Размещено на http://www.allbest.ru/

Негосударственное образовательное учреждение

высшего профессионального образования

Московский институт энергобезопасности и энергосбережения

Реферат

Тема: Информационная безопасность в энергетике

Студент: Хамидулин.Ш.Р

Отдельные группы: БЭоз-11 (1к 1с)

Москва 2012

План

1. Понятие и сущность информационной безопасности

2. Информационная безопасность в энергетике

1. Понятие и сущность информационной безопасности

Во всех составляющих национальной безопасности - политической, экономической, военной, энергетической, правоохранительной, экологической и другой - вес информационных факторов непрерывно растет. Качество информации, ее достоверность, своевременность и полнота определяют не только правильность принимаемых решений органами власти и управления. Но и информационно-психологические воздействия, реализуемые через СМИ, могут создать атмосферу напряженности и политической нестабильности в обществе, спровоцировать социальные, национальные, религиозные конфликты и массовые беспорядки, привести тем самым к разрушительным последствиям для демократического развития страны. Незаконное использование, хищение или искажение деловой (банковской, коммерческой, статистической) информации неизбежно ведет к тяжелым экономическим потерям. Информационные воздействия оказывают решающее влияние на процессы образования, формирования личности, ее духовного мира и могут вызвать неадекватное социальное или криминальное поведение групп людей и отдельных лиц, нанести физический, материальный, моральный ущерб гражданам. Именно поэтому национальная безопасность страны существенным образом зависит от обеспечения информационной безопасности (ИБ), причем в ходе технического прогресса эта зависимость будет еще более возрастать. Все это заставляет с особым вниманием отнестись к угрозам национальной безопасности, осуществляемым в информационной сфере, глобальным проблемам обеспечения безопасности информации теми способами и методами, которые имеются в распоряжении права.

Понятие "безопасность" непосредственно связано с другими определениями, - такими, как: "интересы", "угроза", "опасность", "защита" и т.д. Некоторые эксперты представляют безопасность как систему гарантий защиты жизненно важных интересов государства, общества и личности внутри и вне страны. Она может проявляться на различных уровнях: мирового сообщества, региона, отдельного государства, социальной общности и личности. Говоря о безопасности того или иного объекта, имеется в виду защищенность жизненно важных интересов данного объекта от внешних и внутренних угроз. Следуя этой логике, он дает следующее определение понятия "информационная безопасность": "информационная безопасность - это защищенность жизненно важных интересов личности, общества и государства в информационной сфере от внутренних и внешних угроз. Информационная сфера становится не только важнейшей сферой международного сотрудничества, но и объектом соперничества. Проблемы в сфере информационных отношений, формирования информационных ресурсов и пользования ими обостряются вследствие политического и экономического противоборства различных государств, имеющего место информационного неравенства.

2. Информационная безопасность в энергетике

Сегмент электроэнергетики всегда был достаточно крупным на рынке информационной безопасности (ИБ), что раньше обусловливалось прежде всего повышенным вниманием руководства РАО ЕЭС к данному вопросу и трансляцией своей позиции директивным методом подведомственным предприятиям. На стыке 2008-2009 гг. отрасль подверглась влиянию сразу нескольких внешних факторов, в дальнейшем изменивших основные драйверы ИБ в организациях. И что самое интересное, мировой финансовый кризис оказался далеко не на первом месте по значимости.

Первым таким фактором стала реорганизация РАО ЕЭС. В первую очередь реорганизация повлияла на децентрализацию центров принятия решений. Раньше РАО ЕЭС выступало в качестве основного отраслевого регулятора, который формировал общее понимание концепции ИБ в энергетике и имел все рычаги воздействия для достижения ее реализации. Теперь же единственным регулятором осталось Минэнерго, с гораздо меньшей степенью самомотивации к решению этих вопросов и с большей инертностью, как любое государственное ведомство. Поэтому центры формирования стратегии ИБ постепенно передвинулись на места и таким образом, с одной стороны, стали "ближе к народу", а с другой - привели к сильному разночтению в понимании проблем обеспечения ИБ.

Другим фактором явился Закон № 152-ФЗ "О персональных данных", точнее, даже не сам закон, принятый еще в 2006 г., а сроки приведения информационных систем персональных данных в соответствие с ним. Как ни странно, но компании в секторе электроэнергетики, хотя и обрабатывающие персональные данные преимущественно только собственных работников, тем не менее быстрее всех среагировали на выполнение требований закона, не дожидаясь переносов сроков, изменений нормативных документов, и вообще оказались в стороне от жарких дискуссий по этим вопросам. Это связано с тем, что большинство организаций в электроэнергетике являются компаниями публичными, акции которых котируются на биржах и для которых вопросы любого соответствия требованиям регуляторов могут отражаться на стоимости их акций. Как следствие, компании энергетического сектора проявили высокую сознательность в выполнении требований по приведению своих информационных систем в соответствие с требованиями Закона "О персональных данных".

Дополнительным стимулом развития ИБ в энергетических компаниях можно считать Федеральный закон № 224-ФЗ "О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации", который предъявляет требования к порядку использования и защиты инсайдерской информации.

Еще один важный фактор - развитие угроз в сфере безопасности критических инфраструктур. В этой сфере произошли сразу несколько событий, как внутренних, так и международного масштаба. Это и страшная трагедия на Саяно-Шушенской ГЭС, и обнаружение вредоносного кода stuxnet на Бушерской АЭС в Иране и т. д. Анализ динамики показателей с 2007 г. отчета Global Risks, который ежегодно готовится в рамках Всемирного экономического форума, свидетельствует о том, что риск безопасности критических инфраструктур занимает одно из самых высоких мест по шкале "критичность последствий". Все это стало причиной того, что в Минэнерго приступили к формированию требований по обеспечению безопасности АСУ ТП, и в достаточно короткие сроки был подготовлен Федеральный закон от 21 июля 2011 г. № 256-ФЗ "О безопасности объектов топливно-энергетического комплекса", ст. 11 которого напрямую обязывает организации ТЭК создавать системы защиты информации. А Федеральным законом № 257-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения безопасности объектов топливно-энергетического комплекса" была введена дополнительная ответственность.

Таким образом, основным движущим фактором развития проектов ИБ на предприятиях электроэнергетики является необходимость обеспечения безопасности:

· информационных систем персональных данных;

· информационных систем критических инфраструктур;

· инсайдерской информации

Выполнение этих требований и определяет выбор основных решений ИБ, внедряемых в проектах ИБ предприятий электроэнергетики.

Вполне логично, что самой массовой услугой стал аудит. С одной стороны, без аудита достаточно сложно проверить полноту реализации требований закона "О персональных данных", с другой - рекомендации о проведении оценки актуальных угроз были сформулированы рабочей группой Минэнерго в рамках выработки мер по повышению безопасности критических инфраструктур.

Все информационные системы энергетических компаний направлены на обеспечение основной задачи - бесперебойной генерации и своевременной доставки электроэнергии потребителям. Поэтому главная задача ИБ - обеспечение в первую очередь ДОСТУПНОСТИ информации. Вопросы целостности и конфиденциальности вторичны, ничто не должно воспрепятствовать технологическому процессу.

Если говорить об обеспечении ИБ непосредственно самих АСУ ТП, то необходимо отметить, что, несмотря на важность данного вопроса, внимания ему уделялось меньше, чем безопасности тех же ИСПДн. Связано это, во-первых, с отсутствием контролирующей функции со стороны государственных регуляторов, во-вторых, с тем, что ИБ АСУ ТП всегда рассматривается в комплексе общих мер по обеспечению безопасности критически важных объектов, в котором гораздо больше внимания уделяется физической и технической безопасности. Отчасти это обусловлено и тем фактом, что реализации угроз именно информационной безопасности на критических объектах в нашей стране пока, к счастью, не происходило и риски являются невысокими по вероятности, хотя крайне критичными по последствиям. Точных данных по оценке ИБ рисков для критических объектов нет, но вряд ли они превышают показатели общих рисков разрушения критических инфраструктур

Проводимые по заказу разных энергетических компаний многочисленные тесты на проникновение с целью анализа защищенности информационных систем действительно показали наличие серьезных уязвимостей в АСУ ТП, позволяющих реализовать угрозы информационной безопасности. Поэтому данная тема активно развивается, особенно в свете выхода федеральных законов № 256-ФЗ и № 257-ФЗ, а также возрастающей активности Минэнерго в этом направлении. Однако решение проблемы управления рисками ИБ в компаниях энергетического сектора пока находится в начальной стадии развития, хотя уже достаточно активного.

Ну и в заключение - о влиянии мирового финансового кризиса. Можно сказать, что он практически не отразился на финансировании ИБ проектов в энергетических компаниях. И если у каких-то заказчиков и происходило урезание или, наоборот, увеличение бюджетов на информационную безопасность, связано это было исключительно с внутренними процессами в организации. В принципе, на предприятиях нет единой модели бюджетирования и формирования политики информационной безопасности только службами ИТ или только службами безопасности. В разных компаниях эти функции могут "плавать" от одной к другой, как и управление бюджетами. Однако в свете последних тенденций повышения безопасности на предприятиях критических инфраструктур идет планомерная работа по концентрации вопросов информационной безопасности в отдельно выделенных структурах. К примеру, даже когда отдел информационной безопасности входит в структуру ИТ службы, политику ИБ определяет заместитель директора по безопасности, должность которого постепенно и повсеместно начинают вводить во многих компаниях и филиалах. Таким образом, тренд разделения ИБ и ИТ наблюдается во многих компаниях энергетического сектора.

банковский коммерческий информация безопасность

Заключение

Подводя итоги, можно смело сказать, что сегмент электроэнергетики еще долго будет одним из самых интересных и "лакомых" с точки зрения внедрения решений информационной безопасности. Основанием этому будут служить неутешительные прогнозы по возрастанию рисков для объектов критических инфраструктур, а также возникающие тренды усиления государственного регулирования вопросов безопасности на подобных объектах.

Размещено на Allbest.ru