Лыськова636334357157712851 (1205676), страница 19

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 19)

Служба корпоративной информатизации Дальневосточной железнойдороги в части реализации требований информационной безопасностиобеспечивает:взаимодействие с Дальневосточным РЦБ, Хабаровским ИВЦ иподразделениями безопасности СПДУ в области обеспеченияинформационной безопасности, защиты автоматизированных систем,средств вычислительной техники и сети передачи данных отнесанкционированного доступа;организацию внедрения АИТС дорожного уровня с соблюдениемтребований к защите обрабатываемой информации, совместно и посогласованию с Дальневосточным РЦБ, Хабаровским ИВЦ;организацию проведения инвентаризации и ведения постоянногоучета эксплуатируемых автоматизированных систем (АС) в Реестреавтоматизированных систем и архитектурных моделей (Реестр АС иАМ), с обязательным указанием в составе паспорта АС информациио подразделении-распорядителе информационных ресурсов АС(функциональном заказчике);своевременное согласование с Дальневосточным РЦБ паспортовпроектов на вновь создаваемые АС, общих и частных техническихзаданий на разработку, проектных решений в части вопросовобеспечения информационной безопасности, включение в составкомиссий по приемке законченных разработок в опытную ипостоянную эксплуатацию представителей Дальневосточного РЦБ(по согласованию);организацию совместно с Дальневосточным РЦБ и ХабаровскимИВЦ работ по обеспечению ИБ автоматизированных системуправления;подготовку предложений по совершенствованию СОИБ АИТСдорожного уровня и представление этих предложений вДальневосточный РЦБ и ЦКИ;рассмотрение и обобщение предложений Дальневосточного РЦБ,Хабаровского ИВЦ, СПДУ (за исключением дочерних и зависимыхобществ), подготовку сводных заявок для включения в планы поПрограмме информатизации поставок оборудования, приобретениялицензионного программного обеспечения, ИТ – услуг, работ поразработке, внедрению и сопровождению программного обеспечения,связанных с обеспечением ИБ.2.6.

Подразделения и работники, организующие работу по защитеинформации в 21 СПДУ, в пределах зон ведения обеспечивают:реализацию мер по информационной безопасности в 21 АИТС;настройку систем обеспечения ИБ эксплуатируемых систем всоответствии с требованиями ИБ, организационно-распорядительнойи эксплуатационной документацией; 21администрирование эксплуатируемых СОИБ;разработку 21 местных инструкций и другой организационнораспорядительной документации по вопросам эксплуатации СОИБ,АИТС в 21 сфере своей ответственности;эксплуатацию СОИБ в соответствии с эксплуатационнойдокументацией;условия проведения мониторинга 21 для Дальневосточного РЦБ,мониторинг ИБ и непосредственное участие в проводимыхмероприятиях по контролю защищенности 21 эксплуатируемых АИТС;устранение выявленных уязвимостей и нарушений ИБэксплуатируемых АИТС;подготовку предложений и 21 рекомендаций, 21 связанных с обеспечениеми совершенствованием ИБ АИТС и СОИБ, в Программуинформатизации ОАО «РЖД», и представление в ДальневосточныйРЦБ и НКИ;проведение лицензионной работы в СОИБ, требующих наличиялицензий, разработку рекомендаций по лицензионной работе;подготовку 21 по установленным формам отчетных материалов порезультатам работы средств защиты и контроля по всемэксплуатируемым АИТС и нарушениям ИБ и представление их в 21Дальневосточный РЦБ;организацию консультирования пользователей 21 своих подразделенийпо вопросам защиты информации и эксплуатации применяемыхсредств защиты информации и контроля ИБ в пределах зон ведения;сбор и статистическую обработку данных по фактам нарушения ИБдля определения параметров рисков ИБ;реализацию мер по фиксированию инцидентов ИБ и реагированию наних.2.7.

Контроль над реализацией, а также координацию работ по подготовкедорожной Политики информационной безопасности на основании типовой,пересмотр и дополнение положений Политики информационной безопасностиДальневосточной железной дороги возлагается на подразделения, отвечающиеза обеспечение информационной безопасности в соответствии с ихфункциональными обязанностями и полномочиями, определенныминормативными документами ОАО «РЖД». Корректировка Политикипроизводится по мере необходимости.Перечень нормативно-правовых и нормативно-методических документовпо обеспечению защиты информации, разработанных на дорожном уровне,приведен в приложении 2.2.8. При использовании информационных активов, содержащих сведения,составляющие коммерческую тайну ОАО «РЖД», 4 иной информацииконфиденциального характера, безопасность которой ОАО «РЖД» обязанообеспечивать в соответствии с требованиями 4 законодательства РФ, либо врамках исполняемых договоров (соглашений), иных взаимных обязательств,внутренние пользователи АИТС несут ответственность в соответствии стребованиями нормативных документов ОАО «РЖД» и РФ по вопросуобращения с соответствующей информацией, внешние пользователи – всоответствии с соглашениями об охране информации, составляющейкоммерческую тайну, а также гражданско-правовыми договорами, в рамкахкоторых предусматривается передача и обмен такой информацией,законодательством РФ.3.

Основные информационные активы и программно-техническиекомплексы АИТС СПДУ, подлежащие категорированию и защите3.1. АИТС СПДУ включают технические, программные и программнотехнические средства, используемые для накопления, хранения, обработки,передачи и защиты информации.3.2. 25 Основными и наиболее критичными информационными 4 активами ипрограммно – техническими комплексами АИТС СПДУ, 4 подлежащимикатегорированию и защите являются:информация, составляющая коммерческую тайну ОАО «РЖД» и 4 его 4контрагентов;информация, подлежащая защите в соответствии с законами РФ идругими государственными нормативными документами;персональные данные работников ОАО «РЖД» и других 4 физических 4лиц;служебная информация АИТС и 4 средств защиты информации(идентификаторы, пароли, таблицы разграничения доступа,криптографические ключи, информация журналов аудитабезопасности и др.); 25программно-технические комплексы информационно- 4вычислительных центров СПДУ;программно-технические комплексы систем защиты 4 информации;объекты АИТС, включающие отдельные АРМ и 4 локальныевычислительные сети, серверные сегменты АИТС, программнотехнические комплексы 10 баз данных; 10программно-технические комплексы и система управления сетьюпередачи данных; 101информационная и сетевая инфраструктура центров 4 обработкиданных;объекты информационной инфраструктуры системы 4 управления 101единой магистральной цифровой сетью связи;системы управления автоматических телефонных станцийобщетехнологической и оперативно-технологической сетей;объекты АИТС сети оперативно-технологического 4 назначения ( СПДОТН);узлы доступа к СПД;узлы доступа в открытые сети (Интернет).3.3.

4 Категорированию на дорожном уровне подлежат все АИТС.Ответственность за категорирование несет распорядитель информационныхресурсов – подразделение ОАО «РЖД», реализующее полномочия обладателяинформации в части предоставления доступа к информационным ресурсам всоответствии с требованиями, установленными нормативными документамиОАО «РЖД».3.4. Категорирование АИТС должно основываться на оценке значимостиих основных характеристик безопасности (целостности / доступности /конфиденциальности) и периодически уточняться исходя из оценки рисков ивеличины возможного ущерба СПДУ от нарушения указанных характеристик.После проведения работ по категорированию, информационные ресурсыдолжны быть защищены средствами защиты информации в соответствии сустановленной категорией.3.5. Информационные активы и программно-технические комплексыАИТС СПДУ дорожного уровня, подлежащие защите, уточняются порезультатам категорирования и оформляются в виде соответствующего Перечня,утверждаемого установленным в ОАО «РЖД» порядком, по форме,представленной в приложении 3.3.6.

При работе с информацией конфиденциального характера, в томчисле составляющей коммерческую тайну ОАО «РЖД», персональные данные, 10должны соблюдаться установленные в ОАО "РЖД" правила обращения с ней:правила хранения, распространения, регистрации, учета, передачи третьимлицам, разграничения прав доступа.4. Основные угрозы информационным активам дорожного 4 уровня, мерыпо их минимизации, анализ уязвимостейи 4 оценка защищенности АИТС4.1. 4 Основные угрозы информационным активам СПДУ включают: 4разглашение (утечку) информации конфиденциального характера, втом числе составляющей коммерческую тайну ОАО «РЖД»,персональные данные;нарушение целостности информационных активов, включаяизменение или фальсификацию ( 10 модификацию и искажение), а также 10полное или частичное уничтожение информационных активов СПДУ;дезорганизация функционирования важнейших АИТС 4 дорожногоуровня, 4 включая блокировку санкционированного доступа к 25информации зарегистрированных пользователей.4.2.

Основными способами реализации угроз ИБ являются:несанкционированный доступ (в том числе с 4 использованием 25программно-технических средств) в АИТС дорожного уровня, атакже к ее техническим средствам и информационным активам;перехват информации в сторонних и собственных сетях 4 передачиданных СПДУ;применение специальных средств, программно-техническихалгоритмов и процедур проведения атак по отношению к АИТСдорожного уровня;несанкционированное использование зарегистрированнымпользователем АИТС программных продуктов доступа и 4администрирования, не входящих в состав ПО, инсталлированного наего рабочем месте установленным порядком;внедрение (в том числе непреднамеренное) в АИТС 4 дорожного 4уровня компьютерных вирусов и 4 другого вредоносного программногообеспечения (троянские программы, программы-«шпионы» и пр.);разрушение или порча информационных 25 активов СПДУ приотсутствии (или ненадлежащей настройке) соответствующих 4механизмов 25 защиты и управления доступом к АИТС дорожногоуровня и обрабатываемой в них информации;разрушение или порча информационных активов СПДУ по причинеотсутствия достаточных знаний, навыков, опыта, а такженевнимательности или халатности работников 4 СПДУ;перехват информации по техническим каналам;несанкционированное включение средств электронно- 4вычислительной техники, подключенных к АИТС, в локальные иликорпоративные сети других организаций, а также во внешние 4информационные системы и сети, включая сеть Интернет;использование общедоступных незащищенных ресурсов и сервисовдля передачи защищаемой информации.

44.3. Источники угроз ИБ 4 делятся на три основных класса:источники, связанные с действиями людей – внешние и внутренниенарушители;источники, связанные с ненадежностью аппаратных средств,моральным старением и наличием ошибок в программномобеспечении;источники, связанные с природными явлениями (стихийнымибедствиями) и неблагоприятными техногенными факторами.4.4. В 10 качестве внешних нарушителей ИБ могут рассматриваться:лица, не входящие в состав пользователей и 4 обслуживающегоперсонала 10 АИТС дорожного 4 уровня, и являющиеся, например,разработчиками этих систем, пользователями систем, сопряженных сАИТС дорожного уровня, работниками организаций,предоставляющих СПДУ 4 услуги на условиях аутсорсинга,пользователи сетей общего 4 пользования ( например, сеть Интернет),которым предоставлен доступ к АИТС дорожного уровня;преступные группировки (или отдельные лица), 4 организующиепроведение противозаконных акций в отношении информационных 10активов АИТС дорожного уровня;организации (или отдельные лица), пытающиеся извлечь прибыль(выгоду) незаконным путем за счет 4 несанкционированного доступа кинформационным активам 10 СПДУ 4 или преследующие 10 иные цели.4.5.

Характеристики

Список файлов ВКР