Информационная безопасность автоматизированных систем

Оглавление
TOC \o "1-3" \h \z \u Введение PAGEREF _Toc84178624 \h 31 Общие понятия PAGEREF _Toc84178625 \h 62 Особенности автоматизированных систем и цель защиты автоматизированных систем PAGEREF _Toc84178626 \h 83 Угрозы безопасности автоматизированных систем PAGEREF _Toc84178627 \h 124 Основные непреднамеренные искусственные угрозы PAGEREF _Toc84178628 \h 144.1 Сбои и отказы технических средств PAGEREF _Toc84178629 \h 144.2 Ошибки при разработке системы PAGEREF _Toc84178630 \h 144.3 Ошибки пользователей и обслуживающего персонала PAGEREF _Toc84178631 \h 155 Основные преднамеренные искусственные угрозы PAGEREF _Toc84178632 \h 165.1 Шпионаж и диверсии PAGEREF _Toc84178633 \h 165.2 Несанкционированный доступ PAGEREF _Toc84178634 \h 165.3 Съем электромагнитных излучений и наводок PAGEREF _Toc84178635 \h 165.4 Несанкционированная модификация структур PAGEREF _Toc84178636 \h 176 Классификация каналов проникновения в автоматизированную систему и утечки информации из системы PAGEREF _Toc84178637 \h 187 Достоинства и недостатки различных видов мер защиты PAGEREF _Toc84178638 \h 207.1 Технические меры PAGEREF _Toc84178639 \h 207.2 Программные меры PAGEREF _Toc84178640 \h 207.3 Организационные меры PAGEREF _Toc84178641 \h 218 Основные принципы построения системы защиты ресурсов АС PAGEREF _Toc84178642 \h 22Заключение PAGEREF _Toc84178643 \h 23Список использованных источников PAGEREF _Toc84178644 \h 24Приложения PAGEREF _Toc84178645 \h 25Приложение 1 PAGEREF _Toc84178646 \h 26Приложение 2 PAGEREF _Toc84178647 \h 27
ВведениеВ курсовой работе рассматривается тема «Информационная безопасность автоматизированных систем».
Проблема создания и поддержания безопасной среды обмена информацией, реализующей определенные правила и политики безопасности современной организации, очень актуальна. Информация давно перестала играть чисто вспомогательную роль, превратившись в очень важный и весомый, почти материальный фактор со своими стоимостными характеристиками, определяемыми реальной прибылью, которую можно получить от ее (информации) использования. В то же время, вполне возможен сегодня и вариант нанесения ущерба владельцу информации путем несанкционированного проникновения в информационную структуру и воздействия на ее компоненты.
Содержание "информационной безопасности", если ее объектом является коммерческое предприятие, будет заключаться в защите интересов владельца этого предприятия, удовлетворяемых с помощью информации, или связанных с защитой от несанкционированного доступа к той информации, которую владелец считает достаточно важной. Интересы проявляются через объекты, которые могут служить для их удовлетворения, и действия, предпринимаемые для обладания этими объектами. Соответственно, интересы как объект безопасности могут быть представлены совокупностью информации, которая может удовлетворить интересы владельца, и его действиями, направленными на овладение информацией или сокрытие информации. Эти компоненты объекта информационной безопасности защищены от внешних и внутренних угроз. В случае, когда владелец предприятия не видит необходимости защищать свои действия, например, из-за того, что это не окупается, содержание информационной безопасности предприятия может быть сведено к обеспечению безопасности конкретной информации, раскрытие которой может нанести заметный ущерб коммерческой деятельности.
Для предотвращения потери информации разрабатываются различные механизмы ее защиты, которые используются на всех этапах работы с ней. Необходимо защитить от повреждений и внешних воздействий как устройства, на которых хранится секретная и важная информация, так и каналы связи.
Ущерб может быть причинен в результате сбоя оборудования или канала связи, подделки или разглашения секретной информации. Внешние воздействия возникают в результате стихийных бедствий, а также в результате сбоев или краж оборудования.
От чего и от кого необходимо защищать информацию? Как правильно осуществлять защиту? Существование данных вопросов подтверждает актуальность темы курсовой работы.
Целью курсовой работы являются изучение и анализ теоретических аспектов безопасности информации в автоматизированных системах, составление списка угроз и способов защиты, изучение основных принципов построения систем защиты ресурсов.
Для достижения поставленных целей необходимо выполнить следующие задачи:
- подобрать список необходимой литературы;
- изучить общие сведения о безопасности информации;
- рассмотреть список возможных угроз в автоматизированных системах и их классификацию;
- определить основные принципы построения систем защиты ресурсов;
Теоретическая значимость состоит в анализе существующих методов защиты автоматизированных систем.

1 Общие понятияинформация - сведения (сообщения, данные) независимо от формы их представления;
2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
6) доступ к информации - возможность получения информации и ее использования;
7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
8) предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;
9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;
10) идентификация - совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с уникальным обозначением (уникальными обозначениями) сведений о лице, необходимым для определения такого лица (далее - идентификатор);
(п. 21 введен Федеральным законом от 29.12.2020 N 479-ФЗ)
11) аутентификация - совокупность мероприятий по проверке лица на принадлежность ему идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификатором (идентификаторами) посредством использования аутентифицирующего (аутентифицирующих) признака (признаков) в рамках процедуры аутентификации, в результате чего лицо считается установленным.
(п. 22 введен Федеральным законом от 29.12.2020 N 479-ФЗ) [1]

2 Особенности автоматизированных систем и цель защиты автоматизированных систем
При организации автоматизированных информационных систем необходимо строго соблюдать требования по защите конфиденциальных данных, которые призваны предотвратить их утечку или искажение. Защита информации в автоматизированной системе должна предотвращать воздействие угроз различного происхождения, включая техногенные аварии, воздействие вредоносных программ или хакеров, кражу данных инсайдерами с целью продажи или шпионажа. Реализация комплекса мер безопасности на аппаратном и программном уровне позволяет снизить уровень таких рисков.
Большинство современных автоматизированных систем обработки информации в целом представляют собой географически распределенные системы интенсивного взаимодействия (синхронизации) друг с другом в соответствии с данными и управлением событиями локальных вычислительных сетей (ЛВС) и отдельных компьютеров.
В распределенных АС все "традиционные" методы несанкционированного вмешательства в их работу и доступ к информации возможны для локально расположенных (централизованных) вычислительных систем. Кроме того, они характеризуются новыми специфическими каналами проникновения в систему и несанкционированного доступа к информации, наличие которых объясняется рядом их особенностей.
Перечислим основные особенности АС:
- территориальное разнообразие компонентов системы и наличие интенсивного информационного обмена между ними;
- широкий спектр методов, используемых для представления, хранения и передачи информации;
- интеграция данных различного назначения, принадлежащих разным субъектам, в рамках единых баз данных и, наоборот, размещение необходимых для некоторых субъектов данных в различных удаленных узлах сети;
- абстрагирование владельцев данных от физических структур и местоположений данных;
- использование распределенных режимов обработки данных;
- участие в процессе автоматизированной обработки информации большого количества пользователей и персонала различных категорий;
- прямой и одновременный доступ к ресурсам большого количества пользователей (субъектов) различных категорий;
- высокая степень неоднородности используемого компьютерногои коммуникационного оборудования, а также их программного обеспечения;
- отсутствие специальных средств защиты в большинстве видовтехнических средств, широко используемых в АС.
Целью обеспечения безопасности автоматизированной системы (АС) является защита всех категорий субъектов (как внешних, так и внутренних), прямо или косвенно участвующих в процессах информационного взаимодействия, от причинения им ощутимого материального, морального или иного ущерба в результате случайного или преднамеренного нежелательного воздействия на информацию и системы ее обработки и передачи. Информация, все ее носители (отдельные компоненты и автоматизированная система обработки информации в целом) и процессы обработки должны рассматриваться как защищенные объекты.
Целью защиты информации, циркулирующей в АС, является предотвращение раскрытия (утечки), искажения (модификации), потери, блокирования (уменьшения доступности) или незаконного воспроизведения информации.Обеспечение безопасности автоматизированной системы предполагает создание препятствий для любого несанкционированного вмешательства в процесс ее функционирования, а также для попыток кражи, модификации, отключения или уничтожения ее компонентов, то есть защиту всех компонентов автоматизированной системы: оборудования, программного обеспечения, данных (информации) и ее персонала.
В этом смысле защита информации от несанкционированного доступа (НСД) является лишь частью общей проблемы обеспечения безопасности компьютерных систем и защиты законных интересов субъектов информационных отношений, и правильнее было бы трактовать термин НСД не как "несанкционированный доступ" (к информации), а в более широком смысле как "несанкционированные (незаконные) действия", наносящие вред субъектам информационных отношений.Защита информации от НСД в АС является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа. [2]
В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:
- управления доступом;
- регистрации и учета;
- криптографической;
- обеспечения целостности. [2]
Таким образом, определены цель защиты самой АС и информации, циркулирующей в ней, также перечислены особенности АС.

3 Угрозы безопасности автоматизированных систем
Угроза (в целом) обычно понимается как потенциально возможное событие, процесс или явление, которое может (воздействуя на что-либо) привести к нанесению ущерба чьим-либо интересам.
Угрозой интересам субъектов информационных отношений будет называться потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию, ее носителей и процессы обработки может прямо или косвенно привести к нанесению ущерба интересам этих субъектов.
Нарушение безопасности будет называться реализацией угрозы безопасности.
Следует иметь в виду, что научно-технический прогресс может привести к появлению принципиально новых видов угроз и что изощренный ум злоумышленника способен придумать новые способы и средства преодоления систем безопасности, доступа к данным и дезорганизации АС.
Все угрозы как показано в Приложении 1, делятся на непреднамеренные и преднамеренные. Первые чаще всего связаны с факторами внешней среды, а вторые — с незаконными действиями злоумышленников. [3]
Стихийные бедствия и аварии, являющиеся первым видом непреднамеренных угроз, обладают наиболее разрушительным воздействием на систему, так как чаще всего наносится серьезный физический ущерб системе, при котором уничтожается вся хранившаяся информация или утрачивается доступ к ней. К подобным угрозам относятся землетрясение, наводнение, пожар, оползни, сходы лавин и многие другие виды катастроф. [3]
Одним из важнейших аспектов проблемы обеспечения безопасности компьютерных систем является выявление, анализ и классификация возможных угроз безопасности АС (далее рассмотрим более подробно преднамеренные и непреднамеренные искусственные угрозы). Перечень значимых угроз служит основой для проведения анализа рисков и формулирования требований к системе защиты АС.

4 Основные непреднамеренные искусственные угрозы4.1 Сбои и отказы технических средствНе такой серьезный как в случае со стихийными бедствиями и авариями, но тем не менее довольно весомый ущерб системе могут нанести сбои и отказы технических средств, которые могут заключаться, например, в отказе какого-либо аппаратного средства или перебое с электричеством. В результате может быть нарушена работоспособность системы, искажены программы и уничтожены данные (в некоторых случаях может быть нарушена их конфиденциальность). С точки зрения жизненного цикла автоматизированной системы сбои и отказы технических средств наиболее часто встречаются на этапе разработки системы и этапе износа и старения и менее часто — на этапе ввода в эксплуатацию и этапе гарантийной эксплуатации, а также отсутствуют на этапе разработки проекта. [4]
4.2 Ошибки при разработке системыСледующим видом непреднамеренных угроз безопасности системы являются ошибки при разработке системы и ошибки в комплексах алгоритмов и программ (системные, алгоритмические, программные или технологические). Ущерб данного вида угроз аналогичен ущербу при сбоях и отказах технических средств. С точки зрения жизненного цикла автоматизированной системы системные ошибки чаще всего появляются на этапе разработки проекта, менее часто — на этапе разработки системы и этапе ввода системы в эксплуатацию и полностью исключены в ходе гарантийной эксплуатации системы; в свою очередь, алгоритмические, программные и технологические ошибки чаще всего встречаются на этапе разработки системы, менее часто — на этапе ввода системы в эксплуатацию, еще реже — на этапе разработки проекта и этапе гарантийной эксплуатации и почти исключены на этапе износа и старения. [4]
4.3 Ошибки пользователей и обслуживающего персоналаТакже не к непреднамеренным угрозам относятся ошибки пользователей и обслуживающего персонала. Данная группа доминирует над остальными по числу угроз. Подобные ошибки могут быть вызваны, например, состоянием человека, несовершенством системы или безответственным отношением к работе. Чаще всего такие ошибки влекут за собой нарушение целостности и конфиденциальности информации [4].

5 Основные преднамеренные искусственные угрозыПреднамеренные угрозы гораздо опаснее непреднамеренных, поскольку данные могут быть не только уничтожены, но и захвачены злоумышленниками.
5.1 Шпионаж и диверсииПервым видом преднамеренных угроз являются шпионаж и диверсии. Данные угрозы являются довольно традиционными и включают в себя подслушивание (непосредственное или с помощью технических средств), наблюдение (также непосредственное или с помощью технических средств для получения и анализа изображения объекта наблюдения), хищение документов и машинных носителей информации, подкуп и шантаж сотрудников, сбор и анализов отходов машинных носителей информации, поджоги и взрывы. [3]5.2 Несанкционированный доступСледующим видом преднамеренных угроз является несанкционированный доступ, который заключается в получении злоумышленником доступа к системе или части системы в обход установленных правил. Осуществить несанкционированный доступ к данным можно, например, узнав логин пароля какого-либо пользователя системы или из-за ошибок в работе системы. [3]
5.3 Съем электромагнитных излучений и наводокСерьезный ущерб безопасности информации в системе может нанести съем электромагнитных излучения и наводок, благодаря которым можно перехватить информацию. Подобное возможно из-за того, что при обработке и передаче информации создается электромагнитное поле и наводятся электрические сигналы в линиях связи. [3]
5.4 Несанкционированная модификация структурОчень серьезной проблемой является несанкционированная модификация структур, когда в системе делается определенная "закладка", благодаря которой в нее можно будет проникнуть незамеченным, а также вредительские программы, которые делятся в зависимости от механизма действия на следующие четыре группы [4]: «логические бомбы» (постоянно находятся в системе и выполняются только при соблюдении определенных условий), «черви» (выполняются каждый раз при загрузке системы, могут перемещаться и самопроизвольно копироваться), «троянские кони» (измененные каким-либо образом пользовательские программы) и «компьютерные вирусы» (небольшие программы, распространяющиеся самостоятельно и оказывающие негативное воздействие на систему).
Отметим, что, несмотря на огромное количество возможных угроз, с ними можно и нужно бороться, применяя специальный комплекс мер, тем самым снижая возможный ущерб от воздействия этих угроз.

6 Классификация каналов проникновения в автоматизированную систему и утечки информации из системыВсе каналы проникновения в систему и утечки информации делятся на прямые и косвенные. Под косвенными каналами понимаются такие каналы, использование которых не требует проникновения в помещения, где расположены компоненты системы. Чтобы использовать прямые каналы, такое проникновение необходимо. Прямые каналы можно использовать без внесения изменений в компоненты системы или с изменениями компонентов.
В зависимости от типа основных средств, используемых для реализации угрозы, все возможные каналы можно разделить на три группы, где такими средствами являются: человек, программа или оборудование.
Классификация видов нарушений работоспособности системы и несанкционированного доступа к информации об объектах воздействия и способах нанесения ущерба безопасности приведена в Приложении 2.
В соответствии со способом получения информации потенциальные каналы доступа можно разделить на:
- физические;
- электромагнитный (перехват излучения);
- информационные (программные и математические).
С помощью контактного НСД (физического, программного и математического) возможные угрозы информации реализуются путем доступа к элементам динамиков, средствам массовой информации, входной и выходной информации (и результатам), программному обеспечению (включая операционные системы), а также путем подключения к линиям связи.
При бесконтактном доступе (например, по электромагнитному каналу) возможные угрозы информации реализуются путем перехвата излучения оборудования АС, в том числе наведенного в проводящих коммуникациях и силовых цепях, перехвата информации в линиях связи, ввода ложной информации в линии связи, визуального наблюдения - (фотографирования) устройств отображения информации, прослушивания разговоров персонала АС и пользователей.
Уязвимыми являются основные структурные и функциональные элементы современных распределенных АС: рабочие станции, серверы (хост-машины), межсетевые мосты (шлюзы, центры коммутации), каналы связи.
Необходимо защитить компоненты АС от всевозможных воздействий: стихийных бедствий и аварий, сбоев и отказов технических средств, ошибок персонала и пользователей, ошибок в программах и от преднамеренных действий злоумышленников.

7 Достоинства и недостатки различных видов мер защитыВ соответствии с приказом ФСТЭК России от 11 февраля 2013 г. № 17 для обеспечения защиты информации, содержащейся в государственных информационных системах, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании". [6]7.1 Технические мерыТехнические (аппаратные) средства. Это устройства различных типов (механические, электромеханические, электронные и т.д.), которые решают проблемы информационной безопасности с помощью аппаратных средств. Они либо предотвращают физическое проникновение, либо, если проникновение действительно имело место, доступ к информации, в том числе путем ее маскировки. Первая часть проблемы решается замками, решетками на окнах, охранной сигнализацией и т.д. Второе - генераторы шума, сетевые фильтры, сканирующие радиостанции и многие другие устройства, которые "блокируют" потенциальные каналы утечки информации или позволяют их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большой объем и вес, высокая стоимость.
7.2 Программные мерыПрограммные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации, такой как временные файлы, тестового контроля системы безопасности и т.д. Преимуществами программных средств являются универсальность, гибкость, надежность, простота установки, возможность модификации и разработки. Недостатки — ограниченная функциональность сети, использование части ресурсов файлового сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратного обеспечения).
7.3 Организационные мерыОрганизационные средства состоят из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и т.д.) и организационно-правовых (национальное законодательство и правила работы, установленные руководством конкретного предприятия). Преимущества организационных инструментов заключаются в том, что они позволяют решать множество разнородных задач, просты в реализации, быстро реагируют на нежелательные действия в сети, обладают неограниченными возможностями для модификации и развития. Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном отделе.

8 Основные принципы построения системы защиты ресурсов АСПостроение системы обеспечения безопасности информации в АС и ее функционирование должны осуществляться в соответствии со следующими основными принципами:
• законность
• системность
• комплексность
• непрерывность
• своевременность
• преемственность и непрерывность совершенствования • разумная достаточность
• персональная ответственность
• разделение функций
• минимизация полномочий
• взаимодействие и сотрудничество
• гибкость системы защиты
• открытость алгоритмов и механизмов защиты
• простота применения средств защиты
• научная обоснованность и техническая реализуемость
• специализация и профессионализм
• взаимодействие и координация.[7]

ЗаключениеВ арсенале специалистов по информационной безопасности имеется широкий спектр защитных мер: административные (организационные), физические и технические (аппаратные и программные) средства. Все они имеют свои преимущества и недостатки, которые необходимо знать и правильно учитывать при создании систем защиты.
Все известные каналы проникновения и утечки информации должны быть заблокированы с учетом анализа рисков, вероятности угроз безопасности в конкретной прикладной системе и разумного рационального уровня затрат на защиту.
Наилучшие результаты достигаются при системном подходе к обеспечению безопасности компьютерных систем и комплексном использовании определенных наборов различных мер защиты на всех этапах жизненного цикла системы, начиная с самых ранних этапов ее проектирования.
Поставленные цели курсовой работы были достигнуты путем изучения и анализа теоритической информации из подобранных литературных источников.

Список использованных источниковФедеральный закон РФ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149-ФЗ // Документы по лицензионной деятельности ФСТЭК России в области технической защиты информации
Руководящий документ. Решение председателя Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» от 30 марта 1992 г.//ФСТЭК России
Иванов, К. К. Угрозы безопасности информации в автоматизированных системах / К. К. Иванов, Р. Н. Юрченко, А. С. Ярмонов. — Текст : непосредственный // Молодой ученый. — 2016. — № 29 (133). — С. 20-22.
Акулов, О. А. Информатика: базовый курс: учеб. для студентов вузов, бакалавров, магистров, обучающихся по направлению «Информатика и вычисл. техника» / О. А. Акулов, Н. В. Медведев. — 7-е изд., стер. — М.: Издательство «Омега-Л», 2012. — 574 с.
Классификация каналов проникновения в систему и утечки информации: https://studbooks.net/2249314/informatika/klassifikatsiya_kanalov_proniknoveniya_sistemu_utechki_informatsiiПриказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"//ФСТЭК России
Достоинства и недостатки различных мер защиты информации: https://studopedia.su/6_52669_dostoinstva-i-nedostatki-razlichnih-mer-zashchiti-informatsii.html
Приложения
Приложение 1
Рис. 1- Классификация угроз безопасности в автоматизированных системах [3]

Приложение 2Таблица 1- Классификация видов нарушений работоспособности систем и несанкционированного доступа к информации по объектам воздействия и способам нанесения ущерба безопасности[5]
Способы нанесения ущерба Объекты воздействий
Оборудование Программы Данные Персонал
Раскрытие (утечка) информации Хищение носителей информации, подключение к линии связи, несанкционированное использование ресурсов Несанкционированное копирование перехват Хищение, копирование, перехват Передача сведений о защите, разглашение, халатность
Потеря целостности информации. Подключение, модификация, спец вложения, изменение режимов работы, несанкционированное использование ресурсов Внедрение "троянских коней" и "жучков" Искажение, модификация Вербовка персонала, "маскарад"
Нарушение работоспособности автоматизированной системы Изменение режимов функционирования, вывод из строя, хищение, разрушение Искажение, удаление, подмена Искажение, удаление, навязывание ложных данных Уход, физическое устранение
Незаконное тиражирование информации Изготовление аналогов без лицензий Использование незаконных копий Публикация без ведома авторов