МУ - ПР - ЗИиКС - 2 сем кор3

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ

ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО
ОБРАЗОВАНИЯ
«ПЯТИГОРСКИЙ ГОСУДАРСТВЕННЫЙ
УНИВЕРСИТЕТ»
Кафедра информационно-коммуникационных технологий, математики

и информационной безопасности
КАЛИБЕРДА ИГОРЬ ВЛАДИМИРОВИЧ
МЕТОДИЧЕСКИЕ УКАЗАНИЯ
по выполнению практических работ по дисциплине «Защита информационных и компьютерных

систем»
Пятигорск 2018
СОДЕРЖАНИЕ
Стр.
Введение 3
Лабораторная работа № 1 Тема: «Определение состава защищаемой информации в
СЗИ» ………………………………………………………………………………..……...…….. 11
Лабораторная работа № 2 Тема: «Разработка пространственной модели объекта
информационной защиты» ………………………………………………………………………. 14
Лабораторная работа № 3 Тема: «Разработка структурной модели защищаемой
информации»……………………………………………………………………………………….. 17
Лабораторная работа № 4 Тема: «Разработка графической модели защищаемой
информации» ……………………………………………………………………………………... 21
Лабораторная работа № 5 Тема: «Определение класса защищённости информационной
системы» …………………………………………………………………………………….…….. 24
Лабораторная работа № 6 Тема: «Определение уровня проектной защищенности
информационной системы» ………………………………………………………………...….. 28
Лабораторная работа № 7 Тема: «Разработка модели нарушителя» ….…………………….. 43
Лабораторная работа № 8 Тема: «Разработка модели угроз безопасности информации» .. 60
Лабораторная работа № 9 Тема: «Определение требований к системе защиты
информации информационной системы» ………………………………………………..….. 70
Лабораторная работа № 10 Тема: «Разработка системы защиты информации
Информационной системы» …………………………………………………………………….. 80
Список использованной и рекомендуемой литературы ……………………………………………...…. 81
Приложения ………………………..…………………………………………………………..…. 84
1
Введение
Специальные документы по ЗИ:
 Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации,

информационных технологиях и о защите информации»;
 Федеральный закон от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных
видов деятельности»;
 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом
регулировании»;
 Указ Президента РФ от 6 марта 1997 г. № 188 "Об утверждении перечня
сведений конфиденциального характера";
 ГОСТ Р 51583 «Защита информации. Порядок создания
автоматизированных систем в защищенном исполнении. Общие
положения»;
 ГОСТ Р 51624 «Защита информации. Автоматизированные системы в
защищенном исполнении. Общие требования»;
 ГОСТ 34.602 «Информационная технология. Комплекс стандартов на
автоматизированные системы. Техническое задание на создание
автоматизированной системы»;
автоматизированные системы. Автоматизированные системы. Стадии
создания»;
автоматизированные системы. Виды, комплектность и обозначение
документов при создании автоматизированных систем»;
 Приказ ФСТЭК России от 11 февраля 2013 г. N 17 (в ред. Приказа ФСТЭК
России от 15.02.2017 N 27) «Об утверждении Требований о защите
информации, не составляющей государственную тайну, содержащейся в
государственных информационных системах»;
 Методический документ ФСТЭК России от 11 февраля 2014г. «Меры
2
защиты информации в государственных информационных системах»;
 «Методика определения угроз безопасности информации в
информационных системах. Проект». ФСТЭК России 2015 год.
Принятые сокращения
АС - автоматизированная система
ГИС – государственная информационная система
ДСП – для служебного пользования
ИС – информационная система
ИСПДн - информационная система персональных данных
КС – компьютерная система
МИО - Международный Информационный Обмен
МЭ – межсетевой экран
НСД - несанкционированный доступ
ОС – операционная система
РД - руководящий документ
СЗ - средства защиты
СЗИ –система защиты информации
СЗИ НСД - система защиты информации от несанкционированного доступа
СВТ – средства вычислительной техники
СКУД – система контроля и управления доступом
СУБД - система управления базами данных
УЗ - уровни защищенности
УБИ - угрозы безопасности информации
Требования к организации защиты информации, содержащейся в

информационной системе
3
В информационной системе объектами защиты являются информация,
содержащаяся в информационной системе, технические средства (в том числе
средства вычислительной техники, машинные носители информации, средства и
системы связи и передачи данных, технические средства обработки буквенно-
цифровой, графической, видео- и речевой информации), общесистемное,
прикладное, специальное программное обеспечение, информационные
технологии, а также средства защиты информации.
Для обеспечения защиты информации, содержащейся в информационной
системе, оператором назначается структурное подразделение или должностное
лицо (работник), ответственные за защиту информации.
Для проведения работ по защите информации в ходе создания и
эксплуатации информационной системы обладателем информации (заказчиком) и
оператором в соответствии с законодательством Российской Федерации при
необходимости привлекаются организации, имеющие лицензию на деятельность
по технической защите конфиденциальной информации в соответствии с
Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных
видов деятельности» (Собрание законодательства Российской Федерации, 2011,
№ 19, ст. 2716; № 30, ст. 4590; № 43, ст. 5971; № 48, ст. 6728; 2012, № 26, ст. 3446;
№ 31, ст. 4322; 2013, № 9, ст. 874).
системе, применяются средства защиты информации, прошедшие оценку
соответствия в форме обязательной сертификации на соответствие требованиям
по безопасности информации в соответствии со статьей 5 Федерального закона от
27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» (Собрание
законодательства Российской Федерации, 2002, № 52, ст. 5140; 2007, № 19, ст.
2293; № 49, ст. 6070; 2008, № 30, ст. 3616; 2009, № 29, ст. 3626; № 48, ст. 5711;
2010, № 1, ст. 6; 2011, № 30, ст. 4603; № 49, ст. 7025; № 50, ст. 7351; 2012, № 31,
ст. 4322; 2012, № 50, ст. 6959).
Защита информации, содержащейся в информационной системе, является
составной частью работ по созданию и эксплуатации информационной системы и
4
обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем
принятия организационных и технических мер защиты информации,
направленных на блокирование (нейтрализацию) угроз безопасности информации
в информационной системе, в рамках системы (подсистемы) защиты информации
информационной системы (далее – система защиты информации информационной
системы).
Организационные и технические меры защиты информации, реализуемые в
рамках системы защиты информации информационной системы, в зависимости от
информации, содержащейся в информационной системе, целей создания
информационной системы и задач, решаемых этой информационной системой,
должны быть направлены на исключение:
 неправомерных доступа, копирования, предоставления или распространения
информации (обеспечение конфиденциальности информации);
 неправомерных уничтожения или модифицирования информации
(обеспечение целостности информации);
 неправомерного блокирования информации (обеспечение доступности
информации).
системе, проводятся следующие этапы работ по созданию системы защиты
информации:
 формирование требований к защите информации, содержащейся в
информационной системе;
 разработка системы защиты информации информационной системы;
 внедрение системы защиты информации информационной системы;
 аттестация информационной системы по требованиям защиты информации
(далее – аттестация информационной системы) и ввод ее в действие;
 обеспечение защиты информации в ходе эксплуатации аттестованной
информационной системы;
5
 обеспечение защиты информации при выводе из эксплуатации
аттестованной информационной системы или после принятия решения об
окончании обработки информации.
При обработке в государственной информационной системе информации,

содержащей персональные данные, настоящие Требования применяются наряду с
требованиями к защите персональных данных при их обработке в
информационных системах персональных данных, утвержденных постановлением
Правительства Российской Федерации от 1 ноября 2012 г. № 1119 (Собрание
законодательства Российской Федерации, 2012, № 45, ст. 6257).
По решению обладателя информации (заказчика) или оператора настоящие
Требования могут применяться для защиты информации, содержащейся в
негосударственных информационных системах.
Указом Президента РФ от 6 марта 1997 г. № 188 "Об утверждении перечня
сведений конфиденциального характера" утвержден перечень сведений
конфиденциального характера, к которым, в частности, относятся: сведения,
связанные с коммерческой деятельностью, доступ к которым ограничен в
соответствии с ГК РФ и федеральными законами (коммерческая тайна); сведения
о сущности изобретения, полезной модели или промышленного образца до
официальной публикации информации о них; сведения, связанные с
профессиональной деятельностью, доступ к которым ограничен в соответствии с
Конституцией РФ и федеральными законами и др.
Основные элементы механизма защиты предпринимательской тайны
В зависимости от вида предпринимательской деятельности, размеров фирмы

и других критериев функционирования фирмы набор элементов механизма
защиты предпринимательской тайны может кардинально изменяться. Конечно,
важную роль играют и финансово-материальные возможности, необходимые для
организации защиты экономической безопасности.
6
Как правило, для комплексного решения всех вопросов, связанных с защитой
предпринимательской тайны, на фирме создается собственная служба
безопасности, начальник которой является и заместителем руководителя фирмы.
Однако отдельными вопросами защиты информации могут заниматься
специализированные охранные предприятия, выполняющие свои функции по
договору с фирмой. Важное значение имеет подбор высококвалифицированных
специалистов службы безопасности фирмы, нормативное установление
обязанностей сотрудников и следующих функций службы безопасности:
 организация и обеспечение пропускного и внутриобъектового режима в
зданиях и помещениях, несение их охраны, контроль за соблюдением
установленного режима на фирме сотрудниками, посетителями;
 проведение мероприятий по правовому и организационному регулированию
отношений на фирме по защите предпринимательской тайны и экономической
безопасности;
 участие в разработке основных нормативных документов (инструкций,
положений), устанавливающих порядок и принципы защиты
предпринимательской тайны;
 участие в разработке должностных инструкций, обязанностей
руководителей подразделений, специалистов, всех категорий работников;
 обеспечение сохранности документов, содержащих сведения, являющиеся
коммерческой тайной, прекращения их хищения или передачи сведений
заинтересованным лицам иными способами;
 организация проведения служебных расследований по фактам разглашения
сведений, составляющих предпринимательскую тайну, потерь документов и
других нарушений безопасности фирмы, а также и другие функции, которые
должны быть установлены в положении о службе безопасности, утвержденном
руководителем фирмы.
В состав механизма защиты предпринимательской тайны и безопасности

фирмы входят следующие подсистемы: правовое обеспечение тайны,
7
правоведение организационной защиты, осуществление инженерно-технической
защиты, мотивация в первую очередь тех сотрудников, от поведения которых
зависит утечка сведений, составляющих предпринимательскую тайну; усиление
различных форм ответственности за разглашение сведений, наносящих
экономический ущерб фирме и другие.
Особое значение имеет организация инженерно-технической защиты, которая
представляет собой совокупность специальных инженерно-технических средств,
применение которых обеспечивает безопасность фирмы, ее имущества, ресурсов,
а также сведений о деятельности фирмы.
Основным документом для определения базового набора требований к
обеспечению защиты информации ограниченного доступа, не содержащей
сведения, составляющие государственную тайну, от утечки является «Приказ
ФСТЭК России от 11 февраля 2013 г. N 17 (в ред. Приказа ФСТЭК России от
15.02.2017 N 27)» (далее Приказ №17). Алгоритм выбора мер защиты, с учётом
требований вышеуказанного документа, будет состоять из следующих
методических модулей:
1. Получение исходных данных, см. приложение 1, 2.
2. Определение перечня актуальных угроз и их типа.
3. Выбор класса защищённости информационной системы (далее ИС).
4. Определение базового набора мер.
5. Адаптация набора мер.
6. Уточнение перечня мер.
7. Дополнение требований.
Приказ позволяет гибко подходить к выбору мер защиты, что отражено на
схеме определения организационно-технические мер по защите информации, см.
рисунок 1.
8
Определен
ие угроз по
Опреде Методике
определени
ление я угроз
модели Проект
угроз ФСТЭК Перечень
2015
актуальн Наличие
ых ПДн
угроз
Уровень Перечень
значимости базовых
информации Класс Дополнит
мероприят Уточнён-
защищё ельные
ий по ный
нности требовани
Приказу набор мер
Масштаб ИС ИС я
№17
ФСТЭК
Перечень мероприятий по
защите ИС
Рисунок 1. Схема определения состава организационно-технические мер по

защите информации.
Содержание методических модулей алгоритма выбора мер защиты:

 получение исходных данных. На данном этапе собираются такие
сведения ИС как:
 масштаб ИС;
 уровень значимости информации;
 перечень возможных угроз;
9
 модель нарушителя;
 требования иных нормативных документов;
 наличие персональных данных в ИС (если есть, то указать уровень
защищённости).
 определение перечня актуальных угроз и их типа. Угрозы безопасности
информации определяются по результатам исследований:
 оценка возможностей нарушителей. В данном случае учитывается
потенциал, оснащенность и мотивация нарушителей;
 анализ возможных уязвимостей ИС;
 анализ возможных способов реализации угроз безопасности
информации;
 анализ возможных последствий от нарушения свойств безопасности
информации. Рассматриваются нарушения основных свойств
информации: конфиденциальности, целостности, доступности.
При определении угроз безопасности информации учитываются
следующие характеристики ИС:
 структура ИС;
 состав ИС;
 физические, логические, функциональные и технологические
взаимосвязи между частями ИС, взаимосвязи с другими
информационными системами;
 режимы обработки информации как в самой ИС так и в её отдельных
сегментах;
 применяемые информационные технологии;
 особенности функционирования ИС;
 иные характеристики ИС.
 выбор класса защищённости ИС. Классификация информационной
системы производится в зависимости от двух показателей:
 значимость информации, обрабатываемой в ИС;
10
 масштаб ИС.
Уровень значимости информации определяется в зависимости от степени
возможного ущерба от нарушения свойств информации:
 конфиденциальности (учитываются неправомерный доступ,
неправомерное копирование, неправомерное предоставление или
распространение информации);
 целостности (учитываются неправомерное уничтожение информации,
неправомерное модифицирование информации);
 доступности (учитывается неправомерное блокирование
информации).
В Приказе содержится три класса защищенности ИС, которые определяют
уровни защищенности (УЗ) содержащейся в ней информации. Самый
высокий класс – первый, самый низкий – четвёртый:
 УЗ 1;
 УЗ 2;
 УЗ 3.
Класс защищенности ИС определяется по приложению № 1, таблица
[Приказ №17]. Если ИС состоит из отдельных сегментов, то класс
защищённости определяется для каждой составной части.
Для определения масштаба ИС Приказом установлены три критерия:
 федеральный;
 региональный;
 объектовый.
 определение базового набора мер. Требования к системе защиты
информации ИС определяются по приложению 2 [Приказ №17] в
зависимости от класса защищенности ИС. Также учитываются
требования к защите информации, содержащейся в ИС, с учетом ГОСТ Р
51583 и ГОСТ Р 51624.
11
Согласно Приложению 2 [Приказ № 17] организационные и технические
меры защиты информации, реализуемые в ИС должны обеспечивать:
 идентификацию и аутентификацию субъектов и объектов доступа;
 управление доступом;
 ограничение программной среды;
 защиту машинных носителей информации;
 регистрацию событий безопасности;
 антивирусную защиту;
 обнаружение вторжений;
 контроль защищенности информации;
 целостность информационной системы и информации;
 доступность информации;
 защиту среды виртуализации;
 защиту технических средств;
 защиту ИС, ее средств, систем связи и передачи данных.
Реализация подобного алгоритма выбора мер защиты, способного
моделировать и оптимизировать инженерно-техническую защиту
информационной системы, позволит:
 повысить качество проектных решений;
 оптимизировать выбор средств защиты информации;
 уменьшить время на проектирование системы защиты.
Описанный алгоритм может применяться при проектировании систем
защиты информации в ИС в государственных учреждениях и коммерческих
организациях.
Лабораторная работа № 1
Тема: «Определение состава защищаемой информации в СЗИ»
12
Цель работы: Изучить порядок создания перечня информации подлежащего
защите.
1. Теоретическая часть
1.1. Формирование сведений, подлежащих защите
Постановка этой проблемы позволяет правильно решить вопрос о формах

организации защиты тайны, определить затраты на охрану. Поэтому
предпринимателю необходимо установить основной перечень сведений
(информации), составляющих предпринимательскую тайну, распределить их по
категориям важности в зависимости от ценности для фирмы, характера и размера
ущерба, который может быть нанесен фирме при разглашении этих сведений. Но,
с другой стороны, излишние меры по ограничению доступа к информации могут
осложнить взаимоотношения фирмы с хозяйствующими партнерами, приведут к
неоправданным потерям. Защита информации должна способствовать росту
прибыли от деятельности фирмы.
Для формирования перечня сведений, подлежащих защите, целесообразно
создать группу из следующих специалистов: занимающихся финансовыми
вопросами, конъюнктурой рынка и сведениями о конкурентах, занимающихся
связями с другими организациями, ведущими разработку новых видов товаров,
обладающих высокой конкурентоспособностью, юриста и др. Можно привлечь к
этой работе сторонних экспертов, но не следует им раскрывать все конкретные
сведения, составляющую предпринимательскую тайну.
В зависимости от вида осуществляемой деятельности, сферы
предпринимательства, поставленной цели перечень сведений может изменяться.
Так, должны иметь защиту сведения: технологического характера -
конструкторская документация, чертежи, схемы; описания технологических
испытаний; точные данные конструкционных характеристик создаваемой
продукции и характеры разрабатываемых технологических процессов; сведения о
материалах, из которых изготовлены отдельные детали; описания новых
13
технологических процессов; используемые новые приборы, станки, оборудование;
рецептура создаваемых продуктов и др.; научно-технического характера - идеи,
открытия, изобретения; ноу-хау; патенты; промышленные образцы; отдельные
формулы; новые методы организации производства и труда; тематика важнейших
научных исследований; результаты научных исследований; программное
обеспечение ЭВМ и другие научные разработки; делового характера - сведения о
заключенных договорах (контрактах); о подготовленных к заключению
договорах; данные о поставщиках ресурсов и клиентах (потребителях); обзоры
рынка, материалы маркетинговых исследований; информация о
конфиденциальных переговорах; калькуляция себестоимости товаров, структуры
и размер цен, уровень планируемой прибыли; планы инвестиций; стратегические
планы развития фирмы; данные об отдельных категориях персонала фирмы и
другие сведения.
По мере изменения характера деятельности фирмы перечень сведений,
составляющих предпринимательскую тайну, должен изменяться. Данный
перечень должен быть в установленном порядке доведен до сотрудников. При
этом необходимо установить меры заинтересованности ответственных
исполнителей за сохранение предпринимательской тайны, а также
ответственности при ее утечке по вине отдельных работников.
В перечне сведений конфиденциального характера необходимо указание
типов документов, где возможно появление сведений конфиденциального
характера. Пример документов, содержащих персональные данные работника:
анкета, автобиография, личный листок по учету кадров, заявление о приеме;
копия паспорта или иного документа, удостоверяющий личность; трудовая
книжка; трудовой договор; документы воинского учета; копии документов об
образовании, квалификации и наличии специальных знаний, страхового
свидетельства государственного пенсионного страхования; справка о доходах с
предыдущего места работы. Содержать персональную информацию могут также:
приказы по личному составу, личная карточка работника, докладные и
14
аналитические записки, материалы служебных проверок и расследований, иные
документы, представляемые работником (справки, резюме, грамоты и др.).
2. Задание.
1) Для объекта защиты, назначенного преподавателем из приложения 2,

отработать перечень сведений, подлежащих защите. Для формирования перечня
сведений использовать Примерный перечень сведений, составляющих
коммерческую тайну предприятия, налоговую тайну, служебную тайну и т.д.
использовать из приложения 3. Перечень сведений оформить в соответствии с
формой приложение 5.
3. Содержание отчёта и его форма
Отчёт выполняется каждым студентом индивидуально. Работа должна быть

оформлена в электронном виде в формате .doc и распечатана на листах формата
А4.
На титульном листе указываются: наименование учебного учреждения,

наименование дисциплины, название и номер работы, вариант, выполнил:
фамилия, имя, отчество, студента, курс, группа, проверил: преподаватель ФИО.
4. Контрольные вопросы
1) Что является объектами защиты в информационной системе.
2) Перечислите мероприятия для обеспечения защиты информации,
содержащейся в информационной системе.
3) Что входит в перечень сведений конфиденциального характера?
4) Перечислите этапы разработки СЗИ.
15
Тема: «Разработка пространственной модели объекта информационной
защиты»
Цель работы: Изучение основных понятий и определений. Модель объекта

информационной защиты.
Пространственная модель объекта - это модели пространственных зон с
указанным месторасположением источников защищаемой информации.
План помещения представлен на графическом рисунке согласно задания
преподавателя. На плане указаны двери, окна, расположение рабочих мест,
персональных компьютеров, локальная сеть. На плане этажа показаны
расположение контрольно-пропускных пунктов, способ подхода к объекту места
подведения кабелей, способных передавать защищаемую информацию.
Информация по описанию объекта защиты структурирована в таблицу 1.
При разработке и построении комплексной системы защиты информации в

компьютерных системах необходимо придерживаться определенных
методологических принципов проведения исследований, проектирования,
производства, эксплуатации и развития таких систем. Системы защиты
информации относятся к классу сложных систем и для их построения могут
использоваться основные принципы построения сложных систем с учетом
специфики решаемых задач:
 параллельная разработка КС и СЗИ;
 системный подход к построению защищенных КС;
 многоуровневая структура СЗИ;
 иерархическая система управления СЗИ;
 блочная архитектура защищенных КС;
 возможность развития СЗИ;
16
 дружественный интерфейс защищенных КС с пользователями и
обслуживающим персоналом.
2. Методика и порядок выполнения работы.
На данном занятии студенты разрабатывают пространственную модель

защищаемой информации.
1) Для объекта защиты, назначенного преподавателем из приложения 2,

разработать Пространственную модель объекта информационной защиты –
табличное описание пространственных зон с указанием месторасположения
источников защищаемой информации. Источником для получения
пространственной модели является разработанный ранее перечень сведений,
подлежащих защите. При составлении модели использовать таблицу 1.
Таблица Ошибка! Текст указанного стиля в документе отсутствует..
Пространственная модель защищаемого объекта
№ Наименование
эл. элемента
Характеристики пространственной зоны
пространственной
зоны
1 Название объекта
2 Количество
занимаемых
этажей
3 Граница
контролируемой
зоны (на плане
объекта)
4 Система охраны
5 СКУД
17
6 Компьютерная Материально-техническая база:
система - структура
- марка, кол-во ПК, серверов
- наименование, кол-во сетевого оборудования
- режим пользования
- кол-во точек подключения к сети МИО
Программное обеспечение:
- Системное ПО
- Прикладное ПО
- Средства защиты
1) Методика определения состава защищаемой информации в СЗИ.
2) Перечислите метки конфиденциальности, не относящиеся к государственной
тайне.
3) Перечислите носители защищаемой информации на предприятии.
Тема: «Разработка структурной модели защищаемой информации»
Цель работы: Изучение основных понятий и определений. Модель защиты

информации.
использоваться основные принципы построения сложных систем с учетом
специфики решаемых задач:
 параллельная разработка КС и СЗИ;
 системный подход к построению защищенных КС;
 многоуровневая структура СЗИ;
 иерархическая система управления СЗИ;
 блочная архитектура защищенных КС;
 возможность развития СЗИ;
18
 дружественный интерфейс защищенных КС с пользователями и
обслуживающим персоналом.
Первый из приведенных принципов построения СЗИ требует проведения

одновременной параллельной разработки КС и механизмов защиты. Только в
этом случае возможно эффективно обеспечить реализацию всех остальных
принципов. Причем в процессе разработки защищенных КС должен соблюдаться
разумный компромисс между созданием встроенных неразделимых механизмов
защиты и блочных унифицированных средств и процедур защиты. Только на
этапе разработки КС можно полностью учесть взаимное влияние блоков и
устройств собственно КС и механизмов защиты, добиться системности защиты
оптимальным образом.
Принцип системности является одним из основных концептуальных и
методологических принципов построения защищенных КС. Он предполагает:
 анализ всех возможных угроз безопасности информации;
 обеспечение защиты на всех жизненных циклах КС;
 защиту информации во всех звеньях КС;
 комплексное использование механизмов защиты.
Потенциальные угрозы выявляются в процессе создания и исследования
модели угроз. В результате исследований должны быть получены данные о
возможных угрозах безопасности информации, о степени их опасности и
вероятности реализации. При построении СЗИ учитываются потенциальные
угрозы, реализация которых может привести к существенному ущербу и
вероятность таких событий не является очень близкой к нулю.
Защита ресурсов КС должна осуществляться на этапах разработки,
производства, эксплуатации и модернизации, а также по всей технологической
цепочке ввода, обработки, передачи, хранения и выдачи информации. Реализация
этих принципов позволяет обеспечить создание СЗИ, в которой отсутствуют
слабые звенья как на различных жизненных циклах КС, так и в любых элементах
и режимах работы КС.
Механизмы защиты, которые используются при построении защищенных
систем, должны быть взаимоувязаны по месту, времени и характеру действия.
Комплексность предполагает также использование в оптимальном сочетании
различных методов и средств защиты информации: технических, программных,
криптографических, организационных и правовых. Любая, даже простая СЗИ
является комплексной.
Система защиты информации должна иметь несколько уровней,
перекрывающих друг друга, т. е. такие системы целесообразно строить по
19
принципу построения матрешек:
1) охрана по периметру территории объекта;

2) охрана по периметру здания;
3) охрана помещения;
4) защита аппаратных средств;
5) защита программных средств;
6) защита информации.
На данном занятии студенты разрабатывают графическую модель

Моделирование состоит в анализе на основе пространственных моделей
возможных путей распространения информации за пределы контролируемой
зоны.
Для объекта защиты, назначенного преподавателем из приложения 2,
строится структурная модель защищаемой информации. Пример структурной
модели для учебного заведения приведен на рисунке 2.
20
Конфиденциальная информация
Об организации О внутренней О внешней

деятельности деятельности
организации организации
- структура - разрабатываемые - партнеры

организации проекты - контракты
- финансы - ПДн сотрудников - сведения о
- обеспечение ИБ в - порядок работы со подготовке к
организации служебной аукционам и участии
… информацией в них
- методические - заказы и поставки
материалы, типовые …
решения
- ключевые идеи
…
Рисунок 2. Структурная модель защищаемой информации
Таким образом, было проведена классификация и структурирование

информации в соответствии с функциями, задачами и структурой организации, в
21
результате чего защищаемая информация была представлена в виде отдельных
элементов информации.
3. Задание.
Для объекта защиты, назначенного преподавателем разработать

графическую модель защищаемой информации по примеру таблицы 2.

А4.
1) Что представляет собой Метка конфиденциальности.
2) Кто может присвоить документу Метку конфиденциальности.
3) Перечислите ограничительные пометы, которые ставятся ниже метки или ниже
адресата на документе.
Тема: «Разработка графической модели защищаемой информации»
Цель работы: Изучение основных понятий и определений. Модель защиты

использоваться основные принципы построения сложных систем.
Гриф конфиденциальности или гриф ограничения доступа к традиционному,
22
машиночитаемому или электронному документу (реквизит 13) представляет собой
элемент (служебную отметку, помету, пометку) формуляра документа,
свидетельствующий о закрытости содержащихся в документе сведений и
проставляемый на самом документе и сопроводительном письме к нему.
Метка конфиденциальности — элемент информации, который
характеризует степень конфиденциальности информации, содержащейся в
объекте доступа. [Домарев В.В. Безопасность информационных технологий.
Системный подход.]
Информация и документы, отнесенные к коммерческой или
производственной тайне, имеют несколько уровней ограничения доступа,
соответствующих различным степеням конфиденциальности информации.
К первому массовому уровню относятся метки “Конфиденциально”,
“Конфиденциальная информация”. Не следует ставить метку “Коммерческая
тайна”, т.к. меткой обозначается не вид тайны, а характер ограничения доступа к
документу.
Второй уровень, достаточно редкий, он распространяется на метке “Строго
конфиденциально”, “Строго конфиденциальная информация”,
“Конфиденциально. Особый контроль”. Эта метка присваивается документу
лично первым руководителем учреждения, фирмы, который изменяет или
отменяет его. Использование и хранение документов с этой меткой также
организуется первым руководителем с возможным привлечением руководителя
службы контроля доступа (КД).
На документах, содержащих сведения, отнесенные к служебной тайне,
ставится метка “Для служебного пользования”.
Гриф ограничения доступа не сокращается по написанию. Проставляется без
кавычек на верхнем поле документа с правой стороны бланка или на первом и
титульном листах документа, а также на обложке дела (тома) в правом верхнем
углу. На электронных документах и документах, записанных на любых
машинным носителях, гриф обозначается на всех листах. Под обозначением грифа
указывается номер экземпляра документа, срок действия метки и условия её
снятия. Например:
Конфиденциально
Экз. № 2
До окончания исполнения

Ниже метки или ниже адресата могут обозначаться ограничительные пометы
типа “Лично”, “Только в руки”, “Только адресату”, “Лично в руки”. При
регистрации конфиденциальных документов к его номеру добавляется
сокращенное обозначение метки конфиденциальности, например, №№ 37к, 89ск,
23
97дсп.
Документы и информация, конфиденциальные в целом, в своей массе
(например, документация кадровой службы, службы безопасности, документы,
отнесенные к профессиональной тайне), как правило, не маркируются, потому что
в полном объеме обладают строгим ограничением доступа к ним персонала.
На ценных, но не конфиденциальных документах может проставляться
помета (надпись, штамп), предполагающая особое внимание к сохранности таких
документов, например, “Собственная информация учреждения фирмы”,
“Информация особого внимания”, “Копии не снимать”, “Хранить в сейфе”. Может
ставиться штамп, что данная информация без согласия фирмы не может быть
использована в каких-либо коммерческих целях и по миновании надобности
должна быть возвращена собственнику. Метку или штамп обязательно
проставляют при направлении конфиденциальной для фирмы информации в
государственные учреждения, которые обязаны держать ее в тайне.
Метка конфиденциальности присваивается документу:
1. исполнителем при подготовке проекта документа;
2. руководителем структурного подразделения (направления деятельности)
или руководителем учреждения, фирмы при согласовании или подписании
документа;
3. работником службы КД при первичной обработке поступающих
документов, если конфиденциальный для учреждения, фирмы документ не
имеет метки ограничения доступа.
Изменение или снятие метки конфиденциальности документа производится
при изменении степени конфиденциальности и ценности содержащихся в нем
сведений. Основаниями для этих действий являются соответствующая
корректировка перечней конфиденциальных сведений или документов фирмы,
истечение установленного срока действия метки, наличие события, при котором
метка должна быть изменена или снята (например, опубликование ноу-хау в
печати, патентование изобретения и др.); установление факта ошибочности
присвоения метки документу.
На данном занятии студенты разрабатывают графическую модель

Моделирование состоит в анализе на основе пространственных моделей
возможных путей распространения информации за пределы контролируемой
зоны.
24
Пример графической модели для государственного учреждения приведена в
таблице 2.
Таблица 2.
Графическая структура защищаемой информации государственного учреждения
Степень
Наименование Место нахождения
№ конфиден- Источник
источника источника
п\п циальност информации
информации информации
и (метка)
1 2 3 4 5
Устав предприятия,
учредительная Сейф с секретными
Структура
1.1 - документация документами, кабинет
организации
(документы на проректора
бумажных носителях)
Сейф с секретными
Контракты, отчёты
документами, кабинет
(документы на
проректора, ПЭВМ
1.2 Финансы ДСП бумажных и
кабинет
электронных
проректора/гл.
носителях, БД)
бухгалтера
Характеристики Документы на
ПЭВМ кабинет
1.3 разрабатываемых ДСП электронных
проректора
проектов носителях
Документы на
Планы и
электронных ПЭВМ кабинет
1.4 программы ДСП
носителях. Персонал проректора
развития
организации
Персональные Документы на
1.5 данные ПДн электронных и ПЭВМ, сейф
сотрудников бумажных носителях
Руководство Сейф с секретными

организации, документами, кабинет
1.6 Партнеры ДСП
документы на проректора, рабочий
бумажных носителях стол ректора
Сейф с секретными
Переговоры и Документы на документами, кабинет
1.7 ДСП
соглашения бумажных носителях проректора, рабочий
стол ректора
Как видно из граф структуры в основном это бумажные и электронные

документы, а также речевая информация, содержащаяся в беседах сотрудников и
телефонных разговорах.
Таким образом, было проведена классификация и структурирование
информации в соответствии с функциями, задачами и структурой организации, в
результате чего защищаемая информация была представлена в виде отдельных
элементов информации.
25
3. Задание.
Для объекта защиты, назначенного преподавателем разработать

графическую модель защищаемой информации по примеру таблицы 2.

А4.
1) В чём заключается системный подход к построению защищенных КС.
2) Перечислите механизмы защиты информации.
3) Какие уровни защищенности (УЗ) ИС содержащейся в ней информации вы
знаете?
4) Какие задачи решаются при построении системы защиты?
Тема: «Определение класса защищённости информационной системы»
Цель работы: освоить методику определения класса ИС.
Данное задание предполагает использование документа Приказ ФСТЭК
России от 11 февраля 2013 г. N 17 (в ред. Приказа ФСТЭК России от 15.02.2017 N
27)».
1.1 Определение класса защищённости информационной системы

Классификация информационной системы проводится в зависимости от
значимости, обрабатываемой в ней информации и масштаба информационной
системы (федеральный, региональный, объектовый).
Устанавливаются три класса защищенности информационной системы,
определяющие уровни защищенности, содержащейся в ней информации. Самый
26
низкий класс – третий, самый высокий – первый.
Класс защищенности (К) = [уровень значимости информации; масштаб системы].
Уровень значимости информации определяется степенью возможного

ущерба для обладателя информации (заказчика) и (или) оператора от нарушения
конфиденциальности (неправомерные доступ, копирование, предоставление или
распространение), целостности (неправомерные уничтожение или
модифицирование) или доступности (неправомерное блокирование) информации.
УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба)

(доступность, степень ущерба)],
где степень возможного ущерба определяется обладателем информации

(заказчиком) и (или) оператором самостоятельно экспертным или иными
методами и может быть:
 ВЫСОКОЙ, если в результате нарушения одного из свойств безопасности

информации (конфиденциальности, целостности, доступности) возможны
существенные негативные последствия в социальной, политической,
международной, экономической, финансовой или иных областях деятельности и
(или) ГИС и (или) оператор (обладатель информации) не могут выполнять
возложенные на них функции;
 СРЕДНЕЙ, если в результате нарушения одного из свойств безопасности
умеренные негативные последствия в социальной, политической, международной,
экономической, финансовой или иных областях деятельности и (или) ГИС и (или)
оператор (обладатель информации) не могут выполнять хотя бы одну из
возложенных на них функций;
 НИЗКОЙ, если в результате нарушения одного из свойств безопасности
незначительные негативные последствия в социальной, политической,
международной, экономической, финансовой или иных областях деятельности и
(или) ГИС и (или) оператор (обладатель информации) могут выполнять
возложенные на них функции с недостаточной эффективностью или выполнение
функций возможно только с привлечением дополнительных сил и средств.
Присвоение уровня значимости:
27
Информация имеет высокий уровень значимости (УЗ 1), если хотя бы для
одного из свойств безопасности информации (конфиденциальности, целостности,
доступности) определена высокая степень ущерба.
Информация имеет средний уровень значимости (УЗ 2), если хотя бы для одного
из свойств безопасности информации (конфиденциальности, целостности,
доступности) определена средняя степень ущерба и нет ни одного свойства, для
которого определена высокая степень ущерба.
Информация имеет низкий уровень значимости (УЗ 3), если для всех свойств
безопасности информации (конфиденциальности, целостности, доступности)
определены низкие степени ущерба.
При обработке в ГИС двух и более видов информации (служебная тайна,

налоговая тайна и иные установленные законодательством Российской Федерации
виды информации ограниченного доступа) уровень значимости информации (УЗ)
определятся отдельно для каждого вида информации. Итоговый уровень
значимости информации, обрабатываемой в ГИС, устанавливается по наивысшим
значениям степени возможного ущерба, определенным для конфиденциальности,
целостности, доступности информации каждого вида информации.
Определение масштаба системы:

Информационная система имеет федеральный масштаб, если она
функционирует на территории Российской Федерации (в пределах федерального
округа) и имеет сегменты в субъектах Российской Федерации, муниципальных
образованиях и (или) организациях.
Информационная система имеет региональный масштаб, если она функционирует
на территории субъекта Российской Федерации и имеет сегменты в одном или
нескольких муниципальных образованиях и (или) подведомственных и иных
организациях.
Информационная система имеет объектовый масштаб, если она
функционирует на объектах одного федерального органа государственной власти,
органа государственной власти субъекта Российской Федерации, муниципального
образования и (или) организации и не имеет сегментов в территориальных
органах, представительствах, филиалах, подведомственных и иных организациях.
Класс защищенности информационной системы определяется в соответствии

с таблицей 3.
Класс защищенности определяется для информационной системы в целом и,
при необходимости, для ее отдельных сегментов (составных частей). Требование
к классу защищенности включается в техническое задание на создание
28
информационной системы и (или) техническое задание (частное техническое
задание) на создание системы защиты информации информационной системы,
разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс
стандартов на автоматизированные системы. Техническое задание на создание
автоматизированной системы» (далее – ГОСТ 34.602), ГОСТ Р 51583 и ГОСТ Р
51624.
Класс защищенности информационной системы подлежит пересмотру при
изменении масштаба информационной системы или значимости обрабатываемой
в ней информации.
Класс защищенности информационной системы определяется в соответствии
с таблицей 3.
Таблица 3.
Определение класса защищенности информационной системы.
Уровень Масштаб информационной системы

значимости
информации Федеральный Региональный Объектовый
УЗ 1 К1 К1 К1
УЗ 2 К1 К2 К2
УЗ 3 К2 К3 К3
При обработке персональных данных в информационной системе

определение класса защищенности информационной системы осуществляется с
учетом требуемого уровня защищенности персональных данных, установленного
в соответствии с «Требованиями к защите персональных данных при их обработке
в информационных системах персональных данных», утвержденными
постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.
При этом в соответствии с пунктом 27 Требований, утвержденных приказом
N 17, должно быть обеспечено соответствующее соотношение класса
защищенности государственной информационной системы с уровнем
защищенности персональных данных. В случае, если определенный в
установленном порядке уровень защищенности персональных данных выше, чем
установленный класс защищенности государственной информационной системы,
то осуществляется повышение класса защищенности до значения,
обеспечивающего выполнение пункта 27 Требований, утвержденных приказом N
17.
Результаты классификации информационной системы оформляются актом
классификации, смотри приложение 6.
29
На данном занятии студенты:

- изучают документ «Приказ ФСТЭК России от 11 февраля 2013 г. N 17 (в ред.
Приказа ФСТЭК России от 15.02.2017 N 27)»;
- определяют класс защищенности информационной системы по табл. 3;
- оформляют акт классификации, смотри приложение 6.
3. Задание.
Для объекта защиты, назначенного преподавателем, студенты определяют

класс защищенности информационной системы по таблице 3.

А4.
1) Опишите методику классификации информационной системы.
2) Перечислите классы защищенности информационной системы.
3) Как определяется уровень значимости информации?
4) Перечислите степени возможного ущерба обладателя информации.
Лабораторная работа № 6.
Тема: Определение уровня проектной защищенности информационной
системы
Цель работы: освоить методику определения актуальных угроз безопасности

30
Данное занятие предполагает использование документа ФСТЭК России
«Методика определения угроз безопасности информации в информационных
системах. Проект» 2015 года.
1.1 Модель угроз безопасности информации должна содержать описание

ГИС и ее структурно-функциональных характеристик, а также описание угроз
безопасности информации, включающее описание возможностей нарушителей
(модель нарушителя), возможных уязвимостей информационной системы,
способов реализации угроз безопасности информации и последствий от
нарушения свойств безопасности информации.
Угрозы безопасности информации (УБИ) определяются по результатам
оценки возможностей (потенциала, оснащенности и мотивации) внешних и
внутренних нарушителей, анализа возможных уязвимостей информационной
системы, возможных способов реализации угроз безопасности информации и
последствий от нарушения свойств безопасности информации
(конфиденциальности, целостности, доступности).
УБИ = [возможности нарушителя; уязвимости ГИС; способ реализации

угрозы; последствия от реализации угрозы].
При определении угроз безопасности информации учитываются структурно-

функциональные характеристики ГИС, применяемые информационные
технологии и особенности (условия) функционирования ГИС. Эффективность
принимаемых мер защиты информации в ГИС зависит от качества определения
угроз безопасности информации для конкретной системы в конкретных условиях
ее функционирования.
Модель угроз безопасности информации представляет собой
формализованное описание угроз безопасности информации для конкретной ГИС
или группы информационных систем в определенных условиях их
функционирования.
1.1.1. Модель нарушителя

Модель нарушителя является составной частью (разделом) модели угроз
безопасности информации и содержит:
типы, виды и потенциал нарушителей, которые могут обеспечить
реализацию угроз безопасности информации;
цели, которые могут преследовать нарушители каждого вида при
реализации угроз безопасности информации;
31
возможные способы реализации угроз безопасности информации.
С учетом наличия прав доступа и возможностей по доступу к информации и
(или) к компонентам информационной системы нарушители подразделяются на
два типа:
внешние нарушители (тип I) – лица, не имеющие права доступа к
информационной системе, ее отдельным компонентам и реализующие угрозы
безопасности информации из-за границ информационной системы;
внутренние нарушители (тип II) – лица, имеющие право постоянного или
разового доступа к информационной системе, ее отдельным компонентам.
Наибольшими возможностями по реализации угроз безопасности обладают

внутренние нарушители. При оценке возможностей внутренних нарушителей
необходимо учитывать принимаемые оператором организационные меры по
допуску субъектов к работе в информационной системе. Возможности
внутреннего нарушителя существенным образом зависят от установленного
порядка допуска физических лиц к информационной системе и ее компонентам, а
также мер по контролю за доступом и работой этих лиц.
Внешнего нарушителя необходимо рассматривать в качестве актуального во
всех случаях, когда имеются подключения информационной системы к внешним
информационно-телекоммуникационным сетям и (или) имеются линии связи,
выходящие за пределы контролируемой зоны, используемые для иных
подключений.
Возможности каждого вида нарушителя по реализации угроз безопасности
информации характеризуются его потенциалом. Потенциал нарушителя
определяется компетентностью, ресурсами и мотивацией, требуемыми для
реализации угроз безопасности информации в информационной системе с
заданными структурно-функциональными характеристиками и особенностями
функционирования.
В зависимости от потенциала, требуемого для реализации угроз безопасности
информации, нарушители подразделяются на:
нарушителей, обладающих базовым (низким) потенциалом нападения при
реализации угроз безопасности информации в информационной системе;
нарушителей, обладающих базовым повышенным (средним) потенциалом
нападения при реализации угроз безопасности информации в информационной
системе;
нарушителей, обладающих высоким потенциалом нападения при
реализации угроз безопасности информации в информационной системе.
32
Потенциал нарушителей и их возможности приведены в документе ФСТЭК
России «Методика определения угроз безопасности информации в
информационных системах. Проект» 2015 года, таблица 2.
1.1.2. Определение актуальных угроз безопасности информации в

информационной системе
Угроза безопасности информации является актуальной (УБИ jА), если для
информационной системы с заданными структурно-функциональными
характеристиками и особенностями функционирования существует вероятность
реализации рассматриваемой угрозы нарушителем с соответствующим
потенциалом и ее реализация приведет к неприемлемым негативным
последствиям (ущербу) от нарушения конфиденциальности, целостности или
доступности информации.
При отсутствии статистических данных о реализации угроз безопасности
информации (возникновении инцидентов безопасности) в информационной
системе и (или) однотипных информационных системах, актуальность угрозы
безопасности информации определяется на основе оценки возможности
реализации угрозы безопасности информации (Yj):
УБИjА = [возможность реализации угрозы (Yj); степень ущерба (Хj)],
где Yj определятся на основе оценки уровня защищенности информационной

системы и потенциала нарушителя, требуемого для реализации угрозы
безопасности. Хj определяется на основе оценок степени последствий от
нарушения конфиденциальности, целостности или доступности информации.
Схема определения актуальных угроз безопасности информации, см. рисунок 3.
33
1 2 4
Уровень Базовая модель угроз
Потен-
проектной безопасности информации
циал
защищен- +
наруши-
ности теля (Y2)
Банк данных угроз
(Y1П) безопасности информации
3 Возможность 5
реализации Степень
угрозы (Yj) ущерба (Хj)
6 Актуальность угрозы безопасности

информации УБИjА
Рисунок 3. Схема определения актуальных угроз безопасности информации.
За более подробной информацией обратиться к документу ФСТЭК России

системах. Проект» 2015 года, глава 4.
2. Методика выполнения работы.
На данном занятии студенты изучают документ ФСТЭК России «Методика

определения угроз безопасности информации в информационных системах.
Проект» 2015 года и далее по Схеме определения актуальных угроз безопасности
информации (Рисунок 3) определяют:
уровень проектной защищенности (Y1П).
2. Порядок выполнения работы.

Согласно методики определения актуальных угроз безопасности
информации (Рисунок 6.3) определяем уровень проектной защищенности (Y 1П).
Y1П определяется на основе анализа проектных структурно-функциональных
характеристик, приведенных в таблице 5.
34
Таблица 5.
Показатели, характеризующие проектную защищенность информационной
системы
Структурно-функциональные характеристики Уровень проектной защищенности

информационной системы, условия ее информационной системы (Y1П)
эксплуатации Высокий Средний Низкий
1. По структуре информационной системы:
автономное автоматизированное рабочее место; +
локальная информационная система; +
распределенная информационная система +
2. По используемым информационным
технологиям:
системы на основе виртуализации; +
системы, реализующие «облачные вычисления»; +
системы с мобильными устройствами; +
системы с технологиями беспроводного доступа; +
грид-системы; +
суперкомпьютерные системы +
3. По архитектуре информационной системы:
системы на основе «тонкого клиента»; +
системы на основе одноранговой сети; +
файл-серверные системы; +
центры обработки данных; +
системы с удаленным доступом пользователей; +
использование разных типов операционных +
систем (гетерогенность среды);
использование прикладных программ, +
независимых от операционных систем;
использование выделенных каналов связи +
4. По наличию (отсутствию) взаимосвязей с
иными информационными системами:
взаимодействующая с системами; +
невзаимодействующая с системами +
5. По наличию (отсутствию) взаимосвязей
(подключений) к сетям связи общего пользования: +
подключенная;
подключенная через выделенную инфраструктуру +
(gov.ru или иную);
неподключенной +
6. По размещению технических средств:
расположенные в пределах одной контролируемой +
зоны;
расположенные в пределах нескольких
контролируемых зон; +
расположенные вне контролируемой зоны +
7. По режимам обработки информации в
информационной системе:
35
многопользовательский; +
однопользовательский +
8. По режимам разграничения прав доступа:
без разграничения; +
с разграничением +
9. По режимам разделения функций по
управлению информационной системой:
без разделения; +
выделение рабочих мест для администрирования в +
отдельный домен;
использование различных сетевых адресов; +
использование выделенных каналов для +
администрирования
10. По подходам к сегментированию
информационной системы:
без сегментирования; +
с сегментированием +
В ходе создания информационной системы уровень ее проектной

защищенности (Y1П) определяется следующим образом:
а) информационная система имеет высокий уровень проектной
защищенности (Y1П), если не менее 80% характеристик информационной системы
соответствуют уровню «высокий» (суммируются положительные решения по
второму столбцу, соответствующему высокому уровню защищенности), а
остальные - среднему уровню защищенности (положительные решения по
третьему столбцу);
б) информационная система имеет средний уровень проектной
защищенности (Y1П), если не выполняются условия по пункту а) и не менее 90%
характеристик информационной системы соответствуют уровню не ниже
«средний» (берется отношение суммы положительных решений по третьему
столбцу, соответствующему среднему уровню защищенности, к общему
количеству решений), а остальные - низкому уровню защищенности;
в) информационная система имеет низкий уровень проектной
защищенности (Y1П), если не выполняются условия по пунктам а) и б).
3. Задание.
Для объекта защиты, назначенного преподавателем:

- определить уровень проектной защищенности информационной системы.
36
А4.
1) Классифицируйте угрозы безопасности информации.
2) Перечислите грифы секретности, относящиеся к государственной тайне.
3) Перечислите источники угроз на предприятии.
Тема: Разработка модели нарушителя
Цель работы: освоить методику определения угроз безопасности

информации (Рисунок 6.3) последовательно определяем:
 Потенциал нарушителя (Y2);
 Возможность реализации угрозы (Yj).
1) Потенциал нарушителя (Y2).

Определяется виды нарушителя и их возможные цели реализации угроз
безопасности информации на примере таблицы 4.
Таблица 4.
Пример модели нарушителей
Возможные цели (мотивация)

№ Виды Типы
реализации угроз безопасности
вида нарушителя нарушителя
информации
1 Специальные службы Внешний, Нанесение ущерба государству,
иностранных внутренний отдельным его сферам деятельности или
государств (блоков секторам экономики. Дискредитация или
37
государств) дестабилизация деятельности органов
государственной власти, организаций
2 Террористические, Внешний Нанесение ущерба государству,
экстремистские отдельным его сферам деятельности или
группировки секторам экономики. Совершение
террористических актов. Идеологические
или политические мотивы.
Дестабилизация деятельности органов
государственной власти, организации.
3 Преступные группы Внешний Причинение имущественного ущерба
(криминальные путем мошенничества или иным
структуры) преступным путем. Выявление
уязвимостей с целью их дальнейшей
продажи и получения финансовой
выгоды
4 Внешние субъекты Внешний Идеологические или политические
(физические лица) мотивы. Причинение имущественного
ущерба путем мошенничества или иным
преступным путем. Любопытство или
желание самореализации
(подтверждение статуса). Выявление
выгоды
5 Конкурирующие Внешний Получение конкурентных преимуществ.
организации Причинение имущественного ущерба
путем обмана или злоупотребления
доверием
6 Лица, привлекаемые для Внутренний Причинение имущественного ущерба
установки, наладки, путем обмана или злоупотребления
монтажа, доверием. Непреднамеренные,
пусконаладочных и неосторожные или
иных видов работ неквалифицированные действия
7 Лица, обеспечивающие Внутренний Причинение имущественного ущерба
функционирование путем обмана или злоупотребления
информационных доверием. Непреднамеренные,
систем или неосторожные или
обслуживающие неквалифицированные действия
инфраструктуру
оператора
(администрация,
охрана, уборщики и
т.д.)
8 Пользователи Внутренний Причинение имущественного ущерба
информационной путем мошенничества или иным
системы преступным путем. Любопытство или
желание самореализации
(подтверждение статуса). Месть за ранее
совершенные действия.
Непреднамеренные, неосторожные или
неквалифицированные действия
38
9 Администраторы Внутренний Причинение имущественного ущерба
информационной путем мошенничества или иным
системы и преступным путем. Любопытство или
администраторы желание самореализации
безопасности (подтверждение статуса). Месть за ранее
совершенные действия. Выявление
выгоды. Непреднамеренные,
неосторожные или
неквалифицированные действия
10 Бывшие работники Внешний Причинение имущественного ущерба
(пользователи) путем мошенничества или иным
преступным путем. Месть за ранее
совершенные действия
В зависимости от потенциала (Y2), требуемого для реализации угроз
безопасности информации, нарушители подразделяются на:
 нарушителей, обладающих базовым (низким) потенциалом нападения при
реализации угроз безопасности информации в информационной системе;
 нарушителей, обладающих базовым повышенным (средним) потенциалом
нападения при реализации угроз безопасности информации в информационной
системе;
 нарушителей, обладающих высоким потенциалом нападения при
реализации угроз безопасности информации в информационной системе.
Потенциал нарушителя (Y2) определен экспертной комиссией как
Нарушители с базовым (низким) потенциалом.
2) Возможность реализации угрозы (Yj). Под вероятностью реализации

угрозы безопасности информации понимается определяемый экспертным путем
показатель, характеризующий, насколько вероятным является реализация j-ой
угрозы безопасности информации в информационной системе с заданными
структурно-функциональными характеристиками и особенностями
функционирования. Вводятся три вербальные градации этого показателя:
– низкая вероятность – отсутствуют объективные предпосылки к
реализации j-ой угрозы безопасности информации, отсутствует требуемая
статистика по фактам реализации j-ой угрозы безопасности информации
(возникновения инцидентов безопасности), отсутствует мотивация для
реализации j-ой угрозы, возможная частота реализации j-ой угрозы не превышает
1 раза в 5 лет;
– средняя вероятность – существуют предпосылки к реализации j-ой угрозы
безопасности информации, зафиксированы случаи реализации j-ой угрозы
безопасности информации (возникновения инцидентов безопасности) или имеется
39
иная информация, указывающая на возможность реализации j-ой угрозы
безопасности информации, существуют признаки наличия у нарушителя
мотивации для реализации такой угрозы, возможная частота реализации j-ой
угрозы не превышает1 раза в год;
– высокая вероятность – существуют объективные предпосылки к
реализации j-ой угрозы безопасности информации, существует достоверная
статистика реализации j-ой угрозы безопасности информации (возникновения
инцидентов безопасности) или имеется иная информация, указывающая на
высокую возможность реализации j-ой угрозы безопасности информации, у
нарушителя имеются мотивы для реализации j-ой угрозы, частота реализации j-ой
угрозы – чаще 1 раза в год.
Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].
Возможность реализации j-ой угрозы безопасности информации (Yj)

определяется из уровня проектной защищенности (Y1П) – исходной защищенность
информационной системы, обусловленной заданными при проектировании
структурно-функциональными характеристиками и условиями ее
функционирования, и потенциала нарушителя (Y2).
В соответствии с таблицей 6 определяем возможность реализации угрозы
безопасности информации.
Таблица 6.
Возможность реализации угрозы безопасности информации (Yj)
Уровень защищённости (Y1/Y1П)

Высокий Средний Низкий
Потенциал нарушителя (Y2)
Базовый (низкий) Низкая Средняя Высокая
Базовый повышенный (средний) Средняя Высокая Высокая
Высокий Высокая Высокая Высокая
Для оценки степени возможного ущерба (Xj) от реализации угрозы

безопасности информации определяются возможный результат реализации угрозы
безопасности информации в информационной системе, вид ущерба, к которому
может привести реализация угрозы безопасности информации, степень
последствий от реализации угрозы безопасности информации для каждого вида
ущерба.
3. Задание.
40
- разработать Модель нарушителя.
- определить возможность реализации угрозы безопасности информации

А4.
1. Дайте содержание понятия нарушитель.
2. В зависимости от потенциала, требуемого для реализации угроз
безопасности информации, нарушители подразделяются на какие
категории?
3. Как определяется Потенциал нарушителя?
4. Какие возможные цели (мотивация) реализации угроз безопасности
информации у конкурирующих организаций?
Тема: Разработка модели угроз безопасности информации
Цель работы: освоить методику определения угроз безопасности


информации (Рисунок 6.3) последовательно определяем:
 Угрозы (j);
 Степень ущерба (Хj);
41
 Актуальность угрозы безопасности информации УБИjА.
1) Базовая модель угроз безопасности информации + Банк данных
угроз безопасности информации. В качестве исходных данных об угрозах
безопасности информации и их характеристиках используется модели угроз
безопасности информации, разрабатываемые ФСТЭК России, представленные в
таблице 6-1.
Таблица 6-1. Базовая модель угроз
Угрозы, j
1. Угрозы от утечки по техническим каналам
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн
носителей информации путем физического доступа к элементам
ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом
обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или
блокирования информации за счет несанкционированного доступа
(НСД) с применением программно-аппаратных и программных
средств (в том числе программно-математических воздействий)
2.2.1. Действия вредоносных программ (вирусов)
2.2.2. Недекларированные возможности системного ПО и ПО для
обработки персональных данных
2.2.3. Установка ПО, не связанного с исполнением служебных
обязанностей
2.3. Угрозы не преднамеренных действий пользователей и
нарушений безопасности функционирования ИСПДн и систем
защиты ПДн в ее составе из-за сбоев в программном обеспечении, а
также от сбоев аппаратуры, из-за ненадежности элементов, сбоев
электропитания и стихийного (ударов молний, пожаров, наводнений
и т. п.) характера
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации
сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
42
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, копирование, модификация,
уничтожение, лицами, не допущенными к ее обработке
2.4.2. Разглашение информации, копирование, модификация,
уничтожение сотрудниками, допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой
из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними
нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними
нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или
типов используемых операционных систем, сетевых адресов
рабочих станций ИСПДн, топологии сети, открытых портов и
служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во
внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ
Банк данных угроз безопасности информации на сайте ФСТЭК России:

https://bdu.fstec.ru
2) Степень ущерба (Хj). Для оценки степени возможного ущерба от
реализации угрозы безопасности информации определяются возможный результат
реализации угрозы безопасности информации в информационной системе, вид
ущерба, к которому может привести реализация угрозы безопасности
информации, степень последствий от реализации угрозы безопасности
информации для каждого вида ущерба.
В качестве результата реализации угрозы безопасности информации
рассматриваются непосредственное или опосредованное воздействие на
конфиденциальность, целостность, доступность информации, содержащейся в
информационной системе.
Степень возможного ущерба определяется экспертным методом в
соответствии с таблицей 8.
43
Таблица 8.
Степень
Характеристика степени ущерба
ущерба
Высокая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступности)
возможны существенные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять возложенные на них функции
Средняя В результате нарушения одного из свойств безопасности
возможны умеренные негативные последствия.
информации) не могут выполнять хотя бы одну из возложенных
на них функций
Низкая В результате нарушения одного из свойств безопасности
возможны незначительные негативные последствия.
информации) могут выполнять возложенные на них функции с
недостаточной эффективностью или выполнение функций
возможно только с привлечением дополнительных сил и средств
При оценке ущерба на основе опроса экспертов (специалистов в области

защиты информации) показатели ущерба для рассматриваемых угроз заносятся в
таблицу 7.
Таблица 7.
Пример таблицы для занесения результатов определения степени возможного
ущерба (Xj).
Степень возможного
Угрозы, j
ущерба, Xj
1.1. Угрозы утечки видовой информации низкая
1.2. Угрозы утечки информации по каналам ПЭМИН низкая
2. Угрозы НСД к информации
2.1. Угрозы уничтожения, хищения аппаратных средств и носителей информации путем
физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ средняя
2.1.2. Кража носителей информации средняя
2.1.3. Кража ключей и атрибутов доступа низкая
44
2.1.4. Кража, модификация, уничтожение информации низкая
2.1.5. Вывод из строя узлов ИСПДн, каналов связи низкая
2.1.6. НСД к перс. данным при техобслуживании (ремонте, низкая
уничтожении) узлов ИСПДн
2.2. Угрозы хищения, несанкционированной модификации или блокирования
информации за счет НСД с применением программно-аппаратных и программных
средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов) средняя
2.2.2. Недекларированные возможности системного ПО и низкая
ПО для обработки персональных данных
2.2.3. Установка ПО, не связанного с исполнением высокая
служебных обязанностей
2.3. Угрозы непреднамеренных действий пользователей и нарушений безопасности ПДн
из-за сбоев в программном обеспечении, а также от угроз не антропогенного и
стихийного характера.
2.3.1. Утрата ключей и атрибутов доступа средняя
2.3.2. Непреднамеренная модификация (уничтожение) низкая
информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты низкая
2.3.4. Сбой электропитания, аварии, отказы, стихийные низкая
бедствия и т.п.
2.4.1. НСД к перс. данным лиц, не допущенных к ее низкая
обработке
2.4.2. НСД к перс. данным лиц, допущенных к ее низкая
обработке
2.5.1.Угроза «Анализ сетевого трафика» с перехватом
передаваемой из ИСПДн и принимаемой из внешних сетей
информации:
2.5.1.1. Перехват за переделами с контролируемой низкая
зоны
2.5.1.2. Перехват в пределах контролируемой зоны низкая
внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны низкая
внутренними нарушителями.
45
2.5.2.Угрозы сканирования, направленные на выявление низкая
типа операционных систем, сетевых адресов рабочих,
топологии сети, открытых портов и служб и т.п.
2.5.3.Угрозы выявления паролей по сети средняя
2.5.4.Угрозы навязывания ложного маршрута сети низкая
2.5.5.Угрозы подмены доверенного объекта в сети низкая
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так низкая
и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании» низкая
2.5.3.Угрозы выявления паролей по сети средняя
2.5.4.Угрозы навязывания ложного маршрута сети низкая
3) Актуальные угрозы безопасности информации в информационной

системе. Решение об актуальности каждой угрозы безопасности информации
УБИjА для информационной системы с заданными структурно-функциональными
характеристиками и условиями функционирования принимается в соответствии с
таблицей 9.
Таблица 9.
Определение актуальности угрозы безопасности информации УБИjА
Вероятность (возможность) Степень возможного ущерба (Хj)
реализации угрозы (Yj) Низкая Средняя высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная
Расчет актуальности угрозы безопасности производится для каждой угрозы

отдельно, пример оформления результатов приведён в таблице 10.
Таблица 10.
Результаты определения актуальности угрозы безопасности УБИjА.
Актуальность
Угрозы, j
угрозы
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации
46
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации
путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом
обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования
информации за счет несанкционированного доступа (НСД) с применением программно-
аппаратных и программных средств (в том числе программно-математических
воздействий)
2.2.1. Действия вредоносных программ (вирусов)
2.2.2. Недекларированные возможности системного ПО и ПО для
обработки персональных данных
2.2.3. Установка ПО, не связанного с исполнением служебных
обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности
функционирования ИСПДн и систем защиты ПДн в ее составе из-за сбоев в
программном обеспечении, а также от сбоев аппаратуры, из-за ненадежности элементов,
сбоев электропитания и стихийного (ударов молний, пожаров, наводнений и т. п.)
характера
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации
сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4.1. Доступ к информации, копирование, модификация,
уничтожение, лицами, не допущенными к ее обработке
2.4.2. Разглашение информации, копирование, модификация,
уничтожение сотрудниками, допущенными к ее обработке
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и
принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
47
2.5.1.2. Перехват в пределах контролируемой зоны внешними
нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними
нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или
типов используемых операционных систем, сетевых адресов
рабочих станций ИСПДн, топологии сети, открытых портов и
служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во
внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ
Перечень актуальных угроз, определенный в таблице 10, и модель

нарушителя составляют частную модель угроз предприятия.
3. Задание.

- определить актуальные угрозы безопасности информации в
информационной системе.

А4.
1) Какая угроза безопасности информации является актуальной угрозой?
2) Как производится расчет актуальности угрозы безопасности?
3) Что понимается под степенью ущерба?
48
4) Какие основные этапы включает в себя методика определения
актуальных угроз безопасности информации?
Тема: «Определение требований к системе защиты информации
информационной системы»
Цель работы: освоить методику определения перечня мер защиты

информации и их базовые наборы для соответствующего класса защищенности
информационной системы.
Теоретическая часть
Требования к системе защиты информации информационной системы
определяются в зависимости от класса защищенности информационной системы и
угроз безопасности информации, включенных в модель угроз безопасности
Требования к системе защиты информации информационной системы
включаются в техническое задание на создание информационной системы и (или)
техническое задание (частное техническое задание) на создание системы защиты
информации информационной системы, разрабатываемые с учетом ГОСТ 34.602,
ГОСТ Р 51583 и ГОСТ Р 51624, и должны в том числе содержать:
 цель и задачи обеспечения защиты информации в информационной системе;
 класс защищенности информационной системы;
 перечень нормативных правовых актов, методических документов и
национальных стандартов, которым должна соответствовать
информационная система;
 перечень объектов защиты информационной системы;
 требования к мерам и средствам защиты информации, применяемым в
информационной системе;
 требования к защите информации при информационном взаимодействии с
иными информационными системами и информационно-
телекоммуникационными сетями, в том числе с информационными
системами уполномоченного лица, а также при применении
вычислительных ресурсов (мощностей), предоставляемых уполномоченным
лицом для обработки информации.
При определении требований к системе защиты информации
информационной системы учитываются положения политик обеспечения
информационной безопасности обладателя информации (заказчика) в случае их
49
разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и
средства обеспечения безопасности. Системы менеджмента информационной
безопасности. Требования», а также политик обеспечения информационной
безопасности оператора и уполномоченного лица в части, не противоречащей
политикам обладателя информации (заказчика).

Изучить нормативные документы: «Приказ ФСТЭК России от 11 февраля
2013 г. N 17 (в ред. Приказа ФСТЭК России от 15.02.2017 N 27)»; Методический
документ «Меры защиты информации в государственных информационных
системах» , утвержден ФСТЭК России 11 февраля 2014 г.
1) выписать перечень мер защиты информации и их базовые наборы для
соответствующего класса защищенности информационной системы на основе
приложения №2 к Приказу ФСТЭК №17. Результат оформить в виде таблицы;
2) произвести адаптацию базового набора мер защиты информации
применительно к структурно-функциональным характеристикам информационной
системы, информационным технологиям, особенностям функционирования
информационной системы (в том числе предусматривающую исключение из
базового набора мер защиты информации мер, непосредственно связанных с
информационными технологиями, не используемыми в информационной системе,
или структурно-функциональными характеристиками, не свойственными
информационной системе);
3) уточнить адаптированный базовый набор мер защиты информации с
учетом не выбранных ранее мер защиты информации, приведенных в приложении
№ 2 к Приказу №17, в результате чего определяются меры защиты информации,
обеспечивающие блокирование (нейтрализацию) всех угроз безопасности
информации, включенных в модель угроз безопасности информации;
4) при необходимости дополнить с учётом требований Приказа ФСТЭК №17;
дополнение уточненного адаптированного базового набора мер защиты
информации мерами, обеспечивающими выполнение требований о защите
информации, установленными иными нормативными правовыми актами в области
защиты информации, в том числе в области защиты персональных данных.
3. Задание.
Определить перечень мер защиты информации для своей информационной
системы.
50
А4.
1) Как производится адаптация набора мер.
2) Как проводится уточнение адаптированного базового набора мер.
3) Как дополняется уточненный адаптированный базовый набор мер.
Тема: «Разработка системы защиты информации Информационной
системы»
Разработка системы защиты информации информационной системы

организуется обладателем информации (заказчиком).
Разработка системы защиты информации информационной системы
осуществляется в соответствии с техническим заданием на создание
информационной системы и (или) техническим заданием (частным техническим
заданием) на создание системы защиты информации информационной системы с
учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на
автоматизированные системы. Автоматизированные системы. Стадии создания»
(далее – ГОСТ 34.601), ГОСТ Р 51583 и ГОСТ Р 51624 и в том числе включает:
 проектирование системы защиты информации информационной системы;
 разработку эксплуатационной документации на систему защиты
информации информационной системы;
 макетирование и тестирование системы защиты информации
информационной системы (при необходимости).
Система защиты информации информационной системы не должна
препятствовать достижению целей создания информационной системы и ее
функционированию.
При разработке системы защиты информации информационной системы
учитывается ее информационное взаимодействие с иными информационными
51
системами и информационно-телекоммуникационными сетями, в том числе с
информационными системами уполномоченного лица, а также применение
вычислительных ресурсов (мощностей), предоставляемых уполномоченным
лицом для обработки информации.
После выбора мер защиты информации:
 определяются виды и типы средств защиты информации, обеспечивающие
реализацию технических мер защиты информации;
 определяется структура системы защиты информации информационной
системы, включая состав (количество) и места размещения ее элементов;
 осуществляется выбор средств защиты информации, сертифицированных
на соответствие требованиям по безопасности информации, с учетом их
стоимости, совместимости с информационными технологиями и
техническими средствами, функций безопасности этих средств и
особенностей их реализации, а также класса защищенности информационной
системы;
 определяются параметры настройки программного обеспечения, включая
программное обеспечение средств защиты информации, обеспечивающие
реализацию мер защиты информации, а также устранение возможных
уязвимостей информационной системы, приводящих к возникновению угроз
безопасности информации.
Результаты проектирования системы защиты информации информационной
системы отражаются в проектной документации (эскизном (техническом) проекте
и (или) в рабочей документации) на информационную систему (систему защиты
информации информационной системы), разрабатываемых с учетом ГОСТ 34.201
«Информационная технология. Комплекс стандартов на автоматизированные
системы. Виды, комплектность и обозначение документов при создании
автоматизированных систем» (далее – ГОСТ 34.201).
Эксплуатационная документация на систему защиты информации
информационной системы разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201 и
ГОСТ Р 51624 и должна в том числе содержать описание:
 структуры системы защиты информации информационной системы;
 состава, мест установки, параметров и порядка настройки средств защиты
информации, программного обеспечения и технических средств;
 правил эксплуатации системы защиты информации информационной
системы.
52
Технические меры защиты информации реализуются посредством
применения средств защиты информации, имеющих необходимые функции
безопасности.
В этом случае в информационных системах 1 и 2 класса защищенности
применяются:
o средства вычислительной техники не ниже 5 класса;
o системы обнаружения вторжений и средства антивирусной защиты
не ниже 4 класса;
o межсетевые экраны не ниже 3 класса в случае
взаимодействия информационной системы с информационно-
телекоммуникационными сетями международного информационного
обмена и не ниже 4 класса в случае отсутствия взаимодействия
информационной системы с информационно- телекоммуникационными
сетями международного информационного обмена.
В информационных системах 3 класса защищенности применяются:
o системы обнаружения вторжений и средства антивирусной защиты не
ниже 4 класса в случае взаимодействия информационной системы с
информационно-телекоммуникационными сетями международного
информационного обмена и не ниже 5 класса в случае отсутствия
взаимодействия информационной системы с
информационно-телекоммуникационными сетями международного
информационного обмена;
o межсетевые экраны не ниже 3 класса в случае взаимодействия
информационной системы с информационно-телекоммуникационными
сетями международного информационного обмена и не ниже 4 класса в
случае отсутствия взаимодействия информационной системы с
информационно- телекоммуникационными сетями международного
информационного обмена.
В информационных системах 4 класса защищенности применяются:
o системы обнаружения вторжений и средства антивирусной защиты не
ниже 5 класса;
o межсетевые экраны не ниже 4 класса.
В информационных системах 1 и 2 классов защищенности применяются
средства защиты информации, программное обеспечение которых прошло
проверку не ниже чем по 4 уровню контроля отсутствия недекларированных
возможностей.
53
Результат описанных выше требований сведён в таблицу 11.
Таблица 11.
Требования к СЗИ по сертификации в зависимости от класса
защищенности ГИС.
Результаты проектирования системы защиты информации информационной

системы отражаются в проектной документации (эскизном (техническом)
проекте и (или) в рабочей документации) на информационную систему (систему
защиты информации информационной системы), разрабатываемых с учетом
ГОСТ 34.201 «Информационная технология. Комплекс стандартов на
автоматизированные системы. Виды, комплектность и обозначение документов
при создании автоматизированных систем» (далее – ГОСТ 34.201).
Эксплуатационная документация на систему защиты информации
информационной системы разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201
и ГОСТ Р 51624 и должна в том числе содержать описание:
 структуры системы защиты информации информационной системы;
 состава, мест установки, параметров и порядка настройки средств защиты
информации, программного обеспечения и технических средств;
 правил эксплуатации системы защиты информации информационной
системы.
В случае обработки в информационной системе информации, содержащей

персональные данные, реализуемые в соответствии с пунктами 21 и 22, Приказ
№27, меры защиты информации, устанавливается в соответствии с
54
Требованиями к защите персональных данных при их обработке в
информационных системах персональных данных, утвержденными
постановлением Правительства Российской Федерации от 1 ноября 2012 г. №
1119:
o для информационной системы 1 класса защищенности обеспечивают 1,
2, 3 и 4 уровни защищенности персональных данных;
o для информационной системы 2 класса защищенности обеспечивают 2,
3 и 4 уровни защищенности персональных данных;
o для информационной системы 3 класса защищенности обеспечивают 3
и 4 уровни защищенности персональных данных;
o для информационной системы 4 класса защищенности, обеспечивают 4
уровень защищенности персональных данных.
1) Определить ОС, на базе которой будут установлены программно-

аппаратные средства защиты.
2) Определить виды и типы средств защиты информации, обеспечивающие
реализацию мер защиты информации.
3) Исключить те средства (или их аналоги), которые уже используются на
предприятии при условии, что существующие соответствуют требованиям
по сертификации.
4) Составить технический паспорт в соответствии с приложением 7:
 Заполнить технический паспорт «Форма технического паспорта на
автоматизированную систему»;
 Заполнить табл. 2 «Перечень средств защиты информации,
установленных на АС».
Рекомендации:
В соответствии с «Государственным реестром сертифицированных средств
защиты информации», ФСТЭК России от 2015г. подобрать оборудование,
соответствующее следующим подсистемам:
1) Операционная система
Для начала надо определить ОС на базе которой будет установлено остальное
программное обеспечение. Если существующая ОС не сертифицирована то надо
заменить её, выбрав необходимую из реестра ФСТЭК:
55
https://fstec.ru/component/attachments/download/489. Например, сетевая
операционная система наряду с необходимым для обеспечения безопасности
информации набором технологических параметров обладает всеми
необходимыми сертификатами на соответствие требованиям регулирующих
органов.
ОС может быть использована в качестве средства для защиты информации в
АС для выполнения мероприятий по аутентификации/идентификации и
управления доступом.
2) Средства защиты от несанкционированного доступа

Для осуществления мероприятий по защите информации при их обработке в
информационных системах от несанкционированного доступа (НСД) и
неправомерных действий пользователей и нарушителей средства защиты (СЗ)
могут включать в себя следующие подсистемы:
 управления доступом;
 регистрации и учета;
 обеспечения целостности;
 антивирусной защиты;
 обеспечения безопасности межсетевого взаимодействия АС;
 анализа защищенности;
 обнаружения вторжений.
3) Подсистема управления доступом, регистрации и учета, как правило,

реализуется с помощью программных средств блокирования НСД, сигнализации и
регистрации. Это специальные, не входящие в ядро операционной системы
программные и программно-аппаратные средства защиты самих операционных
систем, СУБД и прикладных программ. Они выполняют функции защиты
самостоятельно или в комплексе с другими средствами защиты и направлены на
исключение или затруднение выполнения несанкционированных действий
пользователей или нарушителей. К ним относятся специальные утилиты и
программные комплексы защиты, в которых реализуются функции диагностики
(тестирование файловой системы), регистрации (журналирование действий и
операций), сигнализации.
4) Подсистема обеспечения целостности должна обеспечить контроль

целостности программ, который выполняется при старте системы путем
сравнения контрольных сумм отдельных блоков программ с их эталонными
суммами с целью защиты от несанкционированного изменения прикладных и
специальных программ нарушителем.
56
Технические средства хранения данных должны исключать потерю или
искажение информации, используемой в технологическом процессе. Для этого
может применяться резервирование информации, хранимой на жестких
магнитных дисках, например, по технологии RAID (Redundant Array of
Inexpensive Disks), а также архивирование этой информации с помощью
стримеров либо устройств записи на оптических носителях.
5) Для обеспечения безопасности информации и программно-аппаратной

среды АС, обеспечивающей обработку этой информации, рекомендуется
применять специальные средства антивирусной защиты (подсистема
антивирусной защиты). Такие средства способны обеспечивать:
 обнаружение и блокирование деструктивных вирусных воздействий на
общесистемное и прикладное ПО, реализующее обработку информации;
 обнаружение и удаление «неизвестных» вирусов (т.е. вирусов,
сигнатуры которых еще не внесены в антивирусные базы данных);
 обеспечение самоконтроля (предотвращение инфицирования) данного
антивирусного средства при его запуске.
Для реализации подсистемы антивирусной защиты информации возможно
использование антивирусных средств компании «Лаборатория Касперского».
6) Для осуществления разграничения доступа к ресурсам АС при межсетевом

взаимодействии (подсистема обеспечения безопасности межсетевого
взаимодействия ИСПДн) применяется межсетевое экранирование, которое
реализуется программными и программно-аппаратными межсетевыми экранами
(МЭ). Межсетевой экран устанавливается между защищаемой внутренней и
внешней сетями. МЭ входит в состав защищаемой сети. За счет соответствующих
настроек задаются правила, которые позволяют ограничивать доступ
пользователей из внутренней сети во внешнюю и наоборот.
7) Подсистема анализа защищенности предназначена для

осуществления контроля настроек защиты операционных систем на рабочих
станциях и серверах и позволяет оценить возможность проведения нарушителями
атак на сетевое оборудование, контролирует безопасность программного
обеспечения. С помощью таких средств (средства обнаружения уязвимостей)
производится сканирование сети с целью исследования ее топологии,
осуществления поиска незащищенных или несанкционированных сетевых
подключений, проверки настроек межсетевых экранов и т.п. Данный анализ
производится на основании детальных описаний уязвимостей настроек средств
57
защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или
уязвимостей операционных систем или прикладного программного обеспечения.
Результатом работы средств анализа защищенности является отчет, в котором
обобщаются сведения об обнаруженных уязвимостях.
Средства обнаружения уязвимостей могут функционировать на сетевом
уровне (network-based), уровне операционной системы (host-based) и уровне
приложения (application-based). Применяя сканирующее ПО, можно составить
карту доступных узлов АС, выявить используемые на каждом из них сервисы и
протоколы, определить их основные настройки и сделать предположения
относительно вероятности реализации НСД. По результатам сканирования
системы вырабатываются рекомендации и меры, позволяющие устранить
выявленные недостатки.
В качестве средства, применяемого в подсистеме анализа защищенности
используют сетевой сканер безопасности, который обеспечивает определение
уязвимостей на системном и прикладном уровне.
8) Выявление угроз НСД при межсетевом взаимодействии производится с

помощью систем обнаружения вторжений (подсистема обнаружения
вторжений). Такие системы строятся с учетом особенностей реализации атак и
этапов их развития. Они основаны на следующих методах обнаружения атак:
сигнатурные методы, методы выявления аномалий, комбинированные методы с
использованием обоих названных методов.
В качестве средства для реализации подсистемы обнаружения и
предотвращения вторжений специалисты часто используют продукты компании
Cisco. Данные средства сертифицированы ФСТЭК и соответствуют требованиям
технических условий и стандарту ГОСТ Р ИСО/МЭК 15408-2002.
9) Средства защиты каналов при передаче информации
Для обеспечения безопасности информации при передаче по открытым
каналам или в несегментированной сети служит подсистема криптографической
защиты каналов связи. Помимо вышеназванной задачи данная подсистема
позволяет обеспечивать безопасное взаимодействие с технологическими сетями и
доступ для осуществления удаленного администрирования. Данная подсистема
может быть реализована на основе программно-аппаратного комплекса Cisco
Adaptive Security Appliance. Этот комплекс сертифицирован ФСТЭК
(соответствие руководящим документам по межсетевым экранам (3 и 4 Класс) и
требованиям технических условий).
Cisco ASA 5500 предназначен для решения сразу нескольких задач –
разграничения доступа к сетевым ресурсам, защиты от атак, защиты
взаимодействия с удаленными территориями, блокирования вирусов, червей,
58
шпионского ПО и других вредоносных программ, спама и атак типа «фишинг».
Это достигается за счет объединения в одном устройстве лучших защитных
средств – межсетевого экрана Cisco Pix, системы предотвращения атак Cisco IPS и
Cisco VPN 3000 Concentrator.
Помимо описанных выше программно-технических средств защиты широко
используют продукты других ведущих производителей на рынке
информационной безопасности. К ним, в частности, относятся Oracle, Aladdin,
Check Point, «С-Терра СиЭсПи», «КриптоПро». Данные компании проводят
активную позицию по соответствию требований регуляторов и сертификации
своих продуктов с целью их применения в решениях по защите персональных
данных.
10) Требования к средствам защиты информации

К средствам защиты информации прилагаются правила пользования этими
средствами, согласованные с Федеральной службой по техническому и
экспортному контролю и Федеральной службой безопасности Российской
Федерации в пределах их полномочий.
Все сертифицированные ФСТЭК средства защиты представлены на сайте
ФСТЭК (http://www.fstec.ru/) в разделе «Сведения о Системе сертификации
средств защиты информации по требованиям безопасности информации»
(http://www.fstec.ru/_razd/_serto.htm) в подразделе «Государственный реестр
сертифицированных средств защиты информации».
3. Задание:
 Подобрать программные средства защиты информации в соответствии с
перечнем мероприятий для АС.
 Заполнить таблицы 1, 2 «Техническое предложение по защите информации в
АС», приложение 7.

А4.
59
1) Не ниже какого класса в ИС 3 класса защищенности применяются средства
вычислительной техники.
2) Не ниже какого класса в ИС 3 класса защищенности применяются межсетевые
экраны.
3) Перечислите состав эксплуатационной документации на систему защиты
информации информационной системы с учетом требований нормативной
документации (ГОСТ 34.601).
60
Приложение 1
1.Общие исходные данные:
 Локальная вычислительная сеть.
 Подключение к сетям МИО.
 По подходам к сегментированию информационной системы: без
сегментирования;
 Существующие технические системы: Охранная сигнализация,
Пожарная сигнализация, Контроль и управление доступом.
 Наличие ПДн соответствующего уровня.
 Системы с технологиями беспроводного доступа.
 режимам обработки информации: многопользовательский;
 Масштаб ИС: объектовый
 Потенциал нарушителей: нарушители с базовым (низким)
потенциалом.
2. Индивидуальные исходные данные:

Порядковый Уровень Режим разделения функций по Режим
номер в списке значимости Управлению ИС разграничения
преподавателя информаци прав доступа
и
1 УЗ 3 без разделения с разграничением
2 УЗ 2 выделение рабочих мест для без разграничения
администрирования в отдельный
домен
3 УЗ 3 использование различных сетевых с разграничением
адресов
4 УЗ 2 использование выделенных каналов без разграничения
для администрирования
домен
адресов
домен
адресов
61
домен
адресов
62
Индивидуальные задания:
1. Офис торговой компании «МаксиПост».
Основной функцией торговой компании является продажа средств технической защиты
информации. В качестве основных функций менеджера по логистике компании можно
отметить следующие:
• определение возможностей компании по организации и осуществлению логистических
операций;
• выбор базисного условия поставки и разработка транспортных условий контрактов;
• выбор посредников по вопросам исполнения контракта (например, транспортно-
экспедиторской компании);
• организация и выполнение дополнительных и вспомогательных операций по контракту
(упаковка, маркировка, таможенные операции, страхование и т.д.).
63
2. Администрация компании «Аргус»
Характеристика деятельности: проектирование, разработка промышленного образца НОУ-
ХАО. Обеспечение безопасности конфиденциальной информации. Главным подходом
предприятия является продажа мелким оптом изделий НОУ-ХАО стратегическим партнёрам.
64
3. Центр занятости.
Центр занятости осуществляет на территории муниципального района следующие функции:
1) Регистрация граждан в целях содействия в поиске подходящей работы, а также
регистрация безработных граждан.
2) Оказание в соответствии с законодательством Российской Федерации следующих
государственных услуг: содействие гражданам в поиске подходящей работы, а
работодателям в подборе необходимых работников; информирование о положении на рынке
труда;
организация профессиональной ориентации граждан в целях выбора сферы деятельности
(профессии), трудоустройства, профессионального обучения;
психологическая поддержка безработных граждан; профессиональная подготовка,
переподготовка и повышение квалификации безработных граждан, включая обучение в другой
местности.
3) Формирование и ведение регистров получателей государственных услуг в сфере занятости
населения.
4) Осуществление профессиональной подготовки, переподготовки и повышения квалификации
женщин в период отпуска по уходу за ребенком до достижения им возраста трех лет.
5) Обеспечение безопасности при обработке персональных данных техническими,
программными средствами и организационными действиями.
65
4. Компания «Артсок»
Характеристика деятельности: проектирование, разработка промышленного образца НОУ-
ХАО. Главным подходом предприятия является продажа мелким оптом изделий НОУ-ХАО
стратегическим партнёрам.
66
5. Научно-производственное предприятие «Вершина»
Характеристика деятельности: научные исследования в создании полезной модели, разработка
промышленных образцов НОУ-ХАО. Главным подходом предприятия является продажа
изделий НОУ-ХАО стратегическим партнёрам.
67
6. Научно-образовательный центр «Глобус»
Учреждение дополнительного профессионального образования "Центр повышения
квалификации специалистов по технической защите информации" с использованием
нормативной документации с меткой ДСП.
68
7. Предприятие «Астра»
Основные функции предприятия: оказание консультационных услуг предприятиям,
организациям, физическим лицам по широкому кругу вопросов экономики и права (создание и
регистрация фирм, маркетинговые исследования, инновации, инвестиции, диагностика
проблем клиентов и др.).
69
8. Компания «Стик»
Компания осуществляет продажу товаров народного потребления и оказание услуг
покупателям для личного, семейного, домашнего или профессионального использования.
70
9. Коммерческая организация ООО «Кредитор». Ведет коллекторскую
деятельность на предсудебном и судебном этапах. Занимается возвратом долгов
юридических лиц в несудебном порядке, взыскиванием долгов в арбитражном
суде, покупкой долгов.
71
10. Научно-внедренческая группа «Элис»
Характеристика деятельности: научные исследования в создании полезной модели, разработка
промышленных образцов НОУ-ХАО. Главным подходом предприятия является продажа
изделий НОУ-ХАО стратегическим партнёрам.
72
11. Инспекция Федеральной налоговой службы
ИФНС осуществляет следующие полномочия в установленной сфере деятельности
осуществляет контроль и надзор за:
1) соблюдением законодательства о налогах и сборах, а также принятых в соответствии с
ним нормативных правовых актов, правильностью исчисления, полнотой и
своевременностью внесения налогов и сборов, а в случаях, предусмотренных
законодательством Российской Федерации, за правильностью исчисления, полнотой и
своевременностью внесения в соответствующий бюджет иных обязательных платежей;
2) осуществлением валютных операций резидентами и нерезидентами, не являющимися
кредитными организациями;
3) соблюдением требований к контрольно-кассовой технике, порядком и условиями ее
регистрации и применения; и т.д.
73
74
12. Администрация города. Администрация города. Функции, выполняемые городской
администрацией: разработка проектов бюджета города, планов, программ, нормативных и
правовых актов Муниципального Совета, исполнение бюджета города, исполнение решений
Муниципального Совета, принятых в пределах его компетенции и т.д. Вся информация,
хранимая, обрабатываемая или передаваемая в рамках Администрации с использованием
информационной системы, классифицирована по степени важности и критичности на
следующие категории. Конфиденциальная информация: к конфиденциальной относится
информация о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющая
идентифицировать его личность (персональные данные), за исключением сведений,
подлежащих распространению в средствах массовой информации в установленных
федеральными законами случаях, а также любая другая закрытая информация, являющаяся
собственностью Администрации. При обработке этой информации необходимо соблюдать
требования Федерального закона "О персональных данных", а также прочих нормативных
правовых актов, регламентирующих работу с конфиденциальной информацией.
Служебная информация: к служебной информации могут быть отнесены любые сведения,
относящиеся к деятельности подразделений Администрации, несанкционированное
распространение которых может привести к отрицательным экономическим, этическим или
иным последствиям. Хранение, обработка и передача такой информации должны
осуществляться в соответствии с требованиями настоящего документа. Рабочая информация:
включает в себя сведения, имеющие отношение к внутренней деятельности подразделений
Администрации и не относящиеся к конфиденциальной или служебной информации. При
хранении, передаче и обработке такой информации необходимо обеспечить максимальный
уровень ее целостности и аутентичности в соответствии с положениями настоящего
документа.
Экспликация помещений
№ пом. Наименование помещений Площадь помещений (кв.м.)
1 Сан.узел -
2 Сан.узел -
3 Первый заместитель главы -
75

города
4 Конференц-зал -
5 Помещение охраны -
Отдел конфиденциального
6 -
делопроизводства
7 Серверная -
8 Секретарь -
9 Кабинет главы города -
76
13. Конструкторское бюро «Сократ». Характеристика деятельности: научные
исследования в создании полезной модели, разработка промышленных образцов
НОУ-ХАО. Главным подходом предприятия является продажа изделий НОУ-
ХАО стратегическим партнёрам
1 2 3 4 5
8
6 7
1 Проектный отдел -
2 Кабинет -
3 Кабинет -
4 Кабинет -
5 Помещение охраны -
6 Серверная -
7 Кабинет директора -
8 Бухгалтер -
77
14. Акционерное общество «Торг-Сервис». Компания осуществляет продажу товаров
народного потребления и оказание услуг покупателям для личного, семейного,
домашнего или профессионального использования.
78
15. Муниципальное Унитарное Предприятие "Новый город". МУП «Новый город»
занимается строительством, капитальным ремонтом и реконструкцией объектов
капитального строительства; ведёт работы по инженерным изысканиям,
влияющим на безопасность капитального строительства объектов; подготавливает
проектную документацию, необходимую для возведения сооружений
капитального строительства. Для предприятия определен перечень сведений
конфиденциального характера, в том числе сведения о порядке и состоянии
организации защиты коммерческой тайны и сведения, содержащие персональные
данные работников организации персональные данные партнеров предприятия.
Экспликация помещений:
1. Тамбур
2. Лестничная площадка
3. Коридор
4. Коридор
5. Помещение уборочного инвент.
6. Офисное помещение
8. Вестибюль
11. Кабинет директора
79
16. Научно-производственное предприятие «Вектор». Компания осуществляет
продажу товаров народного потребления и оказание услуг покупателям для
личного, семейного, домашнего или профессионального использования.
80
17. Компания "Служба оконного сервиса".
Предприятие занимается продажей, установкой и ремонтом пластиковых окон. Для
предприятия определен перечень сведений конфиденциального характера, в том числе
сведения о порядке и состоянии организации защиты коммерческой тайны и сведения,
содержащие персональные данные работников организации персональные данные партнеров
предприятия.
81
Приложение 3.
Примерный перечень сведений, составляющих коммерческую тайну предприятия.
1.Производство сведения о структуре производства, производственных мощностях, типе и

размещении оборудования, запасах сырья, материалов, комплектующих и готовой
продукции.
2. Управление сведения о применяемых оригинальных методах управления предприятием;
сведения о подготовке, принятии и исполнении отдельных решений руководства
предприятия по коммерческим, организационным, производственным, научно-
техническим и иным вопросам.
3. Планы сведения о планах расширения или свертывания производства различных видов
продукции и их технико-экономических обоснованиях;
те же сведения о планах инвестиций, закупок, продаж.
4. Совещания сведения о фактах проведения, целях, предмете и результатах совещаний и
заседаний органов управления предприятия.
5. Финансы сведения о балансах предприятия;
сведения, содержащиеся в бухгалтерских книгах предприятия;
сведения о кругообороте средств предприятия;
сведения о финансовых операциях предприятия;
сведения о состоянии банковских счетов предприятия и производимых операциях;
сведения об уровне доходов предприятия;
сведения о долговых обязательствах предприятия;
сведения о состоянии кредита предприятия (пассивы и активы).
6. Рынок сведения о применяемых предприятием оригинальных методах изучения рынка;
сведения о результатах изучения рынка, содержащие оценку состояния и
перспектив развития рыночной конъюнктуры;
сведения о рыночной стратегии предприятия;
сведения о применяемых предприятием оригинальных методах осуществления
продаж;
сведения об эффективности коммерческой деятельности предприятия.
7. Партнеры систематизированные сведения о внутренних и зарубежных заказчиках,
подрядчиках, поставщиках, потребителях, покупателях, компаньонах, спонсорах,
посредниках, клиентах и других партнерах деловых отношений предприятия, а
также о его конкурентах, которые не содержатся в открытых источниках
(справочниках, каталогах и др.)
8. Переговоры сведения о подготовке и результатах проведения переговоров с деловыми
партнерами предприятия.
9. Контракты сведения, условия конфиденциальности которых установлены в договорах,
контрактах, соглашениях и других обязательствах предприятия.
10. Цены сведения о методах расчета, структуре, уровне цен на продукцию и размерах
скидок.
11. Торги, сведения о подготовке к торгам или аукциону и их результатах.
аукционы
12.Наука и техника сведения о целях, задачах, программах перспективных научных исследований;
ключевые идеи НИР;
точные значения конструкционных характеристик создаваемых изделий и
оптимальных параметров разрабатываемых технологических процессов (размеры,
объемы, конфигурация, процентное содержание компонентов, температура,
давление, время и т.д.);
аналитические и графические зависимости, отражающие найденные
закономерности и взаимосвязи;
данные об условиях экспериментов и оборудования, на котором они проводились;
82
сведения о материалах, из которых изготовлены отдельные детали;
сведения об особенностях конструкторско-технологического, художественно-
технического решения изделия, дающие положительный экономический эффект;
сведения о методах защиты от подделки товарных знаков;
сведения о состоянии программного и компьютерного обеспечения.
13. Технология сведения об особенностях используемых и разрабатываемых технологий и
специфике их применения.
14.Безопасность сведения о порядке и состоянии организации защиты коммерческой тайны;
сведения о порядке и состоянии организации охраны, пропускном режиме,
системе сигнализации;
сведения, составляющие коммерческую тайну предприятий-партнеров и
переданные на доверительной основе.
83
Примерный перечень сведений, составляющих налоговую тайну:
Конфиденциальными считаются все данные, получаемые налоговыми органами, которые
не относятся к перечню не защищаемых налоговой тайной сведений. Такие сведения статья
102 НК перечисляет – к ним относятся:

 Общедоступная информация. Это сведения, перечисленные в ФЗ №152 «О
персональных данных». К общедоступным сведениям для физических лиц относятся
ФИО, номер телефона, профессия, для юридических – полное наименование, адрес, ФИО
руководителя. Также общедоступной считается информация, на распространение
которой плательщик сам дал согласие – например, банковские реквизиты.

 ИНН. Налоговый номер можно узнать, если на руках паспортные данные плательщика
или полное название фирмы.

 Результат налоговой проверки. Эта информация не является тайной, только если
проверялся кандидат в выборный орган федерального или муниципального уровня, а
запрашивают информацию члены избирательной комиссии.

 Режим налогообложения. Таким режимом может быть не только ЕНВД или УСН, но и,
например, единый сельский налог, актуальный только для производителей
сельскохозяйственной продукции.

 Данные для иностранных органов. Между государствами может быть заключено
соглашение, согласно которому одно из них предоставляет определенный вид налоговых
сведений другому. Такое соглашение сильнее внутренних документов.
Письмо Минфина №03-02-08/41 позволяет считать конфиденциальными следующие
данные:
 Содержание первичной бухгалтерской документации фирмы.
 Сведения о декларируемых доходах и расходах.
 Сведения об имущественном положении.
 Информация о начисленных акционерам дивидендах.
 Производственные ноу-хау.
84
Пример документального оформления перечня сведений конфиденциального характера
Для служебного пользования

Экз. №
Утверждаю
Руководитель предприятия
_______________
(Ф. И. О.)
"___" ___________ ______ г.
ПЕРЕЧЕНЬ
сведений конфиденциального характера
№ Типы документов, где возможно появление

Наименование сведений
п/п сведений конфиденциального характера
Сведения раскрывающие
систему, средства защиты
Руководство по защите конфиденциальной
1. информации ЛВС предприятия
информации предприятия (учреждения).
от НСД, а также значения
действующих кодов и паролей.
Сводный перечень работ

2. предприятия на перспективу, План работ предприятия на перспективу.
на год (квартал).
Для определения типа документа см: ст. 6, п. 2

Сведения, содержащиеся в
ФЗ РФ “Об индивидуальном
3. лицевых счетах пайщиков
(персонифицированном) учете в системе
страховых взносов.
государственного пенсионного страхования”.
Для определения типа документа см: ст. 6, п. 2

Сведения, содержащиеся в
ФЗ РФ “Об индивидуальном
4. индивидуальном лицевом счете
(персонифицированном) учете в системе
застрахованного лица.
государственного пенсионного страхования”.
Основные показатели задания

на проектирование комплекса
(установки). НОУ-ХАУ
технологии - различные ТТЗ и ТЭО. Техническая документация с
5.
технические, коммерческие и пометкой “Для служебного пользования”.
другие сведения, оформленные
в виде технической
документации.
6. Методические материалы, Методики, проектная и конструкторская
85
типовые технологические и
конструктивные решения,
разработанные на предприятии документация.
и используемые при
проектировании.
Требования по обеспечению
сохранения служебной тайны План работ предприятия на перспективу. Раздел
7.
при выполнении работ на ТТЗ на НИР (НИОКР).
предприятии.
Порядок передачи служебной

информации ограниченного Руководство по защите конфиденциальной
8.
распространения другим информации предприятия (учреждения).
организациям.
Анкеты сотрудников, личный листок по учету

9. ПДн
кадров, копия паспорта
86
Оформление акта классификации информационных систем.
Утверждаю
Руководитель предприятия
НПО «Вектор»
_____________Хххххххххх
Х.Х.
МП
"____"__________"____"г.
АКТ
классификации информационной системы обработки информации
_________________ Научно-производственное предприятие «Вектор»______________
(наименование информационной системы)
Комиссия, в соответствии с приказом от"____"__________"____"г. N_160 в составе:

_
председатель: Директор НПО «Вектор» Хххххххххх Х.Х.
члены комиссии: Зам. директора по безопасности Хххххххххх Х.Х.
Делопроизводитель Хххххххххх Х.Х.
Начальник ЗИ Хххххххххх Х.Х.
провела классификацию информационной системы
___________________ Научно-производственное предприятие «Вектор»__________________,
(наименование информационной системы)
рассмотрев исходные данные на автоматизированную систему обработки информации (АС)
наименование автоматизированной системы условия ее эксплуатации (многопользовательский,
однопользовательский; с равными или разными правами доступа к информации), с учетом
характера обрабатываемой информации (служебная тайна, коммерческая тайна, персональные
данные и т.д.) и в соответствии с руководящими документами Гостехкомиссии России
"Автоматизированные системы. Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации" и Приказ
ФСТЭК России от 11 февраля 2013 г. N 17 (в ред. Приказа ФСТЭК России от 15.02.2017 N 27)
«Об утверждении Требований о защите информации, не составляющей государственную тайну,
содержащейся в государственных информационных системах»,
РЕШИЛА:
Установить АС наименование автоматизированной системы
класс защищенности __К1__.
Председатель
Директор НПО «Вектор» Хххххххххх Х.Х.
Члены комиссии
Делопроизводитель Хххххххххх Х.Х.
Начальник ЗИ Хххххххххх Х.Х.
Системный администратор Хххххххххх Х.Х.
87
88
Форма технического предложения на автоматизированную систему
УТВЕРЖДАЮ
Руководитель организации
_______________________________
(подпись, инициалы, фамилия)
_______________________________________
(дата)
ТЕХНИЧЕСКОЕ ПРЕДЛОЖЕНИЕ ПО ЗАЩИТЕ ИНФОРМАЦИИ В АС

____________________________________________________________
указывается полное наименование автоматизированной системы
СОСТАВИЛ
__________________________
(должность, подпись, инициалы,
фамилия специалиста подразделения
по защите информации)
___________________________
(дата)
ОЗНАКОМЛЕН
________________________________
(должность, подпись, инициалы,
фамилия ответственного за помещение)
__________________________
(дата)
Год
1. Общие сведения об АС
1.1. Наименование АС: полное наименование АС
1.2. Расположение АС: адрес, здание, строение, этаж, комнаты
1.3. Класс АС: номер и дата акта классификации АС, класс АС
2. Состав оборудования АС
2.1. Состав ОТСС:
89
Табл.1.
ПЕРЕЧЕНЬ
основных технических средств и систем, входящих в состав АС
_____________________________________
Сведения по
сертификации,
№ Наименование ОТСС Заводской номер
специсследованиям и
спецпроверкам
1 2 3 4
6. Комплект ПЭВМ в составе:
Системный блок Sunrise С02059/12
Монитор Acer V193HQ ETLEP0C0019120254B40
Принтер Samsung ML1641 02 +
Манипулятор «мышь» Genius 145VBKCS201221N
X51722704500
NETSCROLL 110
XE9403010865
Клавиатура Genius K627
Состав средств защиты информации:
Таблица 2
СПЕЦИФИКАЦИЯ
средств защиты информации для установки на АС
____________________________________
№ Наименование и тип и Заводской Сведения о Место Кол-во, шт.

п/п технического средства номер сертификате установки
1 Системное ПО: зав.№ ХХХХ- ххххх хх
ХХХ. ХХХ
2 ПО: зав.№ ХХХХ- ххххх хх
ХХХ. ХХХ
3
4
5
6
7
8
9
Лист регистрации изменений

90
91

МУ - ПР - ЗИиКС - 2 сем кор3

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

МУ - ПР - ЗИиКС - 2 сем кор3

Оригинальное название:

Загружено:

Авторское право:

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ

Кафедра информационно-коммуникационных технологий, математики

КАЛИБЕРДА ИГОРЬ ВЛАДИМИРОВИЧ

по выполнению практических работ по дисциплине «Защита информационных и компьютерных

 Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации,

Требования к организации защиты информации, содержащейся в

При обработке в государственной информационной системе информации,

Основные элементы механизма защиты предпринимательской тайны

В зависимости от вида предпринимательской деятельности, размеров фирмы

В состав механизма защиты предпринимательской тайны и безопасности

Рисунок 1. Схема определения состава организационно-технические мер по

Содержание методических модулей алгоритма выбора мер защиты:

1.1. Формирование сведений, подлежащих защите

Постановка этой проблемы позволяет правильно решить вопрос о формах

1) Для объекта защиты, назначенного преподавателем из приложения 2,

3. Содержание отчёта и его форма

Отчёт выполняется каждым студентом индивидуально. Работа должна быть

На титульном листе указываются: наименование учебного учреждения,

Цель работы: Изучение основных понятий и определений. Модель объекта

При разработке и построении комплексной системы защиты информации в

2. Методика и порядок выполнения работы.

На данном занятии студенты разрабатывают пространственную модель

1) Для объекта защиты, назначенного преподавателем из приложения 2,

Цель работы: Изучение основных понятий и определений. Модель защиты

Первый из приведенных принципов построения СЗИ требует проведения

1) охрана по периметру территории объекта;

2. Методика и порядок выполнения работы.

На данном занятии студенты разрабатывают графическую модель

Об организации О внутренней О внешней

- структура - разрабатываемые - партнеры

Рисунок 2. Структурная модель защищаемой информации

Таким образом, было проведена классификация и структурирование

Для объекта защиты, назначенного преподавателем разработать

4. Содержание отчёта и его форма

Отчёт выполняется каждым студентом индивидуально. Работа должна быть

Цель работы: Изучение основных понятий и определений. Модель защиты

2. Методика и порядок выполнения работы.

На данном занятии студенты разрабатывают графическую модель

Руководство Сейф с секретными

Как видно из граф структуры в основном это бумажные и электронные

Для объекта защиты, назначенного преподавателем разработать

4. Содержание отчёта и его форма

Отчёт выполняется каждым студентом индивидуально. Работа должна быть

Цель работы: освоить методику определения класса ИС.

1.1 Определение класса защищённости информационной системы

Класс защищенности (К) = [уровень значимости информации; масштаб системы].

Уровень значимости информации определяется степенью возможного

УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба)

где степень возможного ущерба определяется обладателем информации

 ВЫСОКОЙ, если в результате нарушения одного из свойств безопасности

Присвоение уровня значимости:

При обработке в ГИС двух и более видов информации (служебная тайна,

Определение масштаба системы:

Класс защищенности информационной системы определяется в соответствии

Уровень Масштаб информационной системы

При обработке персональных данных в информационной системе

На данном занятии студенты:

Для объекта защиты, назначенного преподавателем, студенты определяют

4. Содержание отчёта и его форма

Отчёт выполняется каждым студентом индивидуально. Работа должна быть

Цель работы: освоить методику определения актуальных угроз безопасности

1.1 Модель угроз безопасности информации должна содержать описание

УБИ = [возможности нарушителя; уязвимости ГИС; способ реализации

При определении угроз безопасности информации учитываются структурно-

Комиссия, в соответствии с приказом от""__""г. N_160 в составе: