Современное состояние системы обеспечения информационной безопасности ОАО «РЖД» - Металлургический журнал. Исследования рынка.

Главная страница Форум Промиздат Опережения рынка Архитектура отрасли Формирование Тенденции Промстроительство

Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев

Главная страница / Архитектура отрасли

Современное состояние системы обеспечения информационной безопасности ОАО «РЖД»

Проблеме обеспечения информационной безопасности руководство ОАО «РЖД» уделяет самое пристальное внимание. Система обеспечения информационной безопасности (СОИБ) представляет собой сложную организационно-техническую систему, основными целями создания и функционирования которой являются защита информации, не относящейся к категории «государственная тайна», внедрение и эксплуатация технических подсистем, комплексов и средств информационной безопасности. К задачам системы также относятся обеспечение доступности соответствующих категорий информации для пользователей РЖД, других организаций и частных лиц, управление информационной инфраструктурой для исключения непроизводственного и непроизводительного использования ее ресурсов, аудит уровня информационной безопасности ОАО.

Цель управления информационной безопасностью компании – обеспечение безопасности информации и объектов инфраструктуры, сохранение конфиденциальности, целостности и доступности информации и единства информационного пространства компании. Процесс управления ИБ направлен на выполнение требований законодательства и регулирующих государственных органов в области информационной безопасности. Он способствует обеспечению технологической безопасности автоматизированных систем (АС) компании при обработке и использовании информационных активов.

В ходе управления ИБ определяются подлежащие защите информационные активы ОАО «РЖД». С целью определения приоритетов и требуемых уровней защиты информации производится ранжирование АС и информационных активов компании по категориям. В задачи управления ИБ входят также построение моделей нарушителей и угроз безопасности информационных активов, формирование требований безопасности информационных активов, предъявляемых к АС, определение рационального баланса технических и организационных мер обеспечения безопасности информации, обрабатываемой в АС компании.

В рамках управления формируются требования к подсистемам обеспечения ИБ АС, используемым в компании, осуществляется контроль их выполнения, разрабатываются планы долгосрочного и среднесрочного развития программы информационной безопасности, реализуется ряд других важных мероприятий, направленных на достижение требуемого уровня информационной безопасности.

К основным объектам защиты информации в ОАО «РЖД» относятся:

объекты информационной инфраструктуры, включающие программно-технические комплексы и систему управления единой магистральной цифровой сетью связи (ЕМЦСС);

системы управления автоматических телефонных станций общетехнологической и оперативно-технологической сетей;

программно-технические комплексы и система управления сетью передачи данных (СПД);

объекты автоматизированных систем управления и информационных систем, включающие: отдельные автоматизированные рабочие места (АРМ) и локальные вычислительные сети (ЛВС), серверные сегменты информационных систем и автоматизированных систем управления, программно-технические комплексы поддержания специализированных баз данных;

системы документооборота.

В составе существующей СОИБ компании можно выделить три составляющие – организационную, нормативно-правовую и техническую.

Организационная составляющая включает в себя должностных лиц и штатные подразделения обеспечения информационной безопасности.

Нормативно-правовая составляющая разрабатывается на основе действующих в Российской Федерации законодательных и нормативных документов и международных стандартов: ГОСТ Р 51275-99, ГОСТ Р 51624-2000, ГОСТ Р 51583-2000, ГОСТ Р ИСО/МЭК 15408-2002, ISO/IEC 17799:2005, ISO/IEC 27001:2005 и др. Среди ключевых направлений формирования нормативно-методической базы следует выделить разработку корпоративного стандарта управления информационной безопасностью политик информационной безопасности компании, положений, руководств, регламентов, методик, профилей защиты, заданий по безопасности.

Примерами нормативных актов, действующих в ОАО «РЖД», могут служить «Перечень сведений, составляющих коммерческую тайну ОАО «РЖД», «Инструкция о порядке обращения с информацией, составляющей коммерческую тайну ОАО «РЖД», распоряжение «Об организации работ по предотвращению записи, хранения и распространения информации и программных продуктов непроизводственного характера» и др.

Структура технической составляющей СОИБ определяется архитектурой корпоративной инфотелекоммуникационной сети ОАО «РЖД» (инфосети), объединяющей информационные ресурсы и технические средства обработки и передачи информации центрального аппарата, железных дорог и других филиалов ОАО. Большинство информационных систем компании имеют клиент-серверную архитектуру, при этом в ГВЦ и в ИВЦ дорог сосредоточены базы данных и серверы приложений, а все клиенты, кроме пользователей ГВЦ и ИВЦ, находятся в линейных подразделениях и на предприятиях ОАО «РЖД».

В процессе формирования технической составляющей СОИБ реализуется ряд базовых принципов. Одним из важнейших является функциональная интеграция специализированных программно-технических комплексов защиты с программно-техническими комплексами передачи и обработки информации, имеющими собственные встроенные средства защиты с мощной функциональностью (операционные системы рабочих станций и серверов, активное сетевое оборудование). Функциональная интеграция обеспечивает достижение высокого уровня защищенности при минимизации затрат на внедрение. Положительными примерами могут служить технологии контроля доступа к ресурсам сети передачи данных, информационным ресурсам системы ЭТРАН, АСУ «Экспресс-3», ЕК АСУ ФР, некоторым АСУ дорожными центрами управления и станциями, системе электронной коммерции. Активное совместное использование специализированных и встроенных средств защиты в совокупности с подсистемой антивирусной защиты позволяет эффективно предотвращать угрозы распространения шпионских программ или разрушающих программных средств (вирусов).

Существенное сокращение затрат на внедрение СОИБ обеспечивает базовый принцип защиты инфосистем с использованием типовых комплексов технических средств защиты информации.

Еще один базовый принцип заключается в сегментировании сети по территориально-производственной принадлежности с разделением функций и ролей. Этот принцип подразумевает физическое или виртуальное разделение локальных вычислительных сетей и информационных ресурсов структурных единиц ОАО «РЖД» с жестким распределением прав доступа к ресурсам между персоналом.

Техническая составляющая СОИБ образуется комплексами и средствами защиты, организационно и/или функционально связанными между собой. Важнейшими техническими компонентами инфосистемы ОАО «РЖД» являются СПД и ЕМЦСС. В настоящее время введены в действие комплекс защиты системы управления ЕМЦСС и комплекс защиты СПД магистрального и дорожного уровней, реализующие регистрацию, учет и целостность программного обеспечения и обрабатываемой информации, разграничение доступа к ресурсам, аудит событий безопасности и обнаружение вторжений.

Информационную безопасность во многом определяет инфраструктура Windows-доменов и Active Directory (AD), которая позволяет централизованно формировать политики безопасности информационных систем и управлять ими. Здесь же следует упомянуть и инфраструктуру открытых ключей, находящуюся в стадии формирования и предназначенную для усиленной аутентификации и авторизации доступа к информационным ресурсам функционирования VPN-каналов, а также реализации шифрования и электронной цифровой подписи при внутреннем информационном обмене.

К другим техническим компонентам СОИБ относится комплекс защиты от разрушающих программных воздействий и обновлений программного обеспечения, поддерживающий оперативную рассылку обновлений антивирусных баз и системного программного обеспечения по всей сети филиалов компании.

В настоящее время начато создание комплекса управления безопасностью, предназначенного для категорирования информации компании, формирования требований к уровню безопасности информации в информационных и телекоммуникационных системах, мониторинга информационной безопасности, планирования и реализации мероприятий по достижению требуемого уровня безопасности. Развитие СОИБ в совокупности составляющих обеспечивает необходимый базовый уровень информационной безопасности ОАО «РЖД» и снижает вероятность реализации угроз.

Главная страница / Архитектура отрасли