Методы проверок и испытаний, применяемые при проведении аттестационных испытаний

2. Инструментальные (инструментально-расчетные) измерения и оценка защищенности проводятся специалистами органа по аттестации с использованием контрольно-измерительной аппаратуры в соответствии с требованиями действующих нормативных и методических документов по защите информации.

При проведении инструментальных измерений и испытаний органом по аттестации осуществляются следующие виды работ:

a) проверка наличия сертификатов соответствия на средства вычислительной техники. Для обработки информации ограниченного доступа могут использоваться, как стандартные средства вычислительной техники (СВТ), так и средства вычислительной техники, прошедшие процедуру сертификации. Рекомендуется в составе объекта информатизации, обрабатывающего информацию ограниченного доступа, использовать средства вычислительной техники, удовлетворяющие требованиям государственных стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам, ПЭВМ, а именно ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96 и СанПиН 2.2.2.542-96. Сертифицированные средства вычислительной техники используются для повышения уровня защищенности обрабатываемой на объекте информатизации информации, поскольку они прошли доработку с целью уменьшения зоны распространения побочных электромагнитных излучений и наводок. Достигается это благодаря использованию в составе средств вычислительной техники элементов, уровень излучения которых значительно ниже стандартных аналогов, а также отсутствием в составе средств вычислительной техники всех элементов, способных генерировать радиоизлучения. Такие средства вычислительной техники имеют сертификат соответствия ФСТЭК России и могут использоваться для обработки информации, категория которой указана в сертификате, а также всех нижестоящих категорий, при условии размещения такого средства вычислительной техники на определенном расстоянии от границ контролируемой зоны. Сертифицированным средствам вычислительной техники проведены специальные исследования и, при необходимости, специальная проверка на наличие возможно внедренных специальных устройств негласного получения информации.

b) проведение инструментальных измерений и расчётов. В соответствии с ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию", побочные электромагнитные излучения (ПЭМИ) - электромагнитное излучение, возникающее при работе технических средств обработки информации. При работе средств вычислительной техники также возникают электромагнитные наводки. Исходя из ГОСТ Р 51624-2000 "Защита информации. Автоматизированные системы в защищенном исполнении" электромагнитные токи - токи и напряжения в токопроводящих элементах, электрические заряды или магнитные потоки, вызванные электромагнитным полем. В ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения" введено понятие побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

ГОСТом Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" определено, что специальные исследования (СИ) - выявление с использованием контрольно-измерительной аппаратуры возможных технических каналов утечки защищаемой информации от основных и вспомогательных технических средств и систем и оценка соответствия зашиты информации требованиям нормативных документов по защите информации.

В том случае, если в составе объекта информатизации планируется использовать несертифицированные средства вычислительной техники, то специальные исследования проводятся специалистами органа по аттестации до начала работ по аттестации объекта информатизации с помощью специальной контрольной аппаратуры и тестовых средств. Специальные исследования проводятся для каждого из планируемых режимов работы монитора, для всех видов накопителей информации, а том числе съемных, активного сетевого оборудования, клавиатуры, систем и средств связи и звукоусиления, а также прочих устройств, включаемых в состав объекта информатизации. При аттестации помещений для проведения конфиденциальных переговоров специальные исследования проводятся всем техническим средствам, установленным в помещении.

Специальные исследования проводятся квалифицированными специалистами органа по аттестации на соответствие требованиям руководящих документов ФСТЭК России.

В соответствии с ГОСТ Р 53-112-2008 "Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний", в состав приборов для измерений характеристик побочных электромагнитных излучений и наводок должны входить измеритель характеристик побочных электромагнитных излучений и наводок и один или несколько первичных преобразователей со штатным кабелем, обеспечивающих измерение напряжения, тока, напряженности электрического и (или) магнитного поля, плотности потока энергии, побочных электромагнитных излучений и наводок. Первичными преобразователями являются: пробники напряжения (для измерений напряжения), токосъемники (для измерений силы тока), магнитные, электрические антенны, антенны рупорного типа.

По результатам проведения специальных исследований выдается протокол специальных исследований технических средств, входящих в состав объекта информатизации, по каналу побочных электромагнитных излучений и наводок, а также предписание на эксплуатацию технических средств, входящих в состав объекта информатизации. В протоколе указываются:

• данные об испытуемых средствах вычислительной техники (наименование и модель технических средств, серийные и заводские номера);
• данные об используемой контрольно-измерительной аппаратуре (наименование и тип аппаратуры, серийные и заводские номера, данные о дате последней поверке и номере свидетельства о поверке средства измерения);
• данные об оцениваемых каналах утечки информации (побочные электромагнитные излучения, наводки, акустоэлектрический канал и т.д.);
• перечень требований нормативно-методических документов, на соответствие которым осуществляется проведение специальных исследований;
• перечень режимов работы, в которых проводились специальные исследования (режим вывода информации на монитор с указанием выставленного разрешения экрана, режим вывода на печать, режим записи информации на съемный носитель информации и т.д.);
• таблицы результатов измерений и расчетов нормативных показателей;
• выводы по результатам специальных исследований с указанием минимальных зон вокруг объекта информатизации, которые необходимо обеспечить при эксплуатации объекта информатизации без использования средств активной защиты;
• дата проведения специальных исследований, подписи специалистов органа по аттестации, проводивших специальные исследования.

Предписание на эксплуатацию содержит:

• данные об объекте вычислительной техники: наименование, перечень технических средств, входящих в состав объекта с указанием модели, серийных и заводских номеров, место расположения, класс защищенности;
• состав основных технических средств и систем и вспомогательных технических средств и систем;
• структура объекта вычислительной техники и расположение относительно границ контролируемой зоны;
• перечень средств защиты информации;
• данные о результатах специальных исследований, а также специальной проверки (если проводилась);
• требования, соблюдение которых обязательно в процессе эксплуатации объекта вычислительной техники;
• перечень действий, которые запрещается выполнять при эксплуатации объекта вычислительной техники (изменять место расположения технических средств, входящих в состав объекта, подключать объект к открытым сетям передачи данных, подключать дополнительные устройства, не прошедшие специальных исследований и не имеющих предписание на эксплуатацию в составе данного объекта и т.д.). Перечень действий указывается с учетом необходимости согласования тех или иных действий с органом, выдавшем предписание;
• условия действия предписания (как правило, при неизменности состава средств вычислительной техники и расположения объекта вычислительной техники относительно границ контролируемой зоны);
• должность и ФИО должностного лица организации-заявителя, на которое возлагается ответственность за соблюдение требований предписания;
• подписи специалистов, разработавших документ.

Специальная проверка (СП) - проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств в соответствии с ГОСТ Р 50922 "Защита информации. Основные термины и определения и рекомендациями по стандартизации Р 50.1.056-2005 "Техническая защита информации. Основные термины и определения".

Обязательно проведение специальной проверки для объектов информатизации, обрабатывающих сведения, составляющие государственную тайну. Для объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащую сведения, составляющие государственную тайну, специальная проверка может быть проведена по желанию руководителя организации-заявителя, которой принадлежит объект информатизации.

c) инструментальные, инструментально-расчетные измерения и оценка защищенности информации, циркулирующей в защищаемых помещениях, от утечки по техническим каналам. При проведении измерений осуществляется оценка защищенности акустической речевой информации, планируемой к обсуждению в защищаемом помещении. Оценка проводится в соответствии с действующим нормативными и методическими документами в области защиты информации от утечки по техническим каналам с применением поверенных средств измерения. По результатам проведения измерений выдаются аналогичные протоколы;

d) оценка достаточности принятых мер по защите информации (обрабатываемой или обсуждаемой);

e) выдача рекомендаций по устранению выявленных нарушений и приведению объекта информатизации в соответствие с требованиями по защите информации, оценка необходимости и помощь в выборе средств и систем защиты информации для использования на объекте информатизации;

f) проведение контроля эффективности принятых мер по защите информации. Осуществляется по тем же методикам, что и проведение инструментальных измерений с учетом принятых мер по защите информации на объекте информатизации, а также установленных и настроенных в соответствии действующими требованиями по защите информации средств и систем защиты. Проводится поверенной контрольно-измерительной аппаратурой. По результатам выдается протокол оценки эффективности принятых мер по защите информации на объекте информатизации.

Протокол оценки эффективности принятых мер по защите информации включает в себя следующие данные:

• данные об объекте информатизации: наименование, перечень технических средств, входящих в состав объекта с указанием модели, серийных и заводских номеров, место расположения, класс защищенности;
• перечень средств защиты информации, установленных на объекте информатизации и оценка эффективности которых проводится;
• данные об используемых инструментальных средствах контроля оценки эффективности (наименование и тип аппаратуры, серийные и заводские номера, данные о дате последней поверке и номере свидетельства о поверке средства контроля);
• данные об оцениваемых каналах утечки информации (побочные электромагнитные излучения, наводки, акустоэлектрический канал и т.д.);
• перечень нормативно-методических документов (требований), на соответствие которым проводится контроль эффективности;
• таблицы результатов измерений и расчетов нормативных показателей;
• выводы по результатам оценки эффективности принятых мер по защите информации на объекте информатизации;
• дата проведения специальных исследований, подписи специалистов органа по аттестации, проводивших специальные исследования.

Оценка функционирования средств защиты информации от несанкционированного доступа

Несанкционированный доступ к информации - получение защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Оценка эффективности средств защиты от несанкционированного доступа, установленных на объекте информатизации, проводится методом экспертно-документального контроля, а также путем тестирования функций, реализованных средствами защиты информации от несанкционированного доступа. Как правило, при проведении оценки осуществляются следующие виды работ:

• анализ технологического процесса обработки информации на объекте информатизации. В рамках проверки осуществляется анализ реального технологического процесса обработки информации на объекте информатизации с целью оценки соответствия установленным требованиям и технической документации, разработанной в организации;
• анализ установленных на объекте информатизации средств защиты информации от несанкционированного доступа с точки зрения достаточности и соответствия установленным требованиям по безопасности информации. Также в рамках данного анализа осуществляется проверка наличия действующих сертификатов соответствия на средства защиты от несанкционированного доступа;
• проверка правильности произведенных настроек средств защиты информации от несанкционированного доступа;
• проверка подсистемы управления доступом. В рамках проверки осуществляется оценка соответствия реализованных правил разграничения доступа заявленным требованиям, а также проверка аутентификации субъектов доступа при входе в систему;
• проверка подсистемы регистрации и учета. Осуществляется проверка настроек осуществления записей событий в системный журнал, а также наличие журналов учета носителей информации;
• проверка подсистемы обеспечения целостности. В рамках проверки осуществляется контроль целостности программной и аппаратной среды, наличие средств восстановления средств защиты информации от несанкционированного доступа, обеспечения охраны объекта информатизации.

Оценка соответствия объекта информатизации требованиям по защите информации от несанкционированного доступа осуществляется исходя из требований документов:

• Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992 г.;
• "Специальные требования и рекомендации по технической защите конфиденциальной информации" (имеют ограничительную пометку – "для служебного пользования"), утверждены приказом Гостехкомиссии России от 30 августа 2002г. № 282;
• Руководящий документ "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". Утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992 г.;
• "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования" ГОСТ 50739-95. Введен в действие 01.01.1996.

В соответствии с приказом ФСТЭК России "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" от 11.02.2013 № 17, при проведении аттестационных испытаний должны применяться следующие методы проверок (испытаний):

• экспертно-документальный метод, предусматривающий проверку соответствия системы защиты информации объекта информатизации установленным требованиям по защите информации, на основе оценки эксплуатационной документации, организационно-распорядительных документов по защите информации, а также условий функционирования объекта информатизации;
• анализ уязвимостей объекта информатизации, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации;
• испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к системе в обход ее системы защиты информации.