Безопасность инфокоммуникаций: стандартизация, измерения соответствия и подготовка кадров

Москва
Горячая линия – Телеком

2020

ÓÄÊ 004.056:621.39:[006+378.145/.146] 
ÁÁÊ 32.973-018.2 
     Ð60 

Ð å ö å í ç å í ò û :  äîêòîð  òåõí.  íàóê,  ïðîôåññîð  Á. Ã. Òåëåæíûé; 
êàíä. âîåí. íàóê, äîöåíò  Â. Â. Âàñèëåâñêèé 

Ðîäè÷åâ Þ. À., Êóáàíêîâ Þ. À., Ñèìîíîâ Ï. È. 
Ð60 Áåçîïàñíîñòü èíôîêîììóíèêàöèé: ñòàíäàðòèçàöèÿ, èçìåðåíèÿ 

ñîîòâåòñòâèÿ è ïîäãîòîâêà êàäðîâ. Ó÷åáíîå ïîñîáèå äëÿ âóçîâ 
Òåëåêîì, 2020. - 160 ñ.: èë.  
ISBN 978-5-9912-0706-5. 

Ðàññìîòðåíû íîâåéøèå ñòàíäàðòû áåçîïàñíîñòè èíôîêîììóíè-
êàöèé, ïðèçâàííûå îáåñïå÷èòü ãðÿäóùèé òåõíîëîãè÷åñêèé ïðîðûâ â 
èíôîðìàöèîííîé ñôåðå: çàùèòû èíôîðìàöèè; ñåòåâîé áåçîïàñíîñòè; 
çàùèùёííûõ èíôîêîììóíèêàöèé; îöåíèâàíèÿ áåçîïàñíîñòè èíôîð-
ìàöèîííûõ òåõíîëîãèé è óïðàâëåíèÿ èíôîðìàöèîííîé áåçîïàñíî-
ñòüþ. Äåòàëüíî ðàçîáðàíû ïðàêòè÷åñêèå âîïðîñû îöåíèâàíèÿ êà÷å-
ñòâà çàùèòû èíôîðìàöèè, èçìåðåíèé ñîîòâåòñòâèÿ êà÷åñòâà ðàáîòû 
ñëóæá èíôîðìàöèîííîé áåçîïàñíîñòè ñòàíäàðòíûì òðåáîâàíèÿì. 
Îñîáîå âíèìàíèå óäåëåíî ïðîôåññèîíàëüíûì è îáðàçîâàòåëüíûì 
ñòàíäàðòàì ïîäãîòîâêè êàäðîâ ïî íàïðàâëåíèþ «Èíôîðìàöèîííàÿ 
áåçîïàñíîñòü». 
Äëÿ ñòóäåíòîâ âóçîâ, îáó÷àþùèõñÿ ïî ñïåöèàëüíîñòè 10.05.02 – 
«Èíôîðìàöèîííàÿ áåçîïàñíîñòü 
òåëåêîììóíèêàöèîííûõ ñèñòåì», 
áóäåò 
ïîëåçíî 
ñòóäåíòàì, 
îáó÷àþùèìñÿ 
ïî 
íàïðàâëåíèÿì 
ïîäãîòîâêè 11.00.00 – «Ýëåêòðîíèêà, ðàäèîòåõíèêà è ñèñòåìû ñâÿçè» 
è 
10.00.00 
– 
«Èíôîðìàöèîííàÿ 
áåçîïàñíîñòü», 
àñïèðàíòàì, 
ïðåïîäàâàòåëÿì, òàêæå øèðîêîìó êðóãó ñïåöèàëèñòîâ, ñâÿçàííûõ ñ 
áåçîïàñíîñòüþ èíôîêîììóíèêàöèé.  

Учебное издание
Родичев Юрий Андреевич, Симонов Павел Игоревич, Кубанков Юрий Александрович
БЕЗОПАСНОСТЬ ИНФОКОММУНИКАЦИЙ:  СТАНДАОТИЗАЦИЯ, ИЗМЕРЕНИЯ 
СООТВЕТСТВИЯ И ПОДГОТОВКА КАДРОВ
Учебное пособие для вузов

Тиражирование книги начато в 2018 г.

Все права защищены.
Любая часть этого издания не может быть воспроизведена в какой бы то ни было форме 
и какими бы то ни было средствами без письменного разрешения правообладателя
© ООО «Научно-техническое издательство «Горячая линия – Телеком»
www.techbook.ru
Ó Ю.А. Рîäè÷åâ, П.И. Симоновîâ, Ю.А. Кубанков

ББК 32.973-018.2

Условные сокращения

АС 
— автоматизированная система

АСЗИ 
— АС в защищенном исполнении

ВКР 
— выпускная квалификационная работа

ВО 
— высшее образование

ГИА 
— государственная итоговая аттестация

ГРИ 
— группа реагирования на инциденты ИБ

ЗБ 
— ST (англ.) — задание по безопасности

ЗБАС 
— ЗБ для АС

ЗИ 
— защита информации

ИБ 
— информационная безопасность

ИБ ТКС 
— ИБ телекоммуникационных систем

ИК 
— инфокоммуникации

ИКС 
— инфокоммуникационная система

ИР 
— информационные ресурсы

ИС 
— информационная система

ИТ 
— IT (англ.) — информационная технология

ИТТ 
— ICT (англ.) — информационные и телекоммуника- 
ционные технологии

КСЗ 
— комплекс средств защиты

НСД 
— несанкционированный доступ

ОО 
— объект оценивания

ОВО 
— образовательная организация высшего образования

ООП 
— основная образовательная программа

ОПК 
— общепрофессиональная компетенция

ОУД 
— оценочный уровень доверия.

ПД 
— профессиональная деятельность

ПЗ 
— PP (англ.) — профиль защиты

ПИБ 
— политика ИБ организации

ПК 
— профессиональная компетенция

Условные сокращения
4

ПО 
— программное обеспечение

ПС 
— программа специалитета

ПСт 
— профессиональный стандарт

СБ 
— сетевая безопасность

СВТ 
— средства вычислительной техники

СК 
— скрытый информационный канал

СМИБ 
— ISMS (англ.) — система менеджмента ИБ

СОИБ 
— система обеспечения ИБ

СоПД 
— составной пакет доверия

СП 
— сообщение о проблемах

СПЦЗС 
— системы подвижной цифровой защищенной связи

ТДБ 
— требования доверия к безопасности

ТОО 
— технический отчет об оценке

УК 
— универсальная компетенция

ФГОС ВО — федеральный государственный образовательный 

стандарт высшего образования

ФОС 
— фонд оценочных средств

ФСТЭК 
— Федеральная служба по техническому и экспортно- 
му контролю

ФТБ 
— функциональные требования безопасности

ФУМО 
— федеральное учебно-методическое объединение

DoS 
— отказ в обслуживании

DdoS 
— распределенный отказ в обслуживании

ТСО 
— Total Cost of Ownership (совокупная стоимость вла- 
дения)

Введение

С начала третьего тысячелетия происходит жесто-
кое столкновение двух парадигм мироустройства: однополярной, 
не предусматривающей суверенитетов, — с одной стороны, и по-
лицентричной, с многими суверенными центрами, — с другой [1]. 
Одновременно усиливается мировая конкуренция за ресурсы [2]. 
На этом фоне с учетом стремительного развития инфокоммуника-
ционных технологий главной формой межгосударственной борьбы 
стало информационное противоборство.
Одним из многих доказательств этого являются сенсационные 
разоблачения Викиликса об использовании западными спецслуж-
бами популярных устройств и сервисов для негласного получения 
информации о действиях владельцев [3]. Проблемой для информа-
ционной безопасности (ИБ) могут стать социальные сети, теневой 
Интернет, криптовалюты, хакерство.
Информационная сфера стала пятой сферой вооруженной 
борьбы после суши, моря, воздушного и космического простран-
ства. США первыми в 2009 г. признали наличие у себя отдельного 
рода войск — кибервойск численностью около 10 тысяч человек. За-
тем кибервойска стали заводить у себя другие армии. В 2014 г. в рос-
сийских Вооруженных Силах созданы командование и войска ин-
формационных операций [4].
Таким образом, уклад жизни человечества и геополитический 
ландшафт в XXI веке изменились настолько сильно, что руковод-
ство России вынуждено обновлять документы стратегического 
планирования. Так, в декабре 2016 г. Президент России В.В. Пу-
тин утвердил новую Доктрину информационной безопасности 
Российской Федерации [5], а в мае 2017 г. — новую Стратегию раз-
вития информационного общества в РФ [6] на 2017—2030 гг. Эти 
стратегические документы определяют приоритетные националь-
ные интересы в информационной сфере: добиться технологиче-
ского прорыва и информационного суверенитета, а также обеспе-
чить высокое качество подготовки пригодных для этого кадров.
Главными драйверами грядущего технологического прорыва 
в информационной сфере как условия информационного сувере-
нитета России являются:

Введение
6

• обеспечение нацеленности технического регулирования 
в информационной сфере на высокий научно-технологиче-
ский уровень инфокоммуникаций (ИК),
• обеспечение высокой точности оценки соответствия ИК тре-
бованиям технических регламентов,
• удовлетворение растущего спроса рынка труда на инжене-
ров-новаторов с безупречной фундаментальной подготовкой.
Учебное пособие призвано раскрыть эти связанные между со-
бой инструменты развития ИК на ближайшие десятилетия. Опыт 
многих лет убедил авторов, что знания стандартов и методов изме-
рения соответствия не являются избыточными, а, напротив, очень 
нужны выпускникам направлений «ИБ» и «Электроника, радио-
техника и системы связи» в работе. Полезно им также знать обра-
зовательные и профессиональные стандарты (ПСт) как ориентиры 
в процессе обучения.
Учебное пособие посвящено 10-летию кафедры «Безопасность 
радиосвязи» Московского технического ордена Трудового Крас-
ного Знамени университета связи и информатики. Вклад авторов 
в подготовку учебного пособия распределился следующим обра-
зом: Ю.А. Родичев — главы 1, 3, раздел 2.3, научное редактирова-
ние; Ю.А. Кубанков — введение, разделы 2.1, 2.2, 4.1, заключение; 
П.И. Симонов — разделы 4.2, 4.3. В разделах 1 и 3 используется мате-
риалы Ю.А. Родичева из ряда его трудов [7, 8, 9, 10].
Учебное пособие может представлять интерес для аспирантов 
и студентов, обучающихся по направлениям «ИБ» и «Электрони-
ка, радиотехника и системы связи», а также для всех специалистов, 
связанных с безопасностью ИК.

Г Л А В А
1

Стандарты в области ИБ

1.1. 
СТАНДАРТЫ ЗАЩИТЫ ИНФОРМАЦИИ

1.1.1. 
Государственный стандарт  
по защите информации от НСД  
ГОСТ Р 50739—95

Государственный стандарт ГОСТ Р 50739—95 «Сред-
ства вычислительной техники (СВТ). Защита от несанкциониро-
ванного доступа (НСД) к информации. Общие технические тре-
бования» введен в действие с 1.01.1996 г. Он устанавливает единые 
функциональные требования к защите СВТ от несанкциониро-
ванного доступа к информации, к составу документации на эти 
средства, а также номенклатуру показателей защищенности СВТ. 
Стандарт закрепляет на государственном уровне требования со-
ответствующих нормативных документов Федеральной службы 
по техническому и экспортному контролю (ФСТЭК) России (ра-
нее — Гостехкомиссии России).
Защищенность от НСД к информации при ее обработке СВТ 
обеспечивается тремя группами требований к средствам защиты, 
реализуемым в СВТ:
1) требования к разграничению доступа;
2) требования к учету (СВТ должны поддерживать регистра-
цию событий, имеющих отношение к защищенности ин-
формации);
3) требования к гарантиям, предусматривающие необходи-
мость наличия в составе СВТ технических и программных 
механизмов, позволяющих получить гарантии того, что СВТ 
обеспечивают выполнение требований к разграничению до-
ступа и к учету.

Г л а в а  1
8

В соответствии со стандартом требования к разграничению до-
ступа определяют следующие показатели защищенности, которые 
должны поддерживаться СВТ:
• дискретизационный принцип контроля доступа;
• мандатный принцип контроля доступа;
• идентификация и аутентификация;
• очистка памяти;
• изоляция модулей;
• защита ввода и вывода на отчуждаемый физический носитель

информации;
• сопоставление пользователя с устройством.
Комплекс средств защиты (КСЗ) должен осуществлять реги-
страцию следующих событий:
• использование идентификационного и аутентификационно-
го механизма;
• запрос на доступ к защищаемому ресурсу (например, откры-
тие файла, запуск программы);
• создание и уничтожение объекта;
• действия, связанные с изменением правил разграничения до-
ступа.
Для каждого из этих событий должна быть зарегистрирована 

следующая информация: дата и время, субъект, осуществляющий 
регистрируемое действие, тип события, успешно ли осуществилось 
событие. КСЗ должен обладать механизмом, гарантирующим пере-
хват диспетчером доступа всех обращений субъектов к объектам.
В СВТ должны тестироваться:
• реализация правил разграничения доступа;
• очистка оперативной и внешней памяти;
• работа механизма изоляции процессов в оперативной памяти;
• маркировка документов;
• защита ввода и вывода информации на отчуждаемый физиче-
ский носитель и сопоставление пользователя с устройством;
• идентификация и аутентификация, а также средства их за-
щиты;
• регистрация событий, средства защиты регистрационной ин-
формации и возможность санкционированного ознакомле-
ния с ней;
• работа механизма надежного восстановления;
• работа механизма, осуществляющего контроль за целостно-
стью комплекса средств защиты (КСЗ);

• работа механизма, осуществляющего контроль дистрибуции.
При приемке СВТ, их сертификации и испытаниях необходима

документация, включающая: 

Стандарты в области ИБ
9

• руководство пользователя; 
• руководство по КСЗ; 
• тестовую документацию; 
• конструкторскую (проектную) документацию.

1.1.2. 
Защита от угроз,  
реализуемых через скрытые каналы  
(ГОСТ Р 53113.1, ГОСТ Р 53113.2)

Среди документов в области защиты информацион-
ных технологий (ИТ) и автоматизированных систем (АС) от угроз 
ИБ, реализуемых с использованием так называемых скрытых ин-
формационных каналов (СК), следует отметить два национальных 
стандарта РФ.
• ГОСТ Р 53113.1—2008 «Информационная технология. Защита 
информационных технологий и автоматизированных систем от 
угроз информационной безопасности, реализуемых с исполь-
зованием скрытых каналов. Часть 1. Общие положения».
• ГОСТ Р 53113.2—2009 «Информационная технология. Защита 
информационных технологий и автоматизированных систем от 
угроз информационной безопасности, реализуемых с исполь-
зованием скрытых каналов. Часть 2. Рекомендации по органи-
зации защиты информации, информационных технологий и 
автоматизированных систем от атак с использованием скрытых 
каналов».
К появлению класса угроз ИБ, связанных с использованием 
СК, невидимых для традиционных средств защиты информации 
(ЗИ), привели развитие, внедрение и использование распределен-
ных информационных систем (ИС) и технологий, использование 
импортных программно-аппаратных средств. Традиционные сред-
ства обеспечения ИБ, такие как средства разграничения доступа, 
межсетевые экраны, системы обнаружения вторжений, контроли-
руют только информационные потоки, которые проходят по кана-
лам, предназначенным для их передачи. Возможность обмена ин-
формацией вне этих рамок посредством СК не учитывается.
Опасность СК для ИТ, АС и других элементов информационной 
инфраструктуры организации связана с отсутствием контроля информационных 
потоков, что может привести к утечке информации, 
нарушить целостность информационных ресурсов и программного 
обеспечения в компьютерных системах. СК используются для систематического 
взаимодействия вредоносных программ (компьютерных 
вирусов) с нарушителем безопасности при организации атаки на АС, 
которая не обнаруживается средствами контроля и защиты.

Г л а в а  1
10

Опасность СК основана на том, что нарушитель может иметь 

постоянный доступ к информационным ресурсам и возможность 
воздействовать через эти каналы на ИС для нанесения максимального 
ущерба. Для обеспечения ЗИ, обрабатываемой в АС, необходимо 
выявлять и нейтрализовывать все возможные информационные 
каналы несанкционированного действия, в том числе и скрытые.
Существенным моментом защищенности ИТ и АС является доверие 
к системам защиты. В системах, требующих обеспечения повышенного 
уровня доверия, должны учитываться угрозы безопасности, 
возникающие вследствие наличия возможности несанкционирован-
ного действия с помощью СК. Требования доверия к безопасности 
информации установлены в ГОСТ Р ИСО/МЭК 15408-3 в соответ-
ствии с которым для систем с оценочным уровнем доверия, начи-
ная с ОУД 5, предусмотрено проведение обязательного анализа СК. 

Таким образом, требование анализа СК в РФ является необхо-
димым условием безопасного функционирования систем, обраба-
тывающих ценную информацию или использующих импортное ап-
паратно-программное обеспечение. Стандарт ГОСТ Р 53113.1—2008 
устанавливает классификацию СК, определяет задачи, решаемые 
при проведении анализа СК, а также устанавливает порядок про-
ведения анализа для ИТ и АС. 

Он предназначен для использования заказчиками, разработ-
чиками и пользователями ИТ при формировании ими требований 
к разработке, приобретению и применению ИТ, которые предна-
значены для обработки, хранения или передачи информации, под-
лежащей защите. Стандарт предназначен также для использования 
органами сертификации и испытательными лабораториями при 
оценке безопасности и сертификации безопасности ИТ и АС.
В стандарте введен ряд терминов.
АС — система, состоящая из персонала и комплекса средств ав-
томатизации его деятельности, реализующая ИТ выполнения уста-
новленных функций.
ИС — организационно упорядоченная совокупность докумен-
тов и ИТ, в том числе с использованием СВТ и связи, реализующих 
информационные процессы.
Информация ограниченного доступа — вид сведений, доступ 

к которым ограничен и разглашение которых может нанести ущерб 
интересам других лиц, общества и государства.
ИБ — все аспекты, связанные с определением, достижением 

и поддержанием конфиденциальности, целостности, доступности, 
неотказуемости, подотчетности, аутентичности и достоверности 
информации или средств ее обработки.