Задачи информационной безопасности при создании единого информационного пространства транспортной системы России А. Г. Золотников

Вид материала

Документы

Содержание Петербургский государственный университет путей сообщения (ПГУПС) Петербургский государственный университет путей сообщения (ПГУПС) Система обеспечения информационной безопасности комплекса оперативно-технологической связи «Миником DX-500.ЖТ» Северной железной дороги Северная железная дорога – филиал ОАО «РЖД» Нормативно-методическое обеспечение системы управления информационной безопасностью Развитие корпоративных систем защиты информации в РЖД Разновидности аналитических работ по оценке защищенности

Подобный материал:

• Система менеджмента информационной безопасности, 205.89kb.
• Проблемы современного образования информационные технологии в средней школе сборник, 2976.91kb.
• Распределенная информационная система анализа, синтеза и моделирования сау, 31.72kb.
• Правовое обеспечение информационной безопасности при построении информационного общества, 626.88kb.
• Давайте говорить, друг другом восхищаться, 251.97kb.
• Взаимодействие художественной и информационной культур в современной России, 98.22kb.
• Настоящая статья посвящена вопросам обеспечения информационной безопасности при осуществлении, 557.89kb.
• Продолжение (факультатив) Модели информационного пространства распределенной вычислительной, 39.21kb.
• Аннотация, 418.67kb.
• Некрасова Римма Александровна Цели и задачи создания сайта школы Цель : Развитие единого, 18.4kb.

Петербургский государственный университет путей сообщения (ПГУПС)

По данным исследовательских организаций до 70% всех передаваемых писем в Интернет, которым активно пользуются предприятия, работающие на транспорте, относятся к спаму. Статистика показывает, что его доля неуклонно растет.

Существует две основные угрозы, относящиеся к информационной безопасности, которые несет спам – доступность остальных электронных писем и распространение вредоносных программ.

Задача выявления и блокирования спама остро стоит перед электронным сообществом. Существенно облегчит процесс выявления, а затем и полностью блокирует саму возможность передачи массовых рассылок внедрение электронной цифровой подписи (ЭЦП) в заголовке письма.

ЭЦП вычисляют доверительные центры, установленные в автономных системах (AS), а также у крупных провайдеров (ISP) и организациях, не имеющих свои AS.

Для получения ЭЦП почтовый сервер перед отправлением каждого письма пересылает в доверительный центр IP адрес отправителя или его имя, текущие время и дату. Доверительный центр подписывает эти данные и пересылает ЭЦП почтовому серверу. Далее, вместе с текстом письма, эти данные передаются потовому северу получателя.

Для каждого IP-адреса или пользователя, обслуживаемого доверительным центром, устанавливается максимально возможное значение вычисляемых ЭЦП за определенный период времени. При превышении заданного лимита запрос на их выдачу отклоняется.

Таким образом, предложенный метод является одним из эффективных способов решения проблемы распространения спама.


КОМПЛЕКС МОДЕЛЕЙ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

В ТЕЛЕКОММУНИКАЦИОННОЙ СИСТЕМЕ


А.Г. Котенко

Петербургский государственный университет путей сообщения (ПГУПС)

В условиях нестабильности информационной среды функционирования телекоммуникационных систем особую актуальность приобретают вопросы научно обоснованной оценки безопасности используемых в них информационных технологий с учетом взаимного влияния факторов, формирующих среду безопасности. Основные трудности в получении такой оценки связаны с выбором моделей и методов обеспечения адекватного уровня отображения информационных процессов, а также с проблемами точности и неполноты исходных данных для принятия соответствующих решений. В этой связи возникает потребность в разработке комплекса моделей оценки безопасности информационных технологий в телекоммуникационной системе, ориентированной на условия неполноты и невысокой степени достоверности исходных данных, где уровень доверия оценки основывается на активном исследовании систем информационных технологий. В докладе рассматриваются модели оценки угроз и уязвимостей безопасности систем информационных технологий, содержащих методы базового и полного (детального) анализа рисков нарушения свойств безопасности, основанные на синтезе количественных методов (адаптивного прогнозирования) и качественных методов (экспертного прогнозирования), которые позволяют осуществлять непрерывное прогнозирование изменений инициирующих условий опасных состояний и элиминировать ситуации риска при управлении информационной безопасностью телекоммуникационной системы. Особое внимание уделяется модели анализа допустимости остаточных рисков нарушения свойств безопасности систем информационных технологий, основанной на использовании методов структуризации, косвенных количественных и информационных оценок степени соответствия функциональным требованиям к телекоммуникационной системе.


Система обеспечения информационной безопасности комплекса оперативно-технологической связи «Миником DX-500.ЖТ»

на участке Ярославль – Александров

Северной железной дороги


А.Д. Мальцев, В.Г. Лопатин

Санкт-Петербургский филиал ФГП «Желдоринформзащита

МПС России»

И.И. Гнатченко

Северная железная дорога – филиал ОАО «РЖД»


Комплексы оперативно-технологической связи (КОТС) Московской, Северной, Горьковской и ряда других дорог реализованы на базе УПАТС «МиниКом DX-500.ЖТ». Анализ опыта эксплуатации и проведенное в 2003 году обследование участков КОТС «МиниКом DX-500.ЖТ», показывают наличие существенных угроз их информационной безопасности.

На участке Ярославль – Александров Северной железной дороги начато внедрение системы обеспечения информационной безопасности КОТС «МиниКом DX-500.ЖТ», которая обеспечит соответствие КОТС требованиям Гостехкомиссии РФ по классу защищенности 1Г для автоматизированных систем. Система разработана Санкт-Петербургским филиалом ФГП «Желдоринформзащита МПС России».

Основными элементами системы информационной безопасности являются сертифицированные средства защиты информации от НСД, размещаемые на терминалах КОТС, АРМ администратора безопасности со специальным программным обеспечением, специально разработанная версия программного обеспечения УПАТС «МиниКом DX-500.ЖТ» и средства мониторинга физического доступа к объектам защиты.

Передача информации в интересах системы обеспечения информационной безопасности осуществляется по каналам управления КОТС.


Нормативно-методическое обеспечение системы управления информационной безопасностью


Н.А. Никишин

ОАО «Инфотекс», Москва


В настоящее время эффективное выполнение бизнес-процессов любой организации невозможно без использования информационных технологий. Их широкое применение создало и ряд проблем, наиболее серьезной из которых является проблема обеспечения безопасности информационных технологий.

Современные информационные технологии настолько сложны, что даже при наличии в организации современных средств защиты обеспечить должный уровень безопасности возможно только на основе использования мирового опыта управления информационной безопасности.

Построение системы управления информационной безопасности невозможно без реализации комплекса организационных мер, включающих:

• создание в организации структурного подразделения, ответственного за обеспечение ИБ;
  
• проведение обследования информационных систем на соответствие нормативно-методическим документам (например, ISO 17799, BS 7799:2:2002);
  
• осуществление управления рисками ИБ;
  
• разработку политики, концепции ИБ АС и ряда других нормативно-методических документов по ИБ;
  
• проектирования и ввода в эксплуатацию средств защиты информационных систем;
  
• обучения персонала;
  
• разработки планов обеспечения непрерывности бизнес-процессов;
  
• регулярного аудита ИБ информационных систем и т. п.
  

Таким образом, без создания эффективной системы управления обеспечить требуемый уровень информационной безопасности практически невозможно. Причем наилучшие результаты достигаются там где процессы управления информационной безопасностью являются составной частью системы управления организации.

Стандарт BS 7799:2:2002 предусматривает использование процессоориентированного подхода при создании, внедрении, функционировании, мониторинге, сопровождении и совершенствовании эффективности системы управления ИБ организации.

Нормативно-методическое обеспечение СУИБ должно позволить реализовать на практике все основные цели процессов управления информационной безопасностью на этапах разработки, внедрения, мониторинга и совершенствования СУИБ.


При разработке нормативно-методического обеспечения СУИБ прежде всего должны быть определены ответы на следующие вопросы:

1. Каков перечень основных нормативно-методических документов обеспечивающих управление информационной безопасностью?

2. Какие стандарты могут быть использованы, при разработке нормативно-методического обеспечения СУИБ?

3. Какие методы оценки уровня ИБ целесообразно использовать при проведении внутреннего или внешнего аудита информационных систем?

В заключении приводится примерный перечень нормативно-методического обеспечения СУИБ.


Развитие корпоративных систем защиты информации в РЖД


С.А. Петренко

Компания АйТи


Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об оценке уровня защищенности информационных активов компании обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов, Конституции и федеральным законам, руководящим документам Гостехкомиссии России приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, 9001, 15408, BSI и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации компании.

Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспективного стратегического развития компании.

Во-первых, количественно оценить текущий уровень информационной безопасности компании, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.

Во-вторых разработать и реализовать комплексный план совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо:

• обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;
  
• выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;
  
• определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации;
  
• разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;
  
• обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
  

Решение названных задач открывает новые широкие возможности перед должностными лицами разного уровня.

Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой концепции безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании.

Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса РФ.

Разновидности аналитических работ по оценке защищенности

Аналитические работы в области информационной безопасности могут проводиться по следующим направлениям:

1) «Комплексный анализ информационных систем (ИС) компании и подсистемы информационной безопасности на правовом, методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков»;

2)«Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима ИС компании»;

3) «Организационно-технологический анализ ИС компании»;

4) «Экспертиза решений и проектов»;

5) «Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации»;

6) «Работы, поддерживающие практическую реализацию плана защиты»;

7) «Повышение квалификации и переподготовка специалистов».

Давайте кратко рассмотрим каждое из них.

Исследование и оценка состояния информационной безопасности ИС и подсистемы информационной безопасности компании предполагают проведение их оценки на соответствие типовым требованиям руководящих документов Гостехкомиссии при Президенте РФ, типовым требованиям международных стандартов ISO и соответствующим требованиям компании-заказчика. К первой области также относятся работы, проводимые на основе анализа рисков, инструментальные исследования (исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей, исследование защищенности точек доступа в Internet). Данный комплекс работ также включает в себя и анализ документооборота, который, в свою очередь, можно выделить и как самостоятельное направление.

Рекомендации могут касаться общих основополагающих вопросов обеспечения безопасности информации (разработка концепции информационной безопасности, разработка корпоративной политики охраны информации на организационно-управленческом, правовом, технологическом и техническом уровнях), применимых на многих компаниих. Также рекомендации могут быть вполне конкретными и относится к деятельности одной единственной компании (план защиты информации, дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности компании).

Организационно-технологический анализ ИС компании в основном предполагает проведение оценки соответствия типовым требованиям руководящих документов РФ к системе информационной безопасности компании в области организационно-технологических норм и анализ документооборота компании категории «конфиденциально» на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации. При этом собственно внутрифирменная концепция информационной безопасности (ИБ) и положение о коммерческой тайне должны соответствовать действующему законодательству, а именно требованиям Конституции РФ, ст.ст. 128 и 139 Гражданского кодекса РФ, Федерального закона «Об информации, информатизации и защите информации», Федерального закона «Об участии в международном информационном обмене», других нормативных актов.

Правильная экспертиза решений и проектов играет важную роль в обеспечении функционирования всей системы информационной безопасности и должна соответствовать требованиям по обеспечению информационной безопасности экспертно-документальным методом. Экспертиза проектов подсистем – требованиям по безопасности экспертно-документальным методом.

Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации, как правило, включают два направления:

• анализ документооборота компании категории «конфиденциально» на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации;
  
• поставку комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне.
  

Работы, поддерживающие практическую реализацию плана информационной безопасности, в частности, заключаются в следующем:

• разработка технического проекта модернизации средств защиты ИС, установленных на фирме по результатам проведенного комплексного аналитического исследования корпоративной сети;
  
• подготовка компании к аттестации (к аттестации объектов информатизации заказчика на соответствие требованиям руководящих документов Гостехкомиссии при Президенте РФ, а также на соответствие требованиям безопасности международных стандартов ISO 15408, ISO 17799, стандарта ISO 9001 при обеспечении требований информационной безопасности компании);
  
• разработка расширенного перечня сведений ограниченного распространения как части политики безопасности;
  
• разработка пакета организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне;
  

• поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровнях.
  

Уровень информационной безопасности компании во многом зависит от квалификации специалистов. В целях повышения квалификации и переподготовки кадров рекомендуется проводить тренинги по применению средств защиты информации, технологии защиты информации, обучать сотрудников основам экономической безопасности.

Немаловажную роль играет и ежегодная переоценка состояния информационной безопасности компании.

Заключение

В целом методика компании АйТи позволяет оценить или переоценить уровень текущего состояния защищенности информационных активов, а также выработать рекомендации по обеспечению (повышению) информационной безопасности в РЖД. В том числе снизить потенциальные потери путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности компании. Также эта методика позволяет предложить планы защиты конфиденциальной информации, передаваемой по открытым каналам связи, защиты информации компании от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.