Организационное и техническое обеспечение информационной безопасности. Защита конфиденциальной информации

В.Я. ИЩЕЙНОВ
М.В. МЕЦАТУНЯН
ОРГАНИЗАЦИОННОЕ 
И ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ
Защита 
конфиденциальной информации
УЧЕБНОЕ ПОСОБИЕ
Рекомендовано Межрегиональным учебно-методическим советом 
профессионального образования в качестве учебного пособия для студентов 
высших учебных заведений, обучающихся по укрупненной 
группе специальностей 10.05.00 «Информационная безопасность» 
(протокол № 8 от 22.06.2020)
Москва
ИНФРА-М
2021

УДК [002+004.056.5](075.8)
ББК 32.973-018.2я73
 
И98
Р е ц е н з е н т ы:
В.В. Попов — кандидат технических наук, профессор кафедры проблем управления МИРЭА;
В.Б. Кравченко — кандидат технических наук, профессор кафедры 
инженерно-технической защиты информации
Ищейнов В.Я.
И98  
Организационное и техническое обеспечение информационной 
безопасности. Защита конфиденциальной информации : учебное пособие / В.Я. Ищейнов, М.В. Мецатунян. — Москва : ИНФРА-М, 2021. — 
256 с. — (Высшее образование: Специалитет).
ISBN 978-5-16-016535-6 (print)
ISBN 978-5-16-108801-2 (online)
Книга посвящена организационной и технической защите конфиденциальной информации. В работе изложены основные вопросы защиты 
конфиденциальной информации и различные подходы к обеспечению 
безопасности информации в современных условиях.
Учебное пособие рекомендовано для студентов высших учебных заведений, обучающихся по укрупненной группе специальностей 10.05.00 
«Информационная безопасность», а также рассчитано на широкий круг 
читателей, преподавателей и специалистов, интересующихся проблемами 
защиты информации.
УДК [002+004.056.5](075.8)
ББК 32.973-018.2я73
ISBN 978-5-16-016535-6 (print)
ISBN 978-5-16-108801-2 (online)
© Ищейнов В.Я., Мецатунян М.В., 2009
© Ищейнов В.Я., Мецатунян М.В., 2014, 
2021. с изменениями

Предисловие
Информация сегодня превратилась в мощный, реально ощутимый ресурс, имеющий даже большую ценность, чем природные, финансовые и иные ресурсы, она стала товаром, который
продается и покупается. В настоящее время уже не вызывает сомнения значение использования информации в любых видах деятельности.
Любое
направление
производственной
деятельности — материальное обеспечение, производство изделий, их сбыт,
а также заключение договоров, начинается со сбора информации.
Информация добывается, обрабатывается, хранится, используется, продается, расхищается и разрушается. В зависимости от
условий, информация может становиться сырьем, продуктом, товаром. Следовательно, информация, имеющая стоимость и цену,
может представлять интерес для определенных потребителей, для
преступных элементов.
Это означает, что если необходимую информацию не выдают
добровольно и безвозмездно, если ее не продают, то всегда будет
иметь место стремление похитить эту информацию, в том числе
с использованием методов разведки, промышленного шпионажа.
В этой связи все большую остроту приобретает защита коммерческой информации от различного рода угроз. Защита информации включает в себя определенные направления защиты, в которых применяется в основном присущий только этим областям
набор методов, средств и мероприятий.
Данное учебное пособие посвящено двум направлениям защиты конфиденциальной информации: организационной и технической защите информации. Организационная защита информации занимает особое место среди других направлений защиты.
Она, во-первых, обеспечивает выполнение установленных правовых норм, во-вторых, объединяет методы защиты, которые
обеспечивают защиту конфиденциальной информации самостоятельно, либо в комплексе с методами и средствами других направлений, в-третьих, без организационных методов невозможно
использование методов и средств других направлений, в-четвертых, с помощью организационных методов методы и средства
всех направлений объединяются в единую систему.

Предисловие
Обеспечение выполнения установленных правовых норм осуществляется путем такой регламентации производственной деятельности предприятия и его работников, которое позволяет,
обязывает или заставляет на нормативно-правовой основе выполнять требования по защите информации. С этой целью правовые нормы защиты информации закладываются в нормативные документы предприятия, которые регулируют организацию
и технологию выполнения работ, взаимоотношения служащих,
условия приема и увольнение сотрудников, правила трудового
распорядка и др.
При этом решение вопросов защиты информации обеспечивается либо установленной технологией выполнения работ, исключающей утрату носителей информации и несанкционированного доступа к информации или к ее носителям, либо путем
введения прямых правил, регулирующих организацию защиты
информации.
Техническая защита информации включает в себя комплекс
технических средств и мероприятий по их установке, эксплуатации и использованию, которые в совокупности обеспечивают
защиту конфиденциальной информации. Сферой технической
защиты является защита информации от технических средств ее
добывания, от несанкционированного проникновения лиц к защищаемым объектам и носителям защищаемой информации.
Учебное пособие рассчитано на широкий круг читателей, и в
первую очередь на студентов, преподавателей и специалистов,
интересующихся проблемами защиты информации и изучающих
различные подходы обеспечения безопасности информации на
предприятиях в современных условиях.
Предлагаемое пособие является достаточно новым видом
учебного материала по вопросам организационной и технической защиты конфиденциальной информации, что позволяет
использовать его в качестве учебного пособия для студентов
высших специальных учебных заведений по специальностям
«Организация  и  технология  защиты  информации»  и
«Комплексная защита объектов информатизации».

Часть I
ОРГАНИЗАЦИОННАЯ ЗАЩИТА
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Глава 1
СУЩНОСТЬ ОРГАНИЗАЦИОННОЙ ЗАЩИТЫ
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Примечательная особенность нынешнего периода — переход
от индустриального общества к информационному, в котором
информация становится более важным ресурсом, чем материальные иди энергетические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество, и которые при необходимости могут быть использованы для достижения конкретной цели хозяйственной
деятельности государства. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в
хозяйственный оборот и их назначение понятно каждому. Но
вот появилось понятие «информационные ресурсы», и хотя оно
узаконено, но осознано пока еще недостаточно. Информационные ресурсы — отдельные документы и отдельные массивы документов в информационных системах (библиотеках, архивах,
фондах, банках данных, других информационных системах). Информационные ресурсы являются собственностью, находятся в
ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только
для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, похитить. Собственная информа

Часть I. Организационная защита конфиденциальной информации
ция для производителя представляет значительную ценность, так
как нередко получение (создание) такой информации — весьма
трудоемкий и дорогостоящий процесс. Очевидно, что ценность
информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами.
Особое место отводится информационным ресурсам в условиях рыночной экономики.
Важнейшим фактором рыночной экономики выступает конкуренция. Побеждает тот, кто лучше, качественнее, дешевле и
оперативнее производит и продает. В сущности, это универсальное правило рынка. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром.
На рис. 1.1 представлены способы, источники и методы промышленно-экономического шпионажа.
Рис. 1.1. Способы, источники и методы промышленно-экономического
шпионажа
В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными
способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47 % охраняемых сведений добывается с помощью
технических средств промышленного шпионажа.
В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место. При этом целя

Глава 1. Сущность организационной защиты конфиденциальной информации
7
ми защиты информации являются: предотвращение разглашения,
утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению,
модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства
в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как
объекта собственности; защита конституционных прав граждан
на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах и при
разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Как видно из этого определения целей защиты, информационная безопасность — довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать и
когда защищать, чем защищать и какой должна быть эта защита.
Правомерно задать вопрос: что же такое информация? В литературе дается такое определение: информация — сведения о
лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Известно, что информация
может иметь различную форму, включая данные, заложенные в
компьютерах, «синьки», кальки, письма или памятные записки,
досье, формулы, чертежи, диаграммы, модели продукции и прототипы, диссертации, судебные документы и др.
Как всякий продукт, информация имеет потребителей, нуждающихся в ней и потому обладает определенными потребительскими качествами, а также имеет и своих обладателей или производителей.
С точки зрения потребителя качество используемой информации позволяет получать дополнительный экономический или
моральный эффект.
С точки зрения обладателя — сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на
рынке производства и сбыта товаров и услуг. Это, естественно,
требует определенных действий, направленных на защиту конфиденциальной информации.
Понимая под безопасностью состояние защищенности жизненно важных интересов личности, предприятия, государства от

Часть I. Организационная защита конфиденциальной информации
внутренних и внешних угроз, можно выделить и компоненты
безопасности — такие как персонал, материальные и финансовые
средства и информацию.
Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и
структура защиты, основу которой составляют:

 весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;

 значительное число фирм, специализирующихся на решении вопросов защиты информации;

 достаточно четко очерченная система взглядов на эту проблему;

 наличие значительного практического опыта и др.
И тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не
только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация
процесса защиты информационных ресурсов. Причем в этом
должны активно участвовать профессиональные специалисты,
администрация, сотрудники и пользователи, что и определяет
повышенную значимость организационной стороны вопроса.
Опыт также показывает, что:

 обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния,
выявлении ее узких и слабых мест и противоправных действий;

 безопасность информации может быть обеспечена лишь при
комплексном использовании всего арсенала имеющихся
средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла
обработки информации. Наибольший эффект достигается
тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм — систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в
зависимости от изменения внешних и внутренних условий;

 никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользо

Глава 1. Сущность организационной защиты конфиденциальной информации
9
вателей и соблюдения ими всех установленных правил, направленных на ее защиту.
С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих
защиту информации от внутренних и внешних угроз.
С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

 непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти
защиту интересующей их информации;

 плановой. Планирование осуществляется путем разработки
каждой службой детальных планов защиты информации в
сфере ее компетенции с учетом общей цели организации;

 целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;

 конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;

 активной. Защищать информацию необходимо с достаточной степенью настойчивости;

 надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на
котором они закреплены;

 универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его
необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;

 комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды
и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.
Комплексный характер защиты проистекает из того, что защита — это специфическое явление, представляющее собой
сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон,
свойств, тенденций.

Часть I. Организационная защита конфиденциальной информации
Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:

 охватывать весь технологический комплекс информационной деятельности;

 быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;

 быть открытой для изменения и дополнения мер обеспечения безопасности информации;

 быть нестандартной, разнообразной. При выборе средств
защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;

 быть простой для технического обслуживания и удобной
для эксплуатации пользователями;

 быть надежной. Любые поломки технических средств являются
причиной
появления
неконтролируемых
каналов
утечки информации;

 быть комплексной, обладать целостностью, означающей,
что ни одна ее часть не может быть изъята без ущерба для
всей системы.
К системе безопасности информации предъявляются также
определенные требования:

 четкость определения полномочий и прав пользователей на
доступ к определенным видам информации;

 предоставление пользователю минимальных полномочий,
необходимых ему для выполнения порученной работы;

 сведение к минимуму числа общих для нескольких пользователей средств защиты;

 учет случаев и попыток несанкционированного доступа к
конфиденциальной информации;

 обеспечение оценки степени конфиденциальности информации;

 обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на
которые она будет выполнять свою целевую функцию.
С учетом этого СЗИ может иметь:

 правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действий;