Основы управления информационной безопасностью

ВЫСШЕЕ ОБРАЗОВАНИЕ  

 
 

Н.В. ГРИШИНА 

 
 

ОСНОВЫ УПРАВЛЕНИЯ 

ИНФОРМАЦИОННОЙ 

БЕЗОПАСНОСТЬЮ 

 
 
 
 
 

УЧЕБНО-МЕТОДИЧЕСКОЕ ПОСОБИЕ 

 
 
 
 
 

ЭлектронноБиблиотечная

Система

znanium.com

Москва 

ИНФРА-М 

2021 

УДК 004.056(075.8) 
ББК 16.8я73 
Г82 
 
А в т о р: 
Гришина Н.В., кандидат технических наук, доцент кафедры информационной 
безопасности Российского государственного гуманитарного университета 
 
Р е ц е н з е н т: 
Титов А.П., кандидат технических наук, доцент кафедры математических 
методов и бизнес-информатики Московского государственного института 
международных отношений (университета) Министерства иностранных дел 
Российской Федерации 
 
 
 
Г82 

Гришина Н.В. 
Основы управления информационной безопасностью 
: учебно
методическое пособие / Н.В. Гришина. — Москва : ИНФРА-М, 2021. — 
99 с. — (Высшее образование: Бакалавриат). 
 
ISBN 978-5-16-110048-6 

 
Учебно-методическое пособие посвящено вопросам изучения основ 

управления 
информационной 
безопасностью. 
Основное 
содержание 

составляют рассмотрение ключевых вопросов в рамках предметной области 
и практические задания по тематике дисциплины. 

Тема дисциплины может быть рассмотрена как  в теоретической части, 

так и в практической или одновременно в обеих частях. 

Ориентировано на студентов направления подготовки 10.03.01 

«Информационная 
безопасность» 
всех 
трех 
уровней: 
бакалавриата, 

магистратуры, 
специалитета, 
а 
также 
подготовки 
кадров 
высшей 

квалификации. Может быть полезно студентам всех направлений подготовки 
и 
специальностей, изучающим основы управления информационной 

безопасности. 

 
 
 
 

УДК 004.056(075.8) 

ББК 16.8я73 

ISBN 978-5-16-110048-6 

© Гришина Н.В., 2021 

ОГЛАВЛЕНИЕ 
 
 

1. Введение   ……………………………………………………....………   4 

2. Постановка задачи  и назначение системы управления  

 защитой информации  …………………………………………………… 9 

3. Принципы построения системы защиты информации  …….….……  11 

4. Общие законы кибернетики как основа управления 

 системой  защиты информации ……………………………….………..   13 

5.  Функции управления системы защиты информации   …...….……… 26 

6. Контроль деятельности системы защиты информации  ……..……… 37 

7. Стратегии защиты информации  …………………………….…… ..… 40 

8.  Политики безопасности  ………………………………………….……45 

9. Нормативно-методическое обеспечение управления  

системой защиты информации  …………………………………...…….. 50 

10. Требования к системе управления информационной  

Безопасностью  ……………………………………………………….……63 

11. Контрольные вопросы и задания по дисциплине ………………...... 70 

12. Примерные темы сообщений  …………………………..…………...  89 

13. Список вопросов по курсу …………………………….………….…  90 

14. Пример теста по дисциплине  ……………………….……….……..   92 

15. Заключение  ……………………………………………….….………  97 

16. Список использованной литературы  .…………………….………..  98 

 

 

 

1. Введение  

 

Двадцать первый век, несомненно, является веком  информационных 

технологий. Причем информационных технологий, используемых во всех 

сферах человеческой деятельности и, в том числе, информационных 

технологий используемых на «бытовом» уровне. Степень доверия к 

информационным 
технологиям 
достаточно 
высокая: 
мы, 
зачастую, 

абсолютно 
доверяем 
информационным 
технологиям 
 
управление 

транспортом, связь, свои деньги   и т.д. Активно используем возможность 

получать услуги в режиме онлайн. 

Работы по защите информации  у нас в стране ведутся достаточно 

интенсивно и уже продолжительное время. Накоплен существенный опыт. 

Сейчас уже никто не думает, что достаточно провести на объекте 

информатизации  ряд организационных мероприятий, включить в состав 

автоматизированных систем некоторые технические и программные средства 

и этого будет достаточно для обеспечения информационной безопасности. 

Главное направление поиска новых путей защиты информации 

заключается не просто в создании соответствующих механизмов, а 

представляет собой реализацию регулярного процесса, осуществляемого на 

всех этапах жизненного цикла систем обработки информации при 

комплексном использовании всех имеющихся средств защиты. При этом все 

средства, методы и мероприятия, используемые для ЗИ, наиболее 

рациональным образом объединяются в единый целостный механизм — 

причем не только для защиты от злоумышленников, но и от некомпетентных 

или недостаточно подготовленных пользователей и персонала, а также 

нештатных ситуаций технического характера. 

Основной проблемой реализации систем защиты является: 

 обеспечение надежной защиты находящейся в системе информации: 

исключение 
случайного 
и 
преднамеренного 
получения 
информации 

посторонними лицами, разграничение доступа к устройствам и ресурсам 

системы всех пользователей, администрации и обслуживающего персонала; 

 системы защиты не должны создавать заметных неудобств пользователям в 

ходе их работы с ресурсами системы. 

Проблема обеспечения желаемого уровня защиты информации — 

весьма сложная. Для ее решения недостаточно просто осуществление 

некоторой 
совокупности 
научных, 
технических 
и 
организационных 

мероприятий и применение специальных средств и методов, а необходимо 

создание целостной системы организационно-технологических мероприятий 

и применение комплекса специальных средств и методов, так называемый 

системно-концептуальный подход. 

Под системностью как основной части системно-концептуального 

подхода понимается: 

 системность целевая, т. е. защищенность информации рассматривается как 

основная часть общего понятия качества информации; 

 системность пространственная, предлагающая взаимоувязанное решение 

всех вопросов защиты на всех компонентах предприятия; 

 системность временная, означающая непрерывность работ по ЗИ, 

осуществляемых в соответствии с планами; 

 системность организационная, означающая единство организации всех 

работ по ЗИ и управления ими. 

Концептуальность подхода предполагает разработку единой концепции 

как полной совокупности научно обоснованных взглядов, положений и 

решений, необходимых и достаточных для оптимальной организации и 

обеспечения надежности защиты информации, а также целенаправленной 

организации всех работ по ЗИ. 

Комплексный (системный) подход к построению любой системы 

включает в себя, прежде всего, изучение объекта внедряемой системы; 

оценку угроз безопасности объекта; анализ средств, которыми будем 

оперировать 
при 
построении 
системы; 
оценку 
экономической 

целесообразности; изучение самой системы, ее свойств, принципов работы и 

возможность увеличения ее эффективности; соотношение всех внутренних и 

внешних факторов; возможность дополнительных изменений в процессе 

построения системы и полную организацию всего процесса от начала до 

конца. 

Комплексный (системный) подход — это принцип рассмотрения 

проекта, при котором анализируется система в целом, а не ее отдельные 

части. Его задачей является оптимизация всей системы в совокупности, а не 

улучшение эффективности отдельных частей. Это объясняется тем, что 

улучшение одних параметров часто приводит к ухудшению других, поэтому 

необходимо стараться обеспечить баланс противоречий требований и 

характеристик. 

Комплексный (системный) подход не рекомендует приступать к 

созданию системы до тех пор, пока не определены следующие ее 

компоненты: 

1. Входные элементы. Это те элементы, для обработки которых создается 

система. В качестве входных элементов выступают виды угроз безопасности, 

возможные на данном объекте. 

2. 
Ресурсы. 
Это 
средства, 
которые 
обеспечивают 
создание 
и 

функционирование 
системы 
(например, 
материальные 
затраты, 

энергопотребление, допустимые размеры и т. д.). Обычно рекомендуется 

четко определять виды и допустимое потребление каждого вида ресурса, как 

в процессе создания системы, так и в ходе ее эксплуатации. 

3. Окружающая среда. Следует помнить, что любая реальная система всегда 

взаимодействует с другими системами, каждый объект связан с другими 

объектами. Очень важно установить границы области других систем, не 

подчиняющихся руководителю данного предприятия и не входящих в сферу 

его ответственности. 

Характерным примером важности решения этой задачи является 

распределение функций по защите информации, передаваемой сигналами в 

кабельной линии, проходящей по территориям различных объектов. Как бы 

ни 
устанавливались 
границы 
системы, 
нельзя 
игнорировать 
ее 

взаимодействие с окружающей средой, ибо в этом случае принятые решения 

могут оказаться бессмысленными. Это справедливо как для границ 

защищаемого объекта, так и для границ системы защиты. 

4. Назначение и функции. Для каждой системы должна быть сформулирована 

цель, к которой она (система) стремится. Эта цель может быть описана как 

назначение системы, как ее функция. Чем точнее и конкретнее указано 

назначение или перечислены функции системы, тем быстрее и правильнее 

можно выбрать лучший вариант ее построения. Так, например, цель, 

сформулированная в самом общем виде как обеспечение безопасности 

объекта, заставит рассматривать варианты создания глобальной системы 

защиты. Если уточнить ее, определив, например, как обеспечение 

безопасности информации, передаваемой по каналам связи внутри здания, то 

круг возможных решений существенного сузится. Следует иметь в виду, что, 

как правило, глобальная цель достигается через достижение множества менее 

общих локальных целей (подцелей). Построение такого «дерева целей» 

значительно облегчает, ускоряет и удешевляет процесс создания системы. 

5. Критерий эффективности. Необходимо всегда рассматривать несколько 

путей, ведущих к цели, в частности, несколько вариантов построения 

системы, обеспечивающей заданные цели функционирования. Для того 

чтобы оценить, какой из путей лучше, необходимо иметь инструмент 

сравнения — критерий эффективности. Он должен характеризовать качество 

реализации заданных функций; учитывать затраты ресурсов, необходимых 

для выполнения функционального назначения системы; иметь ясный и 

однозначный 
физический 
смысл; 
быть 
связанным 
с 
основными 

характеристиками системы и допускать количественную оценку на всех 

этапах создания системы. 

Учитывая многообразие потенциальных угроз информации объекта 

информатизации, сложность его структуры, а также участие человека в 

технологическом 
процессе 
обработки 
информации, 
цели 
защиты 

информации могут быть достигнуты только путем создания системы защиты 

информации (СЗИ) на основе комплексного подхода и непрерывного 

управления этой системой. 

Процесс создания и управления СЗИ может быть представлен в виде 

непрерывного цикла, как это показано на рис. 1. 

 

Рис. 1. Непрерывный цикл создания СЗИ 

 

 

 

 

 

 

2. Постановка задачи  и назначение системы управления  защитой 

информации  

 
Для 
обеспечения 
информационной 
безопасности 
объекта 

информатизации  
необходимо 
не 
просто 
внедрить 
необходимые 

средства и реализовать комплекс мер по защите информации, а также 

реализовать управление механизмами защиты информации. 

Рассмотрим  общее содержание задач управления механизмами 

защиты. 

Планирование защиты представляет собой процесс выработки 

наиболее 
рациональной 
(оптимальной) 
программы 
предстоящей 

деятельности. В общем случае различают долгосрочное (перспективное), 

среднесрочное и текущее планирование. 

Оперативно-диспетчерское управление защитой информации — это 

организованное реагирование на непредвиденные ситуации, которые 

возникают в процессе функционирования управляемых объектов или 

процессов. 

Календарно-плановое руководство защитой. Основное содержание 

данной функции управления заключается в регулярном сборе информации о 

ходе выполнения планов защиты и изменении условий защиты, анализе этой 

информации и выработке решений о корректировке планов защиты. 

Обеспечение повседневной деятельности всех подразделений и 

отдельных должностных лиц, имеющих непосредственное отношение к 

защите информации. Основными решаемыми задачами в этом случае 

являются планирование, организация, оценка текущей деятельности, сбор, 

накопление и обработка информации, относящейся к защите, принятие 

текущих решений и некоторые другие. Особенно важной является задача 

аналитико-синтетической 
обработки 
всей 
накопленной 
информации, 

относящейся к защите информации. 

Надежность 
защиты 
информации 
прямо 
пропорциональна 

системности, 
т. е. 
при 
несогласованности 
между 
собой 
отдельных 

составляющих риск «проколов» в технологии защиты увеличивается. 

Во-первых, 
необходимость 
комплексных 
решений 
состоит 
в 

объединении в одно целое локальных СЗИ, при этом они должны 

функционировать в единой «связке». В качестве локальных СЗИ могут быть 

рассмотрены, 
например, 
виды 
защиты 
информации 
(правовая, 

организационная, инженерно-техническая). 

Во-вторых, необходимость комплексных решений обусловлена назначением 

самой системы. Система должна объединить логически и технологически все 

составляющие защиты. Но из ее сферы выпадают вопросы полноты этих 

составляющих, она не учитывает всех факторов, которые оказывают или 

могут оказывать влияние на качество защиты. Например, система включает в 

себя какие-то объекты защиты, а все они включены или нет — это уже вне 

пределов системы. 

Поэтому качество, надежность защиты зависят не только от видов 

составляющих системы, но и от их полноты, которая обеспечивается при 

учете всех факторов и обстоятельств, влияющих на защиту. Именно полнота 

всех составляющих системы защиты, базирующаяся на анализе таких 

факторов и обстоятельств, является вторым назначением комплексности. 

При этом должны учитываться все параметры уязвимости информации, 

потенциально возможные угрозы ее безопасности, охватываться все 

необходимые объекты защиты, использоваться все возможные виды, методы 

и средства защиты и необходимые для защиты кадровые ресурсы, 

осуществляться все вытекающие из целей и задач защиты мероприятия. 

В-третьих, только при комплексном подходе система может обеспечивать 

безопасность всей совокупности информации, подлежащей защите, и при 

любых обстоятельствах. Это означает, что должны защищаться все носители 

информации, во всех компонентах ее сбора, хранения, передачи и 

использования, в любое время и при всех режимах функционирования систем 

обработки информации. 

В то же время комплексность не исключает, а наоборот, предполагает 

дифференцированный подход к защите информации в зависимости от 

состава ее носителей, видов тайны, к которым отнесена информация, степени 

ее конфиденциальности, средств хранения и обработки, форм и условий 

проявления уязвимости, каналов и методов несанкционированного доступа к 

информации. 

Таким 
образом, 
значимость 
комплексного 
подхода 
к 
защите 

информации состоит: 

 в интеграции локальных систем защиты; 

 в обеспечении полноты всех составляющих системы защиты; 

 в обеспечении всеохватности защиты информации. 

 

3. Принципы построения системы защиты информации 

 

При построении любой системы необходимо определить принципы, в 

соответствии с которыми она будет построена. СЗИ — сложная система, 

функционирующая, как правило, в условиях неопределенности, требующая 

значительных 
материальных 
затрат. 
Поэтому 
определение 
основных 

принципов СЗИ позволит определить основные подходы к ее построению. 

Принцип законности заключается в соответствии принимаемых мер 

законодательству РФ о защите информации, а в случае отсутствия 

соответствующих 
законов — 
другим 
государственным 
нормативным 

документам по защите. 

В соответствии с принципом полноты защищаемой информации 

защите подлежит не только информация, составляющая, например,  

государственную, коммерческую или служебную тайну, но и та часть 

несекретной информации, утрата которой может нанести ущерб ее 

собственнику либо владельцу. Реализация этого принципа позволяет