Стандарты информационной безопасности. Защита и обработка конфиденциальных документов

СТАНДАРТЫ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ.
ЗАЩИТА И ОБРАБОТКА 
КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ

Ю.Н. СЫЧЕВ

Москва
ИНФРА-М
2021

УЧЕБНОЕ ПОСОБИЕ

Рекомендовано Межрегиональным учебно-методическим советом 
профессионального образования в качестве учебного пособия 
для студентов высших учебных заведений, обучающихся по укрупненной группе 
специальностей и направлений 10.03.00 «Информационная безопасность» 
(протокол № 7 от 15.04.2019)

ISBN 978-5-16-014397-2 (print)
ISBN 978-5-16-106911-0 (online)
© Сычев Ю.Н., 2019

УДК 004.56(075.8)
ББК 32.973я73
 
С95

Сычев Ю.Н.
С95 
 
Стандарты информационной безопасности. Защита и обработка 
конфиденциальных документов : учебное пособие / Ю.Н. Сычев. — 
Москва : ИНФРА-М, 2021. — 223 с. — (Высшее образование: Бакалавриат). — DOI 10.12737/textbook_5cc15bb22f5345.11209330.

ISBN 978-5-16-014397-2 (print)
ISBN 978-5-16-106911-0 (online)

Специалистам, работающим в области информационной безопасности, невозможно обойтись без знания международных и национальных 
стандартов и руководящих документов. Необходимость применения требований стандартов и руководящих документов Государственной технической комиссии при Президенте Российской Федерации закреплена 
законодательно. Помимо этого, в стандартах имеются апробированные, 
высококачественные решения и методологии, разработанные квалифицированными специалистами в области информационной безопасности. 
Стандарты являются основой обеспечения взаимной совместимости 
и заменяемости информационных, аппаратно-программных систем 
и их компонентов. 
Соответствует требованиям федеральных государственных образовательных стандартов высшего образования последнего поколения.
Предназначено для бакалавров и магистрантов, обучающихся по направлению подготовки «Информационная безопасность».

УДК 004.56(075.8)
ББК 32.973я73

Список сокращений

27 ЦНИИ МО РФ — 27-й Центральный научно-исследовательский 
институт Министерства обороны Российской Федерации.
IEC — Международная электротехническая комиссия.
ISO — Международная организация по стандартизации.
KB — компьютерные вирусы.
ГОСТ — государственные и межгосударственные стандарты.
ГОСТ Р — государственные стандарты РФ.
ЗБ — задание по безопасности.
ЗИ — защита информации.
ИБ — информационная безопасность.
ИС — информационная система.
ИТ — информационные технологии.
ИФБО — интерфейс функции безопасности объекта оценки.
НКЦ «ЦНИИКА-СПИН» — Научно-консультационный центр по 
созданию и применению информационных технологий.
НСД — несанкционированный доступ.
ОДФ — область действия функции безопасности объекта оценки.
ОИ — объект информатизации.
ОО — объект оценки.
ООО «ЦБИ» — общество с ограниченной ответственностью «Центр 
безопасности информации».
ООО НПФ «Кристалл» — общество с ограниченной ответственностью «Научно-производственная фирма “Кристалл”».
ОСТ — отраслевые стандарты.
ОУД — оценочный уровень доверия.
ОЭСР — организация экономического сотрудничества и развития.
ПБО — политика безопасности объекта оценки.
ПЗ — профиль защиты.
ПНВ — преднамеренное воздействие.
ПО — программное обеспечение.
ПРД — порядок разграничения доступа.
ПС — программные средства.
ПФБ — политика функции безопасности.
ПЭВМ — персональная электронно-вычислительная машина (персональный компьютер).
Ростехрегулирование — Федеральное агентство по техническому регулированию и метрологии.
СЗ — средства защиты.

СМИБ — система менеджмента информационной безопасности.
СТП — стандарты предприятий.
СУИБ — система управления информационной безопасностью.
СФБ — стойкость функции безопасности.
ТЗИ — техническая защита информации.
ФБ — функция безопасности.
ФБО — функции безопасности объекта оценки.
ФГУ «4 ЦНИИ Минобороны России» — Федеральное государственное учреждение «4 Центральный научно-исследовательский институт Министерства обороны России».
ФГУ «ГНИИИ ПТЗИ ФСТЭК России» — Федеральное автономное 
учреждение «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному 
контролю». 
ФГУП «ЦНИИАТОМИНФОРМ» — Федеральное государственное 
унитарное предприятие «Центральный научно-исследовательский институт управления, экономики и информации Росатома».
ФСТЭК — Федеральная служба по техническому и экспортному 
контролю.
ФТБ — функциональные требования безопасности.

Введение

Специалистам, работающим в области информационной безопасности, невозможно обойтись без знания международных и национальных стандартов и руководящих документов. Необходимость 
применения требований стандартов и руководящих документов 
Гос техкомиссии России закреплена законодательно. Помимо 
этого, в стандартах имеются апробированные, высококачественные 
решения и методологии, разработанные квалифицированными 
специалистами в области информационной безопасности. Стандарты являются основой обеспечения взаимной совместимости 
и заменяемости информационных, аппаратно-программных систем 
и их компонентов. 
Данное учебное пособие отличается качеством изложения теоретического материала. Материал представлен по этапам создания 
стандартов, т.е. с учетом развития информационного общества. 
Учебное пособие предназначено для изучения дисциплин: 
«Стандарты информационной безопасности», «Защита и обработка 
конфиденциальных документов». Эти дисциплины изучаются студентами, обучающимися по направлению «Информационная безопасность» (бакалавриат и магистратура). Учебное пособие может 
использоваться при подготовке к поступлению в магистратуру.
Цели изучения дисциплины: 
 
• дать представление о действующих международных и российских стандартах информационной безопасности и руководящих документах Гостехкомиссии России для применения их 
в практической работе;
 
• развивать творческие подходы при решении сложных научнотехнических задач, связанных с обеспечением информационной 
безопасности государственных и негосударственных организаций. 
В результате изучения учебного пособия должны быть сформированы следующие компетенции: 
 
• ОК-4 — способность использовать основы правовых знаний 
в различных сферах деятельности.
В результате освоения компетенции ОК-4 студент будет:
знать требования стандартов информационной безопасности 
и других руководящих документов;
уметь использовать стандарты и руководящие документы;
владеть навыками применения стандартов и руководящих 
докумен тов в повседневной жизни;

• ОПК-5 — способность использовать нормативные правовые 
акты в профессиональной деятельности.
В результате освоения компетенции ОПК-5 студент будет:
знать нормативные правовые документы, международные и отечественные стандарты в области информационной безопасности;
уметь использовать нормативные правовые документы, международные и отечественные стандарты;
владеть навыками использования нормативных правовых 
докумен тов, международных и отечественных стандартов.
 
• ПК-3 — способность администрировать подсистемы информационной безопасности объекта защиты.
В результате освоения компетенции ПК-3 студент будет:
знать подсистемы информационной безопасности объектов защиты информации;
уметь администрировать подсистемы информационной безопасности объектов защиты информации;
владеть навыками администрирования подсистем информационной безопасности объектов защиты информации;
 
• ПК-4 — способность участвовать в работах по реализации политики информационной безопасности, применять комплексный 
подход к обеспечению информационной безопасности объекта 
защиты.
В результате освоения компетенции ПК-4 студент будет:
знать политику информационной безопасности объектов защиты информации;
уметь применять комплексный подход к обеспечению информационной безопасности объекта защиты;
владеть навыками реализации политики информационной безопасности объекта при построении и эксплуатации защищенных 
информационных систем;
 
• ПК-10 — способность проводить анализ информационной безопасности объектов и систем на соответствие требованиям стандартов в области информационной безопасности.
В результате освоения компетенции ПК-10 студент будет:
знать порядок проведения анализа информационной безопасности объектов и систем;
уметь проводить анализ информационной безопасности объектов;

владеть навыками проведения анализа информационной безопасности объектов и систем на соответствие требованиям стандартов в области информационной безопасности.
В учебных целях стандарты и руководящие документы приведены автором в сокращенном варианте.

Глава 1
СТАНДАРТИЗАЦИЯ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ

Стандартизация — деятельность по разработке, опубликованию 
и применению стандартов, по установлению норм, правил и характеристик в целях обеспечения безопасности продукции, работ 
и услуг для окружающей среды, жизни, здоровья и имущества, 
информационной и технической совместимости, взаимозаменяемости и качества продукции, соответствия работ и услуг уровню 
развития науки, техники и технологии, единства измерений, экономии всех видов ресурсов, безопасности хозяйственных объектов 
с учетом риска возникновения природных и техногенных катастроф 
и других чрезвычайных ситуаций, мобилизационной готовности 
и обороноспособности страны.
Стандартизация направлена на приведение в соответствие различных видов продукции и услуг, разработанных в различных организациях. 
За реализацию норм стандартизации отвечают органы и службы 
стандартизации, наделенные законным правом руководить разработкой и утверждать нормативные документы и другие правила, 
придавая им статус стандартов.
Органы и службы стандартизации — организации, учреждения, 
объединения и их подразделения, основной деятельностью которых 
является осуществление работ по стандартизации или выполнение 
определенных функций по стандартизации. 
Руководство российской национальной стандартизацией осуществляет национальный орган по стандартизации — Федеральное 
агентство по техническому регулированию и метрологии — Ростехрегулирование. Оно имеет право представлять интересы страны 
в области стандартизации в международных или региональных организациях по стандартизации.
Функции Ростехрегулирования: 
1) принятие программы разработки национальных стандартов; 
2) утверждение национальных стандартов; 
3) учет национальных стандартов, правил стандартизации, норм 
и рекомендаций в этой области и обеспечение их доступности 
заинтересованным лицам; 
4) введение в действие общероссийских классификаторов техникоэкономической и социальной информации. 

Ростехрегулирование осуществляет свои функции непосредственно и через свои межрегиональные территориальные управления, а также российские службы стандартизации.
В структуру Ростехрегулирования входят: 
 
• Центральное межрегиональное территориальное управление 
(место расположения центрального аппарата территориального 
органа — г. Москва); 
 
• Северо-Западное межрегиональное территориальное управление (г. Санкт-Петербург); 
 
• Южное межрегиональное территориальное управление (г. Ростов-на-Дону); 
 
• Приволжское межрегиональное территориальное управление 
(г. Нижний Новгород); 
 
• Уральское межрегиональное территориальное управление 
(г. Екатеринбург); 
 
• Сибирское межрегиональное территориальное управление 
(г. Новосибирск); 
 
• Дальневосточное межрегиональное территориальное управление (г. Хабаровск). 
Службы стандартизации — специально создаваемые организации и подразделения для проведения работ по стандартизации 
на определенных уровнях управления — государственном, отраслевом, предприятий (организации).
Российские службы стандартизации — научно-исследовательские институты Ростехрегулирования России и технические комитеты по стандартизации.
К научно-исследовательским институтам, например, относятся: 
 
• НИИ стандартизации (ВНИИ стандарт) — головной институт 
в области национальной системы стандартизации; 
 
• ВНИИ сертификации продукции (ВНИИС) — головной институт в области сертификации продукции (услуг) и систем 
управления качеством продукции (услуг); 
 
• ВНИИ по нормализации в машиностроении (ВНИИНМАШ) —
головной институт в области разработки научных основ унификации и агрегатирования в машиностроении и приборостроении; 
 
• «Стандартинформ» — головной институт в области разработки 
и дальнейшего развития Единой системы классификации и кодирования технико-экономической информации, стандартизации научно-технической терминологии.
Технические комитеты по стандартизации создаются на базе 
организаций, специализирующихся на определенных видах про

дукции (услуг) и имеющих в данной области наиболее высокий 
научно-технический потенциал. На сегодняшний день зарегистрировано свыше 350 технических комитетов. 
Стандарт — продукт согласованного мнения всех заинтересованных в этом документе сторон (пользователей). 
Задача технического комитета заключается в обеспечении 
круглого стола участников разработки проекта стандарта. Поэтому в их состав включают представителей разработчиков, изготовителей, поставщиков, потребителей (заказчиков) продукции, 
обществ (союзов) потребителей и других заинтересованных предприятий и организаций, а также ведущих ученых и специалистов 
в конкретной области. Технические комитеты отвечают за качество 
и сроки разрабатываемых ими проектов стандартов в соответствии 
с действующим законодательством и заключенными договорами на 
проведение этих работ. 
Руководители предприятий непосредственно несут ответственность за организацию и состояние выполняемых работ по стандартизации на этих предприятиях. При необходимости предприятия 
создают службы стандартизации (отдел, лабораторию, бюро), которые выполняют научно-исследовательские, опытно-конструкторские и другие работы по стандартизации.
Выделяют следующие ключевые задачи стандартизации:
1) налаживание взаимопонимания между субъектами производственных процессов (разработчиками, промышленниками, продавцами, покупателями товаров и услуг);
2) выработка оптимальных критериев стандартизации, отражающих особенности развития тех или иных отраслей или экономики в целом;
3) содействие выработке предприятиями оптимальных схем доступа к необходимым ресурсам посредством внедрения стандартов, отражающих применение тех или иных видов сырья, 
материалов, компонентов;
4) унификация производственных процессов с целью повышения 
динамики масштабирования бизнесов (как результат — позитивный эффект в аспекте роста экономики);
5) установление оптимальных норм в области метрологии (с целью 
оптимизации производственных цепочек как на национальном, 
так и на международном уровне);
6) нормативное обеспечение процедур контроля, испытаний, измерений, исследования продукции для определения качества;
7) оптимизация технологических процессов с точки зрения трудоемкости, потребности в материалах, электроэнергии;