Право на доступ к информации имеют граждане и организации.
Граждане (физические лица) и организации (юридические лица) (далее - организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.
Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы.
Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.
Не может быть ограничен доступ к:
· нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
· информации о состоянии окружающей среды;
· информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
· информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
· иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.
Государственные органы и органы местного самоуправления обязаны обеспечивать доступ к информации о своей деятельности на русском языке и государственном языке соответствующей республики в составе Российской Федерации в соответствии с федеральными законами, законами субъектов Российской Федерации и нормативными правовыми актами органов местного самоуправления. Лицо, желающее получить доступ к такой информации, не обязано обосновывать необходимость ее получения.
Решения и действия (бездействие) государственных органов и органов местного самоуправления, общественных объединений, должностных лиц, нарушающие право на доступ к информации, могут быть обжалованы в вышестоящий орган или вышестоящему должностному лицу либо в суд.
В случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством.
Предоставляется бесплатно информация:
· о деятельности государственных органов и органов местного самоуправления, размещенная такими органами в информационно-телекоммуникационных сетях;
· затрагивающая права и установленные законодательством Российской Федерации обязанности заинтересованного лица;
· иная установленная законом информация.
Установление платы за предоставление государственным органом или органом местного самоуправления информации о своей деятельности возможно только в случаях и на условиях, которые установлены федеральными законами.
1.4 Информация ограниченного доступа в ОАО "РЖД"
Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.
Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.
Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе.
Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.
Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.
Концептуальные аспекты защиты информации и обеспечения информационной безопасности
Объекты информационной безопасности ОАО «РЖД». В качестве основного объекта информационной безопасности на железнодорожном транспорте выделяется информационная сфера отрасли. К объектам информационной безопасности ФЖТ, составляющим информационную сферу отрасли, относят: субъекты и систему регулирования информационных отношений, информационные ресурсы отрасли, информационную инфраструктуру отрасли, систему формирования, распространения и использования информационных ресурсов. Информационные ресурсы отрасли относятся к Федеральным информационным ресурсам и включают в себя следующую документированную информацию (Схема): информационные ресурсы (ИР), охраняемые авторским и патентным правом (интеллектуальная собственность); сведения, содержащие государственную тайну, конфиденциальную информацию, другие виды тайн и сведения ограниченного доступа, представленные в виде документированных массивов и баз данных; документальные сведения, содержащие открытую (общедоступную) информацию о деятельности отрасли.
Информационные ресурсы ОАО "РЖД"
Рисунок 4 Структурная схема информационных ресурсов отрасли.
К защищаемым информационным ресурсам ФЖТ относится информация ограниченного доступа – сведения, содержащие государственную тайну, и конфиденциальная (документированная) информация департаментов, железных дорог, органов и системы управления железнодорожным транспортом в процессе ее сбора, обработки, хранения, передачи и использования.
Наряду с информационными ресурсами должна защищаться и недокументированная конфиденциальная информация – оперативная управленческая информация, данные, другая информация, циркулирующая в корпоративной сети ФЖТ. Это информация, несанкционированное получение, искажение, уничтожение и использование которой может нанести ущерб отрасли.
Информационная инфраструктура отрасли образована основными элементами комплексной (корпоративной) информационной системы и телекоммуникационной сети ФЖТ. Она включает в себя:
· Средства и объекты информатизации МПС и железных дорог (информационно-вычислительные центры, комплексы, сети и системы, средства вычислительной техники), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления отраслью и железнодорожным транспортом, перевозками грузов (сеть центров управления перевозками, АСОУП), пассажирскими перевозками («Экспресс»), вагонным парком (ДИСПАРК), автоматизированный комплекс системы фирменного транспортного обслуживания (АКС ФТО) и др.;
· первичные сети, образованные волоконно-оптическими, спутниковыми, радиорелейными и кабельными системами, узлами, линиями передачи и каналами информационного обмена, и вторичные сети (сети общетехнологической, оперативно-технологической связи, сети передачи данных и сети зоновых операторов), осуществляющие прием, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля;
· технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается (циркулирует) информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации;
· помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа.
В систему формирования, распространения и использования информационных ресурсов входят также подсистемы комплексной информационной системы и телекоммуникационной сети, библиотеки, архивы, базы данных и информационные хранилища, информационные технологии. регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический и обслуживающий персонал;
Основными объектами обеспечения информационной безопасности корпоративной сети ФЖТ являются:
· информационные ресурсы – сведения, содержащие государственную тайну, и конфиденциальная (документированная) информация, а также циркулирующая в ней недокументированная конфиденциальная информация;
· информационная инфраструктура, образованная совокупностью элементов информационных систем соответствующего уровня, первичных сетей и сети передачи данных, в которых находится или может находиться защищаемая информация.
Корпоративный стандарт управления информационной безопасностью ОАО«РЖД»
Рисунок 5 Нормативно-методическая база управления информационной безопасностью в ОАО «РЖД».
Политика информационной безопасности ОАО «РЖД» разрабатывается в развитие корпоративного стандарта по управлению информационной безопасностью и представляет концептуальные (документированные) управленческие решения, реализующие стратегию ОАО «РЖД» по поддержанию требуемого уровня информационной безопасности.
Политика информационной безопасности ОАО «РЖД» основывается и в полной мере соответствует следующим российским и международным нормативным документам:
· ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
· ГОСТ Р ИСО/МЭК 17799:2005 Информационная технология. Практические правила управления информационной безопасностью.
· ISO/IEC 27001:2005 (BS 7799-2:2005) Информационная технология. Методы и средства обеспечения безопасности. Системы управления информационной безопасностью. Требования (Information technology. Security techniques. Information security management systems – Requirements).
· Проект корпоративного стандарта управления информационной безопасностью ОАО «РЖД».
В разрабатываемой Политике информационной безопасности отражены следующие основные аспекты:
· установлены цели и задачи ОАО «РЖД» в области обеспечения информационной безопасности;
· выделены основные группы защищаемых информационных активов ОАО «РЖД» и угрозы нарушения их информационной безопасности;
· определены основные составляющие инфраструктуры информационной безопасности ОАО «РЖД»;
· сформулированы подходы и принципы достижения целей обеспечения информационной безопасности;
· отражены основные требования обеспечения соответствия законодательству в области информационной безопасности;
· представлены перечень и краткое описание основных мероприятий, которые должны быть выполнены ОАО «РЖД» для достижения установленных целей информационной безопасности;
· определены подходы к проведению анализа и оценки рисков нарушения информационной безопасности, а также выбору мер и средств обеспечения информационной безопасности;
· определены основные типы документов, разрабатываемых в развитие настоящей Политики информационной безопасности и предназначенных для более детального описания требований информационной безопасности, мер управления информационной безопасностью, а также правил и процедур, которым должны следовать сотрудники ОАО «РЖД» в процессе управления информационной безопасности.
Одной из важнейших задач обеспечения информационной безопасности ОАО «РЖД» на данном этапе является создание нормативно-правовой и методической базы по управлению информационной безопасностью, и прежде всего, стандарт управления информационной безопасностью ОАО «РЖД».
В ходе создания и совершенствования нормативно-методической базы управления информационной безопасностью систем ОАО «РЖД» должны максимально использоваться как положения современных международных и национальных стандартов, так и накопленный положительный опыт в этой области. При этом корпоративный стандарт управления информационной безопасностью и Политика информационной безопасности ОАО «РЖД» рассматриваются как основополагающие документы управления информационной безопасностью в ОАО «РЖД».
Нормативно-методическая база управления информационной безопасностью в ОАО «РЖД» представлена на следующей схеме:
Рисунок 6 - Структура Политики информационной безопасности ОАО «РЖД».
Основными информационными ресурсами (активами) ОАО «РЖД», подлежащими защите, являются:
· информация, составляющая конфиденциальную информацию (коммерческую и иную тайны) ОАО «РЖД» и третьих лиц;
· персональные данные сотрудников ОАО «РЖД» и других физических лиц, которые станут известны ОАО «РЖД» при осуществлении производственной деятельности;
· технические, программные и программно-технические средства (включая конфигурационные данные, нормативно-методическую и другую документацию), используемые для накопления, хранения, обработки, передачи и защиты информации;
· служебная информация средств защиты информации (идентификаторы, пароли, таблицы разграничения доступа, криптографические ключи, информация журналов аудита безопасности и др.).
Наиболее критичными элементами инфраструктуры ОАО «РЖД», связанными с использованием информационных ресурсов (активов) и подлежащими защите, являются:
· автоматизированные рабочие места пользователей;
· сервера ОАО «РЖД» (сервера баз данных, сервера приложений, файловые сервера, почтовые сервера и др.);
· сегменты вычислительных сетей ОАО «РЖД»;
· средства обеспечения коллективной работы пользователей (базы данных, архивы электронных версий документов, система электронного документооборота, система обмена сообщениями и др.);
· узлы доступа в сети общего пользования (прежде всего, Интернет);
· каналы связи.
Основные угрозы информационным ресурсам (активам) ОАО «РЖД» включают:
· разглашение (утечку) конфиденциальной (защищаемой) информации;
· нарушение целостности информационных активов, включая изменение или фальсификацию (искажение и модификацию), а также полное или частичное уничтожение информационных ресурсов (активов) ОАО «РЖД»;
· дезорганизация функционирования важнейших АИТС, включая блокировку санкционированного доступа к информации зарегистрированных пользователей.
В качестве основных способов реализации угроз информационной безопасности рассматриваются следующие:
· несанкционированный доступ (в том числе с использованием программно-технических средств) в АИТС ОАО «РЖД», а также к ее техническим средствам и информационным ресурсам (активам);
· перехват информации в сторонних и собственных сетях (каналах) передачи данных ОАО «РЖД»;
· применение специальных средств, алгоритмов и процедур проведения атак по отношению к АИТС ОАО «РЖД»;
· внедрение в АИТС ОАО «РЖД» компьютерных вирусов и (в том числе непреднамеренное) другого вредоносного программного обеспечения (троянские программы, программы-«шпионы» и пр.);
· разрушение или порча информационных ресурсов (активов) ОАО «РЖД» при отсутствии (или ненадлежащей настройке) соответствующих механизмов управления доступом к АИТС ОАО «РЖД» и обрабатываемой в них информации;
· разрушение или порча информационных ресурсов (активов) ОАО «РЖД» по причине отсутствия достаточных знаний, навыков, опыта, а также невнимательности или халатности сотрудников, обслуживающего персонала ОАО «РЖД» или третьих лиц;
· перехват информации по специально организованным и техническим каналам утечки.
Для обеспечения информационной безопасности создана организационная структура управления информационной безопасностью ОАО «РЖД».
Рисунок 7 Организационная структура управления информационной безопасностью ОАО «РЖД».
Для достижения установленных целей информационной безопасности ОАО «РЖД» должны быть выполнены следующие основные мероприятия, направленные на достижение целей обеспечения безопасности информации ОАО «РЖД»:
· Организация информационной безопасности
· Управление информационными ресурсами (активами) ОАО «РЖД»
· Управление безопасностью, связанной с человеческими ресурсами
· Организация физической защиты и защиты от воздействий среды
· Управление взаимодействием и эксплуатацией АИТС
· Управление доступом к информационным ресурсам (активам)
· Приобретение, разработка и сопровождение АИТС
· Управление инцидентами информационной безопасности
· Управление непрерывностью деятельности (бизнеса) ОАО «РЖД»
· Соответствие законодательству и нормативным документам.
Служба технической защиты информации представляет собой систему штатных сотрудников, предназначенных для организации квалифицированной разработки (совершенствования) системы защиты информации и организационного (административного) обеспечения ее функционирования.
Подразделение технической защиты информации
На это подразделение возложено решение следующих основных задач:
· организация работы по обеспечению экономической безопасности и защите интересов ОАО "РЖД" на железной дороге и курируемых объектах, включая своевременное выявление и предотвращение внешних и внутренних угроз их экономическим интересам;
· организация и осуществление мероприятий по защите информации (за исключением сведений, составляющих государственную тайну) и информационных сетей от случайных или преднамеренных воздействий, которые могут нанести ущерб участникам информационного обмена;
· организация и координация мероприятий по охране объектов железной дороги и защите пассажиров, пользующихся услугами железной дороги, руководителей и работников ОАО "РЖД" от проявлений террористического характера и иных преступных действий как самостоятельно, в пределах компетенции отдела, так и во взаимодействии с органами исполнительной власти субъектов Российской Федерации и органами местного самоуправления.
Отдел в соответствии с возложенными на него задачами осуществляет следующие функции:
· изучает финансово-хозяйственную деятельность железной дороги и курируемых объектов с целью выявления угрозы и своевременного предупреждения нанесения им экономического ущерба;
· организует систему своевременного получения информации о признаках внешних и внутренних угроз экономическим интересам железной дороги и курируемых объектов;
· планирует и осуществляет комплекс мер по предупреждению угроз экономической безопасности железной дороги и курируемых объектов;
· проводит оценку текущего состояния безопасности железной дороги и курируемых объектов и эффективности осуществляемых мер по предотвращению нанесения им экономического ущерба;
· разрабатывает и представляет в установленном порядке начальнику Департамента безопасности, руководству железной дороги и курируемых объектов предложения по совершенствованию системы защиты экономических интересов ОАО "РЖД";
· проводит анализ проектов договоров и контрактов, инвестиционных и других проектов, реализуемых на железной дороге, с точки зрения экономической безопасности и своевременного выявления рисков финансово-хозяйственной деятельности;
· оперативно информирует руководителей железной дороги и курируемых объектов о выявленных угрозах экономической безопасности и фактах нанесения экономического ущерба;
· участвует в установленном порядке в проведении конкурсов по выбору поставщиков продукции и организаций, оказывающих услуги для железной дороги и курируемых объектов;
· осуществляет мероприятия по определению экономической надежности потенциальных контрагентов железной дороги и курируемых объектов;
· координирует и контролирует деятельность структурных подразделений железной дороги и курируемых объектов в ходе выполнения мероприятий по обеспечению защиты экономических интересов;
· участвует в работе комиссий по проверкам финансово-хозяйственной деятельности структурных подразделений железной дороги и курируемых объектов, в служебных расследованиях фактов нанесения экономического ущерба, случаев нарушения информационной безопасности, утраты конфиденциальных документов и материалов и представляет в установленном порядке в Департамент безопасности и руководству ОАО "РЖД" соответствующие документы и предложения;
· проводит совместно с причастными структурными подразделениями железной дороги и курируемых объектов мероприятия по возмещению и минимизации причиненного ОАО "РЖД" ущерба;
· ведет информационно-поисковую и информационно-аналитическую работу по направлениям деятельности Центра, создает и ведет базу данных по вопросам безопасности железной дороги и курируемых объектов;
· реализует единую организационную и техническую политику ОАО "РЖД" в области обеспечения информационной безопасности и в сфере оснащения объектов железной дороги и курируемых объектов техническими средствами физической защиты;
· участвует в разработке проектов внутренних документов, в том числе методических рекомендаций по вопросам защиты информации железной дороги и курируемых объектов;
· участвует в определении потребностей объектов информатизации железной дороги в средствах защиты информации и распределяет имеющиеся ресурсы по объектам;
· организует и контролирует работы по внедрению средств защиты информации на объектах железной дороги и проводит приемку этих работ, осуществляет контроль за эксплуатацией технических подсистем и средств защиты информации железной дороги и курируемых объектов;
· организует эксплуатацию технических подсистем и средств защиты информации железной дороги;
· организует и контролирует предоставление доступа к информационным ресурсам железной дороги и курируемых объектов;
· проводит мониторинг системы обеспечения информационной безопасности и организует работу по ее совершенствованию;
· организует работу по охране объектов железной дороги и защите пользователей услуг железной дороги, руководителей и работников железной дороги от действий террористического характера и иных преступных действий;
· организует и осуществляет меры по оснащению объектов железной дороги техническими средствами физической защиты в рамках реализации проекта "Антитеррор" инвестиционной программы ОАО "РЖД", участвует в обследовании объектов и разработке технических заданий на их оснащение техническими средствами физической защиты, осуществляет контроль за организацией технического обслуживания и послегарантийного ремонта технических средств физической защиты, а также за надежностью и качеством их работы;
· проводит сбор, обобщение и анализ информации по фактам террористических проявлений, разрабатывает дополнительные меры по защите пассажиров, руководителей и работников ОАО "РЖД", а также объектов железной дороги и курируемых объектов;
· разрабатывает методические рекомендации и организует обучение и подготовку работников железной дороги и курируемых объектов к действиям по предупреждению актов террористического характера и иных преступных действий;
· взаимодействует с правоохранительными органами, федеральным государственным предприятием "Ведомственная охрана железнодорожного транспорта России" (ФГП ВО ЖДТ России) и другими охранными организациями в ходе реализации мероприятий по охране объектов, защите пассажиров, пользующихся услугами железной дороги, и работников железной дороги и курируемых объектов от действий террористического характера и иных преступных действий;
· осуществляет контроль за исполнением договорных обязательств охранными организациями (ФГП ВО ЖДТ России, вневедомственной охраной, частными охранными организациями, подразделениями МВД России), своевременно информирует их руководство о выявленных недостатках и разрабатывает предложения по их устранению;
· разрабатывает методические рекомендации по организации пропускного режима на объектах железной дороги и контролирует их выполнение;
· оказывает подразделениям безопасности курируемых объектов методическую помощь в пределах компетенции Центра;
· проводит информационно-аналитическую работу и представляет информацию по вопросам обеспечения безопасности в информационно-аналитический отдел Департамента безопасности ОАО "РЖД".
Типовая организационно- штатная структура подразделения по защите информации ИВЦ представлена на рисунке 7.
Рисунок 8 Типовая организационно- штатная структура подразделения по защите информации ИВЦ.
Служба технической защиты информации представляет собой систему штатных сотрудников, предназначенных для организации квалифицированной разработки (совершенствования) системы защиты информации и организационного (административного) обеспечения ее функционирования.
Группа информационной безопасности является структурным подразделением ИВЦ, обеспечивающим контроль выполнения требований информационной безопасности, защите информационных ресурсов и технологий. ВЦИБ находится в непосредственном подчинении Начальника ИВЦ.
Цели и задачи обеспечения информационной безопасности.
Основными целями защиты информации в отрасли и обеспечения информационной безопасности корпоративной сети федерального железнодорожного транспорта России (КС ФЖТ) являются:
· поддержание высокого уровня безопасности на железнодорожном транспорте в условиях динамичной возникновении чрезвычайных ситуаций;
· информатизации отрасли и внедрения современных информационных технологий;
· обеспечение органов управления МПС различного уровня, руководства железных дорог, хозяйств, предприятий и организаций отрасли, пользователей достоверной, полной и своевременной информацией, необходимой для принятия решений;
· минимизация экономического и других видов ущерба, связанного с нарушением безопасности информации в корпоративной сети ФЖТ; расширение перечня информационных услуг, предоставляемых корпоративной сетью ФЖТ, услугами по защите информации (обеспечение ее конфиденциальности, целостности и доступности).
К основным задачам обеспечения информационной безопасности отрасли и КС ФЖТ относятся:
· выявление наиболее важных, а также слабых и уязвимых в информационном отношении объектов;
· оценивание и прогнозирование источников угроз информационной безопасности и способов их реализации;
· разработка политики обеспечения информационной безопасности отрасли, КС ФЖТ, комплекса мероприятий и механизмов ее реализации; разработка нормативной базы обеспечения информационной безопасности отрасли, КС ФЖТ, координация деятельности органов управления МПС, железных дорог и хозяйств по обеспечению информационной безопасности;
· разработка мероприятий по обеспечению информационной безопасности при угрозе или возникновении чрезвычайных ситуаций;
· развитие иерархической системы обеспечения информационной безопасности, совершенствование ее организации, форм, методов и средств предотвращения угроз информационной безопасности;
· обеспечение безопасной интеграции корпоративной сети ФЖТ в глобальные информационные сети и системы.
Вариант Положения об отделе по защите информации представлен в приложении 7.
СВОЙСТВА ИНФОРМАЦИИ
Как было отмечено ранее, информационная безопасность - многогранная область деятельности, в которой успех может принести только систематический, комплексный подход.
Обеспечение информационной безопасности в большинстве случаев связано с комплексным решением трех задач:
· обеспечением доступности информации;
· обеспечением целостности информации;
· обеспечением конфиденциальности информации.
Именно доступность, целостность и конфиденциальность являются равнозначными и характеризуют информацию в целом (являются свойствами информации)