Товары в корзине: 0 шт Оформить заказ
Стр. 1 

20 страниц

396.00 ₽

Купить ГОСТ Р 56103-2014 — бумажный документ с голограммой и синими печатями. подробнее

Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

  • Срочная курьерская доставка (1-3 дня)
  • Курьерская доставка (7 дней)
  • Самовывоз из московского офиса
  • Почта РФ

Устанавливает общие положения по организации и содержанию работ по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий. Требования стандарта подлежат применению на территории Российской Федерации органами государственной власти, местного самоуправления, предприятиями и учреждениями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства, либо обязанными по статусу исполнять требования нормативно-правовых документов Российской Федерации по защите информации.

 Скачать PDF

Оглавление

1 Область применения

2 Нормативные ссылки

3 Термины, определения и сокращения

4 Общие положения по организации и содержанию работ по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий

5 Организация и содержание работ по построению системы защиты от преднамеренных силовых электромагнитных воздействий при создании автоматизированных систем в защищенном исполнении

6 Организация и содержание работ по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий при их эксплуатации

Приложение А (рекомендуемое) Классификация преднамеренных силовых электромагнитных воздействий

Приложение Б (рекомендуемое) Состав информации, определяемой при обследовании автоматизированных систем в составе объектов информатизации

Приложение В (обязательное) Форма сводной таблицы угроз преднамеренных силовых электромагнитных воздействий

Приложение Г (обязательное) Типовая форма раздела формуляра (технического паспорта) автоматизированной системы в защищенном исполнении в составе объектов информатизации по защите от преднамеренных силовых электромагнитных воздействий

Библиография

 
Дата введения01.07.2015
Добавлен в базу21.05.2015
Актуализация01.01.2019

Этот ГОСТ находится в:

Организации:

10.09.2014УтвержденФедеральное агентство по техническому регулированию и метрологии1046-ст
ИзданСтандартинформ2015 г.
РазработанОИВТ РАН
РазработанФГУП ЦентрИнформ
РазработанФАУ ГНИИИ ПТЗИ ФСТЭК России

Information protection. Protected operational systems. Organization and content of operations on the protection against purposeful powerful electromagnetic impacts. General requirements

Нормативные ссылки:
Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20

ГОСТР

56103—

2014

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

Защита информации

АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ ОРГАНИЗАЦИЯ И СОДЕРЖАНИЕ РАБОТ ПО ЗАЩИТЕ ОТ ПРЕДНАМЕРЕННЫХ СИЛОВЫХ ЭЛЕКТРОМАГНИТНЫХ ВОЗДЕЙСТВИЙ

Общие положения

Издание официальное


Предисловие

1    РАЗРАБОТАН Федеральным автономным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФАУ «ГНИИИ ПТЗИ ФСТЭК России»), Федеральным государственным унитарным предприятием «ЦентрИнформ» (ФГУП «ЦентрИнформ»), Институтом теплофизики экстремальных состояний, Объединенным институтом высоких температур РАН (ОИВТ РАН)

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 сентября 2014 г, Ne 1046-ст

4    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты». а официальный текст изменений и поправок - в ежемесячном информационном указателе а Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя «Национальные стандарты» Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

© Стандартинформ. 2015

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ P 56103—2014

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ ОРГАНИЗАЦИЯ И СОДЕРЖАНИЕ РАБОТ ПО ЗАЩИТЕ ОТ ПРЕДНАМЕРЕННЫХ СИЛОВЫХ ЭЛЕКТРОМАГНИТНЫХ ВОЗДЕЙСТВИЙ

Общие положения

Information protection.

Protected operational systems Organization and content of operations on the protection against purposeful powerful electromagnetic impacts General requirements

Дата введения — 2015—07—01

1    Область применения

Настоящий стандарт устанавливает общие положения по организации и содержанию работ по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий.

Требования настоящего стандарта подлежат применению на территории Российской Федерации органами государственной власти, местного самоуправления, предприятиями и учреждениями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства, либо обязанными по статусу исполнять требования нормативно-правовых документов Российской Федерации по защите информации.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 2.120-73 Единая система конструкторской документации. Технический проект ГОСТ 34 602-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированных систем

ГОСТ 34.603-92 Информационная технология. Виды испытаний автоматизированных систем ГОСТ Р 50922-2006 Защита информации. Основные термины и определения ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения

ГОСТ Р 51624-2000 Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования

ГОСТ Р 52863-2007 Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям Общие требования

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия) Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку

Издание официальное

3 Термины, определения и сокращения

3.1    В настоящем стандарте применены термины по ГОСТ Р 50922, ГОСТ Р 51583. ГОСТ Р 52862, а также спедующий термин с соответствующим опредепением:

3.1.1

объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для веде-ния конфиденциальных переговоров.

(ГОСТ Р 51275, статья 3.1)

3.2 В настоящем стандарте применены следующие сокращения:

АС - автоматизированная система;

АСЗИ - автоматизированная система в защищенном исполнении:

КЗ - контролируемая зона;

МН - модель нарушителя;

МУ - модель угроз;

ОИ - объект информатизации;

03    - оценка эффективности:

ПО - программное обеспечение;

ПЭМИН - побочные электромагнитные излучения и наводки;

СЗИ - система защиты информации;

ТЗ - техническое задание;

ТС - техническое средство;

ЧТЗ - частное техническое задание;

ЭМВ - электромагнитное воздействие;

ПС ЭМВ - преднамеренное силовое электромагнитное воздействие.

4    Общие положения по организации и содержанию работ по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий

4.1 Работы по защите АС от ПС ЭМВ. входящих в классификацию и перечень факторов, воздействующих на информацию согласно ГОСТ Р 51275, являются составной частью комплекса работ, выполняемых согласно ГОСТ Р 51583 и ГОСТ Р 51624.

Особенностями организации работ по защите АС от ПС ЭМВ являются:

-    проведение их в согласовании с работами по построению системы охраны (физической защиты) объекта, на котором эксплуатируется АС;

-    ориентация на решение задач защиты АС от ПС ЭМВ на этапе эксплуатации в составе комплексной системы обеспечения безопасности объекта.

Особенности содержания работ по защите АС от ПС ЭМВ обусловлены:

-    особенностями параметров ПС ЭМВ. физических явлений, происходящих при их воздействии на АС, видов деструктивных нарушений их функционирования и уровнями устойчивости АС;

-    особенностями тактики применения ТС ПС ЭМВ и способов защиты АС от них;

-    конструктивными особенностями построения и способами применения средств защиты АС от ПС ЭМВ;

-    особенностями методического аппарата, применяемого дпя категорирования АС с цепью задания требований к уровню защищенности от ПС ЭМВ и оценки эффективности защиты:

-    спецификой мероприятий по защите АС от ПС ЭМВ и их рационапьными сочетаниями;

-    особенностями видов деятельности, осуществляемых под управлением АС. и последствиями, к которым приводит нарушение их функционирования в результате ПС ЭМВ;

-    особенностями проведения испытаний АС на устойчивость к ПС ЭМВ.

4 2 Необходимость защиты АС от ПС ЭМВ обусловлена:

-    существованием разнообразных видов ПД ЭМВ. осуществляемых на АС по цепям электропитания, линиям связи, металлоконструкциям, посредством электромагнитного быстроменяющегося поля, деструктивное воздействие которых может привести к искажению, уничтожению или блокированию информации. Общая классификация ПС ЭМВ приведена в таблице А.1 (приложение А);

ГОСТ P 56103—2014

-    наличием и доступностью приобретения/изготовления технических средств - источников ПС ЭВМ. имеющих высокую эффективность применения за счет компактности исполнения и мобильности. дистанционности использования, маскировки под действие электромагнитных помех и т.д.

-    значительностью функциональных нарушений штатной деятельности ТС АС при оказании на них ПС ЭМВ.

4.3    Мероприятиями по защите информации в АС от ПС ЭМВ являются:

-    повышение устойчивости АС к ПС ЭМВ. обеспечиваемое ее соответствием требованиям ГОСТ Р 52863:

-    снижение уровней ПС ЭМВ. на портах АС. обеспечиваемое применением защитных средств и технологий;

-    своевременное получение информации о ПС ЭМВ на АС. обеспечиваемое применением средств обнаружения ПС ЭМВ:

-    своевременное реагирование на ПС ЭМВ. обеспечиваемое оперативным переводом АС в безопасные режимы функционирования средствами защиты;

-    организационно-технические меры, направленные на предупреждение ПС ЭМВ и своевременное выявление их источников, исключающие (затрудняющие) их доставку в места применения.

4.4    Уровень защищенности АС от ПС ЭМВ. а также состав и эффективность обеспечивающих его мер защиты должны определяться дифференцированно с учетом соотношения затрат на защиту и размеров ущерба, который может быть нанесен путем ПС ЭМВ на АС.

4.5    Защита АС от ПС ЭМВ достигается:

• реализацией необходимых мероприятий по защите информации от ПС ЭМВ при создании АСЗИ и их размещении на ОИ;

-    выполнением функций защиты от ПС ЭМВ при эксплуатации АСЗИ.

4.6    При создании АСЗИ с целью построения защиты от ПС ЭМВ проводятся следующие работы:

-    разработка проектных решений защиты АС:

-    реализация проектных решений защиты АС;

-    ввод в действие АС в защищенном от ПС ЭМВ исполнении.

4.7    При эксплуатации АСЗИ для защиты от ПС ЭМВ проводятся следующие работы:

-    использование по назначению технических средств обнаружения ПС ЭМВ и ТС защиты от ПС

ЭМВ:

-    выполнение организационно-технических мероприятий по защите АС от ПС ЭМВ на ОИ;

-    техническая эксплуатация средств обнаружения ПС ЭМВ и ТС защиты от ПС ЭМВ;

-    контроль защищенности АС от ПС ЭМВ

4 8 Работы по построению системы защиты АС от ПС ЭМВ должны проводиться во взаимодействии следующих организаций и органов:

-    организации/учреждения-пользователя АСЗИ. являющейся заказчиком работ;

-специализированной организации, являющейся исполнителем работ в части разработки проектных решений защиты;

-    проектной организации, организаций-поставщиков АСЗИ. средств обнаружения и защиты от преднамеренных силовых электромагнитных воздействий, строительных и монтажных организаций, являющихся исполнителями работ в части реализации проектных решений защиты АС на ОИ:

-    экспертной организации, выполняющей экспертно-аттестационные функции;

-    контрольно-надзорного органа ведомства, в состав которого входит организация-пользователь АСЗИ;

4.9    Функциями заказчика работ по защите АС от ПС ЭМВ являются:

-    предоставление исходных данных исполнителям;

-    участие в разработке МУ. в системной проработке проектных решений, разработке, согласовании и утверждении ТЗ на создание системы защиты от ПС ЭМВ. в организации проведения приемосдаточных испытаний;

-    разработка организационно-распорядительной документации по защите АС от ПС ЭМВ;

-    согласование правил пользования и инструкций по эксплуатации программно-технических средств защиты от ПС ЭМВ и других эксплуатационных документов.

4.10    Специализированной организацией является организация, уполномоченная контрольнонадзорным органом ведомства на проведение работ в области защиты от ПС ЭМВ.

4.11    Функциями специализированной организации являются:

-    выполнение комплекса предпроектных работ, включая разработку МУ. проведение обследования АС в составе ОИ, системную проработку проектных решений в виде концепции защиты, разработку ТЗ на систему защиты от ПС ЭМВ;

-    научно-техническое сопровождение проектных и монтажных работ;

3

-    проведение испытаний АС по ГОСТ Р 52863;

-    участие в проведении приемо-сдаточных испытаний системы защиты АС от ПС ЭМВ, проведение оценки ее эффективности;

-    подготовка пакета документов дпя аттестации АС в защищенном испопнении;

-    плановая проверка защитных свойств (тестирование) эксппуатируемых АСЗИ в составе ОИ. а также цепевая проверка при изменениях его инфраструктуры, состава и размещения основного и вспомогатепьного оборудования, и при изменении МУ ПС ЭМВ.

4.12 Проектной организацией по выпопнению работ, связанных с защитой АС в составе ОИ от ПС ЭМВ. явпяется упопномоченная контропьно-надзорным органом организация, специализирую-щаяся в обпасти проектирования АСЗИ и ОИ и имеющая пицензии на проведение работ по защите информации.

4 13 Функциями проектной организации явпяется выпопнение комппекса работ по разработке проектных решений защиты АС от ПС ЭМВ в виде рабочей документации с привязкой к ОИ.

4.14    Организациями - поставщиками АСЗИ. средств обнаружения и защиты от ПС ЭМВ являют-ся организации, упопномоченные/признанные контрольно-надзорным органом и имеющие лицензии на разработку, изготовление и ремонт данных ТС.

4.15    Функциями организаций-поставщиков АСЗИ. средств обнаружения и защиты от ПС ЭМВ являются:

-    разработка, изготовление и поставка программных и ТС соответствующего назначения согласно ТЗ и удовлетворяющих требованиям ГОСТ Р 52863, а также проведение их сервисного обслуживания и ремонта:

-    разработка эксплуатационной документации на поставляемые ТС.

4.16    Монтажной организацией по выполнению работ, связанных с защитой АС от ПС ЭМВ является организация, специализирующаяся в монтаже, пуске и наладке АСЗИ. средств обнаружения и защиты от ПС ЭМВ. либо другая внешняя организация указанного профиля, имеющая лицензии на проведения данных работ и полномочия/одобрения контрольно-надзорного органа.

4.17    Контрольно-надзорный орган формируется на ведомственном уровне на базе подразделения. разрабатывающего и контролирующего выполнение требований по безопасности информации и объектов, либо на федеральном уровне на базе головных по вопросам безопасности информации и объектов ведомств РФ.

4    18 Функциями контрольно-надзорного органа является разработка и утверждение требований к средствам и мерам защиты и контроль их выполнения, предоставление полномочий/одобрений организациям. участвующим в проведении работ.

4.19    Экспертной организацией является уполномоченная контрольно-надзорным органом профильная по вопросам защиты информации и объектов организация ведомства, либо уполномоченное подразделение штатного органа в составе головного по вопросам безопасности информации и объектов ведомства РФ.

4.20    Функциями экспертной организации являются:

-    научно-техническая экспертиза результатов предпроектных. проектных работ, участие в испытаниях АС в защищенном от ПС ЭМВ исполнении;

-    согласование и утверждение МУ, эксплуатационных и организационно-распорядительных документов по защите от ПС ЭМВ;

-    контроль реализации требований по обеспечению необходимого уровня защиты АС от ПС

ЭМВ;

-    разработка нормативных и методических документов по вопросам обеспечения защиты АС от ПС ЭМВ.

5    Организация и содержание работ по построению системы защиты от преднамеренных силовых электромагнитных воздействий при создании автоматизированных систем в защищенном исполнении

5.1    Разработка концепции защиты автоматизированных систем от преднамеренных силовых электромагнитных воздействий

5.1.1    Целью разработки концепции защиты АС от ПС ЭМВ является определение основных направлений работ по защите и путей их реализации, обеспечивающих выполнение требований по защите АС от ПС ЭМВ в реальных условиях ее применения.

Концептуальные проектные решения по защите АС в виде системы защиты от ПС ЭМВ должны разрабатываться с целью выработки согласованной точки зрения между заказчиком и организациями-исполнителями работ.

4

ГОСТ P 56103—2014

Концепция защиты АС от ПС ЭМВ может разрабатываться в виде отдельного раздела концепции АС (концепции защиты информации в АС), на основании которого разрабатывается ТЗ на создание АСЗИ (ЧТЗ на создание СЗИ и АС).

5.1.2 Обследование автоматизированных систем в составе объектов информатизации

5.1.2.1    Обследование АС в составе ОИ должно осуществляться с целью получения/сбора исходных данных для выполнения работ по построению системы защиты АС от ПС ЭМВ Работы должны проводиться по утвержденным методикам и программам.

5.1.2.2    В программе обследования должны быть предусмотрены:

а)    изучение документации на АС и ОИ (проектной, эксплуатационной, организационнораспорядительной, учетной и т.п.);

б)    визуальный осмотр с целью:

-    уточнения данных, полученных из документации и сбора необходимых дополнительных данных;

-    проверки выполнения ведомственных требований и рекомендаций и выявления факторов уязвимости АС к ПС ЭМВ:

в)    тестирование с помощью специальных ТС с целью:

-    определения/уточнения электрофизических характеристик конструктивных элементов ОИ (применяются имитаторы ЭМВ и средства их измерения и обработки);

-    уточнения расположения трасс электропитания и линий связи (применяются индикаторные устройства);

-    уточнения пространственных характеристик ОИ и его элементов;

-    разработки карты распределения электромагнитных полей помещения (помещений) ОИ;

г)    опрос и анкетирование специалистов с целью построения МН (применяются методы экспертных оценок).

5.1.2.3    Результаты обследования ОИ должны оформляться отдельным протоколом.

Состав информации, определяемой при обследовании АС в составе ОИ. приведен в приложении Б.

5.1.2.4    По результатам обследования составляется описательная характеристика, включающая следующий обобщенный перечень данных:

-о предприятии/учрежденим. в составе которого эксплуатируется АСЗИ. включающие общие данные (наименование, расположение, топология и инфраструктура, режимы функционирования, персонал), данные о системах безопасности от природных техногенных и антропогенных угроз, данные о системах обеспечения (электропитание, заземление, структурированная кабельная сеть);

-    по ОИ. включающие общие данные (место расположения и границы, наименование и предназначение. режимы функционирования, персонал), данные о применяемых на нем мерах и средствах безопасности, данные о системах и средствах обеспечения;

-    о ТС и сегментах информационных систем, функционирующих в составе ОИ (состав и общая характеристика, данные о сетевом оборудовании, тип общего и специального ПО. характеристика решаемых задач);

-    информация для построения МН (типы и состав нарушителей, их оснащение, профессиональный уровень, цели, способы действий).

5.1.3 Построение модели угроз безопасности автоматизированной системы с учетом возможных преднамеренных силовых электромагнитных воздействий

5.1.3.1    Конечной целью разработки МУ является получение данных, необходимых для выработки проектных решений по построению адекватной системы защиты информации в АС от ПС ЭМВ.

5.1.3.2    Разработка МУ должна включать:

-    определение угроз безопасности информации в АС и оценку последствий их реализации;

-    разработку МН;

-    определение уязвимостей АС в составе ОИ. соответствующих угрозам ПС ЭМВ.

5.1.3.3    Перечень угроз безопасности информации в АС должен формироваться с учетом возможных вариантов проведения ЭМВ и их последствий, различающихся характером и размерами ущерба. Величина ожидаемого ущерба является показателем для проведения ранжирования угроз. Базовая проектная угроза соответствует наиболее опасному варианту проявления угрозы, соответствующему наибольшей величине наносимого ущерба.

5.1.3.4    Под МН следует понимать обобщенную характеристику исполнителя угрозы ПС ЭМВ применительно к конкретной АС. Конечной целью составления МН является определение наиболее вероятных типов ТС ЭМВ и ожидаемых мест их применения (подключения), приводящих к реализации угроз в отношении конкретной АС. В МН анализируется реальность реализации конкретных угроз с учетом возможностей нарушителя и специфики ОИ.

5

5.1.3.5    В состав качественных и количественных характеристик МН входят: тип нарушителя (внешний, внутренний, комбинированный), численный состав, мотивация, цель ЭМВ, вооружение и оснащение, квалификация и навыки, возможности приобретения/изготовления ТС ЭМВ и их параметры. степень информированности о АС. ОИ и его электронной инфраструктуре, тактика совершения ЭМВ. полномочия доступа и действий на ОИ.

5.1.3.6    Разработка МН должна производиться специализированной организацией с привлечением в качестве экспертов представителей организации-заказчика.

5.1.3.7    Уязвимости АС к ПС ЭМВ характеризуются совокупностью условий, способствующих реализации данной угрозы на ОИ

К факторам уязвимости относятся:

-    низкий (недостаточный) уровень устойчивости АС к ПС ЭМВ;

-    отсутствие/недостаточность организационно-технических мер по защите АС от ПС ЭМВ, предусматриваемых требованиями нормативных документов:

-    отсутствие/недостаточность и низкий уровень оперативности получения информации об угрозе:

-    недостаточность защитных свойств конструктивных элементов ОИ по снижению уровней ПС

ЭМВ;

-    неполнота и неэффективность организационных мер защиты от ПС ЭМВ:

-    низкий уровень готовности и квалификации персонала ОИ к отражению угроз ПС ЭМВ;

-    несовершенство охранно-режимных мероприятий на ОИ, позволяющих осуществлять беспрепятственную доставку источников ПС ЭМВ в места их эффективного применения.

5.1.3.8    Выявление уязвимостей должно производиться применительно ко всем типам ТС. способным реализовать угрозу каждого вида ПС ЭМВ с каждого возможного направления ЭМВ. Признаком уязвимости АС к конкретному виду ПС ЭМВ. реализуемому конкретным ТС из заданной точки применения, является превышение уровня силового воздействия, приходящего на соответствующий порт атакуемой АС над существующим в АС уровнем ее устойчивости к ЭМВ в течение промежутка времени существенно важного для данной АС.

Форма сводной таблицы угроз ПС ЭМВ приведена в приложении В

5.1.4 Формирование требований по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий

5.1.4.1    Требования по защите АС от ПС ЭМВ задаются в составе общих требований, предъявляемых к АСЗИ согласно ГОСТ Р 51624. и включают:

-    требование к уровню защищенности АС от ПС ЭМВ;

-    требования к составу и характеристикам мероприятий по защите АС.

5.1.4.2    Требования к составу и характеристикам мероприятий по защите АС должны определяться в соответствии с типовыми требованиями и рекомендациями по защите АС от ПС ЭМВ и включать:

-    требования по устойчивости АСЗИ к ПС ЭМВ согласно ГОСТ Р 52863;

-    требования к защитным свойствам систем обеспечения АСЗИ и помещения ОИ;

-    требования к составу функций и обеспечивающим их характеристикам по решению задач обнаружения и защиты от ПС ЭМВ, реализуемых ТС;

-    требования к составу функций и обеспечивающим их характеристикам, предъявляемые к ТС. решающим задачи обнаружения ПС ЭМВ и защиты от них.

5.1.4.3    Состав и характеристики мероприятий по защите АС должны обеспечивать требуемый уровень защищенности АС от ПС ЭМВ, реализуемых каждым из возможных способов с каждого из возможных угрожаемых направлений согласно МУ.

5.1.4.4    Требования по защите АС от ПС ЭМВ должны быть включены в ТЗ (ЧТЗ) на создание системы защиты информации отдельным разделом.

При целевой разработке АСЗИ требование по устойчивости к ПС ЭМВ согласно ГОСТ Р 52863 задается в ТЗ на создание АС, разрабатываемых в соответствии с ГОСТ 34.602.

5.1.5 Формирование проектных решений по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий

5.1.5.1 Проектные решения системы защиты формируются в ходе выполнения технического проекта на АСЗИ согласно ГОСТ Р 51583 в виде альтернативных вариантов построения системы защиты АС от ПС ЭМВ в составе ОИ. основанных на единых принципах защиты с учетом разработанной МУ и различающихся перечнями мероприятий по защите и уровнями их детализации. В проектных решениях объединяются частные функциональные свойства защиты, реализуемые отдельными мероприятиями по защите.

5.1.5.2 Формирование проектных решений системы защиты информации в АС от ПС ЭМВ должно производиться согласно следующим основополагающим принципам:

6

ГОСТ P 56103—2014

-    зональности, предусматривающей образование нескольких вложенных контуров, создающих «эшелонированную» защиту АС;

-    равнопрочности. предусматривающей обеспечение требуемого уровня защищенности АС для всех вариантов реализации ожидаемых угроз со всех возможных направлений;

-    надежности и живучести, предполагающих выполнение задач защиты АС в штатных и чрезвычайных ситуациях путем применения соответствующих технических решений и организационных мер.

-адаптивности, предполагающей возможность перестроения (наращивания) системы защиты при изменениях МУ, конфигурации и инфраструктуры ОИ, территориального размещения АСЗИ;

-    адекватности, предусматривающей ориентированность проектных решений системы защиты на принятую МУ;

-    контроля защищенности, предусматривающего возможность контроля работоспособности защитных компонент и всей системы защиты АС в целом, а также периодическое и целевое проведение ОЭ системы защиты АСЗИ для подтвержаения ее достаточности.

5.1.5.3    Проектные решения системы защиты АСЗИ от ПС ЭМВ в составе ОИ должны разрабатываться в направлениях;

-    обеспечения требуемого уровня устойчивости АС к ПС ЭМВ;

-    функционального расширения штатных систем безопасности организации, направленного на предотвращение доставки ТС ПС ЭМВ в места применения и утечки информации об уязвимостях ОИ и эксплуатируемых в его составе АС;

-    оборудования ОИ элементами, повышающими защищенность ОИ к ПС ЭМВ;

-    целенаправленного использования ТС обнаружения и защиты от ПС ЭМВ;

-    предупреждения, выявления, пресечения угроз ПС ЭМВ. их локализации и ликвидации последствий посредством организационных мер.

5.1.5.4    Проектные решения системы защиты не должны ограничивать применение АСЗИ по назначению.

5.1.5.5    По каждому проектному решению защиты должна проводиться ОЭ с целью подтверждения требований защищенности от угроз.

5.1.5.6    Выбор проектного решения, принимаемого за основу создания системы защиты АС от ПС ЭМВ, из состава альтернативных вариантов, должен осуществляться с учетом их стоимостных оценок.

5.1.5.7    Выбор типов ТС обнаружения и защиты от ПС ЭМВ и порядок их размещения должен удовлетворять предъявляемым к ним функциональным требованиям и обеспечивать возможность применения в объектовых условиях в соответствии с техническими условиями на изделия.

5.1.5.8    ТС обнаружения и защиты от ПС ЭМВ. используемые в проектных решениях системы защиты АС. должны соответствовать требованиям стандартов и иметь соответствующие сертификаты соответствия требованиям по обеспечению безопасности информации.

5.1.5.9    Организационные меры защиты АС от ПС ЭМВ должны в наибольшей степени согласовываться с общими режимно-охранными мерами защиты ОИ и мерами защиты информации в АС от утечек по ПЭМИН. Организационные меры разрабатываются в дополнение к функциям, осуществляемым ТС обнаружения ПС ЭМВ и ТС защиты от ПС ЭМВ. Они должны предусматривать возможность их компенсирования при выходе ТС из строя.

5.1.6 Оценка эффективности защиты автоматизированных систем от преднамеренных силовых электромагнитных воздействий

5.1.6.1    ОЭ системы защиты АСЗИ от ПС ЭМВ позволяет определить способность применяемых на ОИ ТС и организационных мер противостоять конкретной угрозе, реализуемой согласно разработанной для него модели угроз. Целью ОЭ является проверка функциональной достаточности и адекватности системы защиты от ожидаемой угрозы, достигаемой конкретным вариантом ее построения.

5.1.6.2    ОЭ системы защиты АСЗИ от ПС ЭМВ должна проводиться при:

-    сравнительном анализе альтернативных вариантов проектных решений систем защиты;

-    вводе АСЗИ в действие.

-    изменении условий эксплуатации АСЗИ. совершенствовании средств и способов электромагнитного нападения и других факторах, требующих проверки достаточности и адекватности защитных свойств АСЗИ;

-    уточнениях и изменениях МУ и МН.

5.1.6.3    Организация проведения ОЭ защиты АС от ПС ЭМВ возлагается на предпри-ятие/учреждение-пользователь АСЗИ. Работы по ОЭ должны проводиться специализированной организацией с применением утвержденных методик и программ.

5.1.6.4    Результаты ОЭ оформляются в виде отчета, согласуемого с экспертной организацией.

7

5.2 Реализация проектных решений системы защиты автоматизированных систем от преднамеренных силовых электромагнитных воздействий

5.2.1    Техническое задание на проектирование

5.2.1.1    Соответствующие разделы ТЗ (ЧТЗ) на проектирование системы защиты информации в АС от ПС ЭМВ разрабатываются с целью определения требований к АСЗИ в части защиты от ПС ЭМВ. а также определения состава и содержания работ и порядка их проведения.

5.2.1.2    Требования по защите АС от ПС ЭМВ должны включаться в ТЗ на создание АСЗИ отдельным разделом или в ТЗ (ЧТЗ) на создание системы защиты информации в АС от ПС ЭВМ

При проведении данных работ на стадиях строительства, реконструкции и технического переоснащения ОИ задания на эти работы в части защиты помещений, коммуникаций, ТС обеспечения и т.п. включаются в состав смежных разделов основного ТЗ на ОИ.

5 2.1.3 ТЗ на создание АСЗИ (ТЗ (ЧТЗ) на создание СЗИ в АС) с учетом требований по защите от ПС ЭМВ должно согласовываться и утверждаться в соответствии с требованиями ГОСТ 34.602.

5 2.1.4 ТЗ на создание АСЗИ (ТЗ (ЧТЗ) на создание СЗИ в АС) в части защиты от ПС ЭМВ должно содержать:

-    ссылку на нормативно-методические документы, с учетом которых будут разрабатываться и реализовываться меры защиты:

-    исходные данные по АСЗИ и ОИ (назначение и конфигурация АСЗИ. устойчивость элементов АС и коммуникаций к ПС ЭМВ, расположение относительно границ КЗ. инфраструктура, режимы функционирования и персонал ОИ);

-    требования к устойчивости элементов АСЗИ к ПС ЭМВ;

-    требования по защите технических систем, обеспечивающих функционирование АСЗИ. от ПС

ЭМВ;

-    перечень предъявляемой заказчику научно-технической продукции и документации;

-    сроки выполнения и исполнителей работ, порядок приемки работ по созданию системы защиты АС от ПС ЭМВ.

5.2.2    Выполнение проектных работ

5.2.2.1    Разработка проектной документации на создание системы защиты АС от ПС ЭМВ. эксплуатируемой в составе ОИ, должна производиться в составе разработки технического проекта на АСЗИ либо отдельно и осуществляться с учетом требований, установленных в соответствующем нормативном документе, принятом Минстроем России (1). В проектной документации реализуются проектные решения, разработанные на стадии предпроектных работ.

5 2.2.2 Проектная документация на систему защиты АС от ПС ЭМВ оформляется в соответствии с ГОСТ 2.120 в виде отдельного тома и состоит из пояснительной записки и приложений, включающих необходимые чертежи планировок, схемы коммуникаций, спецификацию оборудования, сметную документацию и другие материалы.

5 2.2.3 При проектировании системы защиты АС от ПС ЭМВ должно использоваться оборудование. соответствующее заданным требованиям по устойчивости по ГОСТ Р 52863 и имеющее соответствующие сертификаты.

5.2.2    4 Раздеп по защите информации технического проекта АС в части защиты от ПС ЭМВ подлежит экспертизе, на которую представляются;

-    пояснительная записка с приложениями;

-МУ;

-    ОЭ защиты информации в АСЗИ от ПС ЭМВ.

При экспертизе проекта рассматриваются:

-    обоснованность выбранного места расположения ОИ и размещения АСЗИ. а также обоснованность проектных решений защиты;

-достаточность принятых в проекте мер по обеспечению защиты ОИ от ПС ЭМВ и их адекватность МУ:

-    соответствие уровня принятых организационно-технических мер защиты уровню современных достижений науки и техники;

-    применение в проекте сертифицированных ТС обнаружения и защиты.

По результатам экспертизы данного документа по защите информации составляется заключение, которое утверждается председателем экспертной комиссии и направляется заказчику.

5.2.3    Выполнение работ по монтажу, пуску и наладке автоматизированных систем в защищенном от преднамеренных силовых электромагнитных воздействий исполнении

5.2.3.1    По результатам проектных работ осуществляются:

-    поставка сертифицированных ТС АС, соответствующих требованиям по устойчивости к ПС ЭМВ и прошедших испытания по ГОСТ Р 52863;

8