Право на доступ к информации имеют граждане и организации.

Граждане (физические лица) и организации (юридические лица) (далее - организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.

Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы.

Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.

Не может быть ограничен доступ к:

· нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

· информации о состоянии окружающей среды;

· информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

· информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

· иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Государственные органы и органы местного самоуправления обязаны обеспечивать доступ к информации о своей деятельности на русском языке и государственном языке соответствующей республики в составе Российской Федерации в соответствии с федеральными законами, законами субъектов Российской Федерации и нормативными правовыми актами органов местного самоуправления. Лицо, желающее получить доступ к такой информации, не обязано обосновывать необходимость ее получения.

Решения и действия (бездействие) государственных органов и органов местного самоуправления, общественных объединений, должностных лиц, нарушающие право на доступ к информации, могут быть обжалованы в вышестоящий орган или вышестоящему должностному лицу либо в суд.

В случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством.

Предоставляется бесплатно информация:

· о деятельности государственных органов и органов местного самоуправления, размещенная такими органами в информационно-телекоммуникационных сетях;

· затрагивающая права и установленные законодательством Российской Федерации обязанности заинтересованного лица;

· иная установленная законом информация.

Установление платы за предоставление государственным органом или органом местного самоуправления информации о своей деятельности возможно только в случаях и на условиях, которые установлены федеральными законами.

1.4 Информация ограниченного доступа в ОАО "РЖД"

 

Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.

Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.

Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.

Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.

Концептуальные аспекты защиты информации и обеспечения информационной безопасности

Объекты информационной безопасности ОАО «РЖД». В качестве основного объекта информационной безопасности на железнодорожном транспорте выделяется информационная сфера отрасли. К объектам информационной безопасности ФЖТ, составляющим информационную сферу отрасли, относят: субъекты и систему регулирования информационных отношений, информационные ресурсы отрасли, информационную инфраструктуру отрасли, систему формирования, распространения и использования информационных ресурсов. Информационные ресурсы отрасли относятся к Федеральным информационным ресурсам и включают в себя следующую документированную информацию (Схема): информационные ресурсы (ИР), охраняемые авторским и патентным правом (интеллектуальная собственность); сведения, содержащие государственную тайну, конфиденциальную информацию, другие виды тайн и сведения ограниченного доступа, представленные в виде документированных массивов и баз данных; документальные сведения, содержащие открытую (общедоступную) информацию о деятельности отрасли.

Информационные ресурсы ОАО "РЖД"

 

Рисунок 4 Структурная схема информационных ресурсов отрасли.

К защищаемым информационным ресурсам ФЖТ относится информация ограниченного доступа – сведения, содержащие государственную тайну, и конфиденциальная (документированная) информация департаментов, железных дорог, органов и системы управления железнодорожным транспортом в процессе ее сбора, обработки, хранения, передачи и использования.

Наряду с информационными ресурсами должна защищаться и недокументированная конфиденциальная информация – оперативная управленческая информация, данные, другая информация, циркулирующая в корпоративной сети ФЖТ. Это информация, несанкционированное получение, искажение, уничтожение и использование которой может нанести ущерб отрасли.

Информационная инфраструктура отрасли образована основными элементами комплексной (корпоративной) информационной системы и телекоммуникационной сети ФЖТ. Она включает в себя:

· Средства и объекты информатизации МПС и железных дорог (информационно-вычислительные центры, комплексы, сети и системы, средства вычислительной техники), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления отраслью и железнодорожным транспортом, перевозками грузов (сеть центров управления перевозками, АСОУП), пассажирскими перевозками («Экспресс»), вагонным парком (ДИСПАРК), автоматизированный комплекс системы фирменного транспортного обслуживания (АКС ФТО) и др.;

· первичные сети, образованные волоконно-оптическими, спутниковыми, радиорелейными и кабельными системами, узлами, линиями передачи и каналами информационного обмена, и вторичные сети (сети общетехнологической, оперативно-технологической связи, сети передачи данных и сети зоновых операторов), осуществляющие прием, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля;

· технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается (циркулирует) информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации;

· помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа.

В систему формирования, распространения и использования информационных ресурсов входят также подсистемы комплексной информационной системы и телекоммуникационной сети, библиотеки, архивы, базы данных и информационные хранилища, информационные технологии. регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический и обслуживающий персонал;

Основными объектами обеспечения информационной безопасности корпоративной сети ФЖТ являются:

· информационные ресурсы – сведения, содержащие государственную тайну, и конфиденциальная (документированная) информация, а также циркулирующая в ней недокументированная конфиденциальная информация;

· информационная инфраструктура, образованная совокупностью элементов информационных систем соответствующего уровня, первичных сетей и сети передачи данных, в которых находится или может находиться защищаемая информация.

Корпоративный стандарт управления информационной безопасностью ОАО«РЖД»

Рисунок 5 Нормативно-методическая база управления информационной безопасностью в ОАО «РЖД».

Политика информационной безопасности ОАО «РЖД» разрабатывается в развитие корпоративного стандарта по управлению информационной безопасностью и представляет концептуальные (документированные) управленческие решения, реализующие стратегию ОАО «РЖД» по поддержанию требуемого уровня информационной безопасности.

Политика информационной безопасности ОАО «РЖД» основывается и в полной мере соответствует следующим российским и международным нормативным документам:

· ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

· ГОСТ Р ИСО/МЭК 17799:2005 Информационная технология. Практические правила управления информационной безопасностью.

· ISO/IEC 27001:2005 (BS 7799-2:2005) Информационная технология. Методы и средства обеспечения безопасности. Системы управления информационной безопасностью. Требования (Information technology. Security techniques. Information security management systems – Requirements).

· Проект корпоративного стандарта управления информационной безопасностью ОАО «РЖД».

В разрабатываемой Политике информационной безопасности отражены следующие основные аспекты:

· установлены цели и задачи ОАО «РЖД» в области обеспечения информационной безопасности;

· выделены основные группы защищаемых информационных активов ОАО «РЖД» и угрозы нарушения их информационной безопасности;

· определены основные составляющие инфраструктуры информационной безопасности ОАО «РЖД»;

· сформулированы подходы и принципы достижения целей обеспечения информационной безопасности;

· отражены основные требования обеспечения соответствия законодательству в области информационной безопасности;

· представлены перечень и краткое описание основных мероприятий, которые должны быть выполнены ОАО «РЖД» для достижения установленных целей информационной безопасности;

· определены подходы к проведению анализа и оценки рисков нарушения информационной безопасности, а также выбору мер и средств обеспечения информационной безопасности;

· определены основные типы документов, разрабатываемых в развитие настоящей Политики информационной безопасности и предназначенных для более детального описания требований информационной безопасности, мер управления информационной безопасностью, а также правил и процедур, которым должны следовать сотрудники ОАО «РЖД» в процессе управления информационной безопасности.

Одной из важнейших задач обеспечения информационной безопасности ОАО «РЖД» на данном этапе является создание нормативно-правовой и методической базы по управлению информационной безопасностью, и прежде всего, стандарт управления информационной безопасностью ОАО «РЖД».

В ходе создания и совершенствования нормативно-методической базы управления информационной безопасностью систем ОАО «РЖД» должны максимально использоваться как положения современных международных и национальных стандартов, так и накопленный положительный опыт в этой области. При этом корпоративный стандарт управления информационной безопасностью и Политика информационной безопасности ОАО «РЖД» рассматриваются как основополагающие документы управления информационной безопасностью в ОАО «РЖД».

Нормативно-методическая база управления информационной безопасностью в ОАО «РЖД» представлена на следующей схеме:

 

 

Рисунок 6 - Структура Политики информационной безопасности ОАО «РЖД».

Основными информационными ресурсами (активами) ОАО «РЖД», подлежащими защите, являются:

· информация, составляющая конфиденциальную информацию (коммерческую и иную тайны) ОАО «РЖД» и третьих лиц;

· персональные данные сотрудников ОАО «РЖД» и других физических лиц, которые станут известны ОАО «РЖД» при осуществлении производственной деятельности;

· технические, программные и программно-технические средства (включая конфигурационные данные, нормативно-методическую и другую документацию), используемые для накопления, хранения, обработки, передачи и защиты информации;

· служебная информация средств защиты информации (идентификаторы, пароли, таблицы разграничения доступа, криптографические ключи, информация журналов аудита безопасности и др.).

Наиболее критичными элементами инфраструктуры ОАО «РЖД», связанными с использованием информационных ресурсов (активов) и подлежащими защите, являются:

· автоматизированные рабочие места пользователей;

· сервера ОАО «РЖД» (сервера баз данных, сервера приложений, файловые сервера, почтовые сервера и др.);

· сегменты вычислительных сетей ОАО «РЖД»;

· средства обеспечения коллективной работы пользователей (базы данных, архивы электронных версий документов, система электронного документооборота, система обмена сообщениями и др.);

· узлы доступа в сети общего пользования (прежде всего, Интернет);

· каналы связи.

Основные угрозы информационным ресурсам (активам) ОАО «РЖД» включают:

· разглашение (утечку) конфиденциальной (защищаемой) информации;

· нарушение целостности информационных активов, включая изменение или фальсификацию (искажение и модификацию), а также полное или частичное уничтожение информационных ресурсов (активов) ОАО «РЖД»;

· дезорганизация функционирования важнейших АИТС, включая блокировку санкционированного доступа к информации зарегистрированных пользователей.

В качестве основных способов реализации угроз информационной безопасности рассматриваются следующие:

· несанкционированный доступ (в том числе с использованием программно-технических средств) в АИТС ОАО «РЖД», а также к ее техническим средствам и информационным ресурсам (активам);

· перехват информации в сторонних и собственных сетях (каналах) передачи данных ОАО «РЖД»;

· применение специальных средств, алгоритмов и процедур проведения атак по отношению к АИТС ОАО «РЖД»;

· внедрение в АИТС ОАО «РЖД» компьютерных вирусов и (в том числе непреднамеренное) другого вредоносного программного обеспечения (троянские программы, программы-«шпионы» и пр.);

· разрушение или порча информационных ресурсов (активов) ОАО «РЖД» при отсутствии (или ненадлежащей настройке) соответствующих механизмов управления доступом к АИТС ОАО «РЖД» и обрабатываемой в них информации;

· разрушение или порча информационных ресурсов (активов) ОАО «РЖД» по причине отсутствия достаточных знаний, навыков, опыта, а также невнимательности или халатности сотрудников, обслуживающего персонала ОАО «РЖД» или третьих лиц;

· перехват информации по специально организованным и техническим каналам утечки.

Для обеспечения информационной безопасности создана организационная структура управления информационной безопасностью ОАО «РЖД».

Рисунок 7 Организационная структура управления информационной безопасностью ОАО «РЖД».

 

Для достижения установленных целей информационной безопасности ОАО «РЖД» должны быть выполнены следующие основные мероприятия, направленные на достижение целей обеспечения безопасности информации ОАО «РЖД»:

· Организация информационной безопасности

· Управление информационными ресурсами (активами) ОАО «РЖД»

· Управление безопасностью, связанной с человеческими ресурсами

· Организация физической защиты и защиты от воздействий среды

· Управление взаимодействием и эксплуатацией АИТС

· Управление доступом к информационным ресурсам (активам)

· Приобретение, разработка и сопровождение АИТС

· Управление инцидентами информационной безопасности

· Управление непрерывностью деятельности (бизнеса) ОАО «РЖД»

· Соответствие законодательству и нормативным документам.

Служба технической защиты информации представляет собой систему штатных сотрудников, предназначенных для организации квалифицированной разработки (совершенствования) системы защиты информации и организационного (административного) обеспечения ее функционирования.

Подразделение технической защиты информации

На это подразделение возложено решение следующих основных задач:

· организация работы по обеспечению экономической безопасности и защите интересов ОАО "РЖД" на железной дороге и курируемых объектах, включая своевременное выявление и предотвращение внешних и внутренних угроз их экономическим интересам;

· организация и осуществление мероприятий по защите информации (за исключением сведений, составляющих государственную тайну) и информационных сетей от случайных или преднамеренных воздействий, которые могут нанести ущерб участникам информационного обмена;

· организация и координация мероприятий по охране объектов железной дороги и защите пассажиров, пользующихся услугами железной дороги, руководителей и работников ОАО "РЖД" от проявлений террористического характера и иных преступных действий как самостоятельно, в пределах компетенции отдела, так и во взаимодействии с органами исполнительной власти субъектов Российской Федерации и органами местного самоуправления.

Отдел в соответствии с возложенными на него задачами осуществляет следующие функции:

· изучает финансово-хозяйственную деятельность железной дороги и курируемых объектов с целью выявления угрозы и своевременного предупреждения нанесения им экономического ущерба;

· организует систему своевременного получения информации о признаках внешних и внутренних угроз экономическим интересам железной дороги и курируемых объектов;

· планирует и осуществляет комплекс мер по предупреждению угроз экономической безопасности железной дороги и курируемых объектов;

· проводит оценку текущего состояния безопасности железной дороги и курируемых объектов и эффективности осуществляемых мер по предотвращению нанесения им экономического ущерба;

· разрабатывает и представляет в установленном порядке начальнику Департамента безопасности, руководству железной дороги и курируемых объектов предложения по совершенствованию системы защиты экономических интересов ОАО "РЖД";

· проводит анализ проектов договоров и контрактов, инвестиционных и других проектов, реализуемых на железной дороге, с точки зрения экономической безопасности и своевременного выявления рисков финансово-хозяйственной деятельности;

· оперативно информирует руководителей железной дороги и курируемых объектов о выявленных угрозах экономической безопасности и фактах нанесения экономического ущерба;

· участвует в установленном порядке в проведении конкурсов по выбору поставщиков продукции и организаций, оказывающих услуги для железной дороги и курируемых объектов;

· осуществляет мероприятия по определению экономической надежности потенциальных контрагентов железной дороги и курируемых объектов;

· координирует и контролирует деятельность структурных подразделений железной дороги и курируемых объектов в ходе выполнения мероприятий по обеспечению защиты экономических интересов;

· участвует в работе комиссий по проверкам финансово-хозяйственной деятельности структурных подразделений железной дороги и курируемых объектов, в служебных расследованиях фактов нанесения экономического ущерба, случаев нарушения информационной безопасности, утраты конфиденциальных документов и материалов и представляет в установленном порядке в Департамент безопасности и руководству ОАО "РЖД" соответствующие документы и предложения;

· проводит совместно с причастными структурными подразделениями железной дороги и курируемых объектов мероприятия по возмещению и минимизации причиненного ОАО "РЖД" ущерба;

· ведет информационно-поисковую и информационно-аналитическую работу по направлениям деятельности Центра, создает и ведет базу данных по вопросам безопасности железной дороги и курируемых объектов;

· реализует единую организационную и техническую политику ОАО "РЖД" в области обеспечения информационной безопасности и в сфере оснащения объектов железной дороги и курируемых объектов техническими средствами физической защиты;

· участвует в разработке проектов внутренних документов, в том числе методических рекомендаций по вопросам защиты информации железной дороги и курируемых объектов;

· участвует в определении потребностей объектов информатизации железной дороги в средствах защиты информации и распределяет имеющиеся ресурсы по объектам;

· организует и контролирует работы по внедрению средств защиты информации на объектах железной дороги и проводит приемку этих работ, осуществляет контроль за эксплуатацией технических подсистем и средств защиты информации железной дороги и курируемых объектов;

· организует эксплуатацию технических подсистем и средств защиты информации железной дороги;

· организует и контролирует предоставление доступа к информационным ресурсам железной дороги и курируемых объектов;

· проводит мониторинг системы обеспечения информационной безопасности и организует работу по ее совершенствованию;

· организует работу по охране объектов железной дороги и защите пользователей услуг железной дороги, руководителей и работников железной дороги от действий террористического характера и иных преступных действий;

· организует и осуществляет меры по оснащению объектов железной дороги техническими средствами физической защиты в рамках реализации проекта "Антитеррор" инвестиционной программы ОАО "РЖД", участвует в обследовании объектов и разработке технических заданий на их оснащение техническими средствами физической защиты, осуществляет контроль за организацией технического обслуживания и послегарантийного ремонта технических средств физической защиты, а также за надежностью и качеством их работы;

· проводит сбор, обобщение и анализ информации по фактам террористических проявлений, разрабатывает дополнительные меры по защите пассажиров, руководителей и работников ОАО "РЖД", а также объектов железной дороги и курируемых объектов;

· разрабатывает методические рекомендации и организует обучение и подготовку работников железной дороги и курируемых объектов к действиям по предупреждению актов террористического характера и иных преступных действий;

· взаимодействует с правоохранительными органами, федеральным государственным предприятием "Ведомственная охрана железнодорожного транспорта России" (ФГП ВО ЖДТ России) и другими охранными организациями в ходе реализации мероприятий по охране объектов, защите пассажиров, пользующихся услугами железной дороги, и работников железной дороги и курируемых объектов от действий террористического характера и иных преступных действий;

· осуществляет контроль за исполнением договорных обязательств охранными организациями (ФГП ВО ЖДТ России, вневедомственной охраной, частными охранными организациями, подразделениями МВД России), своевременно информирует их руководство о выявленных недостатках и разрабатывает предложения по их устранению;

· разрабатывает методические рекомендации по организации пропускного режима на объектах железной дороги и контролирует их выполнение;

· оказывает подразделениям безопасности курируемых объектов методическую помощь в пределах компетенции Центра;

· проводит информационно-аналитическую работу и представляет информацию по вопросам обеспечения безопасности в информационно-аналитический отдел Департамента безопасности ОАО "РЖД".

Типовая организационно- штатная структура подразделения по защите информации ИВЦ представлена на рисунке 7.

 

Рисунок 8 Типовая организационно- штатная структура подразделения по защите информации ИВЦ.

Служба технической защиты информации представляет собой систему штатных сотрудников, предназначенных для организации квалифицированной разработки (совершенствования) системы защиты информации и организационного (административного) обеспечения ее функционирования.

Группа информационной безопасности является структурным подразделением ИВЦ, обеспечивающим контроль выполнения требований информационной безопасности, защите информационных ресурсов и технологий. ВЦИБ находится в непосредственном подчинении Начальника ИВЦ.

 

Цели и задачи обеспечения информационной безопасности.

Основными целями защиты информации в отрасли и обеспечения информационной безопасности корпоративной сети федерального железнодорожного транспорта России (КС ФЖТ) являются:

· поддержание высокого уровня безопасности на железнодорожном транспорте в условиях динамичной возникновении чрезвычайных ситуаций;

· информатизации отрасли и внедрения современных информационных технологий;

· обеспечение органов управления МПС различного уровня, руководства железных дорог, хозяйств, предприятий и организаций отрасли, пользователей достоверной, полной и своевременной информацией, необходимой для принятия решений;

· минимизация экономического и других видов ущерба, связанного с нарушением безопасности информации в корпоративной сети ФЖТ; расширение перечня информационных услуг, предоставляемых корпоративной сетью ФЖТ, услугами по защите информации (обеспечение ее конфиденциальности, целостности и доступности).

К основным задачам обеспечения информационной безопасности отрасли и КС ФЖТ относятся:

· выявление наиболее важных, а также слабых и уязвимых в информационном отношении объектов;

· оценивание и прогнозирование источников угроз информационной безопасности и способов их реализации;

· разработка политики обеспечения информационной безопасности отрасли, КС ФЖТ, комплекса мероприятий и механизмов ее реализации; разработка нормативной базы обеспечения информационной безопасности отрасли, КС ФЖТ, координация деятельности органов управления МПС, железных дорог и хозяйств по обеспечению информационной безопасности;

· разработка мероприятий по обеспечению информационной безопасности при угрозе или возникновении чрезвычайных ситуаций;

· развитие иерархической системы обеспечения информационной безопасности, совершенствование ее организации, форм, методов и средств предотвращения угроз информационной безопасности;

· обеспечение безопасной интеграции корпоративной сети ФЖТ в глобальные информационные сети и системы.

Вариант Положения об отделе по защите информации представлен в приложении 7.

СВОЙСТВА ИНФОРМАЦИИ

Как было отмечено ранее, информационная безопасность - многогранная область деятельности, в которой успех может принести только систематический, комплексный подход.

Обеспечение информационной безопасности в большинстве случаев связано с комплексным решением трех задач:

· обеспечением доступности информации;

· обеспечением целостности информации;

· обеспечением конфиденциальности информации.

Именно доступность, целостность и конфиденциальность являются равнозначными и характеризуют информацию в целом (являются свойствами информации)