Разработка системы защиты информации предприятия (компании)

Введение
Главным отличительным признаком современной жизни является переход человечества к информационному обществу. Этап развития современного общества часто воспринимают как эпоху перехода к цифровой экономике. Этот термин был описан еще в 1995 году аналитиком из Америки Николасом Негропонте из Массачусетского университета [6].
Информация в наше время является источником главных ресурсов, как энергетических, так и материальных. Сами по себе информационные ресурсы представляют отдельные документы и отдельные массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных и других информационных системах, хранящих информацию). Сама информация для человека представляет огромную ценность, так как нередко получение и создание такой информации является весьма трудоемким и дорогостоящим процессом.
Актуальность темы состоит в том, что информационные и телекоммуникационные технологии и информационная безопасность (ИБ) играют важную роль практически во всех видах деятельности компании ОАО «РЖД».
Целью курсовой работы является анализ и оценка эффективности защиты информации в ОАО "РЖД", а также изучение защиты информации на железнодорожном транспорте.
Их широкое внедрение в автоматизированные и информационно-управляющие системы, корпоративные и вычислительные сети различного назначения значительно повышает эффективность деятельности самого холдинга ОАО «РЖД», его филиалов, дочерних и зависимых обществ и создает ощутимые конкурентные преимущества.
Научная значимость рассматриваемой темы обусловлена её важностью исследования и изучения, так как проблема формирования информационной безопасности в нашей стране, разработка новейших методов реализации этой проблемы является сегодня важнейшей задачей для специалистов в области мировой политики, политологии и социологии, а так же в сфере бизнеса и предпринимательства.
Методологическую базу составляют: методы комплексного и системного анализа на основе междисциплинарного исследования актуальных проблем (основных понятий, предмета, структуры информации и безопасности, а также отношений, возникающих, в связи с этим и их отражением в праве и законодательстве России); общенаучные методы познания и др.
Информационная база исследования послужили труды отечественных экономистов и программистов таких, как Стрельцов, А.А., Конявский, В.А., Раткин, Л.С. и др., а также справочные материалы, законодательные акты и Интернет-ресурсы.
Объектом исследования является открытое акционерное общество "РЖД".
Предметом исследования является совокупность теоретических, методологических и практических проблем, связанных с защитой информации на предприятии.
Исходя из этого, выстраивается ряд задач, а именно:
−рассмотреть теоретические основы защиты информации на предприятии;
−изучить модели и методы оценки защиты информации;
−провести анализ действующих политик информационной безопасности ОАО " РЖД";
−выявить цели, задачи, объекты и угрозы информационной безопасности на ОАО «РЖД».
Курсовая работа включает введение, две главы, заключение, список использованной литературы.
Во вводной части обоснована актуальность исследуемой проблемы, определены цели курсовой, а также задачи, предмет и объект работы.
Глава 1. Теоретические основы защиты информации
Сущность и содержание информационной безопасности
Проблема информационной защиты является далеко не новой. Еще в глубокой древности люди оставляли рисунки на скалах, которые также могут рассматриваться в качестве попытки сохранить информацию о реалиях внешнего мира. Применение же особых мер с целью сохранения информации в тайне практиковалось еще в далекой древности: достоверно, к примеру, известно, что политический деятель и полководец Древнего Рима Цезарь применял в этих целях криптографическое изменение текстов сообщений (которые вошли в историю под названием шифра Цезаря).
В связи с тем, что здесь решаются вопросы защиты информации в автоматизированных системах ее обработки, то и анализ исторического прошлого их происхождения и дальнейшего развития будем производить на глубину реального существования данных систем. В таком аспекте вполне реально говорить об истории, измеряемой в 30 с лишним лет.
Как и любой другой опыт, опыт информационной зашиты в автоматизированных системах обработки данных (АСОД) представляет двоякий интерес: в первую очередь, в познавательном плане, а в другом, в плане обоснования самых эффективных способов решения такой неординарной проблемы [6].
Также необходимо, заметить, что в России до недавних времен все работы по информационной защите являлись закрытыми, в связи с чем, общедоступных публикаций почти не было. Такое обстоятельство оказало отрицательное воздействие на распространении опыта. За последние несколько лет положение значительно изменилось, тем не менее понадобится длительное время, чтобы можно было составить достаточно репрезентативную выборку соответствующих работ.
Понятие "безопасность" в законе Российской Федерации «О безопасности» определяется в качестве "состояния защищённости жизненно важных интересов общества, отдельной личности и всего государства от внешних и внутренних угроз».
Также необходимо разграничивать два таких термина как информационная безопасность и безопасность информации. Понятие «информационная безопасность» охватывает более полный спектр проблем.
В соответствие с доктриной информационной безопасности РФ информационная безопасность представляет собой такое состояние защищённости информационной среды, которое обеспечивает её дальнейшее формирование и развитие в интересах населения, организаций и всего государства в целом. Безопасность информации – это состояние защищённости информации, обрабатываемой компьютерными средствами от внешних и внутренних угроз [4]. Источники угроз представлены на рисунке на рис. 1.

Рис. 1 - Источники угроз информационной безопасности
Защита информации включает полный комплекс мер по обеспечении целостности и конфиденциальности информации при условии ее доступности для пользователей, имеющих соответствующие права.
Целостность – понятие, определяющее сохранность качества информации и ее свойств.
Конфиденциальность предполагает обеспечение секретности данных и доступа к определенной информации отдельным пользователям. ( рис.2)
Доступность – качество информации, определяющее ее быстрое и точное нахождение конкретными пользователями.
Цель защиты информации – минимизация ущерба вследствие нарушения требований целостности, конфиденциальности и доступности.
3 угрозы информационной безопасности организации:
1. Неблагоприятная для предприятия экономическая политика государства. Регулирование экономики государством с помощью манипуляций (определение валютного курса, учетная ставка, таможенные тарифы и налоги), является причиной многих противоречий на предприятиях в сфере производства, финансов и коммерции. Большую опасность для обеспечения безопасности информации предприятия несут административные обязательства выхода на рынок, что приводит к насильственному сужению товарно-денежных отношений, нарушению законов со стороны государства и ограничению деятельности предприятия. Часто государство преувеличивает свою компетентность в финансовой и коммерческой сфере деятельности предприятия и необоснованно вмешивается в пространство информации этих сфер, а также посягает на собственность предприятия в различных формах.
Серьезную угрозу для обеспечения безопасности информации предприятия несут политические действия, направленные на ограничение или прекращение экономических связей. Санкции в экономике вызывают у обеих сторон недоверие к дальнейшей деятельности и подрывают коммерческие взаимоотношения. Все это ведет к дестабилизации экономических отношений, и не только на уровне государства.
2. Действия иных хозяйствующих субъектов. В данном случае риск обеспечения безопасности информации несет нездоровая конкуренция [2].
Та информация, которая предоставляется для широких масс по легальным каналам, не дает руководству предприятия полного ответа на интересующие вопросы о конкурентах. Поэтому, многие крупные предприятия, даже считая действия шпионажа неэтичными и неправомерными, все равно прибегают к мерам, противодействующим обеспечению безопасности информации. Шпионы, работающие на конкурирующем предприятии, часто прибегают к таким действиям, как прямое предложение, которое служит о предоставлении секретной информации, кражи, подкупа и других разных уловок. Многие действия по подрыву обеспечения безопасности информации облегчаются за счет появления на рынке различных подслушивающих устройств и других современных технических разработок, которые позволяют максимально качественно осуществлять коммерческий и промышленный шпионаж.
Для многих служащих конкурентной компании сумма, предложенная за шпионаж, за предоставление секретной информации, в несколько раз превышает их ежемесячный доход, что является очень соблазнительным для обычного сотрудника. Поэтому, можно считать, что подписка о неразглашении не является полной гарантией обеспечения безопасности коммерческой информации.
Таким образом, существуют различные точки зрения относительно понятия «информационная безопасность». В данной работе это понятие будем интерпретировать, как защищённость информации и поддерживающей инфраструктуры от преднамеренных или случайных воздействий искусственного или естественного характера, которые могут причинить значительный вред субъектам информационных отношений, в т. ч. пользователям и владельцам информации и поддерживающей инфраструктуры.
Методы защиты информации
В зависимости от масштаба и вида деятельности коммерческой организации структура ее система информационной безопасности может быть разнообразной исходя из экономической целесообразности. Однако обязательными элементами, присутствующими в ее структуре и соответствующие основным направлениям защиты, должны быть следующие:
Правовая защита - юридическая служба (юрист, патентовед, оценщик интеллектуальной собственности т.п.), взаимодействующая с бухгалтерией и плановым отделом;
Организационная защита - службы охраны (комендант, контролеры, пожарные и т.п.) и режима (государственной, служебной тайны, конфиденциальной информации и т.п.), взаимодействующие с отделом кадров [5, 11]. Инженерно-техническая защита - инженерно-техническая служба (операторы ЭВМ, связисты, криптографы, техники и т.п.), взаимодействующие с функциональными подразделениями фирмы.
Относительно способа реализации методики защиты информации, ее носителей и систем ее обработки классифицируются на:
правовые;
морально-этические;
технологические;
организационные;
физические;
технические [9, 16].
Рассмотрим более подробно каждую разновидность мер обеспечения информационной безопасности из вышеуказанных.
Правовые меры защиты включают в себя действующее в стране законодательство, указы, а так же другие нормативные правовые акты, которые регламентируют правила взаимодействия с информацией, права информационных отношений в процессе ее использования. Кроме этого правовые меры устанавливают ответственность за неисполнение данных правил, препятствуя при этом нерегламентированному пользованию информации и являясь фактором сдерживания для потенциальных нарушителей. Правовые меры исполняют, как правило, упреждающую, профилактическую функцию, требуя при этом постоянной работы с пользователями, а так же обслуживающим персоналом автоматизированной системы.
Морально-этические меры защиты информации - это нормы поведения, традиционно сложившиеся или складывающиеся по мере распространения ИТ в обществе. Данные нормы, большей частью, не обязательны, в отличие от требований нормативных актов. Однако, их несоблюдение приводит к снижению авторитета человека, группы лиц, либо организации. Морально-этические меры защиты - это профилактические меры. Они требуют стабильной работы по созданию здорового климата в коллективах пользователей автоматизированных систем [1].
Технологические меры защиты определяются различного рода технологическими решениями и приемами, которые основаны на использовании некоторых видах избыточности. Технологические меры направлены на уменьшение возможности совершения сотрудниками ошибок в рамках предоставленных прав и полномочий. Пример таких мер - использование процедуры двойного ввода информации, инициализация операции только при наличии разрешения нескольких должностных лиц, своевременное подведение общего баланса всех счетов и т.д.
Организационными мерами защиты являются меры административной и процедурной направленности, которые регламентируют процессы функционирования систем обработки информации, использование ее средств, деятельность обслуживающего персонала, порядок и взаимодействия пользователей и обслуживающего персонала с системой. Данные взаимодействия организованы таким образом, чтобы в большей степени исключить возможность реализации угроз безопасности или снизить размеры потерь в случае их реализации [12, 13].
Физические меры защиты – меры, основанные на применении механических, электромеханических устройств, сооружений, которые предназначены для создания физических препятствий на возможных путях проникновения и доступа возможных нарушителей к элементам системы, а так же защищаемой информации, средств наблюдения, связи, охранной сигнализации. Данный тип включает, кроме этого средства контроля физической целостности компонентов автоматизированной системы.
Технические меры защиты базируются на использовании разнообразных электронных устройств и специализированных программ, которые входят в состав автоматизированной системы и выполняют функции защиты [3].
Главной целью информационной безопасности в организации является обеспечение устойчивого функционирования предприятия и защита информационных ресурсов, от случайных (ошибочных) и направленных противоправных посягательств, разглашения, утраты, утечки, искажения, модификации и уничтожения охраняемых сведений.
Схематично возможные методы защиты информации представлены на рисунке 2.

Рис. 2 - Методы защиты информации
Обычно при разработке системы защиты информации применяются две взаимосвязанных составляющих комплекса мер по защите информации: организационные меры защиты информации (нормативные акты и инструкции) и инженерно-технические средства защиты (аппаратно-программный и технический комплекс мер).
К инженерно-техническим относят все возможные реализации защиты информации связанные с программной или аппаратной защитой, инженерно-техническими сооружениями. Следует отметить, что система защиты информации работает только в том случае, если работают и организационные и инженерные средства защиты. В случае не исполнения организационных мер эффективность применения инженерных средств резко сокращается. Так же в случае выхода из строя или некачественной работы инженерных средств защиты эффективность организационных мер стремится к нулю.
Программно-аппаратные средства защиты информации — это технические и программные средства, а так же отдельный вид устройств, предназначенных для проведения защитных мер с информацией, с целью недопущения ее утечки, потери или несанкционированного доступа, а так же осуществляющие меры п о предотвращению доступа к программно-техническим средствам организации как непосредственно, так и удаленно по каналам связи [3].
Часто программно-аппаратные средства защиты представлены в виде сервисов безопасности, встроенных в сетевых операционных системах и АРМ пользователей. Схематично программно-аппаратные средства защиты разделяются на следующие категории, рисунок 3.

Рис. 3 – Виды программно-аппаратных средств защиты информации
К основным аппаратным средствам защиты информации относятся:
устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т. п.);
устройства для шифрования информации;
устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).
Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций. К основным программным средствам защиты информации относятся:
программы идентификации и аутентификации пользователей КС;
программы разграничения доступа пользователей к ресурсам КС;
программы шифрования информации;
программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.
1.3 Виды программно-аппаратных средств защиты информацииДля обеспечения безопасности на программном и аппаратном уровне будут применяться средства, интегрированные в СУБД и серверную ОС, а так же дополнительные утилиты и программы которые позволят обеспечить гарантировано безопасный доступ к ОС и обеспечить ее сохранность и целостность.
Данные работы возлагаются на сотрудников отдела ИТ, администратора ЛВС, начальника отдела, дальнейшая поддержка будет выполняться администратором БД и администратором ЛВС [8].
Внедряемые средства позволят снизить риски, которым может подвергаться ОС, а некоторые свести к минимуму ликвидировать. К таким рискам можно отнести:
ошибка обслуживающего персонала;
несанкционированное использование носителей данных;
использование ПО несанкционированными пользователями;
пожар;
ухудшение состояния носителей данных;
доступ несанкционированных пользователей;
кража;
аппаратные отказы [4].
Самой распространенной системой работы в организациях на текущий момент является ЛВС под управлением операционной системы Windows. Которая используется как на рабочих местах сотрудников, так и используется для управления сервером. Операционная система Windows Server 2016 (или WS 10) — это версия серверной операционной системы от компании Microsoft выпущенная как серверная версия операционной системы Windows 10.
Организация структуры локальной вычислительной сети с использованием сервера представлено на рисунке 4.

Рисунок 4 - Общее устройство ЛВС с использованием рабочих станций и сервера
В структуре современных локальных вычислительных сетей эти роли и функции на аппаратном уровне может выполнять один физический сервер, который обеспечивает работоспособность ЛВС, а также все дополнительные функции.
Независимо от количества и специфики ролей сервера имеются общие базовые требования к серверу, такие как надежность, отказоустойчивость, и соответствующая производительность являются жизненно-важными для любого предприятия [13].
В работе организаций и домашних локальных вычислительных сетей можно выделить наиболее часто встречающиеся роли серверов:
Универсальные серверы — особый вид серверной программы, предоставляющих упрощенный интерфейс к ресурсам межпроцессного взаимодействия и/или унифицированный доступ клиентов к различным услугам.
Сервер маршрутизации – серверное оборудование задачей которого является предоставление базовой функции поддержки сети операционной системой. Главным отличием данной роли является обеспечение фильтрации пакетов, а также обеспечение динамической маршрутизации и предоставления динамически назначаемых адресов для хостов в структуре локальной вычислительной сети. В работе маршрутизации в современных операционных системах используются следующие сетевые службы:
DHCP и BOOTP обеспечивают присвоение IP адресов для сетевых узлов работающих в структуре ЛВС;
DNS — трансляцию имен в адреса и наоборот;
служба маршрутизации и удаленного доступа (RRAS).
Прокси-сервер (от англ. proxy — «представитель, уполномоченный») — служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак [18].
Веб-сервер — это сервер, позволяет обрабатывать запросы в веб-ресурсам расположенным на сервере и доступу к веб-страницам из внешней сети интернет.
Сервер приложений (англ. applicationserver) — сервер, исполняющий некоторые прикладные программы. Термин также относится и к программному обеспечению, установленному на таком сервере и обеспечивающему выполнение прикладного ПО.
Сервер приложений — сервер, схожий по своей структуре с локальными компьютерами и использующие сетевой ресурс для хранения программы и данных [13].
Файл-серверы - представляют собой роль сервера, которая обеспечивает наиболее оптимальным способом размещения информации для хранения на сервере и предоставления доступа к хранящимся на сервера файлам и массивам данным.
Сервер базы данных - обслуживает базу данных и отвечает за целостность и сохранность данных, а также обеспечивает операции ввода-вывода при доступе клиента к информации.
Несомненно, компьютерные сети на основе серверов являются более сложными с точки зрения их создания и конфигурации, но они имеют ряд значительных преимуществ по сравнению с одноранговыми сетями.
совместное использование;
безопасность. В сети, основанной на сервере, один администратор может управлять безопасностью всей сети, устанавливая соответствующие сетевые политики и применяя их в отношении каждого пользователя и ресурса;
выполнение процедур резервирования также упрощается, поскольку эти процедуры необходимо применять только для серверов;
отказоустойчивость оборудования.
пользователи [5].
Защита корпоративной ИТ структуры является обязательным и важным элементом системы обеспечения информационной безопасности любой организации. Для исключения возможных угроз информационной безопасности необходимо внедрение системы защиты информации которая связана как контролем доступа, так и с организацией системы фильтрации информации из внешних источников, а так же инженерно-техническая защита физических активов организации [3].
С точки зрения обеспечения безопасности для работы в составе локальной и глобальной сети является внедрение комплекса технических и программных средств блокирующих несанкционированный доступ в ЛВС. Данным средством предотвращения НСД является межсетевой экран. Помимо этого необходимо обеспечить защиту от проникновения, а именно внедрение инженерно-технических средств препятствующих проникновению в помещения организации, а так же комплекс программных средств защиты от несанкционированного доступа на разных уровнях.
Принцип обеспечения надежности системы защиты информации и информационная безопасность – это невозможность снижения уровня надежности системы во время сбоев, отказов, ошибок и взломов [5].
Программные средства защиты так же обеспечивают работу по борьбе с вредоносным кодом и программным обеспечением (вирусы, шифровальщики, взломщики). Например, всевозможные программы для защиты информации и система защиты информации от вирусов [10].
Программная защита сервера используется для выполнения операций по идентификации и авторизации. Поскольку серверная операционная система всегда является многопользовательской, то необходимо фиксировать все действия пользователей, вести журналы изменений и доступа, проверять доступ на соответствие. Программные средства защиты при работе с пользователями выполняют следующие действия: допуск к определенным условиям работы согласно регламенту, предписанному каждому отдельному пользователю, что определяется средствами защиты информации и является основой информационной безопасности большинства типовых моделей информационных систем [11].
Программная защита это совокупность программ и сервисных функций, которые работают для обеспечения защиты сервера от внешних и внутренних угроз согласно регламента и политики информационной безопасности и опираются на разработанные администратором правила. Каждое правило применимо как для пользователей серверной операционной системы так и ля сервисов работающих под управлением операционной системы.
Существуют специализированные программные средства, которым помогают предотвратить проникновения, утечки, изменения и взлом [12].
Межсетевой экран (фильтр) - программное и аппаратное обеспечение, а иногда аппаратно-программный комплекс расположенный между локальной и глобальной сетями в организации предназначенный для фильтрации сетевого трафика сетевого или транспортного уровней. Задачей межсетевого экрана является предотвращение проникновения сетевых пакетов и настройки подключений несанкционированных пользователей и программ. Использование межсетевого экрана позволяет значительно снизить угрозу несанкционированного доступа в локальную сеть извне, но не позволяет в полной мере устранить данную опасность совсем [10].
Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе [9].
Антивирусное ПО - программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики - предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.
Для разграничения прав и настройки политик безопасности, хорошо подходит Active Directory и GPO от MS Windows.
Защита информационных ресурсов с помощью паролей и разграничения доступа надежный и проверенный способ. Для его реализации имеются все инструменты.
Существуют три рубежа защиты от компьютерных вирусов:
предотвращение поступления вирусов;
предотвращение вирусной атаки, если вирус все-таки поступил на ПК;
предотвращение разрушительных последствий, если атака все-таки произошла.
Защита от угроз, не являющихся атаками, в основном регламентируется инструкциями, разработанными и утвержденными операторами с учетом особенностей эксплуатации информационных систем и действующей нормативной базы.
Также необходимо использовать СКУД как часть интегрированной безопасности. В таком случае, интегрированная система будет иметь следующую структуру:
Управление доступом.
контроль доступа сотрудников и посетителей на объект;
контроль транспортных средств и объектов на улице;
контроль перемещения лиц по объекту;
учёт рабочего времени (по желанию заказчика);
Охрана объекта.
работа охранной сигнализации;
работа пожарной сигнализации;
работа системы видеонаблюдения.
Жизнеобеспечение.
контроль электроснабжения;
контроль систем вентиляции;
контроль передвижных средств внутри объекта (лифты, эскалаторы) [12].
Комплекс системы контролируемого доступа (СКД) для промышленного предприятия должен состоять из следующих основных компонентов:
устройства контроля и управления доступом (контроллеры, программное обеспечение);
исполнительные устройства (электромагнитные замки, дверные доводчики, турникеты, триподы, шлагбаумы, автоматика для ворот);
устройства идентификации (идентификаторы - проксимити-карты, считыватели);
устройства аварийного выхода из помещения, рисунок 5.
Рис. 5 - Принципиальная схема системы контроля доступа для предприятия
Для выбора средств защиты информации передаваемой через сеть Интернет необходимо определить текущий уровень защиты, а так же определить возможности несанкционированного доступа к информационным активам, использующим сеть Интернет и разработать поведение модели нарушителя.
Управляющие организации имеют доступ к данным, для обеспечения полной безопасности просмотра и передачи данных выполняется шифрование и защита соединений, рисунок 6.

Рис. 6 - Схема взаимодействия с удаленными пользователями
Существуют специализированные программные средства, которым помогают предотвратить проникновения, утечки, изменения и взлом.
Защита от угроз, не являющихся атаками, в основном регламентируется инструкциями, разработанными и утвержденными операторами с учетом особенностей эксплуатации информационных систем и действующей нормативной базы.
Механизмами шифрования данных для обеспечения информационной безопасности общества является криптографическая защита информации посредством криптографического шифрования. Криптографические методы защиты информации применяются для обработки, хранения и передачи информации на носителях и по сетям связи. Криптографическая защита информации при передаче данных на большие расстояния является единственно надежным способом шифрования [3].
Использование криптосредств для шифрования канала передачи данных с открытым и закрытым ключом позволяют с большой уверенностью передавать информацию от клиента до сервера с высокой надежностью обеспечения безопасности даже в случае перехвата или потери данных.
Для организации защищенных соединений и защищенной среды передачи данных популярны протоколы безопасной передачи данных, а именно SSL, SET, IPSec.
Протокол SSL (Secure Socket Layer) — популярный сетевой протокол с шифрованием данных для безопасной передачи по сети. Он позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи. Протокол SSL обеспечивает защиту данных между сервисными протоколами (такими как HTTP, FTP и др.) и транспортными протоколами (TCP/IP) с помощью современной криптографии [4, 7].
Протокол SET (Security Electronics Transaction) — перспективный стандарт безопасных электронных транзакций в сети Интернет, предназначенный для организации электронной торговли через сеть Интернет. Протокол SET основан на использовании цифровых сертификатов по стандарту Х.509.
Протокол IPSec. Спецификация IPSec входит в стандарт IP v.6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разработана Рабочей группой IP Security IETF. В настоящее время IPSec включает 3 алгоритмо-независи-мых базовых спецификации, представляющих соответствующие RFC-стандарты. Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP.
Вся имеющаяся совокупность защитных мер отражается в организации в виде модели угроз и модели защиты. Данные документы являются основополагающими при рассмотрении угроз и средств защиты в организации и оценки уровня защищенности. Организация в модели защиты должна реализовывать ряд организационных и технических мер, которые необходимо предпринять для реализации защиты информации в ИС и нейтрализации угроз [12].
Глава 2. Система обеспечения информационной безопасности на железнодорожном транспорте
2.1 Анализ действующих политик информационной безопасности ОАО «РЖД»
На опыте работы крупнейших мировых компаний можно убедиться, что игнорирование вопросов информационной безопасности весьма увеличивает риск возникновения серьезных материальных потерь вплоть до остановки технологического процесса. На данный момент количество попыток несанкционированных воздействий на корпоративные информационные ресурсы существенно возросло.
Информационные системы ОАО «РЖД» представляют собой потенциальный источник информации, которая может быть использована в целях совершения различных противоправных акций. Именно поэтому стоит уделять пристальное внимание проблеме обеспечения информационной безопасности. И именно поэтому стратегия развития ОАО «РЖД» до 2030 г. включает в себя и задачи по обеспечению безопасности на объектах железнодорожного транспорта. Приведем примерный перечень таких задач [1]:
• совершенствование основных положений государственной политики и нормативной правовой базы обеспечения безопасности объектов инфраструктуры железнодорожного транспорта и их реализация;
• разработка комплекса мероприятий по реализации положений государственной политики и приоритетных направлений обеспечения безопасности транспортной системы России в области железнодорожного транспорта;
• разработка методологии и практических методов решения задач обеспечения безопасности на объектах железнодорожного транспорта;
• определение состава угроз безопасности объектов железнодорожного транспорта;
• проведение категорирования и оценки уязвимости объектов железнодорожного транспорта;
• разработка системы требований по обеспечению безопасности объектов инфраструктуры железнодорожного транспорта с учетом категории и уязвимости объекта;
• разработка и адаптация новейших технологий и программноаппаратных средств обеспечения безопасности, в том числе пассивных и активных средств защиты критически важных и опасных объектов инфраструктуры железнодорожного транспорта;
• создание автоматизированной системы мониторинга состояния и управления безопасностью критически важных и опасных объектов инфраструктуры;
• подготовка специалистов в области обеспечения транспортной безопасности;
• осуществление автоматизированного контроля и надзора в области обеспечения транспортной безопасности;
• создание, модернизация и ведение баз данных по оценке уязвимости категорированных объектов;
• разработка и ведение планов обеспечения транспортной безопасности категорированных объектов;
• паспортизация категорированных объектов;
•мониторинг состояния транспортной безопасности на железнодорожном транспорте, включая создание и эксплуатацию центра контроля состояния транспортной безопасности;
• оснащение (модернизация) объектов железнодорожного транспорта техническими средствами защиты. Для решения указанных задач требуется разработка комплекса нормативных, организационных, экономических и технико-технологических мероприятий.
Также потребуется совершенствование деятельности всех органов управления транспортом, модернизация производственной базы транспорта, переход на новые технологии и виды технических средств, активное использование новейших информационнокоммуникационных технологий и средств их реализации (средств вычислительной техники и связи, сбора и обработки информации).
Комплексным результатом реализации таких мероприятий будет создание эффективной системы обеспечения необходимого уровня защищенности объектов инфраструктуры железнодорожного транспорта для устойчивого и безопасного функционирования транспортной системы и защиты ее от актов незаконного вмешательства.
На сегодняшний день деятельность по управлению защитой информации компании направлена на обеспечение безопасности информации объектов инфраструктуры, а также на сохранение конфиденциальности, целостности и доступности информации и единства информационного пространства ОАО «РЖД». К основным объектам защиты информации, согласно открытым источникам в ОАО «РЖД», относятся:
• объекты информационной инфраструктуры, включающие в себя программно-технические комплексы и систему управления единой магистральной цифровой сетью связи (ЕМЦСС);
• системы управления автоматических телефонных станций общетехнологической и оперативно-технологической сетей;
• программно-технические комплексы и система управления сетью передачи данных (СПД);
• объекты автоматизированных систем управления и информационных систем, включающие в себя отдельные автоматизированные рабочие места (АРМ) и локальные вычислительные сети (ЛВС), серверные сегменты информационных систем и автоматизированных систем управления, программно-технические комплексы поддержания специализированных баз данных [9];
• системы документооборота.
Существует три основных составляющих защиты: организационная, нормативно-правовая и техническая. Организационная составляющая включает в себя должностных лиц и штатные подразделения обеспечения информационной безопасности.
Нормативноправовая составляющая разрабатывается на основе действующих в Российской Федерации законодательных и нормативных документов и международных стандартов: ГОСТ Р 51275-99; ГОСТ Р 51624- 2000; ГОСТ Р 51583-2000; ГОСТ Р ИСО/МЭК 15408-2002; ISO/ ШС 17799:2005; ISO/IEC 27001:2005 и др.
Также ОАО «РЖД» использует ряд корпоративных стандартов управления защитой информации, политик информационной безопасности, положений, регламентов и т. д.
В качестве примеров нормативных актов можно привести «Инструкцию о порядке обращения с информацией, составляющей коммерческую тайну ОАО «РЖД», распоряжение «Об организации работ по предотвращению записи, хранения и распространения информации и программных продуктов непроизводственного характера» с «Примерным перечнем категорий информации и программных продуктов...» и «Примерным порядком организации создания корпоративных Web-сайтов, FTP-серверов, конференций...», «Порядок подключения пользователей к информационным ресурсам ОАО “РЖД”» и др. Техническую составляющую представляет корпоративная инфосеть, которая объединяет информационные ресурсы и технические средства обработки и передачи информации центрального аппарата, железных дорог и других филиалов РЖД. Таким образом, проведя предварительный аудит и оценив активы организации и их важность, можно определить приоритетные направления разработки в системе менеджмента информационной безопасности (СМИБ) [2].
Следующий перечень процессов призван модернизировать, укрепить и улучшить действующие регламенты по безопасности, а также развить инновационный подход [3]:
• Распределение обязанностей и ответственности.
•Повышение осведомленности сотрудников в вопросах информационной безопасности.
• Обеспечение непрерывности бизнес-процессов.
• Мониторинг информационной инфраструктуры.
• Безопасное хранение данных.
• Управление доступом к данным.
• Управление информационной инфраструктурой.
• Управление изменениями.
• Управление инцидентами и уязвимостями.
• Защита от вредоносного кода.
• Взаимодействие с третьими сторонами.
• Безопасная разработка программного обеспечения.
• Управление аутентификацией и парольная защита.
• Обеспечение физической безопасности.
• Криптографическая защита и управление ключами.
Часть процессов уже находится в исполнении. Другую часть необходимо регламентировать и утвердить в стандартах по защите информации. Ответственность за действия по обеспечению информационной безопасности возлагается на департамент безопасности ОАО «РЖД».
Наиболее важный принцип - это функциональная интеграция специализированных программно-технических комплексов защиты с программно-техническими комплексами передачи и обработки информации, имеющими собственные встроенные средства защиты с мощной функциональностью (например, ОС рабочих станций и серверов, активное сетевое оборудование). Функциональная интеграция позволяет достигать высокого уровня защищенности при минимизации затрат на внедрение.
Также важно практикуемое сегментирование сети по территориально-производственной принадлежности с разделением функций и ролей. Это означает физическое или виртуальное разделение локальных вычислительных сетей и информационных ресурсов структурных единиц ОАО «РЖД» с жестким распределением прав доступа к ресурсам между персоналом. Важным пунктом является инфраструктура Windows-доменов и ActiveDirectory (AD), которая дает возможность централизованного формирования и управления политиками безопасности информационных систем.
Также можно упомянуть и инфраструктуру открытых ключей, предназначенную для усиленной аутентификации и авторизации доступа к информационным ресурсам функционирования VPN-каналов, а также реализации шифрования и электронной цифровой подписи при внутреннем информационном обмене. К общим техническим компонентам отнесем комплекс защиты от разрушающих программных воздействий и обновлений ПО, поддерживающий оперативную рассылку обновлений антивирусных баз и системного программного обеспечения по всей сети филиалов компании. Помимо всего прочего, особо важными являются действия сотрудников ОАО «РЖД» при работе с объектами защиты. Необходимо, чтобы каждый сотрудник следовал установленным регламентам.
При работе с данными сотрудник должен:
1) организовывать работу по выполнению нормативных документов и рекомендаций ОАО «РЖД» в части обеспечения информационной безопасности;
2) обеспечивать функционирование системы защиты информации при взаимодействии с информационными ресурсами ОАО «РЖД» и сетью передачи данных ОАО «РЖД»;
3)принимать необходимые меры при обнаружении попыток несанкционированного доступа к информационным ресурсам ОАО «РЖД»;
4)предоставлять работникам право доступа на объекты информатизации по служебному удостоверению;
5) незамедлительно информировать департамент безопасности ОАО «РЖД» о фактах утечки информации, составляющей коммерческую тайну ОАО «РЖД»;
6) устанавливать программные продукты, необходимые для пользования системами обеспечения информационной безопасности ОАО «РЖД», на оборудование, имеющее доступ к сети передачи данных ОАО «РЖД»;
7) участвовать в служебных расследованиях, проводимых департаментом по безопасности по фактам, обнаруженным в ходе проверок обеспечения информационной безопасности;
8) выполнять мероприятия по устранению уязвимостей и нарушений в обеспечении защиты информации информационных систем и сетей в соответствии с уведомлениями департамента безопасности.
Таким образом, в сумме все мероприятия должны дать положительный эффект, а также сопутствовать укреплению, модернизации, общему улучшению и инновационным изменеиям в сфере защиты информации в структуре ОАО «РЖД».
2.2 Цели, задачи, объекты и угрозы информационной безопасности
Под информационной безопасностью корпорации — холдинга ОАО «РЖД» — будем понимать состояние защищенности информационных активов — информации и информационной инфраструктуры, других информационных активов (ресурсов), при котором обеспечивается приемлемый риск нанесения ущерба в условиях проявления внешних и внутренних, случайных и преднамеренных угроз. Основными целями обеспечения информационной безопасности и защиты информации в отрасли, компании ОАО «РЖД», корпоративных системах и сетях железнодорожного транспорта являются [1,2]:
– поддержание высокого уровня безопасности движения, грузовых и пассажирских перевозок железнодорожного транспорта в условиях динамичной корпоративной информатизации;
– минимизация или обеспечение приемлемого уровня информационных рисков, экономического и других видов ущерба при нарушении безопасности информации;
– обеспечение руководства и сотрудников компании полной, достоверной и своевременной информацией, необходимой для принятия решений, и предоставление информационных услуг, в том числе по защите информации (обеспечение ее конфиденциальности, целостности и доступности), клиентам — пользователям информационных систем: грузоотправителям, грузополучателям, пассажирам и другим [6].
Другие важные цели обеспечения информационной безопасности ОАО «РЖД» — защита информационных ресурсов от несанкционированного доступа, обеспечение их целостности и доступности, защита информационных и телекоммуникационных систем от преступлений и актов терроризма, совершаемых с использованием уязвимостей информационных технологий, формирование систем электронного взаимодействия ОАО «РЖД» с органами власти, предприятиями, организациями и частными лицами, и создание на этой основе благоприятных условий для экономической стабильности и развития ОАО «РЖД».
Разработка и осуществление мероприятий для достижения целей обеспечения информационной безопасности должны проводиться в соответствии с принципами: законности, системности, комплексности, непрерывности, своевременности, преемственности и непрерывности совершенствования, разумной достаточности, персональной ответственности, минимизации полномочий, гибкости системы защиты, открытости алгоритмов и механизмов защиты, простоты применения средств защиты, научной обоснованности и технической реализуемости, а также обязательности контроля. Основными задачами обеспечения информационной безопасности ОАО «РЖД» являются [8]:
– создание механизмов своевременного выявления, прогнозирования, локализации и блокирования угроз безопасности, оперативного реагирования на проявления негативных тенденций в использовании информационных ресурсов и систем;
–совершенствование системы управления информационной безопасностью;
– создание необходимой непротиворечивой нормативной правовой базы обеспечения информационной безопасности;
– создание технической и технологической базы информационной безопасности;
–обеспечение правовой защиты субъектов информационных
отношений;
–сохранение и эффективное использование информационных ресурсов;
–координация деятельности филиалов ОАО «РЖД», дочерних и зависимых организаций и предприятий в обеспечении информационной безопасности;
– эффективное пресечение посягательств на конфиденциальность, целостность и доступность информационных ресурсов.
Рассмотрим объекты информационной безопасности. Объектами обеспечения информационной безопасности корпорации являются информационные активы и, прежде всего, информация конфиденциального характера и информационная инфраструктура.
К защищаемой информации на железнодорожном транспорте в более широком смысле относится информация ограниченного доступа — сведения, содержащие государственную тайну, и информация конфиденциального характера — коммерческая тайна, персональные данные работников ОАО «РЖД» и других физических лиц, служебная тайна, а также информация, охраняемая авторским и патентным правом и являющаяся интеллектуальной собственностью. Наряду с информацией ограниченного доступа и интеллектуальной собственностью должна защищаться и открытая информация в части целостности и доступности — оперативная управленческая информация, данные, другая информация, циркулирующая в корпоративных информационных систем и сетях (КИСС) железнодорожного транспорта.
Это информация, несанкционированное получение, искажение, уничтожение, использование или блокирование которой может нанести ущерб отрасли (рис. 7).

Рис. 7 – Защищаемая информация ОАО «РЖД»
Виды угроз информационной безопасности ОАО «РЖД»:
1) внешние угрозы, исходящие от субъектов, не входящих в состав пользователей и обслуживающего персонала системы, разработчиков системы и не имеющих непосредственного контакта с информационными системами и ресурсами, а также от природных явлений (стихийных бедствий), катастроф;
2) внутренние угрозы, исходящие от пользователей и обслуживающего персонала системы, разработчиков системы, других субъектов, вовлеченных в информационные процессы ОАО «РЖД» и имеющих непосредственный контакт с информационными системами ресурсами, как допущенных, так и не допущенных к информации ограниченного доступа, а также при отказах аппаратных и технических средств и сбоях программного обеспечения.
Основными источниками угроз информационной безопасности выступают отдельные злоумышленники и их сообщества, а также плохие работники ОАО «РЖД»:
преступные группировки (отдельные лица), организующие проведение противозаконных акций; организации (отдельные лица), пытающиеся извлечь прибыль незаконным путем за счет несанкционированного доступа к информационным ресурсам ОАО «РЖД»;
работники ОАО «РЖД», преследующие корыстные цели; недобросовестные, безответственные или неквалифицированные работники ОАО «РЖД», имеющие доступ к информационным ресурсам и технологиям.
В качестве основных типов угроз безопасности информации рассматриваются [7]:
–компрометация конфиденциальности информации;
–нарушение целостности информации, включая изменение или фальсификацию (искажение и модификацию), а также полное или частичное уничтожение информации;
–нарушение доступности информации, включая блокирование санкционированного доступа к информации авторизованных пользователей.
Главными целями атак на информационные системы ОАО «РЖД» являются получение несанкционированного доступа к информационным ресурсам и ресурсам связи и их дальнейшее скрытное незаконное использование, дезорганизация работы важнейших управляющих, информационных и телекоммуникационных систем.
Способы реализации угроз:
– несанкционированный доступ в локальные вычислительные сети, в СПД и к техническим средствам, обрабатывающим и хранящим информацию ограниченного доступа (с использованием программно-технических комплексов) c целью получения информации и дальнейшего незаконного ее использования;
– доступ в ЛВС и СПД и съем информации с каналов передачи информации с целью дальнейшего незаконного ее использования;
– применение специальных средств и механизмов реализации атак (кроме программвирусов) на программно-технические комплексы и базы данных телекоммуникационных сетей, ЛВС и СПД и их систем управления с целью дезорганизации работы информационных систем;
– заражение компьютерными вирусами и внедрение других разрушающих программ с целью дезорганизации работы информационных систем;
– случайное разрушение информации или порча программного обеспечения при отсутствии механизмов разграничения и ограничения доступа к информационной инфраструктуре;
– съем информации по техническим каналам утечки.
Подводя итог можно сказать, что проблема предотвращения, парирования и нейтрализации этих угроз в КИСС и обеспечения информационной безопасности корпорации решается комплексом нормативноправовых, организационных и программно-технических (технологических) мер, методов и средств, образующих систему обеспечения информационной безопасности.
Заключение
Достигнута цель работы - произведено рассмотрение и применение программно-аппаратных средств защиты информации.
Для достижения поставленной цели решены задачи:
-изучена теория защиты информации в организации;
-рассмотрены методы защиты информации;
-рассмотрены виды программно-аппаратных средств защиты информации;
-проведено описание применения программно-аппаратных средств защиты информации в организации.
Аппаратные средства привлекают все большее внимание специалистов не только потому, что их легче защитить от повреждений и других случайных или злоумышленных воздействий, но еще и потому, что аппаратная реализация функций выше по быстродействию, чем программная, а стоимость их неуклонно снижается.
Таким образом, технические методы обеспечения информационной безопасности включают в себя организацию программно-технической защиты сегментов локальной вычислительной сети, обеспечение разграничения доступа из сегментов ЛВС, реализацию установки различных программных средств, обеспечивающих работоспособность пользовательских рабочих мест в случае возникновения угроз и имеющих возможность обеспечить защиту данных, или же предотвратить возможность возникновения угрозы.
Работа по технической защите так же включает в себя использование физических и инженерно-технических средств защиты, а так же программно-аппаратных средств для защиты данных. 
Список источников
1.Бабаш, А.В. Информационная безопасность: Лабораторный практикум / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2019. - 432 c.
2.Баранова, Е.К. Информационная безопасность и защита информации: Учебное пособие / Е.К. Баранова, А.В. Бабаш. - М.: Риор, 2017. - 400 c.. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: Форум, 2018. - 256 c.
3.Бузов, Геннадий Алексеевич Защита информации ограниченного доступа от утечки по техническим каналам / Бузов Геннадий Алексеевич. - М.: Горячая линия - Телеком, 2017. - 186 c.
4.Васильков, А.В. Безопасность и управление доступом в информационных системах: Учебное пособие / А.В. Васильков, И.А. Васильков. - М.: Форум, 2018. - 384 c.
5.ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности // Информационно-справочная система ТЕХНОРМА [Электронный ресурс] URL: http://tehnorma.ru/gosttext/gost/ gost_4502.htm ( дата обращения 15.04.21).
6.Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2018. - 88 c.
7.Прикладная криптография. /Б. Шнайер. - М.: Издательство ТРИУМФ, 2017.
8.Танова, Э. В. Введение в криптографию. Как защитить свое письмо от любопытных. Элективный курс / Э.В. Танова. - М.: Бином. Лаборатория знаний, 2017. - 255 c.
9.Федеральный закон «Об электронной цифровой подписи» № 63-ФЗ от 06.04.2011 г
10.Федеральный закон Российской Федерации от 27 июля 2006 г. №149 ФЗ «Об информации, информационных технологиях и о защите информации».
11.Фороузан, Б. А. Криптография и безопасность сетей / Б.А. Фороузан. - М.: Бином. Лаборатория знаний, 2017. - 784 c.
12.Шаньгин, В. Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. - Москва: Огни, 2018. -551 c.
13.Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: Форум, 2018. - 256 c.