Управление информационной безопасностью

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ 

РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное автономное 

образовательное учреждение высшего образования 

«ЮЖНЫЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ»

Институт компьютерных технологий и информационной безопасности

А. К. Шилов

УПРАВЛЕНИЕ 

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Учебное пособие

Ростов-на-Дону  Таганрог

Издательство Южного федерального университета

2018

УДК 004.056.5 (075.8)
ББК 32.973Я73

Ш59

Печатается по решению кафедры информационной безопасности

Института компьютерных технологий и информационной безопасности 
Южного федерального университета (протокол №7 от 23 января 2017 г.)

Рецензенты:

кандидат технических наук, доцент кафедры прикладной математики и 

информационных технологий Таганрогского института управления 

и экономики, кандидат технических наук О. И. Овчаренко

кандидат технических наук, доцент кафедры информационной 

безопасности телекоммуникационных систем ЮФУ С. Л. Балабаев 

Шилов, А. К. 

Ш59
Управление информационной безопасностью : учебное пособие /

А. К. Шилов ; Южный федеральный университет. – Ростов-на-Дону ; 
Таганрог : Издательство Южного федерального университета, 2018. –
120 с.

ISBN 978-5-9275-2742-7
В учебном пособии дается представление о методологии и норма
тивном обеспечении процедур управления безопасностью. Рассмотрены 
современные инструментальные средства, применяемые на практике 
при оценке безопасности предприятия. Учебное пособие предназначено для подготовки бакалавров, специалистов, магистров и аспирантов
по направлениям информационной безопасности.

УДК 004.056.5 (075.8)

ББК 32.973Я73

ISBN 978-5-9275-2742-7

© Южный федеральный университет, 2018
© Шилов А. К., 2018
© Оформление. Макет. Издательство

Южного федерального университета, 2018

СОДЕРЖАНИЕ

Предисловие
…….………………………………………………..…………..4

Введение
…..…………………………………………………………………..7

1. Требования к системам управления безопасностью
…………..…….9

1.1. Основы управления безопасностью на предприятии
…..……………….9

1.2. Требования к внедрению стандарта ГОСТ 27001 ……………………….12
1.3. Работа после внедрения системы управления ИБ
…..………………….19

2. GRC-системы управления информационной безопасностью ……...24
2.1. GRC-парадигма управления ИБ
….…………….…………….……….24

2.2. Security GRC-системы управления ИБ
…..…………….………...……27

2.3. Обзор российских SGRC-продуктов ………………….………………..30
3. Построение СУИБ на основе разработок Positive Technologies …….35
3.1. О компании Positive Technologies ………………….……………..……35
3.2. Программный продукт MaxPatrol SIEM ………...……….…………….35
3.3. Система MaxPatrol для контроля защищенности …….…………..……39
3.4. Программный продукт MaxPatrol 8 для SAP……..…………….………42
4. Контроль защищенности автоматизированных систем ……….……45
4.1. Задачи, возникающие в ходе контроля защищенности ……………….45
4.2. Развертывание MaxPatrol …….…………….…………...…………….…52
5. Инвентаризация информационных актив …...…………….…………64
5.1. Объекты и способы инвентаризации …….…………….………….……64
5.2. Инвентаризация с помощью сетевого сканера …….…………….…….65
5.3. Инвентаризация с использованием системных проверок ……..………71
6. Уязвимости и способы их выявления ……….……….…………….…73
6.1. Понятие уязвимости и категории проверок …….………..….…………73
6.2. Тесты и эксплойты …….…………….…………….…………….…….…74
6.3. Выявление уязвимостей по косвенным признакам ……...………….…76
Контрольные вопросы …….……………..…………………………………...78
Заключение
……………………………………………..………………......79

Список литературы ……..…….………………..…………….……………81
Приложения
…………………………………..…………………………….83

Приложение 1. Сайты по теме пособия …………………..……...…………83
Приложение 2. Глоссарий терминов по СУИБ ……….………….…………86
Приложение 3. Пакет документов СУИБ по ISO 27001-2013 ……………114

ПРЕДИСЛОВИЕ

Пособие «Управление информационной безопасностью» стоит в ряду 

учебных пособий, посвященных вопросам создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и 
улучшения систем менеджмента защиты информации организаций [1–7]. 
Материал пособия учитывает требования к формированию профессиональных компетенций специалистов в области защиты информации в соответствии с образовательными стандартами высшего образования: бакалавриата 
(направления подготовки 10.03.01) и специалитета (специальностей 10.05.02 и 
10.05.03), принятыми Ученым советом Южного федерального университета 
2017 г.

Процесс управления информационной безопасностью строится на осно
ве международных и отечественных стандартов. Материал учебного пособия включает информацию по современным методам и средствам построения систем управления информационной безопасностью [8–20]. При подготовке данного учебного пособия ставились следующие задачи:

– дать представление о методологии управления защитой информации;
– рассмотреть современную нормативную базу по оценке информаци
онных рисков;

– дать пример использования программных средств, применяемых на 

практике для управления информационной защищенностью предприятия.

Во введении обоснована актуальность темы учебного пособия, дан об
зор информационных источников.

В разд. 1 дается методология менеджмента информационной безопас
ности предприятия в соответствии с современными нормативными требованиями. Показаны основные понятия и обсуждаются принципы управления безопасностью на предприятии. Рассматриваются вопросы, связанные с 
мероприятиями после внедрения системы управления информационной 
безопасностью (СУИБ), направленные на оценку качества ее работы и совершенствование.

В разд. 2 приводится парадигма GRC-систем управления информаци
онной безопасностью. Подробно рассмотрен класс GRC-систем, ориентированных на управление безопасностью – Security GRC. Описываются основные программные продукты, реализующие идею SGRC. 

Предисловие

5

В разд. 3 дается обзор продуктов компании Positive Technologies, со
ставляющих платформу MaxPatrol и реализующих управление безопасностью на предприятии.

В разд. 4–6 рассматривается практическое применение программного 

пакета MaxPatrol для контроля защищенности автоматизированных систем, 
анализа соответствия системы безопасности требованиям стандартов, инвентаризации информационных активов и анализа уязвимостей.

В заключении кратко выделяется взаимосвязь изученных понятий, от
носящихся к менеджменту информационной безопасности, а также устанавливается связь между материалом учебного пособия и составляющими 
профессиональных компетенций.

В прил. 1 приведены рекомендованные сайты по теме пособия. Основ
ные стандартные термины, связанные с системами управления информационной безопасностью, представлены в прил. 2. Глоссарий включает термины по управлению информационной безопасностью применяемые в стандартах линейки ISO/IEC 2700х. В прил. 3 представлен пакет документов, 
который должен быть сформирован при практической разработке СУИБ
для конкретного предприятия.

Освоение материала данного учебно-методического пособия лежит в 

основе формирования у обучающихся следующих профессиональных компетенций:

– способность проводить анализ защищенности и анализ рисков ин
формационной безопасности автоматизированных систем (ПК-2);

– способность разрабатывать и анализировать проектные решения по 

обеспечению безопасности автоматизированных систем, систем и средств 
управления информационной безопасностью (ПК-4);

– способность разрабатывать проекты документов, регламентирующих 

работу по обеспечению информационной безопасности автоматизированных систем, и предложения по совершенствованию системы управления 
информационной безопасностью автоматизированной системы (ПК-14).

Эти профессиональные компетенции необходимы для решения задач, 

относящихся к таким видам профессиональной деятельности в сфере 
информационной 
безопасности, 
как 
научно-исследовательская, 

проектно-конструкторская, контрольно-аналитическая, организационноуправленческая и эксплуатационная.

Предисловие

6

Изучение данного учебного пособия совместно с другими рекомендо
ванными информационными источниками обеспечивает обучающиеся возможностью приобрести следующие элементы компетенций.

Знания: 
– принципов функционирования автоматизированных систем, основных 

понятий и принципов анализа и оценки рисков;

– принципов построения современных систем обеспечения информаци
онной безопасности; 

– угроз и атак, характерных для автоматизированных систем.
Умения:
– анализировать структурные и функциональные схемы технологиче
ских процессов обработки информации в автоматизированных системах;

– разрабатывать модели угроз и модели нарушителя безопасности авто
матизированных систем;

– выделять подсистемы и модули, содержащие критическую информа
цию.

Навыки:
– выявления угроз безопасности автоматизированным системам; 
– применения методов и средств анализа и оценки рисков;
– работы со средствами поиска уязвимостей, фиксации параметров без
опасности и анализа безопасности автоматизированных систем.

Материалы, вошедшие в данное пособие, обеспечивают учебно
методической базой следующие дисциплины: «Аудит информационных 
технологий и систем обеспечения информационной безопасности», 
«Управление информационной безопасностью» и «Комплексные системы 
защиты информации на предприятии».

В полной мере данное учебно-методическое пособие может быть вос
требовано при подготовке специалистов по защите информации специальностей: 10.05.02 «Информационная безопасность телекоммуникационных 
систем», 10.05.03 «Информационная безопасность автоматизированных систем», 10.05.05 «Безопасность информационных технологий в правоохранительной сфере». Пособие может быть полезно при подготовке бакалавров по направлению 10.03.01 «Информационная безопасность», магистров 
по направлению 10.04.01 «Информационная безопасность» и аспирантов по 
направлению 10.06.01 «Информационная безопасность».

ВВЕДЕНИЕ

Учебное пособие ориентировано для использования при изучении дис
циплин «Управление информационной безопасностью», «Основы информационной безопасности», «Аудит информационных технологий и систем 
обеспечения информационной безопасности», которые могут быть включены в учебные планы большинства специальностей направления «Информационная безопасность». Эти дисциплины непосредственно готовят обучающихся к защите бизнес-активов предприятия, через их идентификацию,
менеджмент связанных с ними рисков и принятие решений по применению 
контрмер.

Вовремя не устраненные уязвимости в обеспечении информационной 

безопасности (ИБ) активов могут привести к финансовым потерям и разрушению бизнес-процессов. Поэтому разработка эффективной системы 
управления информационной безопасностью сегодня актуальна, как никогда прежде. 

Управление безопасностью это не только техническая и технологиче
ская задачи. Управления ИБ – это комплексный, непрерывно выполняемый 
процесс, включающий правовую, организационную, документальную и 
другие составляющие.

В настоящее время сделано достаточно много в направлении обеспече
ния ИБ. Серия стандартов ГОСТ 2700х дает механизм комплексного 
управления защитными мерами, которые внедрены на предприятии. Внедрение системы управления ИБ на основе этих стандартов заставляет руководство организаций осознано решать какие активы являются более критичными, какие риски ИБ связаны с активами, какие защитные меры необходимо запланировать и какие выделить на это средства. Все это решается
при эффективном управлении ИБ в организации за счет построения СУИБ.

Конфликт внутренних и внешних факторов оказывает влияние на раз
работку централизованной СУИБ на уровне организации. Для различных 
типов организаций должны применяться различные подходы.

Требуются различные комбинации структур, процессов и механизмов, 

которые обеспечивают защищенное состояние информационных инфраструктур. Необходимо усовершенствование и адаптация структуры СУИБ в 
различных регионах при проведении в жизнь принятой в организации политики безопасности.

Введение

8

Имеется необходимость изучения вопросов управления ИБ на предпри
ятии в целом. В данном учебном пособии рассмотрены различные аспекты, 
связанные с процессом управления ИБ, состоящим из многих направлений 
деятельности и охватывающим всю организацию независимо от ее масштаба и области деятельности. 

Основой для построения процесса управления является стандартная 

схема Деминга (ГОСТ Р ИСО/МЭК 27001-2006), включающая этапы планирования, реализации, проверки и совершенствования процессов в СУИБ. 
Для обеспечения учета всех значимых элементов и структурирования процессов управления применяется циклическая модель, или цикл, PDCA 
(от английского Plan-Do-Check-Act –
Планируй-Выполняй-Проверяй
Действуй). Эта модель была предложена и развита двумя американскими 
учеными и специалистами в теории управления качеством Шухартом
(Walter А. Shewhart) и Демингом (William Edwards Deming). 

Шухарт впервые описал цикл PDCA в 1939 г. в своей книге «Статисти
ческие методы с точки зрения управления качеством». Деминг пропагандировал использование цикла PDCA в качестве основного способа достижения непрерывного улучшения процессов. Поэтому эта формула больше известна как «цикл Деминга». 

Решение о создании СУИБ является стратегическим решением руко
водства предприятия. Потребности и бизнес-цели компании, используемые 
бизнес-процессы, а также ее структура и размер оказывают основное влияние на проектирование и внедрение СУИБ. Выработка конкретных требований по обеспечению безопасности бизнеса в широком смысле при правильном его понимании приводит к тому, что СУИБ объединяет воедино 
людей, процессы и ИТ-системы, а также обеспечивает согласованную работу службы безопасности, ИТ-отдела и руководства компании. При использовании СУИБ реализуется системный подход к управлению «чувствительной» (от английского sensitive) для компании информацией с целью обеспечения её конфиденциальности, целостности и доступности. 

В учебном пособии показана актуальность менеджмента безопасности 

для предприятий всех видов и любого размера. Показаны современные 
подходы для решения этой задачи.

1. ТРЕБОВАНИЯ К СИСТЕМАМ УПРАВЛЕНИЯ 

БЕЗОПАСНОСТЬЮ

1.1. Основы управления безопасностью на предприятии

Одним из основных конкурентных преимуществ для компаний является 

соответствие требованиям международных, национальных, отраслевых 
стандартов, нормативным и договорных документов, а также внутренним 
бизнес целям. Правила обеспечения информационной безопасности очень 
строги, поэтому хорошим решением для применения системы управления 
безопасностью могло бы быть внедрение стандарта ISO 27001-2013, российская версия ГОСТ 27001. В данном пособии перечисляются требования, 
которых руководители компаний должны придерживаться для сертификации по стандарту ГОСТ 27001, а также подчеркивается коммерческая выгода данной сертификации. Стандарт развивается, поэтому в версии 2013 г.
по сравнению с предыдущей версией 2005 года, действующей в России, 
появились новые элементы. При изменении учли выводы из громких дел, 
связанных с утечкой данных и событий, связанных с повреждением данных. Определены меры, которые нужно обязательно или предпочтительно 
предпринять для предотвращения худших сценариев. Рассматриваются положительные и отрицательные моменты внедрения и использования стандарта ГОСТ 27001.

Сложность среды информационных технологий предприятий требует

для обеспечения безопасности специальных знаний. Большие информационные системы могут генерировать миллионы системных сообщений в 
день, поэтому определение релевантной и полезной информации становится все труднее. Использование обычных инструментов недостаточно.

Существует необходимость в независимых автоматизированных ауди
торских решениях для обеспечения постоянного контроля и возможности
интегрирования в существующие системы. Такие программы как Syslog-ng, 
Shell Control Box или Blindspotter компании BalaBit являются решениями, 
которые могут эффективно снизить риск уязвимости данных. Эти решения 
поддерживают создание и проверку внутренних линий защиты, а также точек управления стандарта ISO 27001-2013.

Менеджеры по информационным технологиям находятся в ситуации, 

которая постоянно меняется, они сталкиваются с неожиданными опасностями со всех сторон: внешние нападения, опытные шпионы и внутренние 

1. Требования к системам управления безопасностью

10

враги. Взломщиков много. В их распоряжении имеется высокотехнологичное оборудование, с помощью которого они охотятся за данными. Устройства защиты каждую миллисекунду предупреждают о попытках атак. Специалисты по безопасности должны всегда оставаться бдительными, готовыми на ответ и предвидеть каждый шаг противника. При этом они должны придерживаться всех стандартных правил. Случаи кражи данных и их 
неправомерное использование достигли небывалого уровня. Недостаточная 
защита данных приводит к большим финансовым потерям и наносит вред
репутации организации. 

Среди всех угроз самое значительное место занимают внутренние угро
зы. Все больше конфиденциальных данных утекает вследствие злонамеренных действий внутренних сотрудников. Поэтому существует все возрастающая потребность в контроле сотрудников предприятий, имеющих 
доступ к особо важной «чувствительной» информации. С последствиями 
злонамеренных действий в цифрах можно ознакомиться во многочисленных обзорах, в частности в [11].

Каким образом предотвратить возможный ущерб от нарушения ИБ?

Этому посвящены исследования ведущих компании Gartner и Forrester
[1920]. Специалисты обеих компаний согласны с тем, что расходы на 
предотвращение гораздо ниже затрат на восстановление после атаки или 
хищения данных. Современный ответ на вопрос как можно предотвратить 
такие случаи: постоянным отслеживанием критической активности пользователей. 

Как уже отмечалось выше, кроме защиты своих информационных си
стем, компания должна обеспечить соответствие различным стандартам и 
нормам в зависимости от ее сферы деятельности. Наиболее важными нормами являются стандарт безопасности данных в сфере платежных карт 
(PCI DSS), закон Сарбэйнса-Оксли (SOX), международный стандарт подтверждения достоверности информации (ISAE 3402) и закон Грэмма-ЛичаБлайли (GLBA). В некоторых из этих стандартов формулируются подробные технические требования к безопасности данных кредитных карт и 
транзакций (PCI DSS). В других (например, SOX) указаны подробные требования к соответствию официально зарегистрированных в США компаний. Но в них мало внимания уделяется специфическим требованиям сферы информационных технологий, которые связаны с требованием обеспечения проверяемости, прозрачности, ведения журнала событий и контроля