Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 11)

В соответствии с действующей политикой информационной безопасности Дальневосточной ж.д. пароли учетных записей домена DVGD.OAO.RZD должны удовлетворять следующим требованиям:

1. минимальное количество символов - 7;

2. не должны содержать имя учетной записи пользователя или составных частей полного имени пользователя;

3. должны содержать символы, принадлежащие трем из четырех указанных ниже множеств:

• заглавные буквы русского или английского алфавита (А-Я, A-Z);

• прописные буквы русского или английского алфавита (а-я,a-z);

• цифры (0-9);

• специальные символы (например, !, @, $, % и др.)

1. минимальный срок действия пароля - 7 дней;

2. максимальный срок действия пароля - 90 дней;

3. при задании нового пароля он не должен совпадать с 5-ю ранее используемыми паролями.

При пяти неудачных попытках набора пароля учетная запись блокируется на пятнадцать минут. Через пятнадцать минут учетная запись будет автоматически разблокирована. Так же для корректной работы некоторых программ не рекомендуется задавать пароли с использованием символов русского алфавита.

Если сотрудникам сложно придумывать каждый раз новой пароль, то служба безопасности рекомендует воспользоваться генератором паролей компании ОАО "Инфотекс". Эта программа случайным образом создает наборы абсурдных парольных фраз. Какую фразу выберет сотрудник, не знает никто, а благодаря своей абсурдности новый пароль будет легче запомнить.

Основные угрозы информационным активам структурного подразделения включают:

• разглашение (утечку) информации конфиденциального характера, в том числе составляющей коммерческую тайну ОАО «РЖД», персональные данные;

• нарушение целостности информационных активов, включая изменение или фальсификацию (модификацию и искажение), а также полное или частичное уничтожение информационных активов структурного подразделения;

• дезорганизация функционирования важнейших АИТС дорожного уровня, включая блокировку санкционированного доступа к информации зарегистрированных пользователей.

• Основными способами реализации угроз ИБ являются:

• несанкционированный доступ (в том числе с использованием программно-технических средств) в АИТС дорожного уровня, а также к ее техническим средствам и информационным активам;

• перехват информации в сторонних и собственных сетях передачи данных структурного подразделения;

• применение специальных средств, программно-технических алгоритмов и процедур проведения атак по отношению к АИТС дорожного уровня;

• несанкционированное использование зарегистрированным пользователем АИТС программных продуктов доступа и администрирования, не входящих в состав ПО, инсталлированного на его рабочем месте установленным порядком;

• внедрение (в том числе непреднамеренное) в АИТС дорожного уровня компьютерных вирусов и другого вредоносного программного обеспечения (троянские программы, программы-«шпионы» и пр.);

• разрушение или порча информационных активов структурного подразделения при отсутствии (или ненадлежащей настройке) соответствующих механизмов защиты и управления доступом к АИТС дорожного уровня и обрабатываемой в них информации;

• разрушение или порча информационных активов структурного подразделения по причине отсутствия достаточных знаний, навыков, опыта, а также невнимательности или халатности работников структурного подразделения;

• перехват информации по техническим каналам;

• несанкционированное включение средств электронно-вычислительной техники, подключенных к АИТС, в локальные или корпоративные сети других организаций, а также во внешние информационные системы и сети, включая сеть Интернет;

• использование общедоступных незащищенных ресурсов и сервисов для передачи защищаемой информации.

• Источники угроз ИБ делятся на три основных класса:

• источники, связанные с действиями людей – внешние и внутренние нарушители;

• источники, связанные с ненадежностью аппаратных средств, моральным старением и наличием ошибок в программном обеспечении;

• источники, связанные с природными явлениями (стихийными бедствиями) и неблагоприятными техногенными факторами.

• В качестве внешних нарушителей ИБ могут рассматриваться:

• лица, не входящие в состав пользователей и обслуживающего персонала АИТС дорожного уровня, и являющиеся, например, разработчиками этих систем, пользователями систем, сопряженных с АИТС дорожного уровня, работниками организаций, предоставляющих структурному подразделению услуги на условиях аутсорсинга, пользователи сетей общего пользования (например, сеть Интернет), которым предоставлен доступ к АИТС дорожного уровня;

• преступные группировки (или отдельные лица), организующие проведение противозаконных акций в отношении информационных активов АИТС дорожного уровня;

• организации (или отдельные лица), пытающиеся извлечь прибыль (выгоду) незаконным путем за счет несанкционированного доступа к информационным активам СПДУ или преследующие иные цели.

• В качестве потенциальных внутренних нарушителей ИБ могут рассматриваться пользователи и обслуживающий персонал АИТС дорожного уровня, другие субъекты (лица), вовлеченные в информационные процессы АИТС.

Для минимизации угроз от потенциальных нарушителей ИБ должны проводиться следующие мероприятия:

• допуск работников к сведениям конфиденциального характера регламентируется соответствующими нормативными документами и оформляется установленным порядком;

• после прекращения трудового договора с работником необходимо незамедлительно лишить его прав доступа к внутренним информационным активам АИТС дорожного уровня и удалить учетные записи;

• при переводе работника на другую должность права доступа пересматриваются. При выходе работника в долгосрочный отпуск приостанавливается действие всех привилегий его доступа;

• в трудовых договорах (контрактах) и должностных инструкциях всех штатных и временных работников ОАО «РЖД» должны предусматриваться их обязательства по обеспечению охраны информации, составляющей коммерческую тайну, обладателями которой являются ОАО «РЖД» и его контрагенты, и ответственность за обеспечение охраны ее конфиденциальности.

Методы реализации Политики информационной безопасности Дальневосточной железной дороги

Обеспечение защиты от несанкционированного вмешательства в процессе функционирования АИТС дорожного уровня.

Доступ работников к информационным ресурсам дорожного уровня осуществляется в соответствии с нормативными документами ОАО «РЖД» о порядке предоставления доступа к информационным ресурсам, Инструкцией пользователю автоматизированной информационно-телекоммуникационной системы и Инструкцией по организации парольной защиты компьютеров пользователей с которыми работник должен быть ознакомлен под роспись.

На всех АРМ и серверах должны быть включены функции протоколирования. Все системы должны быть синхронизированы по времени и дате.

Основными событиями, подлежащими обязательной регистрации в системных журналах являются:

• запуск программ с параметрами пользователя, от имени которого произошел запуск, и его текущие привилегии;

• ввод заданий, запуск, завершение, удаление, перезапуск и аварийное прекращение работы;

• вход/выход пользователей в/из системы;

• монтирование или демонтирование дисков;

• системные сообщения или запросы;

• запуск и останов системы или подсистем;

• резервное сохранение и восстановление;

• использование функций, влияющих на систему сбора статистики;

• изменения в системе управления доступом;

• изменения в списках авторизованных пользователей;

• обнаруживаемые нарушения безопасности;

• запуск со всеми атрибутами программ, обслуживающих процессы интеграции со смежными АИТС;

• подключение любых средств сетевого взаимодействия.

Система контроля должна проходить регулярный контроль на достоверность. Результаты контроля систем сохраняются и резервируются для проведения последующего анализа на соответствие требований по доступности и целостности.

Должен быть обеспечен сбор статистики обо всех происшествиях, связанных с безопасностью, в том числе:

• неавторизованные попытки доступа к закрытой информации;

• пропажа (утрата) носителей информации;

• несанкционированные попытки и авторизованное использование привилегированного программного обеспечения;

• модификация параметров защиты;

• назначение системных привилегий пользователям.

В случае если данные АИТС были скомпрометированы, т.е. утрачено доверие к тому, что АИТС функционирует в соответствии с утвержденными документами и обеспечена целостность ее информации, необходимо провести расследование инцидентов и принять меры по недопущению повторения подобных случаев.

Доступ к информационным ресурсам, содержащим информацию конфиденциального характера, в том числе составляющую коммерческую тайну, персональные данные, должен осуществляться после аутентификации. Используемые методы аутентификации должны быть адекватны категории информации. Порядок доступа к информации конфиденциального характера на бумажных носителях определяется нормативными документами ОАО «РЖД».

Критичная информация резервируется в установленном порядке. Ответственность за соблюдение регламента резервирования данных и ответственное хранение резервных копий возлагается на ИВЦ, а для систем, не обслуживаемых ИВЦ, на подразделения СПДУ. Регламент резервирования разрабатывается ИВЦ.

Все, без исключения, факты несанкционированного использования регистрационных данных пользователей подлежат расследованию.

Порядок взаимодействия СПДУ с правоохранительными органами и операторами телекоммуникаций для выявления несанкционированного доступа к сетям через сети телекоммуникаций регламентируется законодательством РФ, нормативными документами ОАО «РЖД» и соответствующими соглашениями.

Допускается передача сообщений службы протоколирования событий, связанных с безопасностью, в системы обработки событий информационной безопасности без их модификации.

Обо всех случаях подозрения или обнаружения уязвимостей в АИТС дорожного уровня пользователи должны незамедлительно сообщать в отдел защиты информации Дальневосточного РЦБ и отдел безопасности информационных ресурсов Хабаровского ИВЦ.

Обеспечение антивирусной защиты.

Политика безопасности для борьбы с вирусами и «шпионским» ПО имеет три составные части:

• предотвращение - правила, позволяющие предотвратить заражение вирусами;

• обнаружение - методология определения наличия вируса;

• удаление - физическое удаление вируса из зараженных файлов.

• обеспечение защиты информации, составляющей коммерческую тайну, от утечки по техническим каналам.

Совещания, в ходе которых происходит обсуждение вопросов относящихся к коммерческой тайне, необходимо проводить в специально оборудованных защищаемых помещениях (ЗП), исключающих утечку речевой информации по техническим каналам и аттестованных по требованиям безопасности.

Утечка информации по техническим каналам возможна за счет:

• акустического излучения информативного сигнала;

• виброакустических сигналов, возникающих посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы помещения;

• прослушивания разговоров ведущихся в помещении по информационным каналам общего пользования (АТС, сотовая, транкинговая и пейджинговая связь, радиотелефоны) за счет скрытного подключения оконечных устройств этих видов связи;

• побочных электромагнитных излучений информативного сигнала от обрабатывающих информацию технических средств;

• электрических сигналов, наводимых от обрабатывающих информацию технических средств и линий ее передачи;

• радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом от специальных электронных устройств съема речевой информации (закладочных устройств).

Обеспечение разграничения доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам и регистрация их действий.

Обеспечение защиты и контроля информации при использовании электронной почтовой системы ОАО «РЖД» и сети Интернет.

Электронная почтовая система ОАО "РЖД" и иные средства коммуникаций не предназначены для ведения личной переписки и должны использоваться только для обеспечения производственной деятельности работников ОАО "РЖД".

При работе с электронной корреспонденцией пользователи должны руководствоваться «Инструкцией о порядке использования средств электронной почтовой системы и факсимильной связи в открытом акционерном обществе «Российские железные дороги» от 15 марта 2004 г. № ХЗ-2290, «Примерным перечнем категорий информации и программных продуктов непроизводственного характера, не подлежащих записи, хранению и распространению в информационных системах и телекоммуникационных сетях ОАО «РЖД», утвержденным вице-президентом ОАО «РЖД» Корниловым Г.В. 20 сентября 2004 г., а также другими нормативными документами ОАО «РЖД».

Для предотвращения угроз безопасности электронной корреспонденции, содержащей информацию, составляющую коммерческую тайну, пользователи должны использовать методы криптографической защиты информации, включая защищенный сегмент электронной почтовой системы, технологию VipNet, ИОК, электронную цифровую подпись.

Характеристики

Список файлов ВКР