Основы информационной безопасности предприятия

ОСНОВЫ 
ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ 
ПРЕДПРИЯТИЯ

Н.В. ГРИШИНА

Москва
ИНФРА-М
2023

УЧЕБНОЕ ПОСОБИЕ

2-е издание, дополненное

Рекомендовано Межрегиональным учебно-методическим советом профессионального 
образования в качестве учебного пособия для студентов учебных заведений, 
реализующих программу среднего профессионального образования 
по специальностям 10.02.01 «Организация и технология защиты информации», 
10.02.02 «Информационная безопасность телекоммуникационных систем», 
10.02.03 «Информационная безопасность автоматизированных систем» 

УДК 004.056(075.32)
ББК 65.050.2я723
 
Г85

Гришина Н.В.
Г85 
 
Основы информационной безопасности предприятия : учебное 
пособие / Н.В. Гришина. — 2-е изд., доп. — Москва : ИНФРА-М, 
2023. — 216 с. — (Среднее профессиональное образование). 

ISBN 978-5-16-016719-0 (print)
ISBN 978-5-16-109304-7 (online)
В учебном пособии рассмотрены основные понятия, определения, по-
ложения и методологические подходы к организации комплексной си -
стемы защиты информации. Особое внимание уделено проблеме «челове-
ческого фактора».
Соответствует требованиям федеральных государственных образова-
тельных стандартов среднего профессионального образования последнего 
поколения.
Предназначено для студентов учреждений среднего профессионального 
образования, вузов, преподавателей, занимающихся вопросами защиты 
информации.

УДК 004.056(075.32)
ББК 65.050.2я723

Р е ц е н з е н т ы:
О.В. Сюнтюренко — доктор технических наук, профессор, ведущий 
научный сотрудник Всероссийского института научной и техниче-
ской информации Российской академии наук;
М.В. Мецатунян — кандидат технических наук, доцент, доцент ка-
федры информационной безопасности Российского государственного 
гуманитарного университета

ISBN 978-5-16-016719-0 (print)
ISBN 978-5-16-109304-7 (online)

© Гришина Н.В., 2018
© Гришина Н.В., 2022, 
с изменениями

Введение

Современные методы и средства обработки информации 
не только позволяют повысить эффективность всех видов дея-
тельности человека, но и создают комплекс проблем, связанных 
с вопросами ее защиты. На рынке защиты информации (ЗИ) пред-
лагается много отдельных инженерно-технических, программно-
аппаратных, криптографических средств защиты информации. 
В литературе по защите информации можно найти описание ме-
тодов и средств на их основе, теоретических моделей защиты. 
 Однако, чтобы соз дать на предприятии условия информационной 
безопасности (ИБ), необходимо объединить отдельные средства 
защиты в систему. При этом надо помнить, что главным элементом 
этой системы  является человек. Причем человек — это ключевой 
элемент си стемы и вместе с тем самое трудно формализуемое 
и потенциально слабое ее звено.
Создание системы защиты информации (СЗИ) не является 
главной задачей предприятия, как, например, производство про-
дукции и получение прибыли. Поэтому создаваемая СЗИ не должна 
приводить к ощутимым трудностям в работе предприятия, а соз-
дание СЗИ должно быть экономически оправданным. Тем не менее 
она должна обеспечивать защиту важных информационных ре-
сурсов предприятия от всех реальных угроз.
В книге предложен комплексный подход к организации за-
щиты информации на предприятии. При этом объектом исследо-
вания является не только информационная система, а предприятие 
в целом. Рассмотрены концептуальные основы ЗИ, раскрывающие 
сущность, цели, структуру и стратегию защиты. Проанализированы 
источники, способы и результаты дестабилизирующего воздействия 
на информацию, а также каналы и методы несанкционированного 
доступа к информации. Определены методологические подходы 
к организации и технологическому обеспечению ЗИ на предприятии. 
Представлена архитектура, этапы построения, принципы 
управления системой защиты информации. Особое внимание уделено 
проблеме человеческого фактора. Предложенный подход к защите 
информации обеспечит целостное видение проблемы, повышение 
качества, а следовательно, и надежности ИБ предприятия.

В результате изучения данного учебного пособия студенты приобретут 
следующие компетенции:
 
• способность определять информационные ресурсы, подлежащие 
защите, угрозы безопасности информации и возможные пути их 
реализации на основе анализа структуры и содержания информационных 
процессов и особенностей функционирования объекта 
защиты (ОПК-7);
 
• способность участвовать в работах по реализации политики информационной 
безопасности, применять комплексный подход 
к обеспечению информационной безопасности объекта защиты 
(ПК-4);
 
• способность принимать участие в организации и проведении 
контрольных проверок работоспособности и эффективности 
применяемых программных, программно-аппаратных и техни-
ческих средств защиты информации (ПК-6);
 
• способность проводить анализ исходных данных для проектиро-
вания подсистем и средств обеспечения информационной без-
опасности и участвовать в проведении технико-экономического 
обоснования соответствующих проектных решений (ПК-7);
 
• сп особность принимать участие в формировании, организовы-
вать и поддерживать выполнение комплекса мер по обеспе-
чению информационной безопасности, управлять процессом их 
реализации (ПК-13).

Глава 1 
сУщнОсть и задачи кОмплекснОй 
системы защиты инфОрмации

1.1. пОдхОды к прОектирОванию систем  
защиты инфОрмации

Существует широко распространенное мнение, что проблемы 
защиты информации имеют исключительно техническую природу. 
Это связано с тем, что центром обработки и хранения информации 
являются технические средства, в большинстве случаев — персо-
нальный компьютер.
Объект информатизации, по отношению к которому направлены 
действия по защите информации, представляется более широким 
понятием по сравнению с персональным компьютером. Его опреде-
ление звучит так: объект информатизации — это совокупность ин-
формационных ресурсов, средств и систем обработки информации, 
используемых в соответствии с заданной информационной техно-
логией, а также средств их обеспечения, помещений или объектов 
(зданий, сооружений, технических средств), в которых эти средства 
и системы установлены, или помещений и объектов, предназна-
ченных для ведения конфиденциальных переговоров [15].
В реальной жизни объект информатизации расположен в пре-
делах одной (или нескольких) организаций и представляет собой 
единый комплекс компонентов, связанных общими целями, зада-
чами, структурными отношениями, технологией информационного 
обмена и т.д.
Современное предприятие представляет собой сложную си-
стему, включающую в себя большое количество разнородных ком-
понентов и используемую для достижения поставленных целей, 
которые в процессе функционирования предприятия могут моди-
фицироваться. На предприятие оказывают многообразное и слож-
ное влияние внутренние и внешние факторы, которые часто не поддаются 
строгой количественной оценке.
Такие системы требуют присутствия человека в каждой из составляющих 
их подсистем и отдаленность (разделенность) человека 
от объекта его деятельности. Множество компонентов, составляющих 
объект информатизации, может быть представлено совокупностью 
трех групп систем: 1) люди (биосоциальные системы); 
2) техника (технические системы и помещения, в которых они 

расположены); 3) программное обеспечение, которое является интеллектуальным 
посредником между человеком и техникой (интеллектуальные 
системы). Совокупность этих трех групп образует со-
циотехническую систему. Такое представление о социотехнических 
системах является достаточно широким и может быть распространено 
на многие объекты. Круг наших интересов ограничивается исследованием 
безопасности систем, предназначенных для обработки 
поступающей на их вход информации и выдачи результата, т.е. со-
циотехнических систем информационного типа.
Если обратиться к истории этой проблемы, то условно можно 
выделить три периода развития средств защиты информации:
 
• первый относится к тому времени, когда обработка информации 
осуществлялась по традиционным (ручным, бумажным) техно-
логиям;
 
• второй — когда для обработки информации на регулярной ос-
нове применялись средства электронной вычислительной тех-
ники первых поколений;
 
• третий — когда использование средств электронно-вычисли-
тельной техники приняло массовый и повсеместный характер 
(появление персональных компьютеров).
В 1960—1970-х гг. проблема защиты информации решалась до-
статочно эффективно путем применения в основном организаци-
онных мер. К ним относились: режимные мероприятия, охрана, 
сигнализация и простейшие программные средства защиты инфор-
мации. Эффективность использования этих средств достигалась 
за счет концентрации информации в определенных местах (спец. 
хранилища, вычислительные центры), что способствовало обеспе-
чению защиты относительно малыми средствами.
«Рассредоточение» информации по местам хранения и об-
работки обострило ситуацию с ее защитой. Появились дешевые 
персональные компьютеры. Это позволило построить сети ЭВМ 
(локальные, глобальные, национальные и транснациональные), ко-
торые могут использовать различные каналы связи. Эти факторы 
способствуют созданию высокоэффективных систем разведки и по-
лучения информации. Они нашли отражение и на современных 
предприятиях.
Современное предприятие представляет собой сложную систему, 
в рамках которой необходимо обеспечить защиту информации. Рас-
смотрим основные особенности современного предприятия:
 
• сложная организационная структура;
 
• многоаспектность функционирования;

• высокая техническая оснащенность;
 
• широкие связи по кооперации;
 
• необходимость расширения доступа к информации;
 
• возрастающий удельный вес безбумажной технологии обра-
ботки информации:
 
– увеличивающийся удельный вес автоматизированных про-
цедур в общем объеме процессов обработки данных;
 
– важность и ответственность решений, принимаемых в авто-
матизированном режиме на основе автоматизированной об-
работки информации;
 
– высокая концентрация в автоматизированных системах ин-
формационных ресурсов;
 
– большая территориальная распределенность компонентов ав-
томатизированных систем;
 
– накопление на технических носителях огромных объемов ин-
формации;
 
– интеграция в единых базах данных информации различного 
назначения и различной принадлежности;
 
– долговременное хранение больших объемов информации 
на машинных носителях;
 
– непосредственный и одновременный доступ к ресурсам 
(в том числе и к информации) автоматизированных систем 
большого числа пользователей различных категорий и раз-
личных учреждений;
 
– интенсивная циркуляция информации между компонентами 
автоматизированных систем, в том числе удаленных друг 
от друга.
Таким образом, создание индустрии переработки информации, 
с одной стороны, создает объективные предпосылки для повы-
шения уровня производительности труда и жизнедеятельности че-
ловека, а с другой — порождает ряд сложных и крупномасштабных 
проблем. Одной из них является обеспечение сохранности и уста-
новленного статуса информации, циркулирующей и обрабатыва-
емой на предприятии.

1.2. пОнятие системы защиты инфОрмации

Работы по защите информации в нашей стране ведутся доста-
точно интенсивно и уже продолжительное время. В этой сфере 
деятельности накоплен существенный опыт. Сейчас уже никто 
не думает, что достаточно провести на предприятии ряд органи-

зационных мероприятий, включить в состав автоматизированных 
систем некоторые технические и программные средства и этого 
будет достаточно для обеспечения безопасности.
Главное направление поиска новых путей защиты информации 
заключается не просто в создании соответствующих механизмов, 
а в реализации регулярного процесса, осуществляемого на всех 
этапах жизненного цикла систем обработки информации при ком-
плексном использовании всех имеющихся средств защиты. 
При этом все средства, методы и мероприятия, используемые для 
ЗИ, наиболее рационально объединяются в единый целостный ме-
ханизм, причем не только для защиты от злоумышленников, 
но и от некомпетентных или недостаточно подготовленных пользо-
вателей и персонала, а также нештатных ситуаций технического 
характера.
Основные проблемы реализации систем защиты:
 
• необходимость обеспечения надежной защиты находящейся 
в системе информации: исключение случайного и преднамерен-
ного получения информации посторонними лицами, разграни-
чение доступа к устройствам и ресурсам системы всех пользова-
телей, администрации и обслуживающего персонала;
 
• необходимость отсутствия со стороны систем защиты замет-
ных неудобств пользователям в ходе их работы с ресурсами си-
стемы.
Обеспечение желаемого уровня защиты информации — проб-
лема весьма сложная. Для ее решения недостаточно просто осу-
ществления некоторой совокупности научных, технических и ор-
ганизационных мероприятий и применения специальных средств 
и методов, а необходимо создание целостной системы организаци-
онно-технологических мероприятий и применение комплекса спе-
циальных средств и методов, т.е. нужен так называемый системно-
концептуальный подход.
Под системностью, являющейся основной частью системно-кон-
цептуального подхода, понимается:
 
• системность целевая, т.е. защищенность информации рассмат-
ривается как основная часть общего понятия качества инфор-
мации;
 
• системность пространственная, предлагающая взаимоувязанное 
решение всех вопросов защиты на всех компонентах пред-
приятия;
 
• системность временная, означающая непрерывность работ 
по ЗИ, осуществляемых в соответствии с планами;

• системность организационная, означающая единство органи-
зации всех работ по ЗИ и управления ими.
Концептуальность подхода предполагает разработку единой 
концепции как полной совокупности научно обоснованных взгля-
дов, положений и решений, необходимых и достаточных для опти-
мальной организации и обеспечения надежности защиты информа-
ции, а также целенаправленной организации всех работ по ЗИ.
Комплексный (системный) подход к построению любой системы 
включает в себя прежде всего изучение объекта внедряемой 
системы; оценку угроз безопасности объекта; анализ средств, кото-
рыми оперируют при построении системы; оценку экономической 
целесообразности; изучение самой системы, ее свойств, принципов 
работы и возможности увеличения ее эффективности; соотношение 
всех внутренних и внешних факторов; возможность дополни-
тельных изменений в процессе построения системы и полную орга-
низацию всего процесса от начала до конца.
Комплексный (системный) подход — это принцип рассмотрения 
проекта, при котором анализируется система в целом, а не ее от-
дельные части. Его задачей является оптимизация всей системы 
в совокупности, а не улучшение эффективности ее отдельных 
частей. Это объясняется тем, что улучшение одних параметров 
часто приводит к ухудшению других, поэтому необходимо ста-
раться обеспечить баланс противоречий требований и характе-
ристик.
Комплексный (системный) подход не рекомендует приступать 
к созданию системы до тех пор, пока не определены ее следующие 
компоненты.
1. Входные элементы, т.е. те элементы, для обработки которых 
создается система. В качестве входных элементов выступают виды 
угроз безопасности, возможные на данном объекте.
2. Ресурсы — средства, которые обеспечивают создание и функ-
ционирование системы (например, материальные затраты, энерго-
потребление, допустимые размеры и т.д.). Обычно рекомендуется 
четко определять виды и допустимое потребление каждого вида 
ресурса как в процессе создания системы, так и в ходе ее эксплуа-
тации.
3. Окружающая среда. Следует помнить, что любая реальная 
система всегда взаимодействует с другими системами, каждый 
объект связан с другими объектами. Важно установить границы 
 области других систем, не подчиняющихся руководителю данного 
предприятия и не входящих в сферу его ответственности.

Характерным примером важности решения этой задачи явля-
ется распределение функций по защите информации, передаваемой 
сигналами по кабельной линии, проходящей по территориям раз-
личных объектов. Как бы ни устанавливались границы системы, 
нельзя игнорировать ее взаимодействие с окружающей средой, ибо 
в этом случае принятые решения могут оказаться бессмысленными. 
Это справедливо как для границ защищаемого объекта, так и для 
границ системы защиты.
4. Назначение и функции. Для каждой системы должна быть 
сформулирована цель, к которой она (система) стремится. Эта цель 
может быть описана как назначение системы, как ее функция. Чем 
точнее и конкретнее указано назначение или перечислены функции 
системы, тем быстрее и правильнее можно выбрать лучший вариант 
ее построения. Так, цель, сформулированная в самом общем виде 
как обеспечение безопасности объекта, заставит рассматривать ва-
рианты создания глобальной системы защиты. Если уточнить ее, 
определив, например, как обеспечение безопасности информации, 
передаваемой по каналам связи внутри здания, то круг возможных 
решений существенного сузится. Следует иметь в виду, что, как 
правило, глобальная цель достигается через достижение мно-
жества менее общих локальных целей (подцелей). Построение та-
кого «дерева целей» значительно облегчает, ускоряет и удешевляет 
процесс создания системы.
5. Критерий эффективности. Необходимо всегда рассматривать 
несколько путей, ведущих к цели, в частности, несколько вариантов 
построения системы, обеспечивающей заданные цели функциони-
рования. Чтобы оценить, какой из путей лучше, необходимо иметь 
инструмент сравнения — критерий эффективности. Он должен ха-
рактеризовать качество реализации заданных функций; учитывать 
затраты ресурсов, необходимых для выполнения функционального 
назначения системы; иметь ясный и однозначный физический 
смысл; быть связанным с основными характеристиками системы 
и допускать количественную оценку на всех этапах создания 
системы.
Учитывая многообразие потенциальных угроз информации 
на предприятии, сложность его структуры, а также участие чело-
века в технологическом процессе обработки информации, цели за-
щиты информации могут быть достигнуты только путем создания 
СЗИ на основе комплексного подхода.
Процесс создания системы защиты информации может быть 
представлен в виде непрерывного цикла, как это показано на рис. 1.1.