Стандарты информационной безопасности. Защита и обработка конфиденциальных документов

Ю.Н. СЫЧЕВ

2-е издание, переработанное и дополненное

Москва
ИНФРА-М
2024

УЧЕБНОЕ ПОСОБИЕ

СТАНДАРТЫ 
ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ

ЗАЩИТА И ОБРАБОТКА 
КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ

УДК 004.056(075.8)
ББК 32.973я73
 
С95

Сычев Ю.Н.
С95  
Стандарты информационной безопасности. Защита и обработка 
конфиденциальных документов : учебное пособие / Ю.Н. Сычев. — 
2-е изд., перераб. и доп. — Москва : ИНФРА-М, 2024. — 602 с. — (Высшее образование). 

ISBN 978-5-16-019904-7 (print)
ISBN 978-5-16-112444-4 (online)
В учебном пособии рассмотрены все действующие согласно Росстандарту российские и основные международные стандарты по информационной безопасности. После каждой главы имеются контрольные вопросы; 
в конце даны список тем для рефератов и проверочные тесты с ответами.
Соответствует требованиям федеральных государственных образовательных стандартов высшего образования последнего поколения.
Предназначено для студентов бакалавриата и магистрантов, обучающихся по направлению подготовки «Информационная безопасность».

УДК 004.056(075.8)
ББК 32.973я73

ISBN 978-5-16-019904-7 (print)
ISBN 978-5-16-112444-4 (online)
© Сычев Ю.Н., 2020
© Сычев Ю.Н., 2024, с изменениями

Список сокращений

27 ЦНИИ МО РФ — 27-й Центральный научно-исследовательский 
институт Министерства обороны Российской Федерации.
IEC — Международная электротехническая комиссия.
ISO — Международная организация по стандартизации.
KB — компьютерные вирусы.
ГОСТ — государственные и межгосударственные стандарты.
ГОСТ Р — государственные стандарты РФ.
ЗБ — задание по безопасности.
ЗИ — защита информации.
ИБ — информационная безопасность.
ИС — информационная система.
ИТ — информационные технологии.
ИФБО — интерфейс функции безопасности объекта оценки.
НКЦ «ЦНИИКА-СПИН» — Научно-консультационный центр 
по созданию и применению информационных технологий.
НСД — несанкционированный доступ.
ОДФ — область действия функции безопасности объекта оценки.
ОИ — объект информатизации.
ОО — объект оценки.
ООО «ЦБИ» — общество с ограниченной ответственностью «Центр 
безопасности информации».
ООО НПФ «Кристалл» — общество с ограниченной ответственностью «Научно-производственная фирма “Кристалл”».
ОСТ — отраслевые стандарты.
ОУД — оценочный уровень доверия.
ОЭСР — организация экономического сотрудничества и развития.
ПБО — политика безопасности объекта оценки.
ПЗ — профиль защиты.
ПНВ — преднамеренное воздействие.
ПО — программное обеспечение.
ПРД — порядок разграничения доступа.
ПС — программные средства.
ПФБ — политика функции безопасности.
ПЭВМ — персональная электронно-вычислительная машина (персональный компьютер).
Ростехрегулирование — Федеральное агентство по техническому регулированию и метрологии.
СЗ — средства защиты.

СМИБ — система менеджмента информационной безопасности.
СТП — стандарты предприятий.
СУИБ — система управления информационной безопасностью.
СУО — служба удаленного технического обслуживания.
СФБ — стойкость функции безопасности.
ТЗИ — техническая защита информации.
ФБ — функция безопасности.
ФБО — функции безопасности объекта оценки.
ФГУ «4 ЦНИИ Минобороны России» — Федеральное государственное учреждение «4 Центральный научно-исследовательский институт Министерства обороны России».
ФГУ «ГНИИИ ПТЗИ ФСТЭК России» — Федеральное автономное 
учреждение «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному 
контролю». 
ФГУП «ЦНИИАТОМИНФОРМ» — Федеральное государственное 
унитарное предприятие «Центральный научно-исследовательский институт управления, экономики и информации Росатома».
ФСТЭК — Федеральная служба по техническому и экспортному 
контролю.
ФТБ — функциональные требования безопасности.

Введение

Специалистам, работающим в области информационной безопасности, невозможно обойтись без знания международных и национальных стандартов и руководящих документов. Необходимость 
применения требований стандартов и руководящих документов 
Гос техкомиссии России закреплена законодательно. Помимо этого, 
в стандартах имеются апробированные, высококачественные решения и методологии, разработанные квалифицированными специалистами в области информационной безопасности. Стандарты 
являются основой обеспечения взаимной совместимости и заменяемости информационных, аппаратно-программных систем и их 
компонентов. 
Данное учебное пособие отличается качеством изложения теоретического материала. Материал представлен по этапам создания 
стандартов, т.е. с учетом развития информационного общества. 
Учебное пособие предназначено для изучения дисциплин: 
«Стандарты информационной безопасности», «Защита и обработка 
конфиденциальных документов».
Цели изучения дисциплины: 
 
• дать представление о действующих международных и российских стандартах информационной безопасности и руководящих документах Гостехкомиссии России для применения их 
в практической работе;
 
• развивать творческие подходы при решении сложных научнотехнических задач, связанных с обеспечением информационной 
безопасности государственных и негосударственных организаций. 
В результате изучения учебного пособия должны быть сформированы следующие компетенции: 
 
• ОК-4 способность использовать основы правовых знаний 
в различных сферах деятельности.
В результате освоения компетенции ОК-4 студент будет:
знать требования стандартов информационной безопасности 
и других руководящих документов;
уметь использовать стандарты и руководящие документы;
владеть навыками применения стандартов и руководящих 
докумен тов в повседневной жизни;
 
• ОПК-5 способность использовать нормативные правовые акты 
в профессиональной деятельности.

В результате освоения компетенции ОПК-5 студент будет:
знать нормативные правовые документы, международные и отечественные стандарты в области информационной безопасности;
уметь использовать нормативные правовые документы, международные и отечественные стандарты;
владеть навыками использования нормативных правовых 
докумен тов, международных и отечественных стандартов.
 
• ПК-3 способность администрировать подсистемы информационной безопасности объекта защиты.
В результате освоения компетенции ПК-3 студент будет:
знать подсистемы информационной безопасности объектов защиты информации;
уметь администрировать подсистемы информационной безопасности объектов защиты информации;
владеть навыками администрирования подсистем информационной безопасности объектов защиты информации;
 
• ПК-4 способность участвовать в работах по реализации политики информационной безопасности, применять комплексный 
подход к обеспечению информационной безопасности объекта 
защиты.
В результате освоения компетенции ПК-4 студент будет:
знать политику информационной безопасности объектов защиты информации;
уметь применять комплексный подход к обеспечению информационной безопасности объекта защиты;
владеть навыками реализации политики информационной безопасности объекта при построении и эксплуатации защищенных 
информационных систем;
 
• ПК-10 способность проводить анализ информационной безопасности объектов и систем на соответствие требованиям стандартов в области информационной безопасности.
В результате освоения компетенции ПК-10 студент будет:
знать порядок проведения анализа информационной безопасности объектов и систем;
уметь проводить анализ информационной безопасности объектов;
владеть навыками проведения анализа информационной безопасности объектов и систем на соответствие требованиям стандартов в области информационной безопасности.
В учебных целях стандарты и руководящие документы приведены автором в сокращенном варианте.

Глава 1
СТАНДАРТИЗАЦИЯ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ

Стандартизация — деятельность по разработке, опубликованию 
и применению стандартов, по установлению норм, правил и характеристик в целях обеспечения безопасности продукции, работ 
и услуг для окружающей среды, жизни, здоровья и имущества, 
информационной и технической совместимости, взаимозаменяемости и качества продукции, соответствия работ и услуг уровню 
развития науки, техники и технологии, единства измерений, экономии всех видов ресурсов, безопасности хозяйственных объектов 
с учетом риска возникновения природных и техногенных катастроф и других чрезвычайных ситуаций, мобилизационной готовности и обороноспособности страны.
Стандартизация направлена на приведение в соответствие различных видов продукции и услуг, разработанных в различных организациях. 
За реализацию норм стандартизации отвечают органы и службы 
стандартизации, наделенные законным правом руководить разработкой и утверждать нормативные документы и другие правила, 
придавая им статус стандартов.
Органы и службы стандартизации — организации, учреждения, 
объединения и их подразделения, основной деятельностью которых 
является осуществление работ по стандартизации или выполнение 
определенных функций по стандартизации. 
Руководство российской национальной стандартизацией осуществляет национальный орган по стандартизации — Федеральное 
агентство по техническому регулированию и метрологии — Ростехрегулирование. Оно имеет право представлять интересы страны 
в области стандартизации в международных или региональных организациях по стандартизации.
Функции Ростехрегулирования: 
1) принятие программы разработки национальных стандартов; 
2) утверждение национальных стандартов; 
3) учет национальных стандартов, правил стандартизации, норм 
и рекомендаций в этой области и обеспечение их доступности 
заинтересованным лицам; 
4) введение в действие общероссийских классификаторов техникоэкономической и социальной информации. 

Ростехрегулирование осуществляет свои функции непосредственно и через свои межрегиональные территориальные управления, а также российские службы стандартизации.
В структуру Ростехрегулирования входят: 
 
• Центральное межрегиональное территориальное управление 
(место расположения центрального аппарата территориального 
органа г. Москва); 
 
• Северо-Западное межрегиональное территориальное управление (г. Санкт-Петербург); 
 
• Южное межрегиональное территориальное управление (г. Ростов-на-Дону); 
 
• Приволжское межрегиональное территориальное управление 
(г. Нижний Новгород); 
 
• Уральское межрегиональное территориальное управление 
(г. Екатеринбург); 
 
• Сибирское межрегиональное территориальное управление 
(г. Новосибирск); 
 
• Дальневосточное межрегиональное территориальное управление (г. Хабаровск). 
Службы стандартизации — специально создаваемые организации и подразделения для проведения работ по стандартизации 
на определенных уровнях управления — государственном, отраслевом, предприятий (организации).
Российские службы стандартизации — научно-исследовательские институты Ростехрегулирования России и технические комитеты по стандартизации.
К научно-исследовательским институтам, например, относятся: 
 
• НИИ стандартизации (ВНИИ стандарт) головной институт 
в области национальной системы стандартизации; 
 
• ВНИИ сертификации продукции (ВНИИС) головной институт 
в области сертификации продукции (услуг) и систем управления 
качеством продукции (услуг); 
 
• ВНИИ по нормализации в машиностроении (ВНИИНМАШ) —
головной институт в области разработки научных основ унификации и агрегатирования в машиностроении и приборостроении; 
 
• «Стандартинформ» головной институт в области разработки 
и дальнейшего развития Единой системы классификации и кодирования технико-экономической информации, стандартизации научно-технической терминологии.
Технические комитеты по стандартизации создаются на базе 
организаций, специализирующихся на определенных видах про

дукции (услуг) и имеющих в данной области наиболее высокий 
научно-технический потенциал. На сегодняшний день зарегистрировано свыше 350 технических комитетов. 
Стандарт — продукт согласованного мнения всех заинтересованных в этом документе сторон (пользователей). 
Задача технического комитета заключается в обеспечении 
круглого стола участников разработки проекта стандарта. Поэтому в их состав включают представителей разработчиков, изготовителей, поставщиков, потребителей (заказчиков) продукции, 
обществ (союзов) потребителей и других заинтересованных предприятий и организаций, а также ведущих ученых и специалистов 
в конкретной области. Технические комитеты отвечают за качество 
и сроки разрабатываемых ими проектов стандартов в соответствии 
с действующим законодательством и заключенными договорами 
на проведение этих работ. 
Руководители предприятий непосредственно несут ответственность за организацию и состояние выполняемых работ по стандартизации на этих предприятиях. При необходимости предприятия 
создают службы стандартизации (отдел, лабораторию, бюро), которые выполняют научно-исследовательские, опытно-конструкторские и другие работы по стандартизации.
Выделяют следующие ключевые задачи стандартизации:
1) налаживание взаимопонимания между субъектами производственных процессов (разработчиками, промышленниками, продавцами, покупателями товаров и услуг);
2) выработка оптимальных критериев стандартизации, отражающих особенности развития тех или иных отраслей или экономики в целом;
3) содействие выработке предприятиями оптимальных схем доступа к необходимым ресурсам посредством внедрения стандартов, отражающих применение тех или иных видов сырья, 
материалов, компонентов;
4) унификация производственных процессов с целью повышения 
динамики масштабирования бизнесов (как результат — позитивный эффект в аспекте роста экономики);
5) установление оптимальных норм в области метрологии (с целью 
оптимизации производственных цепочек как на национальном, 
так и на международном уровне);
6) нормативное обеспечение процедур контроля, испытаний, измерений, исследования продукции для определения качества;
7) оптимизация технологических процессов с точки зрения трудоемкости, потребности в материалах, электроэнергии;

8) содействие инвестиционной привлекательности национальных 
предприятий с точки зрения повышения эффективности производства за счет оптимизации стандартов.
Стандарты нацелены на регулирование какой-либо конкретной 
части производственного процесса (предоставления услуг). В них 
также могут указываться критерии, имеющие, например, отношение к терминологии каких-либо товаров или услуг. Данные документы разрабатываются на основе обобщенных научных исследований, инженерных работ, они аккумулируют результаты практики 
производства (оказания услуг) в различных сферах экономики.
Все стандарты, применяемые в российской практике, как указывается в Федеральном законе «О техническом регулировании» 
от 27.12.2002 № 184-ФЗ, имеют единообразный формат обозначения. 
То есть в любой категории стандартов Российской Федерации структура соответствующих норм представлена в виде индекса, номера регистрации, а также года принятия (например, ГОСТ Р 50597–93).
Целями стандартизации являются: 
 
• обеспечение безопасности граждан, сохранности их имущества 
и имущества различных организаций, а также государственного 
и муниципального имущества; 
 
• выполнение требований к качеству продукции, а также выполняемых работ и предоставляемых услуг, повышению их конкурентоспособности, бережного использования ресурсов страны, 
взаимозаменяемость составных частей машин и оборудования, 
их комплектующих, информационной и технической совместимости, обеспечение единства измерений результатов исследований и испытаний, технических данных; 
 
• выполнение требований технических регламентов; 
 
• создание унифицированной системы классификации и кодирования качества продукции, работ и услуг, системы передачи 
данных. 
Выделяют следующие основные категории стандартов:
 
• международные;
 
• государственные стандарты Российской Федерации (ГОСТ Р);
 
• межгосударственные (ГОСТ);
 
• корпоративные (стандарты предприятий);
 
• отраслевые;
 
• издаваемые общественными объединениями.
Есть в мировой практике и другие категории. Например, региональные стандарты, применяемые одновременно в нескольких 
странах, которые объединены по культурным или географическим 
признакам.