ГОСТ Р 56103-2014
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Защита информации
АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. ОРГАНИЗАЦИЯ И СОДЕРЖАНИЕ РАБОТ ПО ЗАЩИТЕ ОТ ПРЕДНАМЕРЕННЫХ СИЛОВЫХ ЭЛЕКТРОМАГНИТНЫХ ВОЗДЕЙСТВИЙ
Общие положения
Information protection. Protected operational systems. Organization and content of operations on the protection against purposeful powerful electromagnetic impacts. General requirements
ОКС 35.020
Дата введения 2015-07-01
1 РАЗРАБОТАН Федеральным автономным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФАУ "ГНИИИ ПТЗИ ФСТЭК России"), Федеральным государственным унитарным предприятием "ЦентрИнформ" (ФГУП "ЦентрИнформ"), Институтом теплофизики экстремальных состояний, Объединенным институтом высоких температур РАН (ОИВТ РАН)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 сентября 2014 г. N 1046-ст
4 ВВЕДЕН ВПЕРВЫЕ
5 ПЕРЕИЗДАНИЕ. Октябрь 2018 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Настоящий стандарт устанавливает общие положения по организации и содержанию работ по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий.
Требования настоящего стандарта подлежат применению на территории Российской Федерации органами государственной власти, местного самоуправления, предприятиями и учреждениями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства, либо обязанными по статусу исполнять требования нормативно-правовых документов Российской Федерации по защите информации.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ 2.120 Единая система конструкторской документации. Технический проект
ГОСТ 34.602 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированных систем
ГОСТ 34.603 Информационная технология. Виды испытаний автоматизированных систем
ГОСТ Р 50922 Защита информации. Основные термины и определения
ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
ГОСТ Р 51583 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
ГОСТ Р 52863-2007 Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3.1 В настоящем стандарте применены термины по ГОСТ Р 50922, ГОСТ Р 51583, ГОСТ Р 52862, а также следующий термин с соответствующим определением:
3.1.1
объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров. [ГОСТ Р 51275-2006, статья 3.1] |
3.2 В настоящем стандарте применены следующие сокращения:
АС - автоматизированная система;
АСЗИ - автоматизированная система в защищенном исполнении;
КЗ - контролируемая зона;
МН - модель нарушителя;
МУ - модель угроз;
ОИ - объект информатизации;
ОЭ - оценка эффективности;
ПО - программное обеспечение;
ПЭМИН - побочные электромагнитные излучения и наводки;
СЗИ - система защиты информации;
ТЗ - техническое задание;
ТС - техническое средство;
ЧТЗ - частное техническое задание;
ЭМВ - электромагнитное воздействие;
ПС ЭМВ - преднамеренное силовое электромагнитное воздействие.
4.1 Работы по защите АС от ПС ЭМВ, входящих в классификацию и перечень факторов, воздействующих на информацию согласно ГОСТ Р 51275, являются составной частью комплекса работ, выполняемых согласно ГОСТ Р 51583.
Особенностями организации работ по защите АС от ПС ЭМВ являются:
- проведение их в согласовании с работами по построению системы охраны (физической защиты) объекта, на котором эксплуатируется АС;
- ориентация на решение задач защиты АС от ПС ЭМВ на этапе эксплуатации в составе комплексной системы обеспечения безопасности объекта.
Особенности содержания работ по защите АС от ПС ЭМВ обусловлены:
- особенностями параметров ПС ЭМВ, физических явлений, происходящих при их воздействии на АС, видов деструктивных нарушений их функционирования и уровнями устойчивости АС;
- особенностями тактики применения ТС ПС ЭМВ и способов защиты АС от них;
- конструктивными особенностями построения и способами применения средств защиты АС от ПС ЭМВ;
- особенностями методического аппарата, применяемого для категорирования АС с целью задания требований к уровню защищенности от ПС ЭМВ и оценки эффективности защиты;
- спецификой мероприятий по защите АС от ПС ЭМВ и их рациональными сочетаниями;
- особенностями видов деятельности, осуществляемых под управлением АС, и последствиями, к которым приводит нарушение их функционирования в результате ПС ЭМВ;
- особенностями проведения испытаний АС на устойчивость к ПС ЭМВ.
4.2 Необходимость защиты АС от ПС ЭМВ обусловлена:
- существованием разнообразных видов ПС ЭМВ, осуществляемых на АС по цепям электропитания, линиям связи, металлоконструкциям, посредством электромагнитного быстроменяющегося поля, деструктивное воздействие которых может привести к искажению, уничтожению или блокированию информации. Общая классификация ПС ЭМВ приведена в таблице А.1 (приложение А);
- наличием и доступностью приобретения/изготовления технических средств - источников ПС ЭВМ, имеющих высокую эффективность применения за счет компактности исполнения и мобильности, дистанционности использования, маскировки под действие электромагнитных помех и т.д.
- значительностью функциональных нарушений штатной деятельности ТС АС при оказании на них ПС ЭМВ.
4.3 Мероприятиями по защите информации в АС от ПС ЭМВ являются:
- повышение устойчивости АС к ПС ЭМВ, обеспечиваемое ее соответствием требованиям ГОСТ Р 52863;
- снижение уровней ПС ЭМВ, на портах АС, обеспечиваемое применением защитных средств и технологий;
- своевременное получение информации о ПС ЭМВ на АС, обеспечиваемое применением средств обнаружения ПС ЭМВ;
- своевременное реагирование на ПС ЭМВ, обеспечиваемое оперативным переводом АС в безопасные режимы функционирования средствами защиты;
- организационно-технические меры, направленные на предупреждение ПС ЭМВ и своевременное выявление их источников, исключающие (затрудняющие) их доставку в места применения.
4.4 Уровень защищенности АС от ПС ЭМВ, а также состав и эффективность обеспечивающих его мер защиты должны определяться дифференцированно с учетом соотношения затрат на защиту и размеров ущерба, который может быть нанесен путем ПС ЭМВ на АС.
4.5 Защита АС от ПС ЭМВ достигается:
- реализацией необходимых мероприятий по защите информации от ПС ЭМВ при создании АСЗИ и их размещении на ОИ;
- выполнением функций защиты от ПС ЭМВ при эксплуатации АСЗИ.
4.6 При создании АСЗИ с целью построения защиты от ПС ЭМВ проводятся следующие работы:
- разработка проектных решений защиты АС;
- реализация проектных решений защиты АС;
- ввод в действие АС в защищенном от ПС ЭМВ исполнении.
4.7 При эксплуатации АСЗИ для защиты от ПС ЭМВ проводятся следующие работы:
- использование по назначению технических средств обнаружения ПС ЭМВ и ТС защиты от ПС ЭМВ;
- выполнение организационно-технических мероприятий по защите АС от ПС ЭМВ на ОИ;
- техническая эксплуатация средств обнаружения ПС ЭМВ и ТС защиты от ПС ЭМВ;
- контроль защищенности АС от ПС ЭМВ.
4.8 Работы по построению системы защиты АС от ПС ЭМВ должны проводиться во взаимодействии следующих организаций и органов:
- организации/учреждения-пользователя АСЗИ, являющейся заказчиком работ;
- специализированной организации, являющейся исполнителем работ в части разработки проектных решений защиты;
- проектной организации, организаций-поставщиков АСЗИ, средств обнаружения и защиты от преднамеренных силовых электромагнитных воздействий, строительных и монтажных организаций, являющихся исполнителями работ в части реализации проектных решений защиты АС на ОИ;
- экспертной организации, выполняющей экспертно-аттестационные функции;