Книжная полка Сохранить
Размер шрифта:
А
А
А
|  Шрифт:
Arial
Times
|  Интервал:
Стандартный
Средний
Большой
|  Цвет сайта:
Ц
Ц
Ц
Ц
Ц

Основы информационной безопасности предприятия

Покупка
Основная коллекция
Артикул: 116800.13.01
Доступ онлайн
от 260 ₽
В корзину
В учебном пособии рассмотрены основные понятия, определения, положения и методологические подходы к организации комплексной системы защиты информации. Особое внимание уделено проблеме человеческого фактора. Соответствует требованиям федеральных государственных образовательных стандартов высшего образования последнего поколения. Предназначено для студентов, обучающихся по программе подготовки бакалавров 10.03.01 «Информационная безопасность», аспирантов, преподавателей высших учебных заведений, занимающихся вопросами защиты информации.
Гришина, Н. В. Основы информационной безопасности предприятия : учебное пособие / Н.В. Гришина. — Москва : ИНФРА-М, 2021. — 216 с. — (Высшее образование: Бакалавриат). — www.dx.doi.org/10.12737/textbook_5cf8ce075a0298.77906820. - ISBN 978-5-16-015105-2. - Текст : электронный. - URL: https://znanium.ru/catalog/product/1784437 (дата обращения: 29.03.2024). – Режим доступа: по подписке.
Фрагмент текстового слоя документа размещен для индексирующих роботов. Для полноценной работы с документом, пожалуйста, перейдите в ридер.
ОСНОВЫ 
ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ 
ПРЕДПРИЯТИЯ

Н.В. ГРИШИНА

Москва
ИНФРА-М
2021

УЧЕБНОЕ ПОСОБИЕ

Рекомендовано
Учебно-методическим объединением вузов
Российской Федерации по образованию 
в области историко-архивоведения
в качестве учебного пособия для студентов высших учебных
заведений, обучающихся по направлению подготовки
10.03.01 «Информационная безопасность»
(квалификация (степень) «бакалавр»)

УДК 004.056(075.8)
ББК 32.973-018.2я73
 
Г85

Гришина Н.В.
Г85 
 
Основы информационной безопасности предприятия : учебное 
пособие / Н.В. Гришина. — Москва : ИНФРА-М, 2021. — 216 с. — 
(Высшее  образование: Бакалавриат). — DOI 10.12737/textbook_5cf8
ce075a0298.77906820.

ISBN 978-5-16-015105-2 (print)
ISBN 978-5-16-107616-3 (online)
В учебном пособии рассмотрены основные понятия, определения, положения и методологические подходы к организации комплексной си стемы 
защиты информации. Особое внимание уделено проблеме человеческого 
фактора.
Соответствует требованиям федеральных государственных образовательных стандартов высшего образования последнего поколения.
Предназначено для студентов, обучающихся по программе подготовки 
бакалавров 10.03.01 «Информационная безопасность», аспирантов, преподавателей высших учебных заведений, занимающихся вопросами защиты 
информации.

УДК 004.056(075.8)
ББК 32.973-018.2я73

Р е ц е н з е н т ы:
О.В. Сюнтюренко — доктор технических наук, профессор, ведущий 
научный сотрудник Всероссийского института научной и технической информации Российской академии наук;
М.В. Мецатунян — кандидат технических наук, доцент, доцент кафедры информационной безопасности Российского государственного 
гуманитарного университета

ISBN 978-5-16-015105-2 (print)
ISBN 978-5-16-107616-3 (online)
© Гришина Н.В., 2019

введение

Современные методы и средства обработки информации 
не только позволяют повысить эффективность всех видов деятельности человека, но и создают комплекс проблем, связанных 
с вопросами ее защиты. На рынке защиты информации (ЗИ) предлагается много отдельных инженерно-технических, программноаппаратных, криптографических средств защиты информации. 
В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. 
 Однако, чтобы соз дать на предприятии условия информационной 
безопасности (ИБ), необходимо объединить отдельные средства 
защиты в систему. При этом надо помнить, что главным элементом 
этой системы  является человек. Причем человек — это ключевой 
элемент си стемы и вместе с тем самое трудно формализуемое 
и потенциально слабое ее звено.
Создание системы защиты информации (СЗИ) не является 
главной задачей предприятия, как, например, производство продукции и получение прибыли. Поэтому создаваемая СЗИ не должна 
приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее 
она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.
В книге предложен комплексный подход к организации защиты информации на предприятии. При этом объектом исследования является не только информационная система, а предприятие 
в целом. Рассмотрены концептуальные основы ЗИ, раскрывающие 
сущность, цели, структуру и стратегию защиты. Проанализированы 
источники, способы и результаты дестабилизирующего воздействия 
на информацию, а также каналы и методы несанкционированного 
доступа к информации. Определены методологические подходы 
к организации и технологическому обеспечению ЗИ на предприятии. Представлена архитектура, этапы построения, принципы 
управления системой защиты информации. Особое внимание уделено проблеме человеческого фактора. Предложенный подход к защите информации обеспечит целостное видение проблемы, повышение качества, а следовательно, и надежности ИБ предприятия.
Учебное пособие может быть использовано в вузах для преподавания курсов «Управление информационной безопасностью пред
приятия» и «Информационная безопасность предприятия» по направлению подготовки бакалавров 10.03.01 «Информационная безопасность».
В результате изучения данного учебного пособия студенты приобретут следующие компетенции:
 
• способность определять информационные ресурсы, подлежащие 
защите, угрозы безопасности информации и возможные пути их 
реализации на основе анализа структуры и содержания информационных процессов и особенностей функционирования объекта защиты (ОПК-7);
 
• способность участвовать в работах по реализации политики информационной безопасности, применять комплексный подход 
к обеспечению информационной безопасности объекта защиты 
(ПК-4);
 
• способность принимать участие в организации и проведении 
контрольных проверок работоспособности и эффективности 
применяемых программных, программно-аппаратных и технических средств защиты информации (ПК-6);
 
• способность проводить анализ исходных данных для проектирования подсистем и средств обеспечения информационной безопасности и участвовать в проведении технико-экономического 
обоснования соответствующих проектных решений (ПК-7);
 
• способность принимать участие в формировании, организовывать и поддерживать выполнение комплекса мер по обеспечению информационной безопасности, управлять процессом их 
реализации (ПК-13).

Глава 1 
сУщнОсть и задачи кОмплекснОй 
системы защиты инфОрмации

1.1. пОдхОды к прОектирОванию систем  
защиты инфОрмации

Существует широко распространенное мнение, что проблемы 
защиты информации имеют исключительно техническую природу. 
Это связано с тем, что центром обработки и хранения информации 
являются технические средства, в большинстве случаев — персональный компьютер.
Объект информатизации, по отношению к которому направлены 
действия по защите информации, представляется более широким 
понятием по сравнению с персональным компьютером. Его определение звучит так: объект информатизации — это совокупность информационных ресурсов, средств и систем обработки информации, 
используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов 
(зданий, сооружений, технических средств), в которых эти средства 
и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров [15].
В реальной жизни объект информатизации расположен в пределах одной (или нескольких) организаций и представляет собой 
единый комплекс компонентов, связанных общими целями, задачами, структурными отношениями, технологией информационного 
обмена и т.д.
Современное предприятие представляет собой сложную систему, включающую в себя большое количество разнородных компонентов и используемую для достижения поставленных целей, 
которые в процессе функционирования предприятия могут модифицироваться. На предприятие оказывают многообразное и сложное влияние внутренние и внешние факторы, которые часто не поддаются строгой количественной оценке.
Такие системы требуют присутствия человека в каждой из составляющих их подсистем и отдаленность (разделенность) человека от объекта его деятельности. Множество компонентов, составляющих объект информатизации, может быть представлено совокупностью трех групп систем: 1) люди (биосоциальные системы); 
2) техника (технические системы и помещения, в которых они 

расположены); 3) программное обеспечение, которое является интеллектуальным посредником между человеком и техникой (интеллектуальные системы). Совокупность этих трех групп образует социотехническую систему. Такое представление о социотехнических 
системах является достаточно широким и может быть распространено на многие объекты. Круг наших интересов ограничивается исследованием безопасности систем, предназначенных для обработки 
поступающей на их вход информации и выдачи результата, т.е. социотехнических систем информационного типа.
Если обратиться к истории этой проблемы, то условно можно 
выделить три периода развития средств защиты информации:
 
• первый относится к тому времени, когда обработка информации 
осуществлялась по традиционным (ручным, бумажным) технологиям;
 
• второй — когда для обработки информации на регулярной основе применялись средства электронной вычислительной техники первых поколений;
 
• третий — когда использование средств электронно-вычислительной техники приняло массовый и повсеместный характер 
(появление персональных компьютеров).
В 1960—1970-х гг. проблема защиты информации решалась достаточно эффективно путем применения в основном организационных мер. К ним относились: режимные мероприятия, охрана, 
сигнализация и простейшие программные средства защиты информации. Эффективность использования этих средств достигалась 
за счет концентрации информации в определенных местах (спец. 
хранилища, вычислительные центры), что способствовало обеспечению защиты относительно малыми средствами.
«Рассредоточение» информации по местам хранения и обработки обострило ситуацию с ее защитой. Появились дешевые 
персональные компьютеры. Это позволило построить сети ЭВМ 
(локальные, глобальные, национальные и транснациональные), которые могут использовать различные каналы связи. Эти факторы 
способствуют созданию высокоэффективных систем разведки и получения информации. Они нашли отражение и на современных 
предприятиях.
Современное предприятие представляет собой сложную систему, 
в рамках которой необходимо обеспечить защиту информации. Рассмотрим основные особенности современного предприятия:
 
• сложная организационная структура;
 
• многоаспектность функционирования;

• высокая техническая оснащенность;
 
• широкие связи по кооперации;
 
• необходимость расширения доступа к информации;
 
• возрастающий удельный вес безбумажной технологии обработки информации:
 
– увеличивающийся удельный вес автоматизированных процедур в общем объеме процессов обработки данных;
 
– важность и ответственность решений, принимаемых в автоматизированном режиме на основе автоматизированной обработки информации;
 
– высокая концентрация в автоматизированных системах информационных ресурсов;
 
– большая территориальная распределенность компонентов автоматизированных систем;
 
– накопление на технических носителях огромных объемов информации;
 
– интеграция в единых базах данных информации различного 
назначения и различной принадлежности;
 
– долговременное хранение больших объемов информации 
на машинных носителях;
 
– непосредственный и одновременный доступ к ресурсам 
(в том числе и к информации) автоматизированных систем 
большого числа пользователей различных категорий и различных учреждений;
 
– интенсивная циркуляция информации между компонентами 
автоматизированных систем, в том числе удаленных друг 
от друга.
Таким образом, создание индустрии переработки информации, 
с одной стороны, создает объективные предпосылки для повышения уровня производительности труда и жизнедеятельности человека, а с другой — порождает ряд сложных и крупномасштабных 
проблем. Одной из них является обеспечение сохранности и установленного статуса информации, циркулирующей и обрабатываемой на предприятии.

1.2. пОнятие системы защиты инфОрмации

Работы по защите информации в нашей стране ведутся достаточно интенсивно и уже продолжительное время. В этой сфере 
деятельности накоплен существенный опыт. Сейчас уже никто 
не думает, что достаточно провести на предприятии ряд органи
зационных мероприятий, включить в состав автоматизированных 
систем некоторые технические и программные средства и этого 
будет достаточно для обеспечения безопасности.
Главное направление поиска новых путей защиты информации 
заключается не просто в создании соответствующих механизмов, 
а в реализации регулярного процесса, осуществляемого на всех 
этапах жизненного цикла систем обработки информации при комплексном использовании всех имеющихся средств защиты. 
При этом все средства, методы и мероприятия, используемые для 
ЗИ, наиболее рационально объединяются в единый целостный механизм, причем не только для защиты от злоумышленников, 
но и от некомпетентных или недостаточно подготовленных пользователей и персонала, а также нештатных ситуаций технического 
характера.
Основные проблемы реализации систем защиты:
 
• необходимость обеспечения надежной защиты находящейся 
в системе информации: исключение случайного и преднамеренного получения информации посторонними лицами, разграничение доступа к устройствам и ресурсам системы всех пользователей, администрации и обслуживающего персонала;
 
• необходимость отсутствия со стороны систем защиты заметных неудобств пользователям в ходе их работы с ресурсами системы.
Обеспечение желаемого уровня защиты информации — проблема весьма сложная. Для ее решения недостаточно просто осуществления некоторой совокупности научных, технических и организационных мероприятий и применения специальных средств 
и методов, а необходимо создание целостной системы организационно-технологических мероприятий и применение комплекса специальных средств и методов, т.е. нужен так называемый системноконцептуальный подход.
Под системностью, являющейся основной частью системно-концептуального подхода, понимается:
 
• системность целевая, т.е. защищенность информации рассматривается как основная часть общего понятия качества информации;
 
• системность пространственная, предлагающая взаимоувязанное 
решение всех вопросов защиты на всех компонентах предприятия;
 
• системность временная, означающая непрерывность работ 
по ЗИ, осуществляемых в соответствии с планами;

• системность организационная, означающая единство организации всех работ по ЗИ и управления ими.
Концептуальность подхода предполагает разработку единой 
концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также целенаправленной организации всех работ по ЗИ.
Комплексный (системный) подход к построению любой системы 
включает в себя прежде всего изучение объекта внедряемой 
системы; оценку угроз безопасности объекта; анализ средств, которыми оперируют при построении системы; оценку экономической 
целесообразности; изучение самой системы, ее свойств, принципов 
работы и возможности увеличения ее эффективности; соотношение 
всех внутренних и внешних факторов; возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца.
Комплексный (системный) подход — это принцип рассмотрения 
проекта, при котором анализируется система в целом, а не ее отдельные части. Его задачей является оптимизация всей системы 
в совокупности, а не улучшение эффективности ее отдельных 
частей. Это объясняется тем, что улучшение одних параметров 
часто приводит к ухудшению других, поэтому необходимо стараться обеспечить баланс противоречий требований и характеристик.
Комплексный (системный) подход не рекомендует приступать 
к созданию системы до тех пор, пока не определены ее следующие 
компоненты.
1. Входные элементы, т.е. те элементы, для обработки которых 
создается система. В качестве входных элементов выступают виды 
угроз безопасности, возможные на данном объекте.
2. Ресурсы — средства, которые обеспечивают создание и функционирование системы (например, материальные затраты, энергопотребление, допустимые размеры и т.д.). Обычно рекомендуется 
четко определять виды и допустимое потребление каждого вида 
ресурса как в процессе создания системы, так и в ходе ее эксплуатации.
3. Окружающая среда. Следует помнить, что любая реальная 
система всегда взаимодействует с другими системами, каждый 
объект связан с другими объектами. Важно установить границы 
 области других систем, не подчиняющихся руководителю данного 
предприятия и не входящих в сферу его ответственности.

Характерным примером важности решения этой задачи является распределение функций по защите информации, передаваемой 
сигналами по кабельной линии, проходящей по территориям различных объектов. Как бы ни устанавливались границы системы, 
нельзя игнорировать ее взаимодействие с окружающей средой, ибо 
в этом случае принятые решения могут оказаться бессмысленными. 
Это справедливо как для границ защищаемого объекта, так и для 
границ системы защиты.
4. Назначение и функции. Для каждой системы должна быть 
сформулирована цель, к которой она (система) стремится. Эта цель 
может быть описана как назначение системы, как ее функция. Чем 
точнее и конкретнее указано назначение или перечислены функции 
системы, тем быстрее и правильнее можно выбрать лучший вариант 
ее построения. Так, цель, сформулированная в самом общем виде 
как обеспечение безопасности объекта, заставит рассматривать варианты создания глобальной системы защиты. Если уточнить ее, 
определив, например, как обеспечение безопасности информации, 
передаваемой по каналам связи внутри здания, то круг возможных 
решений существенного сузится. Следует иметь в виду, что, как 
правило, глобальная цель достигается через достижение множества менее общих локальных целей (подцелей). Построение такого «дерева целей» значительно облегчает, ускоряет и удешевляет 
процесс создания системы.
5. Критерий эффективности. Необходимо всегда рассматривать 
несколько путей, ведущих к цели, в частности, несколько вариантов 
построения системы, обеспечивающей заданные цели функционирования. Чтобы оценить, какой из путей лучше, необходимо иметь 
инструмент сравнения — критерий эффективности. Он должен характеризовать качество реализации заданных функций; учитывать 
затраты ресурсов, необходимых для выполнения функционального 
назначения системы; иметь ясный и однозначный физический 
смысл; быть связанным с основными характеристиками системы 
и допускать количественную оценку на всех этапах создания 
системы.
Учитывая многообразие потенциальных угроз информации 
на предприятии, сложность его структуры, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания 
СЗИ на основе комплексного подхода.
Процесс создания системы защиты информации может быть 
представлен в виде непрерывного цикла, как это показано на рис. 1.1.

Доступ онлайн
от 260 ₽
В корзину