Информационная безопасность

GRI 3-3

Обеспечение информационной безопасности остается одной из приоритетных задач для ОАО «РЖД». В течение отчетного года в отношении Компании действовал установленный Советом Безопасности Российской Федерации критический уровень опасности проведения целевых компьютерных атак на информационную инфраструктуру Российской Федерации.

В Компании выстроена комплексная система правовых, организационных и технических мер по обеспечению информационной безопасности: утверждены стандарт СТО РЖД 18.002‑2024 «Управление информационной безопасностью. Основные положения»Утвержден распоряжением ОАО «РЖД от 09.04.2024 №  906/р. и Политика информационной безопасности ОАО «РЖД»Утверждена распоряжением ОАО «РЖД» от 17.12.2024 № 3159/р..

В целях совершенствования контроля за соблюдением режима защиты персональных данных в рамках риск‑ориентированного подхода с учетом изменений в нормативном правовом регулировании данной сферы проведена работа по актуализации следующих нормативных документов Компании:

  • Положение о контроле за соблюдением режима защиты персональных данных в ОАО «РЖД»Утверждено распоряжением ОАО «РЖД» от 07.03.2024 № 615/р.;
  • Перечень целей обработки персональных данных в ОАО «РЖД», состава персональных данных и категорий субъектов персональных данныхУтвержден приказом ОАО «РЖД» от 20.10.2023 № 72 (в ред. приказа ОАО «РЖД» от 25.10.2024 № 75).;
  • формы Паспорта оператора персональных данныхУтверждена распоряжением ОАО «РЖД» от 24.07.2024 № 1781/р..

В 2024 году ландшафт киберугроз претерпел существенные изменения, общее количество компьютерных атак на информационную инфраструктуру ОАО «РЖД» снизилось по сравнению с 2023 годом на 34 % и составило в абсолютном исчислении 3 110 403 зафиксированные и нейтрализованные компьютерные атаки. Количество целевых и технологически подготовленных атак на внешний периметр информационной инфраструктуры в 2024 году увеличилось и составило свыше 600 тыс. (+1,2 % к общему количеству за 2023 год). При этом в общей структуре атак превалировали распределенные атаки, направленные на отказ в обслуживании (так называемые DDoS‑атаки), попытки внедрения вредоносного кода на сайтах и заражений вредоносным программным обеспечением рабочих станций, а более половины атак (46,2 %) составили попытки сканирования информационной инфраструктуры ОАО «РЖД» с целью выявления и эксплуатации уязвимостей. Средствами мониторинга информационной безопасности такие попытки своевременно выявлялись и нейтрализовывались.

С помощью комплексного решения по мониторингу цифровых рисков заблокировано 11 фишинговых интернет‑ресурсов, в Московскую межрегиональную транспортную прокуратуру и ФСБ России дополнительно направлены запросы о блокировке 142 информационных ресурсов экстремистской направленности. В электронной почтовой системе ОАО «РЖД» реализована защита от спама, вредоносных писем, а также антивирусная проверка вложений, с использованием которой было выявлено и заблокировано за 2024 год более 2 млн электронных писем. Создан специализированный почтовый ящик, на который любой работник ОАО «РЖД» может направлять подозрительное почтовое сообщение для проверки.

С учетом значимости осуществления бесперебойного перевозочного процесса одним из приоритетных направлений работы являлось обеспечение безопасности объектов критической информационной инфраструктуры ОАО «РЖД».

По итогам 2024 года в ОАО «РЖД» категорированы 373 объекта критической информационной инфраструктуры, включая 21 значимый объект, мероприятия по обеспечению безопасности которых выполняются в полном соответствии с требованиями действующих нормативных документов.

Риски в сфере информационной безопасности

Нарушение таких свойств безопасности информации, как конфиденциальность, целостность, доступность, достоверность и другие, может привести, в частности, к таким последствиям:

  • нарушение функционирования корпоративных систем, влияющих на производственную деятельность, значимых объектов критической информационной инфраструктуры;
  • разглашение сведений, составляющих коммерческую тайну и другие виды тайн;
  • нарушение целостности финансовой документации;
  • несанкционированный доступ к персональным данным работников и клиентов;
  • прямые и косвенные финансовые потери.

В качестве основных факторов рисков, связанных с информационной безопасностью в информационной инфраструктуре ОАО «РЖД», рассматриваются не только действия третьих лиц, направленные на несанкционированный доступ к информации ОАО «РЖД» и его контрагентов, в том числе целенаправленные хакерские и вирусные атаки, но и внутренние факторы, связанные с действиями работников и инструментарием по анализу и корреляции событий информационной безопасности.

Основные мероприятия по обеспечению информационной безопасности ОАО «РЖД»:

  • классификация, категорирование систем ОАО «РЖД», моделирование угроз безопасности информации, формирование требований по защите информации;
  • взвешенный подход к организации элементов информационной инфраструктуры ОАО «РЖД» с учетом необходимости обеспечения безопасности информации;
  • проектирование и внедрение в информационную инфраструктуру ОАО «РЖД» централизованных средств защиты информации и частных подсистем защиты информации, аттестация систем по требованиям защиты информации;
  • организация работ по анализу и контролю защищенности информационной инфраструктуры;
  • организация подготовки персонала ОАО «РЖД» по вопросам защиты информации;
  • поддержание информационной безопасности систем ОАО «РЖД» в процессе эксплуатации, мониторинг и реагирование на инциденты информационной безопасности;
  • проведение служебных расследований по фактам компьютерных инцидентов информационной безопасности и разглашения конфиденциальной информации ОАО «РЖД»;
  • совершенствование нормативной и методической базы ОАО «РЖД» в области информационной безопасности.
Поезд