Основы защиты информации

Федеральная служба исполнения наказаний

Владимирский юридический институт

Федеральной службы исполнения наказаний

М. Е. Рычаго, И. В. Ершова, Р. Н. Тихомиров

ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ

Учебное пособие

Владимир 

ВЮИ ФСИН России

2017

УДК 004.6
ББК 32.972.53

P95

Рецензенты:

кандидат физико-математических наук, доцент А. В. Шутов;

доктор технических наук, профессор Б. Ю. Житников

Рычаго, М. Е.

P95 
Основы защиты информации : учеб. пособие / М. Е. Рычаго, 

И. В. Ершова, Р. Н. Тихомиров ; Федер. служба исполн. наказаний, 
Владим. юрид. ин-т Федер. службы исполн. наказаний. – Владимир : ВЮИ ФСИН России, 2017. – 68 с. 

ISBN 978-5-93035-622-9

Раскрываются общие основы защиты информации, методы и способы ее 

обеспечения на различных уровнях функционирования информационной среды. Успешное освоение теоретического материала предполагает самостоятельное решение специально разработанных задач и упражнений разной степени сложности, отражающих ведомственную специфику уголовно-исполнительной системы. 

Предназначено курсантам и слушателям образовательных организаций

ФСИН России, изучающим такие учебные дисциплины, как: «Информатика 
и информационные технологии в профессиональной деятельности», «Информационные технологии в юридической деятельности», «Информационная безопасность» и др. Может быть использовано обучающимися при подготовке к учебным занятиям и различным формам контроля по указанным 
дисциплинам, а также должно помочь практическим работникам, ответственным за обеспечение безопасности информационной среды в учреждениях уголовно-исполнительной системы.

УДК 004.6
ББК 32.972.53

ISBN 978-5-93035-622-9
© Рычаго М. Е., Ершова И. В., 

Тихомиров Р. Н., 2017

© ФКОУ ВО «Владимирский юридический 

институт Федеральной службы 
исполнения наказаний», 2017

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ......................................................................................................4

Глава 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 

И ЗАЩИТЫ ИНФОРМАЦИИ.......................................................................6

1.1. ПОНЯТИЕ ИНФОРМАЦИИ, БЕЗОПАСНОСТИ,

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ........................................................... 6

1.2. ПОНЯТИЕ ЗАЩИТЫ ИНФОРМАЦИИ.................................................. 12

Глава 2. ПРАКТИЧЕСКИЕ МЕТОДЫ

И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ...............................................14

2.1. ОРГАНИЗАЦИОННО-ПРАВОВЫЕ МЕТОДЫ 

ЗАЩИТЫ ИНФОРМАЦИИ .............................................................................. 14

2.2. ТЕХНИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ .......................... 28

2.3. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ ............. 47

ЗАКЛЮЧЕНИЕ .............................................................................................64

РЕКОМЕНДАТЕЛЬНЫЙ БИБЛИОГРАФИЧЕСКИЙ СПИСОК............65

ВВЕДЕНИЕ

С появлением в 1992 г. в российском законодательстве (ст. 13 За
кона РФ «О безопасности»1) понятия «информационная безопасность», обозначившего один из видов безопасности, обеспечение которой возлагалось на Совет безопасности Российской Федерации, 
все больше внимания стало уделяться информационной сфере жизни 
общества. В связи с этим не удивительно, что к настоящему моменту 
в научной литературе существует огромное количество источников, 
так или иначе раскрывающих смысл понятий «информационная безопасность», «информационные угрозы» и т. п.

Например, обращение к крупнейшему российскому информаци
онно-аналитическому порталу eLibrary.ru с запросом «информационная безопасность» выдает более 317 тысяч ссылок на имеющиеся 
в данной электронной научной библиотеке ресурсы2. Это свидетельствует не только об актуальности проблемы, но и о сложности и многогранности рассматриваемого понятия. Хотя с исторической точки 
зрения такие термины, как «информация» и «безопасность», не являются новыми и активно обсуждались в науке задолго до появления 
компьютеров и связанных с ними информационно-телекоммуникационных технологий. 

Согласно общепринятой периодизации в истории возникновения

и развития информационных коммуникаций и вопросов обеспечения 
информационной безопасности выделяют семь этапов. Первый этап 
начинается в 1916 г., когда преобладали естественные информационные коммуникации и основная задача информационной безопасности
сводилась к защите сведений о событиях, явлениях и фактах из жизни 
человека или его окружения.

1 Закон РФ от 5 марта 1992 г. № 2446-1 «О безопасности» в настоящий момент 

утратил силу в связи с принятием Федерального закона от 28 декабря 2010 г. 
№ 390-ФЗ «О безопасности». 

2 URL: http://elibrary.ru/query_results.asp (дата обращения: 25.05.2017).

Затем, по мере развития технологий и появления новых видов ком
муникаций (открытие радиосвязи, появление радиолокационных и гидроакустических средств, изобретение ЭВМ и т. д.), возникают новые вехи в развитии понятия «информационная безопасность» и происходят 
качественные изменения в его содержании. В рамках решения задачи 
обеспечения информационной безопасности постепенно формируются 
отдельные группы методов: организационные, физические, технические и др. На современном (седьмом) этапе (который отсчитывается 
с 1985 г.) наблюдается значительное расширение методов и средств защиты информации, в том числе в области интенсивно развивающихся 
космических коммуникационных технологий.

Настоящее учебное пособие состоит из двух глав. В первой главе 

дается обзор теоретических и методологических аспектов информационной безопасности с точки зрения современного состояния науки 
и российского законодательства в данной сфере.

Вторая глава носит прикладной характер. В ней рассматриваются 

практические средства защиты информации (правовые, технические, 
криптографические и др.), приводятся примеры и предлагаются практические задачи, предназначенные как для коллективного решения в ходе 
практических занятий, так и для решения во время самостоятельной 
подготовки при изучении соответствующих тем учебных дисциплин: 
«Информатика и информационные технологии в профессиональной деятельности», «Информационные технологии в юридической деятельности», «Информационная безопасность» и др.

Все примеры, задачи и упражнения для самостоятельного реше
ния сгруппированы соответственно каждому способу защиты информации и излагаются по принципу: от простого к сложному. 

Глава 1

ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ 

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 

И ЗАЩИТЫ ИНФОРМАЦИИ

1.1. ПОНЯТИЕ ИНФОРМАЦИИ, БЕЗОПАСНОСТИ, 

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Чтобы понять точный смысл термина «информационная безопас
ность», необходимо рассмотреть сначала каждую из его составляющих в отдельности («информация» и «безопасность»), а затем – возможность их объединения на той или иной основе.

В повседневной жизни под информацией понимаются те или 

иные сведения об окружающем мире и протекающих в нем процессах. 
В связи с этим сегодня нередко употребляется термин «информационное общество», в котором информация рассматривается как объект 
купли-продажи, а во главу угла ставятся такие сферы деятельности, 
которые более всего способствуют созданию новой информации – это 
сфера услуг, наука, образование и т. п.

Помимо обозначенного повседневного смысла, в понятии ин
формации можно выделить еще ряд важных аспектов. Так, с точки 
зрения смысла, т. е. содержательной части высказываний, информацию рассматривают в рамках семантического подхода. Все те аспекты информации, которые связаны с производимым ею эффектом, обусловливающим определенную ценность информации, составляют 
круг вопросов прагматического подхода. 

Семантическая часть понятия «информация» изучается преиму
щественно в философии и логике, а ее прагматическая часть более 
интересна психологам, социологам и другими представителям гуманитарных наук, изучающим воздействие информации на человека, 
поскольку одни и те же сведения могут оказывать различное влияние 
на разных людей.

В любом случае, как при изучении информации с точки зрения ее 

смысла и содержания, так и с прагматической точки зрения приходится вводить ту или иную систему знаков на естественном или искусственном языке. Эти специальные системы знаков изучаются 
в рамках так называемого синтаксического подхода к понятию «информация». Именно эта, наиболее всего формализованная и математизированная, часть информации составляет отдельное научное 
направление, часто называемое теорией информации. В рамках этой 
теории принято абстрагироваться от смысла или эффекта информации 
и фокусировать внимание на фундаментальных вопросах измерения 
количества информации и принципиальных проблемах передачи информации по каналам связи.

Таким образом, понятие информации находится на стыке есте
ственных и гуманитарных наук. Оно формируется в одно из основных 
понятий естествознания и становится в один ряд с такими фундаментальными понятиями, как материя и энергия. 

Что касается не менее сложного и многогранного понятия «без
опасность», то вслед за А. А. Стрельцовым приведем несколько его 
наиболее распространенных интерпретаций:

1) с точки зрения психологов, безопасность рассматривается как 

ощущение, восприятие и переживание потребности в защите человека;

2) с точки зрения юристов, безопасность – это система установ
ленных законами правовых гарантий защищенности личности и общества, обеспечения их прав и свобод;

3) с точки зрения философов, безопасность трактуется как состо
яние жизнедеятельности социума, его структур и институтов, при которых обеспечивается сохранение их качественной определенности, 
оптимальное соотношение свободы и необходимости;

4) с точки зрения политологов, безопасность – это свойство 

определенной системы и результат деятельности ряда систем и органов государства1.

1 Стрельцов А. А. Обеспечение информационной безопасности России. 

Теоретические и методологические основы / под ред. В. А. Садовничего, 
В. П. Шерстюка. М., 2002. С. 46. 

Несмотря на значительный «плюрализм» и разносторонность 

приведенных подходов, можно заметить одну общую их черту: наличие (констатация) безопасности как объективного факта либо субъективного явления (ощущения) всегда означает отсутствие угрозы для человека, общества или государства, т. е. для объекта безопасности. 
Это общее свойство, очевидно, легло в законодательно закрепленное 
понятие безопасности как «состояния защищенности жизненно важных 
интересов личности, общества и государства от угроз внешнего и внутреннего характера» (ст. 1 Федерального закона «О безопасности»).

В контексте возможных угроз безопасности для человека можно

указать угрозы, возникающие вследствие его взаимодействия с другими людьми, окружающей средой, институтами общества и государства (внешние угрозы), а также вследствие состояния его организма 
(внутренние угрозы).

Угрозы обществу как объекту безопасности могут возникать в ре
зультате взаимодействия с природой, другими обществами (внешние 
угрозы), а также вследствие взаимоотношений отдельных индивидов 
и (или) социальных групп самого общества (внутренние угрозы). Аналогично обстоит дело и с угрозами безопасности на уровне государства.

Таким образом, понимание безопасности как состояния защи
щенности, т. е. невозможности причинения вреда объекту безопасности в целом либо его составным частям, свойствам или функциональным возможностям, служит «методологическим основанием для выделения видов безопасности»1.

Информация является неотъемлемым атрибутом любого из трех 

основных объектов безопасности, поэтому наличие (а точнее, отсутствие) угроз этим объектам позволяет говорить об их информационной безопасности как о безопасности их неотъемлемого информационного атрибута, который А. А. Стрельцов называет их информационным измерением и, исходя из этого, формулирует три разновидности определения информационной безопасности относительно человека, общества и государства:

1 Стрельцов А. А. Указ. соч. С. 52.

1) «информационная безопасность человека заключается в не
возможности нанесения вреда ему как личности, социальная деятельность которой во многом базируется на осмыслении получаемой информации, информационных взаимодействиях с другими индивидами 
и часто имеет информацию в качестве предмета деятельности»;

2) «информационная безопасность общества заключается в не
возможности нанесения вреда его духовной сфере, культурным ценностям, социальным регуляторам поведения людей, информационной 
инфраструктуре и передаваемым с ее помощью сообщениям»;

3) «информационная безопасность государства заключается в не
возможности нанесения вреда деятельности государства по выполнению функций управления делами общества, предметом которой выступают информация и информационная структура общества»1.

В развитие данного подхода следует подчеркнуть, что не только 

человек, общество или государство могут выступать в качестве объектов безопасности, которым присуще «информационное измерение». 
Сама информация также может рассматриваться как объект информационной безопасности, требующий защиты от возможных угроз (как 
преднамеренных, так и непреднамеренных). Такой подход широко 
распространен в социальных и технических системах.

Например, в жизни каждого человека возникают (или могут воз
никнуть) ситуации, когда свободное распространение информации, 
связанной с этим человеком, может существенно ему навредить, сказавшись на его карьере, социальном статусе, материальном благополучии и т. п. Точно так же многие организации предпочитают закрывать часть информации под грифом «коммерческая тайна». В деятельности государства тем более требуют защиты сведения, составляющие государственную тайну. Для их сохранности устанавливается 
специальный режим – режим секретности, который ограждает эти 
сведения от несанкционированного ознакомления с ними. 

В перечисленных выше случаях объектом безопасности становится 

сам режим доступа к закрытой информации, а под информационной 
безопасностью понимается невозможность нарушения режима, установленного владельцем защищаемых сведений, путем несанкционированного доступа, уничтожения, модификации и других действий. Если 
владельцем сведений является государство, то оно определяет защища
1 Стрельцов А. А. Указ. соч. С. 53–55.

емые сведения и устанавливает режим доступа к сведениям, составляющим государственную тайну1. Если защищаемые сведения принадлежат коммерческой организации, то подобный режим устанавливается 
собственником данной организации и существенно зависит от соотношения ценности коммерческой тайны и средств, необходимых на выполнение комплекса мероприятий по ее защите.

В контексте технических систем можно привести пример инфор
мационной системы, которая также может выступать в некоторых 
случаях как объект информационной безопасности, под которым 
В. Бетелин и В. Галатенко понимают «защищенность информации 
и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, 
чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры»2.

При этом ключевыми признаками информационной безопасности 

принято считать следующие три свойства информации:

– конфиденциальность – состояние информации, при котором 

доступ к ней осуществляют только субъекты, имеющие на это право;

– целостность – обеспечение неизменности информации, т. е. 

избежание ее несанкционированной модификации;

– доступность – избежание временного или постоянного сокры
тия информации от пользователей, получивших права доступа. 

Одна из целей определения угроз безопасности информации за
ключается в установлении наличия возможности нарушения ее конфиденциальности, целостности или доступности и наступления в случае нарушения хотя бы одного из этих свойств неприемлемых негативных последствий (ущерба) для обладателя информации. В основе 
процедуры оценки угроз лежат метод экспертных оценок и различные 
варианты имитационного (в частности, стоимостного) математического моделирования, позволяющие выразить риски информационной 
безопасности в стоимостном (денежном) выражении. Эти методы широко применяются при проведении мероприятий в рамках внутренних 
и внешних аудитов информационной безопасности в организации 
и будут рассмотрены ниже.

1 О государственной тайне : закон Рос. Федерации от 21 июля 1993 г. 

№ 5485-1 // Рос. газ. 1993. 21 сент.

2 Цит. по: Стрельцов А. А. Указ. соч. С. 56.

Таким образом, на основе анализа приведенных выше вариантов

трактовки понятия информационной безопасности можно сформулировать наиболее общее его определение: информационная безопасность
– это невозможность нанесения вреда свойствам объекта безопасности, 
связанным с информацией и информационной инфраструктурой1.

Основными структурными компонентами содержания понятия 

«информационная безопасность» являются ее объект, угрозы ему 
и обеспечение информационной безопасности (рис. 1).

Рис 1. Структура понятия «информационная безопасность»

Кроме того, компилируя содержание понятий «безопасность», 

«объект безопасности» и «информация» (или шире, «информационная 
среда», включающая в себя как информацию, так и информационную 
инфраструктуру и соответствующие информационные отношения), 
можно дать определение информационной безопасности в конкретной 
сфере жизнедеятельности. Исходя из этого, В. В. Сурин формулирует 
данное определение применительно к пенитенциарной системе: «Информационная безопасность органов уголовно-исполнительной системы – состояние защищенности уголовно-исполнительной системы 
в информационной сфере, состоящей из совокупности сбалансированных интересов личности, общества и государства, от внутренних 
и внешних угроз, обеспечивающее восстановление социальной справедливости, а также исправление осужденных и предупреждение совершения новых преступлений»2.

1 Стрельцов А. А. Указ. соч. С. 57.
2 Сурин В. В. Информационная безопасность уголовно-исполнительной си
стемы: подходы к определению понятия // Информ. право. 2013. № 1. С. 31–34.

Информационная 

безопасность 

(ИБ)

Объект 

ИБ

Угрозы 

объекту ИБ

Обеспечение 

ИБ