Обеспечение комплексной защиты объектов информатизации

    
______________________________________ 
 
Финансовый университет  
при Правительстве Российской Федерации 
 
 
С.И. Козьминых 
 
 
 
Обеспечение  
комплексной защиты  
объектов информатизации 
 
Рекомендовано Международным учебно-методическим центром 
«Профессиональный учебник» в качестве учебного пособия  
для студентов высших учебных заведений, обучающихся  
по направлению «Информационная безопасность»,  
квалификация (степень) «магистр» 
 
Рекомендовано Научно-исследовательским институтом 
образования и науки в качестве учебного пособия  
для студентов высших учебных заведений, обучающихся  
по направлению «Информационная безопасность»,  
квалификация (степень) «магистр» 
 
Электронные версии книг  
издательства «ЮНИТИ-ДАНА» на сайте  
Международной электронной библиотеки 
«Образование. Наука. Научные кадры» 
www.niion.org 
 
 
 
 
 
 
 
 
Москва  2020 

УДК 004.056.5(075.8) 
ББК 32.972.53я73-1 
       К59 
 
 
 
 
Р е ц е н з е н т ы: 
Заслуженный деятель науки РФ, 
доктор технических наук, профессор, академик РАЕН С.А. Качанов 
(заместитель начальника ФГБУ ВНИИ ГОЧС (ФЦ) МЧС России) 
доктор физико-математических наук В.М. Фомичёв 
(профессор кафедры «Информационная безопасность»  
Финансового университета при Правительстве РФ) 
 
 
 
 
 
Главный редактор издательства Н.Д. Эриашвили, 
кандидат юридических наук, доктор экономических наук, профессор, 
лауреат премии Правительства РФ в области науки и техники 
 
 
 
 
Козьминых, Сергей Игоревич. 
К59  
Обеспечение комплексной защиты объектов информатизации: учеб. 
пособие для студентов вузов, обучающихся по направлению «Информационная безопасность», квалификация «магистр» / С.И. Козьминых. — 
М.: ЮНИТИ-ДАНА, 2020. — 543 с. 
 
 
 
ISBN 978-5-238-03200-9 
Агентство CIP РГБ 
 
 
Учебное пособие предназначено для изучения структуры комплексной системы 
защиты информации, принципов управления этой системой, освоения методики и 
технологии ее организации, приобретения знаний в области совершенствования и 
обеспечения ее надежности. 
Для студентов вузов, обучающихся по направлению 10.04.01 «Информационная 
безопасность» (магистерская программа «Информационная безопасность финансовокредитных организаций»). 
 
 
 
 
 
ББК 32.972.53я73-1 
 
 
 
 
 
ISBN 978-5-238-03200-9 
 
© ИЗДАТЕЛЬСТВО ЮНИТИ-ДАНА, 2020 
Принадлежит исключительное право на использование и распространение издания (Федеральный закон от 5 апреля 2013 г. ¹ 44-ФЗ). 
Воспроизведение всей книги или какой-либо ее части любыми средствами или в какой-либо 
форме, в том числе в интернет-сети, запрещается без письменного разрешения издательства. 

 
ВВЕДЕНИЕ 
 
 
 
 
 
 
Одна из главных задач в решении проблемы повышения эффективности 
деятельности объектов кредитно-финансовой сферы (КФС) — обеспечение комплексной безопасности информации. 
Как и любой процесс управления, обеспечение комплексной защиты информации на объектах КФС должно осуществляться на основе системного 
подхода, включающего в себя анализ положения дел, правильную постановку 
задач, обеспечение ресурсом для их решения, обучение персонала, строгий 
контроль выполнения поставленных задач, анализ результатов их реализации и 
их корректировку. Этот процесс должен осуществляться непрерывно, иначе 
система обеспечения комплексной безопасности информации очень быстро 
становится неэффективной.      
Доктрина информационной безопасности Российской Федерации относит 
развитие и совершенствование системы подготовки кадров, работающих в сфере обеспечения информационной безопасности, к первоочередным задачам 
государственной политики. 
Подготовка специалистов, способных решать задачи, связанные с обеспечением комплексной безопасности объектов информатизации КФС, является 
важным направлением образовательной деятельности в высших учебных заведениях. 
Учебное пособие предназначено для изучения дисциплины «Обеспечение 
комплексной защиты объектов информатизации» студентами, обучающимися 
по направлению 10.03.01 «Информационная безопасность» по программе подготовки бакалавров в Финансовом университете при Правительстве Российской Федерации. 
Дисциплина «Обеспечение комплексной защиты объектов информатизации» базируется на знаниях, полученных в рамках изучении дисциплин «Теория информационной безопасности и методология защиты информации», 
«Инженерно-техническая защита информации», «Технические средства защиты 
информации», «Технические средства охраны», «Защита информации от утечки 
по техническим каналам», «Организация и управление службой защиты информации на предприятии». 
Учебное пособие «Обеспечение комплексной защиты объектов информатизации» можно условно поделить на два раздела. Первый из них посвящен методологическим основам обеспечения комплексной безопасности объектов 
информатизации КФС, а второй — вопросам практической реализации системы обеспечения комплексной безопасности информации на этих объектах.  
В связи этим учебное пособие содержит не только теоретическую, но и практическую основу для подготовки студентов. 
В первой части пособия подробно рассматриваются все этапы разработки 
концепции и создания системы обеспечения комплексной безопасности объ

Введение 
4 
 
ектов информатизации. Анализируются научные методы исследований рисков, такие как моделирование систем комплексной безопасности объектов 
информатизации. Разделы тем включают вопросы, связанные с применением 
системного подхода в обеспечении информационной безопасности объектов. 
Практическая часть учебного пособия включает разделы, описывающие методику: проведения экспертизы объектов информатизации; определения состава элементов защиты; анализа угроз объектам информатизации; разработки 
концепции и структуры комплексной системы защиты информации; анализа и 
разработки защитных мероприятий; формирования планов реализации комплексной системы защиты на объектах информатизации.  
Кроме того, в пособие включены вопросы: определения кадрового, нормативно-методического и материально-технического обеспечения функционирования комплексной системы защиты информации; разработки и применения 
методов физической охраны объектов; проведения выбора и применения технических средств и систем обеспечения комплексной безопасности объектов 
информатизации.  
Автор надеется, что пособие позволит в полной мере освоить дисциплину 
«Обеспечение комплексной защиты объектов информатизации», преподаваемую в Финансовом университете при Правительстве Российской Федерации. 
 
 

 
ГЛАВА 1 
 
 
Введение в дисциплину «Обеспечение комплексной  
защиты объектов информатизации» 
 
 
 
 
 
 
1.1. Предмет и задачи дисциплины «Обеспечение  
комплексной защиты объектов информатизации» 
Дисциплина «Обеспечение комплексной защиты объектов информатизации» 
относится к модулю профиля «Комплексная защита объектов информатизации» учебного плана направления подготовки бакалавра 10.03.01 «Информационная безопасность». Эта дисциплина базируется на знаниях, полученных в рамках изучении дисциплин «Теория информационной безопасности 
и методология защиты информации», «Инженерно-техническая защита информации», «Технические средства защиты информации», «Технические 
средства охраны», «Защита информации от утечки по техническим каналам», «Организация и управление службой защиты информации на предприятии». 
Цель дисциплины — изучение структуры комплексной системы защиты информации (КСЗИ), принципов управления этой системой, освоение методики 
и технологии ее организации, приобретение знаний в области совершенствования и обеспечения ее надежности, получение навыков управления информационной безопасностью. 
Задачи дисциплины: 
  
(1) формирование взгляда на существующие меры по обеспечению безопасности информации, материальных ценностей и персонала в организации; 
(2) создание представления об основных принципах и содержании управления КС ЗИ в организации, методах обеспечения ее надежности, применении их на практике; 
(3) развитие способностей по использованию методов, методик и технологий организации КС ЗИ в организации. 
В результате изучения дисциплины «Обеспечение комплексной защиты 
объектов информатизации» обучаемый должен 
знать:  
 нормативно-правовые основы создания КСЗИ на объектах информатизации; 

Глава 1 
6 
 
 общие принципы организации и этапы разработки КСЗИ на объектах 
информатизации; 
 методологические основы обеспечения комплексной безопасности объектов информатизации; 
 методику проведения анализа эффективности функционирования КСЗИ 
на объекте информатизации; 
 методы управления КСЗИ на объекте информатизации; 
 методику оценки эффективности применения технических средств и 
систем обеспечения комплексной безопасности объектов информатизации; 
 методы планирования и реализации КСЗИ на объекте информатизации; 
 методы проведения экспертизы эффективности функционирования 
КСЗИ на объекте информатизации; 
 методы выполнения технико-экономического анализа проектных решений по созданию систем обеспечения комплексной безопасности на 
объекте информатизации; 
 порядок создания системы обеспечения комплексной безопасности на 
объекте информатизации; 
уметь:  
 разрабатывать нормативные правовые документы для создания КСЗИ на 
объектах информатизации; 
 использовать общенаучные методы, математический аппарат, при создании КСЗИ на объектах информатизации; 
 определять состав и проводить анализ защитных мероприятий на объекте информатизации; 
 проводить анализ и оценку эффективности мер обеспечения безопасности на объекте информатизации; 
 осуществлять текущее руководство функционированием КСЗИ на объекте информатизации; 
 проводить выбор технических средств и систем для обеспечения комплексной безопасности объектов информатизации; 
 разрабатывать планы реализации КСЗИ на объекте информатизации; 
 проводить экспертизу КСЗИ на объекте информатизации; 
 проводить анализ проектных решений по созданию систем обеспечения 
комплексной безопасности на объекте информатизации; 
 разрабатывать алгоритмы создания системы обеспечения комплексной 
безопасности на объекте информатизации; 
владеть навыками:  
 создания КСЗИ на объектах информатизации на основе разработанных 
нормативных правовых документов; 
 математического моделирования при создании КСЗИ на объектах информатизации; 
 

Введение в дисциплину «Обеспечение комплексной защиты объектов информатизации» 
 
7 
 определения требований к составу средств, методам и мероприятиям по 
организации КСЗИ на объекте информатизации; 
 анализа угроз и мер защиты объекта информатизации; 
 определения требований по организации функционирования КСЗИ на 
объекте информатизации; 
 применения технических средств и систем для обеспечения комплексной безопасности объектов информатизации; 
 использования методов организации, планирования и контроля КСЗИ 
на объекте информатизации; 
 оформления результатов экспертизы КСЗИ на объекте информатизации; 
 реализации проектных решений по созданию систем обеспечения комплексной безопасности на объекте информатизации; 
 реализации алгоритмов создания системы обеспечения комплексной 
безопасности на объекте информатизации.  
Только при освоении указанных знаний, умений и навыков можно стать 
квалифицированным специалистом в области обеспечения комплексной безопасности объектов информатизации. 
1.2. Обеспечение информационной безопасности  
в Российской Федерации 
Успешному решению вопросов обеспечения информационной безопасности в Российской Федерации способствуют: государственные системы защиты 
информации, защиты государственной тайны; лицензирования деятельности в 
области защиты государственной тайны и сертификации средств защиты информации. 
Однако анализ состояния информационной безопасности в Российской 
Федерации показывает, что ее уровень не в полной мере соответствует потребностям общества и государства. Современные условия политического и 
социально-экономического развития страны вызывают обострение противоречий как на международном уровне, так и между потребностями нашего 
общества в расширении свободного обмена информацией и необходимостью сохранения отдельных регламентированных ограничений на ее распространение. 
Противоречивость и недостаточная развитость правового регулирования 
общественных отношений в информационной сфере приводят к серьезным 
негативным последствиям. Так, несовершенство нормативно-правового регулирования отношений в области реализации конституционных прав на свободу 
массовой информации в интересах защиты основ конституционного строя, 
нравственности, здоровья, прав и законных интересов граждан, обеспечения 
обороноспособности страны и безопасности государства затрудняет поддержание необходимого баланса интересов личности, общества и государства в информационной сфере. 

Глава 1 
8 
 
Закрепленные в Конституции Российской Федерации права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки 
практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых 
федеральными органами государственной власти, органами государственной 
власти субъектов Российской Федерации, органами местного самоуправления 
данных о физических лицах (персональных данных). 
Нет четкости при проведении государственной политики в области 
формирования российского информационного пространства, развития системы массовой информации, организации эффективного международного 
информационного обмена и интеграции информационного пространства 
России в мировое информационное пространство. Это создает условия для 
вытеснения российских информационных агентств, средств массовой информации с международного информационного рынка и деформации структуры международного информационного обмена. Недостаточна государственная поддержка деятельности российских информационных агентств по 
продвижению их продукции на зарубежный информационный рынок. 
Ухудшается ситуация с обеспечением сохранности сведений, составляющих 
государственную тайну. 
Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, 
телекоммуникации и связи, в результате массового ухода из этих коллективов 
наиболее квалифицированных специалистов. 
Отставание отечественных информационных технологий вынуждает федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при создании 
информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм. Из-за этого повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость 
России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения. 
В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, широким применением открытых информационно-телекоммуникационных систем, интеграцией отечественных информационных систем и международных информационных систем возросли угрозы применения «информационного оружия» против 
информационной инфраструктуры России. Работы по адекватному комплексному противодействию этим угрозам ведутся, но, к сожалению, при недостаточной координации и слабом бюджетном финансировании. 
Сложившееся положение дел в области обеспечения информационной 
безопасности Российской Федерации требует безотлагательного решения важнейших задач, основными из которых являются: 
(1) разработка основных направлений государственной политики в области 
обеспечения информационной безопасности Российской Федерации, а 
 

Введение в дисциплину «Обеспечение комплексной защиты объектов информатизации» 
 
9 
также мероприятий и механизмов, связанных с реализацией этой политики; 
(2) развитие и совершенствование системы обеспечения информационной 
безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, 
методов, средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам; 
(3) совершенствование нормативно-правовой базы обеспечения информационной безопасности Российской Федерации, в том числе механизмов 
реализации прав граждан на получение информации и доступ к ней, 
форм и способов реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации; 
(4) обеспечение технологической независимости Российской Федерации в 
важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и 
военной техники; 
(5) разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, используемых 
прежде всего в системах управления войсками и оружием, экологически 
опасными и экономически важными производствами; 
(6) развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны; 
(7) обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем; 
(8) создание единой системы подготовки кадров в области информационной безопасности и информационных технологий. 
Только при решении этих задач можно эффективно противостоять угрозам 
информационной безопасности Российской Федерации. 
1.3. Правовые основы защиты информации  
Правовую основу защиты информации составляют документы как федерального уровня, так и ведомственного, формирующие требования по разработке документов на каждом объекте информатизации (рис. 1.1). 
Нормативная база федерального уровня. 
1. Основополагающим документом в области обеспечения безопасности 
является Конституция Российской Федерации, принятая 12 декабря 1993 г. (с 
изменениями, внесенными указами Президента РФ от 9 января 1996 г. ¹ 
20; от 10 февраля 1996 г. ¹ 173; от 9 июня 2001 г. ¹ 679; от 25 июля 2003 
г. ¹ 841, Федеральным законом от 25 марта 2004 г. ¹ 1-ФКЗ), которая определяет: