В данной статье рассматриваются основные вопросы информационной безопасности, такие как принципы защиты информации, шифрование. Особое внимание уделяется методу защиты шифрованием, использованию электронных подписей.
Ключевые слова: защита информации, криптография, криптоанализ, шифрование, дешифрование, электронная подпись.
Национальная безопасность страны и ее региона в современных условиях напрямую зависит от уровня информационной безопасности и существующих условий информационной безопасности. Информационная безопасность играет ключевую роль в обеспечении жизненно важных интересов Российской Федерации и ее регионов. Революция в области информационных технологий (появление глобального интернета, мобильных средств связи и т. д.).
Качественно расширились технические возможности специалистов в области информационной безопасности. Информационная безопасность во многом зависит от безопасности технических структур (компьютерных систем управления, баз данных и т. д.). Выход из строя может привести к нарушению интегрированной системы безопасности.
Существует три основных принципа, которые должна обеспечивать информационная безопасность:
– Целостность данных-предотвращение сбоев, приводящих к потере информации, а также предотвращение несанкционированного создания или уничтожения данных;
– Конфиденциальность информации;
– Доступность информации для всех авторизованных пользователей.
Защита информации — это комплексная задача, направленная на обеспечение безопасности, достигаемая за счет внедрения систем информационной безопасности. Проблема информационной безопасности многомерна и сложна, включает в себя множество важных задач. Кроме того, безопасность информации усугубляется проникновением технологий обработки и передачи данных во все сферы жизни общества, в первую очередь в компьютерные системы.
При разработке компьютерной системы сбои или ошибки в ее работе могут привести к серьезным последствиям, вопросы компьютерной безопасности становятся приоритетными. Сегодня в секторе судоходства защита информации в сети почти так же важна, как и обеспечение безопасности и сохранности судов.
Рекомендации МАКО (Международная ассоциация классификационных обществ) являются результатом эффективного отраслевого сотрудничества и содержат необходимые рекомендации по развитию и поддержанию информационной безопасности судов. МАКО — международное объединение классификационных обществ, ставящее своей целью выработку стандартов и правил в отношении обеспечения безопасности морских перевозок [3].
Примеры рисков информационной безопасности включают:
– Риск раскрытия или искажения информации;
– Риск отключения питания;
– Риск кражи или утечки;
– Риск изменения судовых тарифов.
Планы и процедуры управления рисками информационной безопасности судоходных компаний должны соответствовать существующим процедурам управления рисками кодекса ISM и спецификации ISPS.
Ниже представлен рисунок, показывающий состав функциональных элементов системы информационной защиты:
Эти функциональные элементы должны быть включены во всю систему управления рисками. Они отражают необходимые действия и ожидаемые результаты для эффективного управления информационными рисками ключевых систем, участвующих в морских операциях.
От береговых менеджеров до членов экипажа системы информационной безопасности должны использоваться на всех уровнях компании и сочетаться с системами безопасности и охраны для обеспечения эффективности работы судна.
Уязвимыми могут быть следующие корабельные системы:
– Система ходового моста;
– Грузовая система;
– Системы управления транспортом и энергетикой;
– Система контроля доступа на борту;
– Система обслуживания пассажиров;
– Публичная сеть;
– Система социального обеспечения членов экипажа;
– Системы радиосвязи и связи.
Для обеспечения информационной безопасности использовались различные методы. Большинство из них основаны на науке криптографии, методе обеспечения конфиденциальности и достоверности информации (целостности и авторства). Суть защиты зашифрованных данных заключается в передаче информации в зашифрованном виде, в котором она вряд ли будет прочитана посторонними людьми. Традиционно криптография включает в себя методы использования ключей для шифрования и дешифрования, современная наука предлагает десяток различных открытых алгоритмов шифрования и состоит из 4 частей: симметричная криптография, криптография с открытым ключом, электронные подписи и управление ключами. Симметричная криптографическая система использует один и тот же ключ для шифрования и дешифрования. В такой системе можно выполнить преобразование текста: замена, по некоторым правилам заменить один символ другим символом; замена, заменить символ.
В соответствии с определенными аналитическими правилами аналитическое преобразование; комбинированное преобразование, то есть в соответствии с определенным порядком с использованием набора основных методов преобразования [2].
Опасность использования этого метода заключается в том, что, если получатель не знает ключа, он также должен быть передан вместе с зашифрованным текстом по каналу связи, что поставит под угрозу передаваемые данные. В этом отношении система открытых ключей является наиболее безопасной. В такой системе получатель генерирует два взаимосвязанных ключа, один из которых является открытым и публикуется отправителю, а закрытый ключ известен только получателю.
Система открытых ключей использует необратимую функцию, которая исключает возможность использования открытого ключа для расшифровки текста или обнаружения закрытого ключа. Эти системы опираются на следующие типы необратимых переменных: вычисление корня алгебраического выражения, разложение чисел на простые множители и вычисление логарифмов в конечной области [1, 2]. Электронные подписи позволяют проверить информацию, сверив подпись с образцом (если таковой имеется), а также указать авторство.
К сожалению, этот метод аутентификации не является надежным, поэтому мы рекомендуем использовать его в сочетании с другими алгоритмами шифрования. Мало выбрать криптографическую систему для защиты информации, но нужно еще и управлять ключами, то есть генерацией, накоплением и распределением ключей. Вы можете генерировать ключи случайным образом или на основе пользовательских данных. В случае пользовательских данных один и тот же зашифрованный входной текст имеет один и тот же результат, в отличие от случайных методов, поэтому он наиболее уязвим. Ключи накапливаются в специальной базе данных, а ключи, используемые для шифрования, дешифрования и проверки подписи, строго разделены. Каждый пользователь имеет свой собственный набор ключей. Распределение ключей использует систему шифрования с открытым ключом.
Существует два возможных варианта: распространение открытого ключа и распространение секретного ключа с использованием шифрования с открытым ключом [4].
Средства защиты зашифрованной информации или SCSI-с этим словом сталкиваются не только специалисты по информационной безопасности, но и обычные люди.
Одним из определений термина SCSI, используемых в различных официальных документах, является компьютерное средство, выполняющее преобразование информации в шифрование для обеспечения ее безопасности. При этом под компьютерными средствами понимается совокупность программных и технических элементов системы обработки данных, которые могут работать независимо или в составе других систем.
Зашифрованные информационные инструменты используются в различных областях, непосредственно связанных с бизнес-процессами. Это включает в себя надежное хранение, защищенные каналы связи и защищенный электронный документооборот (в этой области используется ЭЦП).
Помимо криптографии, широко используются и другие методы защиты информации, но наиболее актуальным и используемым в настоящее время является парольный метод защиты информации. Исходя из того, что существует несколько типов криптографических систем, сфера применения метода расширяется, поскольку в случае, когда системы с открытым ключом использовать не следует, на помощь могут прийти симметричные криптографические системы.
Что касается решения вопросов информационной безопасности, то с появлением новых средств защиты также появились новые, более сложные методы несанкционированного доступа и другие угрозы, поэтому проблема защиты информации, всегда будет открытой и актуальной [5].
В заключении, следует отметить следующие моменты. К требованиям закона нужно относиться серьезно. Исходя из опыта реализации нового закона, особенно в сфере транспортной безопасности, можно прогнозировать, что вступление закона в силу может привести к увеличению бюрократических процедур, количества документов, необходимых для транспортной инфраструктуры и / или транспортных субъектов, а также количества контрольно-надзорных мероприятий. Определение, содержащееся в законе, позволяет представить, что очень широкий круг объектов, включая суда, береговые и портовые системы, может быть отнесен к транспортным КИИ. Стандарты ИМО рекомендуют осуществлять управление киберрисками путем естественного расширения существующих подходов к управлению безопасностью на море и безопасностью судов [6].
Однако российское законодательство предусматривает целый ряд вопросов безопасности в отдельных, не связанных между собой нормативных правовых актах, и реализовать комплексный подход к обеспечению безопасности объектов водного транспорта практически невозможно [7]. Имея это в виду, легко прогнозировать ситуацию при отсутствии стандартов кибербезопасности ИМО и интеграции российского законодательства в области информационной безопасности. Судовладельцы и субъекты инфраструктуры морского и речного транспорта обязаны соблюдать международное (ИМО) и российское законодательство [8].
Иными словами, необходимо обеспечить параллельную и одновременную работу двух систем информационной безопасности. Следует отметить, что эта проблема затронет весь транспортный сектор, а не только морской и речной транспорт. Мы считаем, что Министерство транспорта Российской Федерации, подведомственные ему федеральные органы, а также транспортное сообщество должны проанализировать ситуацию, обеспечить безопасность транспортной информации и сформировать четкую позицию по этому вопросу.
Литература:
- Кибербезопасность на бескрайних морях: [блог]//Positive Technologies. Хабрхабр: [сайт]. URL: https://habrahabr. ru/company/pt/blog/303198/ (дата обращения 19.11.2020).
- Кибербезопасность на бескрайних морях: [блог]//Positive Technologies. Хабрхабр: [сайт]. URL: https://habrahabr. ru/company/pt/blog/303198/ (дата обращения 18.11.2020).
- Allianz проанализировал безопасность судоходства в мире//Allianz: [сайт]. URL: https://www.allianz.ru/ru/press/ news/article22445986 (дата обращения 07.11.2020).
- Кибербезопасность на бескрайних морях: [блог]//Positive Technologies. Хабрхабр: [сайт]. URL: https://habrahabr. ru/company/pt/blog/303198/ (дата обращения 18.11.2020).
- Руководство IMO предупреждает о кибер-уязвимости рулевого устройства//Crewmarket.net: [сайт]. URL: http://news.crewmarket. net/2016/05/rukovodstvo-imopreduprezhdaet-o-kiber-uyazvimostirulevogo-ustrojstva.html (дата обращения 17.10.2020).
- Международная морская организация: [сайт]. URL: http://www.imo.org/en/ OurWork/Facilitation/FALCommittee/ Facilitation/FAL 41–17 — Table of contents (Secretariat).pdf (дата обращения 19.11.2020).
- Международная морская организация: [сайт]. URL: http://www.imo. org/en/OurWork/Security/WestAfrica/ Documents/Resolution MSC.428(98) — Maritime Cyber Risk Management in Safety Management Systems.pdf (дата обращения 16.10.2020).
- Международная морская организация: [сайт]. URL: http://www.imo.org/en/ OurWork/Security/Guide_to_Maritime_ Security/Documents/MSC-FAL.1-Circ.3 — Guidelines On Maritime Cyber Risk Management (Secretariat).pdf (дата обращения 19.11.2020).
- Международная палата судоходства: [сайт]. URL: http://www.ics-shipping. org/docs/default-source/resources/ safety-security-and-operations/ guidelines-on-cyber-security-onboardships.pdf?sfvrsn=16 (дата обращения 19.11.2020).
- Федеральный закон от 09.02.2007 № 16-ФЗ (ред. от 06.07.2016) «О транспортной безопасности» (с изм. и доп., вступ. в силу с 21.12.2016). [Электронный ресурс] URL: http:// www.consultant.ru/document/cons_ doc_LAW_66069/ (дата обращения 19.10.2020.)
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». [Электронный ресурс] URL: http:// www.consultant.ru/document/cons_ doc_LAW_220885/ (дата обращения 09.10.2020).