РЕКОМЕНДАЦИИ ПО РАЗРАБОТКЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ СИСТЕМ ИЗМЕРЕНИЯ ПОБОЧНОГО ЭЛЕКТРОМАГНИТНОГО ИЗЛУЧЕНИЯ С ТОЧКИ ЗРЕНИЯ РУКОВОДЯЩИХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ИНФОРМАЦИИ, МЕТРОЛОГИИ И ГОСТ
Никита Александрович Филин
Сибирская государственная геодезическая академия, 630108, Россия, г. Новосибирск,
ул. Плахотного, 10, аспирант кафедры наносистем и оптотехники, e-mail: n.n.n@ngs.ru
Игорь Владиленович Минин
Сибирская государственная геодезическая академия, 630108, Россия, г. Новосибирск,
ул. Плахотного, 10, доктор технических наук, профессор кафедры «Метрология, стандартизация и сертификация», тел. (383) 361-07-45, e-mail: prof. minin@gmail. com
Олег Владиленович Минин
Сибирская государственная геодезическая академия, 630108, Россия, г. Новосибирск,
ул. Плахотного, 10, доктор технических наук, профессор, заведующий кафедры «Метрология,
стандартизация и сертификация», тел. (383) 361-07-45, e-mail: kaf.metrol@ssga.ru
Проведен анализ требований к технической документации систем измерения побочного электромагнитного излучения с точки зрения требований ГОСТ и законодательной метрологии. Учитывались требования к комплексам и приборам, предназначенным для измерения побочных электромагнитных излучений и наводок, а также соблюдение метрологических требований, правил и норм, регламентируемых документами ГСИ, ЕСКД, ЕСТД. В результате анализа были составлены рекомендации по разработке технической документации систем измерения побочного электромагнитного излучения согласно требований законодательной метрологии и ГОСТ.
Ключевые слова: системы измерения побочного электромагнитного излучения, требования законодательной метрологии, метрологическая экспертиза документации.
GUIDELINES FOR SOFTWARE DEVELOPMENT AND DOCUMENT SYSTEMS FOR MEASURING SPURIOUS ELECTROMAGNETIC RADIATION TERMS OF GUIDANCE DOCUMENTS TO PROTECT INFORMATION, METROLOGY AND GOST
Nikita A. Filin
Siberian State Academy of Geodesy, 10 Plakhotnogo, 630108, Russia, Novosibirsk, postgraduate student of department «Nanosystems and optical engineering», e-mail: n.n.n@ngs.ru
Igor V. Minin
Siberian State Academy of Geodesy, 10 Plakhotnogo, 630108, Russia, Novosibirsk, Ph-doctor, professor of department «Metrology, standardization and certification», tel. (383) 361-07-45, e-mail: prof.minin@gmail.com
Oleg V. Minin
Siberian State Academy of Geodesy, 10 Plakhotnogo, 630108, Russia, Novosibirsk, Ph-doctor, professor, director of department «Metrology, standardization and certification», tel. (383) 361-07-45, e-mail: kaf.metrol@ssga.ru
The analysis of the requirements for the technical documentation systems for measuring spurious electromagnetic radiation from the point of view of the requirements of GOST and legal metrology. The requirements for the systems and devices designed to measure the stray electromagnetic radiation and interference, as well as observance of metrological requirements, rules and regulations, regulated documents ICG ESKD, ESTD. The analysis were drawn up recommendations for the development of technical documentation systems for measuring spurious electromagnetic radiation according to the requirements of legal metrology and GOST.
Key words: measuring spurious electromagnetic radiation, the requirements of legal metrology, metrological examination of the documentation.
Полученная с помощью систем измерения побочного электромагнитного излучения (СПЭМИ) измерительная информация должна с необходимой точностью и достоверностью отражать свойства электромагнитного поля, его мощности в различных точках пространства и характер зоны его распространения. Решение проблем объективной оценки зоны распространения информативного сигнала от средств вычислительно техники обрабатывающих защищаемую информацию невозможен без СПЭМИ.
При проектировании СПЭМИ кроме стандартных метрологических требований, рассмотренных ниже, предъявляются следующие специфические требования по защите информации. Требования к комплексам и приборам предназначенным для измерения побочных электромагнитных излучений и наводок установленные ГОСТ Р 53112-2008 [1]. Данный документ устанавливает требования к техническим характеристикам СПЭМИ, а так же к допустимым погрешностям, методам и порядку проведения испытаний.
Целью данной статьи является составление рекомендаций по разработке технической документации систем измерения побочного электромагнитного излучения по требованиям законодательной метрологии и ГОСТ.
Требования по защите информации
Средства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом подлежат обязательной сертификации. Порядок проведения сертификации описан в «Положении о сертификации средств защиты информации по требованиям безопасности информации» [2].
Основными схемами сертификации средств защиты информации являются:
- для единичных образцов средств защиты информации - проведение испытаний образца на соответствие требованиям по безопасности, информации;
- для серийного производства средств защиты информации проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению органа по сертификации допускается предварительная проверка (аттестация) производства по утвержденной программе. По согласованию с органом по сертификации по требованиям безопасности информации могут быть использованы и другие схемы сертификации, применяемые в международной практике.
Порядок проведения сертификации включает следующие действия:
- подачу и рассмотрение заявки на сертификацию средств защиты информации; испытания сертифицируемых средств защиты информации и аттестации их производства;
- экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;
- осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации;
- информирование о результатах сертификации средств защиты информации;
- рассмотрение апелляций.
Требования к метрологической экспертизе
Проектирование СПЭМИ является сложным процессом разработки совокупности компонентов функционально связанных для выполнения определенной задачи. Каждый из компонентов представляется совокупностью различных характеристик и параметров. Это значительно осложняет выявление закономерностей их взаимосвязи и влияния их на конечные результирующие показатели качества. Повышение качества проектирования этого типа систем связано с проведением метрологической экспертизы технической документации, разработанной в процессе проектирования. Кроме того, в соответствии с ФЗ «Об обеспечении единства измерений», в состав обязательных требований к средствам измерений в необходимых случаях включаются также требования к программному обеспечению (ПО) [3]. Это приводит к необходимости оценки влияния ПО на метрологические характеристики систем измерения и защиты обрабатываемой, в том числе измерительной, информации от непреднамеренных и преднамеренных изменений.
Метрологической экспертизе подвергается следующая техническая документация [4]:
- техническое задание (ТЗ) на разработку (проектирование);
- технические условия (ТУ), руководство по эксплуатации, конструкторская и технологическая документация;
Основные задачи метрологической экспертизы ТЗ на разработку (проектирование):
- рациональное нормирование метрологических характеристик измерительных каналов СПЭМИ на этапе их разработки (проектирования);
- построение эффективного способа метрологического обеспечения СПЭМИ на последующих этапах ее жизненного цикла.
Основным содержанием метрологической экспертизы ТЗ на разработку (проектирование) является проверка достаточности исходных требований, приводимых в проекте ТЗ, к которым относят:
- назначение СПЭМИ и сведения об ее использовании в сфере (или вне сферы) государственного регулирования обеспечения единства измерений;
- сведения об измеряемых величинах и их характеристиках (диапазоне значений, возможных изменениях в процессе измерений);
- перечни измерительных каналов и нормы на их погрешности;
- условия измерений;
- условия метрологического обслуживания.
При проведении метрологической экспертизы ТУ, а также конструкторской и технологической документации, проверяют соответствие заложенных в ТУ и указанной документации комплексов метрологических характеристик измерительных каналов СПЭМИ и их компонентов, методов и средств их определения, контроля и (или) расчета исходным требованиям ТЗ и МИ 2439-97 [5], а также соблюдение метрологических требований, правил и норм, регламентируемых документами ГСИ, ЕСКД, ЕСТД.
Использование программного обеспечения в системах СПЭМИ, существенно расширяет их функциональные возможности и повышает оперативность обработки измерительной информации. Вместе с тем, недостаточная надежность ПО увеличивает долю эксплуатационных затрат по сравнению с общими затратами на проектирование, производство и применение этих систем. Кроме того, отказы ПО ведут к потерям информации и простоям, а так же к ошибкам порождающим уязвимости в системах защиты. Проведение независимой, в том числе метрологической, экспертизы используемого ПО повышает надежность системы в целом.
Для СПЭМИ на этапе разработки рекомендуется выделение метрологически значимой части ПО, т.е. выделение той его части, которая подлежит аттестации. Под аттестацией ПО понимают исследование программного обеспечения с целью определения его характеристик, свойств и идентификационных данных и подтверждения соответствия требованиям национального стандарта ГОСТ Р 8.654-2009 [6].
При разделении ПО аттестации подлежат все метрологически значимые части программы (подпрограммы, процедуры, функции и т.д.), которые используются при обработке данных или влияют на них, или используются в таких вспомогательных функциях, как защита, хранение и передача данных, идентификация ПО.
Другие части программы, переменные или параметры (например, подпрограммы, библиотеки, процедуры взаимодействия с операционной средой и периферийными устройствами персонального компьютера) не подлежат аттестации. Модификация указанных частей может быть выполнена без уведомления уполномоченных органов (организаций), если изменение этих частей не приводит к изменению идентификационных данных ПО.
ПО СПЭМИ должно соответствовать требованиям [7]:
- к документации ПО;
- к структуре ПО;
- к влиянию ПО на метрологические характеристики СПЭМИ;
- к защите ПО и данных.
Требования к документации ПО
ПО СПЭМИ должно сопровождаться документацией, соответствующей требованиям стандартов Единой системы программной документации. Доку-
ментация должна полно и однозначно описывать назначение, основные функции, структуру и другие необходимые параметры и характеристики ПО.
Минимальный набор документов, сопровождающих ПО СПЭМИ при его аттестации, рекомендуется представлять в следующем составе:
- техническое задание по ГОСТ 19.201-78;
- спецификация по ГОСТ 19.202-78;
- описание применения по ГОСТ 19.502-78;
- схемы алгоритмов, программ, данных и систем по ГОСТ 19.701-90;
- руководство пользователя.
В перечисленных документах должна быть приведена следующая информация, необходимая для проведения аттестации ПО:
- обозначение ПО, включающее в себя его наименование, обозначение его версии или версий его модулей;
- описание назначения ПО, его структуры и выполняемых функций;
- описание методов и способов идентификации ПО, а также его метрологически значимых частей, функций и параметров;
- описание реализованных в ПО расчетных алгоритмов, а также их блок-схемы;
- описание интерфейсов пользователя, всех меню и диалогов;
- описание интерфейсов связи ПО для передачи, обработки и хранения данных;
- описание реализованных методов защиты ПО и данных;
- описание способов хранения измеренных данных на встроенном, удаленном или съемном носителе;
- описание требуемых системных и аппаратных средств, если эта информация не приведена в руководстве пользователя.
Требования к структуре ПО
Метрологически значимое ПО СПЭМИ должно быть разработано таким образом, чтобы его невозможно было подвергнуть искажающему воздействию через интерфейсы пользователя и другие интерфейсы.
Команды и данные, введенные через интерфейс пользователя СПЭМИ и интерфейс связи СПЭМИ, не должны оказывать недопустимого влияния на метрологически значимое ПО СПЭМИ и данные. Следовательно, должно быть однозначное назначение каждой команды для инициирования функции или изменения данных в соответствии с сопроводительной технической документацией. Интерфейс, который принимает и передает команды или данные должен быть предназначен для этой цели и может управляться только посредством метрологически значимого ПО. Обмен данными между метрологически значимыми и незначимыми частями ПО СПЭМИ проводят через защищенный интерфейс, который охватывает как все взаимодействия между этими частями ПО, так и прохождение данных.
Все взаимодействия между метрологически значимыми и незначимыми частями ПО СПЭМИ и прохождение данных не должны подвергать искажающему воздействию метрологически значимое ПО. Должно быть однозначное назначение каждого набора команд, переданных через интерфейс ПО СПЭ-
МИ, для инициации функций или изменения данных в метрологически значимом ПО.
Требования к влиянию ПО на метрологические характеристики СПЭМИ
Степень влияния ПО на метрологические характеристики СПЭМИ оценивают при его аттестации. При этом должна быть предусмотрена возможность такой оценки с помощью программных и метрологических тестов по методикам МИ 2174-91, МИ 2955-2005.
Требования к защите ПО и данных
Возможными причинами случайных или непреднамеренных изменений обрабатываемой информации и измеренных данных могут быть:
- непредсказуемые физические воздействия;
- эффекты, обусловленные действиями пользователя;
- дефекты ПО СПЭМИ.
ПО СПЭМИ должно содержать средства обнаружения, отображения и/или устранения сбоев (функциональных дефектов) и искажений, которые нарушают целостность ПО и данных.
ПО СПЭМИ должно быть защищено от несанкционированной модификации, загрузки или считывания данных из интегрированной памяти. Для СПЭ-МИ без интерфейса для предотвращения удаления и замены запоминающего устройства другим, содержащим фальсифицированное ПО или данные, конструкцией прибора или непосредственно физической памятью должна быть предусмотрена защита от несанкционированного удаления. Интерфейс, при его наличии должен обладать только такими функциями, которые могут быть подвергнуты проверке. Метрологически значимая часть ПО СПЭМИ и данные должны быть защищены от несанкционированной модификации.
Своевременное проведение метрологической экспертизы позволяет предотвратить проникновение в разрабатываемую техническую документацию решений с нарушением норм метрологического обеспечения жизненного цикла проектируемых систем измерения побочного электромагнитного излучения.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. ГОСТ Р 53112-2008 Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний.
2. Положение о сертификации средств защиты информации по требованиям безопасности информации (с дополнениями в соответствии с Постановлением Правительства Российской Федерации от 26 июня 1995 года N 608 "О сертификации средств защиты информации") от 27 октября.
3. Федеральный Закон от 26 июня 2008 № 102-ФЗ "Об обеспечении единства измерений": принят Гос. Думой 11 июня 2008 года: одобр. Советом Федерации 18 июня 2008 года.
4. ГОСТ Р 8.596-2002. Государственная система обеспечения единства измерений. Метрологическое обеспечение измерительных систем. Основные положения.
5. МИ 2439-97. Государственная система обеспечения единства измерений. Метрологические характеристики измерительных систем. Номенклатура. Принцип регламентации, определения и контроля.
6. ГОСТ Р 8.654-2009. Государственная система обеспечения единства измерений. Требования к программному обеспечению средств измерений. Основные положения.
7. ГОСТ Р 8.654-2009. Государственная система обеспечения единства измерений. Требования к программному обеспечению средств измерений. Основные положения.
© Н.А. Филин, И.В. Минин, О.В. Минин, 2013