Защита информации

РостовнаДону
«Феникс»
2016

Серия «Высшее образование»

Ю. М. Краковский

ЗАЩИТА 
ИНФОРМАЦИИ

Учебное пособие

Рекомендовано УМО РАЕ по классическому университетскому 
и техническому образованию в качестве учебного пособия 
для студентов высших учебных заведений, 
обучающихся по направлению подготовки 09.03.01 
«Информатика и вычислительная техника» 
(протокол № 528 от 10 августа 2015 года)

УДК 004.05(075.8)
ББК 32.973-018.2я73
КТК 216
       К78

ISBN 978-5-222-26911-4

ISBN 978-5-222-26911-4

Краковский Ю. М.
К78    Защита информации : учебное пособие / Ю. М. Краковский. — Ростов н/Д : Феникс, 2016. — 347, [1] с. : ил. — (Высшее образование).

УДК 004.05(075.8)
ББК 32.973-018.2я73

© Краковский Ю. М., 2015
© ООО «Феникс»: оформление, 2015

В книге содержится теоретический и практический материал по дисциплине 
«Защита информации». Особенностью настоящего учебного пособия является изложение вопросов, которые в меньшей степени рассматриваются в других учебных пособиях, а именно: управление информационными рисками; современное 
нормативно-правовое обеспечение информационной безопасности; влияние 
средств защиты информации на электронный документооборот; подготовка и 
проведение лабораторно-практических занятий.
Для практического закрепления теоретического материала автором подготовлено восемь лабораторных работ (Приложении № 1). Также пособие содержит 
еще шесть приложений с различным назначением.
Рекомендуется студентам, обучающимся по программам бакалавриата и магистратуры различных форм обучения, которые изучают дисциплины, связанные 
с информационной безопасностью, а также практикующим специалистам в области кибербезопасности и защиты информации.

Рецензенты:
О. В. Кузьмин, зав. кафедрой «Теория вероятностей и дискретная математика» 
Иркутского госуниверситета, д. ф.-м. н., профессор;
О. А. Николайчук, д. т. н., профессор, ст. науч. сотрудник Института динамики 
систем и теории управления СО РАН.

ВВЕДЕНИЕ

Средства информатизации составляют значительную долю 
мирового рынка и в существенной мере определяют структуру 
инвестиционных потоков мирового хозяйства.
Большинство юридических и физических лиц в той или 
иной мере связаны с такими сферами деятельности, как коммуникация, торговля, финансы, страхование и др., поэтому 
обеспечение кибербезопасности, безопасности информации, 
анализ информационных рисков являются одними из актуальных задач.
Цель защиты системы обработки информации — противодействие угрозам безопасности. Следовательно, безопасная 
или защищенная система — это система, обладающая средствами защиты, которые успешно и эффективно противостоят 
угрозам безопасности.
Объектом защиты являются информационные системы 
различного назначения. При подготовке материала учебного 
пособия автор использовал литературу [1–15], за что он искренне благодарен авторам этих книг.
Отбор материала, структура и содержание учебного пособия являются авторской редакцией. Среди используемого 
списка литературы имеется учебное пособие автора [7], которое им существенно переработано.
При выборе структуры и содержания учебного пособия 
автор руководствовался следующими соображениями. В цитируемых пособиях, на его взгляд, недостаточное внимание 
уделяется следующим вопросам:
1) управлению информационными рисками;
2) современному нормативно-правовому обеспечению 
информационной безопасности;
3) влиянию средств защиты информации на электронный 
документооборот;

Защита информации

4

4) подготовке и проведению лабораторно-практических 
занятий.
Предлагаемое пособие подготовлено с целью заполнить 
эту нишу. Выбранный подход к содержанию учебного пособия 
позволил при сохранении необходимой строгости и достоверности подойти к криптографическим методам не только как к 
разделу прикладной математики, но и как к прикладным средствам, необходимым для решения практически важных задач 
защиты информации, включающих аутентификацию субъектов, шифрование электронных документов, обеспечение 
целостности информации в электронном документообороте.
Учебное пособие состоит из шести глав:
1. «Введение в безопасность информационных систем», 
где описаны аспекты безопасности информации, а также дана 
характеристика объекта защиты, угроз и системы защиты 
информации;
2. «Управление информационными рисками». В этой главе 
уделено внимание стандартам, управлению рисками, аудиту 
и программным средствам, поддерживающим управление 
информационной безопасностью;
3. «Организационно-правовое обеспечение информационной безопасности», где приведена современная нормативная 
база обработки персональных данных;
4. «Обеспечение конфиденциальности электронных документов». В данной главе рассмотрены симметричные и 
несимметричные криптосистемы, предназначенные для 
шифрования электронных документов. Отдельный раздел 
посвящен российскому алгоритму криптографического преобразования;
5. «Криптографические методы для электронного документооборота». В этой главе приведены сведения о правовом 
обеспечении электронной подписи, а также представлены 
криптографические методы, предназначенные для ее формирования и проверки. Дополнительно рассмотрены нацио

Введение

нальные стандарты на хеш-функцию и электронную подпись, 
созданные в 2012 году;
6. «Технологии и методы аутентификации», где рассмотрены вопросы применения несимметричных криптосистем 
для аутентификации субъектов, особенности биометрической 
аутентификации пользователя, а также описана инфраструктура управления открытыми ключами.
В учебном пособии отсутствует отдельный раздел, посвященный безопасности компьютерных сетей, т. к. эти вопросы 
освещены в цитируемой литературе, например в учебных 
пособиях [11, 13].
Для дисциплины «Защита информации» автором разработаны восемь лабораторных работ, которые приведены в 
приложении № 1.
Предлагаемые лабораторные работы разделены на три 
группы:
1) первая группа включает лабораторные работы, которые 
можно выполнять без наличия навыков программирования;
2) вторая группа содержит лабораторные работы, которые 
требуют наличия навыков программирования;
3) в третью группу входят лабораторные работы из второй 
группы, которые можно выполнить без наличия навыков программирования.
Для защиты лабораторных работ подготовлены списки контрольных вопросов, для лабораторных работ № 5 и № 7 подготовлены тесты. Лабораторные работы № 1, № 5 и № 7 могут 
реализовываться специальными программами.
Дополнительно подготовлено еще шесть приложений с 
различным назначением.
Автор с признательностью примет замечания и пожелания 
читателей относительно возможных недостатков учебного пособия. Дополнительно хотелось бы выразить благодарность 
своим рецензентам.

ГЛАВА 1. ВВЕДЕНИЕ 
В БЕЗОПАСНОСТЬ 
ИНФОРМАЦИОННЫХ СИСТЕМ

1.1. Информационная безопасность 
ибезопасность информации

Рассматривая безопасность информации с позиции ее защиты, необходимо ответить на три вопроса: что защищать, 
от чего защищать и как защищать. Ответим последовательно 
на эти вопросы.
С вопросом «Что защищать?» связано понятие объекта 
защиты. В Федеральном законе от 28.12.2010 № 390-ФЗ (ред. 
от 05.10.2015) «О безопасности» безопасность трактуется 
как «состояние защищенности жизненно важных интересов 
личности, общества и государства от внешних и внутренних 
угроз».
Интересы личности определены как полное обеспечение 
конституционных прав и свобод, личной безопасности, повышения качества и уровня жизни, физического, духовного 
и интеллектуального развития. Интересы общества состоят 
в упрочении демократии, создании правового, социального 
государства, достижении и поддержании общественного 
согласия. Интересы государства состоят в незыблемости 
конституционного строя, суверенитета и территориальной 
целостности, в политической, экономической и социальной 
стабильности, в обеспечении законности и правопорядка, в 
развитии международного сотрудничества. Таким образом, 
в данном законе объектом защиты является РФ как страна.
В соответствии с Концепцией национальной безопасности 
под информационной безопасностью понимается состояние 
защищенности национальных интересов страны (личности, 

Глава 1. Введение в безопасность информационных систем

общества и государства) в информационной сфере от внутренних и внешних угроз.
Информационная безопасность рассматривается как компонент национальной безопасности наряду с политическим, 
военным, экономическим, социальным и экологическим 
компонентами.
В Концепции к объектам информационной безопасности 
отнесены:
1) все виды информационных ресурсов (отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах — библиотеках, 
архивах, фондах, банках данных, других информационных 
системах);
2) система формирования, распространения и использования информационных ресурсов, включающая в себя информационные системы различного назначения, библиотеки, 
архивы, базы данных, процедуры сбора, обработки, хранения 
и передачи данных;
3) информационная  инфраструктура, включающая телекоммуникации, механизмы функционирования телекоммуникационных систем и сетей, в том числе системы и средства 
защиты информации;
4) права граждан, юридических лиц и государства на 
получение, распространение и использование информации, 
защиту конфиденциальной информации и интеллектуальной 
собственности;
5) системы формирования общественного сознания (моральные и нравственные ценности, мировоззрение, социально 
допустимые стереотипы поведения людей и т. д.), базирующиеся на средствах массовой информации и пропаганды.
В последующие годы информационная безопасность 
стала трактоваться в более узком смысле и стала некоторым 
синонимом безопасности информации, связанной с автоматизированной ее обработкой в соответствии с технологическим 

Защита информации

8

процессом: сбором, передачей, обработкой и т. д. Но преимуществом этого термина по сравнению с безопасностью 
информации является то, что информационную безопасность 
можно трактовать как безопасность любого объекта в информационной сфере.
Таким образом, понятие «информационная безопасность» 
включает в себя более узкое понятие «безопасность информации», относящееся к таким объектам защиты, как собственно 
информация, информационные системы и технологии.
В данном учебном пособии объектом защиты является 
информация, представленная в любой материальной форме, 
а также информационные системы и сети. Поэтому термины 
«информационная безопасность», «безопасность информации», «безопасность информационных систем и сетей» 
являются синонимами.
Выделяют следующие принципы обеспечения безопасности информационных систем и сетей:
1) информированность — участники должны сознавать необходимость безопасности информационных систем и сетей;
2) ответственность — за безопасность ответственны все 
участники;
3) реагирование — участники должны одновременно и 
совместно реагировать на угрозы;
4) этика — участники должны соблюдать законные интересы друг друга;
5) оценка информационных рисков — участники должны 
проводить оценку информационных рисков;
6) управление информационной безопасностью — участники должны использовать комплексный подход к управлению информационной безопасностью.
Дадим несколько определений из Федерального закона от 
27.07.2006 № 149-ФЗ (ред. от 31.12.2014) «Об информации, 
информационных технологиях и о защите информации», 
который приведен в приложении № 6.

Глава 1. Введение в безопасность информационных систем

«Информация — сведения (сообщения, данные) независимо от формы их представления.
Информационные технологии — процессы, методы 
поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких 
процессов и методов.
Информационная система — совокупность содержащейся 
в базах данных информации и обеспечивающих ее обработку 
информационных технологий и технических средств.
Информационно-телекоммуникационная сеть — технологическая система, предназначенная для передачи по линиям 
связи информации, доступ к которой осуществляется с использованием средств вычислительной техники».
Говоря о прикладном аспекте защиты информационных 
систем и сетей, выделяют такие основные направления:
1) безопасность операционных систем, процессов, процедур и программ обработки информации;
2) безопасность вычислительных сетей и каналов связи;
3) безопасность баз данных и других объектов.
Особенностью информации как объекта защиты является 
ее динамический характер, который реализуется информационными процессами. Информационные процессы — это 
процессы сбора, обработки, накопления, хранения, поиска и 
распространения информации для различных целей, включая 
поддержку принятия управленческих решений.
В связи с этим под безопасностью информации понимают 
свойство передаваемой, накапливаемой, обрабатываемой и 
хранимой информации, характеризующее степень ее защищенности от дестабилизирующего воздействия внешних и 
внутренних угроз.
Приведем определение информационной безопасности, 
которое имеется в различных учебных пособиях: «Под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных 

Защита информации

10

или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый 
ущерб субъектам информационных отношений, в том числе 
пользователям и владельцам информации и поддерживающей 
инфраструктуры».
В этом определении также присутствуют воздействия, 
от которых надо защищать объект. Поэтому с вопросом «От 
чего защищать?» связано понятие угроз различного назначения. Угроза — потенциальная возможность неправомерного 
преднамеренного или случайного воздействия на объект защиты, приводящего к потере, искажению, разглашению или 
нарушению доступности информации. При этом необходимо 
определять источники этих угроз и способы их реализации. 
Эти важные понятия будут рассмотрены в п. 1.3.
Система защиты информации должна обеспечить ее безопасность. Защита информации представляет собой принятие 
правовых, организационных и технических мер. Следует 
подчеркнуть, что в нормативно-правовых документах технические меры трактуются расширенно. В них включают сами 
технические средства, а также программные, аппаратные и 
другие методы и средства.
Создание и использование средств и методов защиты информации позволяют ответить на вопрос «Как защищать?». 
Описание системы защиты информации приведено в п. 1.4.

1.2. Аспекты безопасности информации

Угрозы и средства защиты непосредственно связаны не с 
безопасностью информации, а с определенными ее аспектами. Базовыми аспектами (свойствами) информации, с точки 
зрения ее безопасности, являются (рис. 1): 1) конфиденциальность; 2) целостность; 3) доступность.
Отметим, что в нормативных документах безопасность 
информации определяется как состояние защищенности