ГОСТ Р 53115-2008

Группа Т00

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

ИСПЫТАНИЕ ТЕХНИЧЕСКИХ СРЕДСТВ ОБРАБОТКИ ИНФОРМАЦИИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ЗАЩИЩЕННОСТИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

Методы и средства

Information protection. Conformance testing of technical information processing facilities to unauthorized access protection requirements. Methods and techniques

ОКС 35.040

Дата введения 2009-10-01

Предисловие

1 РАЗРАБОТАН Федеральным государственным учреждением "32 Государственный научно-исследовательский испытательный институт Минобороны России" (ФГУ "32 ГНИИИ Минобороны России"), Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России")

2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 534-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Октябрь 2018 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

     1 Область применения

Настоящий стандарт распространяется на технические средства обработки информации и устанавливает методы их испытаний на соответствие требованиям защищенности от несанкционированного доступа в полосе частот от 200 Гц до 37,5 ГГц.

     2 Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие стандарты:

ГОСТ 30372 (IEC 60050-161:1990) Совместимость технических средств электромагнитная. Термины и определения

ГОСТ 30805.22 (CISPR 22:2006) Совместимость технических средств электромагнитная. Оборудование информационных технологий. Радиопомехи индустриальные. Нормы и методы измерений

ГОСТ Р 8.568 Государственная система обеспечения единства измерений. Аттестация испытательного оборудования. Основные положения

ГОСТ Р 50414 Совместимость технических средств электромагнитная. Оборудование для испытаний. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний

ГОСТ Р 51317.4.6 (МЭК 61000-4-6-96) Совместимость технических средств электромагнитная. Устойчивость к кондуктивным помехам, наведенным радиочастотными электромагнитными полями. Требования и методы испытаний

ГОСТ Р 51319 Совместимость технических средств электромагнитная. Приборы для измерения индустриальных радиопомех. Технические требования и методы испытаний

ГОСТ Р 53112-2008 Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний.

ГОСТ Р 55055 Радиопомехи индустриальные. Термины и определения

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ 14777, ГОСТ 30372, а также следующие термины с соответствующими определениями:

3.1 оборудование информационных технологий; ОИТ: Любое оборудование, выполняющее основную функцию, связанную с вводом, хранением, отображением, поиском, передачей, обработкой, коммутацией или управлением данных и сообщений связи, которое при этом может быть снабжено одним или несколькими портами, используемыми обычно для передачи информации и с номинальным напряжением питания не более 600 В.

Примечание - Оборудование информационных технологий может включать в себя оборудование обработки данных, офисные машины, электронное оборудование для делопроизводства и оборудование связи.

3.2 испытуемое оборудование; ИО: Отдельно применяемое оборудование информационных технологий или функционально взаимодействующая группа оборудования информационных технологий (система), которая включает в себя один или несколько основных блоков и используется для целей испытаний.

3.3 основной блок: Часть системы оборудования информационных технологий или блок, конструкция которого обеспечивает механическое размещение модулей, которые могут содержать источники радиочастотных сигналов и обеспечивать распределение напряжений электропитания для других оборудований информационных технологий.

Примечание - Распределение электропитания между основным блоком (блоками) и модулями или другими оборудованиями информационных технологий может осуществляться по постоянному току, по переменному току или одновременно по обоим.

3.4 модуль: Часть оборудования информационных технологий, выполняющая определенную функцию и имеющая источники радиочастотных сигналов.

3.5 идентичные модули и оборудование информационных технологий; идентичные модули и ОИТ: Модули и оборудование информационных технологий, изготовленные в значительном числе по единым техническим требованиям и в пределах установленных производственных допусков.

3.6 порты связи: Порты, предназначенные для подключения оборудования информационных технологий к сетям связи.

Примечание - В качестве сетей связи могут быть использованы общественные коммутируемые сети проводной связи, цифровые сети общего пользования, локальные сети и аналогичные сети связи.

3.7 порт: Граница между оборудованием информационных технологий и внешней электромагнитной средой.

Примечание - В качестве внешней электромагнитной среды могут использоваться: зажим, разъем, клемма, стык связи и т.п.

3.8 затухание продольного перехода; ЗПП: Отношение значения общего несимметричного напряжения побочного электромагнитного излучения и наводок, возникающего на портах связи из симметричного напряжения полезного сигнала в линии связи, к значению этого симметричного напряжения сигнала при измерении в регламентированных условиях.

3.9 низковольтная распределительная электрическая сеть: Низковольтная распределительная электрическая сеть энергоснабжающей организации (электрическая сеть общего назначения) или низковольтная электрическая сеть потребителя электрической энергии, предназначенная для питания различных приемников электрической энергии в местах их размещения.

     4 Общие условия испытаний

     4.1 Конфигурация испытуемого оборудования

4.1.1 Конфигурация ИО, его расположение, установка и порядок включения должны соответствовать типовому применению ОИТ.

4.1.2 Соединительные кабели (нагрузки, оборудование, связанное с ИО) подключают, по крайней мере, к одному из портов ИО. В качестве оборудования, связанного с ИО, используют устройства, типичные для реальных условий применения ИО.

4.1.3 При наличии значительного числа идентичных портов ИО может потребоваться подключение дополнительных соединительных кабелей (нагрузок, образцов оборудования, связанного с ИО). Число дополнительно подключаемых кабелей (нагрузок, образцов оборудования, связанного с ИО) определяют из условия, что подключение другого кабеля не уменьшает разность между нормой и измеренным уровнем помех более чем на 2 дБ.

4.1.4 В протоколе испытаний должно быть приведено обоснование выбора конфигурации ИО и нагрузки портов.

4.1.5 Типы и длины соединительных кабелей должны соответствовать установленным в технической документации на ОИТ. Если длина кабелей может меняться, то она должна быть такой, чтобы уровень побочного электромагнитного излучения и наводок (ПЭМИН) был максимальным. Если для обеспечения соответствия нормам во время испытаний используют экранированные или специальные кабели, то в эксплуатационные документы должно быть включено соответствующее указание об использовании таких кабелей.

4.1.6 При избыточной длине кабель укладывают в связку длиной от 30 до 40 см, располагаемую в середине кабеля. Если это неосуществимо на практике из-за размеров кабеля или его жесткости, или потому, что испытания проводятся на месте установки, расположение избыточного кабеля должно быть точно отражено в протоколе испытаний. Если имеется значительное число однотипных портов связи, то кабель подключают только к одному из портов каждого типа при условии, что может быть показано отсутствие существенного влияния дополнительно подключенных кабелей на результаты испытаний.

4.1.7 Для обеспечения воспроизводимости любые результаты испытаний сопровождают детальным описанием расположения соединительных кабелей и оборудования. Если для обеспечения соответствия нормам, установленным в соответствии с требованиями технической документации на конкретный тип средства, требуются определенные условия использования ОИТ, то эти условия должны быть установлены и отражены в протоколе испытаний, например, в части длин и типов кабелей, экранирования и заземления. Эти условия должны быть включены в эксплуатационные документы.

4.1.8 Оборудование, включающее в себя большое число модулей (выдвижные панели, съемные платы, печатные платы и т.п.), при проведении испытаний комплектуют набором определенного числа модулей, типичных для реальных условий применения ИО. Число других модулей должно ограничиваться условием, что добавление другой печатной или съемной платы не приведет к уменьшению разности между нормой и измеренным уровнем ПЭМИН более чем на 2 дБ. В протоколе испытаний должно быть приведено обоснование выбора числа и типов модулей.

4.1.9 Систему, состоящую из ряда отдельных блоков, формируют так, чтобы используемая конфигурация оборудования соответствовала типовому применению ОИТ, была минимальной и характерной. В протоколе испытаний должно быть приведено обоснование выбора блоков.

4.1.10 В каждом ОИТ при испытаниях допускается использовать один модуль каждого типа. В ИО, представляющее собой систему, включают одно ОИТ каждого типа, которое может входить в возможную конфигурацию системы.

4.1.11 Оборудование, представляющее собой часть системы, распределенной на значительной площади (терминалы обработки данных, автоматизированные рабочие места операторов, автоматические телефонные станции пользователей сети связи и т.п.), которое может являться подсистемой, испытывают независимо от основного блока или системы. Распределенные сети связи, например, местные сети, могут моделироваться на измерительной площадке с применением отрезков кабеля и периферийных устройств, применяемых в реальных условиях, или имитаторов сети связи, расположенных на расстояниях, при которых отсутствует увеличение измеряемого уровня ПЭМИН.

4.1.12 Результаты оценки ИО, имеющего один модуль или одно ОИТ каждого типа, могут быть применены к конфигурациям, имеющим более одного такого модуля или ОИТ, что допустимо, так как практически подтверждено, что уровни ПЭМИН при использовании идентичных модулей или идентичных ОИТ обычно не возрастают.

4.1.13 Для ИО, функционально связанного с другим ОИТ, включая оборудование, связанное с основным блоком в части распределения напряжения электропитания, используют реальное взаимодействующее ОИТ либо имитаторы, обеспечивающие условия функционирования ИО. Если ИО разработано в качестве основного блока для другого ОИТ, то может потребоваться подсоединение указанного ОИТ для обеспечения нормальных условий работы основного блока.

4.1.14 Имитатор, используемый вместо реального оборудования, должен иметь электрические и, в необходимых случаях, механические характеристики взаимодействующего ОИТ, особенно в части радиочастотных сигналов и полных сопротивлений, что позволяет считать результаты измерений для отдельного ОИТ справедливыми для системы при объединении с другим аналогичным ОИТ, включая оборудование, произведенное и испытанное различными изготовителями.

4.1.15 Сборки изготавливаемых отдельно печатных плат, используемых для расширения возможности различных основных блоков ОИТ (например, интерфейсы цифровых сетей связи, центральный процессор, платы адаптеров и т.п.), испытывают при их установке, по крайней мере, в одном характерном основном блоке по выбору изготовителя сборок, что позволяет гарантировать соответствие сборок элементам основных блоков ОИТ, в которых предполагается установить эти сборки. Основной блок должен быть типичным образцом изготовляемой продукции.

     4.2 Функционирование испытуемого оборудования

4.2.1 ИО должно функционировать при напряжении электропитания, равном номинальному или находящемся в установленных для ИО пределах, и при типовой нагрузке (механической или электрической), для которой ИО было сконструировано. При испытаниях применяют, по возможности, реальные нагрузки. При использовании имитатора он должен представлять реальную нагрузку в отношении радиочастотных и функциональных характеристик.

4.2.2 Испытательные программы или другие средства проверки ИО должны обеспечивать испытания различных элементов системы так, чтобы были обнаружены все ПЭМИН, создаваемые ОИТ. Например, режимы функционирования дисководов и лентопротяжных устройств компьютерной системы при испытаниях должны включать в себя следующую последовательность: считывание - запись - стирание и предусматривать адресование к различным участкам памяти. При испытаниях должны быть выполнены все виды механических действий, предусмотренных технической документацией на ОИТ.

4.2.3 В начале испытаний определяют частоту, на которой наблюдаются наибольшие ПЭМИН по отношению к норме, при типичных конфигурациях системы в обычных режимах функционирования ИО и характерных положениях соединительных кабелей. Определение частот, на которых уровни ПЭМИН являются максимальными по отношению к норме, проводят измерением уровней ПЭМИН на ряде основных частот с тем, чтобы удостовериться в выборе наиболее вероятных частот, соответствующих максимальным уровням ПЭМИН, при условии, что установлены соответствующие положения соединительных кабелей, конфигурация системы и режимы функционирования ИО.

4.2.4 Для проведения начальных испытаний оборудование размещают и расстояния между испытуемым оборудованием и оборудованием, связанным с ИО (периферийными устройствами), устанавливают в соответствии с рисунками 1-14.

Примечание - Объем над землей должен быть свободным от отражающих объектов.

Рисунок 1 - Размеры рабочей зоны измерительной площадки

Примечание - Внутри объема, ограниченного на поверхности земли линией, указанной на рисунке, а по высоте - горизонтальной плоскостью, расположенной на высоте не менее 3 м над самым высоким элементом измерительной антенны или ИО, не должно быть отражающего объекта.

Рисунок 2 - Минимальные размеры измерительной площадки