Добавить в коллекции Добавить в сохраненное
  1. Без категории

Регламент удаленного доступа разработчиков

реклама 
ОАО «Российские железные дороги»
УТВЕРЖДАЮ
Вице-президент ОАО «РЖД»
А.В.Илларионов
«____»_________ 2014г. №
РЕГЛАМЕНТ УДАЛЕННОГО ДОСТУПА РАЗРАБОТЧИКОВ
К АВТОМАТИЗИРОВАННЫМ СИСТЕМАМ ОАО «РЖД»
Начальник Департамента
Заместитель начальника
информатизации ОАО «РЖД»
Департамента безопасности ОАО «РЖД»
___________ А.А.Павловский
________________ А.П. Глухов
«___» __________2014 г.
«___» __________2014 г
2014
2
1
Назначение и область действия регламента
1.1 Настоящий Регламент определяет единый подход и принципы
осуществления политики информационной безопасности ОАО «РЖД» в области
защиты информации при удаленном доступе разработчиков в рамках единого
технологического процесса сопровождения и поддержки автоматизированных
систем управления ОАО «РЖД» (далее - АСУ ОАО «РЖД»).
1.2 Порядок реализации и требования к удаленному доступу разработчиков к
средствам (системам) удаленного мониторинга систем управления (организации)
движением поездов регламентируется отдельными документами.
1.3 Организацию удаленного доступа разработчиков осуществляют:
-
-
-
-
2
Функциональный заказчик автоматизированной системы (распорядитель
информационного ресурса) – организует предоставление удаленного
доступа разработчика к АСУ ОАО «РЖД»;
Департамент информатизации ОАО «РЖД» (ЦКИ) – утверждает схемы
подключения разработчиков к АСУ ОАО «РЖД»;
Департамент безопасности ОАО «РЖД» (ЦБЗ) – согласовывает
соглашения (договора) об электронном обмене данными и схемы
подключения разработчиков к АСУ ОАО «РЖД», осуществляет контроль
выполнения настоящего регламента;
Эксплуатирующая организация – Главный вычислительный центр (ГВЦ),
и ИВЦ или другое подразделение ОАО «РЖД», осуществляющее
координацию работ по эксплуатации АСУ ОАО «РЖД». Управление
удаленным доступом разработчиков осуществляется в ГВЦ;
Разработчик АСУ ОАО «РЖД» - филиал ОАО «РЖД» либо сторонняя
организация, в том числе дочернее или зависимое общество ОАО «РЖД»,
осуществляющая
разработку,
поддержку
и
технологическое
сопровождение автоматизированной системы ОАО «РЖД».
Термины, определения и сокращения
АС КДПУЗ
АС ОЗ
АСУ ОАО «РЖД»
ГВЦ
ЕСПП
ИБ
Автоматизированная система контроля доступа пользователей
с привилегированными учетными записями
Автоматизированная система оформления заявок на
предоставление доступа к информационным системам
ОАО «РЖД»
Автоматизированная система управления ОАО «РЖД»
Главный вычислительный центр - филиал ОАО «РЖД»
Единая система поддержки пользователей
Информационная безопасность
3
ИР
ПО
СКЗИ
ЦБЗ
ЦКИ
доверенный канал
передачи данных
Информационные ресурсы
Программное обеспечение
Средства криптографической защиты информации
Департамент безопасности ОАО «РЖД»
Департамент информатизации ОАО «РЖД»
канал связи между абонентами имеющий механизмы
проверки целостности, обеспечения конфиденциальности и
доступности передаваемой информации, либо
организационный процесс, обеспечивающий такие условия
передачи данных
комплексная смена Подразделение в ГВЦ, отвечающее за круглосуточный
ГВЦ
мониторинг и регистрацию инцидентов, оперативное
взаимодействие с администраторами, разработчиками и
функциональными заказчиками АСУ ОАО «РЖД»
3
Ссылки на нормативные документы
3.1 Настоящий регламент разработан на основании и с учетом следующих
документов:
– Распоряжение № 2546р от 28 ноября 2011 г. «О порядке предоставления
доступа к информационным системам ОАО «РЖД»;
– организационно-распорядительные документы АСУ ОАО «РЖД», к
которым осуществляется удаленный доступ разработчиков (регламенты
эксплуатации, регламенты организации сопровождения и другие
документы);
– «Общие требования безопасности, предъявляемые к подключаемым
информационным системам, являющимся потребителями персональных
данных, обрабатываемых в системах ОАО «РЖД» от 08 октября 2010 г.;
– Приказ директора ГВЦ ОАО «РЖД» №ГВЦ-120 от 28 марта 2014 г.
Данный перечень документов может расширяться и дополняться.
4
Общие положения по организации удаленного доступа разработчиков к
АСУ ОАО «РЖД»
4.1 Удаленный доступ разработчиков к АСУ ОАО «РЖД» должен
осуществляется через Автоматизированную систему контроля доступа
пользователей с привилегированными учетными записями (АС КДПУЗ).
4.2 Удаленный доступ к рабочим местам администраторов и пользователей АСУ
ОАО «РЖД» запрещен.
4.3 АСУ ОАО «РЖД» делятся на следующие виды:
‒ полигон разработки АСУ ОАО «РЖД» (включая лаборатории и стенды) –
программно-технический комплекс, предназначенный для проведения
4
проектно-изыскательных работ, в котором не производится обработка
производственной информации;
‒ тестовый полигон АСУ ОАО «РЖД» - программно-технический
комплекс,
предназначенный
для
проведения
тестирования
представляемых
разработчиком
новых
конфигураций
и
функциональностей перед их переносом в продуктивную АСУ
ОАО «РЖД», в котором не производится обработка производственной
информации;
‒ продуктивная АСУ ОАО «РЖД» (включая эмуляционные и тренажерные
комплексы с реальными данными) – основной производственный
комплекс, обеспечивающий конкретный технологический процесс или
группу процессов ОАО «РЖД», в котором производится обработка
производственной информации.
4.4 Продуктивные АСУ ОАО «РЖД» могут находиться на разных стадиях
внедрения: первичное развертывание АСУ ОАО «РЖД», опытная
эксплуатация, промышленная эксплуатация.
4.5 Удаленный доступ разработчиков к подключенным к СПД АСУ ОАО «РЖД»,
которые развернуты или эксплуатируются иными подразделениями
ОАО «РЖД», осуществляется в соответствии с требованиями данного
регламента.
4.6 Если подключение осуществляется к аттестованным по требованиям защиты
информации АСУ ОАО «РЖД», то требования по аттестации предъявляются
к подключаемым удаленным рабочим местам (сегментам выделенных
рабочих мест) разработчика. Требования по защите информации на рабочих
местах и в сегментах управления при удаленном доступе разработчиков к
аттестованным АСУ ОАО «РЖД» приведены в Приложении А. Перечень
документов, подтверждающих выполнение мероприятий по защите
информации при удаленном доступе разработчиков к аттестованным АСУ
ОАО «РЖД», приведен в Приложении Б.
4.7 Доступ к АСУ ОАО «РЖД» в рамках сопровождения разработчиками АСУ
ОАО «РЖД» осуществляется в соответствии со следующей ролевой моделью:
Тип удаленного доступа
Постоянный Временный
Вид АСУ
Полигон
разработки
Тестовый
полигон
Продуктивная
АСУ
Базовые меры защиты информации
Ограничение Регистрация Регистрация
прав доступа изменений
инцидентов
+
-
-
-
-
-
+
+
+
+
-
+
+
+
+
5
Удаленный доступ разработчиков к полигону разработки АСУ ОАО «РЖД»
допускается на весь период действия договора с ОАО «РЖД» с полными правами
на внесение изменений в среду разработки (системное и прикладное ПО) без
ограничений.
Удаленный доступ разработчиков к тестовому полигону и продуктивной
АСУ ОАО «РЖД» осуществляется только на период проведения работ по
согласованным изменениям в АСУ ЕСПП. При этом права доступа разработчика
должны быть ограничены только решаемыми задачами, все действия разработчика
должны фиксироваться в журналах аудита.
Возникшие в результате действий разработчика сбои, отказы, остановки
продуктивной АСУ ОАО «РЖД», повреждение (удаление, нештатное прекращение
функционирования) программного обеспечения и баз данных должны
фиксироваться и обрабатываться как инциденты или инфраструктурные инциденты
в АСУ ЕСПП в соответствии с процессом управления инцидентами. Утечка
информации, предоставление разработчику избыточных прав доступа,
несанкционированные действия разработчика, должны фиксироваться и
обрабатываться как инциденты информационной безопасности, в соответствии с
процессом управления инцидентами ИБ.
4.8 Удаленный доступ разработчикам предоставляется для решения следующих
задач обеспечения
функционирования автоматизированных систем
ОАО «РЖД»:
‒ сопровождение систем или прикладного программного обеспечения
систем в части авторской поддержки;
‒ разработка новых версий прикладного программного обеспечения и
программно-информационного обеспечения систем;
‒ тестирование новых версий программного обеспечения и перенос новых
версий на продуктивный полигон;
‒ мониторинг со стороны разработчика функционирования программного
обеспечения и оказание консультаций в ходе восстановления
автоматизированной системы при сбоях;
‒ выполнение других задач, находящихся в компетенции разработчиков, в
соответствии с запросами функциональных заказчиков.
5
Описание типового процесса организации удаленного доступа
разработчиков к АСУ ОАО «РЖД»
5.1 Типовой процесс сопровождения прикладного программного обеспечения
систем в части авторской поддержки, предполагающий необходимость удалённого
доступа разработчиков к АСУ ОАО «РЖД» включает следующие процедуры:
5.2 В части организации подключения:
‒ оформление разработчиком заявки на удаленный доступ в соответствии с
распоряжением № 2546р от 28 ноября 2011 г.;
6
5.3
5.4
‒ основанием для доступа к АСУ ОАО «РЖД» являются договора на
разработку (модификацию, адаптацию ПО), сопровождение ПО,
соглашение об электронном обмене данными (ЭОД);
‒ согласование соглашения об ЭОД, заявки и схемы подключения
причастными подразделениями ОАО «РЖД»;
‒ подключение в соответствии с оформленной заявкой, утвержденной
схемой подключения и техническими решениями узлов доступа, в том
числе с использованием сертифицированных средств криптографической
защиты информации (далее - СКЗИ);
‒ генерация в АС КДПУЗ учетных записей и матрицы доступа в
соответствии с оформленной заявкой в АС ОЗ;
В части организации тестирования и проведения изменений:
‒ подключение к тестовому полигону для тестирования новых версий
программного обеспечения АСУ ОАО «РЖД»;
‒ передача новых версий (обновлений) ПО и документации для установки в
продуктивную систему по доверенному каналу;
‒ санкционирование функциональным заказчиком АСУ ОАО «РЖД»
и(или) администратором АСУ либо комплексной сменой установки
полученных обновлений и доступа разработчиков к продуктивному
полигону для их установки и контроля функционирования ПО (если
обновления устанавливаются разработчиком) или для контроля
функционирования
ПО
после
установки
обновлений
ПО
администратором АСУ;
‒ установка разработчиком или администратором АСУ новых версий
(обновлений) ПО в продуктивном полигоне.
В части организации процесса оперативного сопровождения:
‒ обнаружение инцидента, требующего удаленного вмешательства
разработчика, комплексной сменой или локальным администратором;
‒ регистрация инцидента в АСУ ЕСПП;
‒ оповещение об инциденте разработчика;
‒ запрос по инциденту на открытие доступа к целевой АСУ;
‒ разрешение через АС КДПУЗ на временный доступ причастными
подразделениями ОАО «РЖД» (комплексная смена);
‒ выполнение работ по устранению проблемы разработчиком;
‒ контроль
выполненных
работ
причастными
подразделениями
ОАО «РЖД», отчет в АСУ ЕСПП;
‒ отключение от целевой АСУ посредством АС КДПУЗ;
7
6
Порядок регистрации изменений и инцидентов при удаленном доступе
разработчиков в производственные АСУ ОАО «РЖД»
6.1 Доступ к производственным АСУ ОАО «РЖД» предоставляется на период
проведения работ разработчиком в рамках отработки инцидентов или изменений,
зарегистрированных установленным порядком в АСУ ЕСПП;
6.2 В случае необходимости привлечения разработчика при установке
обновлений прикладного, обеспечивающего и клиентского программного
обеспечения на производственных АСУ ОАО «РЖД»:
‒ в подробном описании Изменения, созданного для установки обновлений
ПО, в обязательном порядке указывается информация о необходимости
предоставления доступа разработчику и временной интервал доступа к
АСУ;
‒ в АСУ ЕСПП регистрируется Запрос к разработчику (внешнему
поставщику - ВП) (от согласованного Изменения);
‒ регистрируется Наряд в АСУ ЕСПП (от согласованного Изменения) в
причастные подразделения ГВЦ(собственно)/ИВЦ для предоставления
доступа разработчику на период установки обновления. В наряде, в
обязательном порядке, указывается название компании разработчика, IPадреса объектов, к которым организуется доступ, порты доступа к
объектам, временной интервал доступа.
6.3 В период проведения работ обеспечивается и контролируется наличие
доступа разработчика к объектам сопровождения в заявленном временном
интервале и прекращение доступа по окончании работ, что является основанием
для перевода Наряда в статус «Выполнено».
6.4 В случае нештатной ситуации в функционировании АСУ ОАО «РЖД»
обеспечивается
оперативное
предоставление
доступа
разработчика
к
производственной АСУ ОАО «РЖД» на период устранения сбоя (с обязательным
указанием временного интервала) на основании зарегистрированного в АСУ ЕСПП
Инцидента. Окончательное оформление в АСУ ЕСПП Изменений и Нарядов
допускается после устранения сбойной ситуации.
6.5 При направлении Запросов к разработчику (ВП) в АСУ ЕСПП для получения
консультаций необходимо прилагать исчерпывающую информацию (логи,
скриншоты и т.д.). При этом доступ разработчика (ВП) к производственной АСУ
ОАО «РЖД» не предоставляется.
6.6 Для каждой системы в АСУ ЕСПП должны быть созданы Элементы
конфигурации (ЭК) подкатегории «программно-аппаратный комплекс», которые
связываются с ЭК подкатегорий «виртуальный комплекс» или «серверное
оборудование». В соответствующих полях ЭК должна быть заполнена справочная
информация
(IP-адреса,
используемые
порты,
продуктивный/тестовый
полигон/БД/сервер приложений).
8
6.7 Актуальность базы данных ЭК и их атрибутов должна поддерживаться
ответственными администраторами конкретной АСУ ОАО «РЖД».
7
Зоны ответственности при организации удаленного доступа
разработчиков к АСУ ОАО «РЖД»
7.1 Для реализации удаленного доступа стороны в зоне своей ответственности
должны обеспечить:
1) разработчик:
‒ организует выделенное рабочее место (выделенный сегмент рабочих мест)
для удаленного доступа;
‒ выполняет мероприятия по защите информации в соответствии с
требованиями настоящего регламента и согласованной схемы удаленного
доступа, в том числе настройку СКЗИ в зоне своей ответсвенности;
‒ при подключении к аттестованным по требованиям защиты информации
АСУ ОАО «РЖД» выполняет комплекс мероприятий по защите информации
и организует проведение аттестации по требованиям защиты информации
информационной системы (рабочих мест, выделенных сегментов рабочих
мест), из которых предполагается осуществлять удалённый доступ;
‒ представляет описание выполненных мероприятий функциональному
заказчику и в ЦБЗ (РЦБ).
2) эксплуатирующее подразделение:
‒ организует (выполняет) настройку средств защиты информации для
организации защищенного подключения к АСУ ОАО «РЖД» в зоне своей
ответственности;
‒ выполняет мероприятия по защите по защите информации в АСУ
ОАО «РЖД» в соответствии с требованиями настоящего регламента и
согласованной схемой удаленного доступа, в том числе:
‒ формирование правил
фильтрации
сетевого
трафика для
разработчиков, настройку средств межсетевого экранирования и
других средств защиты информации;
‒ создание учетных записей разработчиков в полигоне разработки,
тестовом полигоне АСУ ОАО «РЖД» и (при необходимости)
продуктивной АСУ ОАО «РЖД»;
‒ настройку мониторинга сетевых подключений, доступности серверов
и сервисов АСУ ОАО «РЖД»;
‒ регистрацию событий, связанных с удаленным доступом разработчика
к АСУ ОАО «РЖД»;
‒ определение режима доступа разработчика (круглосуточно, в рабочее
время, по расписанию и т.п.);
9
‒ настройку централизованной системы управления и контроля доступа
администраторов и разработчиков (АС КДПУЗ) для управления
доступом разработчиков.
3) Департамент безопасности (региональный центр безопасности) с
привлечением подразделений по защите информации ГВЦ (ИВЦ):
‒ организует контроль выполнения разработчиками и эксплуатирующими
подразделениями мер по защите информации;
‒ инициирует отключение разработчиков в случае выявления нарушений
условий удаленного доступа.
7.2 В случае получения разработчиком доступа к обрабатываемым в АСУ
персональным данным или коммерческой тайне ОАО «РЖД» разработчик
реализует комплекс мероприятий по защите информации.
8
Требования к содержанию договоров (соглашений) между разработчиком
и ОАО «РЖД»
8.1 Основанием для предоставления удаленного доступа разработчика к АСУ
ОАО «РЖД» является договор (соглашение) между разработчиком и ОАО «РЖД»
об электронном обмене данными (о сопровождении АСУ или программного
обеспечения АСУ).
8.2 Условия удаленного доступа разработчиков приводятся в договорах
(соглашениях) с ОАО «РЖД» и(или) в организационно-распорядительной
документации
(регламентах
подключения,
регламентах
сопровождения,
регламентах поддержки, руководствах по организации сопровождения и т.п.).
8.3 В договоре (соглашении) указываются задачи разработчика при удаленном
доступе, содержание передаваемой информации, порядок приостановления или
прекращения доступа к АСУ, а также следующие обязательства и ответственность
разработчика:
‒ обеспечивать
конфиденциальность
информации,
составляющей
коммерческую тайну ОАО «РЖД», ставшей известной разработчику при
реализации удаленного доступа к АСУ ОАО «РЖД»;
‒ выполнять мероприятия по обеспечению безопасности персональных
данных, обрабатываемых в АСУ ОАО «РЖД», полученных разработчиком
при реализации удаленного доступа к АСУ ОАО «РЖД»;
‒ выполнять периодический контроль эффективности принимаемых мер
защиты информации;
‒ не разглашать и не передавать информацию, составляющую коммерческую
тайну ОАО «РЖД», и/или персональные данные, обрабатываемые в АСУ
ОАО «РЖД», третьим лицам без письменного согласия ОАО «РЖД», за
исключением случаев, если разглашение и передача такой информации
требуется в соответствии с законодательством Российской Федерации и по
требованию уполномоченных органов государственной власти;
10
‒ незамедлительно сообщать ОАО «РЖД» о допущенном разработчиком либо
ставшем ему известным факте разглашения и/или передаче или об угрозе
разглашения и/или передачи, о незаконном получении или незаконном
использовании третьими лицами информации, составляющей коммерческую
тайну ОАО «РЖД» и персональных данных, обрабатываемых в АСУ
ОАО «РЖД»;
‒ возместить убытки ОАО «РЖД» в случае передачи и разглашения
разработчиком третьим лицам информации, составляющей коммерческую
тайну ОАО «РЖД», и персональных данных, обрабатываемых в АСУ
ОАО «РЖД», а также в других случаях нарушения разработчиком,
требований по защите информации;
‒ выполнить в подключаемой к АСУ ОАО «РЖД» информационной системе
разработчика мероприятия по защите информации, в том числе обеспечить
средства электронно-вычислительной техники разработчика средствами
защиты информации;
‒ предоставлять возможность проведения со стороны ОАО «РЖД» контроля
выполнения разработчиком требований настоящего регламента, в том числе
с использованием программно-технических и программных средств,
размещаемых (устанавливаемых) в выделенных сегментах локальной
вычислительной сети (ЛВС) и на рабочих местах разработчика.
8.4 Договор (соглашение) согласовываются с функциональным заказчиком АСУ
ОАО «РЖД», Департаментом безопасности и утверждается Департаментом
информатизации.
8.5 Департамент информатизации организует учет АСУ ОАО «РЖД», к которым
организован удаленный доступ разработчиков.
8.6 Департамент безопасности организует проведение контроля выполнения
настоящего регламента разработчиками, эксплуатирующими подразделениями и
функциональными заказчиками.
9
Требования к техническим мерам защиты информации при реализации
удаленного доступа разработчиков к АСУ ОАО «РЖД»
9.1 Принимаемые меры защиты информации при реализации удаленного
доступа разработчиков к АСУ ОАО «РЖД» должны быть направлены на
нейтрализацию угроз безопасности, возникающих при реализации различных схем
удаленного доступа, приведенных в настоящем Регламенте.
9.2 Основные
направления
реализации
мер
защиты
информации,
нейтрализующих угрозы безопасности информации при организации удаленного
доступа:
‒ организация безопасного физического хранения средств вычислительной
техники и машинных носителей информации разработчиков;
11
‒ организация защищенного хранения информации на средствах
вычислительной техники и машинных носителей разработчиков, в том
числе с применением средств криптографической защиты;
‒ применение средств антивирусной защиты информации;
‒ организация криптографической защиты информации при её передаче по
открытым каналам связи;
‒ применение механизмов взаимной аутентификации на устройствах
разработчиков и в АСУ;
‒ организация мониторинга и контроля удаленного доступа;
‒ должен быть исключен прямой удаленный доступ от имени
привилегированных учетных записей (администраторов) в продуктивные
АСУ ОАО «РЖД»;
‒ и другие.
9.3 Подключение разработчиков к СПД ОАО «РЖД» осуществляется с
использованием защищенного узла доступа (ЗУД) при подключении к сети ГВЦ
ОАО «РЖД» или защищенных узлов доступа к информационным системам
ОАО «РЖД» (УДИС) при подключении к сети ИВЦ. Типовая схема подключения
представлена на Рисунке 1.
Зона ответственности
компаний-разработчиков
Зона ответственности
ГВЦ ОАО «РЖД»
ЛВС
ЗУД/УДИС
АС КДПУЗ
ViPNet coordinator
Разработчик
Интернет
МЭ
МЭ
ViPNet coordinator
ViPNet client
СОА(СОВ)
СПД ОАО «РЖД»
ViPNet client
АСУ ОАО «РЖД»
Разработчик
АРМ Администратора
безопасности
Сбор
событий ИБ
Выделенный канал
МЭ
Разработчик
СОА (СОВ)
ОАО «РЖД»
Зашифрованный трафик
Открытый трафик
Рисунок 1 – Типовая схема удаленного доступа разработчиков к АСУ ОАО «РЖД»
12
9.4 Защита канала связи через сеть общего пользования Интернет
осуществляется сертифицированными средствами криптографической защиты
информации (ViPNet). В зависимости от масштаба АСУ ОАО «РЖД» и объема
работ, выполняемых разработчиком, подключение может быть организовано
следующими способами:
1) разработчик может иметь одно или несколько рабочих мест, оснащенных
ПО ViPNet client;
2) разработчик имеет большое количество рабочих мест, находящихся в
выделенном сегменте ЛВС разработчика, на границе которой установлен
ViPNet coordinator.
9.5 Удаленный доступ разработчиков к АСУ ОАО «РЖД» должен
осуществляться через АС КДПУЗ.
9.6 Защита периметра АСУ ОАО «РЖД» реализуется техническими средствами
ЗУД/УДИС (межсетевыми экранами (МЭ) и средствами обнаружения
компьютерных атак (системами обнаружения вторжений) (СОА/СОВ)).
Регистрация инцидентов ИБ осуществляется на основе сбора и анализа событий,
полученных от технических средств ЗУД/УДИС и АС КДПУЗ.
10 Порядок прекращения удаленного доступа разработчика к
АСУ ОАО «РЖД»
10.1 Продление права удаленного доступа разработчика к АСУ ОАО «РЖД»
осуществляется на основании своевременно оформленной и согласованной заявки
функционального заказчика в соответствии с настоящим Регламентом.
10.2 По окончании срока действия договора с разработчиком и в случае
отсутствия заявки от функционального заказчика о необходимости его
пролонгации удаленный доступ разработчика к АСУ ОАО «РЖД» должен быть
отключен.
10.3 Невыполнение разработчиками, эксплуатирующими подразделениями,
функциональными заказчиками АСУ ОАО «РЖД» обязанностей, изложенных в
настоящем регламенте, договорах (соглашениях) об электронном обмене данными,
схемах удаленного доступа является основанием для отключения разработчика от
АСУ ОАО «РЖД».
10.4 Решение об отключении разработчика также может быть принято на
основании выявленных нарушений политики информационной безопасности
ОАО «РЖД», зафиксированных техническими средствами эксплуатирующего
подразделения.
10.5 О принятом решении об отключении разработчика от АСУ ОАО «РЖД»
функциональный заказчик или (в случае выявления нарушений) Департамент
безопасности (региональный центр безопасности) уведомляет Главный
вычислительный центр и Разработчика не позднее следующего дня после принятия
13
решения об отключении от АСУ ОАО «РЖД». На основании этого сообщения
Главный вычислительный центр отключает разработчика от АСУ ОАО «РЖД».
Руководители подразделений, принявшие решение об отключении
разработчика от АСУ ОАО «РЖД», несут персональную ответственность за
несвоевременную передачу информации об этом в Главный вычислительный
центр, как создающую угрозу информационной безопасности ОАО «РЖД».
11 Порядок внесения изменений в Регламент
11.1 Порядок внесения изменений в Регламент определяется утвержденным
порядком внесения изменений в принятую ОАО «РЖД» нормативно-методическую
документацию.
11.2 Информация об изменениях в Регламенте должна быть донесена до всех
причастных руководителей подразделений и их сотрудников.
11.3 Должна быть предусмотрена следующая периодичность внесения изменений
в Регламент:
‒ плановое внесение изменений в Регламент должно проводиться не реже
одного раза в год по результатам применения настоящего регламента;
‒ внеплановое внесение изменений в Регламент выполняется при
изменении: правовых нормативных документов, состава участников,
требований к разработчикам, возникновении нештатных ситуаций,
связанных с выполнением регламента.
14
ПРИЛОЖЕНИЕ А
Требования по защите информации
на рабочих местах и в сегментах управления при удаленном доступе
разработчиков к аттестованным АСУ ОАО «РЖД»
Основные меры защиты информации при реализации удаленного доступа
разработчиков к АСУ должны включать:
1. Защита технических средств:
ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно
размещаются стационарные технические средства, обрабатывающие информацию,
и средства защиты информации, а также средства обеспечения функционирования;
ЗТС.3 Контроль и управление физическим доступом к техническим
средствам,
средствам
защиты
информации,
средствам
обеспечения
функционирования, а также в помещения и сооружения, в которых они
установлены, исключающие несанкционированный физический доступ к
средствам обработки информации, средствам защиты информации и средствам
обеспечения функционирования информационной системы и помещения и
сооружения, в которых они установлены;
ЗТС.4 Размещение устройств вывода (отображения)
исключающее ее несанкционированный просмотр.
информации,
2. Защита систем связи и передачи данных:
ЗИС.1 Разделение в информационной системе функций по управлению
(администрированию)
информационной
системой,
управлению
(администрированию) системой защиты информации, функций по обработке
информации и иных функций информационной системы;
ЗИС.3 Обеспечение защиты информации от раскрытия, модификации и
навязывания (ввода ложной информации) при ее передаче (подготовке к передаче)
по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе
беспроводным каналам связи;
ЗИС.4 Обеспечение доверенных канала, маршрута между администратором,
пользователем и средствами защиты информации (функциями безопасности
средств защиты информации);
ЗИС.11 Обеспечение подлинности сетевых соединений (сеансов
взаимодействия), в том числе для защиты от подмены сетевых устройств и
сервисов;
ЗИС.15 Защита архивных файлов, параметров настройки средств защиты
информации и программного обеспечения и иных данных, не подлежащих
изменению в процессе обработки информации;
15
ЗИС.20 Защита беспроводных соединений, применяемых в информационной
системе;
ЗИС.21 Исключение доступа пользователя к информации, возникшей в
результате действий предыдущего пользователя через реестры, оперативную
память, внешние запоминающие устройства и иные общие для пользователей
ресурсы информационной системы;
ЗИС.22 Защита информационной системы от угроз безопасности
информации, направленных на отказ в обслуживании информационной системы;
ЗИС.23 Защита периметра (физических и (или) логических границ)
информационной системы при ее взаимодействии с иными информационными
системами и информационно-телекоммуникационными сетями;
ЗИС.24 Прекращение сетевых соединений по их завершении или по
истечении заданного оператором временного интервала неактивности сетевого
соединения;
ЗИС.30 Защита мобильных
информационной системе.
технических
средств,
применяемых
в
3. Идентификация и аутентификация субъектов доступа и объектов доступа:
ИАФ.4 Управление средствами аутентификации, в том числе хранение
выдача, инициализация, блокирование средств аутентификации и принятие мер в
случае утраты и (или) компрометации средств аутентификации;
ИАФ.5 Защита обратной связи при вводе аутентификационной информации;
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся
работниками оператора (внешних пользователей).
4. Антивирусная защита:
АВЗ.1 Реализация антивирусной защиты;
АВЗ.2 Обновление базы данных признаков вредоносных компьютерных
программ (вирусов).
При реализации удаленного доступа разработчиков к аттестованным АСУ
ОАО «РЖД или сегментам аттестованных АСУ меры защиты информации
определяются в соответствии с классом аттестованной АСУ или сегмента
аттестованной АСУ. Перечень базовых мер для систем различных классов
защищенности приведен в Таблице А.1.
16
Таблица А.1. Перечень базовых мер для систем различных классов
защищенности
Условное Меры защиты информации в информационных системах
Классы защищенности
обозначен
информационной системы
ие и номер
4
3
2
1
меры
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ.1
Идентификация и аутентификация пользователей, являющихся
+
+
+
+
работниками оператора
ИАФ.2
Идентификация и аутентификация устройств, в том числе
+
+
стационарных, мобильных и портативных
ИАФ.3
Управление идентификаторами, в том числе создание, присвоение,
+
+
+
+
уничтожение идентификаторов
ИАФ.4
ИАФ.5
ИАФ.6
ИАФ.7
УПД.1
УПД.2
УПД.3
УПД.4
УПД.5
УПД.6
Управление средствами аутентификации, в том числе хранение,
выдача, инициализация, блокирование средств аутентификации и
принятие мер в случае утраты и (или) компрометации средств
аутентификации
Защита обратной связи при вводе аутентификационной
информации
Идентификация и аутентификация пользователей, не являющихся
работниками оператора (внешних пользователей)
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
Идентификация и аутентификация объектов файловой системы,
запускаемых и исполняемых модулей, объектов систем управления
базами данных, объектов, создаваемых прикладным и специальным
программным обеспечением, иных объектов доступа
II. Управление доступом субъектов доступа к объектам доступа (УПД)
Управление (заведение, активация, блокирование и уничтожение)
учетными записями пользователей, в том числе внешних
+
+
пользователей
Реализация необходимых методов (дискреционный, мандатный,
ролевой или иной метод), типов (чтение, запись, выполнение или
+
+
иной тип) и правил разграничения доступа
Управление (фильтрация, маршрутизация, контроль соединений,
однонаправленная передача и иные способы управления)
информационными потоками между устройствами, сегментами
информационной системы, а также между информационными
системами
Разделение полномочий (ролей) пользователей, администраторов и
лиц, обеспечивающих функционирование информационной
системы
Назначение минимально необходимых прав и привилегий
пользователям, администраторам и лицам, обеспечивающим
функционирование информационной системы
Ограничение неуспешных попыток входа в информационную
систему (доступа к информационной системе)
УПД.7
Предупреждение пользователя при его входе в информационную
систему о том, что в информационной системе реализованы меры
защиты информации, и о необходимости соблюдения им
установленных оператором правил обработки информации
УПД.8
Оповещение
пользователя
после
успешного
входа
в
информационную систему о его предыдущем входе в
информационную систему
Ограничение числа параллельных сеансов доступа для каждой
учетной записи пользователя информационной системы
УПД.9
+
+
+
17
УПД.10
УПД.11
УПД.12
УПД.13
УПД.14
УПД.15
УПД.16
УПД.17
ОПС.1
ОПС.2
ОПС.3
ОПС.4
ЗНИ.1
ЗНИ.2
ЗНИ.3
ЗНИ.4
ЗНИ.5
ЗНИ.6
ЗНИ.7
ЗНИ.8
РСБ.1
Блокирование сеанса доступа в информационную систему после
установленного времени бездействия (неактивности) пользователя
или по его запросу
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
Регламентация и контроль использования в информационной
системе мобильных технических средств
+
+
+
+
Управление взаимодействием с информационными системами
сторонних организаций (внешние информационные системы)
+
+
+
+
+
+
Разрешение (запрет) действий пользователей, разрешенных до
идентификации и аутентификации
Поддержка и сохранение атрибутов безопасности (меток
безопасности), связанных с информацией в процессе ее хранения и
обработки
Реализация защищенного удаленного доступа субъектов доступа к
объектам
доступа
через
внешние
информационнотелекоммуникационные сети
Регламентация и контроль использования в информационной
системе технологий беспроводного доступа
Обеспечение доверенной загрузки средств вычислительной техники
III. Ограничение программной среды (ОПС)
Управление запуском (обращениями) компонентов программного
обеспечения, в том числе определение запускаемых компонентов,
настройка параметров запуска компонентов, контроль за запуском
компонентов программного обеспечения
+
Управление установкой (инсталляцией) компонентов программного
обеспечения, в том числе определение компонентов, подлежащих
установке, настройка параметров установки компонентов, контроль
за установкой компонентов программного обеспечения
Установка (инсталляция) только разрешенного к использованию
программного обеспечения и (или) его компонентов
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
Управление временными файлами, в том числе запрет, разрешение,
перенаправление записи, удаление временных файлов
IV. Защита машинных носителей информации (ЗНИ)
Учет машинных носителей информации
Управление доступом к машинным носителям информации
Контроль перемещения машинных носителей информации за
пределы контролируемой зоны
Исключение возможности несанкционированного ознакомления с
содержанием информации, хранящейся на машинных носителях, и
(или)
использования
носителей
информации
в
иных
информационных системах
Контроль использования интерфейсов ввода (вывода) информации
на машинные носители информации
Контроль ввода (вывода) информации на машинные носители
информации
Контроль подключения машинных носителей информации
Уничтожение (стирание) информации на машинных носителях при
их передаче между пользователями, в сторонние организации для
ремонта или утилизации, а также контроль уничтожения (стирания)
V. Регистрация событий безопасности (РСБ)
Определение событий безопасности, подлежащих регистрации, и
сроков их хранения
+
+
+
+
+
+
+
+
18
РСБ.2
РСБ.3
РСБ.4
РСБ.5
РСБ.6
РСБ.7
РСБ.8
АВЗ.1
АВЗ.2
СОВ.1
СОВ.2
АНЗ.1
АНЗ.2
АНЗ.3
АНЗ.4
АНЗ.5
ОЦЛ.1
ОЦЛ.2
ОЦЛ.3
ОЦЛ.4
Определение состава и содержания информации о событиях
безопасности, подлежащих регистрации
Сбор, запись и хранение информации о событиях безопасности в
течение установленного времени хранения
+
+
+
+
+
+
+
+
Реагирование на сбои при регистрации событий безопасности, в
том числе аппаратные и программные ошибки, сбои в механизмах
сбора информации и достижение предела или переполнения объема
(емкости) памяти
+
+
+
+
Мониторинг (просмотр, анализ) результатов регистрации событий
безопасности и реагирование на них
+
+
+
+
Генерирование временных меток и (или)
системного времени в информационной системе
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
Контроль состава технических средств, программного обеспечения
и средств защиты информации
+
+
+
Контроль правил генерации и смены паролей пользователей,
заведения и удаления учетных записей пользователей, реализации
правил разграничения доступом, полномочий пользователей в
информационной системе
+
+
+
+
+
+
+
+
+
синхронизация
Защита информации о событиях безопасности
Обеспечение возможности просмотра и анализа информации о
действиях отдельных пользователей в информационной системе
VI. Антивирусная защита (АВЗ)
Реализация антивирусной защиты
+
Обновление базы данных признаков вредоносных компьютерных
+
программ (вирусов)
VII. Обнаружение вторжений (СОВ)
Обнаружение вторжений
Обновление базы решающих правил
VIII. Контроль (анализ) защищенности информации (АНЗ)
Выявление, анализ уязвимостей информационной системы и
оперативное устранение вновь выявленных уязвимостей
Контроль установки обновлений программного обеспечения,
включая обновление программного обеспечения средств защиты
информации
Контроль
работоспособности,
параметров
настройки
и
правильности функционирования программного обеспечения и
средств защиты информации
+
IX. Обеспечение целостности информационной системы и информации (ОЦЛ)
Контроль целостности программного обеспечения, включая
программное обеспечение средств защиты информации
Контроль целостности информации, содержащейся в базах данных
информационной системы
Обеспечение
возможности
восстановления
программного
обеспечения, включая программное обеспечение средств защиты
информации, при возникновении нештатных ситуаций
Обнаружение и реагирование на поступление в информационную
систему незапрашиваемых электронных сообщений (писем,
документов) и иной информации, не относящихся к
функционированию информационной системы (защита от спама)
+
+
19
ОЦЛ.5
Контроль
содержания
информации,
передаваемой
из
информационной системы (контейнерный, основанный на
свойствах объекта доступа, и контентный, основанный на поиске
запрещенной к передаче информации с использованием сигнатур,
масок и иных методов), и исключение неправомерной передачи
информации из информационной системы
ОЦЛ.6
Ограничение прав пользователей по вводу информации в
информационную систему
Контроль точности, полноты и правильности данных, вводимых в
информационную систему
Контроль ошибочных действий пользователей по вводу и (или)
передаче информации и предупреждение пользователей об
ошибочных действиях
ОЦЛ.7
ОЦЛ.8
ОДТ.1
ОДТ.2
ОДТ.3
ОДТ.4
ОДТ.5
X. Обеспечение доступности информации (ОДТ)
Использование отказоустойчивых технических средств
Периодическое резервное копирование информации на резервные
машинные носители информации
Обеспечение возможности восстановления информации с
резервных машинных носителей информации (резервных копий) в
течение установленного временного интервала
ОДТ.7
Контроль состояния и качества предоставления уполномоченным
лицом вычислительных ресурсов (мощностей), в том числе по
передаче информации
XI. Защита среды виртуализации (ЗСВ)
Идентификация и аутентификация субъектов доступа и объектов
доступа в виртуальной инфраструктуре, в том числе
администраторов управления средствами виртуализации
ЗСВ.3
ЗСВ.4
Управление доступом субъектов доступа к объектам доступа в
виртуальной инфраструктуре, в том числе внутри виртуальных
машин
Регистрация событий безопасности в виртуальной инфраструктуре
Доверенная загрузка серверов виртуализации, виртуальной машины
(контейнера), серверов управления виртуализацией
ЗСВ.6
Управление перемещением виртуальных машин (контейнеров) и
обрабатываемых на них данных
Контроль целостности виртуальной инфраструктуры и ее
конфигураций
Резервное копирование данных, резервирование технических
средств, программного обеспечения виртуальной инфраструктуры,
а также каналов связи внутри виртуальной инфраструктуры
ЗСВ.8
ЗСВ.9
Реализация и управление антивирусной защитой в виртуальной
инфраструктуре
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
Управление (фильтрация, маршрутизация, контроль соединения,
однонаправленная передача) потоками информации между
компонентами виртуальной инфраструктуры, а также по периметру
виртуальной инфраструктуры
ЗСВ.5
ЗСВ.7
+
Контроль безотказного функционирования технических средств,
обнаружение и локализация отказов функционирования, принятие
мер по восстановлению отказавших средств и их тестирование
Кластеризация информационной системы и (или) ее сегментов
ЗСВ.2
+
Резервирование технических средств, программного обеспечения,
каналов
передачи
информации,
средств
обеспечения
функционирования информационной системы
ОДТ.6
ЗСВ.1
+
+
20
ЗСВ.10
ЗТС.1
ЗТС.2
ЗТС.3
ЗТС.4
ЗТС.5
ЗИС.1
ЗИС.2
ЗИС.3
ЗИС.4
ЗИС.5
Разбиение
виртуальной
инфраструктуры
на
сегменты
(сегментирование виртуальной инфраструктуры) для обработки
информации отдельным пользователем и (или) группой
пользователей
XII. Защита технических средств (ЗТС)
Защита информации, обрабатываемой техническими средствами, от
ее утечки по техническим каналам
Организация контролируемой зоны, в пределах которой постоянно
размещаются
стационарные
технические
средства,
обрабатывающие информацию, и средства защиты информации, а
также средства обеспечения функционирования
Контроль и управление физическим доступом к техническим
средствам, средствам защиты информации, средствам обеспечения
функционирования, а также в помещения и сооружения, в которых
они установлены, исключающие несанкционированный физический
доступ к средствам обработки информации, средствам защиты
информации и средствам обеспечения функционирования
информационной системы и помещения и сооружения, в которых
они установлены
Размещение устройств вывода (отображения)
исключающее ее несанкционированный просмотр
+
+
+
+
+
+
+
+
+
+
+
+
+
+
информации,
Защита от внешних воздействий (воздействий окружающей среды,
нестабильности электроснабжения, кондиционирования и иных
внешних факторов)
+
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
Разделение в информационной системе функций по управлению
(администрированию) информационной системой, управлению
(администрированию) системой защиты информации, функций по
+
обработке информации и иных функций информационной системы
Предотвращение задержки или прерывания выполнения процессов
с высоким приоритетом со стороны процессов с низким
приоритетом
Обеспечение защиты информации от раскрытия, модификации и
навязывания (ввода ложной информации) при ее передаче
(подготовке к передаче) по каналам связи, имеющим выход за
пределы контролируемой зоны, в том числе беспроводным каналам
связи
Обеспечение
доверенных
канала,
маршрута
между
администратором,
пользователем
и
средствами
защиты
информации
(функциями
безопасности
средств
защиты
информации)
Запрет несанкционированной удаленной активации видеокамер,
микрофонов и иных периферийных устройств, которые могут
активироваться удаленно, и оповещение пользователей об
активации таких устройств
ЗИС.6
Передача и контроль целостности атрибутов безопасности (меток
безопасности), связанных с информацией, при обмене
информацией с иными информационными системами
ЗИС.7
Контроль
санкционированного
и
исключение
несанкционированного использования технологий мобильного
кода, в том числе регистрация событий, связанных с
использованием технологий мобильного кода, их анализ и
реагирование на нарушения, связанные с использованием
технологий мобильного кода
+
+
+
+
+
+
+
+
+
+
+
21
ЗИС.8
ЗИС.9
ЗИС.10
ЗИС.11
ЗИС.12
ЗИС.13
ЗИС.14
ЗИС.15
Контроль
санкционированного
и
исключение
несанкционированного использования технологий передачи речи, в
том числе регистрация событий, связанных с использованием
технологий передачи речи, их анализ и реагирование на нарушения,
связанные с использованием технологий передачи речи
Контроль санкционированной и исключение несанкционированной
передачи видеоинформации, в том числе регистрация событий,
связанных с передачей видеоинформации, их анализ и
реагирование
на
нарушения,
связанные
с
передачей
видеоинформации
Подтверждение
происхождения
источника
информации,
получаемой в процессе определения сетевых адресов по сетевым
именам или определения сетевых имен по сетевым адресам
Обеспечение
подлинности
сетевых
соединений
(сеансов
взаимодействия), в том числе для защиты от подмены сетевых
устройств и сервисов
Исключение возможности отрицания пользователем факта
отправки информации другому пользователю
Исключение возможности отрицания пользователем факта
получения информации от другого пользователя
Использование устройств терминального доступа для обработки
информации
Защита архивных файлов, параметров настройки средств защиты
информации и программного обеспечения и иных данных, не
подлежащих изменению в процессе обработки информации
ЗИС.16
Выявление, анализ и блокирование в информационной системе
скрытых каналов передачи информации в обход реализованных мер
защиты информации или внутри разрешенных сетевых протоколов
ЗИС.17
Разбиение
информационной
системы
на
сегменты
(сегментирование информационной системы) и обеспечение
защиты периметров сегментов информационной системы
ЗИС.18
Обеспечение загрузки и исполнения программного обеспечения с
машинных носителей информации, доступных только для чтения, и
контроль целостности данного программного обеспечения
ЗИС.19
Изоляция процессов (выполнение программ) в выделенной области
памяти
Защита
беспроводных
соединений,
применяемых
в
информационной системе
Исключение доступа пользователя к информации, возникшей в
результате действий предыдущего пользователя через реестры,
оперативную память, внешние запоминающие устройства и иные
общие для пользователей ресурсы информационной системы
ЗИС.20
ЗИС.21
ЗИС.22
ЗИС.23
ЗИС.24
Защита информационной системы от угроз безопасности
информации,
направленных
на
отказ
в
обслуживании
информационной системы
Защита периметра (физических и (или) логических границ)
информационной системы при ее взаимодействии с иными
информационными
системами
и
информационнотелекоммуникационными сетями
Прекращение сетевых соединений по их завершении или по
истечении
заданного
оператором
временного
интервала
неактивности сетевого соединения
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
22
ЗИС.25
Использование в информационной системе или ее сегментах
различных типов общесистемного, прикладного и специального
программного обеспечения (создание гетерогенной среды)
ЗИС.26
Использование прикладного и специального программного
обеспечения, имеющих возможность функционирования в средах
различных операционных систем
ЗИС.27
Создание (эмуляция) ложных информационных систем или их
компонентов, предназначенных для обнаружения, регистрации и
анализа действий нарушителей в процессе реализации угроз
безопасности информации
ЗИС.28
Воспроизведение ложных и (или) скрытие истинных отдельных
информационных технологий и (или) структурно-функциональных
характеристик информационной системы или ее сегментов,
обеспечивающее навязывание нарушителю ложного представления
об истинных информационных технологиях и (или) структурнофункциональных характеристиках информационной системы
ЗИС.29
Перевод информационной системы или ее устройств (компонентов)
в заранее определенную конфигурацию, обеспечивающую защиту
информации, в случае возникновении отказов (сбоев) в системе
защиты информации информационной системы
ЗИС.30
Защита мобильных технических средств, применяемых в
информационной системе
+
+
+
"+" - мера защиты информации включена в базовый набор мер для
соответствующего класса защищенности информационной системы.
Меры защиты информации, не обозначенные знаком "+", применяются при адаптации
базового набора мер и уточнении адаптированного базового набора мер, а также при
разработке компенсирующих мер защиты информации в информационной системе
соответствующего класса защищенности.
23
ПРИЛОЖЕНИЕ Б
Перечень документов,
подтверждающих выполнение мероприятий по защите информации при
удаленном доступе разработчиков к аттестованным АСУ ОАО «РЖД»
1. Акт классификации АСУ ОАО «РЖД» и информационной системы
разработчика, из которой осуществляется подключение к АСУ ОАО «РЖД».
2. Частная модель угроз безопасности информации при удаленном доступе
разработчика к АСУ ОАО «РЖД».
3. Требования по защите информации при удаленном доступе разработчика к АСУ
ОАО «РЖД».
Требования разрабатываются с учетом правовых нормативных документов в
области защиты информации, актов классификации (п.1) и частной модели угроз
безопасности информации (п.3).
4. Технический проект системы защиты информации при удаленном доступе
разработчика к АСУ ОАО «РЖД»
Должно быть продемонстрировано, что реализуемые меры по защите
информации (обеспечению безопасности персональных данных) обеспечивают
выполнение требований по защите информации при удаленном доступе
разработчика.
Технический проект должен, в том числе, включать описание процедур
контроля выполнения мероприятий по защите информации.
5. Схема подключения (схема удаленного доступа разработчика) к АСУ
ОАО «РЖД».
6. Документы по результатам аттестации информационной системы разработчика,
из которой осуществляется подключение к АСУ ОАО «РЖД», по требованиям
защиты информации:
а) Заключение (заключения) по результатам аттестации;
б) Аттестат (аттестаты) соответствия требованиям безопасности информации
объекта (объектов) информационной системы разработчика.
Похожие документы
Кризисные явления в экономике страны поставили новые
Кризисные явления в экономике страны поставили новые
Год борьбы с сердечно-сосудистыми заболеваниями
Год борьбы с сердечно-сосудистыми заболеваниями
«Интегрированные системы проектирования и управления» .
«Интегрированные системы проектирования и управления» .
Поддержка принятия решений на железнодорожном транспорте
Поддержка принятия решений на железнодорожном транспорте
Скачать
реклама