Полученная с помощью систем измерения побочного электромагнитного излучения (СПЭМИ) измерительная информация должна с необходимой точностью и достоверностью отражать свойства электромагнитного поля, его мощности в различных точках пространства и характер зоны его распространения. Решение проблем объективной оценки зоны распространения информативного сигнала от средств вычислительно техники обрабатывающих защищаемую информацию невозможен без СПЭМИ.
При проектировании СПЭМИ кроме стандартных метрологических требований, рассмотренных ниже, предъявляются следующие специфические требования по защите информации. Требования к комплексам и приборам предназначенным для измерения побочных электромагнитных излучений и наводок установленные ГОСТ Р 53112-2008. Данный документ устанавливает требования к техническим характеристикам СПЭМИ, а так же к допустимым погрешностям, методам и порядку проведения испытаний.
Средства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом подлежат обязательной сертификации. Порядок проведения сертификации описан в «Положении о сертификации средств защиты информации по требованиям безопасности информации».
Основными схемами сертификации средств защиты информации являются:
Для единичных образцов средств защиты информации – проведение испытаний образца на соответствие требованиям по безопасности, информации;
Для серийного производства средств защиты информации проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению органа по сертификации допускается предварительная проверка (аттестация) производства по утвержденной программе. По согласованию с органом по сертификации по требованиям безопасности информации могут быть использованы и другие схемы сертификации, применяемые в международной практике.
Порядок проведения сертификации включает следующие действия:
1. Подачу и рассмотрение заявки на сертификацию средств защиты информации; испытания сертифицируемых средств защиты информации и аттестации их производства;
2. Экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;
3. Осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации;
4. Информирование о результатах сертификации средств защиты информации;
5. Рассмотрение апелляций.
В соответствии с ФЗ «Об обеспечении единства измерений», в состав обязательных требований к средствам измерений в необходимых случаях включаются также требования к программному обеспечению (ПО). Это приводит к необходимости оценки влияния ПО на метрологические характеристики систем измерения и защиты обрабатываемой, в том числе измерительной, информации от непреднамеренных и преднамеренных изменений.
Метрологической экспертизе подвергается следующая техническая документация:
• техническое задание (ТЗ) на разработку (проектирование);
• технические условия (ТУ), руководство по эксплуатации, конструкторская и технологическая документация;
Основные задачи метрологической экспертизы ТЗ на разработку (проектирование):
• рациональное нормирование метрологических характеристик измерительных каналов СПЭМИ на этапе их разработки (проектирования);
• построение эффективного способа метрологического обеспечения СПЭМИ на последующих этапах ее жизненного цикла.
Основным содержанием метрологической экспертизы ТЗ на разработку (проектирование) является проверка достаточности исходных требований, приводимых в проекте ТЗ, к которым относят:
• назначение СПЭМИ и сведения об ее использовании в сфере (или вне сферы) государственного регулирования обеспечения единства измерений;
• сведения об измеряемых величинах и их характеристиках (диапазоне значений, возможных изменениях в процессе измерений);
• перечни измерительных каналов и нормы на их погрешности;
• условия измерений;
• условия метрологического обслуживания.
Использование программного обеспечения в системах СПЭМИ, существенно расширяет их функциональные возможности и повышает оперативность обработки измерительной информации. Вместе с тем, недостаточная надежность ПО увеличивает долю эксплуатационных затрат по сравнению с общими затратами на проектирование, производство и применение этих систем. Кроме того, отказы ПО ведут к потерям информации и простоям, а так же к ошибкам порождающим уязвимости в системах защиты. Проведение независимой, в том числе метрологической, экспертизы используемого ПО повышает надежность системы в целом.
Для СПЭМИ на этапе разработки рекомендуется выделение метрологически значимой части ПО, т.е. выделение той его части, которая подлежит аттестации. Под аттестацией ПО понимают исследование программного обеспечения с целью определения его характеристик, свойств и идентификационных данных и подтверждения соответствия требованиям национального стандарта ГОСТ Р 8.654-2009.
При разделении ПО аттестации подлежат все метрологически значимые части программы (подпрограммы, процедуры, функции и т.д.), которые используются при обработке данных или влияют на них, или используются в таких вспомогательных функциях, как защита, хранение и передача данных, идентификация ПО.
ПО СПЭМИ должно соответствовать требованиям: к документации и структуре ПО, к влиянию ПО на метрологические характеристики СПЭМ, а так же к защите ПО и данных.
Требования к документации ПО
ПО СПЭМИ должно сопровождаться следующим минимальным набором документов, сопровождающих ПО СПЭМИ при его аттестации, рекомендуется представлять в следующем составе: техническое задание по ГОСТ 19.201-78, спецификация по ГОСТ 19.202-78, описание применения по ГОСТ 19.502-78, схемы алгоритмов, программ, данных и систем по ГОСТ 19.701-90, руководство пользователя.
Требования к структуре ПО
Метрологически значимое ПО СПЭМИ должно быть разработано таким образом, чтобы его невозможно было подвергнуть искажающему воздействию через интерфейсы пользователя и другие интерфейсы.
Все взаимодействия между метрологически значимыми и незначимыми частями ПО СПЭМИ и прохождение данных не должны подвергать искажающему воздействию метрологически значимое ПО. Должно быть однозначное назначение каждого набора команд, переданных через интерфейс ПО СПЭМИ, для инициации функций или изменения данных в метрологически значимом ПО.
Требования к влиянию ПО на метрологические характеристики СПЭМИ
Степень влияния ПО на метрологические характеристики СПЭМИ оценивают при его аттестации. При этом должна быть предусмотрена возможность такой оценки с помощью программных и метрологических тестов по методикам МИ 2174-91, МИ 2955-2005.
Требования к защите ПО и данных
Возможными причинами случайных или непреднамеренных изменений обрабатываемой информации и измеренных данных могут быть: непредсказуемые физические воздействия, эффекты, обусловленные действиями пользователя или дефекты ПО СПЭМИ.
ПО СПЭМИ должно содержать средства обнаружения, отображения и/или устранения сбоев (функциональных дефектов) и искажений, которые нарушают целостность ПО и данных.
В ПО СПЭМИ рекомендуется вводить средства защиты обрабатываемой информации и данных от изменения или удаления в случае возникновения непредсказуемых физических воздействий.
В ПО СПЭМИ должно содержаться требование к пользователю на подтверждение своих действий перед изменением или удалением обрабатываемой информации или данных, а также должно выдаваться предупреждение в случае, если действия пользователя могут повлечь изменение или удаление обрабатываемой информации или данных.
В технической документации на ПО СПЭМИ должны быть описаны все меры, принимаемые для защиты метрологически значимого ПО и измеренных данных от случайных или непреднамеренных изменений.
ПО СПЭМИ должно быть защищено от несанкционированной модификации, загрузки или считывания данных из интегрированной памяти. Метрологически значимая часть ПО СПЭМИ и данные должны быть защищены от несанкционированной модификации.
Своевременное проведение метрологической экспертизы позволяет предотвратить проникновение в разрабатываемую техническую документацию решений с нарушением норм метрологического обеспечения жизненного цикла проектируемых систем измерения побочного электромагнитного излучения.
Библиографическая ссылка
Филин Н.А., Анюшин В.В. Рекомендации по проведению экспертизы технической документации систем измерения побочного электромагнитного излучения по требованиям руководящих документов по защите информации, метрологии и ГОСТ // Современные наукоемкие технологии. – 2013. – № 8-2. – С. 233-234;URL: https://top-technologies.ru/ru/article/view?id=32114 (дата обращения: 18.04.2024).