Технические, организационные и кадровые аспекты управления информационной безопасностью

Москва
Горячая линия - Телеком
2013

УДК 004.732.056(075.8) 
ББК 32.973.2-018.2я73 
     М60   

Р е ц е н з е н т ы :  кафедра защиты информации НИЯУ МИФИ (зав. кафедрой 
кандидат техн. наук,  профессор А. А. Малюк);  академик РАН  И. А. Соколов;  
доктор техн. наук, профессор  П. Д. Зегжда; доктор техн. наук, профессор  
А. Г. Остапенко 

Милославская Н. Г., Сенаторов М. Ю., Толстой А. И. 
М60   Технические, организационные и кадровые аспекты управления 
информационной безопасностью. Учебное пособие для вузов. – 
М.: Горячая линия–Телеком, 2013. – 216 с.: ил. – Серия «Вопросы 
управления информационной безопасностью. Выпуск 4»  
ISBN 978-5-9912-0274-9. 
Рассмотрены технические аспекты управления информационной 
безопасностью (ИБ), включая управление логическим доступом пользователей к активам организации, управление защищенной передачей данных и операционной деятельностью, разработку и обслуживание информационных систем с учетом требований к их ИБ, управление конфигурациями, изменениями и обновлениями в активах организации. Кратко рассмотрены основы физической защиты и защиты от воздействия окружающей среды. Анализируются организационные и кадровые вопросы 
управления ИБ. Введены четыре основные модели организационного 
управления ИБ, являющиеся комбинациями централизованных и децентрализованных руководства и администрирования ИБ. Рассмотрена организационная инфраструктура управления ИБ. Перечислены организационные мероприятия по управлению ИБ. Подробно описаны деятельность, функции, состав и варианты создания службы ИБ организации, а 
также задачи, функции, обязанности, права и ответственность администратора ИБ подразделения организации. Детально анализируются группы 
компетенций, должности и направления деятельности специалистов в 
области ИБ. Особое внимание уделено учету вопросов ИБ при найме 
персонала на работу и при формировании должностных обязанностях 
персонала.  
Для студентов вузов, обучающихся по программам бакалавриата и 
магистратуры направления 090900 – «Информационная безопасность», 
будет полезно слушателям курсов переподготовки и повышения квалификации и специалистам. 
ББК 32.973.2-018.2я73 
 
 
 
 
 
ISBN 978-5-9912-0274-9                                            © Н. Г. Милославская, 
                                                           М. Ю. Сенаторов, А. И. Толстой, 2012 
            © Издательство «Горячая линия–Телеком», 2012 
 

 

ПРЕДИСЛОВИЕ 

Учебное пособие «Технические, организационные и кадровые аспекты управления информационной безопасностью» является четвертой 
частью серии учебных пособий «Вопросы управления информационной 
безопасностью».  
При подготовке данного учебного пособия были поставлены следующие задачи: 
1) рассмотреть технические аспекты управления информационной 
безопасностью (ИБ); 
2) определить взаимосвязь системы управления ИБ (СУИБ) с системой физической защиты объекта и мер по защите от воздействия окружающей среды; 
3) проанализировать организационные и кадровые вопросы управления ИБ.  
Исходя из поставленных задач, была выбрана структура учебного 
пособия «Технические, организационные и кадровые аспекты управления информационной безопасностью», которое состоит из введения, 
двух глав, заключения, шести приложений и списка литературы из 
35 наименований. 
Во введении обоснована актуальность темы учебного пособия. 
Первая глава посвящена техническим аспектам управления ИБ организации. Рассматривается управление логическим доступом пользователей к активам организации – приложениям, операционным системам и 
сетям, основанное на специальной политике и установленных обязанностях пользователей, включая их работу с переносными устройствами и в 
дистанционном режиме. Исследуются вопросы управления защищенной 
передачей данных и операционной деятельностью, регламентированного документированными процедурами, подразумевающего разделение 
полномочий и включающего деятельность по разграничению сред разработки и промышленной эксплуатации, управление системами обработки информации (СОИ) сторонними лицами и/или организациями, 
планирование нагрузки и приемки систем, защиту от вредоносного программного обеспечения (ПО), управление сетевыми ресурсами, защиту 
носителей информации, безопасный обмен информацией и ПО и некоторые вспомогательные операции. Обсуждается разработка и обслуживание информационных систем (ИС) с учетом требований к их ИБ, которые должны быть приняты во внимание при обеспечении ИБ (ОИБ) 
приложений и системных файлов, в том числе с использованием защитных мер, связанных с использованием криптографии. Особое внимание 
уделено важному вопросу управления конфигурациями, изменениями и 
обновлениями в активах организации. Кратко рассмотрены основы физической защиты и защиты от воздействия окружающей среды, заклю

Технические, организационные и кадровые аспекты управления ИБ 

чающиеся в выделении охраняемых зон и обеспечении безопасности 
оборудования организации. 
Вторая глава анализирует организационные и кадровые вопросы 
управления ИБ. Вводятся четыре основные модели организационного 
управления ИБ, являющиеся комбинациями централизованных и децентрализованных руководства и администрирования ИБ. Рассматривается 
организационная инфраструктура управления ИБ, базирующаяся на 
поддержке со стороны руководства организации и опирающаяся на комитет по управлению вопросами ИБ, координационный комитет и службу ИБ. Перечисляются организационные мероприятия по управлению 
ИБ, классифицируемые как разовые, постоянно и периодические проводимые и проводимые по мере необходимости. Подробно описывается 
деятельность и функции Службы ИБ организации, опирающейся на предоставляемые ей полномочия. Также определяются различные варианты 
создания этой службы, ее состав, функции руководителя. Отдельно рассматриваются задачи, функции, обязанности, права и ответственность 
администратора ИБ подразделения организации. Детально анализируются группы компетенций, должности и направления деятельности специалистов в области ИБ. Особое внимание уделяется учету вопросов ИБ 
при найме персонала на работу и в должностных обязанностях персонала. Кратко затрагивается сотрудничество между организациями и консультации со специалистами в области ИБ. 
В заключении кратко выделяется взаимосвязь изученных понятий, 
относящихся к техническим, организационным и кадровым аспектам 
управления ИБ, а также устанавливается связь между материалом учебного пособия и составляющими профессиональных компетенций.  
В приложениях приводится информация справочного характера в 
виде примерных положений об Управляющем совете по вопросам ИБ, 
Координационном комитете по вопросам управления ИБ и Службе ИБ. 
Освоение материалов данного учебного пособия лежит в основе формирования у обучающихся следующих профессиональных компетенций: 
способность участвовать в управлении ИБ объекта; 
способность участвовать в проектировании и разработке СУИБ объекта. 
Эти профессиональные компетенции необходимы для решения задач, 
относящихся к таким видам профессиональной деятельности в сфере 
управления ИБ, как организационно-управленческая, проектная, проектно-технологическая и эксплуатационная.  
После изучения данного учебного пособия обучающиеся будут: 
Знать: 
современные подходы к управлению ИБ объекта и направления их 
развития; 
особенности отдельных процессов управления ИБ в рамках СУИБ; 
подходы к интеграции СУИБ в общую систему управления организации. 

 
Предисловие 
5 

Уметь: 
анализировать текущее состояние ИБ на предприятии с целью разработки требований к разрабатываемым процессам управления ИБ; 
определять цели и задачи, решаемые разрабатываемыми процессами 
управления ИБ. 
Владеть: 
терминологией в области технических, организационных и кадровых 
аспектов управления ИБ; 
навыками построения отдельных процессов управления ИБ, относящихся к области технических, организационных и кадровых аспектов управления ИБ. 
Материалы, вошедшие в учебное пособие «Технические, организационные и кадровые аспекты управления информационной безопасностью», обеспечивают учебно-методической базой любую учебную дисциплину, относящуюся к управлению ИБ. Однако в полной мере данное 
учебное пособие может быть востребовано при подготовке профессионалов в области управления ИБ. Поэтому оно может быть рекомендовано студентам высших учебных заведений, обучающимся по программам 
бакалавриата и магистратуры направления 090900 – «Информационная 
безопасность». 
Кроме этого учебное пособие «Технические, организационные и 
кадровые аспекты управления информационной безопасностью» из серии «Вопросы управления информационной безопасностью» может 
быть полезным при реализации программ дополнительного образования 
(курсы повышения квалификации или переподготовки кадров). 
Важно подчеркнуть, что для приступающих к ознакомлению с данным учебным пособием есть определенные требования по предварительной подготовке. Например, следует знать основы теории ИБ и комплексный подход к ОИБ, уязвимости и угрозы ИБ в информационной 
среде. Следует рекомендовать предварительное ознакомление с материалом первой части серии учебных пособий «Вопросы управления 
информационной безопасностью»: «Основы управления информационной безопасностью». 
Авторы признательны коллегам по факультету «Кибернетика и информационная безопасность» НИЯУ МИФИ, а также всем рецензентам. 
Авторы, естественно, не претендуют на исчерпывающее изложение 
всех названных в работе аспектов проблем, поэтому с благодарностью 
внимательно изучат и учтут критические замечания и предложения читателей при дальнейшей работе над учебным пособием. 
 

 

ВВЕДЕНИЕ 

Управление информационной безопасностью (ИБ) – неотъемлемая 
часть управления любой современной организацией в целом, независимо от ее размера и сферы деятельности. 
Управление ИБ – сложный непрерывный процесс, перед которым 
стоит множество целей и задач, являющихся обеспечивающими, вспомогательными по отношению к основным бизнес-целям и задачам организации. Они формулируются в различных документах организации: 
концепциях, стратегиях, политиках, стандартах, инструкциях и т. д. 
Процесс управления ИБ распадается на тесно взаимосвязанные подпроцессы, каждый из которых вносит существенный вклад в достижение общих целей управления ИБ. Объектами управления в рамках этих 
подпроцессов являются активы, риски ИБ, инциденты ИБ, непрерывность бизнеса, изменения, усовершенствования и многое другое. От 
эффективности и результативности каждого из этих подпроцессов зависят общая эффективность и результативность всей деятельности по 
управлению ИБ в организации. 
Для успешного управления ИБ должна быть создана учитывающая 
специфику организации и адекватная ее требованиям в отношении 
обеспечения ИБ (ОИБ) система управления ИБ (СУИБ). Организационный и кадровый аспекты ОИБ организации являются одними из ее важнейших элементов, так как от их реализации в значительной степени 
зависит эффективность и результативность всей деятельности по управлению ИБ и, следовательно, поддержанию ИБ в организации на должном уровне. Правильные решения вопросов создания организационной 
инфраструктуры и кадровая политика в области ОИБ способствуют  
ускорению комплексного внедрения и поддержания целостной системы 
обеспечения ИБ (СОИБ), увязывающей технические, организационные, 
административные (включая работу с персоналом) защитные меры.  
Рассмотрению этих мер посвящено предлагаемое учебное пособие 
«Технические, организационные и кадровые аспекты управления информационной безопасностью», являющееся четвертой частью в серии учебных пособий «Вопросы управления информационной безопасностью». 
 

 

1. ТЕХНИЧЕСКИЕ АСПЕКТЫ  
УПРАВЛЕНИЯ ИБ 

В данной главе рассмотрены следующие технические и практические аспекты управления ИБ организации: 
управление логическим доступом пользователей к активам организации – приложениям, операционным системам (ОС) и сетям, основанное на специальной политике и установленных обязанностях 
пользователей, включая их работу с переносными устройствами и в 
дистанционном режиме; 
управление защищенной передачей данных и операционной деятельностью, регламентированное документированными процедурами, подразумевающее разделение полномочий и включающее деятельность по разграничению сред разработки и промышленной эксплуатации, управлению системами обработки информации (СОИ) 
сторонними лицами и/или организациями, планированию нагрузки и 
приемке систем, защите от вредоносного программного обеспечения 
(ПО), управлению сетевыми ресурсами, защите носителей информации, безопасному обмену информацией и ПО и некоторые вспомогательные операции; 
разработка и обслуживание информационных систем (ИС) с учетом 
требований по ОИБ, которые должны быть учтены при ОИБ приложений и системных файлов, в том числе с использованием защитных 
мер, связанных с использованием криптографии; 
управление конфигурациями, изменениями и обновлениями в активах организации; 
физическая защита и защита от воздействия окружающей среды, 
заключающиеся в выделении охраняемых зон и обеспечении безопасности оборудования организации. 

1.1. Управление логическим доступом к активам 
организации 

Общеизвестно, что уровень защищенности любой ИС зависит от 
(соответствует) защищенности ее самого слабого звена. Во многих случаях этот уровень определяется надежностью механизмов идентификации, аутентификации и авторизации, используемых в них. Ненадежные 
механизмы позволяют злоумышленнику получать права доступа к активам организации другого пользователя и скрывать свои действия за действиями этого пользователя. Примерами систем, которые требуют надежных перечисленных механизмов, могут служить: 

Технические, организационные и кадровые аспекты управления ИБ 

системы общего доступа для передачи и обмена информацией (виртуальные сети через Интернет или сети общего доступа на основе 
технологий GPRS и беспроводного подключения); 
многопользовательские ИC, в которых централизованно хранится и 
обрабатывается информация (автоматизированные банковские системы (АБС), системы управления базами данных (СУБД), системы 
управления предприятием и т. п.); 
системы распределенной обработки и хранения информации, состоящие их множества серверов и систем (типа сетевых ОС); 
системы общего пользования (Интернет-банкинг, электронная коммерция и т. п.). 
Управление доступом (англ. access control) – комплекс мероприятий, 
направленных на предотвращения несанкционированного доступа 
(НСД) [1]. При этом НСД (англ. unauthorized access) – доступ к информации, нарушающий правила разграничения доступа с использованием 
штатных средств (совокупность программного, микропрограммного и 
технического обеспечения), предоставляемых средствами вычислительной техники или автоматизированными системами (СВТ/АС). Это 
доступ субъектов, не имеющих прав доступа. Доступ к информации – 
ознакомление с информацией, ее обработка, в частности, копирование, 
модификация или уничтожение информации. Правила разграничения 
доступа – совокупность правил, регламентирующих права доступа 
субъектов доступа к объектам доступа. Субъект доступа – лицо или 
процесс, действия которого регламентируются правилами разграничения доступа. Объект доступа – единица активов организации (информация, СОИ и бизнес-процессы), доступ к которой регламентируется 
правилами разграничения доступа. Логическое управлении доступом, 
в отличие от физического, реализуется программными или программноаппаратными средствами. Известно несколько подходов к управлению 
логическим доступом и информационными потоками в компьютерных 
системах, среди которых наиболее распространены мандатный, дискреционный и ролевой [2]. [Отметим, что рассмотрение всех перечисленных подходов выходит за рамки тематики данного учебного пособия и 
является предметом отдельного изучения]. 
Формы управления доступом различны в зависимости от контекста 
применения. Управлять доступом можно на уровнях ОС, базы данных 
(БД), приложения. Иногда управление сетевым доступом (ограничение 
действий пользователя или устройства конкретными подсетями и портами внутри корпоративной сети) объединяется с управлением доступом (меры по управлению ОС и приложениями, которые органичивают 
объекты и способы обращения к ним со стороны пользователя). В принципе, сетевой доступ и управление доступом внутри системы имеют 
много общего. 

 
1. Технические аспекты управления ИБ 
9 

Доступ к активам организации определяется ее бизнес-требованиями 
и требования по ОИБ и управляется именно на этой основе. Правила 
управления доступом должны учитывать политику по распространению 
информации и выдаче разрешений на доступ к информации [3–6]. 
Еще одна задача, решаемая с помощью управления доступом – определить операции, выполняемые персоналом организации в рамках своих 
служебных обязанностей. 
Актуальность создания единых систем управления данными о пользователях и их правами в рамках СУИБ зависит от сложности инфраструктуры организации, а также от «текучки» пользователей (начиная с 
некоторого уровня трудно эффективно управлять пользователями в гетерогенных системах без помощи специализированных систем; например университеты ежегодно сталкиваются с необходимостью завести 
несколько тысяч учетных записей – и примерно столько же удалить – 
в начале очередного учебного года). Важность этой проблемы доказывается и тем фактом, что еще в 2001 г. на ИТ-рынке появилось новое направление – централизованного автоматизированного управления правами доступа, или дословно управление идентификацией (англ. Identity 
Management). За прошедшие годы оно проделало путь от зарождения до 
прочного утверждения в ряду наиболее важных, фундаментальных направлений. Назначение управления идентификацией можно описать как 
стандартизацию взаимодействия между уже существующими средствами автоматизации деятельности организации (на первом этапе автоматизации это многочисленные ИС, а далее это интранет, объединяющая эти 
ИС и другие ресурсы) и индивидуумами, использующими ее ресурсы. 
Под индивидуумами в первую очередь понимаются сотрудники самой 
организации, но необходимо рассмотреть и других существующих или 
потенциальных пользователей: партнеров, клиентов, консультантов или 
аудиторов, временных работников и т. д. Identity Management можно 
разделить на несколько поднаправлений, среди которых главными являются унификация данных о пользователях и создание единых систем 
аутентификации, авторизации, персонализации, делегированного управления данными о пользователях и аудита доступа («4А» = аутентификация + авторизация + администрирование + аудит, пришедшие на смену 
«3А» = аутентификация + авторизация + администрирование, от англ. 
Authentication – аутентификация, Authorization – авторизация, Accounting – учет,  Audit – аудит) [7].  
Напомним значения упомянутых понятий согласно [1, 3, 6]. Идентификация – процесс опознавания субъекта или объекта по присущему 
ему или присвоенному ему идентификационному признаку, а также 
присвоение субъектам и объектам доступа идентификатора ID и (или) 
сравнение предъявляемого ID с перечнем присвоенных ID. Для доказательства заявленной личности пользователя необходимо наличие соответствующей методики аутентификации. Аутентификация – подтверждение подлинности или проверка принадлежности субъекту доступа 

Технические, организационные и кадровые аспекты управления ИБ 

предъявленного им идентификатора. Под авторизацией понимается определение уровней доступа пользователя к определенным массивам информации; в более широком смысле – разрешение определенных действий. Аудит в данном контексте – проверка состояния защищенности от 
внутренних и внешних угроз ИБ конфиденциальной информации, а также программного и аппаратного обеспечения, от которого зависит бесперебойное функционирование систем ИТ организации. 
Поскольку практически все современные системы несут инфраструктурную функцию, их создание и изменение требует перенастройки 
приложений более высокого уровня. Как правило, наиболее актуальны и 
сложны в реализации для крупных организаций проблемы упорядочивания прав доступа к неструктурированной информации (например, 
файлам и электронной почте). Для управления ею существуют ECMсистемы (системы управления контентом, часто в России называемые 
системами электронного документооборота), но для их внедрения необходимо заранее формализовать иерархию групп и ролей, управляющих 
доступом. Для структурированной информации, хранимой и обрабатываемой с помощью СУБД, функции управления доступом изначально 
встроены в эти системы. 

1.1.1. ПОЛИТИКА В ОТНОШЕНИИ ЛОГИЧЕСКОГО ДОСТУПА 

Первым шагом в определении того, где требуются правила управления доступом (ПУД), заключается в выяснении областей, в которых необходимы системы управления доступом, или требуется управление 
доступом на базе пользовательских имен/паролей. Чтобы это осуществить, необходимо вернуться к этапу инвентаризации систем организации и отметить, где и как они используются.  
Как отмечалось ранее, основная задача логического управления доступом состоит в том, чтобы для каждой пары «субъект–объект» определить множество допустимых операций (зависящее, быть может, от некоторых дополнительных условий) и контролировать выполнение установленного порядка. На основе бизнес-требований и требований по 
ОИБ создается и утверждается политика в отношении логического доступа (ПЛД) организации, содержащая четко сформулированные ПУД и 
права доступа для каждого пользователя или группы пользователей [3–
6, 8–10]. Эта политика, как и другие частные политики ИБ (ПолИБ), 
подвергается регулярному анализу и обновлению. К ней применимы все 
требования, представленные в гл. 3 [36]. 
Реализуется эта политика посредством применения программных или 
программно-аппаратных средств управления доступом к ИС, БД, файлам, 
процессам и другим объектам доступа. Пользователям и поставщикам услуг предъявляется четкая формулировка бизнес-требований, которые нужно 
выполнить в отношении логического доступа.