Учебник_Информатика. Стандарт третьего поколениян. В. Макарова, В. Б. Волков

244
Глава 8. Информационная безопасность
8.6.2. Нарушения достоверности
Нарушение достоверности — это вторая по тяжести последствий после наруше­
ния конфиденциальности угроза. Нарушение достоверности информации проис­
ходят в результате фальсификации, подделки или мошенничества. Ущерб от этой угрозы может быть менее масштабным, чем от нарушения конфиденциальности, но при этом последствия могут быть катастрофическими.
Пример. Подмена кодов или координат цели в системе наведения стратегических
ядерных ракет, изменение режимов синхронизации в глобальной энергетической
системе, вызывающее разрушение генераторов и массовое отключение электро­
энергии.
8.6.3. Нарушения целостности
Нарушение целостности информации обычно происходит в каналах передачи или в хранилищах информации и заключается в искажениях, внесениях ошибок и потере части передаваемой или хранимой информации. Обычно нарушение целостности информации выявляется гораздо раньше, чем нарушение достовер­
ности, поскольку целостность информации легче поддается автоматизированно­
му (аппаратному) контролю. Последствия нарушения целостности информации обычно носят тактический характер, а тяжесть последствий зависит от ситуации.
Пример. Нарушение целостности информации в распределенной информаци­
онной системе управления предприятием может привести к финансовым по­
терям одной фирмы, но такое же нарушение в распределенной информационной
системе противовоздушной обороны в момент ракетного нападения может быть
фатальным.
8.6.4. Нарушения доступности
Нарушение доступности происходит вследствие блокирования, невосстано- вимого искажения или уничтожения информации. Последствия от нарушения доступности, так же как и в случае нарушения целостности, могут иметь разную тяжесть в зависимости от ситуации.
Пример. Стирание информации на магнитных носителях в банковской системе
может иметь тяжелые финансовые и экономические последствия, в то время
как физическое уничтожение библиотеки уникальных документов может быть
культурной катастрофой.
8.6.5. Классификация угроз информации
Классификацию угроз иллюстрирует рис. 8.3.

8.6. Угрозы в информационных системах
245
Классификация угроз информации
По отношению к объекту
- Внутренние
Внешние
По виду ущерба
- Материальный
-
Политический
L
Моральный
Физической целостности
Логической целостности
По причинам появления
Естественные
Умышленные
Неумышленные, свя­
занные с действием человека
По типу нарушений
По ущ величине ерба
Незначительный
Значительный
Смысловой ценности
Предельный
По вероятности возникновения
Маловероятные
Вероятные
Весьма вероятные
Конфиденциальности
Прав собственности на информацию
Рис. 8.3. Классификация угроз
Классификация угроз по отношению к объекту
Разделение угроз на внутренние и внешние зависит от того, где проводится граница между объектом, содержащим информацию, и внешним миром. Так, для персонального компьютера внешней угрозой могут быть действия пользователя локальной сети. Эта же угроза с точки зрения организации, которой принадлежит данная локальная сеть, будет внутренней.
Наиболее опасной и вероятной внутренней угрозой для любой информацион­
ной системы или системы охраны информации являются низкая квалификация, халатность или враждебные действия персонала (пользователей).
Классификация угроз по виду ущерба
Разделение ущерба на материальный и моральный в достаточной мере условно: тот и другой, в конце концов, ведут к материальным потерям, а размеры материаль­

246
Глава 8. Информационная безопасность ного ущерба, косвенно вызванного моральным ущербом, могут быть больше, чем прямые материальные потери.
Пример. Рассылка в локальной сети организации писем, содержащих провока­
ционные сведения, приводит к созданию атмосферы разобщенности, недоверия,
дезорганизованности в коллективе. Такая атмосфера может послужить почвой как
для намеренных, так и для ненамеренных действий, приводящих к значительному
материальному ущербу (разглашение конфиденциальных данных, техническая
авария крупных размеров).
Классификация угроз по причинам появления
По причинам появления угрозы можно разделить на связанные с явлениями природы (стихийные бедствия или эксцессы) и действиями человека. В свою оче­
редь, человеческие действия, составляющие угрозу, могут совершаться на основе умысла (шпионаж, диверсии, кража или порча конфиденциальной информации) или без умысла (халатность, некомпетентность, результат плохого самочувствия).
Классификация угроз по вероятности возникновения
Вероятность возникновения того или иного вида угроз не является постоянной величиной и зависит от комплекса причин. В разных ситуациях возникновение одной и той же угрозы может иметь разную вероятность.
Пример. Угроза физического разрушения сетевой инфраструктуры или информа­
ционных хранилищ маловероятна в мирное время, однако во время вооруженных
конфликтов она может стать весьма вероятной и даже основной.
Классификация угроз по типу нарушений
Под нарушениями в первую очередь понимаются нарушения целостности информации: физической (уничтожение, разрушение элементов), логической
(разрушение логических связей), смысловой (навязывание ложной информации).
Нарушение конфиденциальности выражается в разрушении защиты и несанкци­
онированном овладении конфиденциальной информацией. Все чаще в последнее время в нашей стране обращают внимание на нарушение прав собственности на информацию (несанкционированное копирование, использование).
8.7. Защита информации в информационных системах
8.7.1. Требования к защите информации
Конкретные требования к защите, обусловленные спецификой автоматизирован­
ной обработки информации, определяются совокупностью следующих факторов:
□ характером обрабатываемой информации;
□ объемом обрабатываемой информации;

8.7. Защита информации в информационных системах
247
□ продолжительностью пребывания информации в автоматизированной системе обработки информации;
□ структурой автоматизированной системы обработки данных;
□ видом защищаемой информации;
□ технологией обработки информации;
□ организацией информационно-вычислительного процесса в автоматизирован­
ной системе обработки данных;
□ этапом жизненного цикла автоматизированной системы обработки данных.
Информация должна защищаться во всех структурных элементах информаци­
онной системы.
На рис. 8.4 представлена структурная схема автоматизированной системы обработки информации с мэйнфреймовой структурой (одним центральным вы­
числителем и пользовательскими местами в виде терминалов). Именно такая система обеспечивает наиболее эффективную защиту информации. Если терми­
налами пользователя являются персональные компьютеры, необходимо сделать конструктивно невозможными бесконтрольные снятие и ввод информации через устройства ввода-вывода (например, физически заблокировать или удалить все разъемы подключения USB-устройств, порты ввода-вывода, устройства чтения гибких и лазерных дисков).
хТермина
/
пппьапп;
налы пользователей
Устройства группового ввода-вывода
Внешние запоминающие устройства
Рис. 8.4. Структурная схема информационной системы
Защита информации в терминалах пользователей: защищаемая информация может находиться только во время сеанса; должна быть исключена возможность просмотра отображаемой информации со стороны;
информация, имеющая ограничительный гриф, должна выдаваться (отобра­
жаться) совместно с этим грифом.
Защита информации в устройствах группового ввода-вывода: в устройствах группового ввода-вывода информация может находиться только во время решения задач либо с нормированной длительностью хранения;

248
Глава 8. Информационная безопасность
□ устройства отображения и фиксации информации должны исключать возмож­
ность просмотра отображаемой информации со стороны;
□ информация, имеющая ограничительный гриф, должна выдаваться (отобра­
жаться) совместно с этим грифом.
Защита информации в аппаратуре и линиях связи:
□ в аппаратуре и линиях связи защищаемая информация должна находиться только в течение сеанса;
□ линии связи, по которым защищаемая информация передается в явном виде, должны находиться под непрерывным контролем на все время сеанса передачи;
□ перед началом каждого сеанса передачи должна осуществляться проверка адреса выдачи данных;
□ при передаче большого объема защищаемой информации проверка адреса передачи должна производиться периодически (через заданные промежутки времени или после передачи заданного числа знаков сообщения);
□ при наличии в составе аппаратуры связи процессоров и запоминающих устройств должна вестись регистрация данных обо всех сеансах передачи за­
щищаемой информации.
Защита информации в центральном вычислителе:
□ защищаемая информация в оперативном запоминающем устройстве может на­
ходиться только во время сеансов решения соответствующих задач, во внешних запоминающих устройствах — минимальное время, определяемое технологией решения соответствующей прикладной задачи в автоматизированной системе обработки данных;
□ устройства отображения и фиксации информации должны исключать возмож­
ность просмотра отображаемой информации со стороны;
□ информация, имеющая ограничительный гриф, должна выдаваться (отобра­
жаться) совместно с этим грифом;
□ при обработке защищаемой информации должно осуществляться установление подлинности всех участвующих в обработке устройств и пользователей с веде­
нием протоколов их работы;
□ всякое обращение к защищаемой информации должно проверяться на санкци- онированность;
□ при обмене защищаемой информации, осуществляемом с использованием ли­
ний связи, должна осуществляться проверка адресов корреспондентов.
Защита информации во внешних запоминающих устройствах.
□ сменные носители информации должны находиться на устройствах управления в течение минимального времени, определяемого технологией автоматизиро­
ванной обработки информации;
□ устройства управления внешних запоминающих устройств, на которых уста­
новлены носители с защищаемой информацией, должны иметь замки, пред­
упреждающие несанкционированное изъятие или замену носителя.

8.7. Защита информации в информационных системах
249
Защита информации в хранилище носителей:
□ все носители, содержащие защищаемую информацию, должны иметь четкую и однозначную маркировку, которая, однако, не должна раскрывать содержания записанной на них информации;
□ носители, содержащие защищаемую информацию, должны храниться таким об­
разом, чтобы исключались возможности несанкционированного доступа к ним;
□ при выдаче и приемке носителей должна осуществляться проверка личности получающего (сдающего) и его санкции на получение (сдачу) этих носителей.
Защита информации для всех устройств: для всех устройств должна быть пред­
усмотрена возможность аварийного уничтожения информации.
8.7.2. Способы и средства защиты информации
Содержание способов обеспечения безопасности представлено на рис. 8.5.
Рис. 8.5. Методы защиты информации
Препятствие заключается в создании на пути возникновения или распростра­
нения угрозы барьера, не позволяющего угрозе принять опасные размеры.
Пример. Блокировки, не позволяющие техническому устройству или программе
выйти за опасные границы; создание физических препятствий на пути злоумыш­
ленников, экранирование помещений и технических средств и т. п.
Управление (или регламентация) заключается в определении алгоритмов функ­
ционирования систем обработки информации, а также процедур и правил работы предприятий и учреждений, препятствующих возникновению угрозы.
Пример. Управление доступом на секретный объект, включающее в себя проце­
дуры и правила, которые должен выполнять персонал объекта, а также алгоритмы
работы механизмов и устройств слежения, фиксации и ограничения доступа.
Маскировка — преобразование информации или скрываемого объекта, вслед­
ствие которого снижается степень распознавания скрываемой информации или объекта и затрудняется доступ к ним.
Пример. Шифрование информации, дезинформация о месте нахождения конфи­
денциальной информации, создание легенд, намеренное внесение помех.

250
Глава 8. Информационная безопасность
Принуждение — это такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение есть способ защиты информации, при котором пользователи и персонал объекта внутренне (благодаря материальным, моральным, этическим, психологическим и другим мотивам) побуждаются к соблюдению всех правил об­
работки информации.
Нападение — способ защиты, применяемый в активной фазе информационной войны. Цель — заставить противника сосредоточить усилия на защите, ослабив усилия на создание угроз.
Рассмотренные способы обеспечения защиты информации реализуются с при­
менением различных средств (рис. 8.6).
Рис. 8.6. Средства защиты информации
Физико-технические средства делятся на физические, аппаратные и программные.
□ Физические средства — механические, электрические, электромеханические и т. п. устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути угроз.
□ Аппаратные средства — различные электронные и электронно-механические и т. п. устройства, встраиваемые в схемы аппаратуры системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации.
Например, для защиты от утечки по техническим каналам используются гене­
раторы шума.
Ф изические и аппаратные средства объединяются в класс технических средств защиты информации.
□ Программные средства — специальные пакеты программ или отдельные про­
граммы, включаемые в состав программного обеспечения автоматизированных систем с целью решении задач защиты информации. Это могут быть различные

8.7. Защита информации в информационных системах
251
программы по криптографическому преобразованию данных, контролю доступа, защиты от вирусов и др.
Организационно-социальные средства делятся на организационные, законода­
тельные и морально-этические.
□ Организационные средства — специально предусматриваемые в технологии функционирования объекта организационно-технические мероприятия для решения задач защиты информации, осуществляемые в виде целенаправленной деятельности людей.
□ Законодательные средства — нормативно-правовые акты, с помощью которых регламентируются права и обязанности всех лиц и подразделений, связанных с защитой информации, а также устанавливается ответственность за нарушение правил обработки информации, следствием чего может быть нарушение защи­
щенности информации.
□ Морально-этические средства защиты информации предполагают, прежде всего, воспитание сотрудника, допущенного к секретам, то есть проведение специаль­
ной работы, направленной на формирование у него системы определенных ка­
честв, взглядов и убеждений (патриотизма, понимания важности и полезности защиты информации и для него лично), обучение сотрудника, осведомленного в сведениях, составляющих охраняемую тайну, правилам и методам защиты информации, привитие ему навыков работы с носителями секретной и конфи­
денциальной информации.
8.7.3. Системы защиты информации
С целью всесторонней защиты информации рекомендуется создать единую, целостную систему, являющуюся функционально самостоятельной подсистемой любого объекта обработки информации. Такое решение позволяет объединить все ресурсы, средства и методы, а также полноценно координировать мероприятия по защите информации.
Организационно система защиты информации (С ЗИ ) должна состоять из трех механизмов:
а обеспечения защиты информации;
□ управления средствами защиты;
□ общей организации работы системы.
Ядро системы защиты информации
Ядро системы защиты предназначено для объединения всех подсистем системы защиты информации в единую целостную систему и организации ее функциони­
рования.
Ядро может включать в себя организационные и технические составляющие.
Организационная составляющая представляет собой совокупность специально выделенных для защиты информации сотрудников, выполняющих свои функции в соответствии с разработанными правилами, а также нормативную базу, регламен­
тирующую выполнение этих функций.

252
Глава 8. Информационная безопасность
Техническая составляющая обеспечивает техническую поддержку организа­
ционной составляющей и представляет собой совокупности технических средств отображения состояний элементов системы защиты информации, контроля доступа к ним, управления их включением и т. д. Чаще всего эти средства объединены в со­
ответствующий пульт управления системы защиты информации.
Ядро системы защиты информации должно обеспечивать выполнение двух функций.
□ Включение компонентов системы защиты информации в работу при поступле­
нии запросов на обработку защищаемой информации и блокирование бескон­
трольного доступа к ней. Для этого требуется:
О оборудование объекта средствами охранной сигнализации;
О хранение носителей защищаемой информации в отдельных хранилищах
(документация, шифры, магнитные носители и т. д.);
О включение блокирующих устройств, регулирующих доступ к элементам системы защиты информации при предъявлении соответствующих полно­
мочий и средств сигнализации.
□ Организация и обеспечение проверок правильности функционирования систе­
мы защиты информации. При этом реализуется проверка:
О аппаратных средств — по тестовым программам и организационно;
О физических средств — организационно (плановые проверки средств охран­
ной сигнализации, сигнализации о повышении давления в кабелях и т. д.);
О программных средств — по специальным контрольным суммам (на целост­
ность) и по другим идентифицирующим признакам.
Ресурсы системы защиты информации
Ресурсы информационно-вычислительной системы, необходимые для создания и поддержания функционирования системы защиты информации, как и любой дру­
гой автоматизированной системы, объединяются в техническое, математическое, программное, информационное и лингвистическое обеспечение.
Техническое обеспечение — совокупность технических средств, необходимых для технической поддержки решения всех тех задач защиты информации, которые возникают в процессе функционирования системы защиты информации.
Математическое обеспечение — совокупность математических методов, моде­
лей и алгоритмов, необходимых для оценки уровня защищенности информации и решения других задач защиты.
Программное обеспечение — совокупность программ, реализующих программные средства защиты, а также программ, необходимых для решения задач управления механизмами защиты. К ним должны быть отнесены также сервисные и вспомо­
гательные программы системы защиты информации.
Информационное обеспечение — совокупность систем классификации и коди­
рования данных о защите информации, массивы данных системы защиты инфор­
мации, в также входные и выходные документы системы защиты информации.

8.8. Государственные стандарты по информационной безопасности
253
Лингвистическое обеспечение — совокупность языковых средств, необходимых для обеспечения взаимодействия компонентов системы защиты информации между собой, с компонентами объекта обработки информации, с внешней средой.
Организационное построение
Организационное построение системы защиты информации в самом общем случае может быть представлено совокупностью следующих рубежей защиты:
□ территории, занимаемой системой защиты информации;
□ зданий, расположенных на территории;
□ помещений внутри здания, в которых расположены ресурсы системы защиты информации и защищаемая информация;
□ ресурсов, используемых для обработки и хранения информации и самой за­
щищаемой информации;
□ линий связи, проходящих в пределах одного и того же здания;
□ линий (каналов) связи, проходящих между различными зданиями, расположен­
ными на одной и той же охраняемой территории;
□ линий (каналов) связи, соединяющих системы защиты информации с другими объектами вне охраняемой территории.
8.8. Государственные стандарты по информационной безопасности
8.8.1. Стандарты общего назначения
ГОСТ Р И С О /М Э К 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. Informa­
tion technology. Security techniques. Part 1. Concepts and models for information and communications technology security management.
ГОСТ P И С О /М Э К TO 13335-3-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий. Information technology. Security techniques. Part 3.
Techniques for the management of information technology security.
ГОСТ P И С О /М Э К Т О 13335-4-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер. Information technology. Security techniques. Part 4. Selection of safeguards.
ГОСТ P И С О /М Э К TO 13335-5-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту без­
опасности сети. Information technology. Security techniques. Part 5. Management quidance on network security.

254
Глава 8. Информационная безопасность
ГОСТ Р И С О /М Э К 13569-хох (проект 10.05.2007). Финансовые услуги. Ре­
комендации по информационной безопасности. Financial services — Information security Guidelines.
ГОСТ P И С О /М Э К 15026-2002. Информационная технология. Уровни целост­
ности систем и программных средств. Information technology. System and software integrity levels.
ГОСТ P И С О /М Э К 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информа­
ционных технологий. Часть 1. Введение и общая модель. Information technology.
Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model.
ГОСТ P И С О /М Э К 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информаци­
онных технологий. Часть 2. Функциональные требования безопасности. Informa­
tion technology. Security techniques. Evaluation criteria for IT security. Part 2. Security functional requirements.
ГОСТ P И С О /М Э К 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информа­
ционных технологий. Часть 3. Требования доверия к безопасности. Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements.
ГОСТ P И С О /М Э К 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. Information technology. Code of practice for information security management.
ГОСТ P И С О /М Э К 18044-xrxr (проект). Информационная технология. Мето­
ды и средства обеспечения безопасности. Менеджмент инцидентов информацион­
ной безопасности. Information technology. Security techniques. Information security incident management.
ГОСТ P И С О /М Э К 18045-xjm: (проект). Информационная технология. Ме­
тоды и средства обеспечения безопасности. Методология оценки безопасности информационных технологий. Information technology. Security techniques. Meth­
odology for IT security evaluation.
ГОСТ P И С О /М Э К 19794-2-2005. Автоматическая идентификация. Иденти­
фикация биометрическая. Форматы обмена биометрическими данными. Часть 2.
Данные изображения отпечатка пальца — контрольные точки. Automatic identifi­
cation. Biometrics. Biometric data interchange formats. Part 2. Finger minutiae data.
ГОСТ P И С О /М Э К 19794-4-2006. Автоматическая идентификация. Иденти­
фикация биометрическая. Форматы обмена биометрическими данными. Часть 4.
Данные изображения отпечатка пальца. Automatic identification. Biometrics. Bio­
metric data interchange formats. Part 4. Finger image data.
ГОСТ P И С О /М Э К 19794-5-2006. Автоматическая идентификация. Иденти­
фикация биометрическая. Форматы обмена биометрическими данными. Часть

8.8. Государственные стандарты по информационной безопасности
255 5. Данные изображения лица. Automatic identification. Biometrics. Biometric data interchange formats. Part 5. Face image data.
ГОСТ P И С О /М Э К 19794-6-2006. Автоматическая идентификация. Иденти­
фикация биометрическая. Форматы обмена биометрическими данными. Часть 6.
Данные изображения радужной оболочки глаза. Automatic identification. Biometrics.
Biometric data interchange formats. Part 6. Iris image data.
ГОСТ P И С О /М ЭК 27001-2006. Информационная технология. Методы и сред­
ства обеспечения безопасности. Системы менеджмента информационной безопас­
ности. Требования. Information technology. Security techniques. Information security management systems. Requirements.
P 50.1.056. Техническая защита информации. Основные термины и определения.
ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкцио­
нированного доступа к информации. Общие технические требования. Computers technique. Information protection against unauthorised access to information. General technical requirements.
ГОСТ P 50922-2006. Защита информации. Основные термины и определения.
Protection of information. Basic terms and definitions.
ГОСТ P 50922-96. Защита информации. Основные термины и определения.
Protection of information. Basic terms and definitions.
ГОСТ P 51188-98. Защита информации. Испытания программных средств на на­
личие компьютерных вирусов. Типовое руководство. Information security. Software testing for the existence of computer viruses. The sample manual.
ГОСТ P 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Protection of information.
Object of informatisation. Factors influencing the information. General.
ГОСТ P 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Protection of information.
Object of informatization. Factors influencing on information. General outlines.
ГОСТ 51583-2000. Порядок создания автоматизированных систем в защищен­
ном исполнении.
ГОСТ Р 51624-2000. Автоматизированные системы в защищенном исполнении.
Общие положения.
ГОСТ Р 51725.6-2002. Каталогизация продукции для федеральных государ­
ственных нужд. Сети телекоммуникационные и базы данных. Требования инфор­
мационной безопасности. Catalogization of products for federal state needs. Telecom­
munication networks and data bases. Requirements of information security.
ГОСТ P 51898-2002. Аспекты безопасности. Правила включения в стандарты.
Safety aspects. Guidelines for their inclusion in standards.
ГОСТ P 52069.0-2003. Защита информации. Система стандартов. Основные положения. Safety of information. System of standards. Basic principles.

256
Глава 8. Информационная безопасность
ГОСТ Р 52447-2005. Защита информации. Техника защиты информации. Но­
менклатура показателей качества. Information protection. Information protection technology. Nomenclature of quality indices.
8.8.2. Стандарты по криптографической защите
ГОСТ 28147-89. Системы обработки информации. Защита криптографическая.
Алгоритм криптографического преобразования.
ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой под­
писи. Information technology. Cryptographic data security. Formation and verification processes of [electronic] digital signature.
ГОСТ P 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования. Information technology. Cryptographic data security. Hashing function.
ГОСТ 34.311-95. Информационная технология. Криптографическая защита информации. Функция хэширования. Information technology. Cryptographic Data
Security. Cashing function.
8.8.3. Стандарты информационной безопасности в кредитно-финансовой сфере
СТО Б Р И Б Б С -1.0-2006. Стандарт Банка России. Обеспечение информаци­
онной безопасности организаций банковской системы Российской Федерации.
Общие положения.
СТО БР И Б Б С -1.1-2007. Стандарт Банка России. Обеспечение информацион­
ной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности.
СТО БР И Б Б С -1.2-2007. Стандарт Банка России. Обеспечение информаци­
онной безопасности организаций банковской системы Российской Федерации.
Методика оценки соответствия информационной безопасности организаций бан­
ковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006.
PC БР ИББС-2.0-2007. Рекомендации в области стандартизации Банка России.
Обеспечение информационной безопасности организаций банковской системы
Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО
Б Р ИББС-1.0.
PC БР И ББС -2.1-2007. Рекомендации в области стандартизации Банка России.
Обеспечение информационной безопасности организаций банковской системы
Российской Федерации. Руководство по самооценке соответствия информаци­
онной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0.

Вопросы для самопроверки
257
Вопросы для самопроверки
1. Дайте определение информационной безопасности.
2. Чем определяется информационная безопасность?
3. Каковы основные принципы государственной политики обеспечения инфор­
мационной безопасности России?
4. Перечислите виды угроз в информационной сфере.
5. Что относится к внутренним и внешним источникам угроз информационной безопасности?
6. Дайте определение организационно-правовому обеспечению информационной безопасности.
7. Что такое «государственная тайна»?
8. Какие виды ущерба может нанести нарушение информационной безопасности?
9. Что такое «ФСТЭК» и каковы ее функции?
10. Какие вы знаете угрозы информационным системам?
11. В чем заключается нарушение конфиденциальности? Приведите пример.
12. В чем заключается нарушение достоверности? Приведите пример.
13. В чем заключается нарушение целостности? Приведите пример.
14. В чем заключается нарушение доступности? Приведите пример.
15. Каким образом можно классифицировать угрозы информации?
16. Какие факторы влияют на требования к защите информации в конкретной информационной системе?
17. Какие способы защиты информации вам известны?
18. При помощи каких средств реализуется защита информации?
19. Что такое «система защиты информации»?
20. Какие семь рубежей защиты в системе защиты информации вам известны?
Литература
1. Белов Е. Б., Лось В., Мещеряков Р. В., Шелупанов Д. А. Основы информационной безопасности. М.: Горячая линия-Телеком, 2006.
2. Галатенко В. А. Основы информационной безопасности. М.: Интернет-универ­
ситет информационных технологий, 2006.
3. Галатенко В. А. Стандарты информационной безопасности. М.: Интернет-уни­
верситет информационных технологий, 2006.
4. Девянин П. Я. Модели информационной безопасности компьютерных систем.
М.: Издательский центр «Академия», 2005.

258
Глава 8. Информационная безопасность
5. Домарев В. В. Безопасность информационных технологий. Методология созда­
ния систем защиты. К.: ТИД Диа Софт, 2002.
6. Куприянов А. И. Основы защиты информации. М.: Издательский центр «Ака­
демия», 2008.
7. Курбатов В.у Скиба В. Руководство по защите от внутренних угроз информаци­
онной безопасности. СПб.: Питер, 2008.

Глава 9
Менеджмент информационной сферы
9.1. Становление информационного менеджмента
9.2. Основные понятия информационного менеджмента
9.3. Международные и российские стандарты в сфере информации менед­
жмента
9.4. Информационный менеджмент как управление информационно-техноло- гическими услугами
9.5. Информационный менеджмент как товар (аутсорсинг)
Наличие информационной системы в любой организации не просто дань моде, это реальная необходимость иметь средства, направленные на интенсификацию и обеспечение более продуктивной деятельности. При этом неизбежным стано­
вится решение множества вопросов, связанных с разработкой, внедрением и ис­
пользованием в текущей деятельности компьютерных систем, технологий и служб.
В настоящее время происходит осознание необходимости грамотного управления работой информационной системы организации на основе современных методов и средств менеджмента. Выделившееся в этой сфере направление, названное информационным менеджментом, как раз и направлено на решение основных во­
просов информационной сферы, при этом оно опирается на разработанные между­
народные стандарты. Глава посвящена управлению в сфере информационных технологий в самом широком понимании этого процесса.

260
Глава 9. Менеджмент информационной сферы
9.1. Становление информационного менеджмента
Использование во всех сферах жизни информационных систем различного на­
значения породило ряд проблем, которые требовали соответствующих решений.
Эти проблемы условно можно сгруппировать в три класса:
□ необходимость внедрения;
□ эффективность использования;
□ продвижение и продажа.
Первый класс проблем связан с принятием решения о необходимости внедрения компьютерных информационных систем, технологий или служб в организации.
Эти проблемы встают на первый план при возрастании объема и сложности ин­
формации. Так, для магазина с двумя продавцами на вопрос: «Нужны ли инфор­
мационные технологии?» — ответом, возможно, будет «нет», а в большом магазине продажи компьютеров, компьютерных материалов и комплектующих, скорей всего, — «да». При существенном же увеличении площадей магазина и количества продавцов очевидно, что использование информационных систем в любом случае должно принести пользу.
В государственных структурах ориентация идет на интеграцию в существую­
щую международную информационную среду, на удобство получения гражданами государственных услуг, на оперативность в случае, когда это связано с безопасно­
стью. Вопросы же о том, в каком виде, каких масштабов и на какой технологической базе будут присутствовать информационные технологии (И Т) в государственной машине, остаются, и на них нужно получить ответы.
Второй класс проблем связан с эффективностью использования компьютер­
ных информационных систем, технологий и служб в организации. Эти проблемы, которые касаются эффективного применения уже имеющихся на предприятии или в учреждении информационных технологий и ресурсов, требуют серьезного анализа по следующим направлениям:
□ конкурентное положение организации в области информационных технологий, ее конкурентные преимущества и отставания;
□ эффективность использования информационных технологий и возможности ее повышения;
□ эффективность вложения средств в оборудование и обучение персонала;
□ возможность получения прямой или косвенной финансовой отдачи от вложений в информационные технологии;
□ роль службы информационных технологий (ИТ-службы) в решение вопросов, напрямую не связанных с информационными технологиями (выявление новых рынков сбыта, создание новых видов товаров).
Третий класс проблем касается продвижения и продаж компьютерных информа­
ционных систем, технологий и служб в организации. Эти проблемы тесно связаны

9.2. Основные понятия информационного менеджмента
261
с представлением об информации и информационных технологиях как о товаре.
В этом классе можно выделить следующие направления, требующие своего решения:
□ преодоление трудностей восприятия информационных технологий как товара;
□ точное определение предмета купли-продажи в торговле информационными технологиями;
□ нахождение способов оценки эффективности продаж информационных тех­
нологий;
□ маркетинг информационных технологий (ИТ-маркетинг), выявления способов получения конкурентных преимуществ в условиях продажи одного и того же товара.
Такого рода проблемы в любой сфере, накапливаясь со временем, вызывают к жизни методологию их разрешения. В финансовой сфере такой методологией является финансовый менеджмент, в производственной сфере — производствен­
ный. Проблемы, возникшие в информационной сфере, не так давно привели к по­
явлению методологии информационного менеджмента (ИТ-менеджмент).
9.2. Основные понятия информационного менеджмента
Поскольку информационные потоки пронизывают сегодня все сферы деятель­
ности человека, для более точного определения необходимо ограничить понимание информационного менеджмента двумя значениями:
□ управление информацией (информационными потоками и информационными ресурсами), то есть ИТ-менеджмент, — это автоматизированная технология об­
работки информации в определенной предметной области;
□ управление с помощью информации, то есть ИТ-менеджмент, — это управлен­
ческая технология, менеджмент в собственном смысле этого слова.
Общественные отношения, возникающие в информационной сфере при осу­
ществлении информационных процессов, называются информационными, в свою очередь, деятельность по осуществлению информационных процессов называется
информационной.
Рассматривая информационные отношения, необходимо отметить, что, несмо­
тря на все их разнообразие, они происходят между составными частями информа-

262
Глава 9. Менеджмент информационной сферы ционной сферы. Схематично информационную сферу можно представить в виде пяти областей (рис. 9.1).
Поиск,
получение
Рис. 9 .1 . Структура информационной сферы
Хотя на схеме между областями проведены четкие границы, в жизни такое раз­
граничение невозможно, поскольку функции областей информационной сферы часто пересекаются, а связи между областями носят характер сложный и взаи­
мозависимый. Одни и те же действующие лица могут выступать в разных ролях и включаться в разные области.
□ Поиск, получение и потребление информации. Это основная область, по­
этому она расположена в центре информационной сферы. Она инициирует процессы во всех остальных областях информационной сферы и является причиной их возникновения. Кратко эту область можно обозначить словом
«потребление».
□ Создание и распространение исходной и производной информации. К этой обла­
сти можно отнести все организации и всех частных лиц, тем или иным способом создающих как исходную информацию (научные факты, персональные данные и т. п., то есть по сути фактические данные), так и производную информацию
(получившуюся в результате переработки исходной).
□ Формирование и подготовка информационных ресурсов, продуктов и услуг.
В этой области происходят упорядочивание, анализ и дополнительная обработ­
ка информации. В результате первичная и производная информация превраща­
ется в информационный ресурс (например, тематический сайт в Интернете),

9.2. Основные понятия информационного менеджмента
263
продукт (примером может служить правовая система «Гарант») или услугу
(например, систематизированный и периодический обзор состояния рынка в выбранной отрасли).
□ Создание и применение информационных систем и средств, их обеспечение. Это сфера технологического обеспечения информационных процессов. С одной сто­
роны, эта область может рассматриваться как вспомогательная (производство и потребление информации, оказание информационных услуг существовали и до появления информационных технологий в их современном виде), с другой стороны, эта область сама является мощным источником первичной и произ­
водной информации.
□ Создание и применение средств и механизмов информационной безопасности.
В этой области происходит разработка технических и технологических решений, стандартов и методологий, позволяющих обеспечить целостность, непротиво­
речивость и защиту приватной информации или информации, подпадающей под тот или иной тип ограничения доступности. Эта же область связана с вопросами защиты человека от опасной и вредоносной информации.
Что же собой представляет сфера информационного менеджмента?
□ В узком смысле — это круг задач управления производственного и техноло­
гического характера в сфере основной деятельности организации, в той или иной мере использующих информационную систему и реализованные в ней информационные технологии.
□ В широком смысле — это совокупность задач управления на всех этапах жиз­
ненного цикла организации, включающая в себя действия и операции как с ин­
формацией в различных ее формах и состояниях, так и с организацией в целом на основе информации.
Информационный менеджмент охватывает все аспекты проблемы менеджмента в сфере создания и использования информационных ресурсов.
Цель информационного менеджмента — повышение эффективности деятельно­
сти предприятия на основе использования информационных систем и технологий.
Предмет информационного менеджмента — процессы создания, эксплуатации и развития информационной системы предприятия.
Область профессиональной деятельности менеджера — обеспечение эффектив­
ного управления информационными ресурсами и информационными системами на уровне организации, обеспечение использования информации как стратегического ресурса, организация систем управления в отрасли информационного бизнеса, совершенствование управления в соответствии с тенденциями социально-эконо­
мического развития.
Объектами профессиональной деятельности менеджера являются различные информационные ресурсы и информационные системы организаций экономиче­
ской, производственной и социальной сфер, информационные ресурсы и инфор­
мационные системы подразделений систем управления государственных пред­
приятий, акционерных обществ и частных фирм, а также различные организации в сфере информационного бизнеса. Профессиональная деятельность менеджера распространяется также на информационные ресурсы и информационные системы

264
Глава 9. Менеджмент информационной сферы научно-производственных объединений, научных, конструкторских и проектных организаций, органов государственного управления и социальной инфраструктуры народного хозяйства.
Сферу информационного менеджмента составляет совокупность всех задач управления, связанных с формированием и использованием информации во всех ее формах и состояниях для достижения поставленных перед предприятием це­
лей. При этом должны решаться задачи определения ценности и эффективности использования не только собственно информации (данных и знаний), но и других ресурсов предприятия, в той или иной мере входящих в контакт с информацией: технологических, кадровых, финансовых и т. д. В этих задачах управления в той или иной мере используются информационные системы и реализованные в них информационные технологии.
Концепция информационного менеджмента объединяет следующие подходы:
□ экономический — вопросы привлечения новой документированной информации рассматриваются исходя из соображений полезности и финансовых затрат;
□ аналитический — основывается на анализе потребностей пользователей в ин­
формации и коммуникациях;
□ организационный — информационные технологии рассматриваются в их влия­
нии на организационные аспекты;
□ системный — обработка информации рассматривается на основе целостного, системно ориентированного, всеохватывающего процесса обработки инфор­
мации в организации, при этом особое внимание уделяется оптимизации ком­
муникационных каналов, информации, материальных средств и других затрат, методов работы.
Основные направления информационного менеджмента:
□ управление информационной системой на всех этапах ее жизненного цикла;
□ стратегическое развитие ИС;
□ ИС-маркетинг.
Задачи информационного менеджмента:
□ формирование технологической среды информационной системы;
□ развитие информационной системы и обеспечение ее обслуживания;
□ планирование в среде информационной системы;
□ формирование организационной структуры в области информатизации;
□ использование и эксплуатация информационных систем;
□ формирование инновационной политики и осуществление инновационных программ;
□ управление персоналом в сфере информатизации;
□ управление капиталовложениями в сфере информатизации;
□ формирование и обеспечение комплексной защищенности информационных ресурсов.

9.3. Международные и российские стандарты в сфере информационного менеджмента
265
Информационный менеджмент в организации решает стратегические, оператив­
ные и административные задачи. К числу стратегических задач относятся: создание информационной инфраструктуры организации и управление информационными технологиями. Оперативные и административные задачи носят более узкий харак­
тер, ориентированный на выполнение работ по конкретным направлениям.
9.3. Международные и российские стандарты в сфере информационного менеджмента
Главной задачей информационного менеджмента является информационная поддержка основной деятельности организации.
Проникновение информационных систем и технологий во все области челове­
ческой деятельности вызвали к жизни потребность в изучении и обобщении наи­
более успешного опыта информационного менеджмента, выделения эффективных методологий, создания стандартов в этой области.
9.3.1. Стандарт ITIL
Назначение ITIL
Библиотека инфраструктуры информационных технологий (Information Tech­
nology Infrastructure Library, ITIL) в настоящее время фактически стала между­
народным стандартом в сфере организации и управления информационными технологиями.
Библиотека ITIL изначально разрабатывалась Центральным агентством по вычислительной технике и телекоммуникациям Central Computer and Telecom­
munications Agency, CCTA) при правительстве Великобритании. В настоящее время владельцем библиотеки является британская правительственная организация
OGC (The Office of Government Commerce), одно из направлений деятельности которой — повышение эффективности и рентабельности использования информа­
ционных технологий в государственных учреждениях Великобритании.
Значительная роль в развитии и популяризации ITIL принадлежит также неком­
мерческому профессиональному сообществу ITSMF (IT Service Management Forum), объединяющему крупные организации, в том числе компании-производители
(Microsoft, SUN, H P и IBM), а также частных лиц, работающих в области ИТ.
ITIL включает в себя описание различных видов деятельности в сфере ИТ, таких как управление проектами, управление закупками, ИТ-сервис, и состоит из ряда практических руководств, предоставляющих информацию об эффективном и рациональном использовании различных ИТ-сервисов и предоставлении их по­
требителям.
Философия библиотеки ITIL основана на общих схемах обеспечения качества
(total quality frameworks), предлагаемых Европейской организацией управления

266
Глава 9. Менеджмент информационной сферы качеством (European Foundation of Quality Management, EFQM ) и стандартами серии ISO-9000. Эти системы качества поддерживаются путем предоставле­
ния стандартизированного описания процессов с учетом передового опыта ИТ- менеджмента.
Библиотека ITIL предлагает структурированное описание наиболее часто ис­
пользуемых ИТ-процессов, их целей и параметров, а также связей между отдель­
ными ИТ-процессами, однако целью библиотеки ITIL не является предоставление описаний конкретных способов внедрения этих процессов.
Книги библиотеки ITIL
Первоначально библиотека ITIL состояла из нескольких комплектов книг, в каждом из которых описывалось отдельное направление в сфере информаци­
онной инфраструктуры. Основой ITIL считались десять книг, посвященных под­
держке и предоставлению услуг.
Сейчас библиотека ITIL состоит из восьми томов:
□ Service Support;
□ Service Delivery;
□ Planning to Implement Service Management;
□ Application Management;
□ ICT Infrastructure Management;
□ Security Management;
□ Software Asset Management;
□ The Business Perspective: The IS View on Delivering Services to the Business.
Основные принципы ITIL
Организация деятельности ИТ-службы осуществляется с использованием процессного подхода. Задачей ИТ-службы является предоставление основному бизнесу полного набора информационных услуг.
ИТ-сервисы поставляются на основании соглашения об уровне предоставления сервисов (service level agreement), которое является согласованным и утвержден­
ным документом.
Качество предоставления ИТ-сервиса является измеряемой величиной.
Преимущества ITIL
Преимущества ITIL заключаются в следующем:
□ использование передового опыта и проверенных знаний;
□ направленность деятельности ИТ на решение задач бизнеса;
□ использование ИТ-служб поставщиками ИТ-услуг для бизнес-подразделений;
□ регламентирование деятельности ИТ соглашением об уровне услуг;
□ стандартизация работы ИТ-персонала;

9.3. Международные и российские стандарты в сфере информационного менеджмента
267
□ направленность на обеспечение оптимального качества ИТ-услуг для потре-
. бителей;
□ использование подходов менеджмента качества в управлении ИТ-сервисами;
□ возможность подтверждения стоимости ИТ-сервиса на основании соглашения об уровне обслуживания.
Библиотека ITIL постоянно пополняется и дорабатывается с учетом нового опыта и знаний, полученных в индустрии оказания ИТ-услуг. Передовые методы
ITIL, позволяющие повысить эффективность управления ИТ-инфраструктурой, на сегодняшний день используются большинством крупных мировых компаний.
Процессы ITSM
Управление ИТ-услугами (IT Service Management, ITSM ) объединяет 10 про­
цессов, описанных в книгах Service Support и Service Delivery библиотеки ITIL
(табл. 9.1).
Таблица 9 .1. Управление ИТ-услугами