Особенности организации систем информационной безопасности в энергетических компаниях

Основными угрозами информационной безопасности в компаниях топливно-энергетического комплекса России являются несанкционированный доступ к информации со стороны заинтересованных организаций или отдельных лиц (например, промышленный шпионаж конкурентов, сбор информации спецслужбами, атаки хакеров и т.п.), а также компьютерные вирусы и иные вредоносные программы [1].

Для предотвращения угроз в энергетических компаниях организована система информационной безопасности, которая включает:

1. политику антивирусной защиты;
2. политику парольной защиты;
3. политику взаимодействия с сетью «Интернет» и использования сервиса корпоративной электронной почты [3].

Политика антивирусной защиты включает:

• основные признаки и способы проникновения вредоносного программного обеспечения;
• подход к обеспечению информационной безопасности в части защиты информационной и автоматизированной систем организаций от вредоносного программного обеспечения.

Средства антивирусной защиты должны применяться для защиты автоматизированного рабочего места пользователей, серверов и массивов данных, хранимых, обрабатываемых и передаваемых в энергетических организациях от заражения (воздействия) вредоносным программным обеспечением. На предприятиях должны использоваться только лицензионные средства антивирусной защиты.

Распространены следующие основные способы проникновения вредоносного программного обеспечения в организации:

• через ресурсы сети Интернет; 
• через вложения, полученные по электронной почте (в т.ч. и через гиперссылки на зараженные ресурсы сети Интернет);
• подключение к информационной и автоматизированной системам портативных вычислительных устройств и машинных носителей информации, которые могут и/или могли использоваться за пределами информационной и автоматизированной систем организаций;
• несанкционированная установка и использование нерегламентированного программного обеспечения;
• использование нелицензионного программного обеспечения;
• злоумышленное внедрение вредоносного программного обеспечения (запись файлов, установка вредоносных программ и т.д.).

Применяемые в энергетических компаниях средства антивирусной защиты, которые предназначены для обработки сведений конфиденциального характера, должны быть обязательно сертифицированы ФСТЭК России.

Полный антивирусный контроль всех несъемных машинных носителей информации (логических и физических), операционной памяти и файлов автоматизированного рабочего места должен проводиться автоматически не реже одного раза в неделю. Обязательному антивирусному контролю должна подлежать любая информация (исполняемые файлы, текстовые файлы любых форматов, файлы данных, исполняемые скрипты и макросы и т.д.), получаемая пользователем по электронной почте, каналам связи или загружаемая со съемных машинных носителей информации.

При возникновении подозрения на наличие вредоносного программного обеспечения сотрудник компании самостоятельно (или вместе с администратором средств антивирусной защиты) должен провести внеплановую полную антивирусную проверку автоматизированного рабочего места. В случае обнаружения при проведении антивирусной проверки зараженных вирусами массивов данных сотрудник обязан приостановить обработку информации и незамедлительно поставить в известность о факте обнаружения зараженных вирусом файлов/массивов данных администратора средств антивирусной защиты и ответственного работника подразделения информационной безопасности.

Политика парольной защиты в энергетических компаниях состоит из системы (подсистемы) информационной безопасности автоматизированной системы, которая должна обеспечивать следующие требования:

• длина пароля не менее восьми символов;
• алфавит пароля не менее 60 символов;
• максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток;
• блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации (ввода пароля) на период от 5 до 30 минут;
• блокировка программно-технического средства или учетной записи пользователя в случае бездействия (неактивности) пользователя в течение 15 минут;
• смена паролей не более чем через 90 дней;
• исключение отображения для пользователя действительного значения аутентификационной информации и (или) количества вводимых пользователем символов аутентификационной информации. Вводимые символы пароля могут отображаться условными знаками «*», «·» или иными знаками;
• срок действия временного пароля не должен превышать двух недель (или 10 рабочих дней) с момента его генерации.

Индивидуальный пароль пользователя служит для достижения целей надежной аутентификации в информационной системе, а также для обеспечения подотчетности всех действий пользователей, разграничения прав доступа и исключения возможности реализации несанкционированного доступа к информации и/или реализации угроз безопасности информации в результате случайных или преднамеренных действий других пользователей от лица легального (правомочного) пользователя. Данный пароль сохраняется пользователем в секрете и подлежит изменению всякий раз, когда есть указания на его возможную компрометацию. Пользователям, не относящимся к группе администраторов информационной системы, запрещается самостоятельная установка паролей на оборудование или ресурсы.

В политике взаимодействия с сетью «Интернет» и использования сервиса корпоративной электронной почты описывается порядок доступа к сети «Интернет» и использования сервиса корпоративной электронной почты в энергетических компаниях, а также определяется порядок работы и обработки информации посредством указанных сервисов.

Прямой доступ к сети «Интернет» из аттестованных на соответствие требованиям по безопасности информации организаций не допускается. В случае служебной необходимости доступ к сети Интернет предоставляется с использованием отдельных абонентских пунктов или с использованием режима терминального доступа. Данный доступ должен использоваться только для выполнения должностных обязанностей в соответствии с требованиями политики.

Сотрудникам компаний при использовании сервиса корпоративной электронной почты запрещается:

• создавать и распространять почтовые сообщения, содержащие провокационные или оскорбительные высказывания, дискриминирующие по различным признакам: полу, национальной и расовой принадлежности, возрасту, сексуальной ориентации, религиозным верованиям, политическим взглядам и происхождению;
• осуществлять передачу материалов, содержание которых нарушает действующее законодательство Российской Федерации;
• создавать и распространять почтовые сообщения, содержащие материалы развлекательного характера;
• осуществлять массовые рассылки почтовых сообщений, кроме случаев действительной служебной необходимости, количество получателей рассылки не может превышать 50 адресатов;
• осуществлять передачу информации в зашифрованном виде, в том числе в виде зашифрованных вложений;
• осуществлять передачу информации, содержащей сведения конфиденциального характера;
• осуществлять передачу корпоративной информации на внешние почтовые адреса без письменного согласия руководителя структурного подразделения организации.

Передача информации, содержащей сведения конфиденциального характера, допускается только в зашифрованном виде [2]. Шифрование должно осуществляться сертифицированными ФСБ России средствами криптографической защиты информации: на прикладном уровне – с использованием механизмов шифрования почтовых клиентов или на канальном уровне – средствами сетевого оборудования (создание защищённого канала передачи данных).