Разделы: Экономика
Размещена 27.11.2015. Последняя правка: 26.11.2015.
Просмотров - 5938

Особенности информационной защиты ОАО «РЖД»

Айрапетян Сона Арменовна

-

Поволжский государственный университет сервиса

студент

Альшанская Татьяна Владимировна, кандидат педагогических наук, доцент кафедры прикладная информатика в экономике, Поволжский государственный университет сервиса

УДК 004.056.008

Одной из особенностей нашего времени является приоритет информационной сферы над более материальными структурами, это объясняется тем, что нужная и полезная информация может принести ее обладателю преимущество, выгода от которой намного больше, нежели разовое материальное хищение. И в связи с этим, довольно нелегко обеспечить защиту конфиденциальной информации предприятия, ведь информационная безопасность организации - деятельность должностных лиц организации, которые нацелены на защиту информации с использованием разрешённых сил и средств по достижению состояния защищённости информационной среды организации, которое обеспечивает её стабильное функционирование, а также динамичное развитие.

К сожалению, практика показывает, что пренебрежение данной проблемой весьма опасно. Ведь при этом возрастает риск материальных убытков и потерь, а шансы на получение потенциальной прибыли снижаются. Проблема является актуальной в любом современном государстве, где предпринимательство занимает не последнее место, и Россия не является исключением. Рассмотрим информационную безопасность ОАО «РЖД».

Системы информации данной компании вполне могут быть использованы в целях совершения незаконных и запретных актов. Именно поэтому руководство ОАО «РЖД» уделяет особое внимание  данной ситуации.

Для начала рассмотрим основную причину неэффективной защиты информации на ОАО «РЖД». В данном случае, это каналы утечки информации, соответствующие объектам защиты ОАО «РЖД».

Развитие современных компьютерных технологий и средств связи расширяет простор для мошенников, которые используют различного рода источники распространения  угроз. Основные источники утечки информации [1]:

1. Интернет. Главное достоинство интернета в том, что преступники могут легко навредить системе безопасности в сети, при этом остаться инкогнито.
2. Интранет. Интранет - это внутренняя сеть, она была приведена в исполнения для контроля над информацией в компании. Кроме своей основной функции – хранить информацию, интранет также создает условия для обменной функции. Здесь и проявляется  «минус» такой системы. При условии, что один из ПК подвергся вирусу, то и оставшиеся ПК непременно окажутся под прямой угрозой. Это означает, что нужно «охранять» не только периметр сети, но и каждый ПК персонально. Эту проблему можно легко решить, пригласив для ее устранения специалистов данной сферы.
3. Электронная почта. Тот факт, что практически на каждом ПК есть почта и происходят скачивание и открытие различного рода документов, приводит к облегчению распространения вирусов и других вредоносных программ. Пользователь зараженного компьютера, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т.д.

Помимо угрозы проникновения вредоносных программ существуют проблема внешней нежелательной почты рекламного характера (спама). Не являясь источником прямой угрозы, нежелательная корреспонденция увеличивает нагрузку на почтовые сервера, создает дополнительный трафик, засоряет почтовый ящик пользователя, ведет к потере рабочего времени и тем самым наносит значительный финансовый урон. [3]

Система обеспечения информационной безопасности ОАО «РЖД» - это организационно-техническая система, которая предназначена для обеспечения защиты информации и информационной инфраструктуры от внешних и внутренних угроз.

Подробнее рассмотрим список возможных внутренних угроз. В этот список входят действия либо бездействия (учитывается умышленное и неумышленное) персонала организации, которое противоречит общим  интересам его коммерческой деятельности, следствием чего может стать  нанесение экономического вреда компании. [2]

1. Пользователи (сотрудники):

•          Мошенничество с целью овладения активами предприятия;

•          Подделывание отчетности для присвоения материальных средств;

•          Получение «платы» за сделки, которые мало того, что не принесут прибыль организации, но и могут нанести крупный ущерб;

•          Продажа конкурентным фирмам информации, которая является коммерческой тайной компании;

• Присвоение себе продукции,  либо ресурсов, а также различных информационных ресурсов;

         2. Технические:

• Неисправность аппаратуры:
• Внешнее воздействие на некоторые каналы связи;
• Схематические, технические ошибки создателей;
• Алгоритмические и программные ошибки;

1. Человеческий фактор:

• ошибки человека;
• получение незаконного доступа к информации;
• преднамеренное нарушение работоспособности информационных систем.[1]

Рассмотрим нормативно-правовые документы, которые регулируют защиту предпринимательства.

В группу законодательных и иных нормативно-правовых документов, которые занимаются регулировкой защиты  и безопасности предпринимательства, могут относиться:

•          Закон РФ от 11 марта 1992 г. «О частной детективной и охранной деятельности в Российской Федерации»;

•          Постановление Правительства РФ от 14 августа 1992 г. № 587 «Вопросы частной детективной и охранной деятельности»;

•          Указ Президента РФ от 9 января 1996 г. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию, вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации»;

Организационная структура управления информационной безопасностью ОАО «РЖД» включает:

-  президента ОАО «РЖД»;

-  вице-президента ОАО «РЖД», который регулирует основные вопросы обеспечения информационной безопасности ОАО «РЖД»;

- Комитет по информационной безопасности ОАО «РЖД»;

- Департамент безопасности ОАО «РЖД»;

- Департамент информатизации и корпоративных процессов управления ОАО «РЖД»;

- департаменты и управления ОАО «РЖД»

-  функциональные заказчики автоматизированных систем управления;

- структурных подразделений ОАО «РЖД»;

- подразделения и работники, организующие работу по защите информации филиалов ОАО «РЖД».

Нормативно-методическое обеспечение управления ИБ ОАО «РЖД» включает стандарты и нормативные документы ОАО «РЖД» по вопросам управления ИБ.

Для ОАО «РЖД» разработан специальный стандарт: «Управление ИБ. Общие положения». В нем стратегически важная информация принятия определенных мер, которые призваны обеспечить защиту информации компании.[5]

Рассмотрим мероприятия управления ИБ, которые подлежат реализации в ОАО «РЖД».

Активная и адекватная поддержка процессов ИБ со стороны руководства ОАО «РЖД»; контроль за  деятельностью, которая связана с информационной безопасностью;  четкое и конкретное распределение и разъединение обязанностей, которые связаны с информационной безопасностью; количественный и качественный анализ оценки категорирования информационных активов; эффективная организация информационных активов и АИТС как объектов информационной безопасности; анализ возможных слабых мест, которые первыми могут подвергнуться угрозе и вредоносным программам; анализ и оценка рисков нарушения ИБ; эффективное схематичное построение  действий, средств и систем обеспечения информационной безопасности; письменное ведение информации о части персонала, непосредственно имеющего отношения к ИБ предприятия; стабильное проведение обучающих тренингов сотрудников в данной сфере; проведение предупредительных мероприятий при увольнении сотрудников ОАО «РЖД»; охранная система сохранения и обеспечения защиты; резерв электропитания для непредвиденных и аварийных ситуациях; защита (контроль) кабелей электропитания и телекоммуникационных кабелей. [4]

В заключение хотелось бы подметить, что проблемы, которые так или иначе относятся к увеличению безопасности информационной сферы, являются многоплановыми и взаиморегулирующими. Они требуют неослабевающего  внимания как политического (в лице государства), так и социального (в лице общества и социальных групп). Тот факт, что информационные технологии требуют постоянного развития и обновления, побуждает к стабильному прикладыванию общих усилий по усовершенствованию основных методов и средств, которые позволяют достоверно анализировать и оценивать угрозы информационной безопасности и своевременно реагировать на них.

1. Правовое обеспечение информационной безопасности: учеб. Пособие для студ. высш. учеб. заведений/(С. Я. Казанцев, О. Э. Згадзай, Р. М. Оболенский и др.); под ред. С. Я. Казанцева. - 2-е изд., испр. и доп. - М.: Издательский центр «Академия», 2011. - 240 с.
2. Сёмкин С.Н, Э. В. Беляков, С. В. Гребенев, В. И. Козачок. Основы организованного обеспечения информационной безопасности объектов информатизации. М.: Изд-во «Гелиос АРВ» 2014.
3. Стандарт ОАО РЖД. Управление ИБ. Общее положение.
4. Шелупанов А.А. Основы информационной безопасности. Учебное пособие для вузов / Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. - М.: Горячая линия - Телеком, 2006. - 544 с.

Рецензии:

10.01.2016, 9:22 Котилко Валерий Валентинович
Рецензия: после включения в список литературы долгосрочной стратегии развития РЖД считаю возможным опубликовать данную статью

10.01.2016, 13:35 Яковенко Наталия Владимировна
Рецензия: Статью необходимо доработать в соответствии со следующими рекомендациями. 1) необходимо отразить непосредственно особенности информационной защиты выбранного объекта исследования, поскольку начало статьи отражает общие особенности информационной защиты. 2)Основные источники утечки информации -это обобщение известного, что же касается именно ОАО «РЖД»? 3)мероприятия управления ИБ, которые подлежат реализации в ОАО "РЖД" -ссылка на источник 4 -это учебник. В данном пункте следует отразить мероприятия либо меры конкретно для ОАО "РЖД" 4) вывод по статье также не содержит конкретики по исследованию. Таким образом, необходимо конкретизировать проблему, и объект исследования рассматривать непосредственно в увязке с нею. В аннотации обратить внимание на фразу "Также в ходе исследования, автором не были проигнорированы объекты защиты от внешних и внутренних угроз. подробно рассмотрена организационная структура управления информационной безопасностью ОАО «РЖД»" Что это означает? Почему не были? Проверить грамматику. Ни слова не сказано о информационно-управляющей автоматизированной системе ОАО «РЖД». Какие функции этой системы? Есть ли позитивные моменты либо она настолько не совершенна? После доработки, очень существенной, статью необходимо направить на повторное рецензирование для рекомендации /не рекомендации к печати. Д.г.н. , проф. Яковенко Н.В.



Комментарии пользователей:

Оставить комментарий