Безопасность инфокоммуникаций: стандартизация, измерения соответствия и подготовка кадров

Москва
Горячая линия – Телеком

2020

ÓÄÊ 004.056:621.39:[006+378.145/.146] 
ÁÁÊ 32.973-018.2 
     Ð60 

Ð å ö å í ç å í ò û :  äîêòîð  òåõí.  íàóê,  ïðîôåññîð  Á. Ã. Òåëåæíûé; 
êàíä. âîåí. íàóê, äîöåíò  Â. Â. Âàñèëåâñêèé 

Ðîäè÷åâ Þ. À., Êóáàíêîâ Þ. À., Ñèìîíîâ Ï. È. 
Ð60 Áåçîïàñíîñòü èíôîêîììóíèêàöèé: ñòàíäàðòèçàöèÿ, èçìåðåíèÿ 

ñîîòâåòñòâèÿ è ïîäãîòîâêà êàäðîâ. Ó÷åáíîå ïîñîáèå äëÿ âóçîâ 
Òåëåêîì, 2020. - 160 ñ.: èë.  
ISBN 978-5-9912-0706-5. 

Ðàññìîòðåíû íîâåéøèå ñòàíäàðòû áåçîïàñíîñòè èíôîêîììóíèêàöèé, ïðèçâàííûå îáåñïå÷èòü ãðÿäóùèé òåõíîëîãè÷åñêèé ïðîðûâ â 
èíôîðìàöèîííîé ñôåðå: çàùèòû èíôîðìàöèè; ñåòåâîé áåçîïàñíîñòè; 
çàùèùёííûõ èíôîêîììóíèêàöèé; îöåíèâàíèÿ áåçîïàñíîñòè èíôîðìàöèîííûõ òåõíîëîãèé è óïðàâëåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòüþ. Äåòàëüíî ðàçîáðàíû ïðàêòè÷åñêèå âîïðîñû îöåíèâàíèÿ êà÷åñòâà çàùèòû èíôîðìàöèè, èçìåðåíèé ñîîòâåòñòâèÿ êà÷åñòâà ðàáîòû 
ñëóæá èíôîðìàöèîííîé áåçîïàñíîñòè ñòàíäàðòíûì òðåáîâàíèÿì. 
Îñîáîå âíèìàíèå óäåëåíî ïðîôåññèîíàëüíûì è îáðàçîâàòåëüíûì 
ñòàíäàðòàì ïîäãîòîâêè êàäðîâ ïî íàïðàâëåíèþ «Èíôîðìàöèîííàÿ 
áåçîïàñíîñòü». 
Äëÿ ñòóäåíòîâ âóçîâ, îáó÷àþùèõñÿ ïî ñïåöèàëüíîñòè 10.05.02 – 
«Èíôîðìàöèîííàÿ áåçîïàñíîñòü 
òåëåêîììóíèêàöèîííûõ ñèñòåì», 
áóäåò 
ïîëåçíî 
ñòóäåíòàì, 
îáó÷àþùèìñÿ 
ïî 
íàïðàâëåíèÿì 
ïîäãîòîâêè 11.00.00 – «Ýëåêòðîíèêà, ðàäèîòåõíèêà è ñèñòåìû ñâÿçè» 
è 
10.00.00 
– 
«Èíôîðìàöèîííàÿ 
áåçîïàñíîñòü», 
àñïèðàíòàì, 
ïðåïîäàâàòåëÿì, òàêæå øèðîêîìó êðóãó ñïåöèàëèñòîâ, ñâÿçàííûõ ñ 
áåçîïàñíîñòüþ èíôîêîììóíèêàöèé.  

Учебное издание
Родичев Юрий Андреевич, Симонов Павел Игоревич, Кубанков Юрий Александрович
БЕЗОПАСНОСТЬ ИНФОКОММУНИКАЦИЙ:  СТАНДАОТИЗАЦИЯ, ИЗМЕРЕНИЯ 
СООТВЕТСТВИЯ И ПОДГОТОВКА КАДРОВ
Учебное пособие для вузов

Тиражирование книги начато в 2018 г.

Все права защищены.
Любая часть этого издания не может быть воспроизведена в какой бы то ни было форме 
и какими бы то ни было средствами без письменного разрешения правообладателя
© ООО «Научно-техническое издательство «Горячая линия – Телеком»
www.techbook.ru
Ó Ю.А. Рîäè÷åâ, П.И. Симоновîâ, Ю.А. Кубанков

ББК 32.973-018.2

Условные сокращения

АС 
— автоматизированная система

АСЗИ 
— АС в защищенном исполнении

ВКР 
— выпускная квалификационная работа

ВО 
— высшее образование

ГИА 
— государственная итоговая аттестация

ГРИ 
— группа реагирования на инциденты ИБ

ЗБ 
— ST (англ.) — задание по безопасности

ЗБАС 
— ЗБ для АС

ЗИ 
— защита информации

ИБ 
— информационная безопасность

ИБ ТКС 
— ИБ телекоммуникационных систем

ИК 
— инфокоммуникации

ИКС 
— инфокоммуникационная система

ИР 
— информационные ресурсы

ИС 
— информационная система

ИТ 
— IT (англ.) — информационная технология

ИТТ 
— ICT (англ.) — информационные и телекоммуника- 
ционные технологии

КСЗ 
— комплекс средств защиты

НСД 
— несанкционированный доступ

ОО 
— объект оценивания

ОВО 
— образовательная организация высшего образования

ООП 
— основная образовательная программа

ОПК 
— общепрофессиональная компетенция

ОУД 
— оценочный уровень доверия.

ПД 
— профессиональная деятельность

ПЗ 
— PP (англ.) — профиль защиты

ПИБ 
— политика ИБ организации

ПК 
— профессиональная компетенция

Условные сокращения
4

ПО 
— программное обеспечение

ПС 
— программа специалитета

ПСт 
— профессиональный стандарт

СБ 
— сетевая безопасность

СВТ 
— средства вычислительной техники

СК 
— скрытый информационный канал

СМИБ 
— ISMS (англ.) — система менеджмента ИБ

СОИБ 
— система обеспечения ИБ

СоПД 
— составной пакет доверия

СП 
— сообщение о проблемах

СПЦЗС 
— системы подвижной цифровой защищенной связи

ТДБ 
— требования доверия к безопасности

ТОО 
— технический отчет об оценке

УК 
— универсальная компетенция

ФГОС ВО — федеральный государственный образовательный 

стандарт высшего образования

ФОС 
— фонд оценочных средств

ФСТЭК 
— Федеральная служба по техническому и экспортно- 
му контролю

ФТБ 
— функциональные требования безопасности

ФУМО 
— федеральное учебно-методическое объединение

DoS 
— отказ в обслуживании

DdoS 
— распределенный отказ в обслуживании

ТСО 
— Total Cost of Ownership (совокупная стоимость вла- 
дения)

Введение

С начала третьего тысячелетия происходит жестокое столкновение двух парадигм мироустройства: однополярной, 
не предусматривающей суверенитетов, — с одной стороны, и полицентричной, с многими суверенными центрами, — с другой [1]. 
Одновременно усиливается мировая конкуренция за ресурсы [2]. 
На этом фоне с учетом стремительного развития инфокоммуникационных технологий главной формой межгосударственной борьбы 
стало информационное противоборство.
Одним из многих доказательств этого являются сенсационные 
разоблачения Викиликса об использовании западными спецслужбами популярных устройств и сервисов для негласного получения 
информации о действиях владельцев [3]. Проблемой для информационной безопасности (ИБ) могут стать социальные сети, теневой 
Интернет, криптовалюты, хакерство.
Информационная сфера стала пятой сферой вооруженной 
борьбы после суши, моря, воздушного и космического пространства. США первыми в 2009 г. признали наличие у себя отдельного 
рода войск — кибервойск численностью около 10 тысяч человек. Затем кибервойска стали заводить у себя другие армии. В 2014 г. в российских Вооруженных Силах созданы командование и войска информационных операций [4].
Таким образом, уклад жизни человечества и геополитический 
ландшафт в XXI веке изменились настолько сильно, что руководство России вынуждено обновлять документы стратегического 
планирования. Так, в декабре 2016 г. Президент России В.В. Путин утвердил новую Доктрину информационной безопасности 
Российской Федерации [5], а в мае 2017 г. — новую Стратегию развития информационного общества в РФ [6] на 2017—2030 гг. Эти 
стратегические документы определяют приоритетные национальные интересы в информационной сфере: добиться технологического прорыва и информационного суверенитета, а также обеспечить высокое качество подготовки пригодных для этого кадров.
Главными драйверами грядущего технологического прорыва 
в информационной сфере как условия информационного суверенитета России являются:

Введение
6

• обеспечение нацеленности технического регулирования 
в информационной сфере на высокий научно-технологический уровень инфокоммуникаций (ИК),
• обеспечение высокой точности оценки соответствия ИК требованиям технических регламентов,
• удовлетворение растущего спроса рынка труда на инженеров-новаторов с безупречной фундаментальной подготовкой.
Учебное пособие призвано раскрыть эти связанные между собой инструменты развития ИК на ближайшие десятилетия. Опыт 
многих лет убедил авторов, что знания стандартов и методов измерения соответствия не являются избыточными, а, напротив, очень 
нужны выпускникам направлений «ИБ» и «Электроника, радиотехника и системы связи» в работе. Полезно им также знать образовательные и профессиональные стандарты (ПСт) как ориентиры 
в процессе обучения.
Учебное пособие посвящено 10-летию кафедры «Безопасность 
радиосвязи» Московского технического ордена Трудового Красного Знамени университета связи и информатики. Вклад авторов 
в подготовку учебного пособия распределился следующим образом: Ю.А. Родичев — главы 1, 3, раздел 2.3, научное редактирование; Ю.А. Кубанков — введение, разделы 2.1, 2.2, 4.1, заключение; 
П.И. Симонов — разделы 4.2, 4.3. В разделах 1 и 3 используется материалы Ю.А. Родичева из ряда его трудов [7, 8, 9, 10].
Учебное пособие может представлять интерес для аспирантов 
и студентов, обучающихся по направлениям «ИБ» и «Электроника, радиотехника и системы связи», а также для всех специалистов, 
связанных с безопасностью ИК.

Г Л А В А
1

Стандарты в области ИБ

1.1. 
СТАНДАРТЫ ЗАЩИТЫ ИНФОРМАЦИИ

1.1.1. 
Государственный стандарт  
по защите информации от НСД  
ГОСТ Р 50739—95

Государственный стандарт ГОСТ Р 50739—95 «Средства вычислительной техники (СВТ). Защита от несанкционированного доступа (НСД) к информации. Общие технические требования» введен в действие с 1.01.1996 г. Он устанавливает единые 
функциональные требования к защите СВТ от несанкционированного доступа к информации, к составу документации на эти 
средства, а также номенклатуру показателей защищенности СВТ. 
Стандарт закрепляет на государственном уровне требования соответствующих нормативных документов Федеральной службы 
по техническому и экспортному контролю (ФСТЭК) России (ранее — Гостехкомиссии России).
Защищенность от НСД к информации при ее обработке СВТ 
обеспечивается тремя группами требований к средствам защиты, 
реализуемым в СВТ:
1) требования к разграничению доступа;
2) требования к учету (СВТ должны поддерживать регистрацию событий, имеющих отношение к защищенности информации);
3) требования к гарантиям, предусматривающие необходимость наличия в составе СВТ технических и программных 
механизмов, позволяющих получить гарантии того, что СВТ 
обеспечивают выполнение требований к разграничению доступа и к учету.

Г л а в а  1
8

В соответствии со стандартом требования к разграничению доступа определяют следующие показатели защищенности, которые 
должны поддерживаться СВТ:
• дискретизационный принцип контроля доступа;
• мандатный принцип контроля доступа;
• идентификация и аутентификация;
• очистка памяти;
• изоляция модулей;
• защита ввода и вывода на отчуждаемый физический носитель

информации;
• сопоставление пользователя с устройством.
Комплекс средств защиты (КСЗ) должен осуществлять регистрацию следующих событий:
• использование идентификационного и аутентификационного механизма;
• запрос на доступ к защищаемому ресурсу (например, открытие файла, запуск программы);
• создание и уничтожение объекта;
• действия, связанные с изменением правил разграничения доступа.
Для каждого из этих событий должна быть зарегистрирована 

следующая информация: дата и время, субъект, осуществляющий 
регистрируемое действие, тип события, успешно ли осуществилось 
событие. КСЗ должен обладать механизмом, гарантирующим перехват диспетчером доступа всех обращений субъектов к объектам.
В СВТ должны тестироваться:
• реализация правил разграничения доступа;
• очистка оперативной и внешней памяти;
• работа механизма изоляции процессов в оперативной памяти;
• маркировка документов;
• защита ввода и вывода информации на отчуждаемый физический носитель и сопоставление пользователя с устройством;
• идентификация и аутентификация, а также средства их защиты;
• регистрация событий, средства защиты регистрационной информации и возможность санкционированного ознакомления с ней;
• работа механизма надежного восстановления;
• работа механизма, осуществляющего контроль за целостностью комплекса средств защиты (КСЗ);

• работа механизма, осуществляющего контроль дистрибуции.
При приемке СВТ, их сертификации и испытаниях необходима

документация, включающая: 

Стандарты в области ИБ
9

• руководство пользователя; 
• руководство по КСЗ; 
• тестовую документацию; 
• конструкторскую (проектную) документацию.

1.1.2. 
Защита от угроз,  
реализуемых через скрытые каналы  
(ГОСТ Р 53113.1, ГОСТ Р 53113.2)

Среди документов в области защиты информационных технологий (ИТ) и автоматизированных систем (АС) от угроз 
ИБ, реализуемых с использованием так называемых скрытых информационных каналов (СК), следует отметить два национальных 
стандарта РФ.
• ГОСТ Р 53113.1—2008 «Информационная технология. Защита 
информационных технологий и автоматизированных систем от 
угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения».
• ГОСТ Р 53113.2—2009 «Информационная технология. Защита 
информационных технологий и автоматизированных систем от 
угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и 
автоматизированных систем от атак с использованием скрытых 
каналов».
К появлению класса угроз ИБ, связанных с использованием 
СК, невидимых для традиционных средств защиты информации 
(ЗИ), привели развитие, внедрение и использование распределенных информационных систем (ИС) и технологий, использование 
импортных программно-аппаратных средств. Традиционные средства обеспечения ИБ, такие как средства разграничения доступа, 
межсетевые экраны, системы обнаружения вторжений, контролируют только информационные потоки, которые проходят по каналам, предназначенным для их передачи. Возможность обмена информацией вне этих рамок посредством СК не учитывается.
Опасность СК для ИТ, АС и других элементов информационной 
инфраструктуры организации связана с отсутствием контроля информационных потоков, что может привести к утечке информации, 
нарушить целостность информационных ресурсов и программного 
обеспечения в компьютерных системах. СК используются для систематического взаимодействия вредоносных программ (компьютерных 
вирусов) с нарушителем безопасности при организации атаки на АС, 
которая не обнаруживается средствами контроля и защиты.

Г л а в а  1
10

Опасность СК основана на том, что нарушитель может иметь 

постоянный доступ к информационным ресурсам и возможность 
воздействовать через эти каналы на ИС для нанесения максимального ущерба. Для обеспечения ЗИ, обрабатываемой в АС, необходимо выявлять и нейтрализовывать все возможные информационные 
каналы несанкционированного действия, в том числе и скрытые.
Существенным моментом защищенности ИТ и АС является доверие к системам защиты. В системах, требующих обеспечения повышенного уровня доверия, должны учитываться угрозы безопасности, 
возникающие вследствие наличия возможности несанкционированного действия с помощью СК. Требования доверия к безопасности 
информации установлены в ГОСТ Р ИСО/МЭК 15408-3 в соответствии с которым для систем с оценочным уровнем доверия, начиная с ОУД 5, предусмотрено проведение обязательного анализа СК. 

Таким образом, требование анализа СК в РФ является необходимым условием безопасного функционирования систем, обрабатывающих ценную информацию или использующих импортное аппаратно-программное обеспечение. Стандарт ГОСТ Р 53113.1—2008 
устанавливает классификацию СК, определяет задачи, решаемые 
при проведении анализа СК, а также устанавливает порядок проведения анализа для ИТ и АС. 

Он предназначен для использования заказчиками, разработчиками и пользователями ИТ при формировании ими требований 
к разработке, приобретению и применению ИТ, которые предназначены для обработки, хранения или передачи информации, подлежащей защите. Стандарт предназначен также для использования 
органами сертификации и испытательными лабораториями при 
оценке безопасности и сертификации безопасности ИТ и АС.
В стандарте введен ряд терминов.
АС — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая ИТ выполнения установленных функций.
ИС — организационно упорядоченная совокупность документов и ИТ, в том числе с использованием СВТ и связи, реализующих 
информационные процессы.
Информация ограниченного доступа — вид сведений, доступ 

к которым ограничен и разглашение которых может нанести ущерб 
интересам других лиц, общества и государства.
ИБ — все аспекты, связанные с определением, достижением 

и поддержанием конфиденциальности, целостности, доступности, 
неотказуемости, подотчетности, аутентичности и достоверности 
информации или средств ее обработки.