Основы информационной безопасности

Министерство науки и высшего образования 
Российской Федерации
Уральский федеральный университет
имени первого Президента России Б. Н. Ельцина

Е. В. Вострецова

ОснОВы 
инфОрмациОннОй 
бЕзОпаснОсти

Учебное пособие

Рекомендовано методическим советом
Уральского федерального университета
для студентов вуза, обучающихся
по укрупненной группе направлений
бакалавриата и специалитета
10.00.00 «Информационная безопасность»

Екатеринбург
Издательство Уральского университета
2019

УДК 004.056.5(075.8)
ББК 32.972.53я73
          В78

Рецензенты:
канд. пед. наук, доц. Е. Н. Полякова, завкафедрой «Безопасность 
информационных и автоматизированных систем» ФГБОУ ВО «Курганский государственный университет»;
канд. техн. наук, доц. Т. Ю. Зырянова, завкафедрой «Информационные технологии и защита информации» ФГБОУ ВО «Уральский 
государственный университет путей сообщения»

 
Вострецова, Е. В.
В78    Основы информационной безопасности : учебное пособие для 
студентов вузов / Е. В. Вострецова. — Екатеринбург : Изд-во Урал. 
ун-та, 2019. — 204 с.

ISBN 978-5-7996-2677-8

Учебное пособие по курсу «Основы информационной безопасности» 
предназначено для студентов укрупненной группы направлений и специальностей 10.00.00 «Информационная безопасность» уровней бакалавриат  
и специалитет.
В пособии рассмотрены свойства информации как объекта защиты, 
определены закономерности создания защищённых информационных систем, раскрыты принципы обеспечения информационной безопасности государства, уделено внимание информационным войнам и информационному противоборству. Дан краткий анализ моделей и политики безопасности 
(разграничения доступа), а также международных стандартов в области информационной безопасности.
Пособие может использоваться студентами других специальностей при 
изучении курсов, связанных с защитой информации.

УДК 004.056.5(075.8)
ББК 32.972.53я73

ISBN 978-5-7996-2677-8 
© Уральский федеральный 
 
     университет, 2019

Оглавление

Предисловие ....................................................................................6

1. Основные понятия теории информационной безопасности .........7

1.1. История становления теории информационной 
        безопасности .......................................................................7
1.2. Предметная область теории информационной 
        безопасности ..................................................................... 14
1.3. Систематизация понятий в области защиты 
        информации ..................................................................... 15
1.4. Основные термины и определения правовых 
        понятий в области информационных отношений 
        и защиты информации ..................................................... 17
1.5. Понятия предметной области «Защита информации» ... 19
1.6. Основные принципы построения систем защиты .......... 23
1.7. Концепция комплексной защиты информации ............. 26
1.8. Задачи защиты информации ............................................ 27
1.9. Средства реализации комплексной защиты 
        информации ..................................................................... 28

2. Информация как объект защиты ............................................... 33

2.1. Понятие об информации как объекте защиты ................ 33
2.2. Уровни представления информации ............................... 34
2.3. Основные свойства защищаемой информации .............. 38
2.4. Виды и формы представления информации. 
        Информационные ресурсы .............................................. 41
2.5. Структура и шкала ценности информации. 
        Классификация информационных ресурсов .................. 42
2.6. Правовой режим информационных ресурсов ................. 53

3. Государственная политика информационной безопасности. 
      Концепция комплексного обеспечения информационной 
      безопасности ............................................................................. 57

3.1. Информационная безопасность и ее место 
        в системе национальной безопасности Российской 
        Федерации ........................................................................ 57

Оглавление

3.2. Органы обеспечения информационной 
        безопасности и защиты информации, их функции 
        и задачи, нормативная деятельность ............................... 63

4. Угрозы информационной безопасности ..................................... 68

4.1. Анализ уязвимостей системы ........................................... 68
4.2. Классификация угроз информационной безопасности . 69
4.3. Основные направления и методы реализации угроз ....... 72
4.4. Неформальная модель нарушителя ................................. 74
4.5. Оценка уязвимости системы ............................................ 79

5. Построение систем защиты от угрозы нарушения 
      конфиденциальности ................................................................ 90

5.1. Определение и основные способы 
        несанкционированного доступа ...................................... 90
5.2. Методы защиты от НСД ................................................... 91
5.3. Организационные методы защиты от НСД ..................... 93
5.4. Инженерно-технические методы защиты от НСД. 
        Построение систем защиты от угрозы утечки 
        по техническим каналам .................................................. 94
5.5. Идентификация и аутентификация ................................. 97
5.6. Основные направления и цели использования 
        криптографических методов ............................................ 99
5.7. Защита от угрозы нарушения конфиденциальности 
        на уровне содержания информации .............................. 104

6. Построение систем защиты от угрозы нарушения 
      целостности информации и отказа доступа............................. 108

6.1. Защита целостности информации при хранении ......... 108
6.2. Защита целостности информации при обработке ........ 112
6.3. Защита целостности информации
        при транспортировке ..................................................... 114
6.4. Защита от угрозы нарушения целостности 
        информации на уровне содержания .............................. 117
6.5. Построение систем защиты от угрозы отказа 
        доступа к информации ................................................... 119
6.6. Защита семантического анализа и актуальности 
        информации ................................................................... 125

Оглавление

7. Политика и модели безопасности ........................................... 127

7.1. Политика безопасности .................................................. 127
7.2. Субъектно-объектные модели разграничения доступа .... 129
7.3. Аксиомы политики безопасности .................................. 133
7.4. Политика и модели дискреционного доступа ............... 136
7.5. Парольные системы разграничения доступа ................. 140
7.6. Политика и модели мандатного доступа ....................... 142
7.7. Теоретико-информационные модели ........................... 145
7.8. Политика и модели тематического разграничения 
        доступа ............................................................................ 149
7.9. Ролевая модель безопасности ........................................ 151

8. Обзор международных стандартов информационной 
      безопасности ........................................................................... 156

8.1. Роль стандартов информационной безопасности ......... 156
8.2. Критерии безопасности компьютерных систем 
        министерства обороны США (Оранжевая книга), 
        TCSEC ............................................................................. 157
8.3. Европейские критерии безопасности 
        информационных технологий (ITSEC) ......................... 164
8.4. Федеральные критерии безопасности 
        информационных технологий США ............................. 169
8.5. Единые критерии безопасности информационных 
        технологий ...................................................................... 175
8.6. Группа международных стандартов 270000 ................... 183

9. Информационные войны и информационное 
      противоборство ....................................................................... 186

9.1. Определение и основные виды информационных 
        войн ................................................................................. 186
9.2. Информационно-техническая война ............................ 191
9.3. Информационно-психологическая война .................... 196

Библиографический список ......................................................... 202

предисловие

У

чебное пособие «Основы информационной безопасности» предназначено для студентов укрупненной группы направлений подготовки и специальностей 10.00.00 
«Информационная безопасность». Пособие может также использоваться студентами других направлений и специальностей при изучении вопросов, связанных с защитой информации.
В пособии рассмотрены свойства информации как объекта 
защиты, определены закономерности создания защищённых 
информационных систем, раскрыты принципы обеспечения 
информационной безопасности государства, уделено внимание информационным войнам и информационному противоборству. Дан краткий анализ моделей и политик безопасности 
(разграничения доступа), а также международных стандартов 
в области информационной безопасности.
В учебном пособии определены как теоретические, так 
и практические основы создания защищённых информационных систем.
Понимание научного подхода в построении защищенных систем необходимо для изучения программно-аппаратных, организационно-правовых, технических методов обеспечения информационной безопасности.
Знание основ теории информационной безопасности будет 
способствовать умелым действиям в решении практических вопросов защиты информации в профессиональной деятельности.

1. Основные понятия  
теории информационной безопасности

 История становления теории информационной безопасности  
Предметная область теории информационной безопасности  Систематизация понятий в области защиты информации  Основные 
термины и определения в области информационных отношений и защиты информации  Понятия предметной области «Защита информации»  Основные принципы построения систем защиты 

1.1. история становления  
теории информационной безопасности
М

етоды и средства защиты информации в каждую 
историческую эпоху тесно связаны с уровнем развития науки и техники. Категории защищаемой 
информации определялись экономическими, политическими 
и военными интересами государства.
Элементы защиты информации использовались с древнейших времён: известно, что тайнопись применяли ещё в Древнем Египте и Древнем Риме. По свидетельству Геродота, уже 
в V в. до н. э. применялось кодирование информации. Классическим примером одного из первых применений криптографии 
является так называемый «шифр Цезаря» [1, 2].
Проследим связь между развитием политической и экономической структуры России и деятельностью по защите информации (табл. 1, 2) [2, 3].
Выводы по таблице 1:
· Обусловленность системы защиты информации историческим развитием;
· Распределение компетенций, регламентация прав и ответственности между департаментами и отделами;

1. Основные понятия  теории информационной безопасности

Таблица 1

Защита информации в России

Период
Факторы влияния
Деятельность по защите
Органы защиты

XVII в.

Образование российского централизованного государства, 
формирование органов государственного 
управления, развитие 
международных связей

Использование дезинформации; введение 
ограничений на въезд; шифрование переписки; введение ответственности за разглашение информации.
Ответственность за шпионаж и государственную измену.
Ответственность за хищение и подделку документов и печатей. Вопросы защиты 
информации в Судебниках 1497 и 1550 гг.

Оружейный, Казённый, Посольский приказы. Gриказ тайных дел

XVIII в.

Развитие торгово-промышленной деятельности, появление акционерных компаний, 
кредитные отношения, 
биржевая деятельность

Расширение состава защищаемой информации

Преображенский Приказ, Верховный тайный совет. Военная 
Коллегия. Коллегия иностранных дел. Тайная розыскных дел 
Канцелярия. Тайная экспедиция

XIX в.
Новые формы акционерных обществ, промышленная революция

Ограничение на публикацию сведений, полученных по служебным каналам.
Защита коммерческой тайны (тайны торговых, купеческих книг).
Законодательство в области патентного 
и авторского права.
Цензурные уставы

Государственный Совет. 1-й 
и 3-й отдел Собственной Его 
императорского величества 
канцелярии. Главное управление по делам печати. Особый 
отдел Департамента полиции. 
Технический комитет

Начало 
ХХ в.
Первая мировая война

Закон «О государственной измене путём 
шпионажа». Создание «закрытых» зон. Расширение состава защищаемой информации.
Военно-промышленная тайна.
Защита информации в процессе радиотелеграфных переговоров

Министерство внутренних дел, 
Департамент полиции, Военное министерство, Комитет для 
защиты промышленной собственности 

1.1. История становления  теории информационной безопасности

Таблица 2
Защита информации в СССР (1917–1995)

Период
Факторы влияния
Деятельность по защите
Органы защиты

1917–
1945

Изменение политического и экономического строя

Отмена коммерческой тайны.
Увеличение объёма сведений, составляющих гостайну.
Активизация иностранных спецслужб по добыванию 
информации о политическом, экономическом и военном положении СССР.
Централизация управления защитой госсекретов.
Усиление ответственности за разглашение гостайны, 
утрату секретных документов и халатное обращение 
с ними

Спец. органы защиты информации (спец. отдел 
ВЧК-ГПУ, далее — 7-й отдел НКВД)

1945–
1975
Холодная война

Введение должности заместителя начальника объекта 
по режиму.
Расширение объёма и тематики защищаемой информации и категорирование её по степени секретности.
Ужесточение режима секретности.
«Перечень сведений, составляющих гостайну» (1948).
«Инструкция по обеспечению сохранения гостайны 
в учреждениях и на предприятиях СССР» (1948)

Министерство государственной безопасности (1946). 
Комитет государственной 
безопасности при Совете 
министров СССР (1954)

1975–
1995

Появление информационных войн и противоборства

 Появление новых носителей информации, автоматизированных систем и распределенных систем обработки данных.
Широкомасштабное применение средств технической 
разведки.
Разработка теоретических моделей безопасности

Государственная техническая комиссия по противодействию иностранным техническим разведкам (1973)

1. Основные понятия теории информационной безопасности

· Отсутствие специальных органов защиты информации;
· Отсутствие научной проработки вопроса;
· Опыт защиты информации в Российской империи был использован при организации зашиты информации в СССР.
Выводы по таблице 2:
· На проблему защиты информации большое влияние оказывали внутренние и внешние политические причины.
· Враждебное для СССР окружение выдвинуло на первое 
место вопросы обеспечения секретности информации.

На современном этапе развития общества информация выступает как форма собственности, и следовательно, имеет определенную ценность. Чтобы подчеркнуть роль информации в обществе, говорят об «информационном обществе», в отличие 
от предыдущей фазы развития общества — «индустриальном 
обществе».
Начиная с 90-х гг. ХХ в. исследованиями в области информационной безопасности активно занимаются российские ученые [3].
В. А. Герасименко разработал системно-концептуальный 
подход к обеспечению информационной безопасности автоматизированных систем обработки данных. А. А. Грушо и Е. Е. Тимонина представили доказательный подход к проблеме гарантированности защиты информации в компьютерной системе. 
А. А. Грушо в сферу исследований были введены новые виды 
скрытых каналов утечки информации, основывающихся на использовании статистических характеристик работы системы. 
С. П. Расторгуев и А. Ю. Щербаков разработали теорию разрушающих программных воздействий. А. Ю. Щербаковым также была разработана субъектно-объектная модель системы, 
на базе которой сформированы понятия информационных потоков и доступов в компьютерной системе.
Большой вклад в исследование теоретических основ информационной безопасности внесли представители Санкт