Комплексная информационная безопасность: полный справочник специалиста

 
 
 
 
 
 
А. Н. Баланов 
 
 
 
КОМПЛЕКСНАЯ  
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ 
 
ПОЛНЫЙ СПРАВОЧНИК СПЕЦИАЛИСТА 
 
Практическое пособие 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Москва    Вологда 
«Инфра-Инженерия» 
2024 
1 
 

УДК 004.056.5 
ББК 32.973 
Б20 
 
Р е ц е н з е н т ы :  
профессор, доктор технических наук, заведующий кафедрой  
теоретических основ информатики, директор Института прикладной математики  
и компьютерных наук Замятин Александр Владимирович; 
кандидат физико-математических наук, доцент кафедры прикладной математики  
Института прикладной математики и компьютерных наук Данилюк Елена Юрьевна; 
профессор, доктор физико-математических наук, профессор кафедры теории вероятностей  
и математической статистики Института прикладной математики  
и компьютерных наук Моисеева Светлана Петровна 
 
 
 
 
 
Баланов, А. Н. 
Б20  
Комплексная информационная безопасность: полный справочник специалиста : практическое пособие / А. Н. Баланов. - Москва ; Вологда :  
Инфра-Инженерия, 2024. - 156 с. : табл. 
 ISBN 978-5-9729-1771-6 
 
Представлен всесторонний обзор ключевых аспектов информационной безопасности. Рассматривается широкий спектр вопросов, начиная  
с основных принципов защиты от вредоносного ПО и атак, заканчивая разработкой и внедрением системы управления информационной безопасностью (ISMS). Каждая глава охватывает важные аспекты, обеспечивая полное понимание проблемы и предоставляя советы и рекомендации по укреплению безопасности данных и систем. 
Для ИТ-специалистов в области информационной безопасности, 
сисадминов и сетевых инженеров, консультантов по информационной безопасности, руководителей ИТ-отделов, ИБ-директоров, студентов и аспирантов в области ИТ и информационной безопасности. 
 
УДК 004.056.5 
ББК 32.973 
 
 
 
 
ISBN 978-5-9729-1771-6 
” Баланов А. Н., 2024 
 
” Издательство «Инфра-Инженерия», 2024 
 
” Оформление. Издательство «Инфра-Инженерия», 2024 
 
2 
 

 
ОГЛАВЛЕНИЕ 
 
 
Глава 1. Защита от вредоносного ПО, атак и интеллектуальная защита ......... 5 
1.1. Основы защиты от вредоносного ПО и атак 
.......................................... 5 
1.2. Защита от DDoS-атак 
................................................................................ 7 
1.3. Системы обнаружения и предотвращения вторжений (IDS/IPS) ...... 10 
1.4. Решения по управлению доступом ....................................................... 12 
1.5. Мониторинг активности пользователей ............................................... 13 
Глава 2. Защита персональных данных  
и соблюдение нормативных требований ............................................................ 17 
2.1. Решения для соблюдения GDPR, HIPAA и других стандартов ......... 17 
2.2. Шифрование данных .............................................................................. 20 
2.3. Маскирование и анонимизация данных ............................................... 23 
2.4. Управление рисками утечки информации 
............................................ 25 
2.5. Безопасное удаление данных ................................................................. 29 
Глава 3. Обучение и осведомленность  
в области информационной безопасности 
.......................................................... 33 
3.1. Обучение сотрудников ........................................................................... 34 
3.2. Симуляции фишинговых атак 
................................................................ 36 
3.3. Разработка инструкций и процедур ...................................................... 38 
3.4. Оценка уровня осведомленности сотрудников 
.................................... 41 
3.5. Программы поощрения безопасного поведения 
.................................. 43 
Глава 4. Инцидентный менеджмент и расследование инцидентов ................ 47 
4.1. Ответ на инциденты информационной безопасности 
......................... 48 
4.2. Восстановление после атак .................................................................... 50 
4.3. Расследование причин инцидентов 
....................................................... 51 
4.4. Форензика данных .................................................................................. 54 
4.5. Рекомендации по предотвращению будущих инцидентов 
................. 56 
Глава 5. Безопасность облачных сервисов ........................................................ 60 
5.1. Оценка безопасности облачных провайдеров 
...................................... 60 
5.2. Шифрование и защита данных в облаке 
............................................... 63 
5.3. Управление доступом к облачным сервисам ....................................... 66 
5.4. Разработка политик и процедур безопасности  
для облачных решений ........................................................................... 68 
Глава 6. Разработка и внедрение системы управления 
информационной безопасностью (ISMS) ........................................................... 72 
6.1. Определение политик и процедур 
......................................................... 73 
6.2. Разработка стратегии реализации ISMS ............................................... 76 
6.3. Управление рисками ............................................................................... 78 
6.4. Мониторинг и отчетность ...................................................................... 80 
6.5. Подготовка к сертификации по стандартам, таким как IOS 27001 ... 82 
 
3 
 

Глава 7. Защита мобильных устройств и приложений .................................... 86 
7.1. Мобильное управление безопасностью устройств (MDM) ................ 87 
7.2. Анализ и защита мобильных приложений ........................................... 89 
7.3. Безопасность беспроводных сетей ........................................................ 92 
7.4. Шифрование и защита данных на мобильных устройствах 
............... 95 
7.5. Мониторинг и контроль доступа к корпоративным ресурсам ........... 98 
Глава 8. Защита сетевой инфраструктуры 
....................................................... 102 
8.1. Управление сетевыми устройствами .................................................. 103 
8.2. Защита сетевого периметра 
.................................................................. 105 
8.3. Мониторинг сетевого трафика 
............................................................. 108 
8.4. Управление безопасностью беспроводных сетей 
.............................. 111 
8.5. Разработка и внедрение сетевых политик безопасности .................. 114 
Глава 9. Защита критической инфраструктуры и промышленных систем 
.. 119 
9.1. Оценка угроз для критической инфраструктуры 
............................... 120 
9.2. Защита промышленных систем управления (ICS/SCADA) 
.............. 122 
9.3. Разработка планов реагирования на инциденты 
................................ 125 
9.4. Обучение персонала промышленных предприятий .......................... 129 
9.5. Мониторинг и управление безопасностью  
промышленных систем 
......................................................................... 131 
Глава 10. Консультации и разработка индивидуальных решений  
в области информационной безопасности 
........................................................ 136 
10.1. Анализ требований и разработка стратегии 
..................................... 137 
10.2. Создание индивидуальных программных и аппаратных  
решений 
................................................................................................ 140 
10.3. Внедрение специализированных технологий .................................. 143 
10.4. Поддержка и обновление решений ................................................... 145 
10.5. Оценка и мониторинг эффективности решений .............................. 148 
10.6. Заключение. Итоги и взгляд в будущее  
информационной безопасности 
......................................................... 151 
 
 
4 
 

ГЛАВА 1. ЗАЩИТА ОТ ВРЕДОНОСНОГО ПО,  
АТАК И ИНТЕЛЛЕКТУАЛЬНАЯ ЗАЩИТА 
 
 
Введение 
 
В современном цифровом мире безопасность информации стала одной из 
наиболее важных задач для организаций и отдельных пользователей. Возрастающая угроза вредоносного программного обеспечения (ПО) и кибератак требует 
принятия мер по защите цифровых систем. Мы изучим и рассмотрим различные 
аспекты защиты информации и безопасности в цифровой среде. 
Глава 1 будет посвящена основам защиты от вредоносного ПО и атак, а также 
интеллектуальной защите. В первой главе мы рассмотрим меры по защите  
от различных видов вредоносного ПО, таких как вирусы, черви, троянские программы и шпионское ПО. Вы узнаете о различных техниках, используемых злоумышленниками, и о том, каким образом можно защититься от них. 
Далее мы рассмотрим защиту от DDoS-атак, которые являются одним из 
наиболее распространенных видов кибератак. Вы узнаете, как такие атаки осуществляются и какие меры можно предпринять для защиты своей системы  
от них. 
Важным аспектом безопасности является использование систем обнаружения и предотвращения вторжений (IDS/IPS). В следующем разделе мы рассмотрим принципы работы таких систем и их роль в обеспечении безопасности информации. 
Помимо этого, мы изучим решения по управлению доступом, которые позволяют контролировать и ограничивать права доступа пользователей к информационным ресурсам. Вы узнаете о различных методах аутентификации, авторизации и управления привилегиями. 
Завершая первую главу, мы рассмотрим важность мониторинга активности 
пользователей. Вы узнаете о средствах и технологиях, которые позволяют отслеживать действия пользователей и выявлять подозрительную активность. 
Итак, готовьтесь погрузиться в мир безопасности информации и узнать о различных аспектах защиты от вредоносного ПО, атак и интеллектуальной защите. 
Это пособие поможет вам лучше понять текущие вызовы в области кибербезопасности и оснастит вас знаниями и инструментами, необходимыми для эффективной защиты информации в цифровой среде. 
 
 
1.1.Основы защиты от вредоносного ПО и атак 
 
В современном цифровом мире вредоносное программное обеспечение (ПО) 
и кибератаки являются серьезной угрозой для организаций и отдельных пользователей. Вредоносное ПО может быть разработано для кражи личных дан- 
ных, финансовых мошенничеств, нарушения конфиденциальности или даже 
5 
 

причинения физического ущерба. В этой главе мы рассмотрим основы защиты 
от вредоносного ПО и атак, включая методы обнаружения и предотвращения таких угроз. 
 
1. Типы вредоносного ПО 
Вредоносное ПО представляет собой программы, которые наносят вред компьютерам, сетям или данным пользователей. Существует несколько основных 
типов вредоносного ПО: 
1. Вирусы. Вирусы - это программы, которые прикрепляются к исполняемым 
файлам и распространяются путем инфицирования других файлов. Они могут 
повредить данные, уничтожить файлы или даже захватить управление над компьютером. 
2. Черви. Черви - это самостоятельные программы, которые могут распространяться по сети без взаимодействия пользователя. Они могут использовать 
уязвимости в системе для распространения себя и нанесения ущерба. 
3. Троянские программы. Троянские программы - это вредоносные программы, которые скрываются под видом полезных или необходимых программ. 
Они могут украсть личные данные пользователя, открыть доступ к компьютеру 
или создать заднюю дверь для дальнейших атак. 
4. Шпионское ПО. Шпионское ПО - это программы, которые собирают информацию о пользователе без его согласия. Они могут записывать нажатия клавиш, отслеживать веб-серфинг или перехватывать личные данные. 
5. Рекламное ПО. Рекламное ПО (adware) - это программы, которые показывают рекламу пользователю без его согласия. Они могут быть раздражающими 
и замедлять работу компьютера. 
 
2. Методы защиты от вредоносного ПО 
Существует ряд методов и технологий, которые могут помочь в защите от 
вредоносного ПО: 
1. Антивирусное ПО. Антивирусное ПО является первым и наиболее распространенным методом защиты от вредоносных программ. Оно сканирует компьютер 
и обнаруживает и удаляет известные вирусы и другие вредоносные программы. 
2. Файрволы. Файрволы мониторят сетевой трафик и фильтруют его, блокируя подозрительные или вредоносные соединения. Они могут предотвратить попытки несанкционированного доступа к компьютеру или сети. 
3. Антиспам. Антиспам-фильтры помогают блокировать нежелательные электронные письма, которые могут содержать вредоносные вложения или ссылки. 
4. Обновления и патчи. Регулярное обновление операционной системы  
и установка последних патчей для программных приложений помогает закрывать уязвимости, которые могут быть использованы злоумышленниками. 
5. Обучение пользователей. Важно проводить обучение пользователей о безопасном использовании компьютеров и интернета. Это может включать предоставление рекомендаций по созданию надежных паролей, осведомление о методах фишинга и предостережения от небезопасных действий. 
6 
 

3. Примеры защиты от вредоносного ПО 
Пример 1. Компания установила на своих компьютерах антивирусное ПО и 
обновляет его регулярно. Они также установили файрволы и антиспам-фильтры 
для блокировки нежелательных соединений и электронных писем. 
Пример 2. Пользователь получил подозрительное электронное письмо с вложением. Вместо того, чтобы открыть вложение, он обратился к IT-отделу своей 
компании, чтобы проверить подлинность письма. IT-отдел подтвердил, что 
письмо содержит вредоносный файл, и предупредил пользователя о потенциальной угрозе. 
Пример 3. Организация проводит регулярные обучающие программы для своих 
сотрудников, чтобы повысить их осведомленность о безопасности компьютеров. 
Они обучают сотрудников созданию надежных паролей, распознаванию фишинговых попыток и обращению в IT-отдел в случае подозрительных ситуаций. 
 
Таблица 1: Методы защиты от вредоносного ПО 
 
Метод защиты 
Описание 
Антивирусное ПО 
Сканирует и обнаруживает вирусы и вредоносные  
программы 
Файрволы 
Блокируют подозрительные соединения и сетевой 
 трафик 
Антиспам-фильтры 
Блокируют нежелательные электронные письма 
 с вредоносными вложениями 
Обновления и патчи 
Обновляют операционную систему и программы 
 для закрытия уязвимостей 
Обучение 
 пользователей 
Проводят обучение о безопасном использовании  
компьютеров и интернета 
 
В данной главе мы рассмотрели основы защиты от вредоносного ПО и атак. 
Методы защиты включают использование антивирусного ПО, файрволов,  
антиспам-фильтров, обновлений и патчей, а также обучение пользователей. 
Важно применять все эти методы в комплексе, чтобы обеспечить надежную  
защиту от вредоносного ПО и снизить риск кибератак. 
 
 
1.2.Защита от DDoS-атак 
 
DDoS-атаки (распределенные атаки отказом в обслуживании) являются серьезной угрозой для онлайн-ресурсов и организаций. Они направлены на перегрузку сетевой инфраструктуры и приводят к временным или полным сбоям  
в доступности веб-сайтов, приложений или сервисов. Для защиты от DDoS-атак 
необходимо применять комплексный подход, который включает в себя следующие меры: 
1. Использование фильтрации трафика. Одним из методов защиты от  
DDoS-атак является использование фильтрации трафика на уровне сети. Это 
7 
 

может быть реализовано с помощью файрволов, сетевых коммутаторов или специальных аппаратных устройств. Фильтрация трафика позволяет определять и 
блокировать подозрительный или вредоносный трафик, прежде чем он достигнет 
целевой системы. 
2. Использование сервисов облачной защиты. Многие провайдеры предлагают сервисы облачной защиты от DDoS-атак. Эти сервисы используют географически распределенные серверы для фильтрации и перенаправления трафика, 
идущего к атакуемой системе. Они способны обнаруживать и отражать атаки  
до того, как они достигнут инфраструктуры вашей организации. 
3. Масштабируемость и отказоустойчивость. Для защиты от DDoS-атак 
необходимо иметь масштабируемую и отказоустойчивую сетевую инфраструктуру. Это может включать использование дополнительных серверов, балансировщиков нагрузки и распределенных систем кэширования, которые способны 
обрабатывать большие объемы трафика и справляться с атаками. 
4. Мониторинг и обнаружение атак. Важно иметь системы мониторинга  
и обнаружения DDoS-атак. Это позволяет реагировать на атаки в реальном  
времени и принимать соответствующие меры для защиты. Инструменты мониторинга могут анализировать трафик, обнаруживать аномалии и автоматически 
активировать механизмы защиты. 
5. Распределение нагрузки. Распределение нагрузки (load balancing) может 
быть использовано для распределения трафика между несколькими серверами. 
Это помогает снизить вероятность перегрузки одного сервера в результате 
DDoS-атаки. Балансировщики нагрузки могут регулировать трафик и перенаправлять его на доступные серверы. 
6. Планирование и резервное копирование. Важно иметь планы действий для 
случая DDoS-атаки, включающие резервное копирование данных и настройку 
восстановления после атаки. Резервное копирование помогает минимизировать 
потерю данных, а планы восстановления позволяют быстро восстановить функциональность системы после атаки. 
7. Обновление и усиление сетевых устройств. Постоянное обновление  
и усиление сетевых устройств, таких как маршрутизаторы и коммутаторы, является важным шагом для защиты от DDoS-атак. Это позволяет использовать последние механизмы фильтрации и защиты, предоставляемые производителями 
устройств. 
DDoS-атаки (распределенные атаки отказа в обслуживании) являются одним 
из наиболее распространенных видов кибератак, целью которых является парализация работы сети, серверов или веб-ресурсов путем перегрузки их трафиком. 
Рассмотрим методы и стратегии защиты от DDoS-атак. 
 
1. Использование систем фильтрации трафика: 
Одним из ключевых методов защиты от DDoS-атак является использование 
систем фильтрации трафика. Эти системы позволяют определять и блокировать 
вредоносный трафик, идущий от источников атаки, и различать его от легитимного трафика пользователей. Примеры таких систем включают в себя: 
8 
 

- Firewall (брандмауэр): Он фильтрует трафик, идущий в сеть или выходящий из нее, на основе набора правил и политик безопасности. 
Пример таблицы с основными функциями и преимуществами системы фильтрации трафика: 
 
Система  
фильтрации трафика 
Основные функции 
Преимущества 
Firewall 
Фильтрация трафика,  
контроль доступа,  
протоколирование 
Защита от вредоносных 
атак, блокирование 
 нежелательного трафика 
 
2. Использование сетевых балансировщиков нагрузки: 
Сетевые балансировщики нагрузки помогают распределить трафик между 
несколькими серверами, что позволяет устранить узкое горлышко и предотвратить перегрузку одного сервера в случае DDoS-атаки. Балансировщики нагрузки 
также способны обнаруживать и отсеивать вредоносный трафик. 
Пример таблицы с основными функциями и преимуществами сетевых балансировщиков нагрузки: 
 
Сетевой  
балансировщик 
нагрузки 
Основные функции 
Преимущества 
Load Balancer 
Распределение нагрузки, 
обнаружение  
и блокирование  
DDoS-трафика 
Повышение доступности  
и отказоустойчивости,  
предотвращение перегрузки 
серверов 
 
3. Использование облачных сервисов защиты от DDoS: 
Облачные сервисы защиты от DDoS предоставляют возможность перенаправлять весь трафик в облако, где он проходит через фильтры и анализируется 
для выявления и блокировки вредоносного трафика. Такие сервисы имеют масштабируемость и гибкость, что позволяет эффективно отражать DDoS-атаки. 
Пример таблицы с основными функциями и преимуществами облачных сервисов защиты от DDoS: 
 
Облачный  
сервис защиты 
от DDoS 
Основные функции 
Преимущества 
Cloud DDoS 
Protection Service 
Перенаправление 
трафика в облако, 
фильтрация  
и блокировка 
Масштабируемость, гибкость,  
защита от различных 
 типов DDoS-атак и атак 
 в реальном времени 
 
9 
 

Защита от DDoS-атак требует комплексного подхода и комбинации различных методов и технологий. Использование систем фильтрации трафика, сетевых 
балансировщиков нагрузки и облачных сервисов защиты от DDoS являются важными стратегиями для обеспечения надежной защиты сети и ресурсов от кибератак.  
 
 
1.3.Системы обнаружения  
и предотвращения вторжений (IDS/IPS) 
 
Системы обнаружения и предотвращения вторжений (Intrusion Detection 
and Prevention Systems, IDS/IPS) представляют собой важный элемент информационной безопасности, используемый для обнаружения и блокирования вредоносной активности и несанкционированного доступа к компьютерным системам. 
Эти системы играют ключевую роль в защите от современных киберугроз и атак. 
 
1. Системы обнаружения вторжений (Intrusion Detection Systems, IDS): 
IDS - это механизмы, которые сканируют сетевой трафик и анализируют его 
с целью обнаружения подозрительной активности, соответствующей известным 
сценариям атак. Они могут быть развернуты как на периметре сети, так и внутри 
самой сети. IDS не блокируют трафик, а только предупреждают администратора 
о возможном вторжении. Для работы IDS использует различные методы, такие 
как сигнатурное обнаружение (сравнение с известными паттернами атак), аномалийное обнаружение (выявление необычной активности) и поведенческое обнаружение (анализ типичного поведения пользователей и ресурсов). 
Пример системы обнаружения вторжений: Snort 
Snort - это один из наиболее популярных и широко используемых открытых 
систем обнаружения вторжений. Он предоставляет возможности для сигнатурного и аномалийного обнаружения, а также имеет различные настраиваемые правила для обнаружения различных типов атак. 
Пример таблицы событий обнаружения вторжений: 
 
Время 
Источник 
Назначение 
Протокол 
Сигнатура 
атаки 
10:15:32 
192.168.1.102 
192.168.1.105 
TCP 
SQL Injection 
Attempt 
10:20:05 
192.168.1.200 
192.168.1.101 
UDP 
Port Scan 
10:25:18 
192.168.1.115 
192.168.1.150 
ICMP 
Ping of Death 
 
2. Системы предотвращения вторжений (Intrusion Prevention Systems, 
IPS): 
IPS - это продвинутые версии систем обнаружения вторжений, которые 
имеют возможность блокировать или предотвращать атаки, а не только обнаруживать их. IPS обычно развертываются на периметре сети, чтобы фильтровать 
10