Программно-аппаратные средства обеспечения информационной безопасности

Москва
Горячая линия – Телеком 
2022

Под редакцией А. В. Душкина

Рекомендовано УМО по образованию в области 
Инфокоммуникационных технологий и систем связи в 
качестве учебного пособия для студентов высших учебных 
заведений, обучающихся по направлению подготовки 11.03.02, 
11.04.02 – «Инфокоммуникационные технологии и системы 
связи» квалификации (степени) «бакалавр», «магистр» и 
11.05.04 – «Инфо-коммуникационные технологии и системы 
специальной связи» квалификации «специалист»

УДК 681.3.067 
ББК 32.81 
     П78 

Р е ц е н з е н т ы :  нач. кафедры Воронежского института МВД России, доктор 
физ.-мат. наук, профессор В. В. Меньших ; нач. кафедры Военного учебно- 
научного центра «Военно-воздушная академия им. профессора Н. Е. Жуковского 
и Ю. А. Гагарина» доктор техн. наук, профессор П. А. Федюнин 

А в т о р ы :  А. В. Душкин, О. М. Барсуков, Е. В. Кравцов, К. В. Славнов  

П78            Программно-аппаратные средства обеспечения информационной 
безопасности. Учебное пособие для вузов / А. В. Душкин, 
О. М. Барсуков, Е. В. Кравцов, К. В. Славнов.  Под редакцией 
А. В. Душкина. – М.: Горячая линия – Телеком, 2022. – 248 с: ил. 
ISBN 978-5-9912-0470-5. 

Изложены теоретические основы создания и практического приме-
нения программно-аппаратных средств обеспечения информационной 
безопасности. Рассмотрены основные принципы создания программно-
аппаратных средств обеспечения информационной безопасности; методы 
и средства реализации отдельных функциональных требований по защите 
информации и данных; программно-аппаратные средства защиты про-
грамм; программно-аппаратные средства защиты от несанкционированно-
го доступа к информации, хранимой в ПЭВМ; программно-аппаратные 
средства защиты информации в сетях передачи данных; вопросы серти-
фикации программно-аппаратных средств обеспечения информационной 
безопасности. Значительное внимание уделено нормативно-правовой базе 
в области создания, применения и сертификации программно-аппаратных 
средств обеспечения защиты информации. Подробно описана технология 
сертификации программно-аппаратных средств на соответствие требова-
ниям информационной безопасности. 
Предназначено для студентов, курсантов, слушателей, аспирантов, 
адъюнктов, преподавателей, научных и практических работников, зани-
мающихся вопросами информационной безопасности. 

ББК 32.81 

Тиражирование книги начато в 2016 г.

Все права защищены.
Любая часть этого издания не может быть воспроизведена в какой бы то ни было 
форме и какими бы то ни было средствами без письменного разрешения правообладателя
© ООО «Научно-техническое издательство «Горячая линия – Телеком»
www.techbook.ru
© А. В. Душкин, О. М. Барсуков, Е. В. Кравцов, К. В. Славнов 

Введение

Современный мир невозможно представить без средств комму-
никаций и вычислительной техники, в которых главенствующую роль
играет программное обеспечение. Информационные технологии про-
грессируют очень быстро, охватывая все более широкие области че-
ловеческой деятельности.
Поэтому безопасность информационных
технологий является одним из важнейших аспектов обеспечения их
функционирования.
Статистика показывает, что с каждым годом растет финансо-
вый ущерб, наносимый компьютерными преступниками. Рост числа
пользователей, недостатки в программном обеспечении пользовате-
лей, наличие свободного доступа к зловредным программам, а также
практическая ненаказуемость совершения проступков привели к тому,
что организациям, компаниям и рядовым пользователям приходится
уделять внимание и время обеспечению защиты.
Современные распределенные компьютерные системы не могут
быть защищены только использованием организационных мер и
средств физической защиты. Для безопасности функционирования
информационных технологий необходимо использовать механизмы и
средства сетевой защиты, которые обеспечивают конфиденциальность, 
целостность и доступность компьютерных систем, программного 
обеспечения и данных.
В последнее десятилетие сформировался рынок средств обеспечения 
информационной безопасности, все большее число различных
организаций подключается к решению насущных задач обеспечения
защиты. Решение этих задач осложняется рядом причин. Среди них
необходимо отметить следующие: отсутствие единой терминологии и
единой теории обеспечения защиты, использование, как правило, программных 
средств зарубежных производителей, высокую стоимость
качественных средств защиты. Реализация защиты информации в современных 
корпоративных сетях опирается на использование средств
защиты, реализованных программными, аппаратными и программно-
аппаратными методами.
Количество изданий и статей, посвящен-
ных различным вопросам обеспечения информационной безопаснос-
ти, увеличивается с каждым годом.
Значимость обеспечения безопасности государства в информа-
ционной сфере подчеркнута в принятой в сентябре 2000 года «Док-

Введение

трине информационной безопасности Российской Федерации»: «На-
циональная безопасность Российской Федерации существенным обра-
зом зависит от обеспечения информационной безопасности, и в ходе
технического прогресса эта зависимость будет возрастать».
Остроту межгосударственного информационного противоборства
можно наблюдать в оборонной сфере, высшей формой которой явля-
ются информационные войны. Элементы такой войны уже имели, а в
ряде случаев до сих пор имеют место в локальных военных конфлик-
тах на Ближнем Востоке, на Балканах, на территории бывших стран
СНГ и т. д. Один из характерных примеров — вывод из строя войска-
ми НАТО системы противовоздушной обороны Ирака с помощью ин-
формационного оружия. Эксперты предполагают, что войска альянса
использовали программную закладку, внедренную заблаговременно в
принтеры, которые были закуплены Ираком у французской фирмы и
использовались в АСУ ПВО.
В настоящее время МО США (Объединённая доктрина инфор-
мационных операций JP 3-13 от 27.11.2012) приняло следующее опре-
деление термина «информационная война» — это действия, предпри-
нимаемые для достижения информационного превосходства над про-
тивником путем воздействия на имеющуюся у него информацию, за-
висящие от информации процессы, информационные системы и ком-
пьютерные сети.
Объектом внимания в такой войне становятся информационные
системы, а также информационные технологии, используемые в сис-
темах вооружений. Информационным оружием в такой войне следует
называть средства уничтожения, искажения или хищения информаци-
онных массивов, средства преодоления систем защиты, ограничения
допуска законных пользователей, дезорганизации работы аппаратуры
и компьютерных систем в целом. К ним относятся:
• компьютерные вирусы, способные размножаться, внедряться в
программы, передаваться по линиям связи, сетям передачи дан-
ных, выводить из строя системы управления;
• логические бомбы — запрограммированные устройства, которые
внедряют в информационно-управляющие центры военной или
гражданской инфраструктуры, чтобы по сигналу или в установленное 
время привести их в действие;
• средства подавления информационного обмена в телекоммуникационных 
сетях, фальсификация информации в каналах государственного 
и военного управления;
• средства нейтрализации тестовых программ;
• ошибки различного рода, сознательно вводимые злоумышленниками 
в программное обеспечение объекта.

Введение
5

Мерами для предотвращения или нейтрализации последствий
применения информационного оружия являются:
• защита материально-технических объектов, составляющих физическую 
основу информационных ресурсов;
• обеспечение нормального и бесперебойного функционирования
баз и банков данных;
• защита информации от несанкционированного доступа, ее искажения 
и уничтожения;
• сохранение качества информации (своевременности, точности,
полноты и необходимой доступности).
Обеспечение безопасности АС предполагает создание препятствий 
для любого несанкционированного вмешательства в процесс ее
функционирования, а также для попыток хищения модификации, вы-
ведения из строя или разрушения всех ее компонентов.
Противоборство государств в области информационных техноло-
гий, стремление криминальных структур противоправно использовать
информационные ресурсы, необходимость обеспечения прав граждан
в информационной сфере, наличие множества случайных угроз вы-
зывают острую необходимость обеспечения защиты информации в
компьютерных системах (КС), являющихся материальной основой ин-
форматизации общества.
Проблема обеспечения информационной безопасности на всех
уровнях может быть решена успешно только в том случае, если со-
здана и функционирует комплексная система защиты информации,
охватывающая весь жизненный цикл компьютерных систем от разра-
ботки до утилизации и всю технологическую цепочку сбора, хранения,
обработки и выдачи информации.

Основные принципы создания
программно-аппаратных средств
обеспечения информационной
безопасности

1.1. Основные понятия и определения в области
создания программно-аппаратных средств
обеспечения информационной безопасности
(ПАСОИБ)
Вначале на основании нормативной базы и руководящих докумен-
тов в области информационной безопасности приведем обобщенную
трактовку ряда базовых понятий и определений.
Информация — сведения о лицах, предметах, фактах, событиях,
явлениях и процессах независимо от формы их представления.
Информация ограниченного доступа — вид сведений, доступ к
которым ограничен в соответствии с законодательством Российской
Федерации и разглашение которых может нанести ущерб интересам
других лиц, обществу, государству.
Государственная тайна — защищаемые государством сведения в
области его военной, внешнеполитической, экономической, разведы-
вательной, контрразведывательной и оперативно-розыскной деятель-
ности, распространение которых может нанести ущерб безопасности
Российской Федерации.
Конфиденциальная информация — документированная информа-
ция, доступ к которой ограничивается в соответствии с законода-
тельством Российской Федерации.
Правило доступа к информации — совокупность правил, регла-
ментирующих порядок и условия доступа субъекта к информации и
ее носителям.
Различают санкционированный и несанкционированный доступ к
информации.
Санкционированный доступ к информации — доступ к информа-
ции, не нарушающий установленные правила разграничения доступа.
Правила разграничения доступа служат для регламентации права до-
ступа к компонентам системы.
Несанкционированный доступ (НСД) к информации характеризу-
ется нарушением установленных правил разграничения доступа. Ли-

Принципы создания средств информационной безопасности
7

цо или процесс, осуществляющие несанкционированный доступ к ин-
формации, являются нарушителями правил разграничения доступа.
Несанкционированный доступ является наиболее распространенным
видом компьютерных нарушений.
Информационная безопасность — механизм защиты, обеспечива-
ющий конфиденциальность, целостность, доступность.
Конфиденциальность информации — свойство информации, тех-
нических средств и технологии ее обработки, характеризующееся спо-
собностью информации сохраняться в тайне от субъектов, у которых
нет полномочий на право ознакомления с нею.
Доступность информации подразумевает также доступность ком-
понента или ресурса компьютерной системы, т. е. свойство компонен-
та или ресурса быть доступным для законных субъектов системы.
Вот примерный перечень ресурсов, которые должны быть доступны:
принтеры; серверы; рабочие станции; данные пользователей; любые
критические данные, необходимые для работы.
Целостность ресурса или компонента системы — свойство ресур-
са или компонента быть неизменными в семантическом смысле при
функционировании системы в условиях случайных или преднамерен-
ных искажений либо разрушающих воздействий.
С допуском к информации и ресурсам системы связана группа
таких важных понятий, как идентификация, аутентификация, автори-
зация.
С каждым субъектом системы (сети) связывают некоторую ин-
формацию (число, строку символов), идентифицирующую субъект,
Эта информация является идентификатором субъекта системы (се-
ти). Субъект, имеющий зарегистрированный идентификатор, являет-
ся законным (легальным) субъектом.
Основными рассматриваемыми объектами информационной бе-
зопасности являются автоматизированные системы.
Автоматизированная система (в том числе военного назначе-
ния) — система, состоящая из персонала и комплекса средств ав-
томатизации его деятельности, реализующая информационную тех-
нологию выполнения установленных функций
Идентификация субъекта — процедура распознавания субъекта
по его идентификатору.
Идентификация выполняется при попытке
субъекта войти в систему (сеть).
Следующим шагом взаимодействия системы с субъектом явля-
ется аутентификация субъекта.
Аутентификация субъекта — проверка подлинности субъекта с
данным идентификатором. Процедура аутентификации устанавлива-
ет, является ли субъект именно тем, кем он себя объявил.

Глава 1

После идентификации и аутентификации субъекта выполняют
процедуру авторизации.
Авторизация субъекта — процедура предоставления законному
субъекту, успешно прошедшему идентификацию и аутентификацию,
соответствующих полномочий и доступных ресурсов системы (сети).
Применительно к автоматизированным системам ослабление ин-
формационной безопасности может быть реализовано за счет влия-
ния преднамеренных или непреднамеренных угроз.
Под угрозой безопасности ИС понимаются возможные действия,
способные прямо или косвенно нанести ущерб ее безопасности.
Ущерб безопасности подразумевает нарушение состояния защищен-
ности информации,
содержащейся и обрабатываемой в системе
(сети).
Непреднамеренное воздействие на информацию — ошибка поль-
зователя информацией, сбой технических и программных средств ин-
формационных систем, природные явления или иные не направлен-
ные на изменение информации действия, приводящие к искажению,
уничтожению, копированию, блокированию доступа к информации, а
также к утрате, уничтожению или сбою функционирования носителя
информации.
С понятием угрозы безопасности тесно связано понятие уязви-
мости компьютерной системы (сети). Уязвимость компьютерной сис-
темы — это присущее системе неудачное свойство, которое может
привести к реализации угрозы.
Атака на компьютерную систему — поиск и (или) использование
злоумышленником той или иной уязвимости системы. Иными слова-
ми, атака — это реализация угрозы безопасности.
Противодействие угрозам безопасности является целью средств
защиты компьютерных систем и сетей.
Преднамеренные и непреднамеренные воздействия представля-
ют одинаковую опасность, поскольку имеют одинаковые последствия.
Для противодействия воздействиям используют автоматизированные
системы в защищенном исполнении.
Автоматизированная система в защищенном исполнении — автоматизированная 
система, реализующая информационную технологию
выполнения установленных функций в соответствии с требованиями
стандартов и/или иных нормативных документов по защите информации.

Защищенная система — система со средствами защиты, которые
успешно и эффективно противостоят угрозам безопасности.
Система защиты информации автоматизированной системы —
совокупность всех технических, программных и программно-техниче-

Принципы создания средств информационной безопасности
9

ских средств защиты информации и средств контроля эффективности
защиты информации.
Способ защиты информации — порядок и правила применения
определенных принципов и средств защиты информации.
Средство защиты информации — техническое,
программное
средство, вещество или материал, предназначенное либо используемое 
для защиты информации.
Комплекс средств защиты (КСЗ) представляет собой совокупность 
программных и технических средств, создаваемых и поддер-
живаемых для обеспечения информационной безопасности системы
(сети). КСЗ создается и поддерживается в соответствии с принятой
в данной организации политикой безопасности.
Техника защиты информации — средства защиты информации,
средства контроля эффективности защиты информации, средства и
системы управления, предназначенные для обеспечения защиты информации.

Обеспечение безопасности информационных систем (ИС) предполагает 
организацию противодействия любому несанкционированному 
вторжению в процесс функционирования ИС, а также попыткам
модификации, хищения, выведения из строя или разрушения ее компонентов, 
т. е. защиту всех компонентов ИС — аппаратных средств,
программного обеспечения, данных и персонала. Конкретный подход
к проблеме обеспечения безопасности основан на политике безопасности, 
разработанной для ИС.
Политика безопасности — это совокупность норм, правил и практических 
рекомендации, регламентирующих работу средств защиты
компьютерной системы от заданного множества угроз.
Естественно, 
политика безопасности должна быть реализована в соответствии 
с нормативно-правовой базой создания программно-аппаратных
средств обеспечения информационной безопасности.

1.2. Нормативно-правовая база создания ПАСОИБ
Главенствующим документом России, нормирующим всю основ-
ную совокупность мер и действий, обязательных для разрешения про-
блем информационной безопасности всех создаваемых, привлекаемых
извне и обслуживаемых информационных разработок является Док-
трина информационной безопасности РФ, подписанная в 2000 году
Президентом Российской Федерации В. Путиным. Опирающаяся на
Доктрину совокупность законных и подзаконных актов, так или иначе
затрагивающих эту проблему, представляет тот мост, который свя-
зывает административные решения и упомянутые выше стандарты
непосредственно технологического, проектного предназначения и ха-
рактера.

Глава 1

Нормативно-правовая база создания ПАСОИБ

Нормативно-правовая база являет собой иерархическую структу-
ру, представленную на рис. 1.1.
Нормативную правовую основу создания ПАСОИБ составляют:
• Конституция Российской Федерации;
• Федеральные законы:
◦ «О военном положении»;
◦ «Об обороне»;
◦ «О государственной тайне»;
◦ «Об информации, информатизации и защите информации»;
◦ «Об участии в международном информационном обмене»;
◦ «О лицензировании отдельных видов деятельности»;
◦ «О техническом регулировании»;
• Законы Российской Федерации:
◦ «О безопасности»;
◦ «О средствах массовой информации»;
• Доктрина информационной безопасности Российской Федерации;
• государственные стандарты в области защиты информации:
◦ ГОСТ 34.003-90. Информационная технология. Комплекс
стандартов на автоматизированные системы. Автоматизи-
рованные системы. Термины и определения;
◦ ГОСТ Р 34.10-94.
Информационная технология.
Крипто-
графическая защита информации. Процедуры выработки и
проверки электронной цифровой подписи на базе асиммет-
рического криптографического алгоритма;
◦ ГОСТ Р 34.11-94. Информационная технология. Криптогра-
фическая защита информации. Функция хэширования;
◦ ГОСТ 34.201-89. Информационная технология. Комплекс
стандартов на автоматизированные системы.
Виды, ком-