Р Газпром 4.2-0-002-2009 Типовая политика информационной безопасности информационно-управляющей системы производственно-хозяйственной деятельности. Газпром информационная безопасность
Отраслевые стандарты по информационной безопасности (Газпром)
17 Окт 2010, Алексей Марков
Межкорпоративные стандарты по информационной безопасности ОАО «Газпром» (октябрь 2010 г.)
СТО Газпром 4.2-0-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Документы системыСТО Газпром 4.2-0-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Правила изложения, оформления, обозначения документов в области стандартизацииСТО Газпром 4.2-0-003-2009 Система обеспечения информационной безопасности ОАО «Газпром». Общие положенияСТО Газпром 4.2-0-004-2009 Система обеспечения информационной безопасности ОАО «Газпром». Базовая модель информационной безопасности корпоративных информационно-управляющих системСТО Газпром 4.2-1-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Основные термины и определенияСТО Газпром 4.2-2-001-2010 Система обеспечения информационной безопасности ОАО «Газпром». Требования к информационно-управляющим системам предприятияСТО Газпром 4.2-2-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Требования к автоматизированным системам управления технологическими процессамиСТО Газпром 4.2-2-003-2010 Система обеспечения информационной безопасности ОАО «Газпром». Требования по защите от подделок документов на бумажных носителяхСТО Газпром 4.2-3-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Руководство по разработке требований к объектам защитыСТО Газпром 4.2-3-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Требования по технической защите информации при использовании информационных технологийСТО Газпром 4.2-3-003-2009 Система обеспечения информационной безопасности ОАО «Газпром». Анализ и оценка рисковСТО Газпром 4.2-3-004-2009 Система обеспечения информационной безопасности ОАО «Газпром». Классификация объектов защитыСТО Газпром 4.2-5-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Оценка соответствия объектов защиты.
Рекомендации по испытаниям
Р Газпром 4.2-5-003-2009 Система обеспечения информационной безопасности ОАО «Газпром». Методика испытаний средств и систем обеспечения безопасности информационных технологийР Газпром 4.2-5-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Методика сертификационных испытаний автоматизированных систем управления технологическими процессамиР Газпром 4.2-5-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Методика сертификационных испытаний информационно-управляющих систем предприятия
Рекомендации по защите персональных данных (ожидаемые к концу года)
Р Газпром 4.2-3-001-2010 Система обеспечения информационной безопасности ОАО «Газпром». Методика проведения классификации информационных систем персональных данных ОАО «Газпром», его дочерних обществ и организацийР Газпром 4.2-0-005-2010 Система обеспечения информационной безопасности ОАО «Газпром». Модель угроз персональным данным при их обработке в информационных системах персональных данных ОАО «Газпром», его дочерних обществ и организаций
Possibly Related Posts:
Эксперт сообщества Алексей Марков
Канд.техн.наук, ст.науч.сотр., CISSP, SBCI, доцент каф. ИБ МГТУ им.Н.Э.Баумана
Рубрика: Cтандарты. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.
s3r.ru
Р Газпром 2-2.3-322-2009 | Рекомендации по ультразвуковому контролю качества сварных соединений газопроводов и дефектных участков | скачать |
Р Газпром 2-2.3-352-2009 | Рекомендации по режимам подогрева при выполнении сварочных работ на газопроводах, находящихся под давлением | скачать |
Р Газпром 2-2.3-401-2009 | Оптимизация диагностического обследования и поддержания работоспособного состояния ЛЧМГ | скачать |
Р Газпром 2-3.3-303-2009 | Руководство по исследованию природных газоконденсатных систем с целью подсчета балансовых и извлекаемых запасов компонентов природного газа, проектирования, анализа и контроля за разработкой месторождений ОАО Газпром | скачать |
Р Газпром 2-3.5-364-2009 | Инструкция по изготовлению отводов холодного гнутья из труб диаметром 1420 мм | скачать |
Р Газпром 4.1-3-001-2009 | Методика контроля состояния защищенности объектов ОАО Газпром, оснащенных комплексами инженерно-технических средств охраны | скачать |
Р Газпром 4.2-0-001-2009 | Типовая политика информационной безопасности дочернего общества | скачать |
Р Газпром 4.2-0-002-2009 | Типовая политика информационной безопасности информационно управляющей системы производственно- хозяйственной деятельности | скачать |
Р Газпром 4.2-0-003-2009 | Типовая политика информационной безопасности автоматизированной системы управления технологическими процессами | скачать |
Р Газпром 4.2-0-004-2009 |
| скачать |
Р Газпром 4.2-2-001-2009 | Технические требования к обеспечению информационной безопасности в беспроводных сетях, развертываемых на объектах Газпром | скачать |
Р Газпром 4.2-2-002-2009 | Технические требования к системе защиты информации центрального вычислительного комплекса ИВС администрации ОАО Газпром | скачать |
Р Газпром 4.2-5-001-2009 | Методика сертификационных испытаний информационно-управляющих систем предприятия | скачать |
Р Газпром 4.2-5-002-2009 | Методика сертификационных испытаний автоматизированных систем управления технологическими процессами | скачать |
Р Газпром 4.2-5-003-2009 | Методика испытаний средств и систем обеспечения безопасности информационных технологий | скачать |
Р Газпром 5.4-2009 | Обеспечение единства измерений. правила по установлению номенклатуры средств измерений, подлежащих поверке | скачать |
Р Газпром 5.5-2009 | Обеспечение единства измерений. схемы калибровочные локальные. порядок разработки, согласования и утверждения | скачать |
Р Газпром 5.7-2009 | Методический материал по практическому применению ГОСТов | скачать |
Р Газпром 9.2-005-2009 | Критерии защищенности от коррозии для участков газопроводов, проложенных в высокоомных грунтах | скачать |
Р Газпром 9.4-006-2009 | Защита коррозии. Инструкция по электрометрическому обследованию подземных технологических трубопроводов компрессорных станций | скачать |
Р Газпром 057-2009 | Определение экономической целесообразности проведения мероприятий по диагностированию газораспределительных сетей и ГРП | скачать |
Р Газпром 058-2009 | Оценка эффективности реализации проектов реконструкции | скачать |
Р Газпром 059-2009 | Газораспределительные системы. Рекомендации по легализации бесхозяйных газопроводов и сооружений на них | скачать |
Р Газпром 066-2009 | Методические рекомендации по определению стоимости энергетических обследований (аудитов) | скачать |
ch4gaz.ru
«Информационная безопасность АСУ ТП – это всегда затратная часть для бизнеса…»
Сегодня мы беседуем с Дмитрием Латышевым, начальником отдела защиты информации ООО «Автоматика-сервис» (ГК Газпром нефть).
– Расскажите, пожалуйста, чем занимается Ваше предприятие?
«Автоматика-сервис» входит в группу компаний «Газпром нефть» и оказывает сервисные услуги в части АСУ ТП всем дочерним организациям группы компаний. Политика нашего Корпоративного центра направлена на то, чтобы оказание услуг осталось внутри периметра. В частности мое подразделение занимается защитой информации непосредственно «Автоматика-сервис» и обеспечением информационной безопасности систем промышленной автоматизации в рамках оказания услуг: в зону нашей ответственности входят проектирование, сервис, консалтинг и развитие этих направлений.
– Есть ли в Вашей компании классификация АСУ ТП?
Да, в соответствии с требованиями нормативных документов и методик, на первом этапе наше подразделение проводит классификацию систем по принципу критичности и важности. Решение об использовании мер защиты принимается исходя из установленного класса или категории объекта. Основная цель – это формирование адекватной системы обеспечения информационной безопасности.
– Давайте уточним, что мы будем считать АСУ ТП?
Существует общепринятое понятие, объединяющее в термин «АСУ ТП» персонал и технические средства автоматизации, так называемый человеко-машинный интерфейс. Я думаю, что вопрос с терминологией актуален для всех, кто занимается обеспечением информационной безопасности АСУ ТП. Специалисты, которые создают и эксплуатируют непосредственно АСУ ТП, относят к этому понятию вполне конкретные системы, в частности, систему автоматизированного управления технологическим процессом в рамках определенной технологической установки. При обеспечении ИБ мы рассматриваем АСУ ТП немного шире. К этому понятию мы относим также SCADA-, MES-системы и другие инструменты, способные оказывать воздействие на ее работу. Для нас АСУ ТП – это все, что управляется и контролируется технологическим процессом до момента передачи данных в корпоративную сеть.
– Насколько, на Ваш взгляд, тема защиты АСУ ТП актуальна сегодня?
Считаю, что более чем… Сейчас только в передаче «Спокойной ночи, малыши» не рассказывают о кибератаках и кибероружии (смеется). Об актуальности данной темы говорит и современная политика. Уже сейчас часть боевых действий ведется не только с помощью танков и ракет, в них используется политическое и экономическое давление, в том числе с использованием нелегальных групп хакеров и анонимных групп несуществующих подразделений, которые дестабилизируют обстановку либо пытаются нанести существенный экономический вред государству. Наша задача – обеспечить ИБ АСУ ТП на крупных экономикообразующих предприятиях, сбой в работе которых может привести к катастрофе. Конечно, чтобы выстроить грамотную защиту, в первую очередь нам нужно оценить потенциальных нарушителей. Отдельный злоумышленник, который преследует только цели наживы, – это одно дело, и совсем другое – группа высококвалифицированных хакеров, действующая в интересах какого-то государства. Защищаться нужно и от тех, и от других, но уровень угроз, связанный с их деятельностью, будет несопоставим.
– Что Вы понимаете под термином «информационная безопасность АСУ ТП»?
Как и в любом процессе, в обеспечении информационной безопасности АСУ ТП сначала формируется нормативная база. На данный момент выпущено достаточно много регламентирующих документов государственными регуляторами, например, ФСТЭК, а также компаниями, перед которыми стоит задача по обеспечению ИБ АСУ ТП. В нашем случае Корпоративный центр Газпром нефть издал ряд нормативных документов, регламентирующих деятельность в данном направлении. На сегодняшний день камнем преткновения является формирование единой терминологии. Я считаю крайне важным, чтобы регуляторы, специалисты по ИБ и бизнес-структуры начали говорить на одном языке. Для этого необходимо создать единую понятийную базу, описывающую то, что конкретно мы защищаем. В контексте тех документов, которые существуют, информационная система – это система, выдающая ответы на определенные запросы, автоматизированная система – это система, обеспечивающая технологический процесс по определенным параметрам. Применительно к деятельности нашего подразделения эти определения немного модифицированы: для меня и для моих коллег автоматизированные системы – это системы, управляющие предприятием и технологическими процессами.
Всем известны три принципа ИБ: конфиденциальность, целостность и доступность. В производственном процессе конфиденциальность стоит на последнем месте, в технологической сети обычно конфиденциальной информации нет или ее не так много. А вот доступность и целостность систем принципиально важны. Мы параллельно движемся сразу в нескольких направлениях. С одной стороны, перед нами стоит задача сформировать нормативную базу, организовать процесс защиты информации и создать определенную систему управления ИБ на предприятиях для предотвращения аварий и катастроф, вызванных киберугрозами, с другой – противодействовать хищениям, мошенничеству или коррупции. Работа, лежащая в этой плоскости, более понятна, так как она применяется локально в каждой конкретной системе и даже подсистеме.
– Какие задачи Вы перед собой ставите?
По большому счету в группе компаний подразделения корпоративной защиты есть во всех дочерних обществах. Сейчас их работа построена прецедентно: сложилась определенная ситуация, они решили, как на нее реагировать; возникла следующая, они думают, как с ней бороться. Для примера: проехала машина там, где не нужно, – установили шлагбаум; сотрудники что-то выносят – поставили камеры. Нам в рамках оказания сервисных услуг необходимо подхватить то, что уже сейчас делается, при этом наращивая свой контроль над системами с целью минимизации рисков. При этом мы видим, что подходы у каждого дочернего общества свои, и мы, имея полномочия Центра компетенций по ИБ АСУ ТП группы компаний, хотим построить оптимальную систему, которую в дальнейшем можно будет тиражировать и масштабировать. Корректировка этой системы будет осуществляться за счет обратной связи с подразделениями.
– Вы можете привести какой-то яркий пример, демонстрирующий важность обеспечения информационной безопасности АСУ ТП?
В нашей работе лучше обходиться без таких примеров – обычно все, что запоминается, связано с авариями. Такие инциденты, конечно, редко становятся достоянием общественности, потому что ни одна компания не захочет рассказывать об этом публично, чтобы не потерять свой авторитет и не демонстрировать свои уязвимые места злоумышленникам. Мне сложно описать конкретный случай. Если не говорить о масштабных происшествиях, могу привести пример массовых рассылок, где для доставки вируса на рабочую станцию сотрудника злоумышленники используют социальную инженерию. Например, для конкретного человека формируется письмо со «зловредом» внутри, он воспринимает его как обычное сообщение. Если пользователь переходит по ссылке в письме, то шифруются все данные его компьютера. Такие прецеденты есть в корпоративных сетях, но им ничего не мешает появиться и в АСУ ТП.
– Какой подход к защите АСУ ТП Вы сформировали для себя? Что необходимо сделать в первую очередь?
Если говорить о стратегии развития Центра компетенций, нашим приоритетным направлением является оказание сервисных услуг в соответствии с теми требованиями по информационной безопасности, которые уже сформулированы. Внутри подразделения мы строим сервисную модель оказания услуг по ИБ АСУ ТП. По мере того как будут выходить те или иные нормативные документы, мы постараемся максимально типизировать системы защиты. Кроме того, перед нами стоит задача систематизировать подходы к обеспечению информационной безопасности при проектировании и заниматься их дальнейшим развитием. Если говорить о конкретных шагах, в будущем наше подразделение должно будет оказывать услуги и по проектированию подсистем обеспечения информационной безопасности. Однако раздувать штат мы не можем, поскольку бизнес ориентируется на принцип «покажи мне доход, и я скажу, сколько мы можем на тебя потратить». Поэтому мы рассчитываем на те силы и средства, которыми сейчас располагаем. Если говорить о ближайших наших шагах, я вижу их такими:
- администрирование проектной деятельности;
- оценка потребностей предприятий в обеспечении ИБ АСУ ТП;
- повышение осведомленности специалистов по АСУ ТП;
- формирование и обслуживание систем мониторинга и контроля средств защиты.
В настоящее время мы применяем те решения, которые нам предлагают сторонние компании. Работая с разными компаниями, мы анализируем и стараемся систематизировать их подходы, типизировать те задачи, которые ставятся перед подрядными организациями. Возможно, в будущем какие-то работы мы будем брать на себя, увеличивая долю своего участия, но не все. В закрытых процессах всегда нужен «глоток свежего воздуха». Если обучать и выращивать специалистов только на наших предприятиях, полагаю, они не смогут обладать всем объемом экспертных знаний, чтобы оценивать ситуацию объективно и непредвзято, а содержать штатных аналитиков для нас нерентабельно. Мы не готовы тратить бюджеты на то, чтобы специалист, съездив в Японию или в США, констатировал, что в мире появился новый подход, и теперь нужно строить автоматизированную защиту на базе не двух, а трех рабочих мест. В этом случае нам проще обратиться к крупному интегратору.
– Можете ли Вы отметить отраслевую специфику по защите АСУ ТП?
Про отраслевую специфику говорить сложно, поскольку у нас даже внутри группы компаний «Газпром Нефть» есть различия: блок разведки и добычи, блок нефтепереработки и логистики. В чем тут принципиальная разница? В том, что нефть может добываться где угодно – и в тундре, и в Антарктиде. Защита небольших локальных предприятий, например, буровой вышки, ближе к физической защите. Тут необходимо предусмотреть меры, чтобы злоумышленник не мог проникнуть на объект. Совсем другое дело нефтеперерабатывающий завод, который находится в крупном населенном пункте. Очевидно, в зависимости от территориального расположения и выполняемых задач требования к защите будут разными. Если одна буровая остановится или на ней произойдет авария, вряд ли нанесенный ущерб будет сопоставим с аварией на нефтехимическом производстве, которое находится рядом или в черте населенного пункта. Последствия будут значительно масштабнее, однозначно эта ситуация опаснее.
Я думаю, специфика накладывает свой отпечаток на характер и объем выполняемых работ. В части информационной безопасности состав этих мер примерно везде схожий, различия кроются в целях защиты информационных сетей и технологических процессов, так как определены разные приоритеты, имеет место многофакторность угроз.
Одно дело защищать конфиденциальность информации в офисной сети, совсем другое предусмотреть защиту сервера с информацией от «человека с топором», который может физически его уничтожить. Я уже говорил, что для нас приоритетны доступность и целостность информации в технологической сети. А здесь – свои меры и средства защиты, отличные от предыдущих, но включающие и физическую защиту.
– Есть ли у Вас пожелания к отрасли и регуляторам?
Регуляторы на то и регуляторы, чтобы им доносить до нас свое видение. С позиции подразделения ИБ мне бы хотелось, чтобы документы, которые готовят представители регуляторов, носили больше директивный характер, а не только рекомендательный. Информационная безопасность – это всегда затратная часть для бизнеса. При этом постоянно возникает парадокс: хорошая безопасность – это, когда ее не видно, когда ничего не происходит, но в этой ситуации очень сложно убедить бизнес, что нужно именно сейчас вложить деньги, чтобы завтра ничего не произошло. Гораздо проще сказать: вот видите, вчера произошел инцидент – нам нужно защищаться. К сожалению, сегодня происходит именно так: только когда что-то происходит, выделяются средства на безопасность. Сейчас экономическим обоснованием, побуждающим бизнес заниматься темой ИБ, являются требования регуляторов. Возможно, пока бизнес не очень понимает, для чего конкретно нужна ИБ, но уже понимает, что заниматься ей нужно, а это вселяет оптимизм.
– Спасибо за беседу.
Вернуться к списку статейwww.jetinfo.ru
Управление информационной безопасностью (на примере ОАО газпром трансгаз Сургут)
n1.docx
АННОТАЦИЯЛобачев В.Н.
Научный руководитель:
Бакша Н.В.УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Актуальность темы дипломной работы определяется возросшим уровнем проблем информационной безопасности даже в условиях стремительного роста технологий и инструментальной базы для защиты данных. Невозможно обеспечить стопроцентный уровень защиты корпоративных информационных систем, при этом корректно расставляя приоритеты в задачах по защите данных в условиях ограниченности доли бюджета, направленной на информационные технологии.
Цель работы оценить существующий в организации уровень информационной безопасности и разработать рекомендации по совершенствованию системы информационной безопасности ОАО «Газпром»
В ходе работы были изучены теоретические аспекты понятия информационная безопасность.
В дипломной работе проведен анализ деятельности и информационной безопасности ОАО «Газпром» На основе анализа были выявлены основные недочеты политики информационной безопасности, предложены мероприятия по их устранению, а также для повышения степени защиты информации.
Общий объем работы составляет страниц. Список использованной литературы включает источников.
ANNOTATION
Lobachev V.N.
Scientific supervisor:
Baksh N.V.
Information Security Management
Relevance of the topic thesis determined the increased level of information security issues, even in the face of rapid growth in technology and instrumentation for data protection. It is impossible to provide one hundred percent protection of corporate information systems, and the correct setting priorities in the tasks of data protection in a limited portion of the budget, aimed at information technology.
The purpose of the organization to assess the current level of information security and to develop recommendations to improve the security of OAO "Gazprom"
During the studied theoretical aspects of the concept of information security.
In the research paper analyzes the activities and information security of OAO "Gazprom" Based on the analysis identified the major deficiencies of information security policy, proposed measures to address them, as well as to increase the security of information.
The total amount of work pages. References include sources.
perviydoc.ru
Р Газпром 4.2-0-002-2009 Типовая политика информационной безопасности информационно-управляющей системы производственно-хозяйственной деятельности [PDF]
- Файл формата pdf
- размером 110,42 КБ
- Добавлен пользователем GeoloGist 25.11.2013 09:43
- Отредактирован 25.11.2013 13:29
Разработка ООО «Газинформсервис», 2009 – 28 с. Рекомендации разработаны на основании Перечня программных мероприятий «Комплексной целевой программы на 2008–2010 годы по развитию системы обеспечения безопасности ОАО «Газпром» (пункт 8 подраздела 6.1.1) в целях обеспечения применения комплекса стандартов ОАО «Газпром» «Система обеспечения информационной безопасности ОАО «Газпром».Настоящие рекомендации предлагают единый подход дочерних обществ (организаций) ОАО «Газпром» к разработке политик информационной безопасности информационно-управляющих систем производственно&хозяйственной деятельности.Содержание:Область применения Нормативные ссылки Термины, определения и сокращенияОбщие положенияТиповое содержание Политики информационной безопасности информационно-управляющей системы производственно-хозяйственной деятельностиПриложение А (справочное) Примерный перечень документов, входящих в систему документов дочернего общества (организации) в части обеспечения информационной безопасности информационно-управляющей системы производственно-хозяйственной деятельности
- Чтобы скачать этот файл зарегистрируйтесь и/или войдите на сайт используя форму сверху.
- Регистрация
www.twirpx.com
