Управление информационной безопасностью

Е. Н. Чекулаева       Е. С. Кубашева 

 
 
 
 

УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ  

БЕЗОПАСНОСТЬЮ 

 

Учебное пособие  

 
 
 
 
 
 
 
 
 
 
 
 

 
 
 

 
 
 

Йошкар-Ола 

2020 

УДК 330.131.52:004(075.8) 
ББК 65:32.81я73 

Ч 37 
 
 

Рецензенты: 
д.т.н., профессор кафедры математического и аппаратного обеспечения 
Чувашского государственного университета им. И. Н. Ульянова 
Н. Н. Галанина; 
д.т.н., профессор РАЕ, заместитель директора по науке ФГ БУН «Институт земного магнетизма, ионосферы и распространения радиоволн 
им. Н. В. Пушкова РАН» А. Г. Коробейников 
 
 

Печатается по решению 

редакционно-издательского совета ПГТУ 

 
 
 
 

Чекулаева, Е. Н. 

Управление информационной безопасностью: учебное пособие / 

Е. Н. Чекулаева, Е. С. Кубашева. – Йошкар-Ола: Поволжский государственный технологический университет, 2020. – 154 с. 
ISBN 978-5-8158-2165-1 
 

Представлены основные понятия и подходы к управлению информа
ционной безопасностью, рассмотрены основные критерии выбора средств 
управления информационной безопасностью на предприятии, мероприятия по УИБ предприятия, а также выделены практические аспекты создания СУИБ. 

Для студентов и магистрантов направлений подготовки 10.05.03 «Ин
формационная безопасность автоматизированных систем» и 10.04.01 «Информационная безопасность». 

 

УДК 330.131.52:004(075.8) 

ББК 65:32.81я73 

 
ISBN 978-5-8158-2165-1 
 Чекулаева Е. Н., Кубашева Е. С., 2020 
© Поволжский государственный 
технологический университет, 2020 

Ч 37

ПРЕДИСЛОВИЕ 

 
Цель данного учебного пособия – в доступной для понимания обу
чающихся форме изложить основные понятия и элементы, на которых 
основывается система управления информационной безопасностью 
(ИБ) на предприятии; научить их оценивать процесс управления ИБ и 
его составляющие; определить систему управления информационной 
безопасностью (СУИБ) организации, ее область действия и документарное обеспечение, включая политику СУИБ; познакомить с основными критериями выбора средств управления информационной безопасностью на предприятии; описать важнейшие мероприятия по 
управлению информационной безопасностью на предприятии. 

Учебное пособие состоит из четырех глав. Первые две главы по
священы описанию роли и места управления информационной безопасностью на современном предприятии, их эффективности с точки 
зрения ИС, а также существующих подходов к усовершенствованию 
средств защиты информации (СЗИ). В последующих главах рассматриваются мероприятия по управлению информационной безопасностью и практические аспекты управления ИБ на предприятии. 

Для систематизации и закрепления изученного материала к каж
дой главе предложен достаточно обширный перечень контрольных 
вопросов. В конце издания приводится словарь терминов. Это поможет обучающимся в организации самостоятельной работы по освоению теоретических основ дисциплины, а также в овладении необходимыми практическими навыками. 

Данное учебное пособие предназначено для студентов и маги
странтов направлений подготовки 10.05.03 «Информационная безопасность автоматизированных систем» и 10.04.01 «Информационная безопасность». 

 

СПИСОК СОКРАЩЕНИЙ 

 

 
АС  автоматизированная система 
АСУ – автоматизированная система управления 
БД – база данных 
ИБ – информационная безопасность 
ИС – информационная система 
НСД – несанкционированный доступ 
ОС – операционная система 
ПДн  персональные данные 
ПО – прикладное обеспечение 
СБ  служба безопасности 
СВТ  средства вычислительной техники 
СВР – служба внешней разведки 
СЗИ – средства защиты информации 
СУИБ  система управления информационной безопасностью 
УБИ – угроза безопасности информации 
УИБ  управление информационной безопасностью 
ФСТЭК  Федеральная служба по техническому и экспортному 

контролю 

ФСБ – Федеральная служба безопасности 
ЭВМ – электронно-вычислительная машина 
ЭЦП – электронная цифровая подпись 

 
 

ВВЕДЕНИЕ 

 

 
В современном информационном обществе информация превра
тилась в особый ресурс любой деятельности, следовательно, как и 
всякий другой ресурс, нуждается в защите, в обеспечении ее сохранности, целостности и безопасности. Авторы пособия постарались показать, кто и как угрожает информационной безопасности и как этим 
угрозам противодействовать.  

В организациях, существование которых значительно зависит от 

информационных технологий, могут быть использованы все инструменты для защиты данных. Тем не менее, безопасность информации 
необходима также для потребителей, партнеров по сотрудничеству, 
других организаций. В связи с этим для защиты ценной информации 
необходимо, чтобы каждая организация стремилась к той или иной 
стратегии и реализации системы безопасности на её основе. 

СУИБ является частью комплексной системы управления, осно
ванной на оценке и анализе рисков, необходимой для разработки, администрирования, мониторинга, анализа, поддержания и повышения 
информационной безопасности и ее реализации. Все это вытекает из 
целей организации и требований безопасности, используемых процедур, а также зависит от размеров и структуры организации. 

Управление информационной безопасностью выходит далеко за 

рамки централизованного удаленного управления антивирусами и 
другими решениями, обеспечивающими защиту информации.  
Менеджмент ИБ  это не просто централизованный контроль над 
своевременным обновлением антивирусных баз, регулярным антивирусным сканированием и выполнением на клиентской стороне 
других задач, связанных с информационной безопасностью. Это 
важная часть менеджмента всей организации, обеспечивающая эффективность процессов и решающая не только тактические, но и 
стратегические задачи. 

В настоящем учебном пособии представлены основы управления 

информационной безопасностью. Раскрыты сущность и содержание 
основных определений и понятий: информационная безопасность, 

политика ИБ, управление ИБ и других. Подробно рассматриваются 
критерии выбора средств управления информационной безопасностью на предприятии, контроль за работой СУИБ на предприятии, 
при этом особое внимание уделено мониторингу и оценке рисков 
управления информационной безопасностью. Анализируется политика безопасности на современном предприятии, а также проводится расчет оценки информационных рисков предприятия. 

 
 

1. ОСНОВНЫЕ ПОНЯТИЯ И ПОДХОДЫ К УПРАВЛЕНИЮ 

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

 

1.1. Сущность информационной безопасности,  

ее составляющие 

 

Под информационной безопасностью (ИБ) понимают состояние 

защищенности обрабатываемых, хранимых и передаваемых данных 
от незаконного ознакомления, преобразования и уничтожения, а 
также состояние защищенности информационных ресурсов от воздействий, направленных на нарушение их работоспособности. 

Субъект ИБ  это активный компонент системы, который может 

стать причиной образования потока информации от объекта к субъекту или изменения состояния системы. 

Объект ИБ  пассивный компонент системы, хранящий, прини
мающий или передающий информацию. Доступ к объекту означает 
доступ к содержащейся в нем информации. 

Основными ее составляющими являются: 
1. Конфиденциальность   это состояние защищенности информа
ции ограниченного доступа от неправомочного раскрытия.  

Информационные системы создаются (приобретаются) для полу
чения определенных информационных услуг. Если по тем или иным 
причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, можно выделить ее как важнейший элемент информационной безопасности.  

2. Целостность  это состояние защищенности информации и ак
тивов от модификации, подмены, уничтожения неправомочным способом. 

Целостность можно подразделить на статическую (понимаемую как 

неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)).  

Целостность информации  способность средства вычислитель
ной техники или автоматизированной системы обеспечить неизменность информации в условиях случайного и (или) преднамеренного 
искажения (разрушения). 

3. Доступность – состояние информационной технологии, обес
печивающее своевременный и надежный доступ к информации и 
(или) функциональным возможностям информационной технологии 
правомочным образом. Доступность проявляется в системах управления (производством, транспортом и т.п.). Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и 
моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).  

Классификация информации 
1. С тематической и функциональной точки зрения информация 

бывает:  

 организационно-распорядительной;  
 нормативно-правовой;  
 планово-финансовой;  
 социально-экономической и др.  
2. По правовому режиму доступа различается информация (рис. 1.): 
 ограниченного доступа; 
 общедоступная. 
1. Общедоступная информация 
Перечень сведений, доступ к которым не может быть ограничен, 

указан в ст.10 Федерального закона № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации», 
нормативных правовых актах, затрагивающих права, свободы и обязанности человека и гражданина, а также устанавливающих правовое 
положение организаций и полномочия государственных органов, органов местного самоуправления, а именно: 

• информации о состоянии окружающей среды; 
• информации о деятельности государственных органов и органов 

местного самоуправления, а также об использовании бюджетных 

средств (за исключением сведений, составляющих государственную 
или служебную тайну); 

 

 
Классификация информации

Ограниченного доступа

Государственная тайна

Конфиденциальная 

информация

Персональные данные

Коммерческая тайна

Служебная тайна

Тайна следствия и судопроиз
водства

Общедоступная

Доступ к которой не может 

быть ограничен

Прочая

Профессиональная тайна

Сведения о сущности изобрете
ния

 

Рис. 1. Классификация информации по правовому режиму доступа 
 
• информации, накапливаемой в открытых фондах библиотек, му
зеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией; 

• иной информации, недопустимость ограничения доступа к кото
рой установлена федеральными законами. 

2. Информация ограниченного доступа: 

1) Государственная тайна  это защищаемые государством сведе
ния, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных – непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, – Министерство обороны, Федеральная 
служба безопасности (ФСБ), Служба внешней разведки (СВР), Федеральная служба по техническому и экспортному контролю (ФСТЭК). 

Перечень сведений, составляющих государственную тайну, опре
делен в ст. 5 Закона РФ от 21 июля 1993 г. № 5485-I «О государственной тайне», где они сгруппированы по следующим направлениям: 

• сведения в военной области; 
• сведения в области экономики, науки и техники; 
• сведения в области внешней политики и экономики; 
• сведения в области разведывательной, контрразведывательной и 

оперативно-розыскной деятельности, а также в области противодействия терроризму. 

Информации, отнесенной к государственной тайне, присваивается 

один из грифов секретности:  

 особой важности;  
 совершенно секретно;  
 секретно.  
2) Конфиденциальная информация – это многоплановый объект 

регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в Указе Президента № 188 
«Об утверждении перечня сведений конфиденциального характера». 

К видам конфиденциальной информации можно отнести следующие:  
 Персональные данные  сведения о фактах, событиях и обстоя
тельствах частой жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в соответствии с установленными федеральными законами. Персональные данные существуют в открытом и в конфиденциальном режимах. Открытая и доступная всем пользователям часть персональных данных включает