антиплогиат (1205426), страница 12
Текст из файла (страница 12)
максимальный срок действия пароля - 90 дней;6. при задании нового пароля он не должен совпадать с 5-ю ранееиспользуемыми паролями.При пяти неудачных попытках набора пароля учетная запись блокируется на пятнадцатьминут. Через пятнадцать минут учетная запись будет автоматически разблокирована. Так же длякорректной работы некоторых программ не рекомендуется задавать пароли с использованиемсимволов русского алфавита.Если сотрудникам сложно придумывать каждый раз новой пароль, то служба безопасностирекомендует воспользоваться генератором паролей компании ОАО "Инфотекс".
Эта программаслучайным образом создает наборы абсурдных парольных фраз. Какую фразу выберет сотрудник, незнает никто, а благодаря своей абсурдности новый пароль будет легче запомнить.Основные угрозы информационным активам структурного подразделения включают: 1161- разглашение (утечку) информации конфиденциального 11 характера, втом числе составляющей коммерческую тайну ОАО «РЖД», персональныеданные;- нарушение целостности информационных активов, включаяизменение или фальсификацию ( 11 модификацию и искажение), а также 72 полноеили частичное уничтожение информационных активов 11 структурногоподразделения;- дезорганизация функционирования важнейших АИТС 72 дорожногоуровня, 11 включая блокировку санкционированного доступа к 72 информациизарегистрированных пользователей.- Основными способами реализации угроз ИБ являются:- несанкционированный доступ (в том числе с 11 использованием 72программно-технических средств) в АИТС дорожного уровня, а также к еетехническим средствам и информационным активам;- перехват информации в сторонних и собственных сетях 11 передачиданных структурного подразделения;- применение специальных средств, программно-техническихалгоритмов и процедур проведения атак по отношению к АИТС дорожногоуровня;- несанкционированное использование зарегистрированнымпользователем АИТС программных продуктов доступа и 11 администрирования,не входящих в состав ПО, инсталлированного на его рабочем местеустановленным порядком;- внедрение (в том числе непреднамеренное) в АИТС 11 дорожногоуровня компьютерных вирусов и 11 другого вредоносного программногообеспечения (троянские программы, программы-«шпионы» и пр.);- разрушение или порча информационных 72 активов 11 структурногоподразделения при отсутствии (или ненадлежащей настройке) 7262соответствующих механизмов 72 защиты и управления доступом к АИТСдорожного уровня и обрабатываемой в них информации;- разрушение или порча информационных активов 11 структурногоподразделения по причине отсутствия достаточных знаний, навыков, опыта, атакже невнимательности или халатности работников 11 структурногоподразделения;- перехват информации по техническим каналам;- несанкционированное включение средств электронно- 11вычислительной техники, подключенных к АИТС, в локальные иликорпоративные сети других организаций, а также во внешние 11 информационныесистемы и сети, включая сеть Интернет;- использование общедоступных незащищенных ресурсов и сервисовдля передачи защищаемой информации.- Источники угроз ИБ делятся на три основных класса:- источники, связанные с действиями людей – внешние и 11 внутренниенарушители;- источники, связанные с ненадежностью аппаратных средств,моральным старением и наличием ошибок в программном 11 обеспечении;- источники, связанные с природными явлениями ( 11 стихийнымибедствиями) и неблагоприятными техногенными факторами.- В качестве внешних нарушителей ИБ могут рассматриваться:- лица, не входящие в состав пользователей и 11 обслуживающегоперсонала АИТС дорожного уровня, и являющиеся, например, разработчикамиэтих систем, пользователями систем, сопряженных с АИТС дорожного уровня,работниками организаций, предоставляющих 11 структурному подразделениюуслуги на условиях аутсорсинга, пользователи сетей общего 11 пользования( например, сеть Интернет), которым предоставлен доступ к АИТС дорожногоуровня; 1163- преступные группировки (или отдельные лица), 11 организующиепроведение противозаконных акций в отношении 11 информационных активовАИТС дорожного уровня;- организации (или отдельные лица), пытающиеся извлечь прибыль(выгоду) незаконным путем за счет 11 несанкционированного доступа кинформационным активам СПДУ или 11 преследующие иные цели.- В качестве потенциальных внутренних нарушителей ИБ могутрассматриваться пользователи и обслуживающий персонал АИТС дорожногоуровня, другие субъекты (лица), вовлеченные в 11 информационные процессыАИТС.Для минимизации угроз от потенциальных 11 нарушителей ИБ должны проводитьсяследующие мероприятия:- допуск работников к сведениям конфиденциального характерарегламентируется соответствующими нормативными документами иоформляется установленным порядком;- после прекращения трудового договора с работником необходимонезамедлительно лишить его прав доступа к внутренним информационнымактивам АИТС дорожного уровня и удалить учетные записи;- при переводе работника на другую должность права доступапересматриваются.
При выходе работника в долгосрочный отпускприостанавливается действие всех привилегий его доступа;- в трудовых договорах (контрактах) и должностных инструкцияхвсех штатных и временных работников ОАО «РЖД» должны предусматриватьсяих обязательства по обеспечению охраны информации, составляющейкоммерческую тайну, обладателями которой являются 121 ОАО «РЖД» и егоконтрагенты, и ответственность за обеспечение охраны ее конфиденциальности.64Методы реализации Политики информационной безопасностиДальневосточной железной дорогиОбеспечение защиты от несанкционированного вмешательства в 11 процессефункционирования АИТС дорожного уровня. 11Доступ работников к информационным ресурсам дорожного уровняосуществляется в соответствии с нормативными документами ОАО «РЖД» опорядке предоставления доступа к информационным ресурсам, Инструкциейпользователю автоматизированной информационно-телекоммуникационнойсистемы и Инструкцией по организации парольной защиты компьютеровпользователей с которыми работник должен быть ознакомлен под роспись.На всех АРМ и серверах должны быть включены функциипротоколирования.
Все системы должны быть синхронизированы по времени идате.Основными событиями, подлежащими обязательной регистрации всистемных журналах являются:- запуск программ с параметрами пользователя, от имени которогопроизошел запуск, и его текущие привилегии;- ввод заданий, запуск, завершение, удаление, перезапуск и аварийноепрекращение работы;- вход/выход пользователей в/из системы;- монтирование 93 или демонтирование дисков;- системные сообщения или запросы;- запуск и останов системы или 93 подсистем;- резервное сохранение и восстановление;- использование функций, влияющих на систему 93 сбора статистики;- изменения в системе управления доступом;- изменения в списках авторизованных пользователей;- обнаруживаемые нарушения безопасности; 9365- 93 запуск со всеми атрибутами программ, обслуживающих процессыинтеграции со смежными АИТС;- подключение любых средств сетевого взаимодействия.Система контроля должна проходить регулярный контроль надостоверность.
Результаты контроля систем сохраняются и резервируются дляпроведения последующего анализа на соответствие требований по доступностии целостности.Должен быть обеспечен сбор статистики обо всех происшествиях,связанных с безопасностью, в том числе:- неавторизованные попытки доступа к закрытой информации;- пропажа ( 93 утрата) носителей информации;- несанкционированные попытки и авторизованное использованиепривилегированного программного обеспечения;- модификация параметров защиты;- 93 назначение системных привилегий пользователям.В случае если данные АИТС были скомпрометированы, т.е.
утраченодоверие к тому, что АИТС функционирует в соответствии с утвержденнымидокументами и обеспечена целостность ее информации, необходимо провестирасследование инцидентов и принять меры по недопущению повторенияподобных случаев.Доступ к информационным ресурсам, содержащим информациюконфиденциального характера, в том числе составляющую коммерческую тайну,персональные данные, должен осуществляться после аутентификации.Используемые методы аутентификации должны быть адекватны категорииинформации.
Порядок доступа к информации конфиденциального характера набумажных носителях определяется нормативными документами ОАО «РЖД».Критичная информация резервируется в установленном порядке.Ответственность за соблюдение регламента резервирования данных и66ответственное хранение резервных копий возлагается на ИВЦ, а для систем, необслуживаемых ИВЦ, на подразделения СПДУ. Регламент резервированияразрабатывается ИВЦ.Все, без исключения, факты несанкционированного использованиярегистрационных данных пользователей подлежат расследованию.Порядок взаимодействия СПДУ с правоохранительными органами иоператорами телекоммуникаций для выявления несанкционированного доступак сетям через сети телекоммуникаций регламентируется законодательством РФ,нормативными документами ОАО «РЖД» и соответствующими соглашениями.Допускается передача сообщений службы протоколирования событий,связанных с безопасностью, в системы обработки событий информационнойбезопасности без их модификации.Обо всех случаях подозрения или обнаружения уязвимостей в АИТСдорожного уровня пользователи должны незамедлительно сообщать в отделзащиты информации Дальневосточного РЦБ и отдел безопасностиинформационных ресурсов Хабаровского ИВЦ.Обеспечение антивирусной защиты.Политика безопасности для борьбы с вирусами и «шпионским» ПОимеет три составные части:- предотвращение - правила, позволяющие предотвратить заражение вирусами;- обнаружение - методология определения наличия вируса;- удаление - физическое удаление вируса из зараженных файлов.- обеспечение защиты информации, составляющей коммерческуютайну, от утечки по техническим каналам.Совещания, в ходе которых происходит обсуждение вопросовотносящихся к коммерческой тайне, необходимо проводить в специальнооборудованных защищаемых помещениях (ЗП), исключающих утечку речевойинформации по техническим каналам и аттестованных по требованиямбезопасности.67Утечка информации по техническим каналам возможна за счет:- акустического излучения информативного 80 сигнала;- виброакустических сигналов, возникающих посредствомпреобразования информативного акустического сигнала при воздействии его настроительные конструкции и инженерно-технические системы 80 помещения;- прослушивания разговоров ведущихся в 81 помещении поинформационным каналам общего пользования ( 81 АТС, сотовая, транкинговая ипейджинговая связь, радиотелефоны) за счет 80 скрытного подключенияоконечных устройств этих видов связи;- побочных электромагнитных излучений информативного сигнала отобрабатывающих информацию технических средств;- 81 электрических сигналов, наводимых от обрабатывающихинформацию технических средств и линий ее передачи;- 81 радиоизлучений, электрических или инфракрасных сигналов,модулированных информативным сигналом от специальных электронныхустройств 80 съема речевой информации (закладочных 99 устройств).Обеспечение разграничения доступа зарегистрированных пользователей к аппаратным,программным и информационным ресурсам и регистрация их действий.Обеспечение защиты и контроля информации при использованииэлектронной почтовой системы ОАО «РЖД» и сети Интернет.Электронная почтовая система ОАО "РЖД" и иные средствакоммуникаций не предназначены для ведения личной переписки и должныиспользоваться только для обеспечения производственной деятельностиработников ОАО "РЖД".При работе с электронной корреспонденцией пользователи должныруководствоваться «Инструкцией о порядке использования средств электроннойпочтовой системы и факсимильной связи в открытом акционерном обществе«Российские железные дороги» от 15 марта 2004 г.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
