Введение в информационную безопасность автоматизированных систем

В.В. Бондарев

Введение в информационную 
безопасность 
автоматизированных систем

Учебное пособие

2-е издание

УДК 681.326
ББК 67.408
          Б81

Издание доступно в электронном виде на портале ebooks.bmstu.ru  
по адресу: http://ebooks.bmstu.ru/catalog/117/book1425.html

Факультет «Информатика и системы управления»
Кафедра «Информационная безопасность»

Рекомендовано 
Редакционно-издательским советом 
МГТУ им. Н.Э. Баумана в качестве учебного пособия

Рецензент
канд. юрид. наук, доцент Б.Н. Коробец

                                                                                                            © МГТУ им. Н.Э. Баумана, 201                                                                                                  © Оформление. Издательство
ISBN 978-5-7038-4899-9                                                                  МГТУ им. Н.Э. Баумана, 201
Бондарев, В. В.

Б81
Введение в информационную безопасность автоматизированных систем : 
2-е изд. —Москва : Издательство МГТУ 
им. Н. Э. Баумана, 2018. — 250, [2] с. : ил.

ISBN 978-5-7038-4899-9
Рассмотрена законодательная база информационной безопасности, приведен пе-
речень возможных угроз, отражены основные подходы к созданию систем защиты ин-
формации, представлена классификация предупредительных мер, изучены вопросы, 
связанные с программно-аппаратными механизмами обеспечения информационной 
безопасности.
Для студентов, обучающихся по направлению подготовки «Информационная 
безопасность», по специальности «Информационная безопасность автоматизирован-
ных систем» и слушателей факультета повышения квалификации. Может быть полез-
но студентам и аспирантам других специальностей, интересующимся современными 
средствами и методами обеспечения информационной безопасности.

                                                                                                     УДК 681.326
                                                                                                      ББК 67.408

ПРЕДИСЛОВИЕ

Цель учебного пособия — ознакомление студентов с основами комплекс-
ного подхода к обеспечению информационной безопасности (ИБ) автомати-
зированных систем (АС), проблемами защиты информации и подходами к их 
решению. 
В пособии рассмотрены:
• теоретические и правовые вопросы защиты информации и обеспечения 
безопасности АС;
• принципы построения комплексных систем защиты АС;
• основные направления деятельности служб технической защиты ин-
формации (подразделений обеспечения безопасности АС);
• современная технология обеспечения безопасности АС, предусматривающая 
рациональное распределение функций и организацию эффективного 
взаимодействия по вопросам защиты информации сотрудников всех подразделений, 
которые используют АС в процессе работы и гарантируют ее функционирование;
• 
вопросы разработки нормативно-методических и организационно-распорядительных 
документов, необходимых для реализации технологии обеспечения 
безопасности АС;
• разработка защищенных АС;
•  проектирование системы управления информационной безопасностью АС;
• разработка модели угроз и модели нарушителя информационной безопасности 
АС;
• организация эксплуатации АС с учетом требований информационной 
безопасности;
• восстановление работоспособности систем защиты информации при 
возникновении нештатных ситуаций.
Для лучшего усвоения материала студентам необходимо иметь представление 
о современных информационных технологиях и автоматизированных 
системах управления, о правовых, организационных и технических аспектах 
проблемы обеспечения информационной безопасности.
После изучения данного пособия студент должен
 знать:
• ос нов ные уг розы безо пас но сти ин фор ма ции и мо де ли на ру ши те ля в АС;
• АС как объ ект ин фор ма ци он но го воз дей ст вия, кри те рии оцен ки ее за-

щи щен но сти и ме то ды обес пе че ния ее ин фор ма ци он ной безо пас но сти; 

• со дер жа ние и по ря док дея тель но сти пер со на ла по экс плуа та ции за щи-

щен ных АС;

• законодательные акты в области защиты информации;
• основные задачи подразделения защиты информации;
• ос нов ные ме ры по за щи те ин фор ма ции в АС (ор га ни за ци он ные, пра во-

вые, про грамм но-ап па рат ные, физические, технологические);

• ос нов ные за щи тные механизмы, применяемые в АС;
 уметь:
• разрабатывать модели угроз и нарушителей в АС;
• анализировать и оценивать риски информационной безопасности;
• разрабатывать структуру системы обеспечения безопасности АС;
• классифицировать уязвимости АС;
• правильно выбирать средства защиты АС;
 иметь навыки:
• использования основных защитных механизмов под сис тем безо пас но-

сти АС;
• разработки системы организационно-распорядительных и нормативно-
методических документов по защите информации;
• определения требований к защите и категорирования ресурсов АС;
• применения штатных и дополнительных средств защиты информации 
от несанкционированного доступа (НСД);
• построения инфраструктуры управления событиями. 

Предисловие

РА З Д Е Л  I
 
ОСНОВЫ БЕЗОПАСНОСТИ 
АВТОМАТИЗИРОВАННЫХ СИСТЕМ

Гл а в а  1. АКТУАЛЬНОСТЬ ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ 
БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

Автоматизированные системы, в состав которых входят информационные 
технологии (ИТ), основанные на новейших разработках в области средств вы-
числительной техники (СВТ) и связи, находят все более широкое применение 
практически во всех сферах жизни и деятельности (в отличие от индустриаль-
ных технологий, где основным объектом переработки являются сырье и матери-
алы, информационные технологии «потребляют» и «перерабатывают» инфор-
мацию). С развитием ИТ объемы обрабатываемой и передаваемой информации, 
как в абсолютных значениях, так и по отношению к объемам переработки сырья 
и материалов в индустриальных технологиях, непрерывно возрастают. 

1.1. Место и роль автоматизированных систем 
в управлении бизнес‑процессами

Почему же современные компьютеры и средства телекоммуникации так 
широко востребованы? Что они умеют делать, что становятся необходимыми 
практически везде? В ответ на эти вопросы, как правило, можно услышать: 
«Компьютеры позволяют автоматизировать умственный труд». Но разве физический 
труд они не автоматизируют и как объяснить понятие «умственный труд»?
Ответим на поставленные вопросы. Компьютерные технологии дают возможность 
автоматизировать процессы управления (умственный труд по управлению — 
по принятию решений в конкретных ситуациях на основе имеющейся 
информации). А поскольку управление необходимо везде, всегда и всем, то и 
средства автоматизации управления применяются повсеместно. Автоматизация 
на основе современных ИТ позволяет принимать решения более оперативно и 

Раздел I. Основы безопасности автоматизированных систем

обоснованно, учитывая при этом большой объем сведений, повышая качество 
и эффективность управления — управления чем бы то ни было — от отдельных 
узлов и агрегатов (например, в автомобилях), деятельностью отдельных людей 
до технологических процессов на производстве, бизнес-процессов компаний, 
экономических и социально-политических процессов в обществе.
Широкое внедрение АС во все сферы жизни общества требует повышенного 
внимания к защите применяемых для автоматизации управления информационных 
технологий и непосредственно информации. Любые нарушения 
и неполадки в работе автоматизированных/информационных систем (ИС), 
систем обработки и передачи информации приводят к снижению качества 
или полной потере управления критичными процессами и, соответственно, к 
убыткам.
Следует отметить, что любая информационная система всегда является 
частью соответствующей системы управления, а любая автоматизированная 
информационная система (АИС) — частью автоматизированной системы 
управления (АСУ).
Практически каждое фундаментальное техническое или технологическое 
новшество, предоставляя возможности для решения каких-либо социальных 
проблем и открывая широкие перспективы для развития личности и общества, 
вызывает обострение существующих или порождает новые, ранее неизвестные, 
проблемы, становится источником новых потенциальных опасностей.
Без должного внимания к вопросам обеспечения безопасности послед-
ствия перехода общества к новым технологиям могут быть катастрофически-
ми как для отдельных граждан, так и общества в целом. Именно так обстоит 
дело в области атомных, химических и других экологически опасных техноло-
гиях, в сфере транспорта. 
Аналогичная ситуация и с информатизацией общества. Искажение или 
фальсификация, уничтожение или разглашение определенной части инфор-
мации, а также дезорганизация процессов ее обработки и передачи в инфор-
мационно-управляющих системах наносят серьезный материальный и мо-
ральный урон многим субъектам (государству, юридическим и физическим 
лицам), участвующим в процессах автоматизированного информационного 
взаимодействия.
Жизненно важные интересы этих субъектов, как правило, заключаются в 
том, чтобы определенная часть информации, касающаяся их экономических, 
политических и других сфер деятельности, конфиденциальная коммерческая 
и персональная информация была бы легко доступна для пользователя и в то 
же время надежно защищена.

1.2. Обострение проблемы обеспечения безопасности 
автоматизированных систем на современном этапе

Актуальность проблемы защиты АС в современных условиях определяет-
ся следующими основными ф а к т о р а м и :

Глава 1. Актуальность проблемы обеспечения безопасности АС

• обострением противоречий между объективно существующими потреб-
ностями общества в расширении свободного обмена информацией и чрезмер-
ными (недостаточными) ограничениями на ее распространение и использова-
ние;
• расширением сферы применения электронно-вычислительных машин 

(ЭВМ), многообразием и повсеместным распространением информационно-
управляющих систем, высокими темпами увеличения парка средств вычисли-
тельной техники и связи;
• повышением уровня доверия к автоматизированным системам управ-
ления и обработки информации, использованием их в критических областях 
деятельности;
• вовлечением в процесс информационного взаимодействия все большего 
числа людей и организаций, резким возрастанием их информационных по-
требностей, наличием интенсивного обмена информацией между участника-
ми этого процесса;
• концентрацией больших объемов информации различного назначения и 
принадлежности на электронных носителях;
• количественным и качественным совершенствованием способов досту-
па пользователей к информационным ресурсам;
• отношением к информации как к товару, переходом к рыночным отно-
шениям в области предоставления информационных услуг;
• многообразием видов угроз и возникновением новых каналов несанкци-
онированного доступа к информации;
• увеличением числа квалифицированных пользователей средствами вы-
числительной техники и возможностей по созданию ими нежелательных про-
граммно-математических воздействий на системы обработки информации;
• возрастанием уязвимости субъектов вследствие увеличения потерь от 
уничтожения, фальсификации, разглашения или незаконного тиражирования 
информации;
• развитием рыночных отношений в сфере ИТ (в области разработки, по-
ставки, обслуживания вычислительной техники, разработки программных 
средств, в том числе средств защиты).
Проблема обеспечения безопасности субъектов информационных отно-
шений, защиты их законных интересов при использовании информационных 
и управляющих систем, хранящейся и обрабатываемой в них информации все 
более обостряется по следующим объективным п р и ч и н а м :
• расширение сферы применения СВТ и возросший уровень доверия к авто-
матизированным системам управления и обработки информации. С помощью 
компьютерных систем выполняют самую ответственную работу, от которой 
зависит жизнь и благосостояние многих людей. Автоматизированные систе-
мы позволяют управлять технологическими процессами на предприятиях и 
атомных электростанциях (АЭС), движением самолетов и поездов, выпол-
нять финансовые операции, обрабатывать секретную и конфиденциальную 
информацию;

Раздел I. Основы безопасности автоматизированных систем

• изменение подхода к самому понятию «информация». Данный термин 
все чаще используется для обозначения особого товара, стоимость которого 
нередко превышает стоимость автоматизированной системы, в рамках кото-
рой он существует;
• переход к рыночным отношениям в области создания и предоставления 
информационных услуг с присущей этим отношениям конкуренцией и про-
мышленным шпионажем;
• развитие и распространение информационно-телекоммуникационных 
сетей, территориально распределенных систем и систем с удаленным досту-
пом как совместно используемых ресурсов;
• распространение компьютерной грамотности в широких слоях населе-
ния из-за доступности СВТ и прежде всего персональных компьютеров (ПК), 
что вызвало увеличение числа попыток неправомерного вмешательства в ра-
боту государственных и коммерческих АСУ как случайных, так и умышлен-
ных;
• отсутствие стройной и непротиворечивой системы законодательно-
правового регулирования отношений в сфере накопления, использования и за-
щиты информации создает условия для возникновения и широкого распро-
странения «компьютерного хулиганства» и «компьютерной преступности»;
• бурное развитие и широкое распространение компьютерных вирусов, 
способных скрытно существовать в системе и совершать любые несанкциони-
рованные действия;
• наличие злоумышленников — специалистов-профессионалов в области 
вычислительной техники и программирования, досконально знающих все до-
стоинства и слабые места АС и занимающихся анализом и взломом механиз-
мов защиты.
Исследование в области информационной безопасности, проведенное 
английской консалтинговой компанией «Ernst & Young» в России и странах 
СНГ, показало, что более 65  % российских компаний сталкивались с нару-
шениями информационной безопасности, при этом в 50  % случаев данные 
нарушения были вызваны хакерскими атаками, в том числе с проникновени-
ем в информационную систему извне, несанкционированным доступом непо-
средственно в компании, атаками, имеющими целью вызвать отказ в обслужи-
вании, саботажем, финансовым мошенничеством и хищением коммерческой 
информации.
Проблема обеспечения безопасности АС относится к числу трудноразре-
шимых, что связано со следующими объективными обстоятельствами:
• недостаточным (неадекватным реалиям) пониманием необходимости 
защиты используемых АС;
• высокой степенью неопределенности рисков при применении новейших 
АС;
• сложностью АС как объектов защиты;
• необходимостью комплексного подхода к защите АС с учетом их значи-
тельной зависимости от человеческого фактора;

Глава 1. Актуальность проблемы обеспечения безопасности АС

• сложностью разрешения конфликтов интересов между различными ка-
тегориями субъектов (операторами информационных систем, системными и 
сетевыми администраторами, администраторами безопасности, пользователя-
ми, обслуживающим персоналом систем и менеджерами различных уровней);
• отставанием методов и средств защиты от развития информационных 
технологий, а также методов и средств нападения;
• недостатком квалифицированных специалистов в сфере компьютерной 
безопасности и низким уровнем компьютерной культуры пользователей (сла-
бой осведомленностью в вопросах безопасности ИТ).

1.3. Защита автоматизированных систем 
как процесс управления рисками 

Создание абсолютно непреодолимой системы защиты принципиально 
невозможно. До тех пор пока информация находится в обращении, принима-
емые меры могут только снизить вероятность негативных воздействий или 
ущерб от них, но не исключить полностью. При достаточном количестве вре-
мени и средств можно преодолеть любую защиту, поэтому имеет смысл рас-
сматривать некоторый приемлемый уровень обеспечения безопасности, соот-
ветствующий реально существующим угрозам (рискам).
Под угрозой обычно понимают потенциально возможное событие, вы-
званное действием, процессом или явлением, которое может (воздействуя на 
что-либо) привести к нанесению ущерба чьим-либо интересам.
Риск — это оценка опасности определенной угрозы. 
Риск выражает вероятностно-стоимостную оценку возможных потерь 
(ущерба) и характеризуется:
• вероятностью успешной реализации угрозы;
• стоимостью потерь (ущерба) в случае реализации угрозы.
Стоимостную составляющую информационной безопасности хорошо 
иллюстрирует упрощенная формула оценки издержек, связывающая количе-
ственные характеристики рисков, стоимость реализации мер защиты и сум-
марные издержки:

R
A B
C
R
i
i
i
i

n
=
+
<

=∑(
)
,
max
1

где n — количество рисков (угроз); А — вероятностная оценка риска (0-1); В — сто-
имостная оценка риска; С — стоимость реализации мер защиты; Rmax — допустимые 
издержки.
Анализ рисков заключается в выявлении существующих угроз и оценке их 
опасности. На этапе анализа рисков выявляют все значимые угрозы, т. е. угрозы, 
характеризующиеся большой частотой (вероятностью) реализации и/или приво-
дящие к существенным (ощутимым) потерям.
Суть защиты ресурсов АС — управление рисками, связанными с использованием 
этих АС.

Раздел I. Основы безопасности автоматизированных систем

Известно два основных подхода к анализу рисков — качественный и количественный. 
Наиболее привлекательным, на первый взгляд, является количественный 
подход, позволяющий сравнивать защищенность различных 
систем, но его внедрение осложнено следующими п р ич ин а ми :
• отсутствием достоверной статистики в быстро меняющемся мире ИТ;
• трудностью оценки ущерба по нематериальным активам (репутация, 
конфиденциальность сведений, идеи, бизнес-планы, здоровье персонала);
• сложностью оценки косвенных потерь от реализации угроз;
• обесцениванием результатов длительной количественной оценки рисков 
из-за постоянной модификации и реконфигурации АС.
В связи с этим для анализа рисков в настоящее время используется качественный 
подход, предусматривающий простое ранжирование угроз и связанных 
с ними рисков по степени их опасности.
Управление рисками предполагает принятие мер защиты (контрмер), направленных 
на снижение частоты успешной реализации угроз и/или ущерба 
в случае их реализации. Защитные меры выбирают на основе принципа 
разумной достаточности (экономической целесообразности, сопоставимости 
возможного ущерба и затрат на защиту), исходя из минимизации общих издержек — 
затрат на защиту и остаточных потерь от угроз.
Существует несколько в а р и а н т о в  п р о т и в о д е й с т в и я  в ы я в -
л е н н ы м  р и с к а м  (угрозам):
1) признание допустимости риска от конкретной угрозы (например, если 
вероятность реализации угрозы ничтожна мала или затраты на защиту от нее 
катастрофически велики);
2) частичная передача ответственности за инциденты в сфере безопасности 
ИТ сторонней организации (например, страховой компании);
3) проведение комплекса мероприятий (мер противодействия), позволяющих 
уменьшить или полностью исключить риск.
Основные э т а п ы  анализа рисков и управления ими:
• определение границ системы и методологии оценки рисков;
• идентификация и оценка информационных ресурсов системы (ценностей);
• 
идентификация угроз и оценка вероятностей их реализации;
• определение риска и выбор средств защиты;
• внедрение средств защиты и оценка остаточного риска.

1.4. Методы оценки целесообразности затрат 
на обеспечение безопасности

К методу оценки целесообразности затрат на обеспечение безопасности 
АС предъявляются определенные требования:
• метод должен обеспечивать количественную оценку затрат на безопас-
ность АС, используя качественные показатели оценки вероятностей событий 
и их последствий;