ОАО "РЖД": о приоритетах и перспективах

ОАО "РЖД": о приоритетах и перспективах

- Александр Петрович, каковы основные задачи в области ИБ, стоящие перед Департаментом безопасности в ОАО "РЖД"?

- Система обеспечения информационной безопасности (СОИБ) ОАО "РЖД" представляет собой сложную организационно-техническую систему, основными целями создания и функционирования которой являются обеспечение защиты информации, не относящейся к категории "государственная тайна", внедрение и эксплуатация технических подсистем, комплексов и средств обеспечения ИБ, обеспечение доступности соответствующих категорий информации для пользователей ОАО "РЖД", других организаций и частных лиц, управление информационной инфраструктурой, а также аудит уровня ИБ ОАО "РЖД".

Деятельность по управлению ИБ Компании направлена на обеспечение безопасности информации объектов инфраструктуры, а также на сохранение конфиденциальности, целостности и доступности информации и единства информационного пространства РЖД. В процессе управления ИБ Компании решаются следующие задачи:

• выполнение требований законодательства и регулирующих государственных органов в области обеспечения ИБ;
• обеспечение технологической безопасности автоматизированных систем (АС) при обработке и использовании информационных активов;
• определение информационных активов, подлежащих защите;
• определение категорий АС и информационных активов с целью определения приоритетов и требуемых уровней защиты информации;
• построение моделей нарушителей и угроз безопасности информационных активов;
• формирование требований безопасности информационных активов, предъявляемых к АС;
• определение рационального баланса технических и организационных мер обеспечения безопасности информации, обрабатываемой в АС;
• разработка требований к подсистемам обеспечения ИБ АС и контроль их выполнения;
• обеспечение требуемого уровня ИБ;
• разработка и внедрение системы управления ИБ, включая разработку нормативно-методических и организационно-распорядительных документов по управлению ИБ и разработку и внедрение инструментально-методического обеспечения мониторинга и управления ИБ;
• разработка планов долгосрочного и среднесрочного развития программы ИБ ОАО "РЖД";
• обеспечение взаимоувязанного по времени, целям и задачам взаимодействия структурных подразделений защиты информации ГВЦ и ИВЦ в эксплуатационном сегменте информационного обеспечения производственной деятельности ОАО "РЖД" в части реализации единой технической политики в области защиты информационных ресурсов Компании.

К основным объектам защиты информации в ОАО "РЖД" относятся:

• объекты информационной инфраструктуры, включающие в себя программно-технические комплексы и систему управления единой магистральной цифровой сетью связи (ЕМЦСС);
• системы управления автоматических телефонных станций общетехнологической и оперативно-технологической сетей;
• программно-технические комплексы и система управления сетью передачи данных (СПД);
• объекты автоматизированных систем управления и информационных систем, включающие в себя отдельные автоматизированные рабочие места (АРМ) и локальные вычислительные сети (ЛВС), серверные сегменты информационных систем и автоматизированных систем управления, программно-технические комплексы поддержания специализированных баз данных;
• системы документооборота.

- Не могли Вы подробнее рассказать об основных составляющих СОИБ?

- Можно выделить три составляющие СОИБ: организационную, нормативно-правовую и техническую.

Организационная составляющая включает в себя должностных лиц и штатные подразделения обеспечения ИБ.

Нормативно-правовая составляющая СОИБ Компании разрабатывается на основе действующих в Российской Федерации законодательных и нормативных документов и международных стандартов: ГОСТ Р 51275-99; ГОСТ Р 51624-2000; ГОСТ Р 51583-2000; ГОСТ Р ИСО/МЭК 15408-2002; ISO/IEC 17799:2005; ISO/IEC 27001:2005 и др.

Среди основных направлений формирования нормативно-методической базы следует выделить разработку корпоративного стандарта управления ИБ, политик ИБ Компании, положений, руководств, регламентов, методик, профилей защиты, заданий по безопасности.

В качестве примеров нормативных актов, действующих в ОАО "РЖД", можно привести "Перечень сведений, составляющих коммерческую тайну ОАО "РЖД", "Инструкцию о порядке обращения с информацией, составляющей коммерческую тайну ОАО "РЖД", распоряжение "Об организации работ по предотвращению записи, хранения и распространения информации и программных продуктов непроизводственного характера" с "Примерным перечнем категорий информации и программных продуктов..." и "Примерным порядком организации создания корпоративных Web-сайтов, FTP-серверов, конференций...", "Порядок подключения пользователей к информационным ресурсам ОАО "РЖД" и ряд других.

Структура технической составляющей СОИБ во многом определяется архитектурой корпоративной инфотелекоммуникационной сети ОАО "РЖД" (инфосети), которая объединяет информационные ресурсы и технические средства обработки и передачи информации центрального аппарата, железных дорог и других филиалов РЖД.

Большинство информационных систем Компании имеют клиент-серверную архитектуру, при этом в ГВЦ и в ИВЦ дорог сосредоточены базы данных и серверы приложений, а клиенты, помимо пользователей ГВЦ и ИВЦ, находятся в линейных подразделениях и на предприятиях ОАО "РЖД".

В процессе формирования технической составляющей СОИБ были реализованы и реализуются ряд базовых принципов ее построения.

Одним из важнейших принципов является функциональная интеграция специализированных программно-технических комплексов защиты с программно-техническими комплексами передачи и обработки информации, имеющими собственные встроенные средства защиты с мощной функциональностью (ОС рабочих станций и серверов, активное сетевое оборудование). Функциональная интеграция позволяет достигать высокого уровня защищенности при минимизации затрат на внедрение. В качестве положительных примеров следует упомянуть технологии контроля доступа к ресурсам сети передачи данных, информационным ресурсам системы ЭТРАН, к АСУ "Экспресс-3", ЕК АСУ ФР, к ряду АСУ дорожными центрами управления и станциями, к системе электронной коммерции. Активное совместное использование специализированных и встроенных средств защиты в совокупности с подсистемой антивирусной защиты позволяет эффективно предотвращать угрозы распространения шпионских программ и разрушающих программных средств (вирусов).

Существенное снижение затрат на внедрение СОИБ обеспечивает базовый принцип защиты инфосистем с использованием типовых комплексов технических средств защиты информации.

Еще одним базовым принципом является сегментирование сети по территориально-производственной принадлежности с разделением функций и ролей. Данный принцип подразумевает физическое или виртуальное разделение локальных вычислительных сетей и информационных ресурсов структурных единиц ОАО "РЖД" с жестким распределением прав доступа к ресурсам между персоналом.

Техническая составляющая СОИБ образуется организационно и/или функционально связанными комплексами и средствами защиты.

Важнейшими техническими компонентами инфосистемы ОАО "РЖД" являются СПД и ЕМЦСС. В настоящее время введены в действие комплекс защиты системы управления ЕМЦСС и комплекс защиты СПД магистрального и дорожного уровней, обеспечивающие регистрацию, учет и целостность ПО и обрабатываемой информации, разграничение доступа к ресурсам, аудит событий безопасности и обнаружение вторжений.

Еще одним техническим компонентом, во многом определяющим ИБ, является инфраструктура Windows-доменов и Active Directory (AD), которая дает возможность централизованного формирования и управления политиками безопасности информационных систем. Здесь же следует упомянуть и инфраструктуру открытых ключей, находящуюся в стадии формирования и предназначенную для усиленной аутентификации и авторизации доступа к информационным ресурсам функционирования VPN-каналов, а также реализации шифрования и электронной цифровой подписи при внутреннем информационном обмене.

К другим техническим компонентам СОИБ относится комплекс защиты от разрушающих программных воздействий и обновлений ПО, поддерживающий оперативную рассылку обновлений антивирусных баз и системного программного обеспечения по всей сети филиалов компании.

В настоящее время начаты работы по созданию комплекса управления безопасностью, предназначенного для категорирования информации компании, формирования требований к уровню безопасности информации в информационных и телекоммуникационных системах, мониторинга ИБ, планирования и реализации мероприятий по достижению требуемого уровня безопасности.

Работы по развитию СОИБ в совокупности обеспечивают необходимый базовый уровень ИБ ОАО "РЖД" и снижают вероятность реализации угроз.

-Назовите, пожалуйста, основные направления работ по развитию СОИБ наближайшие три года.

- Основными направлениями работ по развитию и совершенствованию системы защиты информации, не составляющей государственную тайну, на период2007-2010 гг. являются:

• Создание эффективной системы управления ИБ Компании;
• Своевременное и корректное использование эксплуатируемых средств ИБ, в том числе штатных, входящих в состав операционных систем (сред);
• Разработка нормативно-методических документов по организации защиты информации, не cоставляющей государственную тайну;
• Оснащение, обновление и поддержание в работоспособном состоянии:
• сертифицированных средств контроля защищенности ЛВС и программно-технических комплексов ОАО "РЖД";
• программно-технических комплексов обнаружения вторжений в информационные системы и телекоммуникационные сети;
• средств защиты информации от несанкционированного доступа на серверных частях ЛВС и информационных технологий;
• средств взаимодействия пользователей в рамках защищенного сегмента почтовой системы;
• Полномасштабное использование и регулярное обновление лицензий на средства защиты от разрушающих программных воздействий;
• Организация работы и эксплуатация центров поддержки средств защиты от разрушающих программных воздействий;
• Оснащение, обновление и поддержание в работоспособном состоянии следующих средств защиты информации:
• магистральные и региональные узлы СПД, точки подключения СПД к информационным системам и сетям других государств;
• серверные сегменты информационных технологий;
• АРМ информационных систем;
• ЛВС систем управления перевозочным процессом и сбытом грузовых перевозок;
• ЛВС АСУ финансово-хозяйственной деятельностью и трудовыми ресурсами;
• ЛВС АСУ энергетическим комплексом;
• ЛВС АСУ сбытом и организацией пассажирских перевозок;
• точки подключения информационных систем железных дорог иностранных государств и сетей общего пользования;
• система управления и программно-технические комплексы СПД;
• система управления и программно-технические комплексы ЕМЦСС;
• системы управления автоматических телефонных станций общетехнологической и оперативно-технологической сетей.