Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

ТРЕБУЕТСЯ МОДЕЛЬ НАРУШИТЕЛЯ

Структура информационной системы чаще всего повторяет структуру предприятия той отрасли, для которой предназначена. Не составляет исключения информационная сеть железных дорог.

Во-первых, она разбивается на подсети по службам: организации движения, вагонов, локомотивов, путей, энергоснабжения, строительства, финансов, управления персоналом и др. Эти подсети перекрываются только на уровнях маршрутизации и объединенного трафика. Вероятно, такое структурирование можно считать целесообразным, так как общая сеть становится более устойчивой и безопасной, а поиск информации легальными пользователями упрощается.

Во-вторых, структура сети повторяет иерархию управления по логической цепочке участок – предприятие – отделение – управление дороги – департамент – министерство. Соответственно выделяются информационные сети депо, отделений, управлений и ГИВЦ. Начиная с отделенческих, каждый ИВЦ может выполнять функции провайдера (причем не обязательно только железнодорожной информации). Предстоящая реорганизация системы управления потребует внесения изменений и в систему построения информационных сетей – иначе неизбежно ослабление защиты информации.

Нормативно-правовая база информационной безопасности строится на основе следующей схемы: Конституция – фундаментальные законы – общегосударственные акты – отраслевые акты (нормативы) – должностные инструкции. Введение в эту цепочку звена “конституция” не случайно, так как

повсеместное внедрение Интернет-технологий порождает иную оценку места конкретного пользователя, а возросшие потребности мирового сообщества вызывают необходимость пересмотра законодательных актов, включая конституции отдельных государств.

Нормативно-правовая оценка действий граждан отдельных государств нуждается в нивелировании. Другими словами, поведение лиц, участвующих в наполнении и использовании мирового информационного пространства, должно отвечать критерию информационной безопасности. Исходя из этого, в рамках каждого государства необходимо привести нормативную базу в соответствие с состоянием дел в практике пользования глобальным информационным пространством. Многое свидетельствует о том, что мировое сообщество готово к переосмыслению своего поведения в интернациональном масштабе.

К сожалению, свою негативную роль сыграл консерватизм договаривающихся сторон. Одно из заседаний “Большой восьмерки” на Окинаве в 2000 г. по вопросам информационной безопасности не дало ощутимых результатов, и это неизбежно повлияло на дальнейшую политику. Основной критерий согласования законодательной вертикали – непротиворечивость, при этом Конституция должна предусматривать два принципа: свободу граждан и принимаемые ими ограничения, другими словами, гарантировать гражданину своего государства признание его права на получение, тиражирование, распространение и редактирование информации по принципу “не навреди”. Ограничения, вписывающиеся в базис Конституции, регламентируются нормативными актами. В России таковыми являются Законы Рматизации и защите информации”, “О связи”, “О государственной тайне”.

В соответствии с названными законами сохраняется информационная ниша, которую может занимать любое ведомство при условии корректного формирования своих прав на владение определенной информацией. В частности, Министерство путей сообщения имеет право (и обязано) определить информационный сегмент, связанный с перевозкой и обеспечением нормального функционирования транспорта, отраслевой собственностью. Оно может отождествить эту собственность с материальными ресурсами, то есть назначить конкретную цену информации, а также передать свои права на нее правопреемникам. Легитимна переадресация полномочий на хранение, транспортировку и продажу информации (при условии сохранения основной функции транспорта), а также информационных услуг другим организациям и гражданам. Имеющаяся информационная и законодательная ниша дает возможность формировать нормативные акты по вопросам пользования данным информационным сегментом.

В то же время объявляемое право собственности предполагает и охрану прав – Министерство оберегает свою информацию и предоставляет информационные услуги другим организациям и гражданам с обеспечением их прав на информацию посредством собственных гарантий. Это означает, что в пределах заявленных полномочий Министерство может издавать нормативные акты по пользованию информационной средой и собственной информацией, рассматривая их как собственность, и обязано контролировать исполнение этих актов.

Контроль за реализацией существующих законов, а также их конкретное наполнение осуществляют Государственная техническая

комиссия (Гостехкомиссия) и Федеральное агентство правительственной связи и информации (ФАПСИ). Названные организации формируют свои требования по обеспечению информационной безопасности. В свою очередь Министерство путей сообщения должно обеспечить согласование своих нормативных актов с общегосударственными (принцип нормативной прозрачности). В соответствии с этим положением любой руководитель железнодорожного предприятия – гарант информационной безопасности в пределах вверенной ему организации, что возлагает дополнительную ответственность и подразумевает соответствующее обучение.

Политика обеспечения информационной безопасности должна включать в себя следующие направления:

• формирование концепции и основных стратегических задач, перспективное планирование мероприятий по защите информации;

• составление оперативных мероприятий по защите информации для каждого сегмента информационного пространства и отдельных составляющих информационной среды;

• составление регламентов работ по защите информации, корректировку должностных инструкций для обслуживающего персонала и пользователей, предусматривающих мероприятия по защите информации;

• модернизацию и переработку рабочих программ с учетом информационной безопасности;

• контроль за исполнением мероприятий по защите информации.

В последнее время созданы подразделения и ние перечисленных функций. Так, на предприятие “Желдоринформзащита” возложена обязанность контролировать мероприятия по обеспечению защиты информации, “Трансинформ” формулирует стратегию, а ВНИИУП должен модифицировать программное обеспечение с учетом требований информационной безопасности. На наш взгляд, распределение обязанностей и полномочий между этими организациями не доведено до конца.

По мнению автора, борьбу с компьютерными вирусами (и другими вредоносными программами) необходимо возвести в ранг государственной политики. Это означает, что разработку, внедрение и контроль за использованием антивирусных программ следует исключить из коммерческой сферы, а все работы в этой области должны

финансироваться государством. Кроме того, только в рамках государства можно организовать соответствующую систему образования (повышения квалификации), обеспечивающую соблюдение

населением правил работы с информацией. Уровни подготовки специалистов в области информационных систем и технологий можно охарактеризовать следующей цепочкой (в порядке возрастания качества): информационная дисциплина – информационная грамотность – информационная культура.

Основное условие борьбы с вредоносными программами – грамотность пользователей и соблюдение ими последовательности работ. Поскольку наиболее серьезный урон наносят вирусы, действия пользователей должны предусматривать запуск антивирусных программ.

В существующих нормативных документах, разработанных Гостехкомиссией, неоправданно большое внимание уделяется другим каналам внедрения нарушителей в информационное пространство. Например, детально анализируются возможности перехвата акустической информации (речи) по телефонным каналам, через инженерные коммуникации, а также путем анализа электромагнитных излучений работающих терминалов (компьютеров). При этом не учитывается, что ситуация сейчас принципиально иная. В частности, достаточно сравнить объем информации, полученный при чтении изображения на экране, с тем, сколько можно скопировать ее с диска за то же время, имея возможность доступа к дисковому пространству.

Организациям, ответственным в рамках МПС за соблюдение информационной безопасности, необходимо на основе существующих общегосударственных нормативов составить корректную модель нарушителя. На наш взгляд, целесообразно иметь типовую модель, например, на уровне депо или службы, которая должна учитывать возможные атаки на информационную сеть, их вероятности, а также оценку ущербов при успешности этих атак. Все это позволит применять обоснованные нормы и мероприятия по защите информации.

Полностью статья опубликована в журнале “ВКСС. Connect!”, 2001, № 4.

Главная страница / Архитектура отрасли