Дипломная работа (1205736), страница 13

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 13)

Система обеспечения информационной безопасности ОАО "РЖД" представляет собой сложную организационно-техническую систему, закрепленной Стандартом ОАО «РЖД» "Управление Информационной Безопасностью. Общие положения", утвержденным распоряжением ОАО "РЖД" от 11.03.2009 N 480р.

Стандарт устанавливает: задачи и принципы построения системы управления информационной безопасностью, требования к организационной структуре и мерам управления информационной безопасностью, требования к нормативной и методической документации по управлению информационной безопасностью, принципы организации планирования мероприятий по управлению информационной безопасностью, основные меры управления информационной безопасностью ОАО "РЖД" [3].

Информационной безопасностью ОАО «РЖД» занимаются ООО «Центр безопасности информации», ОАО «Научно-исследовательский и проектно-конструкторский Институт информатизации, автоматизации и связи на железнодорожном транспорте» дочернее предприятие ОАО «РЖД» и другие.

Основными целями создания и функционирования Системы информационной безопасности являются обеспечение защиты информации, не относящейся к категории "государственная тайна", внедрение и эксплуатация технических подсистем, комплексов и средств обеспечения информационной безопасности, обеспечение доступности соответствующих категорий информации для пользователей ОАО "РЖД", других организаций и частных лиц, управление информационной инфраструктурой, а также аудит уровня информационной безопасности ОАО "РЖД" [3,37].

Основными задачами управления информационной безопасностью являются:

1. выполнение требований законодательства и нормативных документов уполномоченных в области обеспечения ИБ государственных органов;

2. обеспечение информационной безопасности ОАО "РЖД" при обработке и использовании информационных активов компании;

3. определение информационных активов ОАО "РЖД", подлежащих защите;

4. определение категорий автоматизированной информационной и телекоммуникационной системы и информационных активов ОАО "РЖД" с целью определения приоритетов и требуемых уровней защиты информации;

5. анализ уязвимостей, построение моделей нарушителей и угроз безопасности информационных активов;

6. анализ и оценка рисков нарушения категорий автоматизированной информационной и телекоммуникационной системы и информационных активов ОАО "РЖД";

7. определение рационального баланса технических и организационных мер обеспечения безопасности информации;

8. разработка и внедрение системы управления в компанию;

9. обеспечение взаимоувязанного по времени, целям и задачам взаимодействия структурных подразделений защиты информации;

10. взаимодействие с уполномоченными в области обеспечения информационной безопасности государственными органами в ходе проведения проверок, инспекций и по текущим вопросам обеспечения информационной безопасности [3,37].

Основными принципами управления информационной безопасностью являются:

1. законность - соответствие правовым нормам;

2. достаточность и нормирование защиты - реализация технически и экономически обоснованных уровней информационной безопасности и мер защиты;

3. базирование на рисках - выбор уровня, требований и мер информационной безопасности основывается на результатах анализа и оценки рисков реализации угроз безопасности информационным активам ОАО "РЖД";

4. надежность - сохранение безопасного состояния в случае сбоев системы;

5. соразмерность затрат на защиту - затраты на обеспечение безопасности не должны превышать величину возможного ущерба, связанного с нарушением системы;

6. простота - меры и механизмы обеспечения информационной безопасности должны быть насколько это возможно простыми;

7. контроль доступа (управление доступом) - доступ к информации должен осуществляться только с использованием средств, реализующих политику разграничения доступа;

8. открытость - безопасность компании не должна зависеть от мер по ограничению доступа к информации относительно реализации компонентов соответствующих систем обеспечения;

9. разделение прав - функции безопасности, используемых в ОАО "РЖД", должны быть разделены между подсистемами, их реализующими; роли администраторов, операторов и пользователей системы должны быть разделены между персоналом компании;

10. приемлемость - пользователи системы должны осознавать необходимость в обеспечении информационной безопасности, а также участвовать в регулярных тренировках и проходить обучение по вопросам организации информационной безопасности.

11. многоуровневая защита – механизмы обеспечения системы должны применяться на нескольких уровнях защиты таким образом, что компрометация одного механизма безопасности не являлась бы достаточным условием компрометации системы или какой-либо ее части;

12. регистрация нарушений безопасности – нарушения должны регистрироваться в соответствующих электронных журналах;

13. непрерывность защиты - обеспечение безопасности производится на всех стадиях и этапах жизненного цикла системы;

14. периодическая оценка - требования и меры по обеспечению информационной безопасности периодически контролируются, пересматриваются и переоцениваются.

К основным объектам защиты информации в ОАО "РЖД" относятся [3]:

1. объекты информационной инфраструктуры, включающие в себя программно-технические комплексы и систему управления единой магистральной цифровой сетью связи;

2. системы управления автоматических телефонных станций обще-технологической и оперативно-технологической сетей;

3. программно-технические комплексы и система управления сетью передачи данных;

4. объекты автоматизированных систем управления и информационных систем, включающие в себя отдельные автоматизированные рабочие места и локальные вычислительные сети, серверные сегменты информационных систем и автоматизированных систем управления, программно-технические комплексы поддержания специализированных баз данных;

5. системы документооборота.

Система информационной безопасности состоит из трех основополагающих компонентов: организационный, нормативно-правовой и технический [3,37].

В роли организационного компонента выступают все должностные лица и штатные подразделения обеспечения системы информационной безопасности.

Нормативно-правовой компонент разрабатывается на основе действующих в Российской Федерации законодательных и нормативных документов и международных стандартов: ГОСТ Р 51275-99; ГОСТ Р 51624-2000; ГОСТ Р 51583-2000; ГОСТ Р ИСО/МЭК 15408-2002; ISO/IEC 17799:2005; ISO/IEC 27001:2005 и др.

Среди основных направлений формирования нормативно-методической базы следует выделить разработку корпоративного стандарта управления информационной безопасностью, политика информационной безопасности компании, положений, руководств, регламентов, методик, профилей защиты, заданий по безопасности [3,37].

В качестве примеров нормативных актов можно привести "Инструкцию о порядке обращения с информацией, составляющей коммерческую тайну ОАО "РЖД", "Перечень сведений, составляющих коммерческую тайну ОАО "РЖД", распоряжение "Об организации работ по предотвращению записи, хранения и распространения информации и программных продуктов непроизводственного характера" с "Примерным перечнем категорий информации и программных продуктов..." и "Примерным порядком организации создания корпоративных Web-сайтов, FTP-серверов, конференций...", "Порядок подключения пользователей к информационным ресурсам ОАО "РЖД" и ряд других.

Техническим компонентом является корпоративная инфо-телекоммуникационная сеть ОАО "РЖД". Данная сеть объединяет информационные ресурсы и технические средства обработки и передачи информации центрального аппарата, железных дорог и других филиалов РЖД.

Важнейшими техническими компонентами инфосистемы ОАО "РЖД" являются СПД и ЕМЦСС. В настоящее время введены в действие комплекс защиты системы управления ЕМЦСС и комплекс защиты СПД магистрального и дорожного уровней, обеспечивающие регистрацию, учет и целостность ПО и обрабатываемой информации, разграничение доступа к ресурсам, аудит событий безопасности и обнаружение вторжений [3,37].

Еще одним техническим компонентом, во многом определяющим ИБ, является инфраструктура Windows-доменов и Active Directory (AD), которая дает возможность централизованного формирования и управления политиками безопасности информационных систем. Здесь же следует упомянуть и инфраструктуру открытых ключей, находящуюся в стадии формирования и предназначенную для усиленной аутентификации и авторизации доступа к информационным ресурсам функционирования VPN-каналов, а также реализации шифрования и электронной цифровой подписи при внутреннем информационном обмене [3,37].

К другим техническим компонентам Системы обеспечения информационной безопасности относится комплекс защиты от разрушающих программных воздействий и обновлений ПО, поддерживающий оперативную рассылку обновлений антивирусных баз и системного программного обеспечения по всей сети филиалов компании.

Работы по развитию Системы обеспечения информационной безопасности в совокупности обеспечивают необходимый базовый уровень информационной безопасности ОАО "РЖД" и снижают вероятность реализации угроз [3,37].

К мероприятиям управления информационной безопасностью, подлежащим реализации в ОАО "РЖД", относятся следующие:

- активная поддержка процессов информационной безопасности со стороны руководства ОАО "РЖД";

- координация деятельности, связанной с информационной безопасностью;

- четкое распределение и разделение обязанностей, связанных с информационной безопасностью;

- инвентаризация всех значимых информационных активов;

- оценка значимости и категорирование информационных активов и АИТС;

- эффективная организация информационных активов и АИТС;

- анализ уязвимостей, формирование перечней угроз и характеристик вероятных нарушителей;

- анализ и оценка рисков нарушения информационной безопасности;

- эффективное проектирование мер, средств и систем обеспечения информационной безопасности;

- документирование должностных обязанностей персонала;

- проведение регулярного обучения персонала;

- определение мер дисциплинарного характера к нарушителям;

- проведение предупредительных мероприятий при увольнении сотрудников ОАО "РЖД";

- физическая защита средств хранения и обработки информации;

- резервирование электропитания для критичных ресурсов;

- защита (контроль) кабелей электропитания и телекоммуникационных кабелей;

- надлежащее регламентное обслуживание оборудования;

- контроль за перемещением оборудования;

- надлежащее документирование эксплуатационных процедур;

- разделение средств разработки, средств тестирования от эксплуатируемых средств обработки информации;

- мониторинг производительности ресурсов АИТС и поддержание необходимых эксплуатационных характеристик АИТС в случаях их масштабирования;

- наличие единых требований при разработке новых АИТС, модернизации существующих АИТС;

- контроль за включением в АИТС новых средств обработки информации, а также за модификацией (заменой) используемых;

- применение надлежащих методов идентификации и аутентификации;

- разграничение доступа пользователей к ресурсам АИТС и документирование процедур предоставления доступа пользователей к ресурсам АИТС;

- защита от компьютерных вирусов и вредоносного программного обеспечения;

- осуществление регламентного резервного копирования информации;

- реализация мер управления информационной безопасностью в вычислительных сетях;

- защита передаваемой информации;

- реализация надлежащих процедур управления съемными носителями информации;

- реализация мероприятий по защите персональных данных при их обработке в АИТС ОАО "РЖД";

- реализация мониторинга информационной безопасности и обеспечение аудита событий;

- периодическое проведение внутреннего аудита;

- реализация технологии "поддержки доверия" к оцененным (аттестованным) по требованиям информационной безопасности АИТС;

- периодический независимый анализ (оценка) состояния информационной безопасности в ОАО "РЖД".

Угрозы информационной безопасности можно разделить на внутренние и внешние.

К внутренним угрозам относятся действия или бездействия (в том числе умышленные и неумышленные) сотрудников предприятия, противоречащие интересам его коммерческой деятельности, следствием которых могут быть нанесение экономического ущерба компании, утечка или утрата информационных ресурсов (в том числе сведений, составляющих коммерческую тайну и/или конфиденциальную информацию), подрыв ее делового имиджа в бизнес-кругах, возникновение проблем во взаимоотношениях с реальными и потенциальными партнерами (вплоть до утраты важных контрактов), конфликтных ситуаций с представителями криминальной среды, конкурентами, контролирующими и правоохранительными органами, производственный травматизм или гибель персонала и т.д. [37].

Характеристики

Список файлов ВКР