Книжная полка Сохранить
Размер шрифта:
А
А
А
|  Шрифт:
Arial
Times
|  Интервал:
Стандартный
Средний
Большой
|  Цвет сайта:
Ц
Ц
Ц
Ц
Ц

Основы информационной безопасности предприятия

Покупка
Основная коллекция
Артикул: 682888.06.01
Доступ онлайн
от 260 ₽
В корзину
В учебном пособии рассмотрены основные понятия, определения, положения и методологические подходы к организации комплексной системы защиты информации. Особое внимание уделено проблеме «человеческого фактора». Соответствует требованиям федеральных государственных образовательных стандартов среднего профессионального образования последнего поколения. Предназначено для студентов учреждений среднего профессионального образования, вузов, преподавателей, занимающихся вопросами защиты информации.
Гришина, Н. В. Основы информационной безопасности предприятия : учебное пособие / Н.В. Гришина. — 2-е изд., доп. — Москва : ИНФРА-М, 2023. — 216 с. — (Среднее профессиональное образование). - ISBN 978-5-16-016719-0. - Текст : электронный. - URL: https://znanium.com/catalog/product/1900721 (дата обращения: 15.07.2024). – Режим доступа: по подписке.
Фрагмент текстового слоя документа размещен для индексирующих роботов. Для полноценной работы с документом, пожалуйста, перейдите в ридер.
ОСНОВЫ 
ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ 
ПРЕДПРИЯТИЯ

Н.В. ГРИШИНА

Москва
ИНФРА-М
2023

УЧЕБНОЕ ПОСОБИЕ

2-е издание, дополненное

Рекомендовано Межрегиональным учебно-методическим советом профессионального 
образования в качестве учебного пособия для студентов учебных заведений, 
реализующих программу среднего профессионального образования 
по специальностям 10.02.01 «Организация и технология защиты информации», 
10.02.02 «Информационная безопасность телекоммуникационных систем», 
10.02.03 «Информационная безопасность автоматизированных систем» 


УДК 004.056(075.32)
ББК 65.050.2я723
 
Г85

Гришина Н.В.
Г85 
 
Основы информационной безопасности предприятия : учебное 
пособие / Н.В. Гришина. — 2-е изд., доп. — Москва : ИНФРА-М, 
2023. — 216 с. — (Среднее профессиональное образование). 

ISBN 978-5-16-016719-0 (print)
ISBN 978-5-16-109304-7 (online)
В учебном пособии рассмотрены основные понятия, определения, по-
ложения и методологические подходы к организации комплексной си -
стемы защиты информации. Особое внимание уделено проблеме «челове-
ческого фактора».
Соответствует требованиям федеральных государственных образова-
тельных стандартов среднего профессионального образования последнего 
поколения.
Предназначено для студентов учреждений среднего профессионального 
образования, вузов, преподавателей, занимающихся вопросами защиты 
информации.

УДК 004.056(075.32)
ББК 65.050.2я723

Р е ц е н з е н т ы:
О.В. Сюнтюренко — доктор технических наук, профессор, ведущий 
научный сотрудник Всероссийского института научной и техниче-
ской информации Российской академии наук;
М.В. Мецатунян — кандидат технических наук, доцент, доцент ка-
федры информационной безопасности Российского государственного 
гуманитарного университета

ISBN 978-5-16-016719-0 (print)
ISBN 978-5-16-109304-7 (online)

© Гришина Н.В., 2018
© Гришина Н.В., 2022, 
с изменениями

Введение

Современные методы и средства обработки информации 
не только позволяют повысить эффективность всех видов дея-
тельности человека, но и создают комплекс проблем, связанных 
с вопросами ее защиты. На рынке защиты информации (ЗИ) пред-
лагается много отдельных инженерно-технических, программно-
аппаратных, криптографических средств защиты информации. 
В литературе по защите информации можно найти описание ме-
тодов и средств на их основе, теоретических моделей защиты. 
 Однако, чтобы соз дать на предприятии условия информационной 
безопасности (ИБ), необходимо объединить отдельные средства 
защиты в систему. При этом надо помнить, что главным элементом 
этой системы  является человек. Причем человек — это ключевой 
элемент си стемы и вместе с тем самое трудно формализуемое 
и потенциально слабое ее звено.
Создание системы защиты информации (СЗИ) не является 
главной задачей предприятия, как, например, производство про-
дукции и получение прибыли. Поэтому создаваемая СЗИ не должна 
приводить к ощутимым трудностям в работе предприятия, а соз-
дание СЗИ должно быть экономически оправданным. Тем не менее 
она должна обеспечивать защиту важных информационных ре-
сурсов предприятия от всех реальных угроз.
В книге предложен комплексный подход к организации за-
щиты информации на предприятии. При этом объектом исследо-
вания является не только информационная система, а предприятие 
в целом. Рассмотрены концептуальные основы ЗИ, раскрывающие 
сущность, цели, структуру и стратегию защиты. Проанализированы 
источники, способы и результаты дестабилизирующего воздействия 
на информацию, а также каналы и методы несанкционированного 
доступа к информации. Определены методологические подходы 
к организации и технологическому обеспечению ЗИ на предприятии. 
Представлена архитектура, этапы построения, принципы 
управления системой защиты информации. Особое внимание уделено 
проблеме человеческого фактора. Предложенный подход к защите 
информации обеспечит целостное видение проблемы, повышение 
качества, а следовательно, и надежности ИБ предприятия.

В результате изучения данного учебного пособия студенты приобретут 
следующие компетенции:
 
• способность определять информационные ресурсы, подлежащие 
защите, угрозы безопасности информации и возможные пути их 
реализации на основе анализа структуры и содержания информационных 
процессов и особенностей функционирования объекта 
защиты (ОПК-7);
 
• способность участвовать в работах по реализации политики информационной 
безопасности, применять комплексный подход 
к обеспечению информационной безопасности объекта защиты 
(ПК-4);
 
• способность принимать участие в организации и проведении 
контрольных проверок работоспособности и эффективности 
применяемых программных, программно-аппаратных и техни-
ческих средств защиты информации (ПК-6);
 
• способность проводить анализ исходных данных для проектиро-
вания подсистем и средств обеспечения информационной без-
опасности и участвовать в проведении технико-экономического 
обоснования соответствующих проектных решений (ПК-7);
 
• сп особность принимать участие в формировании, организовы-
вать и поддерживать выполнение комплекса мер по обеспе-
чению информационной безопасности, управлять процессом их 
реализации (ПК-13).

Глава 1 
сУщнОсть и задачи кОмплекснОй 
системы защиты инфОрмации

1.1. пОдхОды к прОектирОванию систем  
защиты инфОрмации

Существует широко распространенное мнение, что проблемы 
защиты информации имеют исключительно техническую природу. 
Это связано с тем, что центром обработки и хранения информации 
являются технические средства, в большинстве случаев — персо-
нальный компьютер.
Объект информатизации, по отношению к которому направлены 
действия по защите информации, представляется более широким 
понятием по сравнению с персональным компьютером. Его опреде-
ление звучит так: объект информатизации — это совокупность ин-
формационных ресурсов, средств и систем обработки информации, 
используемых в соответствии с заданной информационной техно-
логией, а также средств их обеспечения, помещений или объектов 
(зданий, сооружений, технических средств), в которых эти средства 
и системы установлены, или помещений и объектов, предназна-
ченных для ведения конфиденциальных переговоров [15].
В реальной жизни объект информатизации расположен в пре-
делах одной (или нескольких) организаций и представляет собой 
единый комплекс компонентов, связанных общими целями, зада-
чами, структурными отношениями, технологией информационного 
обмена и т.д.
Современное предприятие представляет собой сложную си-
стему, включающую в себя большое количество разнородных ком-
понентов и используемую для достижения поставленных целей, 
которые в процессе функционирования предприятия могут моди-
фицироваться. На предприятие оказывают многообразное и слож-
ное влияние внутренние и внешние факторы, которые часто не поддаются 
строгой количественной оценке.
Такие системы требуют присутствия человека в каждой из составляющих 
их подсистем и отдаленность (разделенность) человека 
от объекта его деятельности. Множество компонентов, составляющих 
объект информатизации, может быть представлено совокупностью 
трех групп систем: 1) люди (биосоциальные системы); 
2) техника (технические системы и помещения, в которых они 

расположены); 3) программное обеспечение, которое является интеллектуальным 
посредником между человеком и техникой (интеллектуальные 
системы). Совокупность этих трех групп образует со-
циотехническую систему. Такое представление о социотехнических 
системах является достаточно широким и может быть распространено 
на многие объекты. Круг наших интересов ограничивается исследованием 
безопасности систем, предназначенных для обработки 
поступающей на их вход информации и выдачи результата, т.е. со-
циотехнических систем информационного типа.
Если обратиться к истории этой проблемы, то условно можно 
выделить три периода развития средств защиты информации:
 
• первый относится к тому времени, когда обработка информации 
осуществлялась по традиционным (ручным, бумажным) техно-
логиям;
 
• второй — когда для обработки информации на регулярной ос-
нове применялись средства электронной вычислительной тех-
ники первых поколений;
 
• третий — когда использование средств электронно-вычисли-
тельной техники приняло массовый и повсеместный характер 
(появление персональных компьютеров).
В 1960—1970-х гг. проблема защиты информации решалась до-
статочно эффективно путем применения в основном организаци-
онных мер. К ним относились: режимные мероприятия, охрана, 
сигнализация и простейшие программные средства защиты инфор-
мации. Эффективность использования этих средств достигалась 
за счет концентрации информации в определенных местах (спец. 
хранилища, вычислительные центры), что способствовало обеспе-
чению защиты относительно малыми средствами.
«Рассредоточение» информации по местам хранения и об-
работки обострило ситуацию с ее защитой. Появились дешевые 
персональные компьютеры. Это позволило построить сети ЭВМ 
(локальные, глобальные, национальные и транснациональные), ко-
торые могут использовать различные каналы связи. Эти факторы 
способствуют созданию высокоэффективных систем разведки и по-
лучения информации. Они нашли отражение и на современных 
предприятиях.
Современное предприятие представляет собой сложную систему, 
в рамках которой необходимо обеспечить защиту информации. Рас-
смотрим основные особенности современного предприятия:
 
• сложная организационная структура;
 
• многоаспектность функционирования;

• высокая техническая оснащенность;
 
• широкие связи по кооперации;
 
• необходимость расширения доступа к информации;
 
• возрастающий удельный вес безбумажной технологии обра-
ботки информации:
 
– увеличивающийся удельный вес автоматизированных про-
цедур в общем объеме процессов обработки данных;
 
– важность и ответственность решений, принимаемых в авто-
матизированном режиме на основе автоматизированной об-
работки информации;
 
– высокая концентрация в автоматизированных системах ин-
формационных ресурсов;
 
– большая территориальная распределенность компонентов ав-
томатизированных систем;
 
– накопление на технических носителях огромных объемов ин-
формации;
 
– интеграция в единых базах данных информации различного 
назначения и различной принадлежности;
 
– долговременное хранение больших объемов информации 
на машинных носителях;
 
– непосредственный и одновременный доступ к ресурсам 
(в том числе и к информации) автоматизированных систем 
большого числа пользователей различных категорий и раз-
личных учреждений;
 
– интенсивная циркуляция информации между компонентами 
автоматизированных систем, в том числе удаленных друг 
от друга.
Таким образом, создание индустрии переработки информации, 
с одной стороны, создает объективные предпосылки для повы-
шения уровня производительности труда и жизнедеятельности че-
ловека, а с другой — порождает ряд сложных и крупномасштабных 
проблем. Одной из них является обеспечение сохранности и уста-
новленного статуса информации, циркулирующей и обрабатыва-
емой на предприятии.

1.2. пОнятие системы защиты инфОрмации

Работы по защите информации в нашей стране ведутся доста-
точно интенсивно и уже продолжительное время. В этой сфере 
деятельности накоплен существенный опыт. Сейчас уже никто 
не думает, что достаточно провести на предприятии ряд органи-

зационных мероприятий, включить в состав автоматизированных 
систем некоторые технические и программные средства и этого 
будет достаточно для обеспечения безопасности.
Главное направление поиска новых путей защиты информации 
заключается не просто в создании соответствующих механизмов, 
а в реализации регулярного процесса, осуществляемого на всех 
этапах жизненного цикла систем обработки информации при ком-
плексном использовании всех имеющихся средств защиты. 
При этом все средства, методы и мероприятия, используемые для 
ЗИ, наиболее рационально объединяются в единый целостный ме-
ханизм, причем не только для защиты от злоумышленников, 
но и от некомпетентных или недостаточно подготовленных пользо-
вателей и персонала, а также нештатных ситуаций технического 
характера.
Основные проблемы реализации систем защиты:
 
• необходимость обеспечения надежной защиты находящейся 
в системе информации: исключение случайного и преднамерен-
ного получения информации посторонними лицами, разграни-
чение доступа к устройствам и ресурсам системы всех пользова-
телей, администрации и обслуживающего персонала;
 
• необходимость отсутствия со стороны систем защиты замет-
ных неудобств пользователям в ходе их работы с ресурсами си-
стемы.
Обеспечение желаемого уровня защиты информации — проб-
лема весьма сложная. Для ее решения недостаточно просто осу-
ществления некоторой совокупности научных, технических и ор-
ганизационных мероприятий и применения специальных средств 
и методов, а необходимо создание целостной системы организаци-
онно-технологических мероприятий и применение комплекса спе-
циальных средств и методов, т.е. нужен так называемый системно-
концептуальный подход.
Под системностью, являющейся основной частью системно-кон-
цептуального подхода, понимается:
 
• системность целевая, т.е. защищенность информации рассмат-
ривается как основная часть общего понятия качества инфор-
мации;
 
• системность пространственная, предлагающая взаимоувязанное 
решение всех вопросов защиты на всех компонентах пред-
приятия;
 
• системность временная, означающая непрерывность работ 
по ЗИ, осуществляемых в соответствии с планами;

• системность организационная, означающая единство органи-
зации всех работ по ЗИ и управления ими.
Концептуальность подхода предполагает разработку единой 
концепции как полной совокупности научно обоснованных взгля-
дов, положений и решений, необходимых и достаточных для опти-
мальной организации и обеспечения надежности защиты информа-
ции, а также целенаправленной организации всех работ по ЗИ.
Комплексный (системный) подход к построению любой системы 
включает в себя прежде всего изучение объекта внедряемой 
системы; оценку угроз безопасности объекта; анализ средств, кото-
рыми оперируют при построении системы; оценку экономической 
целесообразности; изучение самой системы, ее свойств, принципов 
работы и возможности увеличения ее эффективности; соотношение 
всех внутренних и внешних факторов; возможность дополни-
тельных изменений в процессе построения системы и полную орга-
низацию всего процесса от начала до конца.
Комплексный (системный) подход — это принцип рассмотрения 
проекта, при котором анализируется система в целом, а не ее от-
дельные части. Его задачей является оптимизация всей системы 
в совокупности, а не улучшение эффективности ее отдельных 
частей. Это объясняется тем, что улучшение одних параметров 
часто приводит к ухудшению других, поэтому необходимо ста-
раться обеспечить баланс противоречий требований и характе-
ристик.
Комплексный (системный) подход не рекомендует приступать 
к созданию системы до тех пор, пока не определены ее следующие 
компоненты.
1. Входные элементы, т.е. те элементы, для обработки которых 
создается система. В качестве входных элементов выступают виды 
угроз безопасности, возможные на данном объекте.
2. Ресурсы — средства, которые обеспечивают создание и функ-
ционирование системы (например, материальные затраты, энерго-
потребление, допустимые размеры и т.д.). Обычно рекомендуется 
четко определять виды и допустимое потребление каждого вида 
ресурса как в процессе создания системы, так и в ходе ее эксплуа-
тации.
3. Окружающая среда. Следует помнить, что любая реальная 
система всегда взаимодействует с другими системами, каждый 
объект связан с другими объектами. Важно установить границы 
 области других систем, не подчиняющихся руководителю данного 
предприятия и не входящих в сферу его ответственности.

Характерным примером важности решения этой задачи явля-
ется распределение функций по защите информации, передаваемой 
сигналами по кабельной линии, проходящей по территориям раз-
личных объектов. Как бы ни устанавливались границы системы, 
нельзя игнорировать ее взаимодействие с окружающей средой, ибо 
в этом случае принятые решения могут оказаться бессмысленными. 
Это справедливо как для границ защищаемого объекта, так и для 
границ системы защиты.
4. Назначение и функции. Для каждой системы должна быть 
сформулирована цель, к которой она (система) стремится. Эта цель 
может быть описана как назначение системы, как ее функция. Чем 
точнее и конкретнее указано назначение или перечислены функции 
системы, тем быстрее и правильнее можно выбрать лучший вариант 
ее построения. Так, цель, сформулированная в самом общем виде 
как обеспечение безопасности объекта, заставит рассматривать ва-
рианты создания глобальной системы защиты. Если уточнить ее, 
определив, например, как обеспечение безопасности информации, 
передаваемой по каналам связи внутри здания, то круг возможных 
решений существенного сузится. Следует иметь в виду, что, как 
правило, глобальная цель достигается через достижение мно-
жества менее общих локальных целей (подцелей). Построение та-
кого «дерева целей» значительно облегчает, ускоряет и удешевляет 
процесс создания системы.
5. Критерий эффективности. Необходимо всегда рассматривать 
несколько путей, ведущих к цели, в частности, несколько вариантов 
построения системы, обеспечивающей заданные цели функциони-
рования. Чтобы оценить, какой из путей лучше, необходимо иметь 
инструмент сравнения — критерий эффективности. Он должен ха-
рактеризовать качество реализации заданных функций; учитывать 
затраты ресурсов, необходимых для выполнения функционального 
назначения системы; иметь ясный и однозначный физический 
смысл; быть связанным с основными характеристиками системы 
и допускать количественную оценку на всех этапах создания 
системы.
Учитывая многообразие потенциальных угроз информации 
на предприятии, сложность его структуры, а также участие чело-
века в технологическом процессе обработки информации, цели за-
щиты информации могут быть достигнуты только путем создания 
СЗИ на основе комплексного подхода.
Процесс создания системы защиты информации может быть 
представлен в виде непрерывного цикла, как это показано на рис. 1.1.

Доступ онлайн
от 260 ₽
В корзину