Лыськова636334357157712851 (1205676), страница 22
Текст из файла (страница 22)
При эксплуатации ЗП необходимо предусматривать 24организационные меры, направленные на исключение несанкционированногодоступа в помещение:двери в период между мероприятиями, а также в 24 не рабочее времязапирать на ключ;выдача ключей от ЗП должна производиться лицом, 24 ответственным заэто помещение;установка и замена оборудования, мебели, ремонт ЗП должныпроизводиться только 24 под контролем специалиста по защитеинформации;на период проведения конфиденциальных мероприятий 33 следуетограничить доступ посторонних лиц в места возможногопрослушивания разговоров в 24 ЗП, а также исключить возможностьзаноса в помещение средств мобильной связи участникамисовещаний.6.4.5.
Необходимо предусмотреть меры по исключению утечкиинформации по материально-вещественным каналам (черновики различныхдокументов, отходы делопроизводства и издательской деятельности,забракованные листы при оформлении документов и их размножении,нечитаемые дискеты ПЭВМ из-за их физических дефектов и искаженийзагрузочных или других кодов, CD диски и другие носители информации). ВСПДУ должна быть разработана соответствующая инструкция.5.5. Обеспечение разграничения доступа зарегистрированныхпользователей к аппаратным, программным и информационным ресурсам и 35регистрация их действий.6.5.1.
При определении полномочий необходимо руководствоватьсяпринципом минимальности прав пользователей.6.5.2. 55 Хабаровскому ИВЦ необходимо создать типовой набор привилегийсистемным администраторам и пользователям.В число функций, исключенных для пользователей, должны обязательновходить:изменение системных привилегий или управления;изменение характеристик защиты;распределение ресурсов.6.5.3. 55 Для каждого работника для входа в АИТС создаются отдельнаяучетная запись, уникальный идентификатор, пароль и набор прав необходимыхдля решения возложенных на него задач.
Полные привилегии по доступу всистему, т.е. 55 административный доступ или доступ от имени 55привилегированного пользователя, должны предоставляться ограниченномучислу лиц администраторов системы с контролем запросов на доступ. Вседействия администраторов должны протоколироваться.6.5.4. Список пользователей с расширенными привилегиями доступа вАИТС должен систематически пересматриваться и регулярно обновляться наосновании данных учета предоставления доступа и кадрового учета.6.5.5. Пароли доступа, а также любая другая аутентификационнаяинформация для доступа к основным компонентам сети должнысоответствовать принятым правилам и требованиям к организации парольнойзащиты в подразделениях железной дороги и категории информации системы, ккоторой предоставляется доступ.6.5.6.
Идентификаторы и пароли доступа к системам должныудовлетворять следующим требованиям:быть уникальными для каждой системы и случайными;не являться именами собственными, словарными словами, наборомповторяющихся или последовательно идущих символов;должны состоять из цифровых, буквенных значений и специальныхсимволов;не должны быть пустыми;иметь длину не менее восьми символов;не использоваться для процессов автоматического входа в систему.6.5.7.
Индивидуальные пароли не должны сообщаться посторонним илипередаваться другим пользователям, не должны вставляться в тексты программ,не должны записываться на бумагу и т.д. 76 Исключение из данного правиласоставляет установленный в СПДУ порядок резервного храненияидентификаторов и паролей доступа. Пользователь несет персональнуюответственность за разглашение своего пароля.6.5.8. Терминальное соединение должно быть автоматически завершенопосле заданного периода неактивности. Число неудачных попыток входаадминистраторов в систему должно быть конечным с обязательным разрывомсоединения блокировкой идентификатора, а также уведомлениемадминистратора безопасности.
Все случаи неверно введенных паролей должныбыть отражены в системном журнале. При успешном входе в систему должныотображаться дата и время последнего входа в систему. 76 Данное требованиеприменяется к вновь разрабатываемым и модернизируемым АС.5.6. Обеспечение защиты и контроля информации при использованииэлектронной почтовой системы ОАО «РЖД» и сети Интернет.6.6.1. Электронная почтовая система ОАО "РЖД" и иные средствакоммуникаций не предназначены для ведения личной переписки и должныиспользоваться только для обеспечения производственной деятельностиработников ОАО "РЖД".6.6.2. При работе с электронной корреспонденцией пользователи должныруководствоваться «Инструкцией о порядке использования средств электроннойпочтовой системы и факсимильной связи в открытом акционерном обществе«Российские железные дороги» от 15 марта 2004 г. No ХЗ-2290, « Примернымперечнем категорий 73 информации и программных продуктовнепроизводственного характера, 73 не подлежащих записи, хранению ираспространению в информационных системах и телекоммуникационных сетяхОАО «РЖД», утвержденным вице-президентом ОАО «РЖД» Корниловым Г.В.20 сентября 2004 г., а также другими нормативными документами ОАО «РЖД».6.6.3.
Для предотвращения угроз безопасности электроннойкорреспонденции, содержащей информацию, составляющую коммерческуютайну, пользователи должны использовать методы криптографической защитыинформации, включая защищенный сегмент электронной почтовой системы,технологию VipNet, ИОК, электронную цифровую подпись.6.6.4.
Любое межсетевое соединение АИТС дорожного уровня и сетейпровайдеров должно быть согласовано с Дальневосточным РЦБ и выполнено посхеме, утвержденной установленным в ОАО «РЖД» порядком.6.6.5. СПДУ и провайдеры, в соответствии с требованиями нормативныхдокументов ОАО «РЖД», заключают договор, в котором предусматриваюторганизационные и технические действия, направленные на обеспечениезащиты информационных активов сетей, недопущение распространенияинформации, запрещенной действующим законодательством, антивируснуюзащиту.6.6.6. Администраторы безопасности или ответственные за обеспечениезащиты информации СПДУ отвечают за поддержание защищенности ицелостности периметра внутренней сети СПДУ при связи с Интернетом всоответствии с действующим законодательством и нормативными документамиОАО «РЖД».6.6.7.
Защита локальных сетей АИТС дорожного уровня отпроникновения из сети Интернет организуется при помощи сертифицированныхсредств защиты информации по схеме, согласованной и утвержденнойустановленным порядком.6.6.8. Использование работниками СПДУ доступа в Интернет иэлектронной почты должно наблюдаться, протоколироваться и систематическипроверяться для того, чтобы иметь гарантии правильности их использования.6.6.9. Контроль за наличием информации непроизводственногохарактера в электронной почтовой системе и сети Интернет осуществляется спомощью автоматизированной системы контроля информационных потоков(СКИП) используемой РЦБ.6.6.10. Руководители и работники подразделений отвечают за обеспечениеустановленного регламента (порядка) использования электронной почты иИнтернета.5.7.
Контрольные проверки состояния защищенности и доступа кресурсам СПД, аудит вычислительных средств и сетевых информационныхресурсов, осуществляемые Дальневосточным РЦБ, должны включать:6.7.1. Контроль за проведением работ по постоянной эксплуатации исопровождению инфраструктуры открытых ключей (ИОК) 21 ОАО «РЖД».6.7.2. Проведение 21 контрольных проверок состояния защищенности СПД,единой корпоративной 62 автоматизированной системы управления финансами иресурсами (ЕК АСУФР), автоматизированной системы 62 управления 81пассажирскими перевозками и комплексной автоматизации технологическихпроцессов обслуживания пассажиров (АСУ ЭКСПРЕСС-3), системыцентрализованной подготовки и оформления перевозочных документов(ЭТРАН) на соответствие требованиям информационной безопасности(профилям защиты) производится на основе методик контрольных проверок нажелезных дорогах ОАО «РЖД» элементов системы обеспеченияинформационной безопасности указанных систем.
Проверка состояниязащищенности других систем должна производиться по мере разработки иутверждения их профилей защиты и методик контрольных проверок.6.7.3. Контроль беспроводного доступа к ресурсам СПД ОАО «РЖД» наоснове «Методики проверки соответствия настроек беспроводной точки доступатребованиям «Руководящего документа по обеспечению информационнойбезопасности беспроводного радиодоступа».6.7.4. Контроль над организацией работ по защите информации вавтоматизированных системах управления ОАО «РЖД», обрабатывающихперсональные данные, информацию, составляющую коммерческую тайну ОАО«РЖД».6.7.5. Работы по аудиту вычислительных средств и сетевыхинформационных ресурсов (ИР) ОАО «РЖД» на предмет выполнениятребований информационной безопасности с использованием техническихсредств контроля: сканеров сети (ревизор сети, Xspider, Lanspy и т.п.), системанализа сетевой активности (АС СОЗ, АСУ ЦСВТ, Cisco Works), СКИП (приналичии), «ПТК Интернет» и т.п.6.7.6.
Контроль наличия несанкционированных соединений с сетьюИнтернет и другими сетями организаций, не входящих в ОАО «РЖД».5.8. Обеспечение физической защиты объектов, оборудования,производственных и служебных помещений СПДУ.6.8.1. Физический доступ к средствам вычислительной техники АИТС исредствам передачи данных, принадлежащих СПДУ или расположенных на егоплощадях, должен быть ограничен и строго контролироваться работникамиподразделений безопасности СПДУ во избежание несанкционированныхизменений конфигурации, вывода оборудования из строя, хищения и т.п.6.8.2. Все действия по техническому обслуживанию, ремонту и заменеоборудования должны проводиться исключительно с разрешения руководстваСПДУ и должны быть зарегистрированы установленным порядком.6.8.3. Ответственность за правильную эксплуатацию и поддержаниеработоспособности оборудования возлагается на руководителей причастныхподразделений ИВЦ и СПДУ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
