Требования по защите информации
Обеспечение защиты информации с применением экранированных помещений направлено на защиту от электромагнитных факторов, воздействующих или могущих воздействовать на защищаемую информацию (ГОСТ Р 51275):Национальный стандарт Российской Федерации
Защита информации
Основные термины и определения
1 Область применения Настоящий стандарт устанавливает основные термины, с соответствующими определениями, применяемые при проведении работ по стандартизации в области защиты информации. Термины, установленные настоящим стандартом, рекомендуется использовать в правовой, нормативной, технической и организационно-распорядительной документации, научной, учебной и справочной литературе. 2 Термины и определения 2.1.1 Защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. 2.2.2 Техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств. 2.3.2 Защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами. Примечание – Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо. 2.3.3 Защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. 2.3.4 Защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. 2.3.7 Защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного воздействия, и (или) воздействия различной физической природы, осуществляемого в террористических или криминальных целях. 2.6.2 Фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней. 2.6.7 Преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем. 22.7.2 Средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенное (ый) или используемое (ый) для защиты информации. 2.8.4 Специальное исследование (объекта защиты информации): Исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации. 2.8.5 Специальная проверка: Проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств. 2.8.8 Экспертиза документа по защите информации: Рассмотрение документа по защите информации физическим или юридическим лицом, имеющим право на проведение работ в данной области, с целью подготовить соответствующее экспертное заключение. Примечание – Экспертиза документа по защите информации может включать в себя научно-техническую, правовую, метрологическую, патентную и терминологическую экспертизу. 2.9.2 Требование по защите информации: Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации. 2.9.3 Показатель эффективности защиты информации: Мера или характеристика для оценки эффективности защиты информации. 2.9.4 Норма эффективности защиты информации: Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами. А.3 Информация, составляющая коммерческую тайну: Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны. 3 Алфавитный указатель терминованализ информационного риска | 2.8.9 |
аудит информационной безопасности в организации | 2.8.6 |
безопасность данных | 2.4.5 |
безопасность информации | 2.4.5 |
брешь | 2.6.4 |
воздействие на информацию несанкционированное | 2.6.6 |
воздействие на информацию силовое электромагнитное преднамеренное | 2.6.7 |
замысел защиты информации | 2.4.1 |
защита информации | 2.1.1 |
защита информации от иностранной разведки | 2.3.8 |
защита информации криптографическая | 2.2.3 |
защита информации от несанкционированного воздействия | 2.3.3 |
защита информации от непреднамеренного воздействия | 2.3.4 |
защита информации от несанкционированного доступа | 2.3.6 |
защита информации правовая | 2.2.1 |
защита информации от преднамеренного воздействия | 2.3.7 |
защита информации от разведки | 2.3.8 |
защита информации от разглашения | 2.3.5 |
защита информации техническая | 2.2.2 |
защита информации от утечки | 2.3.2 |
защита информации физическая | 2.2.4 |
ЗИ | 2.1.1 |
ЗИ от НСВ | 2.3.3 |
ЗИ от НСД | 2.3.6 |
ЗИ от ПДВ | 2.3.7 |
информация защищаемая | 2.5.2 |
информационная система защищаемая | 2.5.5 |
исследование объекта защиты информации специальное | 2.8.4 |
исследование специальное | 2.8.4 |
источник угрозы безопасности информации | 2.6.3 |
лицензирование в области защиты информации | 2.8.2 |
модель угроз | 2.6.8 |
модель угроз безопасности информации | 2.6.8 |
мониторинг безопасности информации | 2.8.7 |
норма эффективности защиты информации | 2.9.4 |
носитель защищаемой информации | 2.5.3 |
объект защиты информации | 2.5.1 |
объект информатизации защищаемый | 2.5.4 |
оценка информационного риска | 2.8.10 |
оценка соответствия требованиям по защите информации | 2.8.1 |
показатель эффективности защиты информации | 2.9.3 |
политика безопасности | 2.4.4 |
политика безопасности информации в организации | 2.4.4 |
проверка информационной безопасности в организации аудиторская | 2.8.6 |
проверка специальная | 2.8.5 |
программа вредоносная | 2.6.5 |
сертификация на соответствие требованиям по безопасности информации | 2.8.3 |
система защиты информации | 2.4.3 |
система информационная защищаемая | 2.5.5 |
способ защиты информации | 2.3.1 |
средство защиты информации | 2.7.2 |
средство защиты информации криптографическое | 2.7.5 |
средство контроля эффективности защиты информации | 2.7.3 |
средство физической защиты информации | 2.7.4 |
техника защиты информации | 2.7.1 |
ТЗИ | 2.2.2 |
требование по защите информации | 2.9.2 |
угроза | 2.6.1 |
угроза безопасности информации | 2.6.1 |
уязвимость | 2.6.4 |
уязвимость информационной системы | 2.6.4 |
фактор, воздействующий на защищаемую информацию | 2.6.2 |
цель защиты информации | 2.4.2 |
экспертиза документа по защите информации | 2.8.8 |
эффективность защиты информации | 2.9.1 |
Национальный стандарт Российской Федерации
Защита информации
Объект информатизации. Факторы, воздействующие на информацию
Общие положения
1 Область применения Настоящий стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации требований по защите информации на объекте информатизации. Настоящий стандарт распространяется на объекты информатизации, создаваемые и эксплуатируемые в различных областях деятельности (обороны, экономики, науки и других областях). 3 Термины и определения В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями: 3.1 Объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров. 3.3 Побочное электромагнитное излучение: Электромагнитное излучение, наблюдаемое при работе технических средств обработки информации. 3.4 Паразитное электромагнитное излучение: Электромагнитное излучение, являющееся результатом паразитной генерации в электрических цепях технических средств обработки информации. 6 Перечень объективных и субъективных факторов, воздействующих на безопасность защищаемой информации 6.1 Перечень объективных факторов, воздействующих на безопасность защищаемой информации 6.1.1 Внутренние факторы 6.1.1.2 Излучения сигналов, функционально присущие техническим средствам ( далее - ТС) (устройствам) ОИ: б) электромагнитные излучения и поля: 1) излучения в радиодиапазоне; 2) излучения в оптическом диапазоне. 6.1.1.3 Побочные электромагнитные излучения: а) элементов (устройств) ТС ОПИ; б) на частотах работы высокочастотных генераторов устройств, входящих в состав ТС ОПИ: 1) модуляция побочных электромагнитных излучений информативным сигналом, сопровождающим работу ТС ОПИ; 2) модуляция побочных электромагнитных излучений акустическим сигналом, сопровождающим работу ТС ОПИ; в) на частотах самовозбуждения усилителей, входящих в состав ТС ОПИ. 6.1.2 Внешние факторы 6.1.2.1 Явления техногенного характера: а) непреднамеренные электромагнитные облучения ОИ; б) радиационные облучения ОИ; 6.1.2.2 Природные явления, стихийные бедствия: а) термические факторы (пожары и т. д.); б) климатические факторы (наводнения и т. д.); в) механические факторы (землетрясения и т. д.); г) электромагнитные факторы (грозовые разряды и т. д.); д) биологические факторы (микробы, грызуны и т. д.); е) химические факторы (химически агрессивные среды и т.д.). 6.2 Перечень субъективных факторов, воздействующих на безопасность защищаемой информации 6.2.2 Внешние факторы 6.2.2.1 Доступ к защищаемой информации с применением технических средств: а) разведки: 1) радиоэлектронной; б) съема информации. 6.2.2.5 Искажение, уничтожение или блокирование информации с применением технических средств путем: а) преднамеренного силового электромагнитного воздействия: 1) по сети электропитания на порты электропитания постоянного и переменного тока; 2) по проводным линиям связи на порты ввода-вывода сигналов и порты связи; 3) по металлоконструкциям на порты заземления и порты корпуса; 4) посредством электромагнитного быстроизменяющегося поля на порты корпуса, порты ввода-вывода сигналов и порты связи; б) преднамеренного силового воздействия различной физической природы; г) воздействия программными средствами в комплексе с преднамеренным силовым электромагнитным воздействием.Государственный стандарт Российской Федерации
Защита информации
Автоматизированные системы в защищенном исполнении
Общие положения
Определения Защищаемая информация по ГОСТ Р 50922. Защита информации по ГОСТ Р 50922. Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (по ГОСТ 34.003). Автоматизированная система в защищенном исполнении (АСЗИ) - автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации. Техническое обеспечение автоматизированной системы - совокупность технических средств, используемых при функционировании АС (по ГОСТ 34.003). Фактор, воздействующий на защищаемую информацию по ГОСТ Р 51275. Побочное электромагнитное излучение - электромагнитное излучение, возникающее при работе технических средств обработки информации (по ГОСТ Р 51275). Электромагнитные наводки - токи и напряжения в токопроводящих элементах, электрические заряды или магнитные потоки, вызванные электромагнитным полем. Контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и/или транспортных средств. Примечание - Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения); ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения. Общие положения Создание (модернизация) и эксплуатация АСЗИ должны осуществляться с учетом требований нормативных документов по защите информации, требований настоящего стандарта, стандартов и/или технического задания на АС в части требований по защите информации. Требования по защите информации, предъявляемые к АСЗИ, задаются в ТЗ на создание системы в соответствии с ГОСТ 34.602 в виде отдельного подраздела ТЗ на НИР (ОКР) "Требования по защите информации". При необходимости в ТЗ на создание АСЗИ или в его составные части заказчик может включать специфические требования по защите информации, дополняющие или уточняющие требования настоящего стандарта. В АСЗИ должна быть реализована система защиты информации, выполняющая следующие функции:Национальный стандарт Российской Федерации
Защита информации
Автоматизированные системы в защищенном исполнении
Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям
Общие положения
Настоящий стандарт разработан с целью нормативного обеспечения испытаний автоматизированных систем в защищённом исполнении (АСЗИ) на воздействие преднамеренных силовых электромагнитных воздействий (ПД ЭМВ). Применительно к АСЗИ преднамеренные силовые электромагнитные воздействия рассматриваются как фактор угрозы информации в целях ее уничтожения, искажения или блокирования (ГОСТ Р 51275). Преднамеренные силовые электромагнитные воздействия создают опасность для АСЗИ жизненно важных электронных систем - систем связи и управления, банковских систем, систем электроснабжения и других. Объектом электромагнитного воздействия могут являться информационные системы объекта, системы физической защиты оборудования, поддерживающей инфраструктуры, вспомогательное оборудование, системы электропитания, линии связи и т. д. Наибольший ущерб при ПД ЭМВ может быть нанесен объектам, у которых АСЗИ являются ядром системы с непрерывным процессом обработки потоков информации. Под преднамеренным силовым электромагнитным воздействием понимается воздействие с применением излучателей электромагнитного поля, генераторов напряжения и тока, путем генерирования в информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования технических и программных средств информационных систем (ГОСТ 50922). Преднамеренные силовые электромагнитные воздействия могут осуществляться открыто или скрытно («закамуфлированным» под действие электромагнитных помех), дистанционным (по эфиру) или контактным (по сети) способом и быть направлены на достижение сбоя, разрушение электронных систем и т.д. Актуальность вопросов устойчивости АСЗИ при ПД ЭМВ подтверждается результатами обширных исследований в этой области. Накопленный опыт исследований и испытаний элементов объектов информатизации на устойчивость к ПД ЭМВ показывает, что для обеспечения устойчивой работы АСЗИ необходимо принятие специальных организационно-технических мер. Требования к организации и содержанию работ по защите АСЗИ от ПД ЭМВ, к средствам защиты АСЗИ от ПД ЭМВ и к средствам их обнаружения регламентируются соответствующими стандартами в данной области. В настоящем стандарте регламентированы общие требования к АСЗИ по устойчивости к преднамеренным силовым электромагнитным воздействиям, установлены параметры испытательных воздействий, виды испытаний и степени жёсткости испытаний, методы и средства испытаний, определены порядок проведения испытаний и критерии оценки качества функционирования АСЗИ. Данные о параметрах преднамеренных силовых электромагнитных воздействий получены на основе обобщения результатов теоретических и экспериментальных исследований, проведения компьютерного моделирования типовых путей воздействия на типовые элементы АСЗИ с применением излучателей электромагнитного поля, генераторов напряжения или тока с учетом перспектив их развития. В стандарте определены также требования к испытаниям ограждающих конструкций и системам контроля и управления доступом (СКУД) и требования к испытаниям программного обеспечения для АСЗИ. 1 Область применения Настоящий стандарт распространяется на автоматизированные системы, подлежащие защищенному исполнению, для защиты от преднамеренных воздействий на информацию в целях ее уничтожения, искажения или блокирования при разработке, изготовлении и эксплуатации таких систем. Настоящий стандарт устанавливает дополнительные требования и положения стандартов класса 34 «Информационная технология. Комплекс стандартов на автоматизированные системы» в части создания и применения автоматизированных систем в защищенном исполнении от воздействия преднамеренных силовых электромагнитных воздействий. 3 Определения и сокращения Преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля, генераторов напряжения и тока, приводящее к наводкам в АСЗИ сигналов с амплитудой, длительностью и энергией, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем. Искажение, уничтожение или блокирование информации с применением технических средств преднамеренного силового электромагнитного воздействия: Искажение, уничтожение или блокирование информации путем преднамеренного силового электромагнитного воздействия (ГОСТ Р 51275):
Класс условий эксплуатации |
Степень жесткости испытаний ТС и объектов с АСЗИ |
||||
Технические средства |
Системы обеспечения безопасности периметра объекта |
Системы обеспечения безопасности объекта |
Локальные выделенные сети и СКС |
Помещения с ответственным оборудованием2) |
|
Класс 5 |
I |
IV |
III |
Не применяют1) |
Не применяют1) |
Класс 4 |
I |
IV |
III |
II |
II |
Класс 3 |
I |
IV |
III |
II |
I |
Класс 2 |
I |
IV |
III |
II |
I |
Класс 1 |
I |
IV |
III |
II |
I |
Класс 0 |
I |
IV |
III |
II |
I |
Класс Х |
3) |
3) |
3) |
3) |
3) |
1) Степень жесткости испытаний может быть введена специальными требованиями к АСЗИ. |
№ п/п |
Вид воздействия |
Параметры испытательных воздействий |
Степень жесткости испытаний |
|||
I |
II |
III |
IV |
|||
1 |
Однократные наносекундные импульсы электромагнитного поля |
Длительность импульса, нс |
100 |
100 |
100 |
100 |
Напряженность импульсного электрического поля, кВ/м |
1 |
2 |
5 |
10 |
||
2 |
Периодические наносекундные импульсы электромагнитного поля с низкой частотой повторения |
Длительность импульса, нс |
0,2±0,1 0,8±0,3 |
0,2±0,1 0,8±0,3 |
0,2±0,1 0,8±0,3 |
0,2±0,1 0,8±0,3 |
Напряженность импульсного электрического поля, кВ/м |
0,3 |
10 |
20 |
30 |
||
Частота следования, кГц |
1 |
1 |
1 |
1 |
||
3 |
Периодические наносекундные импульсы электромагнитного поля с высокой частотой повторения |
Длительность импульса, нс |
0,2±0,1 0,8±0,3 |
0,2±0,1 0,8±0,3 |
0,2±0,1 0,8±0,3 |
0,2±0,1 0,8±0,3 |
Напряженность импульсного электрического поля, кВ/м |
0,02 |
0,02 |
0,2 |
0,2 |
||
Частота следования, кГц |
1000 |
1000 |
1000 |
1000 |