- •2. Автоматизированная система "диспарк"
- •Диспетчеры вмд должны выполнять следующие функции:
- •3.4.3 Техническая составляющая
- •3.5 Основные работы по развитию и совершенствованию системы защиты информации
- •4.2 Разработка суиб
- •4.3 Внедрение и применение суиб
- •4.4 Мониторинг и анализ суиб
- •5.1 Модель защиты информационной безопасности оао «ржд»
- •Заключение
4.2 Разработка суиб
В процессе разработки СУИБ ОАО «РЖД» должна быть:
а) определена область применения и границы СУИБ с учетом характеристик деятельности структуры, активов и технологий ОАО «РЖД»;
б) разработана политика ИБ, в которой: установлены цели и задачи ОАО «РЖД» в области обеспечения ИБ; выделены основные группы защищаемых информационных активов ОАО «РЖД» и угрозы нарушения их ИБ; определены основные составляющие инфраструктуры ИБ ОАО «РЖД»; сформулированы подходы и принципы достижения целей обеспечения ИБ; отражены основные требования обеспечения соответствия законодательству в области ИБ; представлены перечень и краткое описание основных мероприятий, которые должны быть выполнены ОАО «РЖД» для достижения установленных целей ИБ; определены подходы к проведению анализа и оценки рисков нарушения ИБ, а также выбору мер и средств обеспечения ИБ; определены основные типы документов, разрабатываемых в развитие политики ИБ и предназначенных для более детального описания требований информационной безопасности, мер управления информационной безопасностью, а также правил и процедур, которым должны следовать сотрудники ОАО «РЖД» в процессе управления ИБ;
в) установлен подход ОАО «РЖД» к анализу и оценке рисков нарушения ИБ, включающий: методы инвентаризации и оценки значимости (категорирования) информационных активов и АИТС; методы исследования и представления угроз нарушения ИБ и характеристик вероятных нарушителей; методы анализа и оценки рисков; критерии принятия рисков и допустимых уровней рисков;
г) проанализированы и оценены риски нарушения ИБ: оценено влияние нарушений ИБ на деятельность ОАО «РЖД»; оценены вероятность реализации угроз ИБ и связанный с этим ущерб (влияние нарушений ИБ на деятельность ОАО «РЖД»); проанализированы реализованные в текущее время меры обеспечения ИБ; определены уровни рисков реализации угроз ИБ; определены недопустимые риски, требующие обработки (уменьшения, устранения);
д) определены и оценены варианты обработки (уменьшения, устранения) рисков, включающие: применение мер обеспечения ИБ; принятие рисков, при условии их соответствия установленным критериям принятия рисков; перенос соответствующих рисков на третьи стороны (например страховщиков, поставщиков и др.);
е) для обработки (уменьшения, устранения) рисков выбраны меры обеспечения ИБ;
ж) получена санкция руководства ОАО «РЖД» на предполагаемые остаточные риски;
з) получена санкция руководства ОАО «РЖД» на внедрение и применение СУИБ и ее элементов.
4.3 Внедрение и применение суиб
В процессе внедрения и применения СУИБ ОАО «РЖД» или ее составных частей необходимо:
а) разработать план обработки рисков, который определяет действия, ресурсы (включая финансирование), обязанности и приоритеты управления рисками ИБ;
б) реализовать план обработки рисков;
в) реализовать выбранные меры обеспечения ИБ;
г) определить способ измерения (оценки) эффективности (результативности) выбранных мер обеспечения ИБ;
д) внедрить программы подготовки и осведомления персонала ОАО "РЖД" по вопросам ИБ;
е) управлять работой (функционированием) СУИБ;
ж) управлять ресурсами для СУИБ;
з) реализовать процедуры и другие меры, позволяющие оперативно регистрировать события, относящиеся к ИБ, и реагировать на инциденты, относящиеся к ИБ.