Стандарты информационной безопасности. Защита и обработка конфиденциальных документов

СТАНДАРТЫ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ.
ЗАЩИТА И ОБРАБОТКА 
КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ

Ю.Н. СЫЧЕВ

Москва
ИНФРА-М
2021

УЧЕБНОЕ ПОСОБИЕ

Рекомендовано Межрегиональным учебно-методическим советом 
профессионального образования в качестве учебного пособия 
для студентов высших учебных заведений, обучающихся по укрупненной 
группе специальностей 10.05.00 «Информационная безопасность» 
(протокол № 8 от 22.06.2020)

ISBN 978-5-16-016533-2 (print)
ISBN 978-5-16-108817-3 (online)
© Сычев Ю.Н., 2019, 2021

УДК 004.056(075.8)
ББК 32.973я73
 
С95

Сычев Ю.Н.
С95 
 
Стандарты информационной безопасности. Защита и обработка 
конфиденциальных документов : учебное пособие / Ю.Н. Сычев. — 
Москва : ИНФРА-М, 2021. — 223 с. — (Высшее образование: Специалитет). 

ISBN 978-5-16-016533-2 (print)
ISBN 978-5-16-108817-3 (online)

Специалистам, работающим в области информационной безопасности, невозможно обойтись без знания международных и национальных 
стандартов и руководящих документов. Необходимость применения требований стандартов и руководящих документов Государственной технической комиссии при Президенте Российской Федерации закреплена 
законодательно. Помимо этого, в стандартах имеются апробированные, 
высококачественные решения и методологии, разработанные квалифицированными специалистами в области информационной безопасности. 
Стандарты являются основой обеспечения взаимной совместимости 
и заменяемости информационных, аппаратно-программных систем 
и их компонентов. 
Соответствует требованиям федеральных государственных образовательных стандартов высшего образования последнего поколения.
Предназначено для студентов вузов, обучающихся по укрупненной 
группе специальностей 10.05.00 «Информационная безопасность».

УДК 004.056(075.8)
ББК 32.973я73

Список сокращений

27 ЦНИИ МО РФ — 27-й Центральный научно-исследовательский 
институт Министерства обороны Российской Федерации.
IEC — Международная электротехническая комиссия.
ISO — Международная организация по стандартизации.
KB — компьютерные вирусы.
ГОСТ — государственные и межгосударственные стандарты.
ГОСТ Р — государственные стандарты РФ.
ЗБ — задание по безопасности.
ЗИ — защита информации.
ИБ — информационная безопасность.
ИС — информационная система.
ИТ — информационные технологии.
ИФБО — интерфейс функции безопасности объекта оценки.
НКЦ «ЦНИИКА-СПИН» — Научно-консультационный центр по 
созданию и применению информационных технологий.
НСД — несанкционированный доступ.
ОДФ — область действия функции безопасности объекта оценки.
ОИ — объект информатизации.
ОО — объект оценки.
ООО «ЦБИ» — общество с ограниченной ответственностью «Центр 
безопасности информации».
ООО НПФ «Кристалл» — общество с ограниченной ответственностью «Научно-производственная фирма “Кристалл”».
ОСТ — отраслевые стандарты.
ОУД — оценочный уровень доверия.
ОЭСР — организация экономического сотрудничества и развития.
ПБО — политика безопасности объекта оценки.
ПЗ — профиль защиты.
ПНВ — преднамеренное воздействие.
ПО — программное обеспечение.
ПРД — порядок разграничения доступа.
ПС — программные средства.
ПФБ — политика функции безопасности.
ПЭВМ — персональная электронно-вычислительная машина (персональный компьютер).
Ростехрегулирование — Федеральное агентство по техническому регулированию и метрологии.
СЗ — средства защиты.

СМИБ — система менеджмента информационной безопасности.
СТП — стандарты предприятий.
СУИБ — система управления информационной безопасностью.
СФБ — стойкость функции безопасности.
ТЗИ — техническая защита информации.
ФБ — функция безопасности.
ФБО — функции безопасности объекта оценки.
ФГУ «4 ЦНИИ Минобороны России» — Федеральное государственное учреждение «4 Центральный научно-исследовательский институт Министерства обороны России».
ФГУ «ГНИИИ ПТЗИ ФСТЭК России» — Федеральное автономное 
учреждение «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному 
контролю». 
ФГУП «ЦНИИАТОМИНФОРМ» — Федеральное государственное 
унитарное предприятие «Центральный научно-исследовательский институт управления, экономики и информации Росатома».
ФСТЭК — Федеральная служба по техническому и экспортному 
контролю.
ФТБ — функциональные требования безопасности.

Введение

Специалистам, работающим в области информационной без
опасности, невозможно обойтись без знания международных и национальных стандартов и руководящих документов. Необходимость 
применения требований стандартов и руководящих документов 
Гос техкомиссии России закреплена законодательно. Помимо 
этого, в стандартах имеются апробированные, высококачественные 
решения и методологии, разработанные квалифицированными 
специалистами в области информационной безопасности. Стандарты являются основой обеспечения взаимной совместимости 
и заменяемости информационных, аппаратно-программных систем 
и их компонентов. 

Данное учебное пособие отличается качеством изложения тео
ретического материала. Материал представлен по этапам создания 
стандартов, т.е. с учетом развития информационного общества. 

Учебное пособие предназначено для изучения дисциплин: 

«Стандарты информационной безопасности», «Защита и обработка 
конфиденциальных документов». 

Цели изучения дисциплины: 

• дать представление о действующих международных и рос
сийских стандартах информационной безопасности и руководящих документах Гостехкомиссии России для применения их 
в практической работе;

• развивать творческие подходы при решении сложных научно
технических задач, связанных с обеспечением информационной 
безопасности государственных и негосударственных организаций. 
В результате изучения учебного пособия должны быть сформи
рованы следующие компетенции: 
• ОК-4 — способность использовать основы правовых знаний 

в различных сферах деятельности.
В результате освоения компетенции ОК-4 студент будет:
знать требования стандартов информационной безопасности 

и других руководящих документов;

уметь использовать стандарты и руководящие документы;
владеть навыками применения стандартов и руководящих 

докумен тов в повседневной жизни;

• ОПК-5 — способность использовать нормативные правовые 
акты в профессиональной деятельности.
В результате освоения компетенции ОПК-5 студент будет:
знать нормативные правовые документы, международные и отечественные стандарты в области информационной безопасности;
уметь использовать нормативные правовые документы, международные и отечественные стандарты;
владеть навыками использования нормативных правовых 
докумен тов, международных и отечественных стандартов.
 
• ПК-3 — способность администрировать подсистемы информационной безопасности объекта защиты.
В результате освоения компетенции ПК-3 студент будет:
знать подсистемы информационной безопасности объектов защиты информации;
уметь администрировать подсистемы информационной безопасности объектов защиты информации;
владеть навыками администрирования подсистем информационной безопасности объектов защиты информации;
 
• ПК-4 — способность участвовать в работах по реализации политики информационной безопасности, применять комплексный 
подход к обеспечению информационной безопасности объекта 
защиты.
В результате освоения компетенции ПК-4 студент будет:
знать политику информационной безопасности объектов защиты информации;
уметь применять комплексный подход к обеспечению информационной безопасности объекта защиты;
владеть навыками реализации политики информационной безопасности объекта при построении и эксплуатации защищенных 
информационных систем;
 
• ПК-10 — способность проводить анализ информационной безопасности объектов и систем на соответствие требованиям стандартов в области информационной безопасности.
В результате освоения компетенции ПК-10 студент будет:
знать порядок проведения анализа информационной безопасности объектов и систем;
уметь проводить анализ информационной безопасности объектов;

владеть навыками проведения анализа информационной безопасности объектов и систем на соответствие требованиям стандартов в области информационной безопасности.
В учебных целях стандарты и руководящие документы приведены автором в сокращенном варианте.

Глава 1
СТАНДАРТИЗАЦИЯ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ

Стандартизация — деятельность по разработке, опубликованию 
и применению стандартов, по установлению норм, правил и характеристик в целях обеспечения безопасности продукции, работ 
и услуг для окружающей среды, жизни, здоровья и имущества, 
информационной и технической совместимости, взаимозаменяемости и качества продукции, соответствия работ и услуг уровню 
развития науки, техники и технологии, единства измерений, экономии всех видов ресурсов, безопасности хозяйственных объектов 
с учетом риска возникновения природных и техногенных катастроф 
и других чрезвычайных ситуаций, мобилизационной готовности 
и обороноспособности страны.
Стандартизация направлена на приведение в соответствие различных видов продукции и услуг, разработанных в различных организациях. 
За реализацию норм стандартизации отвечают органы и службы 
стандартизации, наделенные законным правом руководить разработкой и утверждать нормативные документы и другие правила, 
придавая им статус стандартов.
Органы и службы стандартизации — организации, учреждения, 
объединения и их подразделения, основной деятельностью которых 
является осуществление работ по стандартизации или выполнение 
определенных функций по стандартизации. 
Руководство российской национальной стандартизацией осуществляет национальный орган по стандартизации — Федеральное 
агентство по техническому регулированию и метрологии — Ростехрегулирование. Оно имеет право представлять интересы страны 
в области стандартизации в международных или региональных организациях по стандартизации.
Функции Ростехрегулирования: 
1) принятие программы разработки национальных стандартов; 
2) утверждение национальных стандартов; 
3) учет национальных стандартов, правил стандартизации, норм 
и рекомендаций в этой области и обеспечение их доступности 
заинтересованным лицам; 
4) введение в действие общероссийских классификаторов техникоэкономической и социальной информации. 

Ростехрегулирование осуществляет свои функции непосредственно и через свои межрегиональные территориальные управления, а также российские службы стандартизации.
В структуру Ростехрегулирования входят: 
 
• Центральное межрегиональное территориальное управление 
(место расположения центрального аппарата территориального 
органа — г. Москва); 
 
• Северо-Западное межрегиональное территориальное управление (г. Санкт-Петербург); 
 
• Южное межрегиональное территориальное управление (г. Ростов-на-Дону); 
 
• Приволжское межрегиональное территориальное управление 
(г. Нижний Новгород); 
 
• Уральское межрегиональное территориальное управление 
(г. Екатеринбург); 
 
• Сибирское межрегиональное территориальное управление 
(г. Новосибирск); 
 
• Дальневосточное межрегиональное территориальное управление (г. Хабаровск). 
Службы стандартизации — специально создаваемые организации и подразделения для проведения работ по стандартизации 
на определенных уровнях управления — государственном, отраслевом, предприятий (организации).
Российские службы стандартизации — научно-исследовательские институты Ростехрегулирования России и технические комитеты по стандартизации.
К научно-исследовательским институтам, например, относятся: 
 
• НИИ стандартизации (ВНИИ стандарт) — головной институт 
в области национальной системы стандартизации; 
 
• ВНИИ сертификации продукции (ВНИИС) — головной институт в области сертификации продукции (услуг) и систем 
управления качеством продукции (услуг); 
 
• ВНИИ по нормализации в машиностроении (ВНИИНМАШ) —
головной институт в области разработки научных основ унификации и агрегатирования в машиностроении и приборостроении; 
 
• «Стандартинформ» — головной институт в области разработки 
и дальнейшего развития Единой системы классификации и кодирования технико-экономической информации, стандартизации научно-технической терминологии.
Технические комитеты по стандартизации создаются на базе 
организаций, специализирующихся на определенных видах про

дукции (услуг) и имеющих в данной области наиболее высокий 
научно-технический потенциал. На сегодняшний день зарегистрировано свыше 350 технических комитетов. 
Стандарт — продукт согласованного мнения всех заинтересованных в этом документе сторон (пользователей). 
Задача технического комитета заключается в обеспечении 
круглого стола участников разработки проекта стандарта. Поэтому в их состав включают представителей разработчиков, изготовителей, поставщиков, потребителей (заказчиков) продукции, 
обществ (союзов) потребителей и других заинтересованных предприятий и организаций, а также ведущих ученых и специалистов 
в конкретной области. Технические комитеты отвечают за качество 
и сроки разрабатываемых ими проектов стандартов в соответствии 
с действующим законодательством и заключенными договорами на 
проведение этих работ. 
Руководители предприятий непосредственно несут ответственность за организацию и состояние выполняемых работ по стандартизации на этих предприятиях. При необходимости предприятия 
создают службы стандартизации (отдел, лабораторию, бюро), которые выполняют научно-исследовательские, опытно-конструкторские и другие работы по стандартизации.
Выделяют следующие ключевые задачи стандартизации:
1) налаживание взаимопонимания между субъектами производственных процессов (разработчиками, промышленниками, продавцами, покупателями товаров и услуг);
2) выработка оптимальных критериев стандартизации, отражающих особенности развития тех или иных отраслей или экономики в целом;
3) содействие выработке предприятиями оптимальных схем доступа к необходимым ресурсам посредством внедрения стандартов, отражающих применение тех или иных видов сырья, 
материалов, компонентов;
4) унификация производственных процессов с целью повышения 
динамики масштабирования бизнесов (как результат — позитивный эффект в аспекте роста экономики);
5) установление оптимальных норм в области метрологии (с целью 
оптимизации производственных цепочек как на национальном, 
так и на международном уровне);
6) нормативное обеспечение процедур контроля, испытаний, измерений, исследования продукции для определения качества;
7) оптимизация технологических процессов с точки зрения трудоемкости, потребности в материалах, электроэнергии;