Требования к защите информации в информационных системах

Защита государственных информационных систем (ГИС)

Основные законодательные документы в области защиты государственных информационных систем (ГИС):

В рамках оказываемых услуг выполняются следующие работы:

  1. Проведение обследования информационной системы;
  2. Проведение классификации ГИС по требованиям защиты информации;
  3. Разработка частной модели актуальных угроз нарушения безопасности в ГИС;
  4. Разработка технического задания на создание системы защиты;
  5. Проектирование системы защиты в составе следующих решений в зависимости от выбранных технических мер:
    • Идентификация и аутентификация субъектов доступа и объектов доступа;
    • Управление доступом субъектов доступа к объектам доступа;
    • Ограничение программной среды;
    • Защита машинных носителей информации;
    • Регистрация событий безопасности;
    • Антивирусная защита;
    • Обнаружение вторжений;
    • Контроль (анализ) защищенности информации;
    • Обеспечение целостности информационной системы и информации;
    • Обеспечение доступности информации;
    • Защита среды виртуализации;
    • Защита технических средств;
    • Защита информационной системы, ее средств, систем связи и передачи данных.
  6. Выбор и обоснование организационных и технических мер, необходимых для защиты ГИС;
  7. Разработка организационно-распорядительной документации;
  8. Поставка, внедрение и сервисное обслуживание технических средств защиты;
  9. Инструктаж, обучение персонала и повышение уровня грамотности в сфере информационной безопасности;
  10. Разработка программы и методики аттестационных испытаний;
  11. Проведение аттестационных испытаний;
  12. Введение информационной системы в эксплуатацию.

В рамках оказываемых услуг Заказчик получает следующие отчетные документы:

  1. Перечень и характеристики ГИС и данных, подлежащих защите;
  2. Проекты приказов:
    • о назначении должностных лиц;
    • о границе контролируемой зоны;
    • об утверждении перечня конфиденциальной информации;
    • об описании технологического процесса;
    • об утверждении положения по обработке конфиденциальной информации;
    • об утверждении положения по организации и ведению работ по обеспечению безопасности конфиденциальных данных.
  3. Инструкции для должностных лиц;
  4. Инструкция по допуску в помещения;
  5. Инструкция по эксплуатации средств защиты;
  6. Журналы учета;
  7. Акт установки средств защиты;
  8. Частная модель актуальных угроз безопасности информационной системы;
  9. Техническое задание на создание системы защиты в ГИС;
  10. Технический паспорт информационной системы;
  11. Программа аттестационных испытаний на соответствие требованиям по безопасности информации;
  12. Методика аттестационных испытаний на соответствие требованиям по безопасности информации;
  13. Протокол аттестационных испытаний на соответствие требованиям по защите информации от несанкционированного доступа;
  14. Заключение по результатам аттестационных испытаний на соответствие требованиям по безопасности информации;
  15. Аттестат соответствия требованиям по безопасности информации;
  16. Проект Приказа о вводе в эксплуатацию.

При проектировании системы защиты, наши специалисты оптимизируют затраты на внедрение системы защиты в рамках требований законодательства.

Результатом работ по защите ГИС является полное соответствие информационной системы требованиям законодательства по защите информации.

О защите информации в информационных системах общего пользования

Безопасность – это процесс, а не результат.
BruceSchneiner

Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» произвел разделение информации на общедоступную информацию, и на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен законодательством. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. При этом в статье 161 установлено следующее: государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

Концептуально защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

В основополагающем ГОСТ Р 50922З понятие «защита информации» трактуется как деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, и в качестве системы защиты информации предлагается применять всю совокупность технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации.

Постановление Правительства от 18 мая 2009 г. №424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям» определило, что операторы федеральных государственных информационных систем, созданных или используемых в целях реализации полномочий федеральных органов исполнительной власти и содержащих сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети Интернет (Постановлением Правительства Российской Федерации от 12 февраля 2003 г. №98 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти), при подключении информационных систем общего пользования к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, обязаны обеспечить: 2

1. Защиту информации, содержащейся в информационных системах общего пользования, от уничтожения, изменения и блокирования доступа к ней;

2. Постоянный контроль возможности доступа неограниченного круга лиц к информационным системам общего пользования;

3. Восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более 8 часов;

4. Использование при подключении информационных систем общего пользования к информационно-телекоммуникационным сетям средств защиты информации, прошедших оценку соответствия (в том числе в установленных случаях сертификацию), в порядке, установленном законодательством Российской Федерации;

Таким образом, операторы государственных, муниципальных информационных порталов, Web-сайтов, размещенных в сети Интернет обязаны выполнить требования и мероприятия направленные на обеспечение безопасности своих информационных ресурсов.

Совместный приказ ФСБ России и ФСТЭК России №416/№484 от 31 августа 2010 года «Об утверждении требований о защите информации, содержащихся в информационных системах общего пользования» установил классификацию информационных систем общего пользования (ИСОП) и требования к ним:

Приказ Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 г. Москва «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»

Комментарии Российской Газеты

Зарегистрирован в Минюсте РФ 13 октября 2010 г. Регистрационный N 18704

В соответствии с пунктом 3 постановления Правительства Российской Федерации от 18 мая 2009 г. N 424 1 приказываем:

1. Утвердить прилагаемые Требования о защите информации, содержащейся в информационных системах общего пользования.

2. Контроль за исполнением настоящего приказа возложить на руководителя Научно-технической службы Федеральной службы безопасности Российской Федерации и первого заместителя директора Федеральной службы по техническому и экспортному контролю.

Директор Федеральной службы безопасности Российской Федерации А. Бортников

Директор Федеральной службы по техническому и экспортному контролю С. Григоров

1 Собрание законодательства Российской Федерации, 2009, N 21, ст. 2573.

Требования о защите информации, содержащейся в информационных системах общего пользования

1. Настоящие Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации 1 (далее — информационные системы общего пользования), и являются обязательными для операторов информационных систем общего пользования при разработке и эксплуатации информационных систем общего пользования.

2. Информационные системы общего пользования должны обеспечивать:

сохранность и неизменность обрабатываемой информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения (далее — целостность информации);

беспрепятственный доступ пользователей к содержащейся в информационной системе общего пользования информации (далее — доступность информации);

защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих, в том числе к уничтожению, модификации и блокированию информации (далее — неправомерные действия).

3. Информационные системы общего пользования включают в себя средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

4. Информация, содержащаяся в информационной системе общего пользования, является общедоступной.

5. Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса.

5.1. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти.

5.2. Ко II классу относятся информационные системы общего пользования, не указанные в подпункте 5.1 настоящего пункта.

6. Защита информации, содержащейся в информационных системах общего пользования, достигается путем исключения неправомерных действий в отношении указанной информации.

7. Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям.

Читайте так же:  Сертификат соответствия удостоверяет требования

Достаточность принятых мер по защите информации в информационных системах общего пользования оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.

8. Работы по защите информации в информационных системах общего пользования являются неотъемлемой частью работ по созданию данных систем.

9. Размещение информационных систем общего пользования, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей информации и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

10. Защиту информации в информационных системах общего пользования обеспечивает оператор информационной системы общего пользования.

11. В информационных системах общего пользования должны быть обеспечены:

поддержание целостности и доступности информации;

предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;

проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации;

своевременное обнаружение фактов неправомерных действий в отношении информации;

недопущение воздействия на технические средства информационной системы общего пользования, в результате которого может быть нарушено их функционирование;

возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;

проведение мероприятий по постоянному контролю за обеспечением их защищенности;

возможность записи и хранения сетевого трафика.

12. Мероприятия по обеспечению защиты информации в информационных системах общего пользования включают в себя:

определение угроз безопасности информации, формирование на их основе модели угроз;

разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования;

проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

обучение лиц, использующих средства защиты информации, применяемые в информационной системе общего пользования, правилам работы с ними;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информационной системы общего пользования, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

описание системы их защиты.

13. Для разработки и осуществления мероприятий по защите информации в информационных системах общего пользования оператором информационной системы общего пользования назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.

14. Запросы пользователей на получение информации, содержащейся в информационных системах общего пользования, а также факты предоставления информации по этим запросам регистрируются автоматизированными средствами информационных систем общего пользования в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора информационной системы общего пользования.

15. При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке. Подсистема информационной безопасности должна обеспечивать восстановление информации в информационной системе общего пользования, модифицированной или уничтоженной вследствие неправомерных действий в отношении такой информации. Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.

16. Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков.

17. При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:

17.1. В информационных системах общего пользования I класса:

использование средств защиты информации от неправомерных действий, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи обязательно должны применяться к публикуемому информационному наполнению), сертифицированных ФСБ России;

использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России;

использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России;

использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России;

осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за десять и более последних дней и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-розыскную деятельность;

обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства, с использованием технических средств охраны, в том числе систем видеонаблюдения, предотвращающих проникновение в помещения посторонних лиц;

осуществление регистрации действий обслуживающего персонала и пользователей;

обеспечение резервирования технических и программных средств, дублирования носителей и массивов информации;

использование сертифицированных в установленном порядке систем обеспечения гарантированного электропитания (источников бесперебойного питания);

осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

17.2. В информационных системах общего пользования II класса:

использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);

использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;

обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства;

осуществление регистрации действий обслуживающего персонала;

обеспечение частичного резервирования технических средств и дублирования массивов информации;

использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);

осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

1 Постановление Правительства Российской Федерации от 24 ноября 2009 г. N 953 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5832).

Требования по защите информации

Экранирующие строительные смеси штукатурный и напольный составы для защиты от электромагнитного излучения

  • «АЛЬФАПОЛ ШТ-1» — экранирующая штукатурка, антиэлектростатическая магнезиально-шунгитовая сухая штукатурная смесь
  • «АЛЬФАПОЛ АМШ» — экранирующий пол, магнезиально-шунгитовая сухая растворная смесь

Экранирование помещений

Требования по защите информации

Обеспечение защиты информации с применением экранированных помещений направлено на защиту от электромагнитных факторов, воздействующих или могущих воздействовать на защищаемую информацию (ГОСТ Р 51275):

  • электромагнитные излучения и поля в радиочастотном диапазоне, функционально присущие техническим средствам объектов информатизации (ТС ОИ)
  • побочные электромагнитные излучения (ПЭМИ)
  • паразитное электромагнитное излучение
  • наводки в цепях, вызванные ПЭМИ, емкостными и индуктивными связями
  • непреднамеренные облучения ОИ электромагнитными полями техногенных источников
  • электромагнитные факторы грозовых разрядов и других природных явлений
  • доступ к защищаемой информации с применением технических средств радиоэлектронной разведки
  • несанкционированный доступ к защищаемой информации с использованием закладных устройств
  • искажение, уничтожение или блокирование информации путем преднамеренного силового электромагнитного воздействия в террористических или криминальных целях (ГОСТ Р 50922-2006)

Требования к созданию экранированных помещений в целях защиты информации формируются на основе требований стандартов по защите информации:

  1. ГОСТ Р 50922-2007 Защита информации. Термины и определения.
  2. ГОСТ Р 51275-2007 Защита информации. Объекты информатизации. Факторы, воздействующие на информацию. Общие положения.
  3. ГОСТ Р 51624-2000 Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения.
  4. ГОСТ Р 52863-2007 Защита информации. Автоматизированные системы в защищённом исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования.

ГОСТ Р 50922-2007

Национальный стандарт Российской Федерации

Защита информации

Основные термины и определения

1 Область применения

Настоящий стандарт устанавливает основные термины, с соответствующими определениями, применяемые при проведении работ по стандартизации в области защиты информации.

Термины, установленные настоящим стандартом, рекомендуется использовать в правовой, нормативной, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

Читайте так же:  Пенсия 7200 рублей

2 Термины и определения

2.1.1 Защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

2.2.2 Техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

2.3.2 Защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.

Примечание – Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2.3.3 Защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.3.4 Защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.3.7 Защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного воздействия, и (или) воздействия различной физической природы, осуществляемого в террористических или криминальных целях.

2.6.2 Фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

2.6.7 Преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

22.7.2 Средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенное (ый) или используемое (ый) для защиты информации.

2.8.4 Специальное исследование (объекта защиты информации): Исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации.

2.8.5 Специальная проверка: Проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств.

2.8.8 Экспертиза документа по защите информации: Рассмотрение документа по защите информации физическим или юридическим лицом, имеющим право на проведение работ в данной области, с целью подготовить соответствующее экспертное заключение.

Примечание – Экспертиза документа по защите информации может включать в себя научно-техническую, правовую, метрологическую, патентную и терминологическую экспертизу.

2.9.2 Требование по защите информации: Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.

2.9.3 Показатель эффективности защиты информации: Мера или характеристика для оценки эффективности защиты информации.

2.9.4 Норма эффективности защиты информации: Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.

А.3 Информация, составляющая коммерческую тайну: Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.

3 Алфавитный указатель терминов

ГОСТ Р 51275-2007

Национальный стандарт Российской Федерации

Защита информации

Объект информатизации. Факторы, воздействующие на информацию

Общие положения

1 Область применения

Настоящий стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации требований по защите информации на объекте информатизации.

Настоящий стандарт распространяется на объекты информатизации, создаваемые и эксплуатируемые в различных областях деятельности (обороны, экономики, науки и других областях).

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:

3.1 Объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

3.3 Побочное электромагнитное излучение: Электромагнитное излучение, наблюдаемое при работе технических средств обработки информации.

3.4 Паразитное электромагнитное излучение: Электромагнитное излучение, являющееся результатом паразитной генерации в электрических цепях технических средств обработки информации.

6 Перечень объективных и субъективных факторов, воздействующих на безопасность защищаемой информации

6.1 Перечень объективных факторов, воздействующих на безопасность защищаемой информации

6.1.1 Внутренние факторы

6.1.1.2 Излучения сигналов, функционально присущие техническим средствам ( далее — ТС) (устройствам) ОИ:

б) электромагнитные излучения и поля:

1) излучения в радиодиапазоне;

2) излучения в оптическом диапазоне.

6.1.1.3 Побочные электромагнитные излучения:

а) элементов (устройств) ТС ОПИ;

б) на частотах работы высокочастотных генераторов устройств, входящих в состав ТС ОПИ:

1) модуляция побочных электромагнитных излучений информативным сигналом, сопровождающим работу ТС ОПИ;

2) модуляция побочных электромагнитных излучений акустическим сигналом, сопровождающим работу ТС ОПИ;

в) на частотах самовозбуждения усилителей, входящих в состав ТС ОПИ.

6.1.2 Внешние факторы

6.1.2.1 Явления техногенного характера:

а) непреднамеренные электромагнитные облучения ОИ;

б) радиационные облучения ОИ;

6.1.2.2 Природные явления, стихийные бедствия:

а) термические факторы (пожары и т. д.);

б) климатические факторы (наводнения и т. д.);

в) механические факторы (землетрясения и т. д.);

г) электромагнитные факторы (грозовые разряды и т. д.);

д) биологические факторы (микробы, грызуны и т. д.);

е) химические факторы (химически агрессивные среды и т.д.).

6.2 Перечень субъективных факторов, воздействующих на безопасность защищаемой информации

6.2.2 Внешние факторы

6.2.2.1 Доступ к защищаемой информации с применением технических средств:

б) съема информации.

6.2.2.5 Искажение, уничтожение или блокирование информации с применением технических средств путем:

а) преднамеренного силового электромагнитного воздействия:

1) по сети электропитания на порты электропитания постоянного и переменного тока;

2) по проводным линиям связи на порты ввода-вывода сигналов и порты связи;

3) по металлоконструкциям на порты заземления и порты корпуса;

4) посредством электромагнитного быстроизменяющегося поля на порты корпуса, порты ввода-вывода сигналов и порты связи;

б) преднамеренного силового воздействия различной физической природы;

г) воздействия программными средствами в комплексе с преднамеренным силовым электромагнитным воздействием.

ГОСТ Р 51624-2000

Государственный стандарт Российской Федерации

Защита информации

Автоматизированные системы в защищенном исполнении

Общие положения

Определения

Защищаемая информация по ГОСТ Р 50922.

Защита информации по ГОСТ Р 50922.

Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (по ГОСТ 34.003).

Автоматизированная система в защищенном исполнении (АСЗИ) — автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации.

Техническое обеспечение автоматизированной системы — совокупность технических средств, используемых при функционировании АС (по ГОСТ 34.003).

Фактор, воздействующий на защищаемую информацию по ГОСТ Р 51275.

Побочное электромагнитное излучение — электромагнитное излучение, возникающее при работе технических средств обработки информации (по ГОСТ Р 51275).

Электромагнитные наводки — токи и напряжения в токопроводящих элементах, электрические заряды или магнитные потоки, вызванные электромагнитным полем.

Контролируемая зона — пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и/или транспортных средств.

Примечание — Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения); ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

Общие положения

Создание (модернизация) и эксплуатация АСЗИ должны осуществляться с учетом требований нормативных документов по защите информации, требований настоящего стандарта, стандартов и/или технического задания на АС в части требований по защите информации.

Требования по защите информации, предъявляемые к АСЗИ, задаются в ТЗ на создание системы в соответствии с ГОСТ 34.602 в виде отдельного подраздела ТЗ на НИР (ОКР) «Требования по защите информации».

При необходимости в ТЗ на создание АСЗИ или в его составные части заказчик может включать специфические требования по защите информации, дополняющие или уточняющие требования настоящего стандарта.

В АСЗИ должна быть реализована система защиты информации, выполняющая следующие функции:

  • предупреждение о появлении угроз безопасности информации;
  • обнаружение, нейтрализацию и локализацию воздействия угроз безопасности информации;
  • управление доступом к защищаемой информации;
  • восстановление системы защиты информации и защищаемой информации после воздействия угроз;
  • регистрацию событий и попыток несанкционированного доступа к защищаемой информации и несанкционированного воздействия на нее;
  • обеспечение контроля функционирования средств и системы защиты информации и немедленное реагирование на их выход из строя.

В АСЗИ защите подлежат:

  • информационные ресурсы;
  • средства автоматизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных и другие средства.
Читайте так же:  Заявление о выдаче загранпаспорта нового образца word

Общие требования

Общие требования к АСЗИ включают:

  • функциональные требования;
  • требования к эффективности;
  • технические требования;
  • экономические требования;
  • требования к документации.

Требования по защите информации к техническому обеспечению АСЗИ включают требования как к основным техническим средствам, используемым по функциональному назначению АСЗИ, так и к вспомогательным техническим средствам, обеспечивающим функционирование основных технических средств.

Конструктивные требования, предъявляемые к техническим средствам АС, должны формироваться с учетом требований по защите информации и включаться в раздел «Конструктивные требования» ТЗ на разработку конкретного технического средства АСЗИ.

Требования по ЗИ к зданиям (помещениям) или к устройствам, в которых устанавливаются АСЗИ, включают требования к ограждающим конструкциям здания (помещения), к технологии строительства, требования к средствам коммуникаций и требования к звукоизоляции помещений.

При необходимости реконструкции и расширения помещений и сооружений объекта, на котором размещается АСЗИ, требования по защите информации предъявляют в соответствии со СНиП и другими действующими руководящими и нормативными документами.

ГОСТ Р 52863-2007

Национальный стандарт Российской Федерации

Защита информации

Автоматизированные системы в защищенном исполнении

Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям

Общие положения

Настоящий стандарт разработан с целью нормативного обеспечения испытаний автоматизированных систем в защищённом исполнении (АСЗИ) на воздействие преднамеренных силовых электромагнитных воздействий (ПД ЭМВ). Применительно к АСЗИ преднамеренные силовые электромагнитные воздействия рассматриваются как фактор угрозы информации в целях ее уничтожения, искажения или блокирования (ГОСТ Р 51275).

Преднамеренные силовые электромагнитные воздействия создают опасность для АСЗИ жизненно важных электронных систем — систем связи и управления, банковских систем, систем электроснабжения и других. Объектом электромагнитного воздействия могут являться информационные системы объекта, системы физической защиты оборудования, поддерживающей инфраструктуры, вспомогательное оборудование, системы электропитания, линии связи и т. д. Наибольший ущерб при ПД ЭМВ может быть нанесен объектам, у которых АСЗИ являются ядром системы с непрерывным процессом обработки потоков информации.

Под преднамеренным силовым электромагнитным воздействием понимается воздействие с применением излучателей электромагнитного поля, генераторов напряжения и тока, путем генерирования в информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования технических и программных средств информационных систем (ГОСТ 50922).

Преднамеренные силовые электромагнитные воздействия могут осуществляться открыто или скрытно («закамуфлированным» под действие электромагнитных помех), дистанционным (по эфиру) или контактным (по сети) способом и быть направлены на достижение сбоя, разрушение электронных систем и т.д.

Актуальность вопросов устойчивости АСЗИ при ПД ЭМВ подтверждается результатами обширных исследований в этой области. Накопленный опыт исследований и испытаний элементов объектов информатизации на устойчивость к ПД ЭМВ показывает, что для обеспечения устойчивой работы АСЗИ необходимо принятие специальных организационно-технических мер. Требования к организации и содержанию работ по защите АСЗИ от ПД ЭМВ, к средствам защиты АСЗИ от ПД ЭМВ и к средствам их обнаружения регламентируются соответствующими стандартами в данной области.

В настоящем стандарте регламентированы общие требования к АСЗИ по устойчивости к преднамеренным силовым электромагнитным воздействиям, установлены параметры испытательных воздействий, виды испытаний и степени жёсткости испытаний, методы и средства испытаний, определены порядок проведения испытаний и критерии оценки качества функционирования АСЗИ.

Данные о параметрах преднамеренных силовых электромагнитных воздействий получены на основе обобщения результатов теоретических и экспериментальных исследований, проведения компьютерного моделирования типовых путей воздействия на типовые элементы АСЗИ с применением излучателей электромагнитного поля, генераторов напряжения или тока с учетом перспектив их развития.

В стандарте определены также требования к испытаниям ограждающих конструкций и системам контроля и управления доступом (СКУД) и требования к испытаниям программного обеспечения для АСЗИ.

1 Область применения

Настоящий стандарт распространяется на автоматизированные системы, подлежащие защищенному исполнению, для защиты от преднамеренных воздействий на информацию в целях ее уничтожения, искажения или блокирования при разработке, изготовлении и эксплуатации таких систем.

Настоящий стандарт устанавливает дополнительные требования и положения стандартов класса 34 «Информационная технология. Комплекс стандартов на автоматизированные системы» в части создания и применения автоматизированных систем в защищенном исполнении от воздействия преднамеренных силовых электромагнитных воздействий.

3 Определения и сокращения

Преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля, генераторов напряжения и тока, приводящее к наводкам в АСЗИ сигналов с амплитудой, длительностью и энергией, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

Искажение, уничтожение или блокирование информации с применением технических средств преднамеренного силового электромагнитного воздействия: Искажение, уничтожение или блокирование информации путем преднамеренного силового электромагнитного воздействия (ГОСТ Р 51275):

  • по сети электропитания на порты электропитания постоянного и переменного тока;
  • по проводным линиям связи на порты ввода-вывода сигналов и порты связи;
  • по металлоконструкциям на порты заземления и порты корпуса;
  • посредством электромагнитного быстроизменяющегося поля на порты корпуса, порты ввода-вывода сигналов и порты связи.

Показатели устойчивости АСЗИ: Максимальные значения характеристик воздействующих факторов (импульсных электромагнитных полей, токов, напряжений), при которых значения определяющих устойчивость параметров АСЗИ не выходят за пределы, установленные в нормативных документах на систему конкретного типа.

Металлоконструкции зданий: Технические коммуникации (металлические трубопроводы горячей и холодной воды, отопления и т.д.), конструктивные элементы зданий (элементы металлического каркаса здания – арматура и т.д.), заземляющие устройства (контуры рабочего и защитного заземления, проводники молниеотводов), устройства экранирования коммуникаций, технических средств и т.д.

4 Требования устойчивости к преднамеренным силовым электромагнитным воздействиям

    1. Требования, устанавливаемые настоящим стандартом носят комплексный характер и применяются для АСЗИ, обрабатывающих, хранящих и передающих информацию класса ограниченного доступа. Для удовлетворения требований по устойчивости к преднамеренным силовым электромагнитным воздействиям АСЗИ может быть выполнена в защищенном исполнении с применением технических средств и (или) проведением организационных мероприятий.
    2. Требования устойчивости АСЗИ к преднамеренным силовым электромагнитным воздействиям относятся к техническим требованиям по защите информации по ГОСТ Р 51624, включающим:
      • требования к техническому обеспечению АСЗИ (основным и вспомогательным средствам);
      • требования к зданиям (помещениям) или объектам в которых устанавливаются АСЗИ;
      • требования к программному обеспечению АСЗИ;
      • требования к средствам защиты информации и контроля эффективности защиты информации.
    3. Требования к зданиям (помещениям) или объектам, в которых устанавливаются АСЗИ, включают:
      • требования к экранирующим свойствам ограждающих конструкций;
      • требования к системе контроля и управления доступом;
      • требования к системе сбора и обработки информации;
      • требования по устойчивости к взлому ограждающих конструкций;
      • требования к дверным и оконным конструкциям;
      • требования к замкам и запирающим конструкциям;
      • требования к сейфам и хранилищам для носителей информации;
      • требования к средствам защиты подходящих извне линий электроснабжения, проводных линий связи, заземления и т.п.
    4. Требования к программному обеспечению включают:
      • требования к алгоритму принятия решения;
      • требования к системе классификации;
      • требования к системе команд;
      • требования к алгоритму обработки событий;
      • требования по сертификации программного обеспечения;
      • требования к системе диагностики программного обеспечения.
    5. Требования устойчивости АСЗИ к преднамеренным силовым электромагнитным воздействиям включают:
      • требования устойчивости к преднамеренным силовым воздействиям по сети электропитания;
      • требования устойчивости к преднамеренным силовым воздействиям по проводным линиям связи;
      • требования устойчивости к преднамеренным силовым воздействиям по металлоконструкциям;
      • требования устойчивости к преднамеренным силовым воздействиям электромагнитным полем.
    6. Требования, предъявляемые к АСЗИ по устойчивости к преднамеренным силовым электромагнитным воздействиям, определяют исходя из конкретных условий эксплуатации АСЗИ на основе анализа модели воздействия и предварительных расчетно-экспериментальных оценок устойчивости АСЗИ и составных частей АСЗИ к ПД ЭМВ.

Модель воздействия на АСЗИ должна учитывать варианты применения носимых и транспортабельных источников ПД ЭМВ путем облучения АСЗИ электромагнитным полем и инжекции токов и напряжений в цепи электропитания, проводные линии связи и элементы металлоконструкций зданий и помещений.

  1. При формировании требований к АСЗИ учитываются значения типовых параметров преднамеренных силовых электромагнитных воздействий, установленных настоящим стандартом в разделе 6.
  2. К АСЗИ могут дополнительно предъявляться повышенные (открытой степени жесткости испытаний) требования устойчивости к электромагнитным воздействиям, устанавливаемые стандартами по электромагнитной совместимости (ЭМС). Повышенные требования по стандартам ЭМС устанавливаются заказчиком для АСЗИ конкретного вида.
  3. Соответствие характеристик АСЗИ требованиям устойчивости к преднамеренным силовым электромагнитным воздействиям подтверждается по результатам проведения испытаний.

5 Степени жёсткости испытаний

5.1 Степени жёсткости испытаний, а также группу исполнения АСЗИ и объекта с АСЗИ по устойчивости к преднамеренным силовым электромагнитным воздействиям выбирают исходя из условий эксплуатации оборудования и наличия специальных требований к АСЗИ. Данные условия определяются на основе анализа требований к условиям эксплуатации оборудования, класса информации, мощности выделенной сети электропитания ТС, мощности устройств защиты от преднамеренных силовых электромагнитных воздействий, степени экранирования помещений, в которых размещены ТС АСЗИ, степени защиты помещений от несанкционированного доступа, наличия систем охранной сигнализации, наличия специальных требований к АСЗИ.

Качественные признаки классификации типовых условий эксплуатации АСЗИ применительно к возможности воздействия с применением технических средств преднамеренных силовых электромагнитных воздействий приведены в приложении А.

Таблица 4 — Степень жесткости испытаний АСЗИ при ПД ЭМВ электромагнитным полем

Класс условий эксплуатации