Актуальные вопросы защиты информации

А.В. Бабаш, Е.К. Баранова
АКТУАЛЬНЫЕ  ВОПРОСЫ
АКТУАЛЬНЫЕ  ВОПРОСЫ
ЗАЩИТЫ  ИНФОРМАЦИИ
ЗАЩИТЫ  ИНФОРМАЦИИ
Монография
Монография
Второе издание, переработанное и дополненное
Второе издание, переработанное и дополненное
Москва
РИОР
ИНФРА-М

ФЗ 
№ 436-ФЗ
Издание не подлежит маркировке 
в соответствии с п. 1 ч. 2 ст. 1
УДК 621.391 
ББК 32.81
          Б12
А в т о р ы :
Бабаш Александр Владимирович — д-р физ.-мат. наук, профессор, Российский экономический университет имени Г.В. Плеханова (Москва);
Баранова Елена Константиновна — доцент, Финансовый университет 
при Правительстве РФ (Москва)
Р е ц е н з е н т ы :
Баранов Александр Павлович — д-р физ.-мат. наук, академик Академии 
криптографии, профессор, Национальный исследовательский университет 
«Высшая школа экономики»;
Алиев Физули Камилович — д-р физ.-мат. наук, ведущий советник Главного 
управления развития информационных и телекоммуникационных технологий 
Министерства обороны Российской Федерации;
Хорев Павел Борисович — канд. техн. наук, профессор кафедры прикладной 
и бизнес-информатики ИМЭЭП НИУ МЭИ
Бабаш А.В., Баранова Е.К.
Актуальные вопросы защиты информации : монография / А.В. Бабаш, 
Б12
Е.К. Баранова. — 2-е изд., перераб. и доп. — Москва : РИОР : ИНФРА-М, 
2025. — 216 с. — (Научная мысль). — DOI: https://doi.org/10.29039/ 01972-6
ISBN 978-5-369-01972-6 (РИОР)
ISBN 978-5-16-020563-2 (ИНФРА-М, print)
ISBN 978-5-16-113215-9 (ИНФРА-М, online)
Монография посвящена рассмотрению актуальных вопросов современной защиты информации: анализу
, оценке, обработке рисков и управлению инцидентами информационной безопасности в соответствии 
с линейкой стандартов ISO/IEC 27000; защите бизнеса в Интернете от 
DDoS-атак; особенностям оценки экономической эффективности системы защиты информации. Предлагаются подходы к использованию 
инструментов финансового планирования и параметров оценки эффективности внедряемых проектов, позволяющие выбрать оптимальное 
решение и существенно сэкономить на финансовых затратах компании 
в информационную безопасность. Отдельная глава монографии посвящена рассмотрению избранных криптографических и теоретико-автоматных аспектов современной защиты информации. 
Представленные материалы будут полезны бакалаврам и магистрантам высших учебных заведений, изучающим курсы «Информационная 
безопасность» и «Управление информационной безопасностью», а также аспирантам и специалистам, интересующимся вопросами защиты 
информации.
УДК 621.391
ББК 32.81
© Бабаш А.В., 
Баранова Е.К.
ISBN 978-5-369-01972-6 (РИОР)
ISBN 978-5-16-020563-2 (ИНФРА-М, print)
ISBN 978-5-16-113215-9 (ИНФРА-М, online)

ВВЕДЕНИЕ 
Предлагаемая вашему вниманию монография — попытка авторов собрать в одной книге свои разработки последних лет по актуальным вопросам 
защиты информации. Возможно, материал монографии покажется читателю 
недостаточно однородным, но авторы включили в книгу лишь избранные исследования в области современной защиты информации, представляющие 
наибольший интерес как для авторов, так, мы надеемся, и для читателей. 
Первая глава монографии посвящена общим вопросам защиты информации, в частности вопросам анализа, оценки и обработки рисков информационной безопасности (ИБ). 
В процессе оценки риска устанавливается значимость информационных активов, выявляются потенциальные угрозы и уязвимости, которые 
существуют или могут существовать; определяются существующие меры, 
средства контроля и управления, а также их воздействие на идентифицированные риски; определяются возможные ущербы от инцидентов информационной безопасности и, наконец, назначаются приоритеты установленным 
рискам, а также осуществляется их ранжирование по критериям оценки 
риска, зафиксированным при установлении контекста.  
Оценка риска часто проводится за две или более итерации. Сначала 
проводится высокоуровневая оценка для идентификации потенциально высоких рисков, служащих основанием для дальнейшей оценки. Следующая 
итерация может включать дальнейшее углубленное рассмотрение рисков 
информационной безопасности. В тех случаях, когда полученная информация недостаточна для оценки риска, проводится более детальный анализ, 
возможно, по отдельным сферам деятельности компании и с использованием различных методов оценки. 
Выбор подхода к оценке риска, в зависимости от поставленных задач 
и целей, осуществляет руководство компании. Варианты обработки риска 
должны выбираться исходя из результатов оценки риска, предполагаемой 
стоимости реализации этих вариантов и их ожидаемой эффективности. 
Должны реализовываться такие варианты, при которых значительное снижение риска может быть достигнуто при оптимизации затрат на дополнительные средства защиты информации.  
Ущерб от неблагоприятных последствий рисков необходимо снижать до 
разумных пределов независимо от каких-либо абсолютных критериев. Редкие, 
но серьезные риски должны рассматриваться руководством. В таких случаях 
может возникнуть необходимость реализации затратных мер и средств контроля и управления (например, меры и средства контроля и управления непрерывностью бизнеса, для охвата высоких специфических рисков).  
Варианты обработки риска, предусмотренные ГОСТом Р ИСО/МЭК 
27005-20100F1, не являются взаимоисключающими. В отдельных случаях 
компания может получить значительную выгоду от объединения вариантов, 
 
1 ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.  
3 

таких как снижение риска, уменьшение последствий или перенос остаточного риска. 
План обработки риска должен четко определять порядок приоритетов, 
при соблюдении которого должна реализовываться обработка отдельного 
риска. Порядок приоритетов может устанавливаться с использованием различных методов, включая ранжирование рисков и анализ показателя «затраты-выгоды». В обязанности руководства входит принятие решения о балансе между затратами на реализацию мер и средств контроля и управления 
и бюджетными отчислениями. В России в последние годы принят ряд стандартов, регламентирующих деятельность по управлению рисками информационной безопасности, перечислим лишь некоторые из них. 
ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий». Данный документ представляет собой руководство по управлению 
безопасностью информационных и телекоммуникационных технологий 
(ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ. 
ГОСТ Р 51897-2021 «Менеджмент риска. Термины и определения». 
Содержит определения основных терминов в области менеджмента риска. 
Семейство ГОСТ Р ИСО/МЭК 27000, основанное и соответствующее 
семейству международных стандартов на системы управления информационной безопасностью ISO/IEC 27000. Эти стандарты определяют требования к системам управления информационной безопасностью, управлению 
рисками, метрики и измерения, а также руководство по внедрению.  
Появление новых и модернизация старых стандартов, утверждение в 
2016 г. новой Доктрины информационной безопасности РФ побудили авторов рассмотреть некоторые вопросы соответствия рекомендуемых методик 
для анализа и оценки рисков ИБ, а также используемого для этой цели программного инструментария новым требованиям нормативных документов. 
В первой главе также рассматривается метод оценки защищенности, 
заключающийся в моделировании атаки злоумышленника с целью обнаружения уязвимостей в системе безопасности — тестирование на проникновение (англ. penetration testing, сокр. пентест). Данный метод является одним из наиболее активно применяемых на сегодня, поскольку он дает достаточно точную оценку безопасности информационной системы (ИС).  
Во второй главе монографии представлены материалы по управлению 
инцидентами информационной безопасности. Тема управления инцидентами информационной безопасности на сегодняшний день является одной из 
наиболее обсуждаемых и актуальных для компаний. Это связанно с тем, что 
управление инцидентами ИБ является важнейшим процессом развития и 
совершенствования всей системы управления информационной безопасностью (СУИБ). Именно процесс управления инцидентами ИБ позволяет 
4 

определить конкретные уязвимости ИБ организации, обнаружить следы 
атак и вторжений в информационную среду компании, что, в свою очередь, 
дает информацию о слабостях в системе защиты информации. Таким образом, управление инцидентами ИБ позволяет оценить эффективность СУИБ, 
определить ключевые роли персонала в результате возникновения нештатных ситуаций и, главное, за минимальный промежуток времени принять 
необходимые меры для восстановления полноценной работы компании.  
Как показывает практика, необходимость своевременного выявления 
инцидентов и реагирования на них обусловлена тем, что на карту эффективного функционирования компании поставлены не только конфиденциальность, целостность и доступность информации, а прежде всего репутация и финансы, которых может лишиться компания, не идентифицировав 
инцидент, о котором сигнализировали средства защиты.  
Также во второй главе рассматриваются такие актуальные вопросы 
обеспечения информационной безопасности, как защита бизнеса в Интернете от DDoS-атак и особенности оценки экономической эффективности 
системы защиты информации. Рассмотрены проблемы экономического 
обоснования затрат на информационную безопасность, предложены подходы к использованию инструментов финансового планирования и параметров оценки эффективности внедряемых проектов, позволяющих выбрать 
оптимальное решение и существенно сэкономить на финансовых затратах 
компании в информационную безопасность.  
Третья глава монографии посвящена отдельным аспектам криптографической защиты информации. Сюда включены подразделы, посвященные 
вопросам дальнейшего развития математической модели шифра Клода 
Шеннона, проблеме трактовки и расчету расстояния единственности шифра. В этой главе демонстрируется использование теоретико-автоматного 
языка и методов теории автоматов для оценки периодов выходных последовательностей генераторов псевдослучайных чисел (на примере генератора 
Indirection Addition, IA). Приводится расширение круга шифров, для которых применимы идеи дешифрования Мицуру Мацуи шифратора DES1F1. 
Расширение границ применения идей Мацуи происходит за счет использования теоретико-автоматной модели блочных шифров, построенных на идеях Фейстеля2F2. Приводится алгоритм дешифрования с расчетом его трудоемкости и надежности. 
Авторы монографии полагают, что представленные материалы будут 
полезны бакалаврам и магистрам высших учебных заведений, изучающим 
курсы «Информационная безопасность» и «Управление информационной 
безопасностью», а также аспирантам и специалистам, интересующимся вопросами защиты информации.  
 
 
1 Matsui M. Linear Cryptanalysis Method for DES. Eurocrypt,1993. Рp. 24–27. 
2 Horst Feistel. Cryptography and Computer Privacy, Scientific American, May 1973, 
Vol. 228. Iss. 5. Pp. 15–23. 
5 

ГЛАВА 1. ВОПРОСЫ УПРАВЛЕНИЯ РИСКАМИ 
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 
1.1. МЕТОДИКИ АНАЛИЗА И ОЦЕНКИ РИСКОВ 
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 
Риск информационной безопасности (information security risk) — «возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации»3F1.  
В соответствии с ГОСТом Р 51897-2021 «Менеджмент риска. Термины 
и определения» и международным стандартом ISO 27001-2013 «Система 
управления информационной безопасностью» — процесс управления рисками представляет собой скоординированные действия по управлению и 
контролю организации в отношении риска информационной безопасности. 
Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске. 
Цель процесса оценивания рисков состоит в определении характеристик 
рисков по отношению к информационной системе и ее ресурсам (активам). 
На основе полученных данных могут быть выбраны необходимые средства 
защиты. При оценивании рисков учитываются многие факторы: ценность ресурсов, оценки значимости угроз и уязвимостей, эффективность существующих и планируемых средств защиты и многое другое. 
Базовый уровень безопасности (baseline security) — обязательный минимальный уровень защищенности для ИС. В ряде стран существуют критерии 
для определения этого уровня. В качестве примера приведем критерии Великобритании — CCTA Baseline Security Survey, определяющие минимальные 
требования в области ИБ для государственных учреждений этой страны. 
В Германии эти критерии изложены в стандарте BSI.  
Существуют критерии ряда организаций — NASA, X/Open, ISACA и 
другие. В нашей стране это может быть класс защищенности в соответствии 
с требованиями ФСТЭК России, профиль защиты, разработанный в соответствии со стандартом ISO-15408, или какой-либо другой набор требований.  
Тогда критерий достижения базового уровня безопасности — это выполнение заданного набора требований.  
Базовый (baseline) анализ рисков — анализ рисков, проводимый в соответствии с требованиями базового уровня защищенности. Прикладные методы анализа рисков, ориентированные на данный уровень, обычно не рассматривают ценность ресурсов и не оценивают эффективность контрмер. 
Методы данного класса применяются в случаях, когда к информационной 
системе не предъявляется повышенных требований в области ИБ. 
Полный ( full) анализ рисков — анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ. Включает в се 
1 ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. 
6 

бя определение ценности информационных ресурсов, оценку угроз и уязвимостей, выбор адекватных контрмер, оценку их эффективности. 
Согласно ГОСТу Р ИСО/МЭК 27005-2010 процесс менеджмента ИБ 
состоит из этапов, представленных на рис. 1. 
Согласно ГОСТу Р ИСО/МЭК 27005-2010 процесс оценки риска состоит из анализа риска и собственно оценки риска.  
Анализ риска включает: идентификацию риска (определение активов, 
определение угроз, определение существующих мер и средств контроля и 
управления, выявление уязвимостей, определение последствий) и установление значения риска (оценка последствий, оценка вероятности инцидента, 
установление значений уровня рисков). 
Оценка рисков должна идентифицировать риски, определить количество и приоритеты рисков на основе критериев для принятия риска и целей, 
значимых для организации. 
 
 
Рис. 1. Процесс менеджмента риска информационной безопасности  
в соответствии с ГОСТом Р ИСО/МЭК 27005-2010 
7 

Следуя рекомендациям ГОСТа Р ИСО/МЭК 27002-20214F1 оценки рисков следует выполнять периодически, чтобы учитывать изменения в требованиях безопасности и в ситуации, связанной с риском, например, в отношении активов, угроз, уязвимостей, воздействий, оценивания рисков.  
Прежде чем рассмотреть обработку некоего риска, компания должна 
выбрать критерии определения приемлемости или неприемлемости рисков.  
В процессе оценки риска устанавливается ценность информационных 
активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие меры и средства контроля и управления и их воздействие на идентифицированные риски, определяются возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по 
критериям оценки риска, зафиксированным при установлении контекста5F2. 
В результате оценки риска согласно ГОСТу Р ИСО/МЭК 27003-20216F3 
необходимо: 
− определить угрозы и их источники; 
− определить существующие и планируемые меры и средства контроля и управления; 
− определить уязвимости, которые могут в случае угрозы нанести 
ущерб активам или организации; 
− определить последствия потери конфиденциальности, сохранности, 
доступности, неотказуемости или нарушения других требований 
к безопасности для активов; 
− оценить влияние на предприятие, которое может возникнуть в результате предполагаемых или фактических инцидентов информационной безопасности; 
− оценить вероятность чрезвычайных сценариев; 
− оценить уровень риска; 
− сравнить уровни риска с критериями оценки и приемлемости рисков. 
Применяемая для оценки риска методология должна предусматривать 
действия, указанные ниже. 
1. Определение активов. 
2. Определение угроз. 
3. Выявление уязвимостей. 
4. Определение последствий. 
5. Оценка вероятности инцидента. 
 
1 ГОСТ Р ИСО/МЭК 27002-2021.Информационные технологии (ИТ). Методы и 
средства обеспечения безопасности. Свод норм и правил применения мер обеспечения 
информационной безопасности. 
2 Баранова Е.К., Чернова М.В. Сравнительный анализ программного инструментария для анализа и оценки рисков информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. 2014. № 4. С. 160–168. 
3 ГОСТ Р ИСО/МЭК 27003-2021. Информационные технологии (ИТ). Системы 
менеджмента информационной безопасности. Руководство по реализации. 
8 

6. Установление значений уровня рисков. 
7. Соотнесение рисков с критериями. 
8. Определение мер обработки риска. 
Схема деятельности по обработке риска показана на рис. 2.  
 
Рис. 2. Деятельность по обработке риска в соответствии  
с ГОСТом Р ИСО/МЭК 27005-2010 
 
Помимо указанных действий в организации должен предусматриваться и мониторинг рисков. 
Должны подвергаться мониторингу и переоценке риски и их факторы 
(т.е. ценность активов, влияние, угрозы, уязвимости, вероятность возникновения) с целью определения любых изменений в контексте организации на 
ранней стадии, и должно поддерживаться общее представление о всей картине риска. Процесс менеджмента риска ИБ подлежит постоянному мониторингу, анализу и улучшению. 
При анализе рисков, ожидаемый ущерб, в случае реализации угроз, сравнивается с затратами на меры и средства защиты, после чего принимается 
решение в отношении оцениваемого риска, который может быть:  
• снижен, например, за счет внедрения средств и механизмов защиты, 
уменьшающих вероятность реализации угрозы или коэффициент разрушительности; 
• сохранен (принят), как приемлемый для рассматриваемого объекта 
оценки; 
9 

7F1.  
• предотвращен, за счет отказа от использования подверженного угрозе 
ресурса; 
• перенесен, например, застрахован, в результате чего в случае реализации угрозы безопасности, потери будет нести страховая компания, а не 
владелец ресурса. 
Наиболее трудоемким является процесс оценки рисков, который условно 
можно разделить на следующие этапы: идентификация риска; анализ риска; 
оценивание риска
На рис. 3 схематично изображен процесс оценки рисков информационной безопасности
8F2. Идентификация риска заключается в составлении перечня и описании элементов риска: объектов защиты, угроз, уязвимостей.  
 
Рис. 3. Процесс оценки рисков информационной безопасности 
Принято выделять следующие типы объектов защиты: информационные 
активы; программное обеспечение; физические активы; сервисы; люди, а 
также их квалификации, навыки и опыт; нематериальные ресурсы, такие как 
репутация и имидж организации.  
Как правило, на практике рассматривают первые три группы. Остальные 
объекты защиты не рассматриваются в силу сложности их оценки.  
На этапе идентификации рисков так же выполняется идентификация угроз и 
уязвимостей.  
В качестве исходных данных для этого используются результаты аудитов; данные об инцидентах информационной безопасности; экспертные 
оценки пользователей, специалистов по информационной безопасности, ИТспециалистов и внешних консультантов.  
Информация, полученная на этапе идентификации рисков, используется в 
процессе анализа рисков для определения: 
• 
возможного ущерба, наносимого организации в результате нарушений безопасности активов; 
• 
вероятности наступления такого нарушения; 
• 
величины риска. 
 
1 ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности 
информационных и телекоммуникационных технологий. 
2 Баранова Е.К. Методики и программное обеспечение для оценки рисков в сфере 
информационной безопасности // Управление риском. 2009. № 1(49). С. 15–26. 
10