Basics of Information Security

Основы информационной
безопасности
к.т.н., доцент кафедры

«Инфокоммуникационных систем и
сетей» (ИКСС)
Шевнина Ирина Евгеньевна
Форма контроля по дисциплине - Зачет
КУРС в ЭИОС зарегистрированным пользователям:
Институт телекоммуникаций/
Кафедра Инфокоммуникационных систем и сетей/
Кафедра передачи дискретных сообщений и метрологии/
11_Основы информационной безопасности_22
https://eios.sibsutis.ru/course/view.php?id=3090
Кодовое слово: ОИБ42022

Список основной литературы
1. Основы информационной безопасности [Электронный ресурс] : учебник для студентов вузов,

обучающихся по направлению подготовки «Правовое обеспечение национальной
безопасности» / В. Ю. Рогозин, И. Б. Галушкин, В. К. Новиков, С. Б. Вепрев. —Электрон.
текстовые данные. —М. : ЮНИТИ-ДАНА, 2017. —287 c. —978-5-238-02857-6. —Режим доступа:
http://www.iprbookshop.ru/72444.html (вход по паролю).
2. Скрипник, Д. А. Общие вопросы технической защиты информации : учебное пособие / Д. А.
Скрипник. — 3-е изд. — Москва, Саратов : Интернет-Университет Информационных
Технологий (ИНТУИТ), Ай Пи Ар Медиа, 2020. — 424 c. — ISBN 978-5-4497-0336-1. — Текст :
электронный // Цифровой образовательный ресурс IPR SMART : [сайт]. — URL:
https://www.iprbookshop.ru/89451.html — Режим доступа: для авторизир. пользователей
3. Мэйволд, Э. Безопасность сетей : учебное пособие / Э. Мэйволд. — 3-е изд. — Москва :
Интернет-Университет Информационных Технологий (ИНТУИТ), Ай Пи Ар Медиа, 2021. — 571
c. — ISBN 978-5-4497-0863-2. — Текст : электронный // Цифровой образовательный ресурс
IPR SMART : [сайт]. — URL: https://www.iprbookshop.ru/101992.html — Режим доступа: для
авторизир. пользователей
1 Основные термины и
определения
Термин «информация»
происходит от латинского слова informatio(«в сути»)-разъяснение,
изложение, осведомленность.
Большая советская энциклопедия дает следующее определение
термину «информация» - сведения, передаваемые одними людьми
другим людям устным, письменным или каким-либо другим способом
(например, с помощью условных сигналов, с использованием
технических средств и т. д.), а также сам процесс передачи или получения
этих сведений.
Исследователи: Уильям Росс Эшби (William RossAshby), Александр
Александрович Харкевич, Клод Элвуд Шеннон (Claude Elwood Shannon),
Андрей Николаевич Колмогоров.
Классификация информации
1. По способу ее восприятия (человеком).
зрение слух обоняние вкус осязание
2. По форме ее представления средствами вычислительной техники.
текстовая, например:
-текст в книге;
-устное сообщение (словесная форма)
числовая, например:
-числовые таблицы;
-массивы цифровых данных
графическая, например:
-рисунки, схемы, чертежи;
-фотографии
музыкальная(звуковая), например:
-аудиофайлы.
Классификация информации
3. По общественному значению.
личная
общественная
(сведения получаемые из СМИ, традиции)
обыденная
(получаемая в процессе общения)
эстетическая
(театр, изобразительное искусство)
специальная
(научная, техническая, правовая)
Сигнал - изменяющийся во времени физический
процесс или процесс, несущий информацию.
Сообщение-информация, представленная в
определенной форме и предназначенная для передачи.
Сообщение передаваемое посредством носителя –
сигнал.
Данные–информация, представленная в
формализованном виде и предназначенная для
обработки ее техническими средствами.
Непрерывность и дискретность
сигнала по уровню и времени
непрерывное сообщение
может быть представлено
непрерывной функцией,
заданной на некотором
интервале
дискретный сигнал по
времени и/или по уровню
Фазы обращения с информацией
При реализации информационных процессов всегда
происходит перенос информации в пространстве и времени от
источника к приемнику (адресату).
Передача
посредством Обработка хранение
сигналов (преобразование с использованием
(электрических, информации) носителей
оптических)
представление информации в форме

приемлемой для восприятия человеком
и обратная процедура
Классификация мер информации
Структурный
подход объем данных, заключающийся в измерении количества
символов, например, в битах
Статистический
подход энтропия –мера неопределенности (вероятности
осуществления события)
Семантический тезаурус –совокупность сведений, которыми располагает

подход система
Термин «информация»
Федеральный закон от 27.07.2006 г. № 149-ФЗ (ред. от
18.03.2019 г.) «Об информации, информационных технологиях и
о защите информации»:
Информация - сведения (сообщения, данные) независимо от
формы их представления.
Информационные технологии - процессы, методы поиска,
сбора, хранения, обработки, предоставления, распространения
информации и способы осуществления таких процессов и
методов.
Информационно-телекоммуникационная сеть -
технологическая система, предназначенная для передачи по
линиям связи информации, доступ к которой осуществляется с
использованием средств вычислительной техники.
Нормативные документы
1. Федеральный закон от 27.07.2006 г. № 149-ФЗ.
2.ГОСТ Р 50922-2006 «Защита информации. Основные
термины и определения» (утв. Приказом
Ростехрегулирования от 27.12.2006 г. № 373-ст).
3. ГОСТ Р 51275-2006 «Защита информации. Объект
информатизации. Факторы, воздействующие на
информацию. Общие положения» (утв. и введен в действие
Приказом Ростехрегулирования от 27.12.2006 г. № 374-ст).
4. ГОСТ Р 53114-2008 «Защита информации. Обеспечение
информационной безопасности в организации. Основные
термины и определения» (утв. и введен в действие
Приказом Ростехрегулирования от 18.12.2008 г. № 532-ст).
5. ГОСТ 34.003-90 «Информационная технология. Комплекс

стандартов на автоматизированные системы.
Автоматизированные системы. Термины и определения» (утв.
и введен в действие Постановлением Государственного
комитета СССР по управлению качеством продукции и
стандартам от 27.12.1990 г. № 3399).
6.ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология.
Методы и средства обеспечения безопасности. Системы
менеджмента информационной безопасности. Общий обзор и
терминология» (утв. и введен в действие Приказом
Росстандарта от 15.11.2012 г. № 813-ст).
7. Рекомендации по стандартизации Р 50.1.053-2005
«Информационные технологии. Основные термины и
определения в области технической защиты информации» (утв.
и введены в действие Приказом Ростехрегулирования от
06.04.2005 N 77-ст).
8. Рекомендации по стандартизации Р 50.1.056-2005.
«Техническая защита информации. Основные термины и
определения» (утв. и введены в действие Приказом
Ростехрегулирования от 29.12.2005 N 479-ст).
9. Руководящий документ Федеральной службы по
техническому и экспортному контролю РФ «Защита от
несанкционированного доступа к информации. Термины и
определения» (утв. решением Председателя Гостехкомиссии от
30.03.1992 г.) и др.
Информация
не подлежащая
защите защищаемая
(открытая) (ограниченного доступа)
свойство процесс
безопасность информации защита информации
конфиденциальность
доступность Классификационная схема основных

понятий в области защиты информации
целостность
защищаемая
(ограниченного доступа)
Классификационная
схема основных
понятий в области
защиты информации защита информации
способы
Защита от утечек
виды
правовая Защита от НСВ
техническая Защита от
непреднамеренного
воздействия
криптографическая
Защита от разглашения
физическая
Защита от НСД
Защищаемая информация - информация,
являющаяся предметом собственности и
подлежащая защите в соответствии с
требованиями правовых документов или
требованиями, устанавливаемыми
собственником информации. [ГОСТ Р 50922-2006]
Защищаемая информационная система –

информационная система, предназначенная для
обработки защищаемой информации с требуемым
уровнем ее защищенности.[ГОСТ Р 50922-2006]
Информационная безопасность (information security)или
безопасность информации (данных) –состояние защищенности
информации (данных), при котором обеспечены ее (их)
конфиденциальность, доступность и целостность. [ГОСТ Р 50922-
2006]
Защита информации –деятельность, направленная на

предотвращение утечки защищаемой информации,
несанкционированных и непреднамеренных воздействий
на защищаемую информацию. [ГОСТ Р 50922-2006]
процесс (деятельность)
Информационная
Защита информации
безопасность
состояние защищенности
Свойства информации
[Р 50.1.053-2005]
Конфиденциальность –состояние информации, при котором

доступ к ней осуществляют только субъекты, имеющие на это
право.
Доступность –состояние информации, при котором субъекты,
имеющие право доступа, могут реализовать их
беспрепятственно.
Целостность –состояние информации, при котором ее
изменение осуществляется только преднамеренно
субъектами, имеющими на него право.
Аутентичность, подотчетность, неотказуемость,
секретность и т.д.
Виды защиты информации
[ГОСТ Р 50922-2006]
Правовая защита информации (ЗИ)- защита информации правовыми
методами, включающая в себя разработку законодательных и
нормативных правовых документов (актов), регулирующих отношения
субъектов по защите информации, применение этих документов
(актов), а также надзор и контроль за их исполнением.
Техническая защита информации (ТЗИ) - защита информации,
заключающаяся в обеспечении некриптографическими методами
безопасности информации (данных), подлежащей (подлежащих) защите
в соответствии с действующим законодательством, с применением
технических, программных и программно-технических средств.
Виды защиты информации
[ГОСТ Р 50922-2006]
Криптографическая защита информации - защита

информации с помощью ее криптографического
преобразования.
Физическая защита информации - защита
информации путем применения организационных
мероприятий и совокупности средств, создающих
препятствия для проникновения или доступа
неуполномоченных физических лиц к объекту защиты.
Способы защиты информации
[ГОСТ Р 50922-2006]
–порядок и правила применения определенных принципов и средств

защиты информации.
ЗИ от утечки –защита информации, направленная на предотвращение
неконтролируемого распространения защищаемой информации в
результате ее разглашения и несанкционированного доступа к ней, а также
на исключение (затруднение) получения защищаемой информации
[иностранными] разведками и другими заинтересованными субъектами.
Примечание: заинтересованными субъектами могут быть: государство,
юридическое лицо, группа физических лиц, отдельное физическое лицо.
[ГОСТ Р 50922-2006]
ЗИ от несанкционированного воздействия (НСВ) –защита

информации, направленная на предотвращение несанкционированного
доступа и воздействия на защищаемую информациюс нарушением
установленных прав и (или) правил на изменение информации,
приводящих к:
-разрушению,
-уничтожению,
-искажению,
-сбою в работе,
-незаконному перехвату и копированию,
-блокированию доступа к информации, а также к утрате, уничтожению
или сбою функционирования носителя информации.
[ГОСТ Р 50922-2006]
ЗИ от непреднамеренного воздействия –защита информации,
направленная на предотвращение воздействия на защищаемую
информацию:
1)ошибок ее пользователя,
2)сбоя технических и программных средств информационных систем,
3)природных явлений или иных нецеленаправленных на изменение
информации событий, приводящих к:
–искажению,
–уничтожению,
–копированию,
–блокированию доступа к информации,
–а также к утрате, уничтожению или сбою функционирования носителя
информации.
[ГОСТ Р 50922-2006]
ЗИ от разглашения –защита информации, направленная на предотвращение
несанкционированного доведения защищаемой информации до
заинтересованных субъектов (потребителей), не имеющих права доступа к этой
ЗИ от несанкционированного доступа (НСД) –защита информации,
направленная на предотвращение получения защищаемой информации
заинтересованными субъектами с нарушением установленных нормативными и
правовыми документами (актами) или обладателями информации прав или
правил разграничения доступа к защищаемой информации.
Примечание: заинтересованными субъектами, осуществляющими НСД к
защищаемой информации, могут быть: государство, юридическое лицо, группа
физических лиц, в том числе, общественная организация, отдельное физическое
лицо.
[ГОСТ Р 50922-2006]
ЗИ от преднамеренного воздействия (ПДВ) –защита

информации, направленная на предотвращение
преднамеренного воздействия, в том числе электромагнитного
и (или) воздействия другой физической природы,
осуществляемого в террористических или криминальных целях.
ЗИ от [иностранной] разведки –защита информации,
направленная на предотвращение получения защищаемой
информации [иностранной] разведкой.
Спасибо за внимание
5 Классификация АС и СВТ
Информационная система (ИС) − совокупность
содержащейся в базах данных информации и обеспечивающих
ее обработку информационных технологий и технических
средств. [ФЗ 149]
Автоматизированная система (АС) – система, состоящая из
персонала и комплекса средств автоматизации его
деятельности, реализующая информационную технологию
выполнения установленных функций. [ГОСТ 34.003-90]
Средства вычислительной техники (СВТ) –совокупность
программных и технических элементов систем обработки
данных, способных функционировать самостоятельно или в
составе других систем. [ГОСТ Р 50739-95]
Система защиты информации АС (СЗИ) – совокупность
организационных мероприятий, технических, программных и
программно-технических средств защиты информации и
средств контроля эффективности защиты информации. [ГОСТ
Р 51583-2014]
2 Новосибирск, 2021
РД «Концепция защиты СВТ и АС от НСД к информации» (утв.
решением председателя Гостехкомиссии от 30.03.1992 г.)
РД «Автоматизированные системы. Защита от НСД к
информации. Классификация АС и требования по защите
информации» (утв. решением председателя Гостехкомиссии
от 30.03.1992 г.)
РД «Средства вычислительной техники. Защита от НСД к
информации. Показатели защищенности от НСД к
информации» (утв. решением председателя Гостехкомиссии
от 30.03.1992 г.)
ГОСТ Р 50739-95 «Средства вычислительной техники. Защита
от несанкционированного доступа к информации. Общие
технические требования» (утв. Постановлением Госстандарта
России от 09.02.1995 N 49). – М.: Стандартинформ , 1995, 2006
– 8 с.
Классификация АС
распространяется на все действующие и проектируемые
АС, обрабатывающие конфиденциальную информацию.
Определены девять классов защищенности АС от НСД к

информации, разделенные на три группы.
В пределах каждой группы соблюдается иерархия

требований по защите в зависимости от ценности
(конфиденциальности) информации и, следовательно,
иерархия классов защищенности АС.
Необходимыми исходными данными для проведения
классификации конкретной АС являются:
1) перечень защищаемых информационных ресурсов АС
и их уровень конфиденциальности;
2) перечень лиц, имеющих доступ к штатным средствам
АС, с указанием их уровня полномочий;
3) матрица доступа или полномочий субъектов доступа
по отношению к защищаемым информационным
ресурсам АС;
4) режим обработки данных в АС.
ТРЕТЬЯ ГРУППА
АС, в которых работает один пользователь, допущенный 3Б
ко всей информации АС, размещенной на носителях
одного уровня конфиденциальности. 3А
ВТОРАЯ ГРУППА
АС, в которых пользователи имеют одинаковые права 2Б
доступа (полномочия) ко всей информации АС,
обрабатываемой и/или хранимой на носителях 2А
различного уровня конфиденциальности.
ПЕРВАЯ ГРУППА
многопользовательские АС, в которых
одновременно обрабатывается и/или
хранится информация разных уровней 1Д 1Г 1В 1Б 1А
конфиденциальности. Не все
пользователи имеют право доступа ко
Новосибирск, 2021
6
всей информации АС.
В общем случае, комплекс программно-технических
средств и организационных (процедурных) решений по
защите информации от НСД реализуется в рамках
системы защиты информации от НСД, условно
состоящей из следующих подсистем:
1) управления доступом;
2) регистрации и учета;
3) криптографической;
4) обеспечения целостности.
Классы
Подсистемы и требования
3Б 3А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ - -
к программам - -
к томам, каталогам, файлам, записям, полям записей - -
1.2. Управление потоками информации
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему(ы) (узел сети) + +
выдачи печатных (графических) выходных документов - +
запуска (завершения) программ и процессов (заданий, задач) - -
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по
- -
линиям и каналам связи
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам
- -
ЭВМ, программам, томам, каталогам, файлам, записям, полям записей
изменения полномочий субъектов доступа - -
создаваемых защищаемых объектов доступа - -
2.2. Учет носителей информации + +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних
- +
накопителей
2.4. Сигнализация попыток нарушения защиты - -
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации - -
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных
- -
ключах
3.3. Использование аттестованных (сертифицированных) криптографических средств - -
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации + +
4.2. Физическая охрана средств вычислительной техники и носителей информации + +
4.3. Наличие администратора (службы) защиты информации в АС - -
4.4. Периодическое тестирование СЗИ НСД + +
4.5.
8 Наличие Новосибирск, 2021
средств восстановления СЗИ НСД + +
4.6. Использование сертифицированных средств защиты - +
Классификация СВТ
Определено семь классов защищенности СВТ от НСД к
информации. Самый низкий класс – седьмой, самый
высокий – первый.
Седьмой класс присваивают СВТ, к которым
предъявлялись требования по защите от НСД к
информации, но при оценке защищенность СВТ
оказалась ниже уровня требований шестого класса.
Классификация СВТ 7 класс
ПЕРВАЯ
ГРУППА только седьмой класс
5и6
ВТОРАЯ шестой и пятый классы, характеризующиеся
ГРУППА дискреционной защитой
2, 3, 4
ТРЕТЬЯ четвертый, третий и второй классы,
ГРУППА характеризующиеся мандатной защитой
1
ЧЕТВЕРТАЯ только первый класс, характеризующийся
ГРУППА
10
верифицированной защитой
Класс
Наименование показателя
6 5 4 3 2 1
Дискреционный принцип контроля доступа + + + = + =
Мандатный принцип контроля доступа - - + = = =
Очистка памяти - + + + = =
Изоляция модулей - - + = + =
Маркировка документов - - + = = =
Защита ввода и вывода на отчуждаемый физический
- - + = = =
носитель информации
Сопоставление пользователя с устройством - - + = = =
Идентификация и аутентификация + = + = = =
Гарантии проектирования - + + + + +
Регистрация - + + + = =
Взаимодействие пользователя КСЗ - - - + = =
Надежное восстановление - - - + = =
Целостность КСЗ - + + + = =
Контроль модификации - - - - + =
Контроль дистрибуции - - - - + =
Гарантии архитектуры - - - - - +
Тестирование + + + + + =
Руководство для пользователя + = = = = =
Руководство по КСЗ + + = + + =
Тестовая
11
документация
Новосибирск, 2021 + + + + + =
Конструкторская (проектная) документация + + + + + +
6 Построение системы защиты
информации
2 Правовое обеспечение
Правовая база
1. Конституция РФ. 2. Уголовный кодекс РФ.
3. Трудовой кодекс РФ. 4. Налоговый кодекс РФ.
5. Закон РФ от 21.07.1993 № 5485-1 (ред. от 29.07.2018) «О
государственной тайне».
6. Закон РФ от 27.12.1991 № 2124-1 (ред. от 06.06.2019) «О средствах
массовой информации».
7. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017)
«О персональных данных».
8. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 18.03.2019)
«Об информации, информационных технологиях и о защите
информации»
9. Федеральный закон от 29.07.2004 № 98-ФЗ (ред. от 18.04.2018) «О
коммерческой тайне».
10. Указы Президента РФ и Постановления Правительства РФ.
1, 2, 6 8
Информационные ресурсы
Ограниченного
Общедоступные
доступа
5
персональные 3, 7
Содержащие
Конфиденциальные
личного характера гос. тайну
1, 2
особой
делового характера
важности
коммерческая тайна
1, 2, 9
секретно
объекты авторского права
1, 2
объекты патентного права совершенно
1, 2 секретно
для служебного пользования
1, 10
3 профессиональная тайна
2, 4
Парадигма информационной
безопасности РФ
Доктрина информационной Указ Президента РФ от 12 мая
безопасности РФ (утв. 2009 г. № 537 «О Стратегии
Президентом РФ от 09.09.2000 национальной безопасности РФ
№ Пр-1895) до 2020 года»
Указ Президента РФ от
Указ Президента РФ от
05.12.2016 № 646 «Об
31.12.2015 № 683
утверждении Доктрины
«О Стратегии национальной
информационной безопасности
безопасности РФ»
РФ»
Первая версия Доктрины от 2000 г.
− совокупность официальных взглядов на цели, задачи,
принципы и основные направления обеспечения
информационной безопасности РФ.
Развивала Концепцию национальной безопасности РФ
применительно к информационной сфере.
Информационная безопасность РФ − состояние
защищенности ее национальных интересов в
информационной сфере, определяющихся
совокупностью сбалансированных интересов личности,
общества и государства.
Вторая версия Доктрины от 2016 г.
Информационная сфера – совокупность информации, объектов
информатизации, ИС, сайтов в информационно-телекоммуникационной
сети «Интернет», сетей связи, ИТ, субъектов, деятельность которых связана
с формированием и обработкой информации, развитием и использованием
названных технологий, обеспечением ИБ, а также совокупность механизмов
регулирования соответствующих общественных отношений.
Национальные интересы РФ в информационной сфере – объективно
значимые потребности личности, общества и государства в обеспечении их
защищенности и устойчивого развития в части, касающейся
информационной сферы.
Информационная безопасность – состояние защищенности личности,
общества и государства от внутренних и внешних информационных угроз,
при котором обеспечиваются реализация конституционных прав и свобод
человека и гражданина, достойные качество и уровень жизни граждан,
суверенитет, территориальная целостность и устойчивое социально-
экономическое развитие РФ, оборона и безопасность государства.
I Общие положения
Представлены основные понятия.
Указано, что в Доктрине:
1) приведена система официальных взглядов на обеспечение
национальной безопасности РФ в информационной сфере;
2) на основе анализа основных информационных угроз и оценки
состояния ИБ определены стратегические цели и основные
направления обеспечения ИБ с учетом стратегических
национальных приоритетов РФ;
3) заложена основа для формирования гос. политики и развития
общественных отношений в области обеспечения ИБ, а также для
выработки мер по совершенствованию системы обеспечения ИБ.
II Национальные интересы в
информационной сфере
Реализация национальных интересов в информационной
сфере направлена на формирование безопасной среды
оборота достоверной информации и устойчивой к различным
видам воздействия информационной инфраструктуры в целях
обеспечения конституционных прав и свобод человека и
гражданина, стабильного социально-экономического
развития страны, а также национальной безопасности РФ.
III Основные информационные
угрозы и состояние ИБ
Возможности трансграничного оборота информации все чаще
используются для достижения геополитических,
противоречащих международному праву военно-
политических, а также террористических, экстремистских,
криминальных и иных противоправных целей в ущерб
международной безопасности и стратегической стабильности.
При этом практика внедрения ИТ без увязки с обеспечением
ИБ существенно повышает вероятность проявления
информационных угроз.
IV Стратегические цели и основные
направления обеспечения ИБ
Стратегической целью обеспечения ИБ в области:
1) обороны страны является защита жизненно важных
интересов личности, общества и государства от внутренних и
внешних угроз, связанных с применением ИТ в военно-
политических целях, противоречащих международному праву,
в том числе в целях осуществления враждебных действий и
актов агрессии, направленных на подрыв суверенитета,
нарушение территориальной целостности государств и
представляющих угрозу международному миру, безопасности
и стратегической стабильности.
2) государственной и общественной безопасности является
защита суверенитета, поддержание политической и
социальной стабильности, территориальной целостности РФ,
обеспечение основных прав и свобод человека и гражданина, а
также защита критической информационной инфраструктуры
(КИИ).
3) экономики является сведение к минимально возможному
уровню влияния негативных факторов, обусловленных
недостаточным уровнем развития отечественной отрасли ИТ
и электронной промышленности, разработка и производство
конкурентоспособных средств обеспечения ИБ, а также
повышение объемов и качества оказания услуг в области
обеспечения ИБ.
4) науки, технологий и образования является поддержка
инновационного и ускоренного развития системы
обеспечения ИБ, отрасли ИТ и электронной промышленности.
5) стратегической стабильности и равноправного
стратегического партнерства является формирование
устойчивой системы неконфликтных межгосударственных
отношений в информационном пространстве.
V Организационные основы
обеспечения ИБ
Определены:
− государственные органы являющиеся организационной
основой системы обеспечения ИБ;
− участники системы обеспечения ИБ;
− принципы, на которых должна основываться деятельность
государственных органов по обеспечению ИБ;
− задачи государственных органов в рамках деятельности по
обеспечению ИБ;
− задачи государственных органов в рамках деятельности по
развитию и совершенствованию системы обеспечения ИБ.
Стратегия от 2009 г.
Основная задача: формирование и поддержание силами
обеспечения нацбезопасности внутренних и внешних условий,
благоприятных для реализации стратегических нацприоритетов.
Приоритеты национальной безопасности:
− национальная оборона;
− государственная и общественная безопасность;
− повышение качества жизни российских граждан;
− экономический рост;
− наука, технологии и образование;
− здравоохранение;
− культура;
− экология живых систем и рациональное природопользование;
− стратегическая стабильность и равноправное стратегическое
16 партнерство.
Стратегия от 2015 г... (без срока
действия)
Национальная безопасность РФ − состояние защищенности
личности, общества и государства от внутренних и внешних
угроз, при котором обеспечиваются:
− реализация конституционных прав и свобод граждан РФ,
− достойные качество и уровень их жизни,
− суверенитет, независимость, государственная и
территориальная целостность,
− устойчивое социально-экономическое развитие РФ.
Стратегические приоритеты национальной безопасности без
изменений.
Национальная безопасность
Оборона страны Безопасность
Национальная безопасность − государственная,
включает в себя оборону страны и − общественная,
все виды безопасности, − информационная,
предусмотренные Конституцией РФ − экологическая,
и законодательством РФ, прежде
− экономическая,
всего: государственную,
общественную, информационную,
− транспортная,
экологическую, экономическую, − энергетическая безопасность,
транспортную, энергетическую − безопасность личности и др
безопасность, безопасность
личности.
Для предотвращения угроз национальной безопасности
Россия сосредоточивает усилия на:
− укреплении внутреннего единства российского общества;
− обеспечении социальной стабильности, межнационального
согласия и религиозной терпимости;
− устранении структурных дисбалансов в экономике и ее
модернизации;
− повышении обороноспособности страны.
В целях защиты национальных интересов Россия проводит
открытую, рациональную и прагматичную внешнюю
политику, исключающую затратную конфронтацию (в том
числе новую гонку вооружений).
Россия выстраивает международные отношения на
принципах:
− международного права;
− обеспечения надежной и равной безопасности государств;
− взаимного уважения народов;
− сохранения многообразия их культур, традиций и интересов.
Россия заинтересована в развитии взаимовыгодного и
равноправного торгово-экономического сотрудничества с
иностранными государствами (приобретение как можно
большего числа равноправных партнеров в различных частях
мира).
Организация Объединенных Наций и ее Совет Безопасности
БРИКС РИК форум «Азиатско-

Шанхайская
(Бразилия, (Россия, тихоокеанское
организация
Россия, Индия, Индия, экономическое
сотрудничества
Китай, ЮАР) Китай) сотрудничество»
Содружество Независимых Организация Договора о

Государств коллективной безопасности
Евразийский экономический союз
Китайская Народная Республика Республика Индия
Республики Абхазия и Южная Осетия,

21 Новосибирск, 2021 государства Латинской Америки, Африки, Европы
В области международной безопасности Россия сохраняет
приверженность использованию прежде всего политических и
правовых инструментов, механизмов дипломатии и
миротворчества. Применение военной силы для защиты
национальных интересов возможно только в том случае, если
все принятые меры ненасильственного характера оказались
неэффективными.
При реализации настоящей Стратегии особое внимание
уделяется обеспечению информационной безопасности с
учетом стратегических национальных приоритетов.
3 Критическая информационная
инфраструктура
3 Критическая информационная
инфраструктура
Федеральный закон от 26.07.2017 N 187-ФЗ
«О безопасности критической информационной
инфраструктуры Российской Федерации»
Критическая информационная инфраструктура
(КИИ) – объекты критической информационной
инфраструктуры, а также сети электросвязи,
используемые для организации взаимодействия таких
объектов.
Значимый объект КИИ – объект КИИ, которому

присвоена одна из категорий значимости и который
включен в реестр значимых объектов критической
информационной инфраструктуры.
Объекты КИИ – ИС, информационно-телекоммуникационные сети,
автоматизированные системы управления субъектов КИИ.
Субъекты КИИ – государственные органы, государственные
учреждения, российские юридические лица и (или) индивидуальные
предприниматели, которым на праве собственности, аренды или на
ином законном основании принадлежат ИС, информационно-
телекоммуникационные сети, автоматизированные системы
управления, функционирующие в сфере:
здравоохранения науки транспорта связи энергетики
банковской сфере и иных топливно-энергети- в области
сферах финансового рынка ческого комплекса атомной энергии
оборонной ракетно-космической горнодобывающей
промышленности промышленности промышленности
металлургической промышленности химической промышленности
российские юридические лица и (или) индивидуальные

предприниматели, которые обеспечивают взаимодействие указанных
систем или сетей
Федеральный закон N 187-ФЗ
Автоматизированная система управления (АСУ) –
комплекс программных и программно-аппаратных
средств, предназначенных для контроля за
технологическим и (или) производственным
оборудованием (исполнительными устройствами) и
производимыми ими процессами, а также для
управления такими оборудованием и процессами.
Безопасность КИИ – состояние защищенности КИИ,
обеспечивающее ее устойчивое функционирование при
проведении в отношении ее компьютерных атак.
Компьютерная атака – целенаправленное воздействие
программных и (или) программно-аппаратных средств на
объекты КИИ, сети электросвязи, используемые для
организации взаимодействия таких объектов, в целях
нарушения и (или) прекращения их функционирования и
(или) создания угрозы безопасности обрабатываемой такими
объектами информации.
Компьютерный инцидент – факт нарушения и (или)
прекращения функционирования объекта КИИ, сети
электросвязи, используемой для организации взаимодействия
таких объектов, и (или) нарушения безопасности
обрабатываемой таким объектом информации, в том числе
произошедший в результате компьютерной атаки.
Государственная система обнаружения,
предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы РФ
(ГосСОПКА) – единый территориально распределенный
комплекс, включающий силы и средства, предназначенные
для обнаружения, предупреждения и ликвидации
последствий компьютерных атак и реагирования на
компьютерные инциденты.
При этом под информационными ресурсами РФ
понимаются ИС, информационно-телекоммуникационные
сети и автоматизированные системы управления,
находящиеся на территории РФ, в дипломатических
представительствах и (или) консульских учреждениях РФ.
Категорирование объекта КИИ
представляет собой установление соответствия объекта КИИ
критериям значимости и показателям их значений,
присвоение ему одной из категорий значимости, проверку
сведений о результатах ее присвоения.
первая третья
вторая
(самая высокая) (самая низкая)
социальная значимость, выражающаяся в оценке возможного ущерба,

причиняемого жизни или здоровью людей, возможности прекращения
или нарушения функционирования объектов обеспечения
жизнедеятельности населения, транспортной инфраструктуры, сетей
связи, а также максимальном времени отсутствия доступа к
государственной услуге для получателей такой услуги
первая вторая третья
политическая значимость, выражающаяся в оценке

возможного причинения ущерба интересам РФ в вопросах
внутренней и внешней политик
экономическая значимость, выражающаяся в оценке

возможного причинения прямого и косвенного ущерба
субъектам КИИ и (или) бюджетам РФ
первая вторая третья
экологическая значимость, выражающаяся в оценке

уровня воздействия на окружающую среду
значимость объекта КИИ для обеспечения обороны страны,

безопасности государства и правопорядка
Во исполнение ФЗ № 187
Функции федерального органа исполнительной власти,
уполномоченного в области обеспечения функционирования
государственной системы обнаружения, предупреждения и
ликвидации последствий компьютерных атак на
информационные ресурсы РФ возложить на:
Федеральную службу безопасности
Российской Федерации
Указ Президента РФ от 22.12.2017 N 620

«О совершенствовании государственной системы
обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы РФ»
ГосСОПКА (пр. ФСБ России от 06.05.2019 N 196 «Об утверждении
Требований к средствам, предназначенным для обнаружения,
предупреждения и ликвидации последствий компьютерных атак и
реагирования на компьютерные инциденты»)
1) технические, программные, программно-аппаратные и иные
средства для:
- обнаружения компьютерных атак ;
- предупреждения компьютерных атак;
- ликвидации последствий компьютерных атак;
- поиска признаков компьютерных атак (ППКА) в сетях
электросвязи, используемых для организации взаимодействия
объектов КИИ;
- обмена информацией, необходимой субъектам КИИ при
обнаружении, предупреждении и (или) ликвидации последствий
компьютерных атак;
2) криптографические средства защиты информации, необходимые
субъектам КИИ при обнаружении, предупреждении и (или)
ликвидации последствий компьютерных атак.
ГосСОПКА
Должны быть выполнены функции:
идентификации и аутентификации пользователей
разграничения прав доступа к информации и функциям
регистрации событий ИБ
обновления программных компонентов и служебных баз данных
резервирования и восстановления своей работоспособности
синхронизации системного времени и корректировки временных

значений (корректировки настроек часовых поясов)
контроля целостности ПО
Приказ ФСТЭК России от 21.12.2017 N 235 (ред. от 27.03.2019) «Об
утверждении Требований к созданию систем безопасности значимых
объектов КИИ РФ и обеспечению их функционирования»
Должны быть созданы системы безопасности

субъектов КИИ и включать в себя правовые,
организационные, технические и иные меры,
направленные на обеспечение информационной
безопасности (защиты информации) субъектов КИИ.
Перечень показателей критериев значимости
объектов КИИ РФ и их значений
представлен в Постановлении Правительства РФ от
08.02.2018 N 127 (ред. от 13.04.2019) «Об утверждении
Правил категорирования объектов КИИ РФ, а также
перечня показателей критериев значимости объектов
КИИ РФ и их значений».
Значение показателя
Показатель
III категория II категория I категория
I. Социальная значимость
1. Причинение ущерба жизни и более или равно 1, но менее более 50, но менее или равно более 500
здоровью людей (человек) или равно 50 500
2. Прекращение <1> или <1> Полное прекращение выполнения критического процесса.
нарушение <2> Отклонение значений параметров критического процесса, в том числе
функционирования <2> временных параметров и параметров надежности, от проектных (штатных)
объектов обеспечения режимов функционирования.
жизнедеятельности <3> Объекты, обеспечивающие водо-, тепло-, газо- и электроснабжение
населения <3>, оцениваемые: населения.
а) на территории, на которой в пределах территории выход за пределы выход за пределы
возможно нарушение одного муниципального территории одного территории одного
обеспечения образования (численностью муниципального субъекта
жизнедеятельности от 2 тыс. человек) или одной образования (численностью Российской
населения; внутригородской от 2 тыс. человек) или одной Федерации или
территории города внутригородской территории города
федерального значения территории города федерального
федерального значения, но значения
не за пределы территории
одного субъекта РФ или
территории города
федерального значения
б) по количеству людей, более или равно 2, но менее более или равно 1000, но более или равно
условия жизнедеятельности 1000 менее 5000 5000
которых могут быть
Новосибирск,
15 нарушены 2021
(тыс. человек)
4 Угрозы и уязвимости
4 Угрозы и уязвимости
Уязвимость информационной системы – свойство
информационной системы, обусловливающее возможность
реализации угроз безопасности обрабатываемой в ней
информации. [ГОСТ Р 50922-2006]
Угроза безопасности информации – совокупность условий и
факторов, создающих потенциальную или реально
существующую опасность нарушения безопасности
информации. [ГОСТ Р 50922-2006]
Атака – действия, направленные на реализацию угроз
несанкционированного доступа к информации, воздействия
на нее или на ресурсы автоматизированной информационной
системы с применением программных и (или) технических
средств. [Р 50.1.056-2005]
Примечание: условием реализации угрозы безопасности
обрабатываемой в системе информации может быть
недостаток или слабое место в информационной системе. Если
уязвимость соответствует угрозе, то существует риск.
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
1. По области происхождения выделяют следующие
классы:
уязвимости уязвимости
уязвимости кода
конфигурации архитектуры
организационные многофакторные
уязвимости уязвимости
[ГОСТ Р 56546-2015]
2. Уязвимости ИС по типам недостатков ИС.
2.1
недостатки, связанные - отсутствие необходимого параметра;
с неправильной - присвоение параметру неправильных
настройкой значений;
параметров ПО - наличие избыточного числа
параметров или неопределенных
параметров ПО.
2.2
недостатки, связанные - отсутствие проверки значений;
с неполнотой - избыточное количество значений;
проверки вводимых - неопределенность значений вводимых
(входных) данных (входных) данных.
[ГОСТ Р 56546-2015]
2.3
недостатки, связанные - отслеживание пути доступа к каталогу
с возможностью (по адресной строке/составному имени)
прослеживания пути и получение доступа к
доступа к каталогам предыдущему/корневому месту
хранения данных.
2.4
- внедрение нарушителем ссылки на
недостатки, связанные
сторонние ресурсы, которые могут
с возможностью
содержать вредоносный код;
перехода по ссылкам
- для файловых систем: символьные
ссылки и возможности прослеживания
по ним нахождения ресурса, доступ к
5 Новосибирск, 2021 которому ограничен.
[ГОСТ Р 56546-2015]
2.5
- выполнение пользователем команд
операционной системы (например,
с возможностью
просмотр структуры каталогов,
внедрения команд ОС
копирование, удаление файлов и другие
команды).
2.6
недостатки, обычно распространен в web-
приложениях и позволяет внедрять код в
связанные с
межсайтовым web-страницы, которые могут
скриптингом просматривать нелегитимные
(выполнением пользователи (например, скрипты,
сценариев) выполняющиеся на стороне
6 Новосибирск, 2021 пользователя).
[ГОСТ Р 56546-2015]
2.7
недостатки,
связанные с - операторы языков программирования,
внедрением например, операции выбора, добавления,
интерпретируемых удаления и другие;
операторов языков - разметка исходного кода web-
программирования приложения.
или разметки
2.8
- код и/или часть кода, которые могут
привести к нарушению процесса
с внедрением
выполнения операций.
произвольного кода
[ГОСТ Р 56546-2015]
2.9
В случаях:
недостатки, связанные - когда ПО осуществляет запись данных за
с переполнением пределами выделенного в памяти буфера;
буфера памяти - неправильной работы с данными,
полученными извне, и памятью.
В результате:
- испорчены данные, расположенные
следом за буфером или перед ним;
- аварийно завершено или зависло ПО;
- нарушитель может выполнить
произвольный код от имени ПО и с
правами учетной записи, от которой она
выполняется.
[ГОСТ Р 56546-2015]
2.10
ошибки форматной строки
потенциально позволяют нарушителю
с неконтролируемой
динамически изменять путь исполнения
форматной строкой
программы, в ряде случаев - внедрять
произвольный код.
[ГОСТ Р 56546-2015]
2.11
- некорректный диапазон (ПО использует
недостатки, связанные неверное максимальное или минимальное
с вычислениями значение, которое отличается от верного на
единицу в большую или меньшую сторону);
- ошибка числа со знаком (нарушитель может
ввести данные, содержащие отрицательное
целое число, которые программа преобразует
в положительное нецелое число);
- ошибка индикации порядка байтов в числах
(в ПО смешивается порядок обработки битов,
например, обратный и прямой порядок
битов, что приводит к неверному числу в
содержимом, имеющем критическое
значение для безопасности).
[ГОСТ Р 56546-2015]
2.12
приводящие к
вследствие наличия иных ошибок
утечке/раскрытию
(например, ошибок, связанных с
использованием скриптов).
ограниченного
доступа
2.13
недостатки, связанные - нарушение политики разграничения
с управлением доступа;
полномочиями - отсутствие необходимых ролей
(учетными данными) пользователей;
- ошибки при удалении ненужных
11
учетных данных.
[ГОСТ Р 56546-2015]
2.15
недостатки, - превышение привилегий и
связанные с полномочий;
управлением - необоснованное наличие
разрешениями, суперпользователей в системе;
привилегиями и - нарушение политики разграничения
доступом доступа.
2.16
- возможность обхода аутентификации;
недостатки, связанные - ошибки логики процесса аутентификации;
с аутентификацией - отсутствие запрета множественных
неудачных попыток аутентификации;
- отсутствие требования аутентификации
12 Новосибирск, 2021 для выполнения критичных функций.
[ГОСТ Р 56546-2015]
2.17
- ошибки хранения информации в
недостатки, связанные незашифрованном виде;
с криптографическими - ошибки при управлении ключами;
преобразованиями
- использование несертифицированных
(недостатки
средств криптографической защиты
шифрования)
2.18
недостатки, связанные ПО не осуществляет или не может
с подменой осуществить проверку правильности
межсайтовых запросов формирования запроса.
[ГОСТ Р 56546-2015]
2.19
- ошибка проектирования
многопоточной системы или
приводящие к
приложения (проявляющаяся в
«состоянию гонки»
случайные моменты времени), при
которой функционирование системы или
приложения зависит от порядка
выполнения части кода.
2.20
- недостаточность мер освобождения
недостатки, связанные выделенных участков памяти после
с управлением использования, что приводит к сокращению
ресурсами свободных областей памяти;
- отсутствие очистки ресурса и процессов от
14 Новосибирск, 2021 сведений ограниченного доступа перед
повторным использованием.
[ГОСТ Р 56546-2015]
3. Уязвимости ИС по месту возникновения (проявления.
3.1
уязвимости в - уязвимости ОС (уязвимости файловых
общесистемном систем, режимов загрузки, уязвимости
(общем) программном связанные с наличием средств
обеспечении разработки и отладки ПО, механизмов
управления процессами и другие);
- уязвимости систем управления базами
данных (уязвимости серверной и
клиентской частей системы управления
базами данных, специального
инструментария, исполняемых объектов
баз данных.
[ГОСТ Р 56546-2015]
3.2
уязвимости в - уязвимости офисных пакетов программ
прикладном и иных типов прикладного ПО (наличие
программном средств разработки мобильного кода,
обеспечении недостатки механизмов контроля
исполнения мобильного кода, ошибки
программирования, наличие
функциональных возможностей,
способных оказать влияние на средства
защиты информации).
[ГОСТ Р 56546-2015]
3.3
уязвимости в - уязвимости ПО, разработанного для
специальном решения специфических задач
программном конкретной ИС (ошибки
обеспечении программирования, наличие
функциональных возможностей,
способных оказать влияние на средства
защиты информации, недостатки
механизмов разграничения доступа к
объектам специального программного
обеспечения).
[ГОСТ Р 56546-2015]
3.4
- уязвимости ПО технических средств
уязвимости в (уязвимости микропрограмм в
технических средствах постоянных запоминающих устройствах,
в программируемых логических
интегральных схемах, уязвимости
базовой системы ввода-вывода,
контроллеров управления, интерфейсов
управления).
[ГОСТ Р 56546-2015]
3.5
- уязвимости ОС мобильных
уязвимости в
(портативных) устройств;
портативных
- уязвимости приложений для получения
технических средствах
с мобильно устройства доступа к
Интернет-сервисам;
- уязвимости интерфейсов
беспроводного доступа.
[ГОСТ Р 56546-2015]
3.6
уязвимости в сетевом - уязвимости маршрутизаторов,
(коммуникационном, коммутаторов, концентраторов,
телекоммуникационном) мультиплексоров, мостов и
оборудовании телекоммуникационного оборудования
иных типов
(уязвимости протоколов и сетевых
сервисов, средств и протоколов
управления телекоммуникационным
оборудованием, недостатки механизмов
управления потоками информации,
разграничения доступа к функциям
управления телекоммуникационным
оборудованием).
[ГОСТ Р 56546-2015]
3.7
- уязвимости в средствах управления
уязвимости в
доступом, средствах идентификации и
средствах защиты
аутентификации, средствах контроля
целостности, средствах доверенной
загрузки, средствах антивирусной
защиты, системах обнаружения
вторжений, средствах межсетевого
экранирования и т.д.
Знание возможных угроз и уязвимых мест
системы защиты информации необходимо для
того, чтобы выбрать наиболее (АДЕКВАТНЫЕ)
экономичные и эффективные средства
обеспечения безопасности.
Классификация угроз
1. По компонентам ИС, на которые направлены угрозы ИБ.
угрозы аппаратному
угрозы ПО
обеспечению
угрозы данным угрозы персоналу
2. По расположению источника угроз.

внешние (вне
внутренние
рассматриваемой ИС)
3. По характеру воздействия.
случайные преднамеренные
ошибки в работе мотивы:

ПО, персонала, - недовольство
отказы и сбои в персонала;
аппаратном - любопытство...
обеспечении
природного техногенного
характера характера
стихийные отключение
24 Новосибирск, 2021 бедствия электроэнергии
4. По составляющим (свойствам) информационной
безопасности.
угрозы
угрозы целостности
конфиденциальности
угрозы доступности
5 Классификация АС и СВТ

Basics of Information Security

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Basics of Information Security

Загружено:

Авторское право:

Доступные форматы

Основы информационной

к.т.н., доцент кафедры

КУРС в ЭИОС зарегистрированным пользователям:

Кодовое слово: ОИБ42022

1. Основы информационной безопасности [Электронный ресурс] : учебник для студентов вузов,

зрение слух обоняние вкус осязание

2. По форме ее представления средствами вычислительной техники.

представление информации в форме

Семантический тезаурус –совокупность сведений, которыми располагает

5. ГОСТ 34.003-90 «Информационная технология. Комплекс

безопасность информации защита информации

доступность Классификационная схема основных

правовая Защита от НСВ

Защищаемая информационная система –

Защита информации –деятельность, направленная на

Конфиденциальность –состояние информации, при котором

Криптографическая защита информации - защита

–порядок и правила применения определенных принципов и средств

ЗИ от несанкционированного воздействия (НСВ) –защита

ЗИ от преднамеренного воздействия (ПДВ) –защита

Определены девять классов защищенности АС от НСД к

В пределах каждой группы соблюдается иерархия

БРИКС РИК форум «Азиатско-

Содружество Независимых Организация Договора о

Евразийский экономический союз

Китайская Народная Республика Республика Индия

Республики Абхазия и Южная Осетия,

Значимый объект КИИ – объект КИИ, которому

российские юридические лица и (или) индивидуальные

социальная значимость, выражающаяся в оценке возможного ущерба,

политическая значимость, выражающаяся в оценке

экономическая значимость, выражающаяся в оценке

экологическая значимость, выражающаяся в оценке

значимость объекта КИИ для обеспечения обороны страны,

Указ Президента РФ от 22.12.2017 N 620

идентификации и аутентификации пользователей

разграничения прав доступа к информации и функциям

обновления программных компонентов и служебных баз данных

резервирования и восстановления своей работоспособности

синхронизации системного времени и корректировки временных

Должны быть созданы системы безопасности

угрозы данным угрозы персоналу

2. По расположению источника угроз.

ошибки в работе мотивы:

Вам также может понравиться