,
которые существуют или могут
возникнуть в ходе выполнения данной
работы.
Продумать все этапы работы.

для жизни и здоровья существуют или

Определить, какие источники опасности
для окружающей среды существуют или
могут появиться на каждом из этапов.
© ООО «МЕТИНВЕСТ ХОЛДИНГ» 2006-2009. Все права защищены
6

Шаг 2. Определение последствий

Шаг 2 - Оценить возможные последствия для
людей и окружающей среды.
Для каждого источника опасности для жизни и
здоровья людей определить:
кто может пострадать,
насколько тяжелыми могут быть последствия.
Для каждого источника опасности для
окружающей среды определить, к каким
последствиям может привести его
воздействие на окружающую среду.
© ООО «МЕТИНВЕСТ ХОЛДИНГ» 2006-2009. Все права защищены
7

Шаг 3. Меры защиты

Устранение источника опасности
Шаг 3 – Определить и выполнить меры,
необходимые для надежной защиты от
источников опасности.
Какие меры необходимо принять для защиты
людей и окружающей среды?
Какие меры необходимо принять для
предотвращения загрязнения окружающей
природной среды (воды, воздуха, почвы)?
Замещение
Изолирование (заключение внутрь)
Ограждение
Процедуры и правила
Адекватный надзор
Обучение
Есть ли у вас необходимые навыки, средства,
оборудование и приспособления?
Инструктаж
Что еще необходимо сделать?
Предупредительные знаки
Предоставление СИЗ
© ООО «МЕТИНВЕСТ ХОЛДИНГ» 2006-2009. Все права защищены
8

Шаг 4. Действия в случае ЧС

Шаг 4 – Продумать меры реагирования
при возможной нештатной ситуации.
Что может пойти не так, какие нештатные
ситуации могут возникнуть?
Знаете ли вы, как действовать в
нештатной ситуации?
Сможете ли вы вызвать помощь или
оказать её самостоятельно?
© ООО «МЕТИНВЕСТ ХОЛДИНГ» 2006-2009. Все права защищены
9

Шаг 5. Примите решение, можно ли начинать работу

Шаг 5 – Можно ли начинать работу?
Были ли выполнены все необходимые
действия?
Уверены ли вы, что работу можно выполнить
безопасно?
Уверены ли вы, что не произойдет загрязнения
окружающей природной среды?
Если вы не уверены, не начинайте работу!
Обратитесь к вашему руководителю.
Разработайте и выполните необходимые меры.
© ООО «МЕТИНВЕСТ ХОЛДИНГ» 2006-2009. Все права защищены
10

Заполнение Формы для записей

Кроме того, в некоторых случаях
руководителем или работником может
быть принято решение о проведении
АБВР с заполнением Формы для
записей. Перечень таких ситуаций
указан в пунктах 6.7. и 6.8. Cтандарта.
© ООО «МЕТИНВЕСТ ХОЛДИНГ» 2006-2009. Все права защищены
11

Контроль за проведением АБВР

Контроль за обязательным и качественным проведением Анализа
Безопасности Выполнения Работ осуществляется руководителями.
Каждый руководитель перед началом работ и в ходе их выполнения
должен убедиться в том, что:
работники проводят АБВР и выполняют предусмотренные им меры защиты, а
также необходимые правила ОТ, ПБ и ООС;
работники знают порядок проведения АБВР и имеют при себе «Карточку по
АБВР».
Руководители контролируют качество проведения АБВР и выполнение
всех необходимых мер защиты в ходе всех видов контроля безопасного
выполнения работ, в том числе в ходе Аудитов Безопасности, других
проверок и инспекций.
© ООО «МЕТИНВЕСТ ХОЛДИНГ» 2006-2009. Все права защищены

В документации Microsoft описано пять способов изменения параметров TCP в реестре, которые позволяют повысить устойчивость систем Windows 2000 к атакам типа Denial of Service (DoS) - отказ в обслуживании, и другим видам атак. Эти методы эффективны на машинах Windows 2000, подключенных к территориально распределенным сетям (WAN) и Internet, и на сайтах с повышенными требованиями к безопасности. Для внесения столь сложных изменений необходимо вручную настроить многие центральные алгоритмы TCP, и я рекомендую вносить изменения в рабочие системы лишь после экспериментов на тестовой машине. Неправильные или неудачно выбранные параметры TCP/IP могут отрицательно повлиять на большинство служб и приложений Windows 2000. Эти методы затрагивают низкоуровневые алгоритмы, используемые операционной системой для управления и маршрутизации сообщений, поэтому тестовую систему следует подключить к нескольким подсетям с одним или несколькими маршрутизаторами.

Параметры TCP/IP в реестре

Вся информация о работающей системе Windows 2000 сохраняется в разделе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSet. Подраздел Services этого раздела, в свою очередь, содержит по одному разделу для каждой настраиваемой службы Windows 2000 (даже для блокированных и не установленных служб). На Экране 1 показаны общие данные конфигурации TCP/IP из раздела HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters. По умолчанию, данные конфигурации для каждой службы хранятся в разделе Parameters, в подразделе с соответствующим именем.

При работе с несколькими адаптерами (как аппаратными сетевыми адаптерами, так и программными портами Routing and Remote Access) в разделе HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters Interfaces формируется соответствующий подраздел для идентификатора класса каждого адаптера. По щелчку на идентификаторе класса адаптера в правом окне редактора реестра отображаются сведения о конфигурации данного адаптера (см. Экран 2).

В разделе TcpipParameters содержатся элементы, определяющие поведение TCP/IP для всех интерфейсов. При настройке конфигурации адаптера, обеспечивающего связь через протокол TCP/IP, система копирует многие из этих параметров в раздел Interfaces данного адаптера. Если один и тот же элемент входит в TcpipParameters и в раздел конкретного адаптера, то можно изменить режим TCP/IP отдельного адаптера, отредактировав соответствующие параметры. Рассматривая изменения реестра, с помощью которых можно уменьшить уязвимость системы, следует помнить об общих параметрах и параметрах, специфических для каждого адаптера.

Если упомянутый мною элемент в соответствующем разделе отсутствует, его следует создать. Создавая элементы реестра, необходимо обратить внимание на корректность типа и значений вводимых данных. Невозможно предсказать, каким образом система отреагирует (если отреагирует вообще) на ввод некорректных данных. Измененные параметры конфигурации TCP вступят в силу после перезагрузки системы.

Защита от атаки типа SYN DoS

Нападения по TCP SYN DoS - излюбленное оружие взломщиков. Прежде чем рассматривать способы защиты от подобных атак, необходимо понять механизм работы TCP/IP.

Инициируя сеанс TCP в соединении IP, система A посылает системе B пакет синхронизации (SYN). Система B отвечает, посылая машине A в качестве подтверждения пакет SYN-ACK. Если система B не получает подтверждения о получении SYN-ACK от системы A, то отправка SYN-ACK повторяется до пяти раз. Не получив от системы А ответа, система B увеличивает интервал перед очередной попыткой послать SYN-ACK. Благодаря этим задержкам, системам удается установить соединение по медленным каналам связи.

Если система A не отвечает, то по истечении определенного времени система B разрывает соединение. Процесс тайм-аута может занять 3-4 мин, так как, прежде чем прекратить сеанс, система B должна определенное число раз обратиться к системе A. Когда система B разрывает соединение, TCP освобождает ресурсы, выделенные входящему соединению. Процесс освобождения ресурсов может занять еще от 3 до 5 мин.

В ходе типичной атаки с помощью SYN злоумышленник запускает на системе A программу, которая за короткий период времени посылает системе B множество запросов SYN. Каждый запрос SYN пересылается в IP-пакете, содержащем IP-адрес машины, пославшей пакет. Этот адрес может указывать на машину взломщика, но чаще ложный (spoofed) адрес указывает на другой компьютер или на несуществующую машину. В любом случае система B пытается послать подтверждение SYN-ACK по адресу источника в ответ на каждое сообщение SYN. Если система A не отвечает, то машина B вынуждена поддерживать соединение «полуоткрытым» и не может закрыть его, не выполнив определенного числа попыток. Очевидно, что атака с использованием SYN может быстро вызвать перегрузку системы.

Машины Windows 2000 обслуживают сотни одновременных соединений TCP/IP. Попав под атаку SYN, система может выделить до половины свободных TCP/IP-ресурсов для обслуживания запросов входящих соединений. Но процесс выделения, управления и повторного использования ресурсов TCP/IP в конечном итоге приводит к зависанию системы.

С помощью команды

Netstat n p tcp

можно следить за системой, которая, возможно, подвергается атаке типа SYN. Ключ n указывает команде Netstat, что адреса и номера портов следует отображать в числовой форме; ключ p отображает только активные соединения TCP. На Экране 3 показана система со множеством соединений в состоянии SYN_RECEIVED (полуоткрытом). Для каждого соединения приводится адрес системы, предположительно пославшей пакет SYN. Если такие соединения остаются в состоянии SYN_RECEIVED дольше, чем несколько минут, то, вероятно, имеет место атака SYN. Как правило, состояние соединения изменяется на ESTABLISHED менее чем через минуту.

Экран 3. Идет атака типа SYN - DoS.

Windows 2000 автоматически контролирует три счетчика, отслеживающих число активных портов TCP/IP и число портов в полуоткрытом состоянии, обнаруживая потенциальные атаки SYN. Если значения счетчиков превышают определенные пороговые величины, Windows 2000 предполагает, что началась атака SYN DoS. Во время атаки SYN DoS механизм TCP направляет запрос в раздел HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters, чтобы выяснить, какие ответные меры следует предпринять в данной ситуации. Элемент SynAttackProtect определяет число попыток и интервал времени между попытками. Эти величины задают условия тайм-аута соединения. Параметр SynAttackProtect имеет тип REG_DWORD и принимает значения 0, 1 или 2.

На системах, подключенных к Internet, этому параметру следует присвоить значение 1 или 2. В результате уменьшаются число повторных пересылок пакета SYN-ACK, интервал между ними и, как следствие, сокращается время, отведенное на ожидание нормальных и ложных запросов. Для наиболее надежной защиты от атак SYN DoS необходимо присвоить параметру значение 2.

Для систем, к которым можно напрямую обратиться из Internet (особенно не защищенных брандмауэром), элементу SynAttackProtect следует присвоить значение 1 или 2. Узнать о реализованных в брандмауэре мерах защиты от атак SYN и Ping of Death можно у поставщика. Следует иметь в виду, что при увеличении значения SynAttackProtect изменяется поведение системы при обработке как нормальных, так и DoS-запросов на установление соединений.

Защита от атак типа Dead-Gateway

Настраивая параметры TCP/IP вручную, необходимо указать адрес, маску подсети и выбираемый по умолчанию шлюз. Если система получает пакет с адресом назначения, не принадлежащим локальной подсети, то механизм IP пересылает пакет в шлюз. Затем шлюз направляет пакет другому маршрутизатору или конечному адресату. Нормально функционирующий шлюз всегда подтверждает получение таких пакетов. Если система не получает ответных сообщений о 25% пакетов, направленных в шлюз, то она считает шлюз неработающим, или «мертвым».

Чтобы предотвратить последствия отказа маршрутизатора, на закладке Advanced Settings диалогового окна TCP/IP Properties можно указать несколько маршрутизаторов. Если выбрано несколько маршрутизаторов, Windows 2000 автоматически активизирует функцию, которая обнаруживает «мертвый» маршрутизатор и выбирает следующий маршрутизатор из списка. Такая процедура динамической смены конфигурации повышает отказоустойчивость сети, но одновременно позволяет взломщику перенаправить сетевой трафик.

С «мертвыми» шлюзами связаны два элемента реестра. Первый, DeadGWDetectDefault, находится в разделе TcpipParameters и определяет стандартный режим обнаружения «мертвого» шлюза. Он используется для активизации и блокирования процедуры поиска «мертвых» шлюзов во всех интерфейсах TCP/IP. При необходимости можно воспользоваться вторым элементом, EnableDeadGWDetect из раздела Tcpip Parameters Interfaces adapterclassID, чтобы активизировать или блокировать режим обнаружения «мертвого» шлюза для конкретного адаптера. В режиме обнаружения «мертвого» шлюза механизм TCP передает в IP указание использовать резервный шлюз в случае, если TCP не получает ответа от шлюза после нескольких попыток передачи пакета. Если режим обнаружения отключен, то TCP не может пересылать пакеты в другой шлюз.

Чтобы вручную разрешить или запретить обнаружение «мертвых» шлюзов механизмом TCP, нужно присвоить параметру DeadGWDetectDefault значение 0 (запретить) или 1 (разрешить). Для отдельного сетевого адаптера с этой целью следует добавить или изменить параметр DeadGWDetect в разделе InterfacesadapterclassID.

Если режим обнаружения «мертвого» шлюза отключен, то в случае отказа основного шлюза механизм TCP не может динамически перенаправить пакеты на другие маршрутизаторы. Невозможность передать пакеты за пределы локальной подсети приводит к разрыву всех соединений, за исключением локальных. По этой причине, а также потому, что нападение через резервный шлюз - событие гораздо более редкое, чем атаки SYN DoS и Ping of Death, я рекомендую отключать режим обнаружения «мертвых» шлюзов лишь на тех участках сети, в которых требуется особо строгий режим конфиденциальности.

Защита от атак PMTU

Как видно из Таблицы 1, для сети каждого физического типа, например Ethernet и X.25, установлен максимальный размер кадра, называемый Maximum Transmission Unit (MTU) - максимальный размер передаваемого блока данных. Он определяет объем данных, который можно передать по сети отдельным блоком. Когда сообщения пересекают границу сетей различных типов (например, Ethernet и Token Ring), MTU сети-источника может быть меньше или больше, чем MTU сети-приемника.

Когда сетевой пакет размером 16 Кбайт пересекает границу сети с MTU 1500 байт, то между компьютерами в обеих сетях происходит обмен информацией MTU. Затем передающая машина разбивает (фрагментирует) сообщение на несколько пакетов, каждому из которых присваивается порядковый номер, определяющий последовательность малых пакетов в более крупном оригинальном сообщении.

Фрагментация пакетов - важный фактор снижения производительности. При делении пакета на несколько фрагментов передающая машина расходует такты процессора и память, вводит порядковый номер и передает уменьшенный пакет. Система-приемник расходует такты процессора и ресурсы памяти, сохраняя пакеты в буфере, упорядочивает пакеты по номеру и восстанавливает кадр.

В Windows 2000 реализован алгоритм Path MTU (PMTU), который обнаруживает самый малый MTU на пути между источником и приемником сообщения и преобразует сообщение в пакеты соответствующего размера. Таким образом, алгоритм оптимизации PMTU исключает процедуру фрагментации на нескольких маршрутизаторах вдоль пути, соединяющего сеть-источник с сетью-приемником.

В процессе определения PMTU машина становится уязвимой для атак. Теоретически взломщик может запрограммировать систему так, чтобы процедура определения MTU дала результат 68 байт (самый малый размер, предусмотренный TCP/IP). Windows 2000 использует это значение для упаковки и трансляции всех сетевых сообщений на целевую систему за пределами локальной подсети. Затем тот же взломщик может направить на систему лавину из сотен или тысяч пакетов. Если входящие сообщения прибывают быстрее, чем система успевает делить их на 68-байтовые фрагменты для пересылки на целевую машину, то могут быть исчерпаны все ресурсы на всех машинах, обрабатывающих сообщение.

Чтобы избежать подобной ситуации, следует блокировать процесс определения PMTU. Управлять процессом можно с помощью элемента EnablePMTUDiscovery раздела TcpipParameters. Параметр имеет тип REG_DWORD и может принимать значения 0 («ложь») и 1 («истина»). По умолчанию, процесс определения PMTU активизирован.

При разумном подходе запрет определения PMTU может помешать взломщику присвоить MTU, а следовательно, и PMTU, недопустимо малое значение. Но одновременно блокируется и важный алгоритм сетевой оптимизации. Ужесточив режим на системе, которая выполняет маршрутизацию сетевых сообщений, администратор задает одинаковый размер (576 байт) для всех пакетов, пересылаемых в подсети за пределами локальной подсети. Размер такого пакета составляет чуть больше трети стандартного пакета Ethernet (1500 байт).

Защита от обычных атак DoS

Система, инициировавшая TCP-соединение с другой машиной, периодически посылает на целевой компьютер пакет KeepAlive, который представляет собой просто сообщение ACK: она должна убедиться, что бездействующее соединение еще не разорвано. Если целевая система по-прежнему на связи, она посылает подтверждающее сообщение. Если связь прервана, то ответа не приходит, и система-передатчик завершает сеанс связи. По умолчанию Windows 2000 блокирует функцию KeepAlive, так как этот механизм создает существенную дополнительную нагрузку на ресурсы, особенно если сервер должен запрашивать информацию о состоянии сотни или тысячи потенциально бездействующих соединений.

Функцию KeepAlive имеет смысл активизировать на машинах, предоставляющих ресурсы ограниченному числу пользователей. Для управления запросами KeepAlive используется два элемента раздела TcpipParameters - KeepAliveTime и KeepAliveInterval.

Система с активизированной функцией KeepAlive посылает пакет ACK целевой машине в случае, если соединение не использовалось в течение периода времени, определяемого элементом KeepAliveTime. Стандартное значение KeepAliveTime - 7 200 000 мс (2 ч). Если удаленная машина отвечает на сообщение KeepAlive, но в остальном соединение не активно, система-источник пошлет очередной запрос ACK спустя 2 ч.

Если система-источник не получает ответа, она повторяет запрос ACK через интервал времени, определенный параметром KeepAliveInterval. Стандартное значение KeepAliveInterval - 1000 мс (1 с). Система-источник направляет удаленной системе до пяти запросов с интервалом в одну секунду (число повторов определяется элементом TCPMaxDataRetransmissions раздела TcpipParameters). Если удаленная система не отвечает после максимального числа попыток, система-источник закрывает соединение.

Значение KeepAliveTime можно уменьшить с 2 ч до 30-45 мин, чтобы поскорее закрыть неиспользуемые TCP-соединения и освободить ресурсы для других пользователей. Следует помнить, что этот параметр влияет на все соединения TCP, в том числе и локальные, поэтому необходимо тщательно взвесить последствия данного изменения. Для защиты от атак DoS разработчики Microsoft рекомендуют уменьшить значение KeepAliveTime до 300 000 мс (5 мин). За исключением особых случаев, рекомендуется использовать стандартное значение KeepAliveInterval (1 с).

Профилактика нападений по NetBT Name-Release

Сообщения NetBIOS over TCP/IP (NetBT) не подлежат аутентификации, поэтому любая система, в том числе используемая взломщиком, может посылать обычные пакеты NetBT любому другому компьютеру в сети. Для организации атаки с освобождением имени (name-release) используется логическая ошибка в алгоритме разрешения конфликтов имен NetBIOS. Как правило, Windows 2000 и Windows NT 4.0 обнаруживают конфликты имен, когда машина регистрирует свое имя в сети после начальной загрузки. В случае конфликта операционная система блокирует сетевые функции на машине, пытающейся зарегистрировать дублированное имя NetBIOS.

Воспользовавшись логической ошибкой, взломщик может послать датаграмму службы имен машине, уже успешно зарегистрировавшей свое имя NetBIOS. Датаграмма информирует систему о конфликте имен. Получив датаграмму, система выдает соответствующее сообщение, освобождает имя NetBIOS и перестает отвечать на запросы, направленные по этому имени. Освободив зарегистрированное имя, система теряет всю функциональность NetBIOS и не позволяет использовать имена NetBIOS для просмотра и доступа к машинам. Подобные действия не влияют на функциональность TCP/IP при обращении к системам по имени DNS или адресу TCP/IP.

С помощью команды Nbstat -n можно проверить, существует ли на самом деле конфликт имен. Эта команда отображает зарегистрированные в данное время имена NetBIOS с пометкой Conflict у конфликтующих имен.

Windows 2000 хранит сведения о конфигурации NetBT в разделе HKEY_LOCAL_MACHINE CurrentControlSet Services NetBT Parameters. Поведение механизма освобождения имен NetBIOS определяется элементом NoNameReleaseOnDemand. В документации Microsoft указывается, что элемент появился в пакете исправлений Windows 2000 Server Service Pack 2 (SP2), но по умолчанию отсутствует в разделе NetBTParameters. Его необходимо ввести туда вручную.

NoNameReleaseOnDemand имеет тип REG_DWORD. Стандартное значение, 0, заставляет систему освободить имя сразу же по получении датаграммы от службы имен. Если присвоить параметру NoNameReleaseOnDemand значение 1, то система освободит имя NetBIOS, только если конфликт произошел в процессе регистрации имени. Активизировав эту функцию, можно предотвратить нападение. Прием будет лишним, если в адаптере, обеспечивающем связь с Internet, уже отключен режим использования имен NetBIOS в соединениях TCP/IP. Метод можно применять только на машинах Windows 2000 и NT 4.0 с функциями безопасности, реализованными в пакете SP6a.

В бюллетене Microsoft Security Bulletin MS00-047 (Patch Available for «NetBIOS Name Server Protocol Spoofing» Vulnerability) содержится предупреждение, что при активизации элемента NoNameReleaseOnDemand в журнал событий записывается множество сообщений о событии ID 4320. Система будет регистрировать сообщение с этим идентификационным номером всякий раз при получении широковещательного запроса на освобождение имен типовых групп. Эти запросы поступают от систем, которые уже зарегистрировали имена групп и освобождают имена в ходе стандартного процесса завершения работы. Сообщения можно игнорировать.

Максимальная безопасность

Описанные в данной статье приемы ориентированы на системы специального назначения, содержащие конфиденциальную информацию. С их помощью можно повысить отказоустойчивость систем, но при этом есть опасность снижения быстродействия и ухудшения функциональности сети. После каждого изменения машину следует перезагружать.

Паула Шерик - редактор Windows & .NET Magazine и консультант по вопросам планирования, реализации и взаимодействия сетей. С ней можно связаться по адресу:

Безопасная компания - эффективная компания. Это аксиома для мирового бизнеса. Одна из важнейших составляющих обеспечения безопасности производства - умение оценивать существующие риски и принимать эффективные решения для их минимизации

Человек рискует каждый день, час, минуту, секунду своей жизни. Это не преувеличение. Даже простой поход в кино грозит нам несчастьями - от легкой травмы при падении с лестницы до гибели в результате дорожного происшествия. Что уж говорить о работе на кухне или в мастерской. Однако до несчастных случаев доходит нечасто. Все дело в том, что так же ежесекундно мы оцениваем грозящую опасность, тут же вырабатываем пути снижения риска (как правило, до нуля), реализуем принятые решения... и остаемся в итоге целыми и невредимыми.

В принципе, это и есть модель управления рисками, которая точно так же работает в любой компании или на промышленном предприятии. Только бизнесу приходится иметь дело с несравненно большим количеством вводных, а цена ошибочного решения может исчисляться колоссальными суммами, экологическими катастрофами и порой человеческими жизнями. Поэтому построению системы управления рисками в сфере производственной безопасности прогрессивные компании уделяют самое пристальное внимание. Активно занимаются этой работой и в «Газпром нефти».

Риски по ранжиру

Для того чтобы говорить об управлении рисками, стоит разобраться, что же вообще такое риск. Определений существует множество, причем каждый официальный документ, так или иначе регулирующий эту сферу, дает свое. «Риск - это следствие влияния неопределенности на достижение поставленных целей» - это, к примеру, стандарт ГОСТ Р 51897–2011 «Менеджмент риска. Термины и определения». А это ФЗ-184 «О техническом регулировании»: «Риск - это вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни и здоровью животных и растений с учетом тяжести этого вреда». В «Газпром нефти» принята и закреплена стандартом компании такая формулировка: «Реализация нежелательного события, сочетание вероятности возникновения опасного события или воздействия и тяжести (травмы или ухудшения состояния здоровья, ущерб окружающей среде и имуществу), которые могут быть вызваны таким событием или воздействием».

Оговоримся, что речь идет только о рисках в области промышленной и экологической безопасности, охраны труда и гражданской защиты (HSE-риски), так как существует огромное количество другого рода опасностей и неопределенностей - финансовых, инвестиционных, организационных и так далее.

Уменьшить риски, связанные с человеческим фактором, можно, лишь изменив поведенческие модели

В свою очередь, HSE-риски делятся на две большие группы: профессиональные и техногенные. Первые обусловлены воздействием вредных или опасных производственных факторов на работника при исполнении им обязанностей. Например, вероятность того, что человек, работающий на высоте, может упасть вниз, относится к профессиональным рискам. Техногенные риски - опасности, которые несут с собой производственные технологии, - могут касаться всего общества. «По международной статистике, частота реализации профессиональных рисков гораздо выше, чем технологических, но и последствия происшествий, связанных с этой категорией, гораздо легче», - уточнил начальник департамента производственной и экологической безопасности «Газпром нефти» Олег Николаенко.

Схема ранжирования последствий инцидентов по их тяжести вряд ли имеет значимость для человека, оказавшегося в роли пострадавшего, но крайне важна для построения грамотной системы управления рисками. Например, как показывает практика, чувствительный урон экономике компании наносят потеря трудоспособности сотрудниками, аварийный выход из строя оборудования, порча имущества.

Человеческий фактор

Пресловутый человеческий фактор - причина подавляющего большинства происшествий на производстве. Корни этой группы рисков кроются в первую очередь в человеческой психологии, поэтому и нивелируются они с помощью технологий изменения поведенческой модели людей, подкрепленных различными обучающими программами. То есть в целом речь идет о трансформации корпоративной культуры.

«Трансформация культуры - процесс долгий, однако это путь, по которому необходимо пройти, - отметила руководитель направления по обучению персонала, развитию компетенций, культуре безопасности „Газпром нефти“ Татьяна Юрченкова. - Сегодня безопасность стала главной корпоративной ценностью компании, и мы стараемся донести до каждого, что сохранение жизни и здоровья важнее решения любых производственных задач. Мы должны научить сотрудников правильно оценивать риски, чтобы не допустить возникновения происшествий, но при этом и не нанести компании ущерб необоснованными остановками производства».

Именно эта задача легла в основу решения под названием «5 шагов», которое позволяет человеку грамотно оценивать ситуацию, причем делать он это должен каждый день. Для того чтобы методика стала правилом жизни, она, по оценке Олега Николаенко, должна быть простой и логичной: «Наша проблема в том, что мы слишком сложно объясняем людям простые вещи. Когда человек слышит такие формулировки, как „оценка риска, управление рисками“, у него автоматически формируется представление, что это какие-то сложные процессы, требующие специальных знаний. Сейчас мы намеренно упрощаем инструкции, предлагаем простые и понятные инструменты, такие как „5 шагов“. С их помощью мы просто говорим каждому: остановись за пять шагов до производственного объекта, подумай, какие опасности тебе грозят в связи с выполнением конкретной работы, что ты должен делать для того, чтобы опасность не воплотилась в реальное происшествие, что будешь делать, если в процессе работы произойдут изменения».

Впрочем, только изменением психологии людей дело, конечно, не ограничивается. Вероятность реализации рисков, связанных с человеческим фактором, снижают различные меры организационного характера. Например, система допуска к работам отсекает людей, не обладающих необходимыми для ее выполнения компетенциями или не прошедших соответствующего обучения. Под особым вниманием должны быть новички. А применение современных средств индивидуальной защиты призвано снизить тяжесть последствий происшествий, если они все-таки случатся.

Елена Илюхина,
заместитель генерального директора «Газпром нефти» по правовым и корпоративным вопросам:

Все аспекты производства связаны с рисками. Управление рисками производственной безопасности начинается при оценке и проектировании новых объектов и не заканчивается до их вывода из эксплуатации. Каждый сотрудник должен уметь оценивать риски для жизни, последствия для активов и окружающей среды, организовать работу для себя и подчиненных так, чтобы их нивелировать.

При этом не стоит забывать, что большую часть работ, непосредственно связанных с производством, а значит, и с повышенной опасностью, в нефтянке традиционно выполняют подрядные организации. Значит, риски должны контролироваться и на стороне контрагентов. Сегодня «Газпром нефть» активно внедряет новые подходы к взаимоотношениям с подрядчиками, охватывающие весь периметр договорных отношений, - от отбора до оценки выполненных работ. И во многом успешность партнерства зависит от качества системы управления рисками компании-контрагента, уровня ее зрелости в области HSE и готовности меняться в соответствии со стандартами безопасности «Газпром нефти».

Люди и машины

Технологические риски - это уже не психология. Направления их снижения лежат в первую очередь в областях организации, проектирования, анализа, статистики. Причем решения, обеспечивающие максимальную безопасность, учитывающие все нюансы, должны закладываться на самой ранней стадии, когда только ведется проектирование технологических объектов, и охватывать весь их жизненный цикл, вплоть до демонтажа и утилизации. Так делают все мировые промышленные лидеры, именно эту концепцию сегодня использует в своих проектах и «Газпром нефть». Яркий пример - новые арктические месторождения, которые один за другим сейчас вводятся в эксплуатацию.

«Пять шагов»

Более того, компания несколько лет назад стала пионером в этом направлении, вместе с Российским союзом промышленников и предпринимателей инициировав на законодательном уровне внедрение рискориентированного подхода в процессы проектирования, строительства и эксплуатации промышленных объектов.

«Через открытое правительство мы внесли изменения в ФЗ 116 «О промышленной безопасноганизационного характера. Например, система допуска к работам отсекает людей, не обладающих необходимыми для ее выполнения компетенциями или не прошедших соответствующего обучения. Под особым вниманием должны быть новички. А применение современных средств индивидуальной защиты призвано снизить тяжесть последствий происшествий, если они все-таки случатся».

Определение уровня риска

Система управления рисками в мировых
нефтегазовых компаниях

На этапе проектирования нивелируется или сводится к минимально возможному остаточному уровню практически 90% технологических рисков. Однако и на этапе эксплуатации объектов существует немало инструментов управления рисками - от проведения приемо-сдаточных испытаний до использования современных систем контроля технологических параметров, диагностики оборудования, внедрения прогрессивных схем планирования и проведения ремонтов. Большой пласт этой работы входит в одно из самостоятельных направлений развития системы управления операционной деятельностью «Газпром нефти» - .

Впрочем, очевидно, что решения, принимающиеся в рамках системы управления рисками, особенно связанные с минимизацией техногенных опасностей, часто бывают достаточно ресурсоемкими. Поэтому одна из масштабных инициатив в этой сфере, которая сегодня реализуется в компании, - увязка системы управления рисками с бюджетированием. «Мы должны четко показывать инструмент оценки возможных последствий нежелательных событий, их вероятности, эффективности принимаемых мер, - пояснил начальник департамента производственной безопасности „Газпром нефти“. - Помимо актуализации инструментов оценки, в рамках инициативы будет определен порядок бюджетирования необходимых средств на основе определения и ранжирования HSE-рисков для их снижения до приемлемого уровня, а также внедрена система управления экологическими рисками».

Кстати, именно недостаточную связь процессов управления рисками и бюджетирования проводившие диагностику системы управления HSE в «Газпром нефти» эксперты назвали одним из важных выявленных недостатков. И это действительно важно, так как недооценка, а значит, и недофинансирование программы снижения рисков может привести к росту количества и повышению тяжести последствий происшествий. В свою очередь, чрезмерные вложения, ухудшая экономику проектов, не принесут пользы. Именно об этом говорит принцип ALARP*: меры по снижению риска должны усиливаться до момента, пока затраты (организационные, финансовые и временные) не начнут существенно возрастать без создания значительных дополнительных преимуществ (что делает эти дополнительные меры необоснованными и непрактичными).

Алексей Янкевич,
заместитель генерального директора «Газпром нефти» по экономике и финансам:

Каждый руководитель должен понимать, что, уделяя время и ресурсы вопросам управления рисками производственной безопасности, он инвестирует в будущее компании. В долгосрочном периоде производственная безопасность - это хороший бизнес.

В целом же эксперты пришли к выводу, что качественный подход к управлению рисками в «Газпром нефти» существует, однако система управления рисками не в полной мере внедрена в операционную деятельность компании. Очевидно, что решение этой проблемы по большей части лежит в области менеджмента. Ключевые для бизнеса и производства люди сами должны обладать достаточными компетенциями, чтобы эффективно управлять рисками, - только в этом случае каждое технологическое и профессиональное решение будет обоснованным. Обучение таких людей, принимающих решения на всех уровнях, - от мастера до менеджера высшего звена, - стало отдельной инициативой в рамках процесса выстраивания системы оценки и управления рисками в «Газпром нефти».

Эта система - краеугольный камень производственной безопасности, от уровня развития которой, в свою очередь, во многом зависит эффективность всего бизнеса.

Компетентность специалистов всех уровней - залог соблюдения правил промбезопасности

*Принцип ALARP (as low as reasonably practicable - англ. «настолько низко, насколько это практически целесообразно») - принцип, определяющий минимальный приемлемый уровень риска

6.1. АБВР проводится каждым работником в обязательном порядке непосредственно перед началом любой работы.

6.2. АБВР проводится:

· в устной форме или письменно, с использованием Формы для записей установленного образца (см. Приложение 1);

· работником самостоятельно или совместно с руководителем.

6.3. Решение о варианте проведения АБВР принимается руководителем.

6.4. АБВР с заполнением Формы для записей проводится только руководителем, совместно с непосредственным исполнителем работ или группой работников.

6.5. В обязательном порядке АБВР с использованием Формы для записей проводится в случае, если при самостоятельном проведении АБВР работник или группа работников пришли к выводу о невозможности начинать работу.

6.6. При возникновении разногласий между работником и руководителем относительно возможности безопасного выполнения работ, работник имеет право обратиться в службу ОТ, ПБ и ООС.

· при проведении инструктажей по ОТ, ПБ и ООС перед началом работ с вновь принятыми и переведенными на данный участок работниками;

· если руководитель считает это необходимым для обеспечения качества проведения АБВР.

6.8. Работник имеет право требовать проведения АБВР совместно с руководителем.

6.9. Анализ Безопасности Выполнения Работ (АБВР) состоит из пяти шагов:

Подробное описание методики проведения АБВР приведено в Приложении 2.

6.10. При определении источников опасности необходимо пользоваться методическими рекомендациями, приведенными в Приложении 3.

6.11. При определении мер по защите от источников опасности необходимо пользоваться методическими рекомендациями, приведенными в Приложении 4.

6.12. Если работник не может провести АБВР или не может на практике выполнить меры защиты от источников опасности, он не должен начинать или продолжать работу и должен обратиться к непосредственному руководителю.

6.13. Запрещается подменять проведение АБВР использованием формы, заполненной при проведении АБВР для аналогичных работ в прошлом.

6.14. При существенном изменении условий в ходе выполнения работы необходимо остановить работу, провести АБВР заново, по методике, предусмотренной данным Стандартом.

6.15. Если предстоящая работа должна выполняться группой работников, то АБВР проводится группой работников совместно, под руководством бригадира или другого работника, назначенного руководителем.

6.16. Проведение АБВР в группе работников не отменяет индивидуального выполнения каждым работником шагов по АБВР непосредственно перед началом работы или во время работы при изменении условий.

Обучение

7.1. Все руководители, специалисты и рабочие проходят обучение методике проведения Анализа Безопасности Выполнения Работ.

7.2. Руководители высшего звена (Генеральный Директор, директора по направлениям, главные специалисты и их заместители) изучают требования стандарта по материалам, предоставленным Дирекцией по ПБ и Э.

7.3. Обучение руководителей среднего, начального звена и рабочих проводится внутренними тренерами, службами ОТ, ПБ и ООС предприятий или привлеченными по согласованию с Дирекцией по ПБ и Э Управляющей Компании внешними ресурсами (консалтинговые или тренинговые компании).

7.4. Повторное обучение руководителей среднего и начального звена, а также рабочих проводится путем включения соответствующего раздела в программы обязательного обучения и инструктажи по ОТ, по рекомендованным Дирекцией по ПБ и Э материалам.

7.5. Службы ОТ, ПБ и ООС совместно с кадровыми службами предприятий организовывают оперативное обучение по АБВР для всех вновь принятых работников.

Порядок внесения изменений

8.1. Предложения по внесению изменений (дополнений) в данный Стандарт направляются в Дирекцию по ПБ и Э Управляющей Компании.

8.2. Предложение о внесении изменений (дополнений) должно содержать:

· номера пунктов, в которые предлагается внести изменения (дополнения);

· текст предлагаемого изменения (дополнения);

· обоснование необходимости внесения изменения (дополнения).

8.3. Изменения и дополнения вносятся в соответствии с внутренними регламентами Управляющей Компании.

Записи

9.1. Управление записями осуществляется в соответствии с требованиями ПР-4.5.4-01 «Порядок управления записями Интегрированной Системы Менеджмента ОТ, ПБ и ООС».

9.2. Перечень записей, предусмотренных данным Стандартом, приведен в Таблице 1.

Таблица 1.

Приложения

Приложение 1 – Образец Формы для записи АБВР.

Приложение 2 – Методика проведения АБВР.

Приложение 1

(обязательное) Образец формы для записи АБВР

Приложение 2

(обязательное)

Методика проведения АБВР«5 шагов к безопасности»

АБВР – это обязательная последовательность действий, которая выполняется работником самостоятельно или с участием руководителя непосредственно перед началом работы. Результатом проведения АБВР является принятие решения о возможности безопасного выполнения работы.

• Мысленно разбейте работу на этапы.
• Определите, какие источники опасности для жизни и здоровья существуют или могут появиться на каждом из этапов.
• Определите, какие источники опасности для окружающей среды существуют или могут появиться на каждом из этапов.
• Определите, какие опасные события могут произойти (как источники опасности могут воздействовать на людей и окружающую среду).

• Для каждого источника опасности для жизни и здоровья людей определите:
• кто может пострадать,
• насколько тяжелыми могут быть последствия.
• Для каждого источника опасности для окружающей среды определите, к каким последствиям может привести его воздействие на окружающую среду.

• Какие меры необходимо принять для защиты жизни и здоровья людей?
• Какие меры необходимо принять для предотвращения загрязнения окружающей среды (воды, воздуха, почвы)?
• Есть ли у вас необходимые навыки, оборудование и приспособления?
• Что еще необходимо сделать?

• Знаете ли вы, как действовать в аварийной ситуации?
• Сможете ли вы вызвать помощь?
• Сможете ли вы оказать помощь?

Шаг 5

Принять решение о возможности начинать работу.

• Были ли выполнены все необходимые меры защиты от источников опасности?
• Уверены ли вы, что работу можно выполнить безопасно?
• Уверены ли вы, что не произойдет загрязнения окружающей природной среды?
• Если не уверены, не начинайте работу! Обратитесь к руководителю. Разработайте и выполните необходимые меры защиты!