ГОСТ Р 56103-2014. Национальный стандарт РФ: "Защита информации. Автоматизированные системы в защищенном исполнении. Организация и содержание работ по защите от преднамеренных силовых электромагнитных воздействий. Общие положения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 10.09.2014 N 1046-ст)

Information protection. Protected operational systems. Organization and content of operations on the protection against purposeful powerful electromagnetic impacts. General requirements

Дата введения - 1 июля 2015 г.

Введен впервые

1 Область применения

Настоящий стандарт устанавливает общие положения по организации и содержанию работ по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий.

Требования настоящего стандарта подлежат применению на территории Российской Федерации органами государственной власти, местного самоуправления, предприятиями и учреждениями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства, либо обязанными по статусу исполнять требования нормативно-правовых документов Российской Федерации по защите информации.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 2.120-73 Единая система конструкторской документации. Технический проект

ГОСТ 34.602-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированных систем

ГОСТ 34.603-92 Информационная технология. Виды испытаний автоматизированных систем

ГОСТ Р 50922-2006 Защита информации. Основные термины и определения

ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения

ГОСТ Р 51624-2000 Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования

ГОСТ Р 52863-2007 Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети "Интернет" или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины, определения и сокращения

3.1 В настоящем стандарте применены термины по ГОСТ Р 50922, ГОСТ Р 51583, ГОСТ Р 52862, а также следующий термин с соответствующим определением:

3.1.1

объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров. [ГОСТ Р 51275, статья 3.1]

3.2 В настоящем стандарте применены следующие сокращения:

АС - автоматизированная система;

АСЗИ - автоматизированная система в защищенном исполнении;

КЗ - контролируемая зона;

МН - модель нарушителя;

МУ - модель угроз;

ОИ - объект информатизации;

ОЭ - оценка эффективности;

ПО - программное обеспечение;

ПЭМИН - побочные электромагнитные излучения и наводки;

СЗИ - система защиты информации;

ТЗ - техническое задание;

ТС - техническое средство;

ЧТЗ - частное техническое задание;

ЭМВ - электромагнитное воздействие;

ПС ЭМВ - преднамеренное силовое электромагнитное воздействие.

4 Общие положения по организации и содержанию работ по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий

4.1 Работы по защите АС от ПС ЭМВ, входящих в классификацию и перечень факторов, воздействующих на информацию согласно ГОСТ Р 51275, являются составной частью комплекса работ, выполняемых согласно ГОСТ Р 51583 и ГОСТ Р 51624.

Особенностями организации работ по защите АС от ПС ЭМВ являются:

- проведение их в согласовании с работами по построению системы охраны (физической защиты) объекта, на котором эксплуатируется АС;

- ориентация на решение задач защиты АС от ПС ЭМВ на этапе эксплуатации в составе комплексной системы обеспечения безопасности объекта.

Особенности содержания работ по защите АС от ПС ЭМВ обусловлены:

- особенностями параметров ПС ЭМВ, физических явлений, происходящих при их воздействии на АС, видов деструктивных нарушений их функционирования и уровнями устойчивости АС;

- особенностями тактики применения ТС ПС ЭМВ и способов защиты АС от них;

- конструктивными особенностями построения и способами применения средств защиты АС от ПС ЭМВ;

- особенностями методического аппарата, применяемого для категорирования АС с целью задания требований к уровню защищенности от ПС ЭМВ и оценки эффективности защиты;

- спецификой мероприятий по защите АС от ПС ЭМВ и их рациональными сочетаниями;

- особенностями видов деятельности, осуществляемых под управлением АС, и последствиями, к которым приводит нарушение их функционирования в результате ПС ЭМВ;

- особенностями проведения испытаний АС на устойчивость к ПС ЭМВ.

4.2 Необходимость защиты АС от ПС ЭМВ обусловлена:

- существованием разнообразных видов ПД ЭМВ, осуществляемых на АС по цепям электропитания, линиям связи, металлоконструкциям, посредством электромагнитного быстроменяющегося поля, деструктивное воздействие которых может привести к искажению, уничтожению или блокированию информации. Общая классификация ПС ЭМВ приведена в таблице А.1 (приложение А);

- наличием и доступностью приобретения/изготовления технических средств - источников ПС ЭВМ, имеющих высокую эффективность применения за счет компактности исполнения и мобильности, дистанционности использования, маскировки под действие электромагнитных помех и т.д.

- значительностью функциональных нарушений штатной деятельности ТС АС при оказании на них ПСЭМВ.

4.3 Мероприятиями по защите информации в АС от ПС ЭМВ являются:

- повышение устойчивости АС к ПС ЭМВ, обеспечиваемое ее соответствием требованиям ГОСТ Р 52863;

- снижение уровней ПС ЭМВ, на портах АС, обеспечиваемое применением защитных средств и технологий;

- своевременное получение информации о ПС ЭМВ на АС, обеспечиваемое применением средств обнаружения ПС ЭМВ;

- своевременное реагирование на ПС ЭМВ, обеспечиваемое оперативным переводом АС в безопасные режимы функционирования средствами защиты;

- организационно-технические меры, направленные на предупреждение ПС ЭМВ и своевременное выявление их источников, исключающие (затрудняющие) их доставку в места применения.

4.4 Уровень защищенности АС от ПС ЭМВ, а также состав и эффективность обеспечивающих его мер защиты должны определяться дифференцированно с учетом соотношения затрат на защиту и размеров ущерба, который может быть нанесен путем ПС ЭМВ на АС.

4.5 Защита АС от ПС ЭМВ достигается:

- реализацией необходимых мероприятий по защите информации от ПС ЭМВ при создании АСЗИ и их размещении на ОИ;

выполнением функций защиты от ПС ЭМВ при эксплуатации АСЗИ.

4.6 При создании АСЗИ с целью построения защиты от ПС ЭМВ проводятся следующие работы:

- разработка проектных решений защиты АС;

- реализация проектных решений защиты АС;

- ввод в действие АС в защищенном от ПС ЭМВ исполнении.

4.7 При эксплуатации АСЗИ для защиты от ПС ЭМВ проводятся следующие работы:

- использование по назначению технических средств обнаружения ПС ЭМВ и ТС защиты от ПС ЭМВ;

- выполнение организационно-технических мероприятий по защите АС от ПС ЭМВ на ОИ;

- техническая эксплуатация средств обнаружения ПС ЭМВ и ТС защиты от ПС ЭМВ;

- контроль защищенности АС от ПС ЭМВ.

4.8 Работы по построению системы защиты АС от ПС ЭМВ должны проводиться во взаимодействии следующих организаций и органов:

- организации/учреждения-пользователя АСЗИ, являющейся заказчиком работ; - специализированной организации, являющейся исполнителем работ в части разработки проектных решений защиты;

- проектной организации, организаций-поставщиков АСЗИ, средств обнаружения и защиты от преднамеренных силовых электромагнитных воздействий, строительных и монтажных организаций, являющихся исполнителями работ в части реализации проектных решений защиты АС на ОИ;

- экспертной организации, выполняющей экспертно-аттестационные функции;

- контрольно-надзорного органа ведомства, в состав которого входит организация-пользователь АСЗИ;

4.9 Функциями заказчика работ по защите АС от ПС ЭМВ являются:

- предоставление исходных данных исполнителям;

- участие в разработке МУ, в системной проработке проектных решений, разработке, согласовании и утверждении ТЗ на создание системы защиты от ПС ЭМВ, в организации проведения приемосдаточных испытаний;

- разработка организационно-распорядительной документации по защите АС от ПС ЭМВ;

- согласование правил пользования и инструкций по эксплуатации программно-технических средств защиты от ПС ЭМВ и других эксплуатационных документов.

4.10 Специализированной организацией является организация, уполномоченная контрольно-надзорным органом ведомства на проведение работ в области защиты от ПС ЭМВ.

4.11 Функциями специализированной организации являются:

- выполнение комплекса предпроектных работ, включая разработку МУ, проведение обследования АС в составе ОИ, системную проработку проектных решений в виде концепции защиты, разработку ТЗ на систему защиты от ПС ЭМВ;

- научно-техническое сопровождение проектных и монтажных работ;

- проведение испытаний АС по ГОСТ Р 52863;

- участие в проведении приемо-сдаточных испытаний системы защиты АС от ПС ЭМВ, проведение оценки ее эффективности;

- подготовка пакета документов для аттестации АС в защищенном исполнении;

- плановая проверка защитных свойств (тестирование) эксплуатируемых АСЗИ в составе ОИ, а также целевая проверка при изменениях его инфраструктуры, состава и размещения основного и вспомогательного оборудования, и при изменении МУ ПС ЭМВ.

4.12 Проектной организацией по выполнению работ, связанных с защитой АС в составе ОИ от ПС ЭМВ, является уполномоченная контрольно-надзорным органом организация, специализирующаяся в области проектирования АСЗИ и ОИ и имеющая лицензии на проведение работ по защите информации.

4.13 Функциями проектной организации является выполнение комплекса работ по разработке проектных решений защиты АС от ПС ЭМВ в виде рабочей документации с привязкой к ОИ.

4.14 Организациями - поставщиками АСЗИ, средств обнаружения и защиты от ПС ЭМВ являются организации, уполномоченные/признанные контрольно-надзорным органом и имеющие лицензии на разработку, изготовление и ремонт данных ТС.

4.15 Функциями организаций-поставщиков АСЗИ, средств обнаружения и защиты от ПС ЭМВ являются:

- разработка, изготовление и поставка программных и ТС соответствующего назначения согласно ТЗ и удовлетворяющих требованиям ГОСТ Р 52863, а также проведение их сервисного обслуживания и ремонта;

- разработка эксплуатационной документации на поставляемые ТС.

4.16 Монтажной организацией по выполнению работ, связанных с защитой АС от ПС ЭМВ является организация, специализирующаяся в монтаже, пуске и наладке АСЗИ, средств обнаружения и защиты от ПС ЭМВ, либо другая внешняя организация указанного профиля, имеющая лицензии на проведения данных работ и полномочия/одобрения контрольно-надзорного органа.

4.17 Контрольно-надзорный орган формируется на ведомственном уровне на базе подразделения, разрабатывающего и контролирующего выполнение требований по безопасности информации и объектов, либо на федеральном уровне на базе головных по вопросам безопасности информации и объектов ведомств РФ.

4.18 Функциями контрольно-надзорного органа является разработка и утверждение требований к средствам и мерам защиты и контроль их выполнения, предоставление полномочий/одобрений организациям, участвующим в проведении работ.

4.19 Экспертной организацией является уполномоченная контрольно-надзорным органом профильная по вопросам защиты информации и объектов организация ведомства, либо уполномоченное подразделение штатного органа в составе головного по вопросам безопасности информации и объектов ведомства РФ.

4.20 Функциями экспертной организации являются:

- научно-техническая экспертиза результатов предпроектных, проектных работ, участие в испытаниях АС в защищенном от ПС ЭМВ исполнении;

- согласование и утверждение МУ, эксплуатационных и организационно-распорядительных документов по защите от ПС ЭМВ;

- контроль реализации требований по обеспечению необходимого уровня защиты АС от ПС ЭМВ;

- разработка нормативных и методических документов по вопросам обеспечения защиты АС от ПС ЭМВ.

5 Организация и содержание работ по построению системы защиты от преднамеренных силовых электромагнитных воздействий при создании автоматизированных систем в защищенном исполнении

5.1 Разработка концепции защиты автоматизированных систем от преднамеренных силовых электромагнитных воздействий

5.1.1 Целью разработки концепции защиты АС от ПС ЭМВ является определение основных направлений работ по защите и путей их реализации, обеспечивающих выполнение требований по защите АС от ПС ЭМВ в реальных условиях ее применения.

Концептуальные проектные решения по защите АС в виде системы защиты от ПС ЭМВ должны разрабатываться с целью выработки согласованной точки зрения между заказчиком и организациями-исполнителями работ.

Концепция защиты АС от ПС ЭМВ может разрабатываться в виде отдельного раздела концепции АС (концепции защиты информации в АС), на основании которого разрабатывается ТЗ на создание АСЗИ (ЧТЗ на создание СЗИ и АС).

5.1.2 Обследование автоматизированных систем в составе объектов информатизации

5.1.2.1 Обследование АС в составе ОИ должно осуществляться с целью получения/сбора исходных данных для выполнения работ по построению системы защиты АС от ПС ЭМВ. Работы должны проводиться по утвержденным методикам и программам.

5.1.2.2 В программе обследования должны быть предусмотрены:

а) изучение документации на АС и ОИ (проектной, эксплуатационной, организационно-распорядительной, учетной и т.п.);

б) визуальный осмотр с целью:

- уточнения данных, полученных из документации и сбора необходимых дополнительных данных;

- проверки выполнения ведомственных требований и рекомендаций и выявления факторов уязвимости АС к ПС ЭМВ;

в) тестирование с помощью специальных ТС с целью:

- определения/уточнения электрофизических характеристик конструктивных элементов ОИ (применяются имитаторы ЭМВ и средства их измерения и обработки);

- уточнения расположения трасс электропитания и линий связи (применяются индикаторные устройства);

- уточнения пространственных характеристикой и его элементов;

- разработки карты распределения электромагнитных полей помещения (помещений) ОИ;

г) опрос и анкетирование специалистов с целью построения МН (применяются методы экспертных оценок).

5.1.2.3 Результаты обследования ОИ должны оформляться отдельным протоколом.

Состав информации, определяемой при обследовании АС в составе ОИ, приведен в приложении Б.

5.1.2.4 По результатам обследования составляется описательная характеристика, включающая следующий обобщенный перечень данных:

- о предприятии/учреждении, в составе которого эксплуатируется АСЗИ, включающие общие данные (наименование, расположение, топология и инфраструктура, режимы функционирования, персонал), данные о системах безопасности от природных техногенных и антропогенных угроз, данные о системах обеспечения (электропитание, заземление, структурированная кабельная сеть);

- по ОИ, включающие общие данные (место расположения и границы, наименование и предназначение, режимы функционирования, персонал), данные о применяемых на нем мерах и средствах безопасности, данные о системах и средствах обеспечения;

- о ТС и сегментах информационных систем, функционирующих в составе ОИ (состав и общая характеристика, данные о сетевом оборудовании, тип общего и специального ПО, характеристика решаемых задач);

- информация для построения МН (типы и состав нарушителей, их оснащение, профессиональный уровень, цели, способы действий).

5.1.3 Построение модели угроз безопасности автоматизированной системы с учетом возможных преднамеренных силовых электромагнитных воздействий

5.1.3.1 Конечной целью разработки МУ является получение данных, необходимых для выработки проектных решений по построению адекватной системы защиты информации в АС от ПС ЭМВ.

5.1.3.2 Разработка МУ должна включать:

- определение угроз безопасности информации в АС и оценку последствий их реализации;

- разработку МН;

- определение уязвимостей АС в составе ОИ, соответствующих угрозам ПС ЭМВ.

5.1.3.3 Перечень угроз безопасности информации в АС должен формироваться с учетом возможных вариантов проведения ЭМВ и их последствий, различающихся характером и размерами ущерба. Величина ожидаемого ущерба является показателем для проведения ранжирования угроз. Базовая проектная угроза соответствует наиболее опасному варианту проявления угрозы, соответствующему наибольшей величине наносимого ущерба.

5.1.3.4 Под МН следует понимать обобщенную характеристику исполнителя угрозы ПС ЭМВ применительно к конкретной АС. Конечной целью составления МН является определение наиболее вероятных типов ТС ЭМВ и ожидаемых мест их применения (подключения), приводящих к реализации угроз в отношении конкретной АС. В МН анализируется реальность реализации конкретных угроз с учетом возможностей нарушителя и специфики ОИ.

5.1.3.5 В состав качественных и количественных характеристик МН входят: тип нарушителя (внешний, внутренний, комбинированный), численный состав, мотивация, цель ЭМВ, вооружение и оснащение, квалификация и навыки, возможности приобретения/изготовления ТС ЭМВ и их параметры, степень информированности о АС, ОИ и его электронной инфраструктуре, тактика совершения ЭМВ, полномочия доступа и действий на ОИ.

5.1.3.6 Разработка МН должна производиться специализированной организацией с привлечением в качестве экспертов представителей организации-заказчика.

5.1.3.7 Уязвимости АС к ПС ЭМВ характеризуются совокупностью условий, способствующих реализации данной угрозы на ОИ.

К факторам уязвимости относятся:

- низкий (недостаточный) уровень устойчивости АС к ПС ЭМВ;

- отсутствие/недостаточность организационно-технических мер по защите АС от ПС ЭМВ, предусматриваемых требованиями нормативных документов;

- отсутствие/недостаточность и низкий уровень оперативности получения информации об угрозе;

- недостаточность защитных свойств конструктивных элементов ОИ по снижению уровней ПС ЭМВ;

- неполнота и неэффективность организационных мер защиты от ПС ЭМВ;

- низкий уровень готовности и квалификации персонала ОИ к отражению угроз ПС ЭМВ;

- несовершенство охранно-режимных мероприятий на ОИ, позволяющих осуществлять беспрепятственную доставку источников ПС ЭМВ в места их эффективного применения.

5.1.3.8 Выявление уязвимостей должно производиться применительно ко всем типам ТС, способным реализовать угрозу каждого вида ПС ЭМВ с каждого возможного направления ЭМВ. Признаком уязвимости АС к конкретному виду ПС ЭМВ, реализуемому конкретным ТС из заданной точки применения, является превышение уровня силового воздействия, приходящего на соответствующий порт атакуемой АС над существующим в АС уровнем ее устойчивости к ЭМВ в течение промежутка времени существенно важного для данной АС.

Форма сводной таблицы угроз ПС ЭМВ приведена в приложении В.

5.1.4 Формирование требований по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий

5.1.4.1 Требования по защите АС от ПС ЭМВ задаются в составе общих требований, предъявляемых к АСЗИ согласно ГОСТ Р 51624, и включают:

- требование к уровню защищенности АС от ПС ЭМВ;

- требования к составу и характеристикам мероприятий по защите АС.

5.1.4.2 Требования к составу и характеристикам мероприятий по защите АС должны определяться в соответствии с типовыми требованиями и рекомендациями по защите АС от ПС ЭМВ и включать:

- требования по устойчивости АСЗИ к ПС ЭМВ согласно ГОСТ Р 52863;

- требования к защитным свойствам систем обеспечения АСЗИ и помещения ОИ;

- требования к составу функций и обеспечивающим их характеристикам по решению задач обнаружения и защиты от ПС ЭМВ, реализуемых ТС;

- требования к составу функций и обеспечивающим их характеристикам, предъявляемые к ТС, решающим задачи обнаружения ПС ЭМВ и защиты от них.

5.1.4.3 Состав и характеристики мероприятий по защите АС должны обеспечивать требуемый уровень защищенности АС от ПС ЭМВ, реализуемых каждым из возможных способов с каждого из возможных угрожаемых направлений согласно МУ.

5.1.4.4 Требования по защите АС от ПС ЭМВ должны быть включены в ТЗ (ЧТЗ) на создание системы защиты информации отдельным разделом.

При целевой разработке АСЗИ требование по устойчивости к ПС ЭМВ согласно ГОСТ Р 52863 задается в ТЗ на создание АС, разрабатываемых в соответствии с ГОСТ 34.602.

5.1.5 Формирование проектных решений по защите автоматизированных систем от пред намеренных силовых электромагнитных воздействий

5.1.5.1 Проектные решения системы защиты формируются в ходе выполнения технического проекта на АСЗИ согласно ГОСТ Р 51583 в виде альтернативных вариантов построения системы защиты АС от ПС ЭМВ в составе ОИ, основанных на единых принципах защиты с учетом разработанной МУ и различающихся перечнями мероприятий по защите и уровнями их детализации. В проектных решениях объединяются частные функциональные свойства защиты, реализуемые отдельными мероприятиями по защите.

5.1.5.2 Формирование проектных решений системы защиты информации в АС от ПС ЭМВ должно производиться согласно следующим основополагающим принципам:

- зональности, предусматривающей образование нескольких вложенных контуров, создающих "эшелонированную" защиту АС;

- равнопрочности, предусматривающей обеспечение требуемого уровня защищенности АС для всех вариантов реализации ожидаемых угроз со всех возможных направлений;

- надежности и живучести, предполагающих выполнение задач защиты АС в штатных и чрезвычайных ситуациях путем применения соответствующих технических решений и организационных мер;

- адаптивности, предполагающей возможность перестроения (наращивания) системы защиты при изменениях МУ, конфигурации и инфраструктуры ОИ, территориального размещения АСЗИ;

- адекватности, предусматривающей ориентированность проектных решений системы защиты на принятую МУ;

- контроля защищенности, предусматривающего возможность контроля работоспособности защитных компонент и всей системы защиты АС в целом, а также периодическое и целевое проведение ОЭ системы защиты АСЗИ для подтверждения ее достаточности.

5.1.5.3 Проектные решения системы защиты АСЗИ от ПС ЭМВ в составе ОИ должны разрабатываться в направлениях:

- обеспечения требуемого уровня устойчивости АС к ПС ЭМВ;

- функционального расширения штатных систем безопасности организации, направленного на предотвращение доставки ТС ПС ЭМВ в места применения и утечки информации об уязвимостях ОИ и эксплуатируемых в его составе АС;

- оборудования ОИ элементами, повышающими защищенность ОИ к ПС ЭМВ;

- целенаправленного использования ТС обнаружения и защиты от ПС ЭМВ;

- предупреждения, выявления, пресечения угроз ПС ЭМВ, их локализации и ликвидации последствий посредством организационных мер.

5.1.5.4 Проектные решения системы защиты не должны ограничивать применение АСЗИ по назначению.

5.1.5.5 По каждому проектному решению защиты должна проводиться ОЭ с целью подтверждения требований защищенности от угроз.

5.1.5.6 Выбор проектного решения, принимаемого за основу создания системы защиты АС от ПС ЭМВ, из состава альтернативных вариантов, должен осуществляться с учетом их стоимостных оценок.

5.1.5.7 Выбор типов ТС обнаружения и защиты от ПС ЭМВ и порядок их размещения должен удовлетворять предъявляемым к ним функциональным требованиям и обеспечивать возможность применения в объектовых условиях в соответствии с техническими условиями на изделия.

5.1.5.8 ТС обнаружения и защиты от ПС ЭМВ, используемые в проектных решениях системы защиты АС, должны соответствовать требованиям стандартов и иметь соответствующие сертификаты соответствия требованиям по обеспечению безопасности информации.

5.1.5.9 Организационные меры защиты АС от ПС ЭМВ должны в наибольшей степени согласовываться с общими режимно-охранными мерами защиты ОИ и мерами защиты информации в АС от утечек по ПЭМИН. Организационные меры разрабатываются в дополнение к функциям, осуществляемым ТС обнаружения ПС ЭМВ и ТС защиты от ПС ЭМВ. Они должны предусматривать возможность их компенсирования при выходе ТС из строя.

5.1.6 Оценка эффективности защиты автоматизированных систем от преднамеренных силовых электромагнитных воздействий

5.1.6.1 ОЭ системы защиты АСЗИ от ПС ЭМВ позволяет определить способность применяемых на ОИ ТС и организационных мер противостоять конкретной угрозе, реализуемой согласно разработанной для него модели угроз. Целью ОЭ является проверка функциональной достаточности и адекватности системы защиты от ожидаемой угрозы, достигаемой конкретным вариантом ее построения.

5.1.6.2 ОЭ системы защиты АСЗИ от ПС ЭМВ должна проводиться при:

- сравнительном анализе альтернативных вариантов проектных решений систем защиты;

- вводе АСЗИ в действие;

- изменении условий эксплуатации АСЗИ, совершенствовании средств и способов электромагнитного нападения и других факторах, требующих проверки достаточности и адекватности защитных свойств АСЗИ;

- уточнениях и изменениях МУ и МН.

5.1.6.3 Организация проведения ОЭ защиты АС от ПС ЭМВ возлагается на предприятие/учреждение-пользователь АСЗИ. Работы по ОЭ должны проводиться специализированной организацией с применением утвержденных методик и программ.

5.1.6.4 Результаты ОЭ оформляются в виде отчета, согласуемого с экспертной организацией.

5.2 Реализация проектных решений системы защиты автоматизированных систем от преднамеренных силовых электромагнитных воздействий

5.2.1 Техническое задание на проектирование

5.2.1.1 Соответствующие разделы ТЗ (ЧТЗ) на проектирование системы защиты информации в АС от ПС ЭМВ разрабатываются с целью определения требований к АСЗИ в части защиты от ПС ЭМВ, а также определения состава и содержания работ и порядка их проведения.

5.2.1.2 Требования по защите АС от ПС ЭМВ должны включаться в ТЗ на создание АСЗИ отдельным разделом или в ТЗ (ЧТЗ) на создание системы защиты информации в АС от ПС ЭВМ.

При проведении данных работ на стадиях строительства, реконструкции и технического переоснащения ОИ задания на эти работы в части защиты помещений, коммуникаций, ТС обеспечения и т.п. включаются в состав смежных разделов основного ТЗ на ОИ.

5.2.1.3 ТЗ на создание АСЗИ (ТЗ (ЧТЗ) на создание СЗИ в АС) с учетом требований по защите от ПС ЭМВ должно согласовываться и утверждаться в соответствии с требованиями ГОСТ 34.602.

5.2.1.4 ТЗ на создание АСЗИ (ТЗ (ЧТЗ) на создание СЗИ в АС) в части защиты от ПС ЭМВ должно содержать:

- ссылку на нормативно-методические документы, с учетом которых будут разрабатываться и реализовываться меры защиты;

- исходные данные по АСЗИ и ОИ (назначение и конфигурация АСЗИ, устойчивость элементов АС и коммуникаций к ПС ЭМВ, расположение относительно границ КЗ, инфраструктура, режимы функционирования и персонал ОИ);

- требования к устойчивости элементов АСЗИ к ПС ЭМВ;

- требования по защите технических систем, обеспечивающих функционирование АСЗИ, от ПС ЭМВ;

- перечень предъявляемой заказчику научно-технической продукции и документации;

- сроки выполнения и исполнителей работ, порядок приемки работ по созданию системы защиты АС от ПС ЭМВ.

5.2.2 Выполнение проектных работ

5.2.2.1 Разработка проектной документации на создание системы защиты АС от ПС ЭМВ, эксплуатируемой в составе ОИ, должна производиться в составе разработки технического проекта на АСЗИ либо отдельно и осуществляться с учетом требований, установленных в соответствующем нормативном документе, принятом Минстроем России [1]. В проектной документации реализуются проектные решения, разработанные на стадии предпроектных работ.

5.2.2.2 Проектная документация на систему защиты АС от ПС ЭМВ оформляется в соответствии с ГОСТ 2.120 в виде отдельного тома и состоит из пояснительной записки и приложений, включающих необходимые чертежи планировок, схемы коммуникаций, спецификацию оборудования, сметную документацию и другие материалы.

5.2.2.3 При проектировании системы защиты АС от ПС ЭМВ должно использоваться оборудование, соответствующее заданным требованиям по устойчивости по ГОСТ Р 52863 и имеющее соответствующие сертификаты.

5.2.2.4 Раздел по защите информации технического проекта АС в части защиты от ПС ЭМВ подлежит экспертизе, на которую представляются:

- пояснительная записка с приложениями;

- МУ;

- ОЭ защиты информации в АСЗИ от ПС ЭМВ.

При экспертизе проекта рассматриваются:

- обоснованность выбранного места расположения ОИ и размещения АСЗИ, а также обоснованность проектных решений защиты;

- достаточность принятых в проекте мер по обеспечению защиты ОИ от ПС ЭМВ и их адекватность МУ;

- соответствие уровня принятых организационно-технических мер защиты уровню современных достижений науки и техники;

- применение в проекте сертифицированных ТС обнаружения и защиты.

По результатам экспертизы данного документа по защите информации составляется заключение, которое утверждается председателем экспертной комиссии и направляется заказчику.

5.2.3 Выполнение работ по монтажу, пуску и наладке автоматизированных систем в защищенном от преднамеренных силовых электромагнитных воздействий исполнении

5.2.3.1 По результатам проектных работ осуществляются:

- поставка сертифицированных ТС АС, соответствующих требованиям по устойчивости к ПС ЭМВ и прошедших испытания по ГОСТ Р 52863;

- поставка сертифицированных ТС обнаружения и защиты от ПС ЭМВ, соответствующих заданным требованиям и нормативным документам;

- строительно-монтажные работы.

5.2.3.2 Строительно-монтажные работы включают:

- выполнение работ по строительству/реконструкции специализированных зданий, помещений, сооружений, предназначенных для создания ОИ и размещения в нем АСЗИ;

- оборудование ОИ защитными конструктивными элементами;

- сооружение/прокладку в защищенном исполнении линий связи, электропитания, заземления, каналов и коммуникаций систем вентиляции, кондиционирования, пожарной и охранной сигнализации и т.п.;

- монтаж, подключение и настройку технических и программных средств АС и СЗИ;

- проведение пусконаладочных работ.

5.2.3.3 Авторский надзор за строительно-монтажными работами осуществляется на их завершающем этапе в соответствии с требованиями, установленными в соответствующих нормативных документах.

Авторский надзор должен проводиться разработчиком проекта системы защиты АС от ПС ЭМВ.

5.2.3.4 Пусконаладочные работы включают:

- автономную наладку АСЗИ, ТС обнаружения и защиты и их ПО;

- комплексную наладку АСЗИ, ТС обнаружения и защиты в составе ОИ;

- проведение предварительных испытаний АСЗИ, ТС обнаружения и защиты в составе ОИ на работоспособность и соответствие ТЗ в соответствии с программой и методикой предварительных испытаний, устранение неисправностей и внесение изменений в проектную и эксплуатационную документацию в соответствии с протоколом испытаний.

5.2.3.5 Предварительные испытания должны проводиться в соответствии с ГОСТ 34.603.

5.2.3.6 Одновременно на этапе строительно-монтажных и пусконаладочных работ должны производиться:

- разработка комплекта документации по эксплуатации АСЗИ в составе ОИ и действий по выявлению и реагированию на угрозы ПС ЭМВ, локализации и ликвидации их последствий;

- разработка раздела формуляра (технического паспорта) автоматизированной системы в защищенном исполнении в составе объектов информатизации по защите от ПС ЭМВ (см. приложение О;

- подготовка персонала ОИ и службы безопасности предприятия к проведению работ по защите АС от ПС ЭМВ на этапе эксплуатации.

По результатам пусконаладочных работ АСЗИ передается в опытную эксплуатацию.

5.3 Ввод в действие автоматизированных систем в защищенном от преднамеренных силовых электромагнитных воздействий исполнении

5.3.1 Ввод в действие АС в защищенном от ПС ЭМВ исполнении осуществляется в соответствии с ГОСТ Р 51583 и включает проведение опытной эксплуатации, приемочных испытаний и аттестацию.

5.3.2 Проведение опытной эксплуатации автоматизированных систем в защищенном от преднамеренных силовых электромагнитных воздействий исполнении в составе объектов информатизации

5.3.2.1 Ввод АСЗИ в опытную эксплуатацию производится на основе акта, составляемого по результатам предварительных испытаний.

5.3.2.2 Опытная эксплуатация АСЗИ в составе ОИ проводится в соответствии с ГОСТ 34.603 и включает:

- опытную эксплуатацию АСЗИ, ТС обнаружения и защиты от ПС ЭМВ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ОИ и отработки процедур защиты информации от уничтожения, искажения, блокирования;

- дополнительную наладку ТС обнаружения и защиты от ПС ЭМВ и доработку их ПО;

- оформление акта о завершении опытной эксплуатации.

5.3.3 Проведение приемочных испытаний автоматизированных систем в защищенном от преднамеренных силовых электромагнитных воздействий исполнении в составе объектов информатизации

5.3.3.1 Приемочные испытания АС в защищенном от ПС ЭМВ исполнении должны проводиться по результатам опытной эксплуатации.

5.3.3.2 Приемочные испытания проводятся в соответствии с ГОСТ 34.603 и включают:

- испытания на соответствие ТЗ согласно программе и методике испытаний;

- анализ результатов испытаний ТС обнаружения и защиты от ПС ЭМВ и устранение выявленных недостатков;

- оформление акта приемки АСЗИ в постоянную эксплуатацию.

5.3.3.3 По результатам предварительных испытаний АСЗИ представляется для аттестации по требованиям безопасности информации от угроз ПС ЭМВ.

5.3.4 Аттестация автоматизированных систем в защищенном от преднамеренных силовых электромагнитных воздействий исполнении в составе объектов информатизации

5.3.4.1 Аттестация АСЗИ в составе ОИ проводится в соответствии с требованиями соответствующего руководящего документа, утвержденного Гостехкомиссией России [2].

5.3.4.2 При проведении аттестации АСЗИ на предмет соответствия требованиям по защите информации от угроз уничтожения, искажения, блокирования оценивается:

- устойчивость АСЗИ по ГОСТ Р 52863 к ПС ЭМВ, реализуемым согласно МУ;

- эффективность защитных функций ОИ к угрозе ПС ЭМВ;

- наличие эксплуатационной, организационно-распорядительной и учетной документации по защите АСЗИ от ПС ЭМВ;

- способность и готовность персонала к действиям по защите АСЗИ от ПС ЭМВ.

5.3.4.3 По результатам аттестационных испытаний составляются протоколы, на основании которых формируется Заключение с краткой оценкой соответствия объекта требованиям по безопасности информации и выводом о возможности выдачи "Аттестата соответствия". Ввод АСЗИ в эксплуатацию осуществляется только при наличии "Аттестата соответствия".

6 Организация и содержание работ по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий при их эксплуатации

6.1 Общие положения по организации и содержанию работ по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий при их эксплуатации

Эксплуатация АС в защищенном от ПС ЭМВ исполнении осуществляется в соответствии с ГОСТ 51583 и включает:

- использование по назначению технических средств обнаружения и защиты от ПС ЭМВ;

- организационно-технические мероприятия на ОИ по защите АС от ПС ЭМВ;

- техническую эксплуатацию средств обнаружения и защиты от ПС ЭМВ;

- контроль защищенности АС от ПС ЭМВ.

6.2 Использование по назначению технических средств обнаружения и защиты от преднамеренных силовых электромагнитных воздействий

6.2.1 Эффективность использования ТС обнаружения и защиты от ПС ЭМВ по назначению должна достигаться:

- поддержанием их в постоянной готовности и бесперебойным функционированием в заданных режимах и временных интервалах;

- высоким уровнем профессиональной подготовки персонала, неукоснительным выполнением им правил эксплуатации ТС обнаружения и защиты, требований руководящих документов по защите АС от ПС ЭМВ, регулярным проведением организационно-технических мероприятий по защите;

- систематическим контролем защищенности АСЗИ от ПС ЭМВ должностными лицами ОИ и ведомства.

6.2.2 При аварийном отключении (прекращении функционирования) ТС обнаружения и защиты должны приниматься незамедлительные меры по недопущению снижения эффективности защиты АС от ПС ЭМВ.

6.2.3 Применение по назначению ТС обнаружения ПС ЭМВ осуществляется с целью контроля информационной безопасности АСЗИ в режиме непрерывного наблюдения электрической и электромагнитной обстановки на ОИ согласно порядка их размещения и инструкций по эксплуатации и получения первичной и/или полной информации об угрозе в зависимости от применяемых ТС обнаружения.

6.2.4 Использование по назначению ТС защиты от ПС ЭМВ осуществляется в согласовании с режимами функционирования АСЗИ и должно быть направлено на:

- снижение уровней ПС ЭМВ, блокирование ПС ЭВМ;

- перевод АСЗИ в безопасный режим функционирования по информации от средств обнаружения ПС ЭМВ.

6.2.5 Все события, связанные со срабатыванием ТС обнаружения и защиты от ПС ЭМВ должны фиксироваться в учетной документации.

6.3 Организационно-технические мероприятия на объекте информатизации по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий

6.3.1 Организационно-технические мероприятия по защите АС от ПС ЭМВ должны быть направлены на предупреждение, выявление признаков совершения ПС ЭМВ, оперативное реагирование, локализацию и ликвидацию последствий реализации угроз.

6.3.2 Организационно-технические мероприятия по защите АС от ПС ЭМВ проводятся во взаимодействии персонала ОИ и службы безопасности предприятия.

6.3.3 Предупреждение угроз ПС ЭМВ предусматривает создание условий, затрудняющих/исключающих их подготовку и совершение.

Организационно-технические меры предупреждения ЭМВ должны включать:

- обеспечение контроля доступа на ОИ;

- защиту информации об уязвимостях ОИ и АСЗИ;

- ограничение доступа к критически важным элементам ОИ (щиты электропитания, узлы кроссовых соединений и т.п.);

- выполнение ремонтных работ на ОИ под контролем службы безопасности.

6.3.4 Выявление угроз ПС ЭМВ предусматривает обнаружение признаков подготовки совершения ПС ЭМВ.

Организационно-технические меры выявления ПС ЭМВ должны включать:

- проведение анализа схем электроснабжения, внутренних и внешних линий связи ОИ, оборудования радиосвязи, линий охранно-пожарной сигнализации, металлоконструкций, а также инженерных систем ОИ для выявления возможных путей реализации ПС ЭМВ;

- организацию на ОИ периодического инструментального обследования линий электроснабжения, внутренних и внешних линий связи ОИ, оборудования радиосвязи, линий охранно-пожарной сигнализации, металлоконструкций, а также инженерных систем ОИ для выявления подключения ТС для ПС ЭМВ;

- организацию на ОИ круглосуточного мониторинга защиты информации от угроз уничтожения, искажения, блокирования посредством ПС ЭМВ по сети электропитания, линиям связи, металлоконструкций, эфиру.

6.3.5 Реагирование на ЭМВ предусматривает принятие мер, направленных на:

- блокирование/нейтрализацию источников силовых воздействий;

- оперативный перевод АСЗИ в безопасный режим функционирования.

6.3.6 Локализация и ликвидация последствий ПС ЭМВ предусматривает принятие мер, направленных на:

- ввод в действие резервных элементов АСЗИ;

- восстановление информации в элементах АСЗИ, подвергнутых ПС ЭМВ и их работоспособности после ПС ЭМВ.

6.4 Эксплуатация средств обнаружения и защиты от преднамеренных силовых электро магнитных воздействий

6.4.1 Эксплуатация средств обнаружения и защиты от ПС ЭМВ должна быть направлена на обеспечение их работоспособности и на поддержание постоянной готовности к применению по назначению.

6.4.2 Эксплуатация ТС обнаружения и защиты включает:

- постоянный и периодический контроль исходного состояния и функционирования ТС персоналом ОИ;

- гарантийное и послегарантийное (сервисное) обслуживание ТС организацией-поставщиком;

- техническое обслуживание ТС профильным подразделением службы безопасности предприятия;

- текущий, средний и капитальный ремонт ТС.

6.4.3 Учет мероприятий по эксплуатации средств обнаружения и защиты от ПС ЭМВ должен отражаться в формулярах на ТС.

6.5 Контроль защищенности автоматизированных систем от преднамеренных силовых электромагнитных воздействий

6.5.1 Контроль защищенности АСЗИ от ПС ЭМВ осуществляется с целью оценки соответствия мероприятий по защите требованиям по защите АС от данной угрозы.

6.5.2 Контроль защищенности АСЗИ осуществляется путем проведения следующих мероприятий:

- проверками функциональных свойств ТС обнаружения и защиты должностными лицами службы безопасности ОИ;

- плановых и неплановых проверок мероприятий по защите АС от ПС ЭМВ в целом комиссиями или лицами, назначаемыми контрольно-надзорным органом ведомства;

- аудиторской проверки информационной безопасности в организации.

6.5.3 Для проведения контроля защищенности должны использоваться специально разработанные на подведомственном уровне методы и ТС.

Библиография

[1] Строительные нормы и правила СНиП 11-01-95	Инструкция о порядке разработки, согласования, утверждения и составе проектной документации на строительство предприятий, зданий и сооружений
[2] Положение по аттестации объектов информатизации по требованиям безопасности информации (Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.)