Семь безопасных информационных технологий

А. В. БАрАБАноВ, А. В. ДорофееВ, А. С. МАркоВ, В. Л. ЦирЛоВ

СЕМЬ БЕЗОПАСНЫХ  
ИНФОРМАЦИОННЫХ  
ТЕХНОЛОГИЙ

Под редакцией А. С. Маркова

Москва, 2017

УДК 
004.56

ББК 
32.972.13
Б24

Р е ц е н з е н т ы:

С. А. Петренко – докт. техн. наук, профессор СПбГЭТУ «ЛЭТИ» (Санкт-Петербург)

Alec Shcherbakov – GSSP, SCEA, SCJP, эксперт SATEC (San Jose, USA)

Барабанов А. В., Дорофеев А. В., Марков А. С., Цирлов В. Л.

Б24
Семь безопасных информационных технологий / под ред. А. С. Маркова. – М.: ДМК Пресс, 
2017. – 224 с.: ил.

ISBN 978-5-97060-494-6

Целью написания книги является ознакомление читателей с зарубежными подхода
ми в области информационной безопасности.

Все разделы подготовлены на базе материалов международных сертификационных 

учебных курсов в области управления информационной безопасностью. Изложены 
базовые принципы, концептуальные подходы и информационные технологии, применяемые при многоуровневой защите информации в организациях. Основное внимание уделено структуризации и классификации методов, техник и средств обеспечения 
безопасности информационных ресурсов компьютерных систем.

Учебник в первую очередь предназначен для специалистов, желающих принципиаль
но повысить свой профессиональный статус и подготовиться к сдаче международных 
экзаменов в области информационной безопасности. Полезен студентам, обучающимся 
по специальностям в области информационной безопасности и смежным специальностям, а также всем увлекающимся вопросами компьютерной безопасности.

УДК 004.56
ББК 32.972.13

Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то ни было форме и 

какими бы то ни было средствами без письменного разрешения владельцев авторских прав.

Материал, изложенный в данной книге, многократно проверен. Но поскольку вероятность технических ошибок 

все равно существует, издательство не может гарантировать абсолютную точность и правильность приводимых сведений. В связи с этим издательство не несет ответственности за возможные ошибки, связанные с использованием книги.

© А. В. Барабанов, А. В. Дорофеев, А. С. Марков, 

В. Л. Цирлов, 2017

ISBN 978-5-97060-494-6
© Оформление, издание, ДМК Пресс, 2017

Содержание

Предисловие о семи безопасных информационных 
технологиях ...................................................................................... 6

Глава 1. Менеджмент информационной безопасности............ 9

1.1. Основные понятия информационной безопасности....................9
1.2. Система менеджмента информационной безопасности ..........12
1.3. Анализ и управление рисками ......................................................17
1.4. Классификация информации ........................................................23
1.5. Порядок использования политик, стандартов и руководств ......28
1.6. Особенности работы с персоналом .............................................31
Вопросы для повторения .......................................................................33
Лабораторная работа ............................................................................36

Глава 2. Обеспечение безопасного доступа .............................38

2.1. Понятие управления безопасным доступом ...............................38
2.2. Категории управления доступом ..................................................39
2.3. Свойство подотчетности и подсистемы управления  
доступом ..................................................................................................41
2.4. Средства идентификации и аутентификации ..............................43
2.5. Протоколы сетевого доступа .........................................................54
2.6. Методы управления доступом.......................................................58
Вопросы для повторения .......................................................................61
Лабораторная работа ............................................................................64

Глава 3. Обеспечение сетевой безопасности ...........................65

3.1. Понятие компьютерной сети .........................................................65
3.2. Базовая эталонная модель взаимосвязи открытых систем ......74
3.3. Стек протоколов TCP/IP .................................................................78
3.4. Средства обеспечения сетевой безопасности ...........................91
Вопросы для повторения .....................................................................101

Содержание
4

Глава 4. Криптографическая защита информации ...............106

4.1. Основные криптографические примитивы .............................. 106
4.2. Элементарное шифрование....................................................... 108
4.3. Симметричная криптография .................................................... 114
4.4. Асимметричная криптография .................................................. 118
4.5. Электронно-цифровая подпись и криптографическая  
хэш-функция ......................................................................................... 123
4.6. Инфраструктура открытых ключей ............................................ 127
Вопросы для повторения .................................................................... 128

Глава 5. Разработка безопасных программ ...........................132

5.1. Модели жизненного цикла программного обеспечения ........ 132
5.2. Безопасный жизненный цикл программного  
обеспечения ........................................................................................ 136
5.3. Обзор мер по разработке безопасного программного 
обеспечения ........................................................................................ 143
Вопросы для повторения .................................................................... 154

Глава 6. Моделирование и оценка соответствия ...................158

6.1. Основные понятия безопасной архитектуры ........................... 158
6.2. Концептуальные модели управления доступом ...................... 160
6.3. Принципы безопасной архитектуры ЭВМ ................................ 166
6.4. Скрытые каналы передачи информации...................................170
6.5. Критерии оценки соответствия ...................................................173
Вопросы для повторения .................................................................... 184

Глава 7. Обеспечение непрерывности бизнеса 
и восстановления ........................................................................187

7.1. Управление непрерывностью бизнеса  
и восстановлением ............................................................................. 187
7.2. Модель менеджмента непрерывности бизнеса ...................... 188
Вопросы для повторения .................................................................... 198

Литература ....................................................................................201

Ответы на вопросы для повторения .........................................208

Содержание

Приложение 1. Кодекс профессиональной этики ..................214

Четыре заповеди профессиональной этики (ISC)2 ..........................214
Семь правил профессиональной этики ISACA ..................................214

Приложение 2. Типовые компьютерные атаки ......................216

Криптографические и парольные атаки............................................216
Атаки на отказ в обслуживании ..........................................................217
Атаки на программный код и приложения ...................................... 218
Атаки социальной инженерии и физические атаки ........................ 219
Сетевые атаки ..................................................................................... 220

Предисловие о семи безопасных информационных технологиях
6
Предисловие 
о семи безопасных 
информационных 
технологиях

Держите меня всемером!
План безопасности Белоснежки

Безопасные информационные технологии (опираясь на ISO/
IEC 38500-2015) можно определить как методические и технические ресурсы, необходимые для безопасного сбора, обработки, хранения и распространения информации в компьютерных системах.
Чрезвычайная актуальность и удивительный интерес к тематике 
не нуждаются в аргументации. Внедрение безопасных информационных технологий (ИТ) – сейчас самое передовое направление 
автоматизации любой деятельности.
В настоящее время известен ряд увлекательных учебников в области информационной безопасности (ИБ), отражающий академические изыскания отечественных научных школ или ИТ-корпораций [1–40]. Особенностью этой книги является формирование 
учебного курса, соответствующего исключительно международному вектору развития в области обучения ИБ, проще говоря, 
неофициальному осмыслению самых востребованных в мире сертификационных курсов в области ИБ, к примеру:
 
‘ CISSP (Certified Information Systems Security Professional), 
CSSLP (Certified Secure Software Lifecycle Professional), 
поддерживаемых международным консорциумом (ISC) – 
Interna tional Information Systems Security Certification 
Consortium [41–46];
 
‘ CISM (Certified Information Security Manager), CISA (Certified 
Information Systems Auditor), организуемых международной 

Предисловие о семи безопасных информационных технологиях

ассоциацией ISACA (Information Systems Audit and Control 
Association) и др. [47–51].
Определение авторами указанной, в общем-то принципиальной, 
позиции связано с двумя моментами:
 
‘ данный учебник исключительно полезен активным 
ИТ-специалистам, чтобы подготовиться к соответствующим 
международным сертификационным экзаменам в области ИБ, 
что чрезвычайно важно в карьерном и информационно-публичном плане;
 
‘ понимание специфики элитных международных курсов позволяет российским профессионалам провести некоторую 
рефлексию отечественных направлений в обучении по линии 
ИБ, сравнить их с системой взглядов, предпочитаемой зарубежными специалистами.
Надо понимать, что изучение международных тенденций в безопасных информационных технологиях позволяет отечественным 
ИТ-стартапам повысить свою конкурентоспособность на международных рынках.
Разумеется, авторами учебника выступили специалисты, имеющие соответствующие сертифицированные международные статусы:
 
‘ Барабанов Александр (CISSP, CSSLP);
 
‘ Дорофеев Александр (CISSP, CISA, CISM, BSI Lead Auditor);
 
‘ Марков Алексей (CISSP, SBCI, BSI Lead Auditor, IEEE 
Member, ACM Member);
 
‘ Цирлов Валентин (CISSP, CISM, AMBCI).
Учебные материалы апробированы в МГТУ им. Н. Э. Баумана 
(курс «Сертификация специалистов по информационной безопасности»), в Финансовом университете при Правительстве РФ (курс 
«Организационные основы информационной безопасности») 
и в УЦ «Эшелон» (курс «Подготовка к CISSP за 12 сиреневых 
вечеров»). Отдельные вопросы обсуждались на страницах рецензируемого журнала «Вопросы кибербезопасности» [52–61].
Учебник включает в себя семь разделов по безопасным информационным технологиям:

Предисловие о семи безопасных информационных технологиях
8

1) менеджмент информационной безопасности;
2) обеспечение безопасного доступа;
3) обеспечение сетевой безопасности;
4) криптографическая защита информации;
5) разработка безопасных программ;
6) моделирование и оценка соответствия;
7) обеспечение непрерывности бизнеса и восстановления.
В качестве приложений к учебнику представлен свод типовых 
компьютерных атак, чтоб исключить их повторяемость в различных 
главах, а также декларируемые за рубежом этические правила, что 
поможет понять некоторые идейные международные принципы ИБ.
Выбор указанных разделов определен опытом успешной сдачи 
названных ранее сертификационных экзаменов. Разделы дополнены оригинальными вопросами и заданиями для самоподготовки.
Авторы в книге придерживаются международной терминологии, 
определенной международными стандартами или сертификационными курсами, специфические термины продублированы на английском языке.
Авторы выражают благодарность сотрудникам НПО «Эшелон»: 
сертифицированным специалистам CISSP Андрею Фадину и CISSP 
Евгению Веселову (за моральную поддержку), CPSCE Георгию Маркову (за оригинальные вопросы), а также маркетологу Илье Ануф риеву и корректору Яне Авезовой (за помощь в оформлении), доцентам 
и преподавателям кафедры ИУ-8 «Информационная безопасность» 
МГТУ им. Н. Э. Баумана Виталию Веренице, Игорю Шахалову, Михаилу Никулину, Олегу Гудкову, Сергею Борзых и Анастасии Большаковой (за критику всех зарубежных практик). Авторы также признательны рецензентам учебного курса – профессору Сергею Пет ренко 
(СПбГЭТУ «ЛЭТИ») [31] и эксперту SATEC, члену OWASP, GSSP, 
SCEA, SCJP Alec Shcherbakov (Silicon Value, USA) [67].

Научный редактор
Алексей Марков,
доктор технических наук,
эксперт Российской академии наук

Глава 1

Менеджмент  
информационной  
безопасности

В этой главе:
 
‘ Факторы информационной безопасности
 
‘ Система менеджмента информационной безопасности
 
‘ Анализ риска
 
‘ Классификация информации
 
‘ Политики и планы безопасности
 
‘ Работа с персоналом

1.1. Основные понятия информационной 
безопасности

Под информационной безопасностью (ИБ) системы обычно понимают 
состояние (свойство) защищенности ее ресурсов в условиях наличия 
угроз в информационной сфере. С комплексом мероприятий, направленных на обеспечение ИБ, связывают понятие защиты информации.
Определяющими факторами ИБ являются угроза (threat) и риск 
(risk).
Угрозой называют потенциальную причину (событие, нарушение, инцидент), снижающую уровень ИБ информационной системы, т. е. потенциально способную привести к негативным последствиям и ущербу системы или организации.
Риск представляет собой возможный ущерб, т. е. комбинацию 
(как правило, произведение), вероятности реализации угрозы 
и ущерба от нее.
Отметим, что угроза и риск определяются не вообще, а относительно конкретного защищаемого ресурса. В терминологии теории 

Менеджмент информационной безопасности  
10

менеджмента бизнес-процессов вместо ресурса используется синонимическое понятие – актив (asset), под определение которого 
подпадает все, что имеет ценность для организации, например: 
базы данных, техническое и программное обеспечение, сетевая 
инфраструктура, специалисты.
Угрозы ИБ классифицируют по ряду критериев:
 
‘ по причине возникновения (природные или техногенные, 
в том числе преднамеренные или случайные);
 
‘ по расположению источника (внешние или внутренние);
 
‘ по компрометируемой подсистеме или сегменту (сетевые, 
криптографические и др.);
 
‘ по этапу формирования в жизненном цикле системы (реализационные и эксплуатационные);
 
‘ по результирующему действию (нарушают уровень конфиденциальности, целостности или доступности).
Примеры угроз ИБ представлены в табл. 1.1.

Таблица 1.1. Примеры угроз информационной безопасности

Задачи обеспечения 
безопасности
Техногенные
Природные
Преднамеренные
Случайные
Контроль физического доступа Бомбардировка
Сон вахтерши
Торнадо
Сохранность оборудования
Вандализм
Запыление
Шаровые 
молнии
Управление сетевыми 
коммуникациями
Прослушивание сети Флуктуации в сети
Магнитные 
бури
Защита информационных 
хранилищ
Взлом парольной 
системы
Сбой 
криптосредств
Грибки

Управление непрерывностью 
деятельности
Последствие  
DOS-атаки
Последствия тестов 
на проникновение
Карстовые 
процессы
Соответствие 
законодательству
Компьютерное 
пиратство
Тиражирование 
персональных 
данных

Природные 
пожары

Наиболее известным примером реестра угроз может служить 
Каталог угроз Федерального агентства по ИБ Германии (BSI ITGrundschutz-Kataloge)1.

1 •RU• В России – Банк данных угроз безопасности информации ФСТЭК России 
(bdu.fstec.ru).