Методы и средства защиты компьютерной информации : законодательные и нормативные акты по защите информации

0МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ 

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ  
ВЫСШЕГО ОБРАЗОВАНИЯ  
«НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ «МИСиС» 

ИНСТИТУТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ  
И АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ 

 
 
 

 

 

 

 
 

 

№ 3088 

Кафедра автоматизированного проектирования и дизайна 

В.Н. Костин 
 
 

Методы и средства защиты 
компьютерной информации 

Законодательные и нормативные акты  
по защите информации 

Учебное пособие 

Рекомендовано редакционно-издательским  
советом университета 
 

Москва  2018 

УДК 004.056 
 
К72 

Р е ц е н з е н т  
д-р техн. наук, проф. В.М. Крылов (АНО ВО ИИТЭМ) 
 

Костин В.Н. 
К72  
Методы и средства защиты компьютетной информации : законодательные и нормативные акты по защите информации : учеб. пособие / В.Н. Костин. – М. : Изд. Дом НИТУ 
«МИСиС», 2017. – 26 с. 
ISBN 978-5-906846-87-7 

В учебном пособии приводятся основные понятия по вопросу информационной безопасности. Анализируются возможные угрозы информационной 
безопасности. Рассматриваются законы Российской Федерации, основные 
стандарты и политика безопасности, касающиеся защиты компьютерной информации. 
Предназначено для студентов бакалавриата, обучающихся по направлению подготовки 09.03.01 «Информатика и вычислительная техника». Может 
быть полезно студентам, обучающимся по направлениям подготовки, связанным с разработкой компьютерных систем и технологий и обеспечением в 
них информационной безопасности. 

УДК 004.056 

ISBN 978-5-906846-87-7 
 В.Н. Костин, 2018 
 
 НИТУ «МИСиС», 2018 

СОДЕРЖАНИЕ 

Введение .................................................................................................... 4 
1. Основные понятия информационной безопасности.......................... 5 
2. Компьютерные системы ....................................................................... 7 
3. Угрозы информационной безопасности ............................................. 8 
3.1. Понятие угрозы информационной безопасности 
в компьютерных системах ................................................................... 8 
3.2. Информационная безопасность .................................................... 9 
3.3. Физическая безопасность ............................................................ 10 
3.4. Меры физической безопасности ................................................ 10 
4. Основные виды и источники атак на информацию ......................... 12 
5. Законодательство в сфере информационной безопасности ........... 14 
5.1. Закон РФ «О правовой охране программ для электронных 
вычислительных машин и баз данных» (от 23 сентября 1992 г.  
№ 3523-1) ............................................................................................. 14 
5.2. Федеральный закон «Об информации, информационных 
технологиях и о защите информации» (от 27 июля 2006 г.  
№ 149-ФЗ) ............................................................................................ 16 
5.3. Федеральный закон «О персональных данных» (от 27 
июля.2006 г. № 152-ФЗ) ..................................................................... 19 
6. Нормативные документы ................................................................... 22 
6.1. Стандарты безопасности информации ...................................... 22 
6.2. Политика безопасности ............................................................... 23 
Литература .............................................................................................. 25 
 

Введение 
В настоящее время в нашей стране идет широкое внедрение информационных технологий во все сферы общественной и хозяйственной жизни. Кроме того, современные информационные технологии приобретают глобальный характер. С помощью глобальной вычислительной сети Internet объединяются и перемещаются огромные 
объемы информации, позволяя пользователям сети иметь доступ к 
информационным ресурсам всего мирового сообщества. При этом 
возникает актуальная проблема защиты информации, или проблема 
информационной безопасности. 
В условиях развития рынка информационные ресурсы могут стать 
товаром, обладающим своими стоимостными характеристиками и 
потребительскими свойствами. Подобно любым существующим товарам информация также нуждается в своей сохранности и, следовательно, в защите. 
Защиту компьютерной информации можно осуществлять по четырем направлениям: 
1) законодательные и нормативные документы; 
2) использование аппаратно-программных средств защиты; 
3) использование криптозащиты информации; 
4) защита информации при использовании глобальных сетей. 
В дисциплине «Методы и средства защиты компьютерной информации» предусматривается изучение всех четырех направлений. 
В данной работе рассматриваются вопросы по первому направлению, 
связанные с законодательством РФ, посвященным защите информации, и c нормативными корпоративными документами. 
Информационные технологии представляют собой совокупность 
аппаратных средств, методов обработки информации и персонала, 
работающего с информацией. Персонал осуществляет сбор, хранение, обработку, передачу, отображение информации посредством 
информационных систем, которые являются инструментом для удовлетворения потребностей пользователей в своевременном получении 
достоверной информации. Можно сказать, что при этом информация 
является конечным «продуктом потребления», который нуждается в 
своей сохранности и защите. 
В работе приведены общие понятия, связанные с защитой информации в компьютерных системах. Кроме того, рассмотрены три закона 
Российской Федерации, посвященные защите информации, а также 
стандарты и политика безопасности в информационной области. 

1. ОСНОВНЫЕ ПОНЯТИЯ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ 

Под информацией понимаются сведения или сообщения об объектах окружающего мира, о процессах и явлениях природы, протекающих в технических устройствах и живых организмах, об исторических событиях и событиях сегодняшнего дня. Информация не 
только отображает окружающий мир, но и является источником его 
познания. Сведения или сообщения представляются в виде текста, 
числовых, табличных или графических данных, в виде речи. 
Информация обретает овеществленную форму, если она отображена на каком-либо материальном носителе. Для этого случая вводится понятие «документальная информация». Документальная 
информация – это зафиксированная на материальном носителе информация вместе с реквизитами, позволяющими ее идентифицировать. Такая информация представляется в виде текста, звукозаписи 
или изображения и может использоваться для передачи во времени и 
пространстве для общественного пользования. 
В информационных процессах, протекающих в обществе, используется, с одной стороны, массовая информация, предназначенная 
для неограниченного круга лиц, а с другой – конфиденциальная 
информация, доступ к которой ограничивается каким-либо нормативным документом. 
Конфиденциальная информация, в свою очередь, может быть 
подразделена: 
– на государственную тайну; 
– коммерческую тайну; 
– персональные данные, затрагивающие права и свободы гражданина. 
Государственная тайна содержит сведения, распространение которых может нанести ущерб безопасности государства. Государственная тайна может иметь грифы секретности: «секретно», «совершенно секретно», «особой важности». Менее важной информации 
присваивается гриф «для служебного пользования».  
Понятие «коммерческая тайна» включает в себя информацию, 
связанную со сведениями, разглашение которой может нанести 
ущерб интересам какого-либо предприятия. К коммерческой тайне 
можно отнести сведения: 
– о производстве выпускаемой продукции; 

– финансовой деятельности предприятия; 
– научных разработках; 
– организации системы безопасности; 
– по другим вопросам, определяемым самой организацией. 
Применительно к банкам, являющимся кредитными организациями, используется понятие «банковская тайна». Под банковской тайной понимают обязанность учреждения сохранять тайну по операциям клиентов банка, счетам и вкладам, ограждать банковские операции от ознакомления с ними посторонних лиц. 

2. КОМПЬЮТЕРНЫЕ СИСТЕМЫ 

Развитие общества вызывает рост информационных потоков, связанных с получением, хранением, обработкой и передачей информации. Стремительный рост объема информации и ее обработки в XX 
веке привело к понятию «информационные технологии», подобно 
технологиям материального мира. Информационные технологии 
(ИТ) – это процесс, использующий совокупность средств и методов 
сбора, хранения, обработки и передачи данных (первичной информации) для получения информации нового качества о состоянии объекта, процесса или явления (информационного продукта). 
Появление электронных вычислительных машин (ЭВМ) послужило основой новых средств для реализации ИТ. Ручную обработку 
информации заменили на автоматизированную с помощью ЭВМ в 
качестве технического средства и соответствующего программного 
обеспечения (ПО). 
Взаимосвязанную совокупность средств, методов и персонала, 
обеспечивающих сбор, хранение, обработку, передачу и отображение 
информации, определили как компьютерную систему (КС), основой которой является информационная система. При этом информационные системы являются наиболее важной составляющей процесса использования информационных ресурсов общества. 
Для защиты информации в КС необходимо защищать технические 
и программные средства, а также машинные носители от несанкционированных воздействий на них.  
Компьютерная система как объект защиты представляет собой совокупность следующих взаимосвязанных компонентов: 
– технических средств обработки и передачи данных; 
– информационных массивов, представленных на различных машинных носителях; 
– программных средств, реализующих соответствующие методы, 
алгоритмы и технологию обработки информации; 
– обслуживающего персонала и пользователей системы, объединенных по организационному, предметно-тематическому, технологическому и другим принципам.  

3. УГРОЗЫ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ 

3.1. Понятие угрозы информационной безопасности  
в компьютерных системах 

Для эффективной защиты информации в КС необходимо рассмотреть и проанализировать все факторы, представляющие угрозу информационной безопасности. 
Под угрозой информационной безопасности КС понимают потенциально возможное событие, действие, процесс или явление, которые могут оказать нежелательное воздействие на систему, а также 
на информацию, которая в ней хранится и обрабатывается: уничтожение, искажение, копирование, хищение, несанкционированное 
распространение информации, ограничение или блокирование доступа к ней. 
Независимо от специфики конкретных видов угрозы информационная безопасность должна сохранять такие свойства информации и 
систем ее обработки, как: 
– целостность; 
– конфиденциальность; 
– доступность. 
Целостность информации заключается в ее существовании в неискаженном виде. Угроза нарушения целостности включает в себя 
любое умышленное изменение информации. Вместе с тем могут 
быть непреднамеренные действия, нарушающие целостность информации, связанные со случайными сбоями и отказами в работе технических средств, ошибками персонала и программного обеспечения. 
Конфиденциальность информации – это свойство, указывающее на необходимость введения ограничений на круг субъектов, 
имеющих доступ к данной информации. 
Доступность информации – это свойство системы, в которой 
циркулирует информация, характеризующее способность обеспечивать своевременный и беспрепятственный доступ субъектов к интересующей их информации. 
В современных КС всегда должен обеспечиваться тот или иной 
уровень защиты информации. Для преодоления существующей системы защиты необходимо предварительно получить тем или иным 
способом данные о параметрах и характеристиках этой системы. Уг

роза раскрытия параметров КС, включая параметры ее системы защиты, обычно рассматривается как еще один вид угрозы информационной безопасности. 

3.2. Информационная безопасность 

Под информационной безопасностью понимают меры по защите 
информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность 
включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. 
Цель информационной безопасности – обезопасить ценности системы, защитить и гарантировать точность и целостность информации, минимизировать разрушения, которые могут иметь место, если 
информация будет модифицирована или разрушена. 
Информационная безопасность должна достигать следующих целей: 
– целостность информации и связанных с ней процессов (создание, ввод, обработка и вывод); 
– конфиденциальность информации; 
– доступность информации (когда она нужна); 
– учет всех процессов, связанных с информацией. 
Эти свойства информации могут быть нарушены такими злоупотреблениями, как:  
– ввод неавторизованной информации (создание неавторизованных файлов); 
– манипуляция и неправильное использование файлов; 
– кража информации, компьютерных программ и оборудования; 
– обход внутренних мер защиты.  
К информационным системам предъявляются следующие требования: 
– надежность – гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано; 
– точность – гарантия точного и полного выполнения всех запросов; 
– контроль доступа – гарантия того, что ограничения на доступ к 
информации различных групп лиц постоянно выполняются; 
– контроль аутентификации – гарантия того, что клиент является 
тем, за кого себя выдает; 

– устойчивость к умышленным сбоям – гарантия того, что при 
умышленном внесении ошибок (в пределах оговоренных) система 
будет вести себя так, как оговорено заранее. 

3.3. Физическая безопасность 

Физическая безопасность – это содержание компьютера и информации в нем в безопасности от физических опасностей с помощью замков на входах в помещение, где находится компьютер 
строительства ограждений вокруг зданий и размещения охраны вокруг помещения. 
Кроме того, физическая безопасность связана с внедрением мер, 
которые защищают от стихийных бедствий (пожаров, наводнений, 
землетрясений). Необходимо подчеркнуть, что меры физической 
безопасности должны отвечать требованиям современной действительности. 
Физическая безопасность должна включать меры по борьбе с возможными злоупотреблениями: 
– повреждение компьютеров или их кража; 
– разрушение дисков и магнитных лент; 
– перехват информации или ее кража и продажа. 

3.4. Меры физической безопасности 

Меры физической безопасности – это меры, противодействующие 
злонамеренным действиям, а также меры от стихийных бедствий. 
Чтобы предотвратить злонамеренные разрушения, неавторизованное использование или кражу необходимо: 
– запирать комнату с персональной электронно-вычислительной 
машиной (ПЭВМ); 
– проверять физический доступ к вычислительной технике; 
– обращаться с документами по утвержденным правилам; 
– гарантировать безопасность телефонных и компьютерных каналов связи; 
– при необходимости использовать шифрование, выделенные линии, модемы с функциями безопасности, скремблирование голосовых переговоров.  
Меры по защите информации от стихийных бедствий должны: 
– защищать от пожара и проводить проверку пожарной сигнализации; 

– не допускать скачков напряжения, которые могут очистить оперативную память. Для этого необходимо устройство бесперебойного 
питания; 
– контролировать температуру в помещении; 
– очищать воздух вокруг ПЭВМ, не курить; 
– держать еду и напитки подальше от ПЭВМ. 
Для защиты носителей информации (исходные документы, магнитные ленты, диски, распечатки, картриджи) необходимо: 
– проверять реестры носителей информации; 
– уничтожать носители информации в соответствии с утвержденным планом; 
– осуществлять доступ к носителям информации только авторизованным людям; 
– обучать пользователей правильным методам очищения и уничтожения носителей информации.