Книжная полка Сохранить
Размер шрифта:
А
А
А
|  Шрифт:
Arial
Times
|  Интервал:
Стандартный
Средний
Большой
|  Цвет сайта:
Ц
Ц
Ц
Ц
Ц

Защита информации

Покупка
Основная коллекция
Артикул: 429250.05.01
К покупке доступен более свежий выпуск Перейти
Рассматриваются основы защиты информации, анализируются угрозы информационной безопасности, стратегии и модели защиты информации, основы государственной политики РФ в области защиты информации, а также раскрыты основные виды обеспечения системы защиты информации в них. Основное внимание уделяется четырем основным видам обеспечения защиты информации в инфокоммуникационных системах: правовому, организационному, инженерно-техническому и программно-аппаратному. Материал учебного пособия опирается на современные подходы в области защиты информации. Прелназначено для студентов, обучающихся по направлению подготовки «Инфокоммуникационные технологии и системы связи».
Защита информации : учеб. пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - 2-e изд. - Москва : РИОР : ИНФРА-М, 2018. - 392 с. - (Высшее образование: Бакалавриат; Магистратура). — https://doi.org/10.12737/4868. - ISBN 978-5-369-01378-6. - Текст : электронный. - URL: https://znanium.ru/catalog/product/937469 (дата обращения: 29.03.2024). – Режим доступа: по подписке.
Фрагмент текстового слоя документа размещен для индексирующих роботов. Для полноценной работы с документом, пожалуйста, перейдите в ридер.
ЗАЩИТА ИНФОРМАЦИИ

УЧЕБНОЕ  ПОСОБИЕ

Второе издание

Москва
РИОР
ИНФРА-М

Рекомендовано УМО по образованию в области 
информационных технологий и систем связи в качестве 
учебного пособия для студентов высших учебных заведений, 
обучающихся по направлению подготовки 
«Инфокоммуникационные технологии и системы связи» 
квалификации (степени) «бакалавр» 
и квалификации (степени) «магистр»

А.П. ЖУК
Е.П. ЖУК
О.М. ЛЕПЕШКИН
А.И. ТИМОШКИН

Р е ц е н з е н т ы:
Копытов В.В. — д-р техн. наук, профессор, профессор кафедры прикладной 
математики Ставропольского государственного университета;
Шуваев А.В. — д-р экон. наук, профессор, профессор кафедры прикладной 
информатики Ставропольского государственного аграрного университета

Жук А.П., Жук Е.П., Лепешкин О.М., Тимошкин А.И.
Защита информации : учеб. пособие / А.П. Жук, Е.П. Жук, 
О.М. Лепешкин, А.И. Тимошкин. — 2-е изд. — М. : РИОР : ИНФРА-М, 
2018. — 392 с. — (Высшее образование: Бакалавриат; Магистратура). — 
DOI: https://doi.org/10.12737/4868

ISBN 978-5-369-01378-6 (РИОР)
ISBN 978-5-16-010188-0 (ИНФРА-М, print)
ISBN 978-5-16-102045-6 (ИНФРА-М, online)

Рассматриваются основы защиты информации, анализируются угрозы информационной безопасности, стратегии и модели защиты информации, основы 
государственной политики РФ в области защиты информации, а также раскрыты 
основные виды обеспечения системы защиты информации в них. Основное внимание уделяется четырем основным видам обеспечения защиты информации в 
инфокоммуникационных системах: правовому, организационному, инженернотехническому и программно-аппаратному. Материал учебного пособия опирается на современные подходы в области защиты информации.
Предназначено для студентов, обучающихся по направ лению подготовки 
«Инфокоммуникационные технологии и системы связи».

УДК 004.056(075.8)
ББК 32.973я73

УДК 004.056(075.8)
ББК 32.973я73
 
Ж84

Ж84

Подписано в печать 05.09.2017 
Формат 6090/16. Гарнитура Newton. Бумага офсетная 
Печать офсетная. Усл. печ. л. 24,5. Уч.-изд. л. 25,86.
Доп. тираж 30 экз.
Цена свободная.

ТК 429250–937469–050917

ООО «Издательский Центр РИОР»
127282, Москва, ул. Полярная, д. 31В.
Тел.: (495) 280-38-67. Факс: (495) 280-36-29.
E-mail: info@rior.ru    http://www.rior.ru

ООО «Научно-издательский центр ИНФРА-М»
127282, Москва, ул. Полярная, д. 31В, стр. 1.
Тел.: (495) 280-15-96. Факс: (495) 280-36-29.
E-mail: books@infra-m.ru     http://www.infra-m.ru

ФЗ 
№ 436-ФЗ
Издание не подлежит маркировке 
в соответствии с п. 1 ч. 4 ст. 11

© Жук А.П., 
Жук Е.П., 
Лепешкин О.М., 
Тимо шкин А.И.

ISBN 978-5-369-01378-6 (РИОР)
ISBN 978-5-16-010188-0 (ИНФРА-М, print)
ISBN 978-5-16-102045-6 (ИНФРА-М, online)

 
ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ

АС — автоматизированная система;
ГК РФ — Гражданский кодекс Российской Федерации;
ЗИ — защита информации;
ИБ — информационная безопасность;
ИЗТООИ — инженерная зашита и техническая охрана объектов 
информатизации;
ИС — информационная система;
КС — канал связи;
ЛВС — локальная вычислительная сеть;
НСД — несанкционированный доступ;
ООИ — объект обработки информации;
ОС — операционная система;
ПК — персональный компьютер;
ПЭВМ — персональная электронно-вычислительная машина;
СВР России — Служба внешней разведки Российской Федерации;
СУБД — система управления базами данных;
УС — узел связи;
УК РФ — Уголовный кодекс Российской Федерации;
ФСБ России — Федеральная служба безопасности Российской 
Федерации; 
ФСО России — Федеральная служба охраны Российской Федерации;
ФСТЭК России — Федеральная служба по техническому и экспертному контролю;
ЭВМ — электронно-вычислительная машина;
ЭЦП — электронная цифровая подпись.

ВВЕДЕНИЕ

В связи с развивающимся процессом информатизации общества 
увеличиваются объемы информации, которые накапливаются, хранятся и обрабатываются в автоматизированных информационных 
системах, построенных на основе современных средств вычислительной техники и связи. 
Под качеством информации понимается совокупность свойств, 
обусловливающих пригодность информации удовлетворять определенные потребности ее пользователей. Одним из показателей качества информации является ее защищенность, под которой понимается поддержание на заданном уровне тех параметров информации, 
которые характеризуют установленный статус ее хранения, обработки и использования.
К защищаемой относится информация, являющаяся предметом 
собственности и подлежащая защите в соответствии с требованиями 
правовых документов или требованиями, устанавливаемыми собственником информации.
Целью защиты информации является предотвращение ущерба 
собственнику, владельцу или пользователю информации. Под эффективностью защиты информации понимается степень соответствия 
результатов защиты информации поставленной цели. Основными 
характеристиками защищаемой информации являются конфиденциальность, целостность и доступность
Анализ тенденций развития информационных систем позволяет 
сделать вывод, что в последние годы появилась и развивается новая 
современная технология — технология защиты информации в 
компьютерных информационных системах и в сетях передачи данных. 
Реализация этой технологии требует увеличивающихся расходов и 
усилий. Однако все это позволяет избежать значительно превосходящих потерь и ущерба, которые могут возникнуть при реальном 
осуществлении угроз информационных систем (ИС) и информационных технологий (ИТ). 
Активные угрозы имеют целью нарушение нормального функционирования информационных систем путем целенаправленного 
воздействия на их компоненты. К активным угрозам относятся, например: 
 
– вывод из строя компьютера или его операционной системы; 
 
– искажение сведений в базах данных; 

– разрушение программного обеспечения компьютеров; 
 
– нарушение работы линий связи и т.д.
Источником активных угроз могут быть действия взломщика, 
вредоносные программы и т.п. 
Создание систем информационной безопасности (СИБ) в ИС и 
ИТ основывается на следующих принципах: 
1. Системный подход к построению системы зашиты, означающий оптимальное сочетание взаимосвязанных организационных, 
программных, аппаратных, физических и других свойств, подтвержденных практикой создания отечественных и зарубежных систем 
защиты и применяемых на всех этапах технологического цикла обработки информации. 
2. Принцип непрерывного развития системы является одним из 
основополагающих для компьютерных информационных систем, 
еще более актуален для СИБ. 
3. Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т.е. предоставление 
как пользователям, так и самим работникам ИС минимума строго 
определенных полномочий, достаточных для выполнения ими своих 
служебных обязанностей. 
4. Полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности 
каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИТ без ее предварительной регистрации. 
5. Обеспечение надежности системы защиты, т.е. невозможность 
снижения уровня надежности при возникновении в системе сбоев, 
отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала. 
6. Обеспечение контроля функционирования системы защиты, 
т.е. создание средств и методов контроля работоспособности механизмов защиты. 
7. Обеспечение всевозможных средств борьбы с вредоносными 
программами. 
8. Обеспечение экономической целесообразности использования 
системы защиты, что выражается в превышении возможного ущерба 
ИС и ИТ от реализации угроз над стоимостью разработки и эксплуатации СИБ.
Реализация данных принципов защиты информации в информационных системах осуществляется следующими видами их обеспечения:

Правовое обеспечение, представляющее собой совокупность законодательных актов нормативно-правовых документов, положений, 
инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации. 
Организационное обеспечение, охватывающее все структурные 
элементы аппаратуры на всех этапах ее жизненного цикла (проектирование компьютерной информационной системы, монтаж и наладка оборудования, испытание, эксплуатация).
Инженерно-техническое (аппаратное) обеспечение, предполагающее широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности СИБ. 
Информационное обеспечение, включающее в себя сведения, 
данные, показатели, параметры, лежащие в основе решения задач, 
обеспечивающих функционирование СИБ. 
Программное обеспечение, включающее в себя различные информационные, учетные, статистические и расчетные программы, 
обеспечивающие оценку наличия и опасности различных каналов 
утечки и способов несанкционированного доступа к информации. 
Математическое обеспечение, использующее математические 
методы, применяемые для различных расчетов, связанных с оценкой 
опасности технических средств, которыми располагают злоумышленники, зон и норм необходимой защиты. 
Лингвистическое обеспечение, включающее совокупность специальных языковых средств общения специалистов и пользователей 
в сфере обеспечения информационной безопасности. 
Нормативно-методическое обеспечение, объединяющее нормы 
и регламенты деятельности органов, служб, средств, реализующих 
функции защиты информации; различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований соблюдения конфиденциальности.
В учебном пособии рассмотрены основы защиты информации в 
информационных системах и технологиях, а также раскрыты основные виды обеспечения процесса и системы защиты информации в 
них. Материал, изложенный в пособии, позволяет студентам получить 
представление о сущности и значении информации в развитии современного информационного общества, об основных требованиях 
информационной безопасности, в том числе в вопросах защиты государственной тайны, получить знания в вопросах выявления опасностей и угроз объектов информатизации.
Учебное пособие предназначено для использования в учебном 
процессе при подготовке бакалавров, обучающихся по направлению 

подготовки 210700 «Инфокоммуникационные технологии и системы 
связи», может быть использовано при проведении лекционных и 
других видов занятий по дисциплине «Защита информации».
Учебное пособие состоит из пяти глав. В первой главе учебного 
пособия рассмотрены основные положения, понятия и определения 
в области защиты информации, освещены составные элементы национальной безопасности РФ. Во второй главе рассмотрены основы 
правового обеспечения защиты информации, законодательство РФ 
в области защиты информации, защиты государственной тайны и 
конфиденциальной информации. Освещены вопросы защиты интеллектуальной собственности средствами патентного и авторского 
права, международное законодательство в области защиты информации. Третья глава посвящена рассмотрению вопросов организационного обеспечения защиты информации. В ней раскрыты задачи 
организационного обеспечения защиты информации, описана структура и изложены задачи службы безопасности объекта, рассмотрены 
особенности защиты информации при авариях и иных экстремальных 
ситуациях, а также при осуществлении международного научно-технического и экономического сотрудничества. В четвертой главе изложены основы инженерно-технического обеспечения защиты информации. В ней рассмотрены общие вопросы организации противодействия технической разведке, классификация каналов утечки 
информации, задачи и классификация методов и средств инженернотехнической защиты информации, методы и средства технической 
охраны объектов информатизации, инженерной защиты информации 
объектов, а также методы защиты информации специальными средствами. В пятой главе рассмотрены программно-аппаратные методы 
защиты информации. Освещены вопросы идентификации и аутентификации, криптографической защиты информации, электронной 
цифровой подписи, защиты программного обеспечения и файлов от 
вирусов, рассмотрены программно-аппаратные средства защиты информации в типовых операционных системах, системах управления 
базами данных и вычислительных сетях.

Глава 1. ОСНОВНЫЕ ПОНЯТИЯ 
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. 
ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ

1.1. 
ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ

Под информацией применительно к задаче ее защиты понимают 
сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Информация может 
существовать в различных формах в виде совокупностей некоторых 
знаков (символов, сигналов и т.п.) на носителях различных типов. 
В связи с развивающимся процессом информатизации общества все 
большие объемы информации накапливаются, хранятся и обрабатываются в автоматизированных системах, построенных на основе современных средств вычислительной техники и связи. В зависимости 
от формы представления информация может быть разделена на речевую, телекоммуникационную и документированную [47].
Речевая информация возникает в ходе ведения в помещениях 
разговоров, работы систем связи, звукоусиления и звуковоспроизведения. Телекоммуникационная информация циркулирует в технических средствах обработки и хранения информации, а также в каналах 
при ее передаче. К документированной информации, или документам, 
относят информацию, представленную на материальных носителях 
вместе с идентифицирующими ее реквизитами. 
К информационным процессам относят процессы сбора, обработки, 
накопления, хранения, поиска и распространения информации.
Под информационной системой понимают упорядоченную совокупность документов и массивов документов и информационных 
технологий, реализующих информационные процессы.
Информационными ресурсами называют документы и массивы документов, существующие отдельно или в составе информационных 
систем. 
Процесс создания оптимальных условий для удовлетворения информационных потребностей граждан, организаций, общества и 
государства в целом называют информатизацией.
Информацию разделяют на открытую и ограниченного доступа. 
К информации ограниченного доступа относятся государственная 
тайна и конфиденциальная информация. Государственную тайну 

могут содержать сведения, принадлежащие государству (государственному учреждению). В соответствии с Законом РФ от 21 июля 
1993 г. № 5485-1 «О государственной тайне» сведениям, представляющим ценность для государства, может быть присвоена одна из трех 
возможных степеней секретности. В порядке возрастания ценности 
(важности) информации ей может быть присвоена степень (гриф) 
«секретно», «совершенно секретно» или «особой важности». В государственных учреждениях менее важной информации может присваиваться гриф «для служебного пользования».
В соответствии с российским законодательством к конфиденциальной информации относится следующая информация:
– служебная тайна (врачебная, адвокатская, судебная, следственная и т.п.);
– коммерческая тайна;
– персональные данные (сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его 
личность).
Для обозначения ценности конфиденциальной коммерческой 
информации используют три категории:
– коммерческая тайна — строго конфиденциально;
– коммерческая тайна — конфиденциально;
– коммерческая тайна.
Информация является одним из объектов гражданских прав, в 
том числе и прав собственности, владения и пользования. Собственник информационных ресурсов, систем и технологий — это субъект 
с полномочиями владения, пользования и распоряжения указанными объектами. Владельцем информационных ресурсов, систем и технологий является субъект с полномочиями владения и пользования 
указанными объектами. Пользователь информации — это субъект, 
обращающийся к информационной системе за получением необходимой ему информации и пользующийся ею.
Таким образом, информацию правомочно рассматривать как товар, имеющий определенную цену. Цена, как и ценность информации, связана с полезностью информации для конкретных людей, 
организаций, государств.
Информация может быть ценной для ее владельца, но бесполезной для других. В этом случае информация не может быть товаром, 
следовательно, она не имеет и цены. Например, сведения о состоянии 
здоровья обычного гражданина являются ценной информацией для 
него самого. Но эта информация, скорее всего, не заинтересует когото другого, следовательно, не станет товаром и не будет иметь цены.

Информация может быть получена тремя путями:
– проведением научных исследований;
– покупкой;
– противоправным добыванием.
Как любой товар, информация имеет себестоимость, которая 
определяется затратами на ее получение. Себестоимость зависит от 
выбора путей получения информации и минимизации затрат при 
добывании необходимых сведений выбранным путем. Информация 
добывается в целях получения прибыли или преимуществ перед конкурентами, противоборствующими сторонами. Для этого информация:
– продается на рынке;
– внедряется в производство для получения новых технологий и 
товаров, приносящих прибыль;
– используется в научных исследованиях;
– позволяет принимать оптимальные решения в управлении.
Как правило, со временем ценность информации уменьшается. 
Зависимость ценности информации от времени приближенно определяется по формуле:

 
C(t) = Coe –2, 3 t/τ, 
(1.1)

где Сo — ценность информации в момент ее возникновения (получения); е — основание натурального логарифма; t — время от момента возникновения информации до момента определения ее стоимости; τ — время от момента возникновения информации до момента 
ее устаревания.
Время, через которое информация становится устаревшей, меняется в очень широком диапазоне. Например, для пилотов реактивных самолетов, автогонщиков информация о положении машин в 
пространстве устаревает за доли секунд. В то же время информация 
о законах природы остается актуальной в течение многих веков.
Количественной оценкой информации, например, применительно к i-му знаку Мi алфавита сообщений, является величина:

 
I = –log2P(Mi), 
(1.2)

где Рi — вероятность появления i-го знака алфавита.
Под качеством информации понимают совокупность свойств, обусловливающих пригодность информации удовлетворять определенные потребности ее пользователей. Одним из показателей качества 
информации является ее защищенность — поддержание на заданном 

К покупке доступен более свежий выпуск Перейти