ГОСТ Р 52863-2007
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Защита информации
АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ
ИСПЫТАНИЯ НА УСТОЙЧИВОСТЬ К ПРЕДНАМЕРЕННЫМ СИЛОВЫМ ЭЛЕКТРОМАГНИТНЫМ ВОЗДЕЙСТВИЯМ
Общие требования
Protection of information. Protective automatically systems. Testing for stability to intentional power electromagnetic influence. General requirements
ОКС 01.040.01
Дата введения 2008-07-01
1 РАЗРАБОТАН Санкт-Петербургским филиалом Федерального государственного унитарного предприятия "Научно-технический центр "Атлас" (СПбФ ФГУП "НТЦ "Атлас"), Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России"), Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт оптико-физических измерений" (ФГУП "ВНИИОФИ"), Объединенным институтом высоких температур РАН, Закрытым акционерным обществом "ЭМСОТЕХ" (ЗАО "ЭМСОТЕХ"), Федеральным государственным унитарным предприятием "Научно-исследовательский институт импульсной техники" (ФГУП НИИИТ), Федеральным государственным унитарным предприятием "Проектный институт" Федеральной службы безопасности Российской Федерации (ФГУП "Проектный институт" ФСБ России), Московским государственным институтом электроники и математики (МГИЭМ), Закрытым акционерным обществом "Научно-производственное объединение "ФИД-Техника" (ЗАО "НПО "ФИД-Техника")
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2007 г. N 515-ст
4 ВВЕДЕН ВПЕРВЫЕ
5 ПЕРЕИЗДАНИЕ. Июнь 2020 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Настоящий стандарт разработан в целях нормативного обеспечения испытаний автоматизированных систем в защищенном исполнении (АСЗИ) на воздействие преднамеренных силовых электромагнитных воздействий (ПД ЭМВ). Применительно к АСЗИ преднамеренные силовые электромагнитные воздействия рассмотрены как фактор угрозы информации в целях ее уничтожения, искажения или блокирования.
Преднамеренные силовые электромагнитные воздействия создают опасность для АСЗИ жизненно важных электронных систем - систем связи и управления, банковских систем, систем электроснабжения и других. Объектами электромагнитного воздействия могут являться информационные системы, системы физической защиты оборудования поддерживающей инфраструктуры, вспомогательное оборудование, системы электропитания, линии связи и т.д. Наибольший ущерб при ПД ЭМВ может быть нанесен объектам, у которых АСЗИ являются ядром системы с непрерывным процессом обработки потоков информации.
Под преднамеренным силовым электромагнитным воздействием понимают воздействие с применением излучателей электромагнитного поля, генераторов напряжения и тока путем генерирования в информационных системах электромагнитной энергии, уровень которой вызывает нарушение нормального функционирования технических и программных средств информационных систем.
Преднамеренные силовые электромагнитные воздействия могут быть осуществлены открыто или скрытно (замаскированными под действие электромагнитных помех), дистанционным (по эфиру) или контактным (по сети) способом и быть направлены на достижение сбоя, разрушение электронных систем и т.д.
Накопленный опыт исследований и испытаний элементов объектов информатизации на устойчивость к ПД ЭМВ показывает, что для обеспечения устойчивой работы АСЗИ необходимо принятие специальных организационно-технических мер. Требования к организации и содержанию работ по защите АСЗИ от ПД ЭМВ, к средствам защиты АСЗИ от ПД ЭМВ и к средствам их обнаружения устанавливаются соответствующими стандартами в данной области.
Настоящий стандарт устанавливает общие требования к АСЗИ по устойчивости к ПД ЭМВ, параметры испытательных воздействий, виды испытаний и степени их жесткости, методы и средства испытаний, определяет порядок проведения испытаний и критерии оценки качества функционирования АСЗИ.
Данные о параметрах преднамеренных силовых электромагнитных воздействий получены на основе обобщения результатов теоретических и экспериментальных исследований, проведения компьютерного моделирования типовых путей воздействия на типовые элементы АСЗИ с применением излучателей электромагнитного поля, генераторов напряжения или тока с учетом перспектив их развития.
В стандарте определены также требования к испытаниям ограждающих конструкций, систем контроля и управления доступом (СКУД) и требования к испытаниям программного обеспечения для АСЗИ.
Настоящий стандарт распространяется на автоматизированные системы в защищенном исполнении, предназначенные для защиты от преднамеренных воздействий на информацию в целях ее уничтожения, искажения или блокирования при разработке, изготовлении и эксплуатации таких систем.
Настоящий стандарт входит в комплекс стандартов "Информационная технология. Автоматизированные системы" и устанавливает дополнительные требования и положения в части создания и применения автоматизированных систем в защищенном от преднамеренных силовых электромагнитных воздействий исполнении.
Требования настоящего стандарта подлежат применению на территории Российской Федерации органами государственной власти, местного самоуправления, предприятиями и учреждениями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по статусу исполнять требования нормативно-правовых документов Российской Федерации по защите информации.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ 28195 Оценка качества программных средств. Общие положения
ГОСТ 30336 (МЭК 1000-4-9-93)/ГОСТ Р 50649-94 (МЭК 1000-4-9-93) Совместимость технических средств электромагнитная. Устойчивость к импульсному магнитному полю. Технические требования и методы испытаний
ГОСТ 30373/ГОСТ Р 50414-92 Совместимость технических средств электромагнитная. Оборудование для испытаний. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний
ГОСТ Р 50648 (МЭК 1000-4-8-93) Совместимость технических средств электромагнитная. Устойчивость к магнитному полю промышленной частоты. Технические требования и методы испытаний
ГОСТ Р 50652 (МЭК 1000-4-10-93) Совместимость технических средств электромагнитная. Устойчивость к затухающему колебательному магнитному полю. Технические требования и методы испытаний
ГОСТ Р 51113 Средства защитные банковские. Требования по устойчивости к взлому и методы испытаний
ГОСТ Р 51241 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний
ГОСТ Р 51317.4.4 (МЭК 61000-4-4-2004) Совместимость технических средств электромагнитная. Устойчивость к наносекундным импульсным помехам. Требования и методы испытаний
________________
Действует ГОСТ 30804.4.4-2013.
ГОСТ Р 51317.4.5 (МЭК 61000-4-5-95) Совместимость технических средств электромагнитная. Устойчивость к микросекундным импульсным помехам большой энергии. Требования и методы испытаний
ГОСТ Р 51317.4.11 (МЭК 61000-4-11:2004) Совместимость технических средств электромагнитная. Устойчивость к провалам, кратковременным прерываниям и изменениям напряжения электропитания. Требования и методы испытаний
________________
Действует ГОСТ 30804.4.11-2013.
ГОСТ Р 51318.24 (СИСПР 24-97) Совместимость технических средств электромагнитная. Устойчивость оборудования информационных технологий к электромагнитным помехам. Требования и методы испытаний
________________
Действует ГОСТ CISPR 24-2013.
ГОСТ Р ИСО/МЭК 12119 Информационная технология. Пакеты программ. Требования к качеству и тестирование
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3.1 В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1.1
безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечиваются ее [их] конфиденциальность, доступность и целостность. [ГОСТ Р 50922, статья 2.4.5] |
3.1.2 целостность информации: Состояние защищенности информации, характеризуемое способностью автоматизированной системы обеспечивать сохранность и неизменность информации при попытках несанкционированных воздействий на нее в процессе обработки или хранения.
3.1.3
защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного воздействия, и (или) воздействия различной физической природы, осуществляемого в террористических или криминальных целях. [ГОСТ Р 50922, статья 2.3.7] |
3.1.4
преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем. [ГОСТ Р 50922, статья 2.6.7] |
3.1.5
фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которых могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней. [ГОСТ Р 50922, статья 2.6.2] |
3.1.6 искажение, уничтожение или блокирование информации с применением технических средств преднамеренного силового электромагнитного воздействия: Искажение, уничтожение или блокирование информации путем преднамеренного силового электромагнитного воздействия:
- по сети электропитания на порты электропитания постоянного и переменного тока;
- по проводным линиям связи на порты ввода - вывода сигналов и порты связи;
- по металлоконструкциям на порты заземления и порты корпуса;
- посредством электромагнитного быстроизменяющегося поля на порты корпуса, порты ввода - вывода сигналов и порты связи.
3.1.7 порт: Граница между техническим средством объекта информатизации и внешней электромагнитной средой (разъем, зажим, клемма, корпус и т.п.).
Примечание - Термин "порт" относится не только к отдельному техническому средству, но и к объектам информатизации, в которых размещены АСЗИ (см. рисунок 1).
Рисунок 1
3.1.8
объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров. [ГОСТ Р 51275, статья 3.1] |
Примечание - Под объектом информатизации понимают совокупность информационных ресурсов, средств и систем обработки информации, объединенных в автоматизированной системе в защищенном исполнении (АСЗИ); здания, сооружения, внутри которых в пределах контролируемой зоны находятся АСЗИ и инженерные системы (кабели, щиты, шкафы с оборудованием и т.п.), необходимые для обеспечения функционирования АСЗИ.