Лыськова636334357157712851 (1205676), страница 20
Текст из файла (страница 20)
В качестве потенциальных внутренних нарушителей ИБ могутрассматриваться пользователи и обслуживающий персонал АИТС дорожногоуровня, другие субъекты (лица), вовлеченные в 4 информационные процессыАИТС.4.6. Для минимизации угроз от потенциальных 4 нарушителей ИБ должныпроводиться следующие мероприятия:8.6.1.
Допуск работников к сведениям конфиденциального характерарегламентируется соответствующими нормативными документами иоформляется установленным порядком.8.6.2. После прекращения трудового договора с работником необходимонезамедлительно лишить его прав доступа к внутренним информационнымактивам АИТС дорожного уровня и удалить учетные записи.8.6.3.
При переводе работника на другую должность права доступапересматриваются. При выходе работника в долгосрочный отпускприостанавливается действие всех привилегий его доступа.8.6.4. В трудовых договорах (контрактах) и должностных инструкцияхвсех штатных и временных работников ОАО «РЖД» должны предусматриватьсяих обязательства по обеспечению охраны информации, составляющейкоммерческую тайну, обладателями которой являются 77 ОАО «РЖД» и егоконтрагенты, и ответственность за обеспечение охраны ее конфиденциальности.8.6.5.
При увольнении администраторов СПДУ, а также работников,занимающихся поддержкой и обслуживанием АИТС, необходимопредусмотреть меры по предотвращению возможных злонамеренныхвоздействий на СВТ СПДУ, включая прекращение доступа, изменениеадминистративных паролей, полномочий пользователей и т.д. Перечень этихмер разрабатывается Хабаровским ИВЦ и согласовывается с ДальневосточнымРЦБ.4.7. Оценка защищенности АИТС дорожного уровня осуществляетсяработниками Дальневосточного РЦБ с использованием Системы оценкизащищенности автоматизированных информационных ителекоммуникационных систем ОАО «РЖД» ( 4 АС СОЗ), а также других систем,направленных на решение задач по оценке защищенности АИТС.5.7.1.
Методологическим обеспечением 4 АС СОЗ являетсяиспользование:технических регламентов Российской Федерации, стандартов 4информационной безопасности, руководящих документов ФСТЭКРоссии, ФСБ России и иных нормативных документов; 4концепций, политик и регламентов обеспечения информационной 4безопасности ОАО «РЖД»;методик оценки защищенности 4 информационных активов,категорирования АС, анализа рисков безопасности, формированиятребований 4 безопасности, проектирования АС в защищенномисполнении, 4 оценки и контроля состояния информационнойбезопасности АС.5.7.2.
4 АС СОЗ обеспечивает 4 возможности:автоматизированного сбора и централизованной обработкиинформации о состоянии, параметрах и характеристиках 4информационной безопасности АИТС дорожного уровня 4 различного 4состава и назначения;автоматизированного тестирования и анализа защищенности АИТСдорожного уровня в соответствии с заданными планами, 4параметрами, шаблонами и регламентами тестирования; 4проведения в автоматизированном режиме различных оценоквыполнения требований ИБ, предъявляемых к АИТС дорожногоуровня;автоматизации учета выявленных нарушений 4 информационной 4безопасности АИТС дорожного уровня и принятых мер по ихустранению;автоматизации процессов периодического контроля и 4 оперативногомониторинга состояния ИБ АИТС дорожного уровня;интеграции в хранилище данных СОЗ событий, связанных синформационной безопасностью АИТС дорожного уровня, в томчисле на основе организации взаимодействия СОЗ с другими 4информационными и телекоммуникационными системами ОАО«РЖД», установленными в них средствами защиты и контроля 4защищенности, другими специализированными средствами и 4системами, 4 связанными с различными аспектами обеспеченияинформационной безопасности АИТС дорожного уровня;автоматизации аналитической деятельности подразделений,обеспечивающих информационную безопасность АИТС 4 дорожного 4уровня по оценке состояния уровня ИБ АИТС дорожного 4 уровня и 4выработке обоснованных предложений и сбалансированных плановсовершенствования ИБ АИТС.5.7.3.
4 АС СОЗ предоставляет открытый документированный интерфейсдля взаимодействия с существующими и создаваемыми АСУ и 4 системамиобеспечения ИБ (в том числе специализированными 4 системами по управлениюИБ) ОАО «РЖД». Агенты СОЗ 4 устанавливаются на всех рабочих станциях исерверах, включенных в СПД.5.7.4. С целью своевременного выявления уязвимостей систем 4 защитыинформационных систем и предупреждения возможных 4 нарушенийинформационной безопасности отделом защиты информации ДальневосточногоРЦБ совместно с отделом безопасности информационных ресурсовХабаровского ИВЦ, по согласованию с системными администраторами ИВЦ,проводятся проверки, включая внеплановые, уровня защиты сетевых ресурсовс использованием сертифицированных средств и методов анализазащищенности, включающих в себя, в том числе, имитацию действийпотенциального злоумышленника по 4 осуществлению несанкционированногодоступа к информации.
Системные администраторы ИВЦ могут привлекатьсядля участия в 4 проведении подобных проверок.Внеплановые проверки проводятся при наличии информации в 4Дальневосточном РЦБ о нарушениях требований нормативных документов ОАО«РЖД» по обеспечению безопасности информации (информационных 4ресурсов).5.7.5. Использование АС СОЗ осуществляется Дальневосточным РЦБ. Кзоне контроля АС СОЗ для целей настоящей Политики относятся все СПДУ,все внешние СВТ, имеющие доступ в СПД ОАО «РЖД», все подразделениядорожного уровня.
По результатам проверок составляется акт с указанием 4выявленных уязвимостей и нарушений и предписанием руководству 4соответствующих подразделений устранить уязвимости и, при 4 необходимости,провести служебное расследование и устранить 4 нарушения.5. Методы реализации Политики информационной безопасностиДальневосточной железной дороги5.1. Обеспечение защиты от несанкционированного вмешательства в 4процессе функционирования АИТС дорожного уровня. 4Доступ работников к информационным ресурсам дорожного уровняосуществляется в соответствии с нормативными документами ОАО «РЖД» опорядке предоставления доступа к информационным ресурсам, Инструкциейпользователю автоматизированной информационно-телекоммуникационнойсистемы и Инструкцией по организации парольной защиты компьютеровпользователей с которыми работник должен быть ознакомлен под роспись.Общие обязанности работников СПДУ по обеспечению информационнойбезопасности при работе в АИТС представлены в приложении 4.6.1.1.
АИТС дорожного уровня должна иметь администраторовбезопасности СПДУ, отвечающих за:определение уровня безопасности систем и сервисов;координацию всех аспектов безопасности;периодический контроль средств защиты;консультации по проблемам безопасности; 55восстановление основных сервисов в случае сбоя или нарушенияинформационной безопасности.Инструкция администратора безопасности СПДУ представлена вприложении 6.Контроль за действиями администратора безопасности осуществляетДальневосточный РЦБ.6.1.2.
Все действия по обслуживанию, изменениям конфигурации имодификациям программных и аппаратных средств должны 55 документироватьсяи проводиться только администратором данной системы по согласованию свладельцем (распорядителем) информационного ресурса АИТС, НКИ и подконтролем администратора безопасности или лица, ответственного заинформационную безопасность в СПДУ.6.1.3. С целью своевременного выявления фактов несанкционированногодоступа к АИТС дорожного уровня с использованием регистрационных данныхпользователей, отдел информационной безопасности (работник, отвечающий заинформационную безопасность) СПДУ проводит регулярный анализпользования услугами в режиме реального времени и попыток одновременногоподключения пользователей с использованием одинаковых регистрационныхданных.6.1.4.
Автоматизация предоставления доступа к информационнымресурсам должна осуществляться на основе электронного документооборота,создания актуальной модели доступа, исполнения заявок, настройкиинформационных систем и контроля соответствия.6.1.5. Технология автоматизации управления доступом кинформационным ресурсам должна обеспечивать:управление доступом сотрудников к информационным ресурсам наоснове заявок в процессе производственной деятельности;выявление фактов несанкционированного доступа кинформационным ресурсам, а также фактов несанкционированныхизменений;автоматизацию документооборота заявок на предоставление доступа;контроль выполнения требований заявок на предоставление доступа;контроль за действиями администраторов прикладных систем.5.2.
Обеспечение защиты данных, обрабатываемых и хранимых в АИТСи 4 передаваемых по каналам связи от несанкционированного доступа и 4 контроляцелостности операционной среды и 4 программных средств, восстановление ихцелостности в случае нарушения.6.2.1. 4 На всех АРМ и серверах должны быть включены функциипротоколирования. Все системы должны быть синхронизированы по времени идате.6.2.2.














