Аспекты информационной безопасности

МИНИСТЕРСТВО ТРАНСПОРТА РОССИЙСКОЙ ФЕДЕРАЦИИ 

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ 

ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ 

«РОССИЙСКИЙ УНИВЕРСИТЕТ ТРАНСПОРТА (МИИТ)»  

 

ИНСТИТУТ ТРАНСПОРТНОЙ ТЕХНИКИ И СИСТЕМ УПРАВЛЕНИЯ (ИТТСУ) 

 

 

Кафедра «Управление и защита информации» 

 

 

 

 

 

В.Г. Сидоренко, Н.Н. Скоробогатова 

 

 

Аспекты информационной безопасности  

 

Учебное пособие 

 

 

 

 

 

 

 

Москва – 2018 
 

 

 

МИНИСТЕРСТВО ТРАНСПОРТА РОССИЙСКОЙ ФЕДЕРАЦИИ 

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ 

ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ 

«РОССИЙСКИЙ УНИВЕРСИТЕТ ТРАНСПОРТА (МИИТ)»  

 

ИНСТИТУТ ТРАНСПОРТНОЙ ТЕХНИКИ И СИСТЕМ УПРАВЛЕНИЯ (ИТТСУ) 

 

 

Кафедра «Управление и защита информации» 

 

 

 

 

 

В.Г. Сидоренко, Н.Н. Скоробогатова 

 

 

Аспекты информационной безопасности 

 

Учебное пособие  

для студентов 

специальности 10.05.01 «Компьютерная безопасность» 

 

 

 

 

 

Москва – 2018 
 

 

 

УДК 004 

С-34 

 

Сидоренко В.Г., Скоробогатова Н.Н.  Аспекты информационной 

безопасности: Учебное пособие. – М.: РУТ (МИИТ). 2018. – 64 с. 

 

В данном учебном пособии использованы материалы, собранные 

группой студентов, обучающихся в РУТ(МИИТ) по специальности 10.05.01  

«Компьютерная 
безопасность» 
в 
2017 
году, 
в 
ходе 
выполнения 

индивидуальных 
заданий. 
Особую 
благодарность 
авторы 
выражают 

Смирнову М.В. и Трошкину П.С. 

Вопрос защиты цифровой информации как никогда актуален в 

настоящее время, характеризующееся развитием информационных систем и 

мультимедийных технологий. 

Данное учебное пособие содержит основополагающие положения, 

изучение которых происходит в дисциплинах «История техники (Введение в 

специальность)», «Методы анализа управления рисками». 

Учебное пособие предназначено для студентов, обучающихся по 

специальности 10.05.01  «Компьютерная безопасность». 

 

Рецензенты: 

к.т.н. Щепанов С.Л. (ИЭРТ) 

к.т.н. Голдовский Я.М. РУТ (МИИТ) 

 

 

 

 

©  РУТ (МИИТ), 2018 

СОДЕРЖАНИЕ 

1 Общие положения ........................................................................................................................ 4 

1.1 Основные понятия и направления информационной безопасности ......................................... 4 

1.2 История ............................................................................................................................................... 10 

1.3 Защита информации в наши дни ................................................................................................... 12 

2 Законодательная база ................................................................................................................ 16 

2.1 NDA ...................................................................................................................................................... 18 

2.2 Законы ................................................................................................................................................. 20 

2.3 Стандарты .......................................................................................................................................... 24 

2.3.1 Сертификация ISO ......................................................................................................................... 24 

2.3.2 Сертификация PCI DSS ................................................................................................................ 26 

2.3.3 Сертификация PA-DSS .................................................................................................................. 29 

2.4 Договоры ............................................................................................................................................. 31 

3 ТЭО 34 

3.1 Общие положения ............................................................................................................................. 34 

3.2 Методика ............................................................................................................................................. 37 

4 Методы и способы обеспечения ИБ .......................................................................................... 51 

4.1 Понятия Insuring и Outsourcing ...................................................................................................... 51 

4.2 Информационная безопасность облачных технологий ............................................................. 55 

Список литератур: ....................................................................................................................... 61 

 

 
 

1 Общие положения 
1.1 Основные понятия и направления информационной 
безопасности 

Разработка стратегии и соответствующего документа, направлений на 

получение ожидаемого результата, с учетом долговременного развития 

требует четкого обозначения круга проблем, которые будут решены в рамках 

работы по обозначенным в стратегии направлениям. Поэтому особое значение 

имеет определение основных понятий. 

Информационная безопасность (ИБ) - это защищенность информации и 

поддерживающей инфраструктуры от случайных или преднамеренных 

воздействий 
естественного 
или 
искусственного 
характера, 
чреватых 

нанесением 
ущерба 
владельцам 
или 
пользователям 
информации 
и 

поддерживающей инфраструктуры [1]. 

Основной деятельностью ИБ является сохранение свойств информации, 

циркулирующей в информационной системе, представленные на рисунке 1 

[21]. 

 

Рисунок 1 – Стандартная модель ИБ 

 

Доступность
-
возможность
за

разумное
время
получить

требуемую
информационную

услугу

Целостность
-
актуальность
и

непротиворечивость
информации,ее защищенность от
разрушения
и

несанкционированного изменения
Конфиденциальность - защита от
несанкционированного прочтения

Меры по обеспечению ИБ  можно подразделить на пять уровней: 

1.Законодательный (законы, нормативные акты, стандарты и т.п.). 

2.Морально-этический (всевозможные нормы поведения, несоблюдение 

которых ведет к падению престижа конкретного человека или целой 

организации). 

3.Административный (действия общего характера, предпринимаемые 

руководством организации). 

4.Физический (механические, электронно-механические препятствия на 

возможных путях проникновения потенциальных нарушителей). 

5.Аппаратно-программный (электронные устройства и специальные 

программы защиты информации). 

Компьютерная безопасность (КБ) – это такие меры безопасности, 

которые применяются для защиты различных вычислительных устройств 

(компьютеров, смартфонов и пр.), компьютерных сетей (частных и 

публичных, в том числе сети Интернет) [1]. Деятельность по обеспечению КБ 

включает в себя все процессы и механизмы, с помощью которых защищаются 

от 
несанкционированного 
или 
случайного 
доступа, 
изменения 
или 

уничтожения данных: различное цифровое оборудование, информационное 

поле и прочие услуги. В связи с ростом зависимости общества от 

персональных компьютеров (ПК), КБ приобретает все большее значение. 

КБ решает четыре класса взаимосвязанных задач [17]: 

1. Формулировка и изучение политик безопасности. 

2. Реализация политик безопасности. 

3. Гарантирование заданной политики безопасности. 

4. Управление безопасностью. 

Основные направления технической защиты компьютерной системы 

представлены на рисунке 2. 

Рисунок 2 – Способы защиты 

 
 
 

1. Защита информационных ресурсов от несанкционированного или 

случайного доступа и использования — применяются средства контроля 

включения питания и загрузки программного обеспечения, а также парольная 

защита [21]. 

2. Защита от утечки по побочным каналам электромагнитных излучений 

и наводок — за счет экранирования аппаратуры, помещений, применения 

маскирующего генератора шума, проверки аппаратуры на наличие 

компрометирующих излучений [21]. 

3. Защита информации в каналах связи и узлах коммутации — 

использование процедуры аутентификации абонентов, шифрования и 

специальных протоколов связи [21]. 

4. Защита юридической значимости электронных документов — 

«цифровая подпись» — специальная метка, неразрывно логически связанная с 

текстом и формируемая с помощью секретного криптографического ключа 

[21]. 

5. Защита автоматизированных систем от компьютерных вирусов и 

незаконной модификации — применение иммуностойких программ и 

механизмов модификации фактов программного обеспечения [21]. 

Действенным способом ограничения несанкционированного доступа к 

компьютерным системам (КС) является также регулярная смена паролей, 

особенно при увольнении работников, обладающих информацией о способах 

защиты. 

Кроме всех вышеперечисленных мер КБ, в их перечень входит аудит, 

который представляет собой независимую экспертизу отдельных областей 

функционирования организации [4]. 

Целями проведения аудита КБ являются: 

 анализ рисков, связанных с возможностью осуществления угроз 

 безопасности в отношении ресурсов и объектов КС; 

 оценка текущего уровня защищенности КС; 

 локализация узких мест в системе защиты КС; 

 оценка соответствия КС существующим стандартам в области 

информационной безопасности; 

 выработка рекомендаций по внедрению новых и повышению 

эффективности существующих механизмов безопасности КС. 

Услуги в сфере КБ представлены на рисунке 3. 

Кибербезопасность(КбБ) – совокупность условий, при которых все 

составляющие киберпространства защищены от максимально возможного 

числа угроз и воздействий с нежелательными последствиями [1]. Она 

включает в себя защиту активов, в том числе данных локальной сети 

компьютеров, серверов. Под охрану попадают и здания, в которых рас-

положено оборудование, и персонал, с ним работающий. КбБ подразумевает 

защиту данных (в процессе передачи, обмена или хранения). Она может 

включать в себя и такие контрмеры, как контроль доступа, обучение 

персонала, аудит и отчетность, оценка вероятных рисков, тестирование на 

проникновения и требование авторизации от пользователей. 

 

Рисунок 3 – Виды услуг в сфере КБ 

 

КбБ понимается, таким образом, более узкое по смыслу понятие, чем 

ИБ, но более широкое, чем КБ. Более наглядная схема представлена на 

рисунке 4. 

 

• Комплексное обследование защищенности КС;
• Разработка организационно-распорядительной и нормативной 

документации в области КБ;

• Разработка, апробация и внедрение технических решений по 

защите информации;

• Техническая поддержка и сопровождение систем обеспечения 

безопасности информации (СОБИ);

• Установка и настройка программно-технических средств защиты.

Технико-аналитические

• Анализ компьютерных рисков;
• Аттестация объектов компьютеризации;
• Расчет финансово-экономических показателей СОБИ;
• Сертификационные испытания оборудования и ПО;
• Сертификация на соответствие международным стандартам;
• Экспертиза проектов и решений.

Экспертно-аналитическиея

• Обучение в сфере компьютерной безопасности;
• Консультационные услуги по техническим вопросам;
• Консультационные услуги по нормативным вопросам;
• Консультационные услуги по правовым вопросам;
• Аутсорсинг эксплуатации СОБИ.

Дополнительные

Рисунок 4 – Иерархия понятий 

 

Обеспечение КбБ в РФ должно осуществляться по следующим 

направлениям: 

1. Принятие общесистемных мер по обеспечению КбБ. 

2. Совершенствование нормативно-правовой базы и правовых мер 

обеспечения КбБ. 

3. Проведение научных исследований в области КбБ. 

4. Создание условий для разработки, производства и применения 

средств обеспечения КбБ. 

5. Совершенствование кадрового обеспечения и организационных мер 

обеспечения КбБ. 

6. Организация 
внутреннего 
и 
международного 
взаимодействия 

действующих лиц по обеспечению КбБ. 

7. Формирование и развитие культуры безопасного поведения в 

киберпространстве и безопасного использования его сервисами. 

Нужно отметить, что в официальных российских документах в области 

ИБ термин КбБ» не выделяется из объема понятия ИБ и не используется 

отдельно в отличие от большинства зарубежных стран. Необходимо 

учитывать, что регулирование киберпространства исключительно на 

национальном уровне невозможно в силу его трансграничности [19]. В связи 

с этим существует необходимость обозначения в российских документах, 

посвященных ИБ, термина КбБ, что позволит установить соответствие между 

российскими и иностранными нормативными актами [16]. 

 

1.2 История 

С древних времён человеку приходилось защищать информацию, 

которой он владеет. На данный момент, можно выделить семь этапов развития 

ИБ, как науки, представлены на рисунке 5 [1]. 

 

 

 

 

Рисунок 5 – Линия времени. Этапы развития информационной безопасности 

 

Первый этап, по мнению ученых, начинается приблизительно с 3-го 

тысячелетия до н. э., с заражением письменности. Он характеризуется 

использованием 
естественно 
возникавших 
средств 
информационных 

коммуникаций. 

В период 1906 – 1916 гг. ученые разных стран работали над созданием 

вакуумных электронных ламп. Это изобретение послужило толчком  для 

создания генераторов незатухающих электрических колебаний, усилителей, 

модуляторов и др. устройств, без которых не обходится ни одна система 

передачи, поэтому с 1916г. начинается второй период, связанный с началом 

использования 
искусственно 
создаваемых 
технических 
средств 

электро и радиосвязи [17,18]. 

..1916
…
..1935.
..1946.
…
..1965.
…
..1973..
..1985..