Стандарты информационной безопасности. Защита и обработка конфиденциальных документов

Ю.Н. СЫЧЕВ

2-е издание, переработанное и дополненное

Москва
ИНФРА-М
2024

УЧЕБНОЕ ПОСОБИЕ

Рекомендовано Межрегиональным учебно-методическим 
советом профессионального образования в качестве 
учебного пособия для учебных заведений, реализующих программу 
среднего профессионального образования по укрупненной 
группе специальностей 10.02.00 «Информационная безопасность» 
(протокол № 12 от 24.06.2019)

СТАНДАРТЫ 
ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ

ЗАЩИТА И ОБРАБОТКА 
КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ

УДК 004.056(075.32)
ББК 32.973я723
 
С95

Сычев Ю.Н.

С95  
Стандарты информационной безопасности. Защита и обработка 

конфиденциальных документов : учебное пособие / Ю.Н. Сычев. — 
2-е изд., перераб. и доп. — Москва : ИНФРА-М, 2024. — 602 с. — 
(Среднее профессиональное образование). — DOI 10.12737/1942679.

ISBN 978-5-16-018253-7 (print)
ISBN 978-5-16-111267-0 (online)
В учебном пособии рассмотрены все действующие согласно Росстандар-

ту российские и основные международные стандарты по информацион ной 
безопасности. После каждой главы имеются контрольные вопросы; в конце 
даны список тем для рефератов и проверочные тесты с ответами.

Соответствует требованиям федеральных государственных образова-

тельных стандартов среднего профессионального образования последнего 
поколения.

Предназначено для студентов, изучающих дисциплины «Стандарты 

информационной безопасности», «Информационная безопасность», «Защита 
информации». Будет полезно специалистам, работающим в области 
информационной безопасности.

УДК 004.056(075.32)

ББК 32.973я723

ISBN 978-5-16-018253-7 (print)
ISBN 978-5-16-111267-0 (online)

© Сычев Ю.Н., 2020
© Сычев Ю.Н., 2023, с изменениями

Список сокращений

27 ЦНИИ МО РФ — 27-й Центральный научно-исследовательский 
институт Министерства обороны Российской Федерации.
IEC — Международная электротехническая комиссия.
ISO — Международная организация по стандартизации.
KB — компьютерные вирусы.
ГОСТ — государственные и межгосударственные стандарты.
ГОСТ Р — государственные стандарты РФ.
ЗБ — задание по безопасности.
ЗИ — защита информации.
ИБ — информационная безопасность.
ИС — информационная система.
ИТ — информационные технологии.
ИФБО — интерфейс функции безопасности объекта оценки.
НКЦ «ЦНИИКА-СПИН» — Научно-консультационный центр 
по созданию и применению информационных технологий.
НСД — несанкционированный доступ.
ОДФ — область действия функции безопасности объекта оценки.
ОИ — объект информатизации.
ОО — объект оценки.
ООО «ЦБИ» — общество с ограниченной ответственностью «Центр 
безопасности информации».
ООО НПФ «Кристалл» — общество с ограниченной ответственностью «
Научно-производственная фирма “Кристалл”».
ОСТ — отраслевые стандарты.
ОУД — оценочный уровень доверия.
ОЭСР — организация экономического сотрудничества и развития.
ПБО — политика безопасности объекта оценки.
ПЗ — профиль защиты.
ПНВ — преднамеренное воздействие.
ПО — программное обеспечение.
ПРД — порядок разграничения доступа.
ПС — программные средства.
ПФБ — политика функции безопасности.
ПЭВМ — персональная электронно-вычислительная машина (персональный 
компьютер).
Ростехрегулирование — Федеральное агентство по техническому регулированию 
и метрологии.
СЗ — средства защиты.

СМИБ — система менеджмента информационной безопасности.
СТП — стандарты предприятий.
СУИБ — система управления информационной безопасностью.
СУО — служба удаленного технического обслуживания.
СФБ — стойкость функции безопасности.
ТЗИ — техническая защита информации.
ФБ — функция безопасности.
ФБО — функции безопасности объекта оценки.
ФГУ «4 ЦНИИ Минобороны России» — Федеральное государственное 
учреждение «4 Центральный научно-исследовательский 
институт Министерства обороны России».
ФГУ «ГНИИИ ПТЗИ ФСТЭК России» — Федеральное автономное 
учреждение «Государственный научно-исследовательский испытательный 
институт проблем технической защиты информации 
Федеральной службы по техническому и экспортному 
контролю». 
ФГУП «ЦНИИАТОМИНФОРМ» — Федеральное государственное 
унитарное предприятие «Центральный научно-исследовательский 
институт управления, экономики и информации Рос-
атома».
ФСТЭК — Федеральная служба по техническому и экспортному 
контролю.
ФТБ — функциональные требования безопасности.

Введение

Специалистам, работающим в области информационной безопасности, 
невозможно обойтись без знания международных и национальных 
стандартов и руководящих документов. Необходимость 
применения требований стандартов и руководящих документов 
Гос техкомиссии России закреплена законодательно. Помимо этого, 
в стандартах имеются апробированные, высококачественные решения 
и методологии, разработанные квалифицированными специалистами 
в области информационной безопасности. Стандарты 
являются основой обеспечения взаимной совместимости и заменяемости 
информационных, аппаратно-программных систем и их 
компонентов. 
Данное учебное пособие отличается качеством изложения теоретического 
материала. Материал представлен по этапам создания 
стандартов, т.е. с учетом развития информационного общества. 
Учебное пособие предназначено для изучения дисциплин: 
«Стандарты информационной безопасности», «Защита и обработка 
конфиденциальных документов».
Цели изучения дисциплины: 
 
• дать представление о действующих международных и российских 
стандартах информационной безопасности и руководящих 
документах Гостехкомиссии России для применения их 
в практической работе;
 
• развивать творческие подходы при решении сложных научно-
технических задач, связанных с обеспечением информационной 
безопасности государственных и негосударственных организаций. 

В результате изучения учебного пособия должны быть сформированы 
следующие компетенции: 
 
• ОК-4 способность использовать основы правовых знаний 
в различных сферах деятельности.
В результате освоения компетенции ОК-4 студент будет:
знать требования стандартов информационной безопасности 
и других руководящих документов;
уметь использовать стандарты и руководящие документы;
владеть навыками применения стандартов и руководящих 
докумен тов в повседневной жизни;
 
• ОПК-5 способность использовать нормативные правовые акты 
в профессиональной деятельности.

В результате освоения компетенции ОПК-5 студент будет:
знать нормативные правовые документы, международные и отечественные 
стандарты в области информационной безопасности;
уметь использовать нормативные правовые документы, международные 
и отечественные стандарты;
владеть навыками использования нормативных правовых 
докумен тов, международных и отечественных стандартов.
 
• ПК-3 способность администрировать подсистемы информационной 
безопасности объекта защиты.
В результате освоения компетенции ПК-3 студент будет:
знать подсистемы информационной безопасности объектов защиты 
информации;
уметь администрировать подсистемы информационной безопасности 
объектов защиты информации;
владеть навыками администрирования подсистем информационной 
безопасности объектов защиты информации;
 
• ПК-4 способность участвовать в работах по реализации политики 
информационной безопасности, применять комплексный 
подход к обеспечению информационной безопасности объекта 
защиты.
В результате освоения компетенции ПК-4 студент будет:
знать политику информационной безопасности объектов защиты 
информации;
уметь применять комплексный подход к обеспечению информационной 
безопасности объекта защиты;
владеть навыками реализации политики информационной безопасности 
объекта при построении и эксплуатации защищенных 
информационных систем;
 
• ПК-10 способность проводить анализ информационной безопасности 
объектов и систем на соответствие требованиям стандартов 
в области информационной безопасности.
В результате освоения компетенции ПК-10 студент будет:
знать порядок проведения анализа информационной безопасности 
объектов и систем;
уметь проводить анализ информационной безопасности объектов;

владеть навыками проведения анализа информационной безопасности 
объектов и систем на соответствие требованиям стандартов 
в области информационной безопасности.
В учебных целях стандарты и руководящие документы приведены 
автором в сокращенном варианте.

Глава 1
СТАНДАРТИЗАЦИЯ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ

Стандартизация — деятельность по разработке, опубликованию 
и применению стандартов, по установлению норм, правил и характеристик 
в целях обеспечения безопасности продукции, работ 
и услуг для окружающей среды, жизни, здоровья и имущества, 
информационной и технической совместимости, взаимозаменяемости 
и качества продукции, соответствия работ и услуг уровню 
развития науки, техники и технологии, единства измерений, экономии 
всех видов ресурсов, безопасности хозяйственных объектов 
с учетом риска возникновения природных и техногенных катастроф 
и других чрезвычайных ситуаций, мобилизационной готовности 
и обороноспособности страны.
Стандартизация направлена на приведение в соответствие различных 
видов продукции и услуг, разработанных в различных организациях. 

За реализацию норм стандартизации отвечают органы и службы 
стандартизации, наделенные законным правом руководить разработкой 
и утверждать нормативные документы и другие правила, 
придавая им статус стандартов.
Органы и службы стандартизации — организации, учреждения, 
объединения и их подразделения, основной деятельностью которых 
является осуществление работ по стандартизации или выполнение 
определенных функций по стандартизации. 
Руководство российской национальной стандартизацией осуществляет 
национальный орган по стандартизации — Федеральное 
агентство по техническому регулированию и метрологии — Ростех-
регулирование. Оно имеет право представлять интересы страны 
в области стандартизации в международных или региональных организациях 
по стандартизации.
Функции Ростехрегулирования: 
1) принятие программы разработки национальных стандартов; 
2) утверждение национальных стандартов; 
3) учет национальных стандартов, правил стандартизации, норм 
и рекомендаций в этой области и обеспечение их доступности 
заинтересованным лицам; 
4) введение в действие общероссийских классификаторов технико-
экономической и социальной информации. 

Ростехрегулирование осуществляет свои функции непосредственно 
и через свои межрегиональные территориальные управления, 
а также российские службы стандартизации.
В структуру Ростехрегулирования входят: 
 
• Центральное межрегиональное территориальное управление 
(место расположения центрального аппарата территориального 
органа г. Москва); 
 
• Северо-Западное межрегиональное территориальное управление (
г. Санкт-Петербург); 
 
• Южное межрегиональное территориальное управление (г. Ростов-
на-Дону); 
 
• Приволжское межрегиональное территориальное управление 
(г. Нижний Новгород); 
 
• Уральское межрегиональное территориальное управление 
(г. Екатеринбург); 
 
• Сибирское межрегиональное территориальное управление 
(г. Новосибирск); 
 
• Дальневосточное межрегиональное территориальное управление (
г. Хабаровск). 
Службы стандартизации — специально создаваемые организации 
и подразделения для проведения работ по стандартизации 
на определенных уровнях управления — государственном, отраслевом, 
предприятий (организации).
Российские службы стандартизации — научно-исследовательские 
институты Ростехрегулирования России и технические комитеты 
по стандартизации.
К научно-исследовательским институтам, например, относятся: 
 
• НИИ стандартизации (ВНИИ стандарт) головной институт 
в области национальной системы стандартизации; 
 
• ВНИИ сертификации продукции (ВНИИС) головной институт 
в области сертификации продукции (услуг) и систем управления 
качеством продукции (услуг); 
 
• ВНИИ по нормализации в машиностроении (ВНИИНМАШ) —
головной институт в области разработки научных основ унификации 
и агрегатирования в машиностроении и приборостроении; 
 
• «
Стандартинформ» головной институт в области разработки 
и дальнейшего развития Единой системы классификации и кодирования 
технико-экономической информации, стандартизации 
научно-технической терминологии.
Технические комитеты по стандартизации создаются на базе 
организаций, специализирующихся на определенных видах про-

дукции (услуг) и имеющих в данной области наиболее высокий 
научно-технический потенциал. На сегодняшний день зарегистрировано 
свыше 350 технических комитетов. 
Стандарт — продукт согласованного мнения всех заинтересованных 
в этом документе сторон (пользователей). 
Задача технического комитета заключается в обеспечении 
круглого стола участников разработки проекта стандарта. Поэтому 
в их состав включают представителей разработчиков, изготовителей, 
поставщиков, потребителей (заказчиков) продукции, 
обществ (союзов) потребителей и других заинтересованных предприятий 
и организаций, а также ведущих ученых и специалистов 
в конкретной области. Технические комитеты отвечают за качество 
и сроки разрабатываемых ими проектов стандартов в соответствии 
с действующим законодательством и заключенными договорами 
на проведение этих работ. 
Руководители предприятий непосредственно несут ответственность 
за организацию и состояние выполняемых работ по стандартизации 
на этих предприятиях. При необходимости предприятия 
создают службы стандартизации (отдел, лабораторию, бюро), которые 
выполняют научно-исследовательские, опытно-конструкторские 
и другие работы по стандартизации.
Выделяют следующие ключевые задачи стандартизации:
1) налаживание взаимопонимания между субъектами производственных 
процессов (разработчиками, промышленниками, продавцами, 
покупателями товаров и услуг);
2) выработка оптимальных критериев стандартизации, отражающих 
особенности развития тех или иных отраслей или экономики 
в целом;
3) содействие выработке предприятиями оптимальных схем доступа 
к необходимым ресурсам посредством внедрения стандартов, 
отражающих применение тех или иных видов сырья, 
материалов, компонентов;
4) унификация производственных процессов с целью повышения 
динамики масштабирования бизнесов (как результат — позитивный 
эффект в аспекте роста экономики);
5) установление оптимальных норм в области метрологии (с целью 
оптимизации производственных цепочек как на национальном, 
так и на международном уровне);
6) нормативное обеспечение процедур контроля, испытаний, измерений, 
исследования продукции для определения качества;
7) оптимизация технологических процессов с точки зрения трудоемкости, 
потребности в материалах, электроэнергии;

8) содействие инвестиционной привлекательности национальных 
предприятий с точки зрения повышения эффективности производства 
за счет оптимизации стандартов.
Стандарты нацелены на регулирование какой-либо конкретной 
части производственного процесса (предоставления услуг). В них 
также могут указываться критерии, имеющие, например, отношение 
к терминологии каких-либо товаров или услуг. Данные документы 
разрабатываются на основе обобщенных научных исследований, 
инженерных работ, они аккумулируют результаты практики 
производства (оказания услуг) в различных сферах экономики.
Все стандарты, применяемые в российской практике, как указывается 
в Федеральном законе «О техническом регулировании» 
от 27.12.2002 № 184-ФЗ, имеют единообразный формат обозначения. 
То есть в любой категории стандартов Российской Федерации структура 
соответствующих норм представлена в виде индекса, номера регистрации, 
а также года принятия (например, ГОСТ Р 50597–93).
Целями стандартизации являются: 
 
• обеспечение безопасности граждан, сохранности их имущества 
и имущества различных организаций, а также государственного 
и муниципального имущества; 
 
• выполнение требований к качеству продукции, а также выполняемых 
работ и предоставляемых услуг, повышению их конкурентоспособности, 
бережного использования ресурсов страны, 
взаимозаменяемость составных частей машин и оборудования, 
их комплектующих, информационной и технической совместимости, 
обеспечение единства измерений результатов исследований 
и испытаний, технических данных; 
 
• выполнение требований технических регламентов; 
 
• создание унифицированной системы классификации и кодирования 
качества продукции, работ и услуг, системы передачи 
данных. 
Выделяют следующие основные категории стандартов:
 
• международные;
 
• государственные стандарты Российской Федерации (ГОСТ Р);
 
• межгосударственные (ГОСТ);
 
• корпоративные (стандарты предприятий);
 
• отраслевые;
 
• издаваемые общественными объединениями.
Есть в мировой практике и другие категории. Например, региональные 
стандарты, применяемые одновременно в нескольких 
странах, которые объединены по культурным или географическим 
признакам.