Информационная безопасность ОАО «РЖД»
В случае обнаружения несанкционированных действий и вирусных заражений, а также нарушений соглашения об охране информации, составляющей коммерческую тайну ОАО «РЖД», и договорных обязательств по обмену данными направляет в информационно-вычислительные центры — структурные подразделения Главного вычислительного центра ОАО «РЖД» данные для блокировки работы персональных компьютеров пользователей… Читать ещё >
Информационная безопасность ОАО «РЖД» (реферат, курсовая, диплом, контрольная)
Министерство образования и науки РФ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования Пермский национальный исследовательский политехнический университет КУРСОВАЯ РАБОТА ПО ДИСЦИПЛИНЕ «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»
на тему ОАО «РЖД»
Выполнили студенты Гуманитарного факультета Заочного отделения Группа ИЭ-09С Агеева Ксения Андреевна Бражникова Надежда Михайловна Сапожникова Кристина Владимировна Нечаев Павел Проверил преподаватель:
Пикулев Владимир Михайлович Пермь 2013
Содержание Введение
1. Регламент предприятия
1.1 Функции департамента
1.2 Функции Регионально центра безопасности
1.3 Функции Общества при взаимодействии в ОАО «РЖД»
2. Каналы утечки информации
2.1 Каналы утечки информации, соответствующие объектам защиты ОАО «РЖД»
2.2 Основные источники конфиденциальной информации
3. Информационная безопасность ОАО «РЖД»
3.1 Основные объекты защиты информации
3.2 Угрозы информационной безопасности
3.2.1 Угрозы внешние:
3.2.2 Внутренние угрозы:
3.3 Цели создания и функционирования СОИБ
3.4 Основные составляющие СОИБ
3.4.1 Организационная составляющая
3.4.2 Нормативно-правовая составляющая
3.4.3 Техническая составляющая
3.5 Основные работы по развитию и совершенствованию системы защиты информации
4. Система управления информационной безопасностью (СУИБ)
4.1 Функции СУИБ
4.2 Разработка СУИБ
4.3 Внедрение и применение СУИБ
4.4 Мониторинг и анализ СУИБ
4.5 Поддержание и совершенствование СУИБ
5. Мероприятия управления Информационной безопасностью
5.1 Модель защиты информационной безопасности ОАО «РЖД»
Заключение
Введение
Примечательная особенность нынешнего периода — переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы.
Информационная безопасность организации — целенаправленная деятельность её органов и должностных лиц с использованием разрешённых сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие.
Практика работы крупнейших мировых компаний показывает, что игнорирование вопросов информационной безопасности существенно увеличивает риск возникновения серьезных материальных потерь вплоть до полного нарушения работы важнейших управляющих, информационных и телекоммуникационных систем, фактической остановки технологического процесса. В настоящее время количество попыток несанкционированных воздействий (атак) на корпоративные информационные ресурсы существенно возросло, и информационные ресурсы ОАО «РЖД», к сожалению, не являются в этом плане исключением. Кроме того, информационные системы ОАО «РЖД» представляют собой потенциальный источник информации, которая может быть использована в целях совершения различных противоправных акций. Именно поэтому руководство ОАО «РЖД» уделяет пристальное внимание проблеме обеспечения информационной безопасности.
Российские железные дороги — своеобразное «государство в государстве» по объему решаемых задач и по месту в экономике нашей страны. Поэтому, о том, какое место в деятельности Департамента безопасности ОАО «РЖД» занимают вопросы информационной безопасности, что представляет собой система обеспечения информационной безопасности и каковы приоритетные направления в развитии системы защиты информации ОАО «РЖД» подробно рассмотрено в данной курсовой работе.
1. Регламент предприятия Регламент основывается на требованиях законодательства Российской Федерации, нормативных документов ОАО «РЖД» и Общества.
Департамент, региональный центр и Общество при решении вопросов обеспечения информационной безопасности взаимодействуют в соответствии с законодательством Российской Федерации, настоящим Регламентом, а также заключенным соглашением.
1.1 Функции департамента Департамент при взаимодействии с Обществом по вопросам обеспечения информационной безопасности выполняет следующие функции:
1) осуществляет разработку и обеспечивает реализацию единой политики в области обеспечения информационной безопасности ОАО «РЖД» и Общества, контролирует и координирует деятельность Общества по обеспечению безопасности информационных ресурсов;
2) координирует деятельность регионального центра по вопросам контроля и обеспечения информационной безопасности при взаимодействии с Обществом;
3) оказывает методическую помощь при подготовке проектов соглашений (договоров) об охране информации, составляющей коммерческую тайну ОАО «РЖД», и при разработке документов Общества по вопросам обеспечения информационной безопасности;
4) оказывает организационно — методическую помощь по вопросам обучения, переподготовки и повышения квалификации работников Общества в области защиты информации;
5) согласовывает доступ к информационным ресурсам ОАО «РЖД» пользователям Общества в соответствии с нормативными документами ОАО «РЖД»;
6) контролирует соблюдение обязательств Общества по охране информации, составляющей коммерческую тайну ОАО «РЖД»;
7) контролирует информацию, передаваемую с использованием сети передачи данных ОАО «РЖД», включая электронную почту и другие средства коммуникации, в целях определения непроизводственного трафика и соблюдения режима коммерческой тайны ОАО «РЖД»;
8) проводит служебные расследования (совместно с представителями Общества) по фактам обнаруженных в ходе проверок нарушений информационной безопасности.
1.2 Функции Регионально центра безопасности Региональный центр безопасности при взаимодействии с Обществом по вопросам обеспечения информационной безопасности выполняет следующие функции:
1) обеспечивает реализацию единой политики в области обеспечения информационной безопасности ОАО «РЖД» и Общества, расположенного в границах зоны ответственности регионального центра;
2) оказывает методическое и практическое содействие Обществу в вопросах обеспечения информационной безопасности;
3) разрабатывает и контролирует мероприятия по защите информации (за исключением сведений, составляющих государственную тайну) от случайных или преднамеренных действий, которые могут нанести ущерб ОАО «РЖД»;
4) контролирует порядок предоставления доступа пользователям Общества к информационным ресурсам ОАО «РЖД» в соответствии с нормативными документами ОАО «РЖД», в том числе наличие договора (соглашения) об электронном обмене данными, соглашения об охране информации, составляющей коммерческую тайну;
5) проводит мониторинг и контролирует защищенность информационных систем, телекоммуникационных сетей, средств вычислительной техники, имеющих доступ к сети передачи данных ОАО «РЖД», за исключением внутренних систем и сетей Общества, не имеющих доступа к сети передачи данных ОАО «РЖД»;
6) рассматривает и согласовывает с Обществом договоры (соглашения) об электронном обмене данными, технические решения в области передачи данных и обеспечения информационной безопасности информационных систем и телекоммуникационных сетей Общества, имеющих доступ к сети передачи данных ОАО «РЖД», договоры, заключаемые Обществом, на оказание информационных и телематических услуг;
7) в случае обнаружения несанкционированных действий и вирусных заражений, а также нарушений соглашения об охране информации, составляющей коммерческую тайну ОАО «РЖД», и договорных обязательств по обмену данными направляет в информационно-вычислительные центры — структурные подразделения Главного вычислительного центра ОАО «РЖД» данные для блокировки работы персональных компьютеров пользователей и других средств вычислительной техники Общества, имеющих доступ к сети передачи данных ОАО «РЖД». Несанкционированными действиями являются все виды атак на любые компоненты информационных систем и телекоммуникационных сетей; сканирование оборудования сети передачи данных, локальных сетей и компьютеров; несанкционированное включение в конфигурацию персональных компьютеров, имеющих доступ к сети передачи данных ОАО «РЖД», средств мобильной связи (модемы, мобильные телефоны с возможностью модемной связи, инфракрасные порты, адаптеры беспроводной связи и др.), самовольное подключение к внешним сетям (в том числе к сети Интернет); нарушение согласованных схем подключения к сети передачи данных ОАО «РЖД» (в том числе подключение несогласованных средств маршрутизации); открытие, поддержка незарегистрированных ресурсов; запись и хранение на средствах вычислительной техники программных продуктов и информационных массивов, распространение которых нарушает законодательство Российской Федерации и требования нормативных документов ОАО «РЖД», программных средств исследования объектов информатизации и нападения на них, перехвата, искажения и уничтожения информации, других программных средств, имеющих свойства и функциональные возможности нанесения ущерба информационным системам и телекоммуникационным сетям, аудио-, фото-, видеографических файлов непроизводственного характера, средств их просмотра и модификации, информации развлекательного характера, компьютерных игр и других программных продуктов и файлов, распространение которых ведет к непроизводственной загрузке сети передачи данных и средств вычислительной техники, изменение IP — и МАС — адресов оборудования;
8) обеспечивает взаимодействие с заместителем руководителя Общества и подразделением (специалистами) информационной безопасности Общества по вопросам безопасности;
9) запрашивает у Общества информацию, необходимую для осуществления контроля за соблюдением требований информационной безопасности при использовании информационных ресурсов и сети передачи данных ОАО «РЖД»;
10) осуществляет контроль за соблюдением Обществом требований нормативных документов ОАО «РЖД» в части обеспечения информационной безопасности путем проведения плановых и внеплановых проверок оборудования, имеющего доступ к сети передачи данных ОАО «РЖД»;
11) уведомляет Общество о уязвимости и нарушениях в обеспечении информационной безопасности информационных систем и телекоммуникационных сетей Общества, контролирует их устранение;
12) участвует в приемке работ по внедрению средств передачи данных и защиты информации на объектах Общества;
13) контролирует выполнение обязательств Общества по охране информации, составляющей коммерческую тайну ОАО «РЖД»;
14)контролирует информацию, передаваемую с использованием сети передачи данных ОАО «РЖД», включая электронную почту и другие средства коммуникации, в целях определения непроизводственного трафика и соблюдения режима коммерческой тайны ОАО «РЖД»;
15) проводит служебные расследования (совместно с представителями Общества) по фактам обнаруженных в ходе проверок нарушений информационной безопасности;
16) участвует в проводимых Обществом совещаниях по вопросам информационной безопасности;
1. *
17)контролирует средства вычислительной техники, принадлежащие Обществу и имеющие доступ к информационным ресурсам ОАО «РЖД» и/или сети передачи данных ОАО «РЖД»;
18) незамедлительно информирует Общество о фактах разглашения (утечки) информации, составляющей его коммерческую тайну.
1.3 Функции Общества при взаимодействии в ОАО «РЖД»
Общество при взаимодействии с ОАО «РЖД» по вопросам обеспечения информационной безопасности выполняет следующие функции:
1) информирует региональный центр о начале своей деятельности, целях и задачах, наличии средств вычислительной техники, принадлежащих Обществу и имеющих доступ к информационным ресурсам ОАО «РЖД» и/или сети передачи данных ОАО «РЖД»;
2) организует работу по выполнению нормативных документов и рекомендаций ОАО «РЖД» в части обеспечения информационной безопасности;
3) обеспечивает функционирование системы информационной безопасности при взаимодействии с информационными ресурсами ОАО «РЖД» и/или сетью передачи данных ОАО «РЖД» по согласованной с региональным центром и утвержденной в установленном порядке схеме подключения;
4) оформляет заявки на доступ к информационным ресурсам ОАО «РЖД» в соответствии с нормативными документами ОАО «РЖД» и обеспечивает подключение средств вычислительной техники к сети передачи данных ОАО «РЖД» в соответствии с утвержденной схемой подключения. В случае кадровых изменений осуществляет переоформление заявок;
5) принимает необходимые меры при обнаружении попыток несанкционированного доступа к информационным ресурсам ОАО «РЖД»;
6) предоставляет в региональный центр информацию об устранении нарушений, а также об инцидентах информационной безопасности;
7) предоставляет региональным центрам возможность проведения плановых и внеплановых проверок соблюдения требований информационной безопасности (с участием своих представителей), в том числе утвержденных схем подключения к информационным ресурсам ОАО «РЖД»;
8) предоставляет работникам регионального центра право доступа на объекты информатизации Общества по служебному удостоверению;
9) согласовывает с региональным центром договоры (соглашения) об электронном обмене данными, технические решения в области передачи данных и обеспечения информационной безопасности информационных систем и телекоммуникационных сетей Общества, имеющих доступ к сети передачи данных ОАО «РЖД», договоры, заключаемые Обществом на оказание информационных и телематических услуг;
10) незамедлительно информирует региональный центр и Департамент о фактах разглашения (утечки) информации, составляющей коммерческую тайну ОАО «РЖД»;
11) устанавливает (не препятствует установке, обеспечивает функционирование) программные продукты, необходимые для пользования системами обеспечения информационной безопасности ОАО «РЖД», на оборудование, имеющее доступ к сети передачи данных ОАО «РЖД»;
12) предоставляет региональному центру материалы, содержащие анализ причин и последствий нарушений информационной безопасности на средствах вычислительной техники, имеющих доступ к сети передачи данных ОАО «РЖД», приведших к их блокировке, для принятия решения о разблокировке;
13) участвует в служебных расследованиях, проводимых Департаментом и региональным центром, по фактам, обнаруженным в ходе проверок обеспечения информационной безопасности;
14) представляет в региональный центр информацию, необходимую для осуществления контроля за соблюдением требований информационной безопасности при использовании информационных ресурсов ОАО «РЖД» (по согласованной форме);
15) информирует региональный центр об изъятии правоохранительными органами и утрате средств вычислительной техники, имеющих доступ к сети передачи данных ОАО «РЖД», электронных носителей, содержащих сведения, составляющие коммерческую тайну ОАО «РЖД», утрате, неисправности и отключении средств защиты информации, обнаружении несанкционированного подключения к сети передачи данных ОАО «РЖД»;
16) обеспечивает выполнение мероприятий по устранению уязвимости и нарушений в обеспечении информационной безопасности информационных систем и телекоммуникационных сетей в соответствии с уведомлениями регионального центра;
17) информирует региональный центр о сроках проведения приемки работ по внедрению средств защиты информации;
18) направляет уведомления в региональный центр с предложением принять участие в совещаниях по вопросам информационной безопасности;
19) предоставляет региональному центру возможность контроля средств вычислительной техники, имеющих доступ к информационным ресурсам ОАО «РЖД» и/или сети передачи данных ОАО «РЖД».
2. Каналы утечки информации Каналы утечки информации — методы и пути утечки информации из информационной системы; паразитная (нежелательная) цепочка носителей информации, один или несколько из которых являются (могут быть) правонарушителем или его специальной аппаратурой. Играют основную роль в защите информации, как факторинформационной безопасности.
Все каналы утечки данных можно разделить на косвенные и прямые. Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы. Прямые, соответственно, требуют доступа к аппаратному обеспечению и данным информационной системы.
Косвенные каналы утечки информации Ниже приведем примеры косвенных каналов утечки информации:
— использование подслушивающих устройств (радио, электронные);
— дистанционное видеонаблюдение, фотографирование, прослушивание;
— перехват побочных электронных волн;
— кража или утеря носителей информации.
Прямые (непосредственные) каналы утечки информации Теперь опишем примеры прямых каналов утечки:
— Утечка информации вследствие несоблюдения коммерческой тайны;
— Прямое копирование;
— Маскировка под пользователей КС;
— Разграничение доступа.
2.1 Каналы утечки информации, соответствующие объектам защиты ОАО «РЖД»
Развитие современных компьютерных технологий и средств связи дает возможность злоумышленникам использовать различные источники распространения угроз. Основные утечки информации:
Интернет Глобальная сеть Интернет уникальна тем, что не является чьей-то собственностью и не имеет территориальных границ. Это во многом способствует развитию многочисленных веб-ресурсов и обмену информацией. Сейчас любой человек может получить доступ к данным, хранящимся в интернете, или создать свой собственный веб-ресурс.
Однако эти же особенности глобальной сети предоставляют злоумышленникам возможность совершения преступлений в интернете, при этом затрудняя их обнаружение и наказание.
Злоумышленники размещают вирусы и другие вредоносные программы на веб-ресурсах, «маскируют» их под полезное и бесплатное программное обеспечение. Кроме того, скрипты, автоматически запускаемые при открытии веб-страницы, могут выполнять вредоносные действия на вашем компьютере, включая изменение системного реестра, кражу личных данных и установку вредоносного программного обеспечения.
Используя сетевые технологии, злоумышленники реализуют атаки на удаленные частные компьютеры и сервера компаний. Результатом таких атак может являться выведение ресурса из строя, получение полного доступа к ресурсу, а, следовательно, к информации, хранящемся на нем, использование ресурса как части зомби-сети.
В связи с появлением кредитных карт, электронных денег и возможностью их использования через интернет (интернет-магазины, аукционы, персональные страницы банков и т. д.) интернет-мошенничество стало одним из наиболее распространенных преступлений.
Интранет Интранет — это внутренняя сеть, специально разработанная для управления информацией внутри компании или, например, частной домашней сети. Интранет является единым пространством для хранения, обмена и доступа к информации для всех компьютеров сети. Поэтому, если какой-либо из компьютеров сети заражен, остальные компьютеры подвергаются огромному риску заражения. Во избежание возникновения таких ситуаций необходимо защищать не только периметр сети, но и каждый отдельный компьютер.
Электронная почта Наличие почтовых приложений практически на каждом компьютере, а также то, что вредоносные программы полностью используют содержимое электронных адресных книг для выявления новых жертв, обеспечивает благоприятные условия для распространения вредоносных программ. Пользователь зараженного компьютера, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т. д. Нередки случаи, когда зараженный файл-документ по причине недосмотра попадает в списки рассылки коммерческой информации какой-либо крупной компании. В этом случае страдают не пять, а сотни или даже тысячи абонентов таких рассылок, которые затем разошлют зараженные файлы десяткам тысячам своих абонентов.
Помимо угрозы проникновения вредоносных программ существуют проблема внешней нежелательной почты рекламного характера (спама). Не являясь источником прямой угрозы, нежелательная корреспонденция увеличивает нагрузку на почтовые сервера, создает дополнительный трафик, засоряет почтовый ящик пользователя, ведет к потере рабочего времени и тем самым наносит значительный финансовый урон.
Также важно отметить, что злоумышленники стали использовать так называемые спамерские технологии массового распространения и методы социального инжиниринга, чтобы заставить пользователя открыть письмо, перейти по ссылке из письма на некий интернет-ресурс и т. п. Из этого следует, что возможности фильтрации спама важны не только сами по себе, но и для противодействия некоторым новым видам интернет-мошенничества (например, фишингу), а также распространению вредоносных программ.
Съемные носители информации Съемные носители — дискеты, CD-диски, флеш-карты — широко используются для хранения и передачи информации.
При запуске файла, содержащего вредоносный код, со съемного носителя вы можете повредить данные, хранящиеся на вашем компьютере, а также распространить вирус на другие диски компьютера или компьютеры сети.
2.2 Основные источники конфиденциальной информации Основными источниками конфиденциальной информации являются:
— персонал предприятия, допущенный к конфиденциальной информации;
— носители конфиденциальной информации (документы, изделия);
— технические средства, предназначенные для хранения и обработки информации;
— средства коммуникации, используемые в целях передачи информации;
— передаваемые по каналам связи сообщения, содержащие конфиденциальную информацию.
Доступность Информационные системы создаются (приобретаются) для получения определенных информационных услуг (сервисов). Если по тем или иным причинам получение этих услуг пользователями становится невозможным, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.
Особенно ярко ведущая роль доступности проявляется в разного рода системах управления — производством, транспортом и т. п. Внешне менее драматичные, но также весьма неприятные последствия — и материальные, и моральные — может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей. Имеются в виду продажа железнодорожных и авиабилетов, банковские услуги и т. п.
Целостность Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Практически все нормативные документы и отечественные разработки относятся к статической целостности, хотя динамический аспект не менее важен. Пример динамической целостности — контроль потока финансовых сообщений на предмет выявления кражи, переупорядочения или дублирования отдельных сообщений.
Конфиденциальность Конфиденциальность — самый проработанный у нас в стране аспект информационной безопасности. На страже конфиденциальности стоят законы, нормативные акты, многолетний опыт соответствующих служб. Отечественные аппаратно-программные продукты позволяют закрыть практически все потенциальные каналы утечки информации.
3. Информационная безопасность ОАО «РЖД»
В данный момент система обеспечения информационной безопасности (СОИБ) ОАО «РЖД» представляет собой сложную организационно-техническую систему, предназначенную для обеспечения защиты информации и информационной инфраструктуры от воздействий, которые могут нанести неприемлемый ущерб ОАО «РЖД» вследствие утраты конфиденциальности, целостности и доступности информации.
3.1 Основные объекты защиты информации К основным объектам защиты информации в ОАО «РЖД» относятся: программно-технические комплексы и система управления единой магистральной цифровой сетью связи (ЕМЦСС); системы управления автоматических телефонных станций оперативно-технологической и общетехнологической сетей; программно-технические комплексы и система управления сети передачи данных; отдельные автоматизированные рабочие места (АРМ) и локальные вычислительные сети (ЛВС), в том числе задействованные в технологических процессах; серверные сегменты информационных систем и автоматизированных систем управления; программно-технические комплексы поддержания специализированных баз данных; системы документооборота.
3.2 Угрозы информационной безопасности
3.2.1 Угрозы внешние:
— естественные (атмосферные явления, стихийные бедствия, катастрофы, аварии);
— не естественные — можно отнести противоправную деятельность криминальных структур, конкурентов, фирм и частных лиц, занимающихся промышленным шпионажем либо мошенничеством, несостоятельных деловых партнеров, ранее уволенных за различные проступки сотрудников предприятия, а также правонарушения со стороны коррумпированных элементов из числа представителей контролирующих и правоохранительных органов.
3.2.2 Внутренние угрозы Относятся действия или бездействия (в том числе умышленные и неумышленные) сотрудников предприятия, противоречащие интересам его коммерческой деятельности, следствием которых могут быть нанесение экономического ущерба компании, утечка или утрата информационных ресурсов (в том числе сведений, составляющих коммерческую тайну и/или конфиденциальную информацию), подрыв ее делового имиджа в бизнес-кругах, возникновение проблем во взаимоотношениях с реальными и потенциальными партнерами (вплоть до утраты важных контрактов), конфликтных ситуаций с представителями криминальной среды, конкурентами, контролирующими и правоохранительными органами, производственный травматизм или гибель персонала и т. д.
— пользователи (сотрудники):
1. Мошенничество с целью завладения активами компании;
2. Фальсификация отчетности с целью присвоения денежных средств;
3. Хищение имущества в особо крупных размерах путем закупки сырья по завышенным ценам, предоставления льгот партнерам и т. п.;
4. Получение откатов за заключение невыгодных для компании сделок;
5. Предоставление или продажа конкурентам информации, являющейся коммерческой тайной предприятия. Ее использование конкурентами способно нанести значительный, а то и катастрофический ущерб;
6. Воровство продукции, сырья, ресурсов, комплектующих;
7. Воровство финансовых средств;
8. Воровство информационных ресурсов;
9. Нецелевое и несанкционированное использование техники, оборудования, транспорта, информационно-вычислительных средств и пр.;
10. Продажа сведений, составляющих коммерческую тайну предприятия;
11. Оказание помощи посторонним в совершении противоправных действий на предприятии с целью нанесения ущерба;
12. Умышленный вывод из строя техники, оборудования, информационных ресурсов, порча сырья и пр. за вознаграждение по заказу третьих лиц.
— технические:
· Отказы и сбои аппаратуры:
· Помехи на линиях связи от воздействие внешней среды;
· Ошибки человека;
· Схемные и системотехнические ошибки разработчиков;
· Структурные, алгоритмические и программные ошибки;
· Аварийные ситуации и другие воздействия.
— человеческий фактор:
· внедрение аппаратных и программных закладок;
· получение несанкционированного доступа к информации;
· преднамеренное нарушение работоспособности информационных систем.
3.3 Цели создания и функционирования СОИБ Главными целями создания и функционирования СОИБ являются обеспечение защиты информации, внедрение и эксплуатация технических подсистем, комплексов и средств обеспечения информационной безопасности, обеспечение доступности соответствующих категорий информации для пользователей ОАО «РЖД», других организаций и частных лиц, управление информационной инфраструктурой с точки зрения недопущения непроизводственного и непроизводительного использования ее ресурсов, а также аудит уровня информационной безопасности ОАО «РЖД».
3.4 Основные составляющие СОИБ В составе существующей СОИБ выделяются три составляющие — организационная, нормативно-правовая и техническая.
Работу системы курируют вице-президент ОАО «РЖД» и начальник департамента безопасности ОАО «РЖД» .
3.4.1 Организационная составляющая Организация и оперативное управление работами в области защиты информации обеспечиваются отделами системных мер защиты информации и технических средств защиты информации в составе департамента безопасности. Непосредственная работа по обеспечению информационной безопасности на сети железных дорог и филиалов ОАО «РЖД» проводится специалистами отделов защиты информации региональных центров безопасности — структурных подразделений ОАО «РЖД», а также специалистами Главного вычислительного центре — филиала ОАО «РЖД» и его структурных подразделений — информационно-вычислительных центров.
3.4.2 Нормативно-правовая составляющая Разработка нормативной базы по информационной безопасности осуществляется на основе действующего законодательства Российской Федерации (ФЗ «О персональных данных», ГОСТ 51 275–99, ГОСТ Р 51 624−2000, ГОСТ Р 51 583−2000 и др.), в том числе нормативных актов, гармонизированных с международными стандартами (например, ИСО/МЭК 15 408 — 2002 и др.), а также нормативных актов ФСТЭК и ФСБ России.
Среди ключевых направлений формирования нормативной базы следует выделить разработку: комплекса политик информационной безопасности различного уровня; профилей защиты автоматизированных систем (АС) ОАО «РЖД» и отдельных объектов информатизации; документов, обеспечивающих соблюдение режима защиты информации, которая составляет коммерческую тайну; регламентов взаимодействия различных информационных систем, в том числе принадлежащих внешним пользователям; организационно-методических документов, регламентирующих использование информационных ресурсов.
В качестве примеров нормативных актов, действующих в ОАО «РЖД», можно привести «Перечень сведений, составляющих коммерческую тайну ОАО «РЖД», «Инструкцию о порядке обращения с информацией, составляющей коммерческую тайну ОАО «РЖД», распоряжение «Об организации работ по предотвращению записи, хранения и распространения информации и программных продуктов непроизводственного характера» с «Примерным перечнем категорий информации и программных продуктов» и «Примерным порядком организации создания корпоративных WEB-сайтов, FTP-серверов, конференций», «Порядок подключения пользователей к информационным ресурсам ОАО «РЖД», «О внедрении электронной цифровой подписи в ОАО «РЖД» и др.
3.4.3 Техническая составляющая Структура технической составляющей СОИБ во многом определяется архитектурой корпоративной инфотелекоммуникационной сети ОАО «РЖД» (инфосети), которая объединяет информационные ресурсы и технические средства обработки и передачи информации центрального аппарата, железных дорог и других филиалов ОАО «РЖД».
Большинство информационных систем компании имеют клиент-серверную архитектуру, при этом в ГВЦ и в ИВЦ дорог сосредоточены базы данных и серверы приложений, а клиенты, помимо пользователей ГВЦ и ИВЦ, находятся в линейных подразделениях и на предприятиях ОАО «РЖД».
В процессе формирования технической составляющей СОИБ был реализован и реализуется ряд базовых принципов ее построения. Одним из наиболее важных принципов является функциональная интеграция специализированных программно-технических комплексов защиты с программно-техническими комплексами передачи и обработки информации, имеющими собственные встроенные средства защиты с мощной функциональностью (операционные системы рабочих станций и серверов, активное сетевое оборудование). Функциональная интеграция позволяет достигать высокого уровня защищенности при минимизации затрат на внедрение. В качестве положительных примеров следует упомянуть технологии контроля доступа к ресурсам сети передачи данных, информационным ресурсам системы ЭТРАН, к АСУ «Экспресс-3», ЕК АСУ ФР, к ряду АСУ дорожными центрами управления и станциями, к системе электронной коммерции. Активное совместное использование специализированных и встроенных средств защиты в совокупности с подсистемой антивирусной защиты позволяет предотвращать угрозы распространения шпионских программ или разрушающих программных средств (вирусов). Еще одним базовым принципом является сегментирование сети по территориально-производственной принадлежности с разделением функций и ролей. Данный принцип подразумевает физическое или виртуальное разделение локальных вычислительных сетей и информационных ресурсов структурных единиц ОАО «РЖД» с жестким распределением прав доступа к ресурсам между персоналом. Существенное сокращение затрат на внедрение СОИБ обеспечивает базовый принцип защиты инфосистем с использованием типовых комплексов технических средств защиты информации.
В настоящее время усилиями сотрудников подразделений и филиалов ОАО «РЖД», подрядных организаций внедрены и успешно функционируют комплексы обеспечения информационной безопасности основных объектов защиты, перечисленных ранее. Основу этих комплексов составляют типовые модули, включающие в свой состав средства межсетевого экранирования и фильтрации сообщений, обнаружения вторжений, ограничения и разграничения доступа, шифрования, идентификации и аутентификации.
Большое внимание уделяется созданию системы управления информационной безопасностью, предназначенной для категорирования информации компании, формирования требований к уровню безопасности информации в информационных и телекоммуникационных системах, мониторинга информационной безопасности, план.
3.5 Основные работы по развитию и совершенствованию системы защиты информации Основными направлениями работ по развитию и совершенствованию системы защиты информации, не составляющей государственную тайну являются:
· Создание эффективной системы управления ИБ Компании;
· Своевременное и корректное использование эксплуатируемых средств ИБ, в том числе штатных, входящих в состав операционных систем;
· Разработка нормативно-методических документов по организации защиты информации, не составляющей государственную тайну;
· Оснащение, обновление и поддержание в работоспособном состоянии:
o сертифицированных средств контроля защищенности ЛВС и программно-технических комплексов ОАО «РЖД»;
o программно-технических комплексов обнаружения вторжений в информационные системы и телекоммуникационные сети;
o средств защиты информации от несанкционированного доступа на серверных частях ЛВС и информационных технологий;
o средств взаимодействия пользователей в рамках защищенного сегмента почтовой системы;
· Полномасштабное использование и регулярное обновление лицензий на средства защиты от разрушающих программных воздействий;
· Организация работы и эксплуатация центров поддержки средств защиты от разрушающих программных воздействий;
· Оснащение, обновление и поддержание в работоспособном состоянии следующих средств защиты информации:
o магистральные и региональные узлы СПД, точки подключения СПД к информационным системам и сетям других государств;
o серверные сегменты информационных технологий;
o АРМ информационных систем;
o ЛВС систем управления перевозочным процессом и сбытом грузовых перевозок;
o ЛВС АСУ финансово-хозяйственной деятельностью и трудовыми ресурсами;
o ЛВС АСУ энергетическим комплексом;
o ЛВС АСУ сбытом и организацией пассажирских перевозок;
o точки подключения информационных систем железных дорог иностранных государств и сетей общего пользования;
o система управления и программно-технические комплексы СПД;
o система управления и программно-технические комплексы ЕМЦСС;
o системы управления автоматических телефонных станций общетехнологической и оперативно-технологической сетей.
4. Система управления информационной безопасностью (СУИБ) В подразделениях аппарата управления, филиалах и других структурных подразделениях ОАО «РЖД» силами подразделений защиты информации региональных центров безопасности — структурных подразделений ОАО «РЖД» и привлекаемых специализированных организаций должна быть разработана, внедрена, применяться на постоянной основе, подвергаться мониторингу и периодическому анализу, поддерживаться в работоспособном состоянии и совершенствоваться СУИБ с учетом видов деятельности ОАО «РЖД» и имеющихся рисков.
4.1 Функции СУИБ Функционирование СУИБ ОАО «РЖД» должно обеспечивать:
а) выполнение в ОАО «РЖД» требований законодательства Российской Федерации в сфере защиты информации;
б) выявление нарушений безопасности критически важных АИТС и информационных активов ОАО «РЖД». Структура системы управления ИБ ОАО «РЖД» включает:
— организационную составляющую (элементы организационной структуры управления ИБ, нормативно-методическое и информационно-справочное обеспечение управления ИБ, организационно-распорядительную документацию);
— техническую составляющую (элементы систем обеспечения ИБ АИТС ОАО «РЖД», в том числе проектную и эксплуатационную документацию, инструментальное обеспечение управления ИБ). Жизненный цикл СУИБ носит циклический характер и предусматривает реализацию следующих основных групп процессов:
а) разработка (модернизация) элементов СУИБ;
б) внедрение и применение элементов СУИБ;
в) мониторинг и анализ реализованных элементов СУИБ;
г) поддержание и (при необходимости) принятие решения о совершенствовании элементов СУИБ.
4.2 Разработка СУИБ В процессе разработки СУИБ ОАО «РЖД» должна быть:
а) определена область применения и границы СУИБ с учетом характеристик деятельности структуры, активов и технологий ОАО «РЖД»;
б) разработана политика ИБ, в которой: установлены цели и задачи ОАО «РЖД» в области обеспечения ИБ; выделены основные группы защищаемых информационных активов ОАО «РЖД» и угрозы нарушения их ИБ; определены основные составляющие инфраструктуры ИБ ОАО «РЖД»; сформулированы подходы и принципы достижения целей обеспечения ИБ; отражены основные требования обеспечения соответствия законодательству в области ИБ; представлены перечень и краткое описание основных мероприятий, которые должны быть выполнены ОАО «РЖД» для достижения установленных целей ИБ; определены подходы к проведению анализа и оценки рисков нарушения ИБ, а также выбору мер и средств обеспечения ИБ; определены основные типы документов, разрабатываемых в развитие политики ИБ и предназначенных для более детального описания требований информационной безопасности, мер управления информационной безопасностью, а также правил и процедур, которым должны следовать сотрудники ОАО «РЖД» в процессе управления ИБ;
в) установлен подход ОАО «РЖД» к анализу и оценке рисков нарушения ИБ, включающий: методы инвентаризации и оценки значимости (категорирования) информационных активов и АИТС; методы исследования и представления угроз нарушения ИБ и характеристик вероятных нарушителей; методы анализа и оценки рисков; критерии принятия рисков и допустимых уровней рисков;
г) проанализированы и оценены риски нарушения ИБ: оценено влияние нарушений ИБ на деятельность ОАО «РЖД»; оценены вероятность реализации угроз ИБ и связанный с этим ущерб (влияние нарушений ИБ на деятельность ОАО «РЖД»); проанализированы реализованные в текущее время меры обеспечения ИБ; определены уровни рисков реализации угроз ИБ; определены недопустимые риски, требующие обработки (уменьшения, устранения);
д) определены и оценены варианты обработки (уменьшения, устранения) рисков, включающие: применение мер обеспечения ИБ; принятие рисков, при условии их соответствия установленным критериям принятия рисков; перенос соответствующих рисков на третьи стороны (например страховщиков, поставщиков и др.);
е) для обработки (уменьшения, устранения) рисков выбраны меры обеспечения ИБ;
ж) получена санкция руководства ОАО «РЖД» на предполагаемые остаточные риски;
з) получена санкция руководства ОАО «РЖД» на внедрение и применение СУИБ и ее элементов.
4.3 Внедрение и применение СУИБ В процессе внедрения и применения СУИБ ОАО «РЖД» или ее составных частей необходимо:
а) разработать план обработки рисков, который определяет действия, ресурсы (включая финансирование), обязанности и приоритеты управления рисками ИБ;
б) реализовать план обработки рисков;
в) реализовать выбранные меры обеспечения ИБ;
г) определить способ измерения (оценки) эффективности (результативности) выбранных мер обеспечения ИБ;
д) внедрить программы подготовки и осведомления персонала ОАО «РЖД» по вопросам ИБ;
е) управлять работой (функционированием) СУИБ;
ж) управлять ресурсами для СУИБ;
з) реализовать процедуры и другие меры, позволяющие оперативно регистрировать события, относящиеся к ИБ, и реагировать на инциденты, относящиеся к ИБ.
4.4 Мониторинг и анализ СУИБ В процессе мониторинга и анализа СУИБ необходимо:
а) осуществлять мониторинг и анализ процедур и других мер обеспечения и управления ИБ в целях: своевременного определения нарушений и несоответствия требованиям ИБ; контроля эффективности реализованных мер и средств обеспечения ИБ; своевременного определения неудавшихся и успешных попыток нарушений и инцидентов, относящихся к ИБ; предоставления возможности руководству ОАО «РЖД» определять, выполняются ли таким образом, как ожидалось, действия, порученные должностным лицам или реализуемые информационными технологиями; помощи в регистрации событий, относящихся к ИБ, и, таким образом, предотвращения инцидентов, относящихся к ИБ; определения, были ли эффективны действия, предпринятые для устранения нарушений ИБ;
б) проводить анализ эффективности СУИБ (включая соответствие политике ИБ и целям СУИБ), а также анализ мер обеспечения ИБ, принимая во внимание результаты аудита (мониторинга, контроля и оценки) ИБ, инциденты, относящиеся к ИБ, предложения и рекомендации всех заинтересованных сторон (руководства, пользователей, регулирующих органов, экспертов по ИБ, специализированных организаций по ИБ);
в) оценивать эффективность мер обеспечения и управления ИБ для подтверждения того, что требования ИБ были выполнены;
г) периодически анализировать и пересматривать организацию оценки рисков, а также остаточные риски и установленные допустимые уровни рисков, принимая во внимание происходящие изменения в структуре ОАО «РЖД», бизнес-целях и бизнес-процессах, используемых информационных технологиях, составе угроз ИБ, составе реализованных мер обеспечения и управления ИБ, в правовой и регулирующей системе, контрактных обязательствах, в социальной сфере;
д) проводить внутренний аудит (контрольные проверки) СУИБ (и ее составных частей) через запланированные промежутки времени, а также (при необходимости) внепланово;
е) проводить на регулярной основе анализ направлений совершенствования СУИБ;
ж) обновлять (корректировать) планы обеспечения ИБ с учетом результатов мониторинга и деятельности по внутреннему аудиту;
з) регистрировать действия и события, которые могут оказывать влияние на эффективность и характеристики СУИБ (или ее составных частей). Реализация мониторинга ИБ СУИБ ОАО «РЖД» представлена на рисунке 3 и должна осуществляться по следующим направлениям:
а) оперативный мониторинг (мониторинг событий, относящихся к ИБ в АИТС ОАО «РЖД»);
б) мониторинг состояния (оценка соответствия текущего состояния ИБ АИТС ОАО «РЖД» уровню ИБ, определенному требованиями ИБ);
в) контрольные проверки (контроль достигнутого уровня ИБ АИТС ОАО «РЖД»).
4.5 Поддержание и совершенствование СУИБ В процессе сопровождения (поддержания и совершенствования) СУИБ ОАО «РЖД» необходимо:
а) планировать и осуществлять доработку СУИБ ОАО «РЖД» или ее составных частей;
б) предпринимать соответствующие корректирующие действия, учитывая при этом опыт в области ИБ ОАО «РЖД» и других организаций;
в) сообщать о предпринятых действиях и доработках СУИБ всем заинтересованным сторонам;
г) контролировать достижение целей совершенствования СУИБ.
5. Мероприятия управления Информационной безопасностью К мероприятиям управления ИБ, подлежащим реализации в ОАО «РЖД», относятся следующие: активная поддержка процессов ИБ со стороны руководства ОАО «РЖД»; координация деятельности, связанной с ИБ; четкое распределение и разделение обязанностей, связанных с ИБ; инвентаризация всех значимых информационных активов; оценка значимости и категорирование информационных активов и АИТС; эффективная организация информационных активов и АИТС как объектов ИБ; анализ уязвимостей, формирование перечней угроз и характеристик вероятных нарушителей; анализ и оценка рисков нарушения ИБ; эффективное проектирование мер, средств и систем обеспечения ИБ; документирование должностных обязанностей персонала, связанных с ИБ; проведение регулярного обучения персонала в области ИБ; определение мер дисциплинарного характера к нарушителям ИБ; проведение предупредительных мероприятий при увольнении сотрудников ОАО «РЖД»; физическая защита средств хранения и обработки информации; резервирование электропитания для критичных ресурсов; защита (контроль) кабелей электропитания и телекоммуникационных кабелей; надлежащее регламентное обслуживание оборудования; контроль за перемещением оборудования; надлежащее документирование эксплуатационных процедур; разделение средств разработки, средств тестирования от эксплуатируемых средств обработки информации; мониторинг производительности ресурсов АИТС и поддержание необходимых эксплуатационных характеристик АИТС в случаях их масштабирования; наличие единых требований ИБ при разработке новых АИТС, модернизации существующих АИТС; контроль за включением в АИТС новых средств обработки информации, а также за модификацией (заменой) используемых; применение надлежащих методов идентификации и аутентификации; разграничение доступа пользователей к ресурсам АИТС и документирование процедур предоставления доступа пользователей к ресурсам АИТС; защита от компьютерных вирусов и вредоносного программного обеспечения; осуществление регламентного резервного копирования информации; реализация мер управления ИБ в вычислительных сетях; защита передаваемой информации; реализация надлежащих процедур управления съемными носителями информации; реализация мероприятий по защите персональных данных при их обработке в АИТС ОАО «РЖД»; реализация мониторинга ИБ и обеспечение аудита событий, связанных с ИБ; периодическое проведение внутреннего аудита ИБ; реализация технологии «поддержки доверия» к оцененным (аттестованным) по требованиям ИБ АИТС; периодический независимый анализ (оценка) состояния ИБ в ОАО «РЖД».
5.1 Модель защиты информационной безопасности ОАО «РЖД»
утечка информация защита безопасность Ниже перечислены основные правила безопасности:
Защита компьютера с помощью антивирусных программ и программ безопасной работы в интернете. Для этого:
· Безотлагательно установить Антивирус;
· Регулярно обновляйть сигнатуры угроз, входящие в состав программы. Обновление можно проводить несколько раз в день при возникновении вирусных эпидемий — в таких ситуациях новые сигнатуры угроз на находятся серверах обновлений;
· Задать рекомендуемые экспертами параметры защиты вашего компьютера. Постоянная защита начинает действовать сразу после включения компьютера и затрудняет вирусам проникновение на компьютер;
· Задать рекомендуемые экспертами параметры для полной проверки компьютера и запланируйте ее выполнение не реже одного раза в неделю. Если вы не установили компонент Фаервол, рекомендуется сделать это, чтобы защитить компьютер при работе в интернете.
Быть осторожным при записи новых данных на компьютер:
· Проверять на присутствие вирусов все съемные диски (дискеты, CD-диски, флеш-карты и пр.) перед их использованием;
· Осторожно обращайться с почтовыми сообщениями. Не запускать никаких файлов, пришедших по почте, если вы не уверены, что они действительно должны были прийти к вам, даже если они отправлены вашими знакомыми;
· Внимательно относится к информации, получаемой из интернета. Если с какого-либо веб-сайта предлагается установить новую программу, обратить внимание на наличие у нее сертификата безопасности;
· При копировании из интернета или локальной сети исполняемый файл, обязательно проверть его с помощью Антивируса;
· Внимательно относится к выбору посещаемых вами интернет-ресурсов. Некоторые из сайтов заражены опасными скрипт-вирусами или интернет-червями.
Внимательно относится к информации о вирусах в интернете:
В большинстве случаев в Интернете сообщают о начале новой эпидемии задолго до того, как она достигнет своего пика. Вероятность заражения в этом случае еще невелика, и, скачав обновленные сигнатуры угроз, возможно защитить себя от нового вируса заблаговременно.
С недоверием относится к вирусным мистификациям — программам-шуткам, письмам об угрозах заражения.
Пользоваться сервисом Windows Update и регулярно устанавливать обновления операционной системы Microsoft Windows.
Покупать дистрибутивные копии программного обеспечения у официальных продавцов.
Ограничть круг людей, допущенных к работе на компьютере. Уменьшить риск неприятных последствий возможного заражения:
· Своевременно делать резервное копирование данных. В случае потери данных система достаточно быстро может быть восстановлена при наличии резервных копий. Дистрибутивные диски, дискеты, флеш-карты и другие носители с программным обеспечением и ценной информацией должны храниться в надежном месте;
· Обязательно создать диск аварийного восстановления, с которого при необходимости можно будет загрузиться, используя «чистую» операционную систему.
Регулярно просматривать список установленных программ на компьютере:
Для этого можно воспользоваться пунктом Установка/удаление программ в Панели инструментов или просто просмотреть содержимое каталога Program Files, каталога автозагрузки. Таким образом, можно обнаружить программное обеспечение, которое было установлено на компьютер без вашего ведома, пока вы, например, пользовались интернетом или устанавливали некоторую программу.
Заключение
В настоящее время нет нужды доказывать, что идущие процессы стремительной информации всех направлений деятельности современного мирового сообщества объективно приводят к действительно революционным преобразованиям в жизни человечества.
Проблемы, связанные с повышением безопасности информационной сферы, являются сложными, многоплановыми и взаимосвязанными. Они требуют постоянного, неослабевающего внимания со стороны государства и общества. Развитие информационных технологий побуждает к постоянному приложению совместных усилий по совершенствованию методов и средств, позволяющих достоверно оценивать угрозы безопасности информационной сферы и адекватно реагировать на них.
Предотвращение несанкционированного доступа к конфиденциальной информации, циркулирующей в телекоммуникационных сетях государственного и военного управления, к информации национальных и международных правоохранительных организаций, ведущих борьбу с транснациональной организованной преступностью и международным терроризмом, а также в банковских сетях, является важной задачей обеспечения безопасности глобальной информации. Защите информации в последнее время уделяется все большее внимание на самых различных уровнях — и государственном, и коммерческом.
Можно выделить несколько основных задач, решение которых в информационных системах и телекоммуникационных сетях обеспечивает защиту информации. Это:
· организация доступа к информации только допущенных к ней лиц;
· подтверждение истинности информации;
· защита от перехвата информации при передаче ее по каналам связи;
· защита от искажений и ввода ложной информации.