Задачи информационной безопасности при создании единого информационного пространства транспортной системы России А. Г. Золотников
| Вид материала | Документы |
- Система менеджмента информационной безопасности, 205.89kb.
- Проблемы современного образования информационные технологии в средней школе сборник, 2976.91kb.
- Распределенная информационная система анализа, синтеза и моделирования сау, 31.72kb.
- Правовое обеспечение информационной безопасности при построении информационного общества, 626.88kb.
- Давайте говорить, друг другом восхищаться, 251.97kb.
- Взаимодействие художественной и информационной культур в современной России, 98.22kb.
- Настоящая статья посвящена вопросам обеспечения информационной безопасности при осуществлении, 557.89kb.
- Продолжение (факультатив) Модели информационного пространства распределенной вычислительной, 39.21kb.
- Аннотация, 418.67kb.
- Некрасова Римма Александровна Цели и задачи создания сайта школы Цель : Развитие единого, 18.4kb.
ВНИИАС МПС России, Москва
В докладе обсуждаются проблемы эффективности систем обеспечения информационной безопасности. Основное внимание уделяется оценкам уровней целостности программ и файлов данных в критичных системах. Предлагается комплексное решение этой задачи с помощью аналитических методов оценивания, стендовых и ускоренных натурных испытаний, экспертных оценок на основе разработанного французской школой математиков Б. Руа метода «Электра».
Аналитическое оценивание достигнутых уровней целостности систем может быть реализовано с помощью известных методов. FTA, FMEA, FMECA), HAZOP, ETA, CCF и др., а также методов математического моделирования (главным образом, марковских или полумарковских). Приводятся принципы ускоренных натурных испытаний целостности информации в критических системах на основе методов понижения дисперсий.
Проблемы обеспечения информационной безопасности при подключении ведомственной сети железнодорожного транспорта
к информационным сетям общего пользования (включая Internet)
И.А. Сидоров, К.Р. Карапетян
ФГП «Желдоринформзащита МПС России», Москва
Рассмотрена задача обеспечения информационной безопасности корпоративной сети дорожного уровня при подключении к внешним общедоступным сетям (Internet). В докладе обоснована необходимость подключения дорожного уровня корпоративной информационной сети железнодорожного транспорта к общедоступным сетям, которая обусловлена двумя группами факторов. Первая из них включает решение задач предоставления доступа пользователям корпоративной сети к ресурсам глобальных сетей. Вторая группа определяется наличием удаленных клиентов железнодорожного транспорта, подключаемых к функциональным системам через сеть Internet.
Проведен общий анализ угроз, проистекающих из глобальных общедоступных сетей. Обоснованы требования к информационной безопасности разрабатываемых узлов подключения и их элементов.
Рассматриваемое техническое решение предлагает основные направления защиты внутренних информационных ресурсов и разграничения доступа к внешним ресурсам, включающие проведение организационных и технических мероприятий.
В соответствии с требованиями, предъявляемыми к узлу, определен состав оборудования и программного обеспечения подсистемы информационной безопасности узла. Описаны функции по защите информации, возлагаемые на каждый элемент подсистемы, а также необходимые организационные меры.
Средства защиты сетей и систем связи
В.А. Конявский
ФГУП «ВНИИПВТИ» (Всероссийский НИИ проблем вычислительной техники и информатизации) Минсвязи России (Минтранса России)
В докладе рассматриваются возможные объекты защиты информации в информационных системах. Показано, что таковыми являются:
○ компьютеры,
○ данные в каналах связи,
○ информационные технологии.
В соответствии с этим, средства защиты должны включать, как минимум:
– программно-аппаратные средства защиты ПЭВМ от НСД, программные средства разграничения доступа к данным в ПЭВМ, межсетевой экран IP-потока, межсетевой экран потока E1, средства ЭЦП, средства защитных кодов аутентификации.
При необходимости средства расширяются криптографическими средствами шифрования данных, IP-потока и потока E1.
Приводятся примеры таких средств.
Возможности постро ения комплексной системы защиты корпоративной информации
с применением единого персонального идентификатора
А.Г. Сабанов
ЗАО «Аладдин Р.Д.», Москва
В докладе рассматриваются современные возможности построения комплексной системы защиты корпоративной информации с применением универсального персонального идентификатора. Для выбора персонального идентификатора предлагается применять следующие критерии:
◘ обеспечение строгой (как минимум, двухфакторной) аутентификации при доступе к корпоративной сети, информационным ресурсам, защищенным приложениям;
◘ поддержку основных промышленных систем защиты конфиденциальной информации, обеспечения ее доступности и целостности;
◘ совместимость с различными технологиями построения инфраструктуры открытых ключей и применения ЭЦП;
◘ возможность интеграции с системами управления физическим доступом – установления меток RFID - на одном универсальном носителе;
◘ соответствие отечественным и международным стандартам.
В качестве универсальных персональных идентификаторов рекомендуются смарт-карты и USB-ключи eToken, как промышленно выпускаемые в настоящее время, так и смарт-карты нового поколения.
Интегрированная система обеспечения безопасности и мониторинга параметров телекоммуникационных сетей
А.Д. Мальцев, В.Г. Афанасьев
Санкт-Петербургский филиал ФГП «Желдоринформзащита
МПС России»
В докладе рассматриваются возможности, структура и характеристики интегрированной системы обеспечения безопасности и мониторинга параметров телекоммуникационных сетей (ИСОБ ТС), предназначенной для обеспечения защиты современных магистральных цифровых сетей связи.
ИСОБ ТС представляет собой аппаратно-программный комплекс, обеспечивающий защиту от несанкционированного доступа к информации системы управления сетью, а также контроль состояния помещений и текущих значений параметров окружающей среды, в условиях которой функционирует телекоммуникационное оборудование. ИСОБ ТС функционально состоит из подсистемы информационной безопасности (ПИБ) и подсистемы мониторинга физической безопасности (ПМФБ), работающих под общим управлением подсистемы контроля и управления средствами защиты (ПКУ);
Связь средств ПКУ с удаленными сетевыми узлами осуществляется по выделенному каналу, либо по сети передачи данных. Требуемая пропускная способность канала определяется конфигурацией устанавливаемых средств защиты.
В зависимости от масштабов и топологии защищаемой сети связи система управления защитой может строиться по иерархическому принципу с главным администратором безопасности, размещаемом в центре, и с региональными администраторами на местах. Полномочия администраторов разделяются на основе принятой в организации политики безопасности и могут лежать в диапазоне от полной автономии управления региональной системой защиты до полной ее централизации.
Аутентификация в корпоративной информационной системе
Д.В. Огородников
ЗАО «Инфосистемы Джет», Москва
В условиях постоянно развивающихся информационных технологий – растет количество внедряемых информационных приложений и, соответственно, количество пользователей, работающих с информационными ресурсами автоматизированных систем. Одной из актуальных задач информационной безопасности в данных условиях является синхронизация учетных данных пользователей и централизованный контроль доступа пользователей к информационным ресурсам и приложениям.
В докладе рассматриваются требования, предъявляемые решениям по однократной аутентификации и централизованного контроля доступа пользователей к информационным ресурсам, приводятся примеры реализаций подобных решений, рассматриваются продукты таких компаний как RSA Security и Aladdin.
Основы обеспечения информационной безопасности дорожных центров
управления перевозками
И.Б. Шубинский, В.Ф. Шулика
Центр информационной безопасности ВНИИАС МПС России, Москва
В докладе анализируются информационные ресурсы дорожных центров управления перевозками (ДЦУ или ЦУПР). Предлагается сегментация ЛВС ДЦУ, излагаются принципы построения архитектуры СОИБ ДЦУ на базе структурных подсистем: защиты периметра (ПЗП), защиты ресурсов (ПЗР), подсистемы управления ключами и сертификатами (ПУКС), подсистемы резервного копирования служебной информации (ПРК), подсистемы жизнеобеспечения (ПЖ), подсистемы общей безопасности (ПОБ), подсистемы мониторинга и аудита (ПМА), подсистемы управления СОИБ (ПУ).
Рассматривается построение СОИБ ДЦУ на основе двухуровневой иерархии. Первый уровень – управляющий и контролирующий, второй уровень – исполнительный. В докладе описываются обобщенные модели функционирования подсистем первого и второго уровней. Предлагаются основы организации подсистем СОИБ, а также системы управления СОИБ и организационно – штатной структуре СОИБ ДЦУ.
О новых возможностях многофункционального средства защиты информации «VipNET»
Н.А. Никишин
ОАО «Инфотекс», Москва
Продукт, известный под названием «ViPNet», и достаточно широко используемый в МПС и ОАО «РЖД», представляет из себя семейство различных подпродуктов, каждый из которых может состоять из довольно большого числа программных модулей. И все это семейство подпродуктов и составляющих их подмодулей находится в постоянном развитии. В настоящий момент на различных стадиях разработки находится несколько десятков новых функций модулей. О наиболее важных из них, а также из тех, которые были уже реализованы в последнее время, пойдет речь в докладе.
Будут рассмотрены, например, такие новые возможности «ViPNet», как:
◘ функции удостоверяющего центра, входящего в состав «ViPNet»;
◘ реализация программных модулей «ViPNet» на различных платформах, (разновидности Linux, Sun Solaris, Pocket-PC, используемы в ОАО «РЖД» терминалы «Спектр», «Навигатор», «Ариал-Сервис»);
◘ работа с устройствами, динамически меняющими IP-адреса,
◘ дополнительные возможности протоколирования событий и удаленного просмотра журналов событий;
◘ встраивание криптографических модулей во внешние приложения (Outlook, Lotus Notes);
◘ трансляция сетевых адресов для незащищенных компьютеров;
◘ и др.
Опыт создания системы Удостоверяющих Центров в интересах государственных,
в том числе, региональных, структур
С.А. Белов
Департамент технологий информационной безопасности
ЗАО «РНТ», Москва
Вопросы обеспечения перехода к безбумажной форме документооборота и создания правовых условий использования электронной цифровой подписи (ЭЦП) в электронных документах региональных органов исполнительной власти
Придание юридического статуса некоторому виртуальному объекту как комплекс взаимоувязанных нормативных правовых, организационных, технических и инфраструктурных мер
Необходимость адекватной инфраструктуры взаимодействия, гарантирующей соблюдение требований среды к технологии, протоколам и процедурам формирования, обработки, передачи и хранения электронного сообщения
Переход к электронному документу как выход сообщения в новую среду существования – социальную
Инфраструктура электронного документооборота как взаимоувязанная совокупность нормативных и методических материалов, организационных решений и механизмов, технических, программных и технологических объектов, гарантирующая достаточность использованной технологии электронного взаимодействия для признания электронного документа юридическим фактом, а также обеспечивающая информационную безопасность и разрешение конфликтов между участниками электронного документооборота органов власти
Подсистемы, включаемые в состав инфраструктуры:
○ управляющая;
○ нормативно- методическая;
○ исполнительная;
○ арбитражная;
○ аудиторская.
Комплексный подход к безопасности
в информационно-управляющих системах железнодорожного транспорта
И.А. Сидоров, К.Р. Карапетян, О.В. Ершова
ФГП «Желдоринформзащита МПС России», Москва
Описывается подход к решению задач разработки, внедрения и функциональной поддержки систем информационной безопасности в информационно-управляющих системах железнодорожного транспорта, основанный на создании единой организационно-технической подсистемы защиты, объединяющей:
◘ штатные (встроенные в прикладное и общесистемное программное обеспечение) и устанавливаемые дополнительные (в том числе, сертифицированные Гостехкомиссией России) программно-аппаратные средства защиты информации;
◘ систему управления безопасностью, построенной на базе созданных в ОАО «РЖД» и на дорогах структур по защите информации, которая осуществляет поддержку политики информационной безопасности и контроль ее выполнения;
◘ нормативно-распорядительную документацию, охватывающую весь спектр задач, начиная от концептуальных (в том числе, политик информационной безопасности), заканчивая инструкциями конечных пользователей и документов, определяющих функциональные обязанности и ответственность должностных лиц.
В докладе определены требования к используемым программно-аппаратным средствам защиты. Функциональные требования основаны на результатах анализа угроз и модели потенциального нарушителя информационной безопасности.
Описанный комплекс организационно-технических мер по реализации подсистем информационной безопасности согласуется с общими положениями «Концепции обеспечения безопасности информационных ресурсов железнодорожного транспорта МПС России», принятой в отрасли.
Приведены практические примеры применения данного подхода при разработке и внедрении систем обеспечения информационной безопасности ЕК АСУФР и «Экспресс-3».
Безопасность в постоянно
изменяющихся системах
И.А. Трифаленков
Центр информационной безопасности
ЗАО «Инфосистемы Джет», Москва
Опыт разработки, внедрения и сопровождения информационных систем показывает, что если информационная система обеспечивает работу достаточно большой организации, она практически никогда не бывает статичной. Как следствие, решения по безопасности, принятые в результате проектирования подсистем информационной безопасности, очень быстро утрачивают соответствие той системе, ресурсы которой они призваны защищать. Поэтому в большой системе важным является не столько просто внедрение адекватных механизмов безопасности, но и поддержание заданного уровня защиты в процессе эксплуатации постоянно изменяющейся системы. Сегодня существует несколько важных аспектов, определяющих архитектуру, набор механизмов безопасности, внедрение и эксплуатацию системы, которые позволяют гарантировать необходимый уровень защищенности даже в постоянно изменяющихся информационных системах.
Отдельной задачей является формальное доказательство соответствия изменившейся системы результатам аттестационных испытаний, если такие испытания признаны для системы обязательными. Оптимизация принимаемых решений по защите информационных ресурсов с точки зрения их работы в постоянно модифицируемой системе и является темой настоящего выступления.
Нормативно-методическое обеспечение системы управления информационной безопасностью
И.Б. Букия, А.В. Никитин
ООО «ЛИНС-М», Москва
Защита информации необходима для того, чтобы организация успешно и безопасно выполняла свои производственные задачи.
Организация должна гарантировать, что она достигла сбалансированного соответствия между обеспеченным уровнем безопасности и выгодами, получаемыми от защиты информации, при правильном вложении средств, при этом организация остается прибыльной, успешной, эффективной и конкурентоспособной.
Информационная безопасность – прежде всего вопрос управленческий, а не технический. Информационная безопасность должна быть составной частью корпоративной культуры организации.
Чтобы быть полезной для рассматриваемой организации, Система управления информационной безопасностью (СУИБ) должна быть разумной и эффективной. Эффективное управление информационной безопасностью – фактор, способствующий развитию бизнеса.
Нормативно-методическое обеспечение СУИБ должно определять требования по разработке, внедрению, мониторингу и совершенствованию СУИБ, другими словами всего жизненного цикла процессов, необходимых для обеспечения эффективной информационно безопасности.
При разработке Нормативно-методического обеспечения СУИБ, прежде всего, должны быть определены ответы на следующие вопросы:
1. Что должно быть включено в систему управления безопасностью информации?
Например, совокупность процессов создания, внедрения, текущего контроля и непрерывного совершенствования СУИБ, охватывающие такие области, как оценка рисков, обработка информации и управление ею, выбор средств контроля, повторная оценка рисков, модель «Планировать – выполнять – проверять – действовать».
2. Какие стандарты могут быть использованы, при разработке стандарта по ISMS?
Например:
- cтандарты по системам управления, например, стандарты ISO 9001:2000, ISO 14000, стандарт Великобритании 7799, Часть 2;
- кодекс «наилучших» практик обеспечения информационной безопасности ISO/IEC 17799:2000;
- стандарты по оценке рисков, например,ISO/IEC TR 13335-3 GMITS;
- руководство Guide 72, Guide 73;
- специальная публикация Национального института стандартов и технологий США (NIST) 800-37. Руководящие указания по сертификации и аккредитации безопасности Федеральных ИТ-систем;
- NIST 800-53. Необходимый минимум средств контроля за безопасностью Федеральных ИТ-систем;
- NIST 800-53А. Методы и процедуры верификации средств контроля безопасности Федеральных ИТ-систем.
3. Каковы требования по измерению безопасности информации, и каким образом СУИБ может быть использована для разработки таких измерений?
Аудит информационной безопасности автоматизированных систем управления
и систем связи
А.В. Петров
Департамент специальных проектов «ЭЛВИС-ПЛЮС», Москва
В.Ф. Шулика