Применение программно аппаратных средств защиты информации

Введение
Главным отличительным признаком современной жизни является переход человечества к информационному обществу. Этап развития современного общества часто воспринимают как эпоху перехода к цифровой экономике. Этот термин был описан еще в 1995 году аналитиком из Америки Николасом Негропонте из Массачусетского университета [6].
Информация в наше время является источником главных ресурсов, как энергетических, так и материальных. Сами по себе информационные ресурсы представляют отдельные документы и отдельные массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных и других информационных системах, хранящих информацию). Сама информация для человека представляет огромную ценность, так как нередко получение и создание такой информации является весьма трудоемким и дорогостоящим процессом.
Актуальность темы состоит в том, что информационные и телекоммуникационные технологии и информационная безопасность (ИБ) играют важную роль практически во всех видах деятельности компании ОАО «РЖД».
Целью курсовой работы является анализ и оценка эффективности защиты информации в ОАО "РЖД", а также изучение защиты информации на железнодорожном транспорте.
Их широкое внедрение в автоматизированные и информационно-управляющие системы, корпоративные и вычислительные сети различного назначения значительно повышает эффективность деятельности самого холдинга ОАО «РЖД», его филиалов, дочерних и зависимых обществ и создает ощутимые конкурентные преимущества.
Научная значимость рассматриваемой темы обусловлена её важностью исследования и изучения, так как проблема формирования информационной безопасности в нашей стране, разработка новейших методов реализации этой проблемы является сегодня важнейшей задачей для специалистов в области мировой политики, политологии и социологии, а так же в сфере бизнеса и предпринимательства.
Методологическую базу составляют: методы комплексного и системного анализа на основе междисциплинарного исследования актуальных проблем (основных понятий, предмета, структуры информации и безопасности, а также отношений, возникающих, в связи с этим и их отражением в праве и законодательстве России); общенаучные методы познания и др.
Информационная база исследования послужили труды отечественных экономистов и программистов таких, как Стрельцов, А.А., Конявский, В.А., Раткин, Л.С. и др., а также справочные материалы, законодательные акты и Интернет-ресурсы.
Объектом исследования является открытое акционерное общество "РЖД".
Предметом исследования является совокупность теоретических, методологических и практических проблем, связанных с защитой информации на предприятии.
Исходя из этого, выстраивается ряд задач, а именно:
−рассмотреть теоретические основы защиты информации на предприятии;
−изучить модели и методы оценки защиты информации;
−провести анализ действующих политик информационной безопасности ОАО " РЖД";
−выявить цели, задачи, объекты и угрозы информационной безопасности на ОАО «РЖД».
Курсовая работа включает введение, две главы, заключение, список использованной литературы.
Во вводной части обоснована актуальность исследуемой проблемы, определены цели курсовой, а также задачи, предмет и объект работы.
Глава 1. Теоретические основы защиты информации
Сущность и содержание информационной безопасности
Проблема информационной защиты является далеко не новой. Еще в глубокой древности люди оставляли рисунки на скалах, которые также могут рассматриваться в качестве попытки сохранить информацию о реалиях внешнего мира. Применение же особых мер с целью сохранения информации в тайне практиковалось еще в далекой древности: достоверно, к примеру, известно, что политический деятель и полководец Древнего Рима Цезарь применял в этих целях криптографическое изменение текстов сообщений (которые вошли в историю под названием шифра Цезаря).
В связи с тем, что здесь решаются вопросы защиты информации в автоматизированных системах ее обработки, то и анализ исторического прошлого их происхождения и дальнейшего развития будем производить на глубину реального существования данных систем. В таком аспекте вполне реально говорить об истории, измеряемой в 30 с лишним лет.
Как и любой другой опыт, опыт информационной зашиты в автоматизированных системах обработки данных (АСОД) представляет двоякий интерес: в первую очередь, в познавательном плане, а в другом, в плане обоснования самых эффективных способов решения такой неординарной проблемы [6].
Также необходимо, заметить, что в России до недавних времен все работы по информационной защите являлись закрытыми, в связи с чем, общедоступных публикаций почти не было. Такое обстоятельство оказало отрицательное воздействие на распространении опыта. За последние несколько лет положение значительно изменилось, тем не менее понадобится длительное время, чтобы можно было составить достаточно репрезентативную выборку соответствующих работ.
Понятие "безопасность" в законе Российской Федерации «О безопасности» определяется в качестве "состояния защищённости жизненно важных интересов общества, отдельной личности и всего государства от внешних и внутренних угроз».
Также необходимо разграничивать два таких термина как информационная безопасность и безопасность информации. Понятие «информационная безопасность» охватывает более полный спектр проблем.
В соответствие с доктриной информационной безопасности РФ информационная безопасность представляет собой такое состояние защищённости информационной среды, которое обеспечивает её дальнейшее формирование и развитие в интересах населения, организаций и всего государства в целом. Безопасность информации – это состояние защищённости информации, обрабатываемой компьютерными средствами от внешних и внутренних угроз [4]. Источники угроз представлены на рисунке на рис. 1.

Рис. 1 - Источники угроз информационной безопасности
Защита информации включает полный комплекс мер по обеспечении целостности и конфиденциальности информации при условии ее доступности для пользователей, имеющих соответствующие права.
Целостность – понятие, определяющее сохранность качества информации и ее свойств.
Конфиденциальность предполагает обеспечение секретности данных и доступа к определенной информации отдельным пользователям. ( рис.2)
Доступность – качество информации, определяющее ее быстрое и точное нахождение конкретными пользователями.
Цель защиты информации – минимизация ущерба вследствие нарушения требований целостности, конфиденциальности и доступности.
3 угрозы информационной безопасности организации:
1. Неблагоприятная для предприятия экономическая политика государства. Регулирование экономики государством с помощью манипуляций (определение валютного курса, учетная ставка, таможенные тарифы и налоги), является причиной многих противоречий на предприятиях в сфере производства, финансов и коммерции. Большую опасность для обеспечения безопасности информации предприятия несут административные обязательства выхода на рынок, что приводит к насильственному сужению товарно-денежных отношений, нарушению законов со стороны государства и ограничению деятельности предприятия. Часто государство преувеличивает свою компетентность в финансовой и коммерческой сфере деятельности предприятия и необоснованно вмешивается в пространство информации этих сфер, а также посягает на собственность предприятия в различных формах.
Серьезную угрозу для обеспечения безопасности информации предприятия несут политические действия, направленные на ограничение или прекращение экономических связей. Санкции в экономике вызывают у обеих сторон недоверие к дальнейшей деятельности и подрывают коммерческие взаимоотношения. Все это ведет к дестабилизации экономических отношений, и не только на уровне государства.
2. Действия иных хозяйствующих субъектов. В данном случае риск обеспечения безопасности информации несет нездоровая конкуренция [2].
Та информация, которая предоставляется для широких масс по легальным каналам, не дает руководству предприятия полного ответа на интересующие вопросы о конкурентах. Поэтому, многие крупные предприятия, даже считая действия шпионажа неэтичными и неправомерными, все равно прибегают к мерам, противодействующим обеспечению безопасности информации. Шпионы, работающие на конкурирующем предприятии, часто прибегают к таким действиям, как прямое предложение, которое служит о предоставлении секретной информации, кражи, подкупа и других разных уловок. Многие действия по подрыву обеспечения безопасности информации облегчаются за счет появления на рынке различных подслушивающих устройств и других современных технических разработок, которые позволяют максимально качественно осуществлять коммерческий и промышленный шпионаж.
Для многих служащих конкурентной компании сумма, предложенная за шпионаж, за предоставление секретной информации, в несколько раз превышает их ежемесячный доход, что является очень соблазнительным для обычного сотрудника. Поэтому, можно считать, что подписка о неразглашении не является полной гарантией обеспечения безопасности коммерческой информации.
Таким образом, существуют различные точки зрения относительно понятия «информационная безопасность». В данной работе это понятие будем интерпретировать, как защищённость информации и поддерживающей инфраструктуры от преднамеренных или случайных воздействий искусственного или естественного характера, которые могут причинить значительный вред субъектам информационных отношений, в т. ч. пользователям и владельцам информации и поддерживающей инфраструктуры.
Методы защиты информации
В зависимости от масштаба и вида деятельности коммерческой организации структура ее система информационной безопасности может быть разнообразной исходя из экономической целесообразности. Однако обязательными элементами, присутствующими в ее структуре и соответствующие основным направлениям защиты, должны быть следующие:
Правовая защита - юридическая служба (юрист, патентовед, оценщик интеллектуальной собственности т.п.), взаимодействующая с бухгалтерией и плановым отделом;
Организационная защита - службы охраны (комендант, контролеры, пожарные и т.п.) и режима (государственной, служебной тайны, конфиденциальной информации и т.п.), взаимодействующие с отделом кадров [5, 11]. Инженерно-техническая защита - инженерно-техническая служба (операторы ЭВМ, связисты, криптографы, техники и т.п.), взаимодействующие с функциональными подразделениями фирмы.
Относительно способа реализации методики защиты информации, ее носителей и систем ее обработки классифицируются на:
правовые;
морально-этические;
технологические;
организационные;
физические;
технические [9, 16].
Рассмотрим более подробно каждую разновидность мер обеспечения информационной безопасности из вышеуказанных.
Правовые меры защиты включают в себя действующее в стране законодательство, указы, а так же другие нормативные правовые акты, которые регламентируют правила взаимодействия с информацией, права информационных отношений в процессе ее использования. Кроме этого правовые меры устанавливают ответственность за неисполнение данных правил, препятствуя при этом нерегламентированному пользованию информации и являясь фактором сдерживания для потенциальных нарушителей. Правовые меры исполняют, как правило, упреждающую, профилактическую функцию, требуя при этом постоянной работы с пользователями, а так же обслуживающим персоналом автоматизированной системы.
Морально-этические меры защиты информации - это нормы поведения, традиционно сложившиеся или складывающиеся по мере распространения ИТ в обществе. Данные нормы, большей частью, не обязательны, в отличие от требований нормативных актов. Однако, их несоблюдение приводит к снижению авторитета человека, группы лиц, либо организации. Морально-этические меры защиты - это профилактические меры. Они требуют стабильной работы по созданию здорового климата в коллективах пользователей автоматизированных систем [1].
Технологические меры защиты определяются различного рода технологическими решениями и приемами, которые основаны на использовании некоторых видах избыточности. Технологические меры направлены на уменьшение возможности совершения сотрудниками ошибок в рамках предоставленных прав и полномочий. Пример таких мер - использование процедуры двойного ввода информации, инициализация операции только при наличии разрешения нескольких должностных лиц, своевременное подведение общего баланса всех счетов и т.д.
Организационными мерами защиты являются меры административной и процедурной направленности, которые регламентируют процессы функционирования систем обработки информации, использование ее средств, деятельность обслуживающего персонала, порядок и взаимодействия пользователей и обслуживающего персонала с системой. Данные взаимодействия организованы таким образом, чтобы в большей степени исключить возможность реализации угроз безопасности или снизить размеры потерь в случае их реализации [12, 13].
Физические меры защиты – меры, основанные на применении механических, электромеханических устройств, сооружений, которые предназначены для создания физических препятствий на возможных путях проникновения и доступа возможных нарушителей к элементам системы, а так же защищаемой информации, средств наблюдения, связи, охранной сигнализации. Данный тип включает, кроме этого средства контроля физической целостности компонентов автоматизированной системы.
Технические меры защиты базируются на использовании разнообразных электронных устройств и специализированных программ, которые входят в состав автоматизированной системы и выполняют функции защиты [3].
Главной целью информационной безопасности в организации является обеспечение устойчивого функционирования предприятия и защита информационных ресурсов, от случайных (ошибочных) и направленных противоправных посягательств, разглашения, утраты, утечки, искажения, модификации и уничтожения охраняемых сведений.
Схематично возможные методы защиты информации представлены на рисунке 2.

Рис. 2 - Методы защиты информации
Обычно при разработке системы защиты информации применяются две взаимосвязанных составляющих комплекса мер по защите информации: организационные меры защиты информации (нормативные акты и инструкции) и инженерно-технические средства защиты (аппаратно-программный и технический комплекс мер).
К инженерно-техническим относят все возможные реализации защиты информации связанные с программной или аппаратной защитой, инженерно-техническими сооружениями. Следует отметить, что система защиты информации работает только в том случае, если работают и организационные и инженерные средства защиты. В случае не исполнения организационных мер эффективность применения инженерных средств резко сокращается. Так же в случае выхода из строя или некачественной работы инженерных средств защиты эффективность организационных мер стремится к нулю.
Программно-аппаратные средства защиты информации — это технические и программные средства, а так же отдельный вид устройств, предназначенных для проведения защитных мер с информацией, с целью недопущения ее утечки, потери или несанкционированного доступа, а так же осуществляющие меры п о предотвращению доступа к программно-техническим средствам организации как непосредственно, так и удаленно по каналам связи [3].
Часто программно-аппаратные средства защиты представлены в виде сервисов безопасности, встроенных в сетевых операционных системах и АРМ пользователей. Схематично программно-аппаратные средства защиты разделяются на следующие категории, рисунок 3.

Рис. 3 – Виды программно-аппаратных средств защиты информации
К основным аппаратным средствам защиты информации относятся:
устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т. п.);
устройства для шифрования информации;
устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).
Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций. К основным программным средствам защиты информации относятся:
программы идентификации и аутентификации пользователей КС;
программы разграничения доступа пользователей к ресурсам КС;
программы шифрования информации;
программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.
1.3 Виды программно-аппаратных средств защиты информацииДля обеспечения безопасности на программном и аппаратном уровне будут применяться средства, интегрированные в СУБД и серверную ОС, а так же дополнительные утилиты и программы которые позволят обеспечить гарантировано безопасный доступ к ОС и обеспечить ее сохранность и целостность.
Данные работы возлагаются на сотрудников отдела ИТ, администратора ЛВС, начальника отдела, дальнейшая поддержка будет выполняться администратором БД и администратором ЛВС [8].
Внедряемые средства позволят снизить риски, которым может подвергаться ОС, а некоторые свести к минимуму ликвидировать. К таким рискам можно отнести:
ошибка обслуживающего персонала;
несанкционированное использование носителей данных;
использование ПО несанкционированными пользователями;
пожар;
ухудшение состояния носителей данных;
доступ несанкционированных пользователей;
кража;
аппаратные отказы [4].
Самой распространенной системой работы в организациях на текущий момент является ЛВС под управлением операционной системы Windows. Которая используется как на рабочих местах сотрудников, так и используется для управления сервером. Операционная система Windows Server 2016 (или WS 10) — это версия серверной операционной системы от компании Microsoft выпущенная как серверная версия операционной системы Windows 10.
Организация структуры локальной вычислительной сети с использованием сервера представлено на рисунке 4.

Рисунок 4 - Общее устройство ЛВС с использованием рабочих станций и сервера
В структуре современных локальных вычислительных сетей эти роли и функции на аппаратном уровне может выполнять один физический сервер, который обеспечивает работоспособность ЛВС, а также все дополнительные функции.
Независимо от количества и специфики ролей сервера имеются общие базовые требования к серверу, такие как надежность, отказоустойчивость, и соответствующая производительность являются жизненно-важными для любого предприятия [13].
В работе организаций и домашних локальных вычислительных сетей можно выделить наиболее часто встречающиеся роли серверов:
Универсальные серверы — особый вид серверной программы, предоставляющих упрощенный интерфейс к ресурсам межпроцессного взаимодействия и/или унифицированный доступ клиентов к различным услугам.
Сервер маршрутизации – серверное оборудование задачей которого является предоставление базовой функции поддержки сети операционной системой. Главным отличием данной роли является обеспечение фильтрации пакетов, а также обеспечение динамической маршрутизации и предоставления динамически назначаемых адресов для хостов в структуре локальной вычислительной сети. В работе маршрутизации в современных операционных системах используются следующие сетевые службы:
DHCP и BOOTP обеспечивают присвоение IP адресов для сетевых узлов работающих в структуре ЛВС;
DNS — трансляцию имен в адреса и наоборот;
служба маршрутизации и удаленного доступа (RRAS).
Прокси-сервер (от англ. proxy — «представитель, уполномоченный») — служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак [18].
Веб-сервер — это сервер, позволяет обрабатывать запросы в веб-ресурсам расположенным на сервере и доступу к веб-страницам из внешней сети интернет.
Сервер приложений (англ. applicationserver) — сервер, исполняющий некоторые прикладные программы. Термин также относится и к программному обеспечению, установленному на таком сервере и обеспечивающему выполнение прикладного ПО.
Сервер приложений — сервер, схожий по своей структуре с локальными компьютерами и использующие сетевой ресурс для хранения программы и данных [13].
Файл-серверы - представляют собой роль сервера, которая обеспечивает наиболее оптимальным способом размещения информации для хранения на сервере и предоставления доступа к хранящимся на сервера файлам и массивам данным.
Сервер базы данных - обслуживает базу данных и отвечает за целостность и сохранность данных, а также обеспечивает операции ввода-вывода при доступе клиента к информации.
Несомненно, компьютерные сети на основе серверов являются более сложными с точки зрения их создания и конфигурации, но они имеют ряд значительных преимуществ по сравнению с одноранговыми сетями.
совместное использование;
безопасность. В сети, основанной на сервере, один администратор может управлять безопасностью всей сети, устанавливая соответствующие сетевые политики и применяя их в отношении каждого пользователя и ресурса;
выполнение процедур резервирования также упрощается, поскольку эти процедуры необходимо применять только для серверов;
отказоустойчивость оборудования.
пользователи [5].
Защита корпоративной ИТ структуры является обязательным и важным элементом системы обеспечения информационной безопасности любой организации. Для исключения возможных угроз информационной безопасности необходимо внедрение системы защиты информации которая связана как контролем доступа, так и с организацией системы фильтрации информации из внешних источников, а так же инженерно-техническая защита физических активов организации [3].
С точки зрения обеспечения безопасности для работы в составе локальной и глобальной сети является внедрение комплекса технических и программных средств блокирующих несанкционированный доступ в ЛВС. Данным средством предотвращения НСД является межсетевой экран. Помимо этого необходимо обеспечить защиту от проникновения, а именно внедрение инженерно-технических средств препятствующих проникновению в помещения организации, а так же комплекс программных средств защиты от несанкционированного доступа на разных уровнях.
Принцип обеспечения надежности системы защиты информации и информационная безопасность – это невозможность снижения уровня надежности системы во время сбоев, отказов, ошибок и взломов [5].
Программные средства защиты так же обеспечивают работу по борьбе с вредоносным кодом и программным обеспечением (вирусы, шифровальщики, взломщики). Например, всевозможные программы для защиты информации и система защиты информации от вирусов [10].
Программная защита сервера используется для выполнения операций по идентификации и авторизации. Поскольку серверная операционная система всегда является многопользовательской, то необходимо фиксировать все действия пользователей, вести журналы изменений и доступа, проверять доступ на соответствие. Программные средства защиты при работе с пользователями выполняют следующие действия: допуск к определенным условиям работы согласно регламенту, предписанному каждому отдельному пользователю, что определяется средствами защиты информации и является основой информационной безопасности большинства типовых моделей информационных систем [11].
Программная защита это совокупность программ и сервисных функций, которые работают для обеспечения защиты сервера от внешних и внутренних угроз согласно регламента и политики информационной безопасности и опираются на разработанные администратором правила. Каждое правило применимо как для пользователей серверной операционной системы так и ля сервисов работающих под управлением операционной системы.
Существуют специализированные программные средства, которым помогают предотвратить проникновения, утечки, изменения и взлом [12].
Межсетевой экран (фильтр) - программное и аппаратное обеспечение, а иногда аппаратно-программный комплекс расположенный между локальной и глобальной сетями в организации предназначенный для фильтрации сетевого трафика сетевого или транспортного уровней. Задачей межсетевого экрана является предотвращение проникновения сетевых пакетов и настройки подключений несанкционированных пользователей и программ. Использование межсетевого экрана позволяет значительно снизить угрозу несанкционированного доступа в локальную сеть извне, но не позволяет в полной мере устранить данную опасность совсем [10].
Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе [9].
Антивирусное ПО - программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики - предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.
Для разграничения прав и настройки политик безопасности, хорошо подходит Active Directory и GPO от MS Windows.
Защита информационных ресурсов с помощью паролей и разграничения доступа надежный и проверенный способ. Для его реализации имеются все инструменты.
Существуют три рубежа защиты от компьютерных вирусов:
предотвращение поступления вирусов;
предотвращение вирусной атаки, если вирус все-таки поступил на ПК;
предотвращение разрушительных последствий, если атака все-таки произошла.
Защита от угроз, не являющихся атаками, в основном регламентируется инструкциями, разработанными и утвержденными операторами с учетом особенностей эксплуатации информационных систем и действующей нормативной базы.
Также необходимо использовать СКУД как часть интегрированной безопасности. В таком случае, интегрированная система будет иметь следующую структуру:
Управление доступом.
контроль доступа сотрудников и посетителей на объект;
контроль транспортных средств и объектов на улице;
контроль перемещения лиц по объекту;
учёт рабочего времени (по желанию заказчика);
Охрана объекта.
работа охранной сигнализации;
работа пожарной сигнализации;
работа системы видеонаблюдения.
Жизнеобеспечение.
контроль электроснабжения;
контроль систем вентиляции;
контроль передвижных средств внутри объекта (лифты, эскалаторы) [12].
Комплекс системы контролируемого доступа (СКД) для промышленного предприятия должен состоять из следующих основных компонентов:
устройства контроля и управления доступом (контроллеры, программное обеспечение);
исполнительные устройства (электромагнитные замки, дверные доводчики, турникеты, триподы, шлагбаумы, автоматика для ворот);
устройства идентификации (идентификаторы - проксимити-карты, считыватели);
устройства аварийного выхода из помещения, рисунок 5.
Рис. 5 - Принципиальная схема системы контроля доступа для предприятия
Для выбора средств защиты информации передаваемой через сеть Интернет необходимо определить текущий уровень защиты, а так же определить возможности несанкционированного доступа к информационным активам, использующим сеть Интернет и разработать поведение модели нарушителя.
Управляющие организации имеют доступ к данным, для обеспечения полной безопасности просмотра и передачи данных выполняется шифрование и защита соединений, рисунок 6.

Рис. 6 - Схема взаимодействия с удаленными пользователями
Существуют специализированные программные средства, которым помогают предотвратить проникновения, утечки, изменения и взлом.
Защита от угроз, не являющихся атаками, в основном регламентируется инструкциями, разработанными и утвержденными операторами с учетом особенностей эксплуатации информационных систем и действующей нормативной базы.
Механизмами шифрования данных для обеспечения информационной безопасности общества является криптографическая защита информации посредством криптографического шифрования. Криптографические методы защиты информации применяются для обработки, хранения и передачи информации на носителях и по сетям связи. Криптографическая защита информации при передаче данных на большие расстояния является единственно надежным способом шифрования [3].
Использование криптосредств для шифрования канала передачи данных с открытым и закрытым ключом позволяют с большой уверенностью передавать информацию от клиента до сервера с высокой надежностью обеспечения безопасности даже в случае перехвата или потери данных.
Для организации защищенных соединений и защищенной среды передачи данных популярны протоколы безопасной передачи данных, а именно SSL, SET, IPSec.
Протокол SSL (Secure Socket Layer) — популярный сетевой протокол с шифрованием данных для безопасной передачи по сети. Он позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи. Протокол SSL обеспечивает защиту данных между сервисными протоколами (такими как HTTP, FTP и др.) и транспортными протоколами (TCP/IP) с помощью современной криптографии [4, 7].
Протокол SET (Security Electronics Transaction) — перспективный стандарт безопасных электронных транзакций в сети Интернет, предназначенный для организации электронной торговли через сеть Интернет. Протокол SET основан на использовании цифровых сертификатов по стандарту Х.509.
Протокол IPSec. Спецификация IPSec входит в стандарт IP v.6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разработана Рабочей группой IP Security IETF. В настоящее время IPSec включает 3 алгоритмо-независи-мых базовых спецификации, представляющих соответствующие RFC-стандарты. Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP.
Вся имеющаяся совокупность защитных мер отражается в организации в виде модели угроз и модели защиты. Данные документы являются основополагающими при рассмотрении угроз и средств защиты в организации и оценки уровня защищенности. Организация в модели защиты должна реализовывать ряд организационных и технических мер, которые необходимо предпринять для реализации защиты информации в ИС и нейтрализации угроз [12].
Глава 2. Система обеспечения информационной безопасности на железнодорожном транспорте
2.1 Анализ действующих политик информационной безопасности ОАО «РЖД»
На опыте работы крупнейших мировых компаний можно убедиться, что игнорирование вопросов информационной безопасности весьма увеличивает риск возникновения серьезных материальных потерь вплоть до остановки технологического процесса. На данный момент количество попыток несанкционированных воздействий на корпоративные информационные ресурсы существенно возросло.
Информационные системы ОАО «РЖД» представляют собой потенциальный источник информации, которая может быть использована в целях совершения различных противоправных акций. Именно поэтому стоит уделять пристальное внимание проблеме обеспечения информационной безопасности. И именно поэтому стратегия развития ОАО «РЖД» до 2030 г. включает в себя и задачи по обеспечению безопасности на объектах железнодорожного транспорта. Приведем примерный перечень таких задач [1]:
• совершенствование основных положений государственной политики и нормативной правовой базы обеспечения безопасности объектов инфраструктуры железнодорожного транспорта и их реализация;
• разработка комплекса мероприятий по реализации положений государственной политики и приоритетных направлений обеспечения безопасности транспортной системы России в области железнодорожного транспорта;
• разработка методологии и практических методов решения задач обеспечения безопасности на объектах железнодорожного транспорта;
• определение состава угроз безопасности объектов железнодорожного транспорта;
• проведение категорирования и оценки уязвимости объектов железнодорожного транспорта;
• разработка системы требований по обеспечению безопасности объектов инфраструктуры железнодорожного транспорта с учетом категории и уязвимости объекта;
• разработка и адаптация новейших технологий и программноаппаратных средств обеспечения безопасности, в том числе пассивных и активных средств защиты критически важных и опасных объектов инфраструктуры железнодорожного транспорта;
• создание автоматизированной системы мониторинга состояния и управления безопасностью критически важных и опасных объектов инфраструктуры;
• подготовка специалистов в области обеспечения транспортной безопасности;
• осуществление автоматизированного контроля и надзора в области обеспечения транспортной безопасности;
• создание, модернизация и ведение баз данных по оценке уязвимости категорированных объектов;
• разработка и ведение планов обеспечения транспортной безопасности категорированных объектов;
• паспортизация категорированных объектов;
•мониторинг состояния транспортной безопасности на железнодорожном транспорте, включая создание и эксплуатацию центра контроля состояния транспортной безопасности;
• оснащение (модернизация) объектов железнодорожного транспорта техническими средствами защиты. Для решения указанных задач требуется разработка комплекса нормативных, организационных, экономических и технико-технологических мероприятий.
Также потребуется совершенствование деятельности всех органов управления транспортом, модернизация производственной базы транспорта, переход на новые технологии и виды технических средств, активное использование новейших информационнокоммуникационных технологий и средств их реализации (средств вычислительной техники и связи, сбора и обработки информации).
Комплексным результатом реализации таких мероприятий будет создание эффективной системы обеспечения необходимого уровня защищенности объектов инфраструктуры железнодорожного транспорта для устойчивого и безопасного функционирования транспортной системы и защиты ее от актов незаконного вмешательства.
На сегодняшний день деятельность по управлению защитой информации компании направлена на обеспечение безопасности информации объектов инфраструктуры, а также на сохранение конфиденциальности, целостности и доступности информации и единства информационного пространства ОАО «РЖД». К основным объектам защиты информации, согласно открытым источникам в ОАО «РЖД», относятся:
• объекты информационной инфраструктуры, включающие в себя программно-технические комплексы и систему управления единой магистральной цифровой сетью связи (ЕМЦСС);
• системы управления автоматических телефонных станций общетехнологической и оперативно-технологической сетей;
• программно-технические комплексы и система управления сетью передачи данных (СПД);
• объекты автоматизированных систем управления и информационных систем, включающие в себя отдельные автоматизированные рабочие места (АРМ) и локальные вычислительные сети (ЛВС), се?