Аспекты информационной безопасности

МИНИСТЕРСТВО ТРАНСПОРТА РОССИЙСКОЙ ФЕДЕРАЦИИ 
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ 
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ 
«РОССИЙСКИЙ УНИВЕРСИТЕТ ТРАНСПОРТА (МИИТ)»  
 
ИНСТИТУТ ТРАНСПОРТНОЙ ТЕХНИКИ И СИСТЕМ УПРАВЛЕНИЯ (ИТТСУ) 
 
 
Кафедра «Управление и защита информации» 
 
 
 
 
 
В.Г. Сидоренко, Н.Н. Скоробогатова 
 
 
Аспекты информационной безопасности  
 
Учебное пособие 
 
 
 
 
 
 
 
Москва – 2018 
 

 
 
МИНИСТЕРСТВО ТРАНСПОРТА РОССИЙСКОЙ ФЕДЕРАЦИИ 
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ 
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ 
«РОССИЙСКИЙ УНИВЕРСИТЕТ ТРАНСПОРТА (МИИТ)»  
 
ИНСТИТУТ ТРАНСПОРТНОЙ ТЕХНИКИ И СИСТЕМ УПРАВЛЕНИЯ (ИТТСУ) 
 
 
Кафедра «Управление и защита информации» 
 
 
 
 
 
В.Г. Сидоренко, Н.Н. Скоробогатова 
 
 
Аспекты информационной безопасности 
 
Учебное пособие  
для студентов 
специальности 10.05.01 «Компьютерная безопасность» 
 
 
 
 
 
Москва – 2018 
 

 
 
УДК 004 
С-34 
 
Сидоренко В.Г., Скоробогатова Н.Н.  Аспекты информационной 
безопасности: Учебное пособие. – М.: РУТ (МИИТ). 2018. – 64 с. 
 
В данном учебном пособии использованы материалы, собранные 
группой студентов, обучающихся в РУТ(МИИТ) по специальности 10.05.01  
«Компьютерная 
безопасность» 
в 
2017 
году, 
в 
ходе 
выполнения 
индивидуальных 
заданий. 
Особую 
благодарность 
авторы 
выражают 
Смирнову М.В. и Трошкину П.С. 
Вопрос защиты цифровой информации как никогда актуален в 
настоящее время, характеризующееся развитием информационных систем и 
мультимедийных технологий. 
Данное учебное пособие содержит основополагающие положения, 
изучение которых происходит в дисциплинах «История техники (Введение в 
специальность)», «Методы анализа управления рисками». 
Учебное пособие предназначено для студентов, обучающихся по 
специальности 10.05.01  «Компьютерная безопасность». 
 
Рецензенты: 
к.т.н. Щепанов С.Л. (ИЭРТ) 
к.т.н. Голдовский Я.М. РУТ (МИИТ) 
 
 
 
 
©  РУТ (МИИТ), 2018 

 
 
СОДЕРЖАНИЕ 
1 Общие положения ........................................................................................................................ 4 
1.1 Основные понятия и направления информационной безопасности ......................................... 4 
1.2 История ............................................................................................................................................... 10 
1.3 Защита информации в наши дни ................................................................................................... 12 
2 Законодательная база ................................................................................................................ 16 
2.1 NDA ...................................................................................................................................................... 18 
2.2 Законы ................................................................................................................................................. 20 
2.3 Стандарты .......................................................................................................................................... 24 
2.3.1 Сертификация ISO ......................................................................................................................... 24 
2.3.2 Сертификация PCI DSS ................................................................................................................ 26 
2.3.3 Сертификация PA-DSS .................................................................................................................. 29 
2.4 Договоры ............................................................................................................................................. 31 
3 ТЭО 34 
3.1 Общие положения ............................................................................................................................. 34 
3.2 Методика ............................................................................................................................................. 37 
4 Методы и способы обеспечения ИБ .......................................................................................... 51 
4.1 Понятия Insuring и Outsourcing ...................................................................................................... 51 
4.2 Информационная безопасность облачных технологий ............................................................. 55 
Список литератур: ....................................................................................................................... 61 
 
 
 

Общие положения 
1.1 Основные понятия и направления информационной 
безопасности 
Разработка стратегии и соответствующего документа, направлений на 
получение ожидаемого результата, с учетом долговременного развития 
требует четкого обозначения круга проблем, которые будут решены в рамках 
работы по обозначенным в стратегии направлениям. Поэтому особое значение 
имеет определение основных понятий. 
Информационная безопасность (ИБ) - это защищенность информации и 
поддерживающей инфраструктуры от случайных или преднамеренных 
воздействий 
естественного 
или 
искусственного 
характера, 
чреватых 
нанесением 
ущерба 
владельцам 
или 
пользователям 
информации 
и 
поддерживающей инфраструктуры [1]. 
Основной деятельностью ИБ является сохранение свойств информации, 
циркулирующей в информационной системе, представленные на рисунке 1 
[21]. 
 
Рисунок 1 – Стандартная модель ИБ 
 
Доступность
-
возможность
за
разумное
время
получить
требуемую
информационную
услугу
Целостность
-
актуальность
и
непротиворечивость
информации,ее защищенность от
разрушения
и
несанкционированного изменения
Конфиденциальность - защита от
несанкционированного прочтения

 
 
Меры по обеспечению ИБ  можно подразделить на пять уровней: 
1.Законодательный (законы, нормативные акты, стандарты и т.п.). 
2.Морально-этический (всевозможные нормы поведения, несоблюдение 
которых ведет к падению престижа конкретного человека или целой 
организации). 
3.Административный (действия общего характера, предпринимаемые 
руководством организации). 
4.Физический (механические, электронно-механические препятствия на 
возможных путях проникновения потенциальных нарушителей). 
5.Аппаратно-программный (электронные устройства и специальные 
программы защиты информации). 
Компьютерная безопасность (КБ) – это такие меры безопасности, 
которые применяются для защиты различных вычислительных устройств 
(компьютеров, смартфонов и пр.), компьютерных сетей (частных и 
публичных, в том числе сети Интернет) [1]. Деятельность по обеспечению КБ 
включает в себя все процессы и механизмы, с помощью которых защищаются 
от 
несанкционированного 
или 
случайного 
доступа, 
изменения 
или 
уничтожения данных: различное цифровое оборудование, информационное 
поле и прочие услуги. В связи с ростом зависимости общества от 
персональных компьютеров (ПК), КБ приобретает все большее значение. 
КБ решает четыре класса взаимосвязанных задач [17]: 
1. Формулировка и изучение политик безопасности. 
2. Реализация политик безопасности. 
3. Гарантирование заданной политики безопасности. 
4. Управление безопасностью. 
Основные направления технической защиты компьютерной системы 
представлены на рисунке 2. 

 
 
 
Рисунок 2 – Способы защиты 
 
 
 
1. Защита информационных ресурсов от несанкционированного или 
случайного доступа и использования — применяются средства контроля 
включения питания и загрузки программного обеспечения, а также парольная 
защита [21]. 
2. Защита от утечки по побочным каналам электромагнитных излучений 
и наводок — за счет экранирования аппаратуры, помещений, применения 
маскирующего генератора шума, проверки аппаратуры на наличие 
компрометирующих излучений [21]. 
3. Защита информации в каналах связи и узлах коммутации — 
использование процедуры аутентификации абонентов, шифрования и 
специальных протоколов связи [21]. 
4. Защита юридической значимости электронных документов — 
«цифровая подпись» — специальная метка, неразрывно логически связанная с 
текстом и формируемая с помощью секретного криптографического ключа 
[21]. 
5. Защита автоматизированных систем от компьютерных вирусов и 
незаконной модификации — применение иммуностойких программ и 
механизмов модификации фактов программного обеспечения [21]. 
Действенным способом ограничения несанкционированного доступа к 
компьютерным системам (КС) является также регулярная смена паролей,