Особенности организации систем информационной безопасности в энергетических компаниях

В статье рассматривается организация систем информационной безопасности в энергетических компаниях как одна из важнейших составляющих безопаности предприятий топливно-энергетического комплекса России. Обеспечение информационной безопасности является основополагающей мерой стабильной работы энергетических компаний.

Аннотация статьи
защита конфиденциальной информации
информационная безопасность
энергетические компании
Ключевые слова

Основными угрозами информационной безопасности в компаниях топливно-энергетического комплекса России являются несанкционированный доступ к информации со стороны заинтересованных организаций или отдельных лиц (например, промышленный шпионаж конкурентов, сбор информации спецслужбами, атаки хакеров и т.п.), а также компьютерные вирусы и иные вредоносные программы [1].

Для предотвращения угроз в энергетических компаниях организована система информационной безопасности, которая включает:

  1. политику антивирусной защиты;
  2. политику парольной защиты;
  3. политику взаимодействия с сетью «Интернет» и использования сервиса корпоративной электронной почты [3].

Политика антивирусной защиты включает:

  • основные признаки и способы проникновения вредоносного программного обеспечения;
  • подход к обеспечению информационной безопасности в части защиты информационной и автоматизированной систем организаций от вредоносного программного обеспечения.

Средства антивирусной защиты должны применяться для защиты автоматизированного рабочего места пользователей, серверов и массивов данных, хранимых, обрабатываемых и передаваемых в энергетических организациях от заражения (воздействия) вредоносным программным обеспечением. На предприятиях должны использоваться только лицензионные средства антивирусной защиты.

Распространены следующие основные способы проникновения вредоносного программного обеспечения в организации:

  • через ресурсы сети Интернет; 
  • через вложения, полученные по электронной почте (в т.ч. и через гиперссылки на зараженные ресурсы сети Интернет);
  • подключение к информационной и автоматизированной системам портативных вычислительных устройств и машинных носителей информации, которые могут и/или могли использоваться за пределами информационной и автоматизированной систем организаций;
  • несанкционированная установка и использование нерегламентированного программного обеспечения;
  • использование нелицензионного программного обеспечения;
  • злоумышленное внедрение вредоносного программного обеспечения (запись файлов, установка вредоносных программ и т.д.).

Применяемые в энергетических компаниях средства антивирусной защиты, которые предназначены для обработки сведений конфиденциального характера, должны быть обязательно сертифицированы ФСТЭК России.

Полный антивирусный контроль всех несъемных машинных носителей информации (логических и физических), операционной памяти и файлов автоматизированного рабочего места должен проводиться автоматически не реже одного раза в неделю. Обязательному антивирусному контролю должна подлежать любая информация (исполняемые файлы, текстовые файлы любых форматов, файлы данных, исполняемые скрипты и макросы и т.д.), получаемая пользователем по электронной почте, каналам связи или загружаемая со съемных машинных носителей информации.

При возникновении подозрения на наличие вредоносного программного обеспечения сотрудник компании самостоятельно (или вместе с администратором средств антивирусной защиты) должен провести внеплановую полную антивирусную проверку автоматизированного рабочего места. В случае обнаружения при проведении антивирусной проверки зараженных вирусами массивов данных сотрудник обязан приостановить обработку информации и незамедлительно поставить в известность о факте обнаружения зараженных вирусом файлов/массивов данных администратора средств антивирусной защиты и ответственного работника подразделения информационной безопасности.

Политика парольной защиты в энергетических компаниях состоит из системы (подсистемы) информационной безопасности автоматизированной системы, которая должна обеспечивать следующие требования:

  • длина пароля не менее восьми символов;
  • алфавит пароля не менее 60 символов;
  • максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток;
  • блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации (ввода пароля) на период от 5 до 30 минут;
  • блокировка программно-технического средства или учетной записи пользователя в случае бездействия (неактивности) пользователя в течение 15 минут;
  • смена паролей не более чем через 90 дней;
  • исключение отображения для пользователя действительного значения аутентификационной информации и (или) количества вводимых пользователем символов аутентификационной информации. Вводимые символы пароля могут отображаться условными знаками «*», «·» или иными знаками;
  • срок действия временного пароля не должен превышать двух недель (или 10 рабочих дней) с момента его генерации.

Индивидуальный пароль пользователя служит для достижения целей надежной аутентификации в информационной системе, а также для обеспечения подотчетности всех действий пользователей, разграничения прав доступа и исключения возможности реализации несанкционированного доступа к информации и/или реализации угроз безопасности информации в результате случайных или преднамеренных действий других пользователей от лица легального (правомочного) пользователя. Данный пароль сохраняется пользователем в секрете и подлежит изменению всякий раз, когда есть указания на его возможную компрометацию. Пользователям, не относящимся к группе администраторов информационной системы, запрещается самостоятельная установка паролей на оборудование или ресурсы.

В политике взаимодействия с сетью «Интернет» и использования сервиса корпоративной электронной почты описывается порядок доступа к сети «Интернет» и использования сервиса корпоративной электронной почты в энергетических компаниях, а также определяется порядок работы и обработки информации посредством указанных сервисов.

Прямой доступ к сети «Интернет» из аттестованных на соответствие требованиям по безопасности информации организаций не допускается. В случае служебной необходимости доступ к сети Интернет предоставляется с использованием отдельных абонентских пунктов или с использованием режима терминального доступа. Данный доступ должен использоваться только для выполнения должностных обязанностей в соответствии с требованиями политики.

Сотрудникам компаний при использовании сервиса корпоративной электронной почты запрещается:

  • создавать и распространять почтовые сообщения, содержащие провокационные или оскорбительные высказывания, дискриминирующие по различным признакам: полу, национальной и расовой принадлежности, возрасту, сексуальной ориентации, религиозным верованиям, политическим взглядам и происхождению;
  • осуществлять передачу материалов, содержание которых нарушает действующее законодательство Российской Федерации;
  • создавать и распространять почтовые сообщения, содержащие материалы развлекательного характера;
  • осуществлять массовые рассылки почтовых сообщений, кроме случаев действительной служебной необходимости, количество получателей рассылки не может превышать 50 адресатов;
  • осуществлять передачу информации в зашифрованном виде, в том числе в виде зашифрованных вложений;
  • осуществлять передачу информации, содержащей сведения конфиденциального характера;
  • осуществлять передачу корпоративной информации на внешние почтовые адреса без письменного согласия руководителя структурного подразделения организации.

Передача информации, содержащей сведения конфиденциального характера, допускается только в зашифрованном виде [2]. Шифрование должно осуществляться сертифицированными ФСБ России средствами криптографической защиты информации: на прикладном уровне – с использованием механизмов шифрования почтовых клиентов или на канальном уровне – средствами сетевого оборудования (создание защищённого канала передачи данных).

Текст статьи
  1. Jouinni, A.B. Aissa, Classification of Security Threats in Information Systems [Электронный ресурс]. – Режим доступа: https://www.sciencedirect.com/science/article/pii/S1877050914006528 (дата обращения: 08.02.2020).
  2. ФЗ РФ «О коммерческой тайне» от 29.07.2004 № 98-ФЗ [Электронный ресурс]. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_48699/ (дата обращения: 12.02.2020).
  3. ФЗ РФ «О персональных данных» от 27.07.2006 N 152-ФЗ [Электронный ресурс]. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 12.02.2020).
Список литературы