Лыськова636334357157712851 (1205676), страница 18
Текст из файла (страница 18)
Точно таким же образом производим обновление для других задач.1. Общие положения1.1. Под Политикой информационной безопасности понимаетсясовокупность документированных управленческих решений, направленных насовершенствование правового, организационного и научно-техническогообеспечения информационной безопасности.1.2. 10 Требования 4 настоящего документа распространяются на всеструктурные подразделения и филиалы региона ведения Дальневосточнойжелезной дороги, ДЗО, организации-контрагенты ОАО «РЖД», которымсанкционировано, в рамках гражданско-правовых отношений, предоставлендоступ к АИТС ОАО «РЖД» на дорожном уровне (с использованием СПД ОАО«РЖД»).1.3. Перечень нормативных правовых документов, использованных приразработке Политики и регламентирующих обеспечение информационнойбезопасности, приведен в приложении 1.1.4.
Требования настоящей Политики распространяются на обеспечениебезопасности информации, не составляющей государственную тайну.1.5. Основными целями Политики информационной безопасностиДальневосточной железной дороги являются:предотвращение компрометации конфиденциальности 4 информации,составляющей коммерческую тайну, иной информацииконфиденциального характера, безопасность которой ОАО «РЖД»обязано обеспечивать в соответствии с требованиями 4законодательства РФ, нормативных документов ОАО «РЖД», врамках 4 исполняемых договоров (соглашений), иных взаимныхобязательств в АИТС дорожного уровня;обеспечение целостности и доступности информации, 4циркулирующей в АИТС дорожного уровня;защита от незаконного вмешательства в процесс 4 функционирования 4АИТС дорожного уровня и несанкционированного 4 доступа к сетевыми информационным ресурсам;анализ рисков информационной безопасности в АИТС 4 дорожного 4уровня;повышение уровня персональной ответственности 4 работников СПДУпри работе с внутренними информационными 4 системами иресурсами.1.6.
Основными задачами обеспечения информационной 4 безопасности 4АИТС дорожного уровня являются:определение информационных активов, подлежащих защите; 4категорирование информационных активов и классификация АИТС всоответствии с приоритетами и требуемым уровнем 4 защитыинформации;анализ уязвимостей, прогнозирование и выявление 4 внутренних ивнешних угроз информационной безопасности, оценка 4защищенности 4 АИТС;определение необходимых параметров, характеризующих 4 величинурисков информационной безопасности;защита от несанкционированного вмешательства в процессфункционирования АИТС дорожного уровня;разграничение полномочий и ответственности СПДУ, РЦБ, ИВЦ,НКИ, других подразделений, обеспечивающих процесс 4функционирования и защиту АИТС;защита данных, обрабатываемых и хранимых в АИТС, 4 передаваемыхпо каналам связи, от несанкционированного доступа, 4 позволяющегопроизвести ознакомление, модификацию, 4 фальсификацию илиуничтожение данных;контроль целостности операционной среды исполнения 4 прикладныхпрограмм (решения прикладных задач) и программных средств,восстановление их целостности в случае нарушения;антивирусная защита;обеспечение защиты информации при осуществлении 4 доступа сосредств вычислительной техники СПДУ к внешним сетям, включаясеть Интернет;защита и контроль данных, передаваемых и используемых вэлектронной почтовой системе ОАО "РЖД";защита от утечки информации конфиденциального 4 характера, 10включая информацию, составляющую коммерческую тайну,персональные данные, хранимой, обрабатываемой в АИТС и 4передаваемой по каналам связи;разграничение прав доступа зарегистрированных 4 пользователей к 35аппаратным, программным и информационным ресурсам;регистрация действий пользователей при работе с 4 защищаемымиресурсами и услугами сетей в системных журналах и 4 периодический 35контроль корректности действий пользователей системы путеманализа этих журналов;проведение контрольных проверок состояния защищенности СПД, втом числе сетей беспроводного доступа;аудит вычислительных средств и сетевых информационных ресурсов;создание системы по обработке событий ИБ и реагирование наинциденты ИБ;контроль организации физической безопасности зон, где 4 имеютсяинформация и средства обработки информации, объектов,производственных и служебных помещений, оборудования СПДУ.1.7.
4 Информационная безопасность АИТС дорожного уровня 4 достигаетсяв результате обеспечения целостности, доступности и конфиденциальности.Целостность достигается путем разработки и внедрения технологийконтроля и восстановления целостности информационных ресурсов, средствамиразграничения полномочий пользователей, средствами защиты от 10 НСД кресурсам и каналам связи, 10 физической охраной технических средств АИТС иносителей информации, другими организационно-техническими мерами.Доступность достигается путем защиты от несанкционированноговмешательства в работу 10 АИТС, резервирования программно-техническихсредств, защиты от перегрузки оборудования, дублирования каналов передачиданных в сети, а также организационными мерами.Конфиденциальность достигается путем применения сертифицированныхсредств защиты информации от несанкционированного 10 доступа (в 52 том числекриптографических), реализацией правил разграничения доступа кинформации, а также организационными мерами по предотвращениюразглашения информации конфиденциального характера и неправомерныхдействий со стороны лиц, имеющих право доступа к информацииконфиденциального характера.1.8.
10 Работники ОАО «РЖД», ДЗО, организаций - контрагентов ОАО«РЖД», использующие СПД, нарушающие требования настоящей Политики,несут дисциплинарную, гражданско-правовую, административную и уголовнуюответственность в соответствии с законодательством 77 Российской Федерации идокументами ОАО «РЖД».2. Организационная структура и нормативно-методическое обеспечениеинформационной безопасности на дорожном 4 уровне, разграничениеполномочий и ответственности в процессе 4 функционирования и защитыАИТС2.1. Ответственность за реализацию и соблюдение требований настоящейПолитики возлагается:на руководителей Дальневосточной железной дороги, служб,дирекций, других структурных подразделений железной дороги, атакже на руководителей филиалов, дирекций и структурныхподразделений ОАО "РЖД", расположенных в территориальныхграницах Дальневосточной железной дороги;на руководителей структурных подразделений ОАО «РЖД», в рамкахсвоих должностных обязанностей отвечающих за обеспечениеинформационной безопасности дорожного уровня; 4на руководителей дочерних и зависимых обществ, 4 организацийконтрагентов, негосударственных учреждений ОАО «РЖД»,расположенных в границах Дальневосточной железной дороги,имеющих доступ к АИТС дорожного уровня, в соответствии сзаключенными договорами и соглашениями;на все категории пользователей АИТС дорожного уровня.2.2.
К подразделениям, отвечающим за обеспечение информационнойбезопасности в границах Дальневосточной железной дороги, относятся:отдел защиты информации Дальневосточного регионального центрабезопасности – структурного подразделения ОАО «РЖД»; 4отдел безопасности информационных ресурсов Хабаровского ИВЦ структурного подразделения ГВЦ – филиала ОАО "РЖД"; 119служба корпоративной информатизации Дальневосточной железнойдороги – филиала ОАО "РЖД";подразделения (отделы, секторы), работники, организующие работупо защите информации в структурных подразделениях дорожногоуровня.Примечание:- взаимодействие РЦБ и ИВЦ осуществляется на основанииРегламента взаимодействия Региональных центров безопасности –структурных подразделений ОАО «РЖД» с Информационновычислительными центрами - структурными подразделениямиГлавного вычислительного центра ОАО «РЖД» по вопросамконтроля и организации защиты информации в корпоративномпрограммно-аппаратном комплексе ОАО «РЖД», утвержденноговице-президентом ОАО «РЖД» Бобрешовым А.С.
16.10.2007г.;- служба корпоративной информатизации железной дороги (НКИ) вовзаимоотношениях с РЦБ руководствуется Регламентомвзаимодействия Департамента информатизации и корпоративныхпроцессов управления и Департамента безопасности по вопросамсоздания и эксплуатации автоматизированных систем управления ителекоммуникационных сетей ОАО «РЖД», утвержденным вицепрезидентом ОАО «РЖД» Бобрешовым А.С. 19.10.2007г.2.3.
Отдел защиты информации Дальневосточного регионального центрабезопасности обеспечивает:организацию и контроль выполнения требований настоящейПолитики и других нормативных документов по ИБ в СПДУ;разработку типовых инструкций и другой организационнораспорядительной документации по вопросам ИБ 21 дорожного уровня;организацию мониторинга ИБ АИТС 21 дорожного уровня;организацию контроля выполнения требований лицензирующихорганов в части 21 защиты информации, не составляющейгосударственную тайну;подготовку и представление в Департамент безопасности 21 ОАО«РЖД» 21 предложений по совершенствованию СОИБ; 21оказание методической помощи по вопросам ИБ СПДУ, включаяфилиалы ОАО «РЖД», дочерние и зависимые общества дорожногоуровня;организацию устранения выявленных уязвимостей и нарушенийинформационной безопасности;определение параметров, характеризующих величину рисков ИБ;представление отчетности по ИБ в Департамент безопасности ОАО«РЖД»; 21обеспечение организации реагирования на инциденты ИБ АИТСдорожного уровня.2.4.
Отдел безопасности информационных ресурсов Хабаровского ИВЦобеспечивает:эксплуатацию средств информационной безопасности АИТС иСОИБ дорожного уровня в пределах зоны ведения; 21исполнение инструкций и другой организационно-распорядительнойдокументации по вопросам обеспечения ИБ сопровождаемых АИТС 21дорожного уровня в сфере своей ответственности; 21контроль прав доступа пользователей к 21 сопровождаемыминформационным системам;организацию сдачи-приемки в эксплуатацию 21 СОИБ АИТС дорожногоуровня;условия проведения мониторинга ИБ АИТС 21 дорожного уровня инепосредственное участие в проводимых мероприятиях по контролюзащищенности АИТС 21 дорожного уровня;устранение выявленных уязвимостей и нарушений ИБэксплуатируемых АИТС 21 дорожного уровня;внедрение и эксплуатацию технических средств инфраструктурыоткрытых ключей (ИОК) и 21 электронно-цифровой подписи (ЭЦП) в 21АИТС дорожного уровня;организацию обучения администраторов безопасности 21 ИВЦ,обеспечивающих опытную и постоянную эксплуатацию СОИБ 21дорожного уровня;подготовку предложений и рекомендаций по совершенствованиюСОИБ и представление 21 имеющихся предложений в ДальневосточныйРЦБ и в НКИ;проведение лицензионной работы в СОИБ, 21 включающей обеспечениеналичия лицензий, разработку рекомендаций по 21 их использованию;представление в Дальневосточный РЦБ данных (оперативных ипериодических) по результатам работы средств защиты информациии совместного с РЦБ контроля по всем эксплуатируемым АИТС инарушениям ИБ, а также представление в Дальневосточный РЦБпредложений по совершенствованию функционирования средствзащиты и контроля;сбор и статистическую обработку данных по фактам нарушения ИБдля определения параметров рисков ИБ;организацию консультирования пользователей различного уровня повопросам эксплуатации и 21 применения средств защиты и контроляинформации;реализацию мероприятий по реагированию на инциденты ИБ АИТСдорожного уровня.2.5.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
