О РАБОТАХ ПО ЗАЩИТЕ ИНФОРМАЦИИ ОТ ПРЕДНАМЕРЕННЫХ ЭЛЕКТРОМАГНИТНЫХ ВОЗДЕЙСТВИЙ
КРАТКИЕ СООБЩЕНИЯ
УДК 621.391 О РАБОТАХ ПО ЗАЩИТЕ ИНФОРМАЦИИ ОТ ПРЕДНАМЕРЕННЫХ ЭЛЕКТРОМАГНИТНЫХ ВОЗДЕЙСТВИЙ М.И. Жуковский, В.П. Чванов
Изложены предложения авторов по организации и содержанию работ по защите информации от преднамеренных электромагнитных воздействий. Предложения являются основой разработанного проекта ГОСТ. Ключевые слова: защита информации, электромагнитные воздействия.
Преднамеренные электромагнитные воздействия (ПД ЭМВ) являются новым фактором угроз информационной безопасности ключевых систем информационной инфраструктуры. Эту угрозу следует оценивать как долговременную, требующую принятия адекватных защитных мер со стороны государства и общества. В соответствии с планом работ Технического комитета по стандартизации «Защита информации» (ТК-362) в 2010 г. авторами настоящей работы разработан проект ГОСТ Р «Защита информации. Автоматизированные системы в защищенном исполнении (АСЗИ). Организация и содержание работ по защите от преднамеренных деструктивных электромагнитных и электрических воздействий. Общие положения». Вступление в силу стандарта ожидается в 2012 г. Проект, предлагаемый авторами, разработан с учетом:
применения научно-обоснованного системного подхода к обеспечению защиты, предусматривающего рациональное сочетание ее различных структурных компонент: защиту помещения, средств обеспечения (электропитание, заземление, коммуникации), повышение устойчивости к ПД ЭМВ самих средств информатизации, применение технических средств (ТС) обнаружения и защиты, организационные меры. Защита строится адекватно проектной угрозе;
интеграции системы защиты от ПД ЭМВ в комплексную систему безопасности объекта путем ее дополнения и функционального расширения. Предполагается, что этот документ будет связующим в системе целевых стандартов по защите
АСЗИ от данной угрозы. При разработке проекта стандарта авторами принималось во внимание, что ПД ЭМВ сочетает в себе признаки угроз как информационной безопасности, так и совершения несанкционированных действий силовыми методами. Исходя из этого, структура документа и стиль изложения материала ориентированы на достаточно широкий круг его потенциальных пользователей в области комплексной безопасности информации и объектов.
Общими положениями проекта стандарта определяются и устанавливаются: роль и место работ по защите автоматизированных систем (АС) от ПД ЭМВ во взаимодействии с работами по построению комплексных систем безопасности; структурные компоненты защиты; этапы и содержание работ, их исполнители и возлагаемые на них функции; ответственность за обеспечение требований по защите при эксплуатации АСЗИ. Согласно положениям проекта стандарта, работы по защите выполняются при создании АС в защищенном от ПД ЭМВ исполнении (табл. 1) и при эксплуатации АСЗИ в составе объектов информатизации (ОИ) (табл. 2). По каждому виду работ в документе достаточно развернуто изложены их содержание, организация и порядок выполнения, формы отчетности. В приложениях проекта стандарта приведены: состав информации, определяемой при обследовании и тестировании АС в составе ОИ; форма сводной таблицы угроз ПД ЭМВ; типовая форма раздела формуляра (технического паспорта) АСЗИ в составе ОИ по защите от ПД ЭМВ; типовая методика категорирования АС по степени их важности (по-
Научно-технический вестник информационных технологий, механики и оптики, 2012, № 2 (78)
143
КРАТКИЕ СООБЩЕНИЯ
тенциальной опасности); типовые формы разрабатываемых документов и некоторые информационные данные, необходимые для проведения работ.
Виды работ Разработка Концепции защиты информации в АС от ПД ЭМВ
Реализация проектных решений защиты
Ввод в действие АСЗИ
Содержание работ Обследование и тестирование АС в составе ОИ Построение модели угроз Формирование требований по защите Формирование проектных решений защиты Оценка эффективности защиты Разработка технического задания на проектирование Проектные работы Монтаж, пуск и наладка АС в защищенном от ПД ЭМВ исполнении
Опытная эксплуатация АСЗИ в составе ОИ Приемочные испытания АСЗИ в составе ОИ Аттестация АСЗИ в составе ОИ
Исполнители Специализированная организация Заказчик (организацияпользователь АСЗИ) Экспертная организация
Проектная организация Поставщики АС, ТС обнаружения ПД ЭМВ и защиты от них Строительно-монтажная организация Организация-пользователь АСЗИ Экспертная организация Контрольно-надзорный орган ведомства Организация-пользователь АСЗИ Комиссия
Таблица 1. Виды, содержание и исполнители работ по созданию АС в защищенном от ПД ЭМВ исполнении
Виды работ Использование по назначению ТС обнаружения ПД ЭМВ и защиты от них
Выполнение целевых организационнотехнических мероприятий Техническая эксплуатация ТС обнаружения ПД ЭМВ и защиты от них Контроль защищенности АСЗИ в составе ОИ
Содержание работ Мониторинг электромагнитной обстановки Снижение/блокирование ПД ЭМВ Перевод АСЗИ в безопасный режим Предупреждение, пресечение электромагнитной атаки, локализация и ликвидация последствий
Контроль исходного состояния и функционирования ТС Техническое обслуживание ТС Ремонт ТС Проверка функциональных свойств ТС обнаружения и защиты Проверка функциональных свойств защитных компонент и уровня защиты
Исполнители Организация-пользователь АСЗИ
Организация-пользователь АСЗИ
Организация-пользователь АСЗИ Поставщики ТС
Организация-пользователь АСЗИ Специализированная организация Контрольно-надзорный орган ведомства
Таблица 2. Виды, содержание и исполнители работ по защите АСЗИ от ПД ЭМВ при их эксплуатации в составе ОИ
Авторы считают, что проект стандарта, как документа федерального уровня, содержит, главным образом, общие положения в части организации и содержания работ по защите АС от ПД ЭМВ. Их развитие и конкретизация должны производиться на ведомственном/отраслевом уровне в виде соответствующих комплектов документов. Разработка этих документов должна осуществляться согласно положениям стандарта с учетом ведомственной специфики.
Жуковский Михаил Иванович – Федеральное государственное предприятие «ЦентрИнформ», кандидат технических наук, начальник НИИЦ, m.zhukovsky@center-inform.ru Чванов Владимир Павлович – Федеральное государственное предприятие «ЦентрИнформ», кандидат технических наук, старший научный сотрудник, начальник отдела, v.chvanov@center-inform.ru
144
Научно-технический вестник информационных технологий, механики и оптики, 2012, № 2 (78)
УДК 621.391 О РАБОТАХ ПО ЗАЩИТЕ ИНФОРМАЦИИ ОТ ПРЕДНАМЕРЕННЫХ ЭЛЕКТРОМАГНИТНЫХ ВОЗДЕЙСТВИЙ М.И. Жуковский, В.П. Чванов
Изложены предложения авторов по организации и содержанию работ по защите информации от преднамеренных электромагнитных воздействий. Предложения являются основой разработанного проекта ГОСТ. Ключевые слова: защита информации, электромагнитные воздействия.
Преднамеренные электромагнитные воздействия (ПД ЭМВ) являются новым фактором угроз информационной безопасности ключевых систем информационной инфраструктуры. Эту угрозу следует оценивать как долговременную, требующую принятия адекватных защитных мер со стороны государства и общества. В соответствии с планом работ Технического комитета по стандартизации «Защита информации» (ТК-362) в 2010 г. авторами настоящей работы разработан проект ГОСТ Р «Защита информации. Автоматизированные системы в защищенном исполнении (АСЗИ). Организация и содержание работ по защите от преднамеренных деструктивных электромагнитных и электрических воздействий. Общие положения». Вступление в силу стандарта ожидается в 2012 г. Проект, предлагаемый авторами, разработан с учетом:
применения научно-обоснованного системного подхода к обеспечению защиты, предусматривающего рациональное сочетание ее различных структурных компонент: защиту помещения, средств обеспечения (электропитание, заземление, коммуникации), повышение устойчивости к ПД ЭМВ самих средств информатизации, применение технических средств (ТС) обнаружения и защиты, организационные меры. Защита строится адекватно проектной угрозе;
интеграции системы защиты от ПД ЭМВ в комплексную систему безопасности объекта путем ее дополнения и функционального расширения. Предполагается, что этот документ будет связующим в системе целевых стандартов по защите
АСЗИ от данной угрозы. При разработке проекта стандарта авторами принималось во внимание, что ПД ЭМВ сочетает в себе признаки угроз как информационной безопасности, так и совершения несанкционированных действий силовыми методами. Исходя из этого, структура документа и стиль изложения материала ориентированы на достаточно широкий круг его потенциальных пользователей в области комплексной безопасности информации и объектов.
Общими положениями проекта стандарта определяются и устанавливаются: роль и место работ по защите автоматизированных систем (АС) от ПД ЭМВ во взаимодействии с работами по построению комплексных систем безопасности; структурные компоненты защиты; этапы и содержание работ, их исполнители и возлагаемые на них функции; ответственность за обеспечение требований по защите при эксплуатации АСЗИ. Согласно положениям проекта стандарта, работы по защите выполняются при создании АС в защищенном от ПД ЭМВ исполнении (табл. 1) и при эксплуатации АСЗИ в составе объектов информатизации (ОИ) (табл. 2). По каждому виду работ в документе достаточно развернуто изложены их содержание, организация и порядок выполнения, формы отчетности. В приложениях проекта стандарта приведены: состав информации, определяемой при обследовании и тестировании АС в составе ОИ; форма сводной таблицы угроз ПД ЭМВ; типовая форма раздела формуляра (технического паспорта) АСЗИ в составе ОИ по защите от ПД ЭМВ; типовая методика категорирования АС по степени их важности (по-
Научно-технический вестник информационных технологий, механики и оптики, 2012, № 2 (78)
143
КРАТКИЕ СООБЩЕНИЯ
тенциальной опасности); типовые формы разрабатываемых документов и некоторые информационные данные, необходимые для проведения работ.
Виды работ Разработка Концепции защиты информации в АС от ПД ЭМВ
Реализация проектных решений защиты
Ввод в действие АСЗИ
Содержание работ Обследование и тестирование АС в составе ОИ Построение модели угроз Формирование требований по защите Формирование проектных решений защиты Оценка эффективности защиты Разработка технического задания на проектирование Проектные работы Монтаж, пуск и наладка АС в защищенном от ПД ЭМВ исполнении
Опытная эксплуатация АСЗИ в составе ОИ Приемочные испытания АСЗИ в составе ОИ Аттестация АСЗИ в составе ОИ
Исполнители Специализированная организация Заказчик (организацияпользователь АСЗИ) Экспертная организация
Проектная организация Поставщики АС, ТС обнаружения ПД ЭМВ и защиты от них Строительно-монтажная организация Организация-пользователь АСЗИ Экспертная организация Контрольно-надзорный орган ведомства Организация-пользователь АСЗИ Комиссия
Таблица 1. Виды, содержание и исполнители работ по созданию АС в защищенном от ПД ЭМВ исполнении
Виды работ Использование по назначению ТС обнаружения ПД ЭМВ и защиты от них
Выполнение целевых организационнотехнических мероприятий Техническая эксплуатация ТС обнаружения ПД ЭМВ и защиты от них Контроль защищенности АСЗИ в составе ОИ
Содержание работ Мониторинг электромагнитной обстановки Снижение/блокирование ПД ЭМВ Перевод АСЗИ в безопасный режим Предупреждение, пресечение электромагнитной атаки, локализация и ликвидация последствий
Контроль исходного состояния и функционирования ТС Техническое обслуживание ТС Ремонт ТС Проверка функциональных свойств ТС обнаружения и защиты Проверка функциональных свойств защитных компонент и уровня защиты
Исполнители Организация-пользователь АСЗИ
Организация-пользователь АСЗИ
Организация-пользователь АСЗИ Поставщики ТС
Организация-пользователь АСЗИ Специализированная организация Контрольно-надзорный орган ведомства
Таблица 2. Виды, содержание и исполнители работ по защите АСЗИ от ПД ЭМВ при их эксплуатации в составе ОИ
Авторы считают, что проект стандарта, как документа федерального уровня, содержит, главным образом, общие положения в части организации и содержания работ по защите АС от ПД ЭМВ. Их развитие и конкретизация должны производиться на ведомственном/отраслевом уровне в виде соответствующих комплектов документов. Разработка этих документов должна осуществляться согласно положениям стандарта с учетом ведомственной специфики.
Жуковский Михаил Иванович – Федеральное государственное предприятие «ЦентрИнформ», кандидат технических наук, начальник НИИЦ, m.zhukovsky@center-inform.ru Чванов Владимир Павлович – Федеральное государственное предприятие «ЦентрИнформ», кандидат технических наук, старший научный сотрудник, начальник отдела, v.chvanov@center-inform.ru
144
Научно-технический вестник информационных технологий, механики и оптики, 2012, № 2 (78)