5.1. Состав реализуемых стадий и этапов создания для каждой конкретной АСЗИ, а также содержание выполняемых на них работ по защите обрабатываемой информации устанавливают на стадии "Техническое задание" при разработке ТЗ (ЧТЗ) в соответствии с требованиями ГОСТ 34.602.
Номенклатура требований по ЗИ, предъявляемая к АСЗИ, разрабатывается в соответствии с требованиями НД по ЗИ, содержащими требования по проведению сертификации комплектующих изделий, по проведению специальных исследований и специальных проверок средств обработки информации как иностранного, так и совместного производства и по проведению аттестации АСЗИ по требованиям безопасности информации.
5.2. Ввод АСЗИ в эксплуатацию осуществляется только после выполнения всех мероприятий по ЗИ и проведения испытаний испытательным центром (лабораторией) на соответствие требованиям НД по защите информации.
5.3. Применение АСЗИ для обработки защищаемой информации разрешается только после ее аттестации на соответствие требованиям безопасности информации.
5.4. Эксплуатация АСЗИ должна осуществляться в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией на АСЗИ, оценка которым должна быть дана при испытаниях АСЗИ на соответствие требованиям НД по защите информации.
5.5.Должностные лица, обслуживающий персонал и пользователи (операторы) АСЗИ несут ответственность за несоблюдение ими установленного порядка работы по ЗИ и применения мер и средств защиты информации.
5.6. При выявлении нарушений требований ЗИ на АСЗИ установленным НД эксплуатация АСЗИ должна быть прекращена.
5.7. Прекращение эксплуатации АСЗИ возможно также по следующим основаниям:
- согласно принятому собственником (владельцем) АСЗИ решению и оформленному в установленном порядке;
- согласно принятому решению органа надзора (контроля) из-за несоответствия требованиям НД по защите информации или по другим причинам, приводящим к утечке ЗИ или другим угрозам защищаемой информации;
- по решению суда.
5.8. Организационно-методическое руководство работами по созданию, изготовлению, обеспечению и эксплуатации средств криптографической ЗИ, сертификации этих средств, а также контроль за состоянием и развитием этого направления работ осуществляют ведомства, уполномоченные Правительством Российской Федерации на проведение соответствующих работ.
5.9. Порядок обеспечения эксплуатации АСЗИ с использованием шифровальной техники для защиты сведений, отнесенных к государственной тайне, регламентируется в [9].
5.10. Ответственность за надлежащее исполнение правил эксплуатации средств криптографической ЗИ (в том числе во время приемочных испытаний) возлагается на руководство организаций, эксплуатирующих данные средства.
5.11. Контроль за выполнением требований инструкций по эксплуатации средств криптографической ЗИ возлагается на специальные подразделения по ЗИ на предприятии (организации) [9].
5.12. Тематические исследования по криптографической ЗИ в составе комплексов технических средств АСЗИ проводятся организациями, имеющими лицензию на этот вид работ в соответствии с [9].
5.13. Специальные исследования ТС и средств АСЗИ проводятся организациями (учреждениями), имеющими лицензии Гостехкомиссии России на соответствующий вид деятельности.
5.14. Сертификация средств, комплексов и систем ЗИ осуществляется в соответствии с требованиями [4], [5].
5.15. Аттестацию на соответствие требованиям защиты информации АСЗИ осуществляют в соответствии с требованиями [10].
5.16. Испытания СВТ АСЗИ на соответствие требованиям по защите обрабатываемой информации от утечки за счет побочных электромагнитных излучений и наводок осуществляют по ГОСТ Р 50752.
5.17. Испытания СВТ и АСЗИ на соответствие требованиям ГОСТ Р 50739, [11] по защите от НСД к информации осуществляют по [12].
5.18. Испытания программных средств АСЗИ на наличие компьютерных вирусов осуществляют по ГОСТ Р 51188.
Приложение А
(рекомендуемое)
Типовое содержание работ на стадиях создания автоматизированных систем в защищенном исполнении
| По ГОСТ 34.601 | Типовое содержание работ по защите информации | ||
| Стадия | Этапы работы | ||
| 1.Формирование требований к АС | 1.1. Обследование объекта и обоснование необходимости создания АСЗИ | Сбор данных о проводимых работах на объекте информатизации по обработке информации различной степени секретности. Определение факторов, воздействующих на информацию в соответствии с требованиями ГОСТ Р 51275. Оценка целесообразности создания АСЗИ. | |
| 1.2. Формирование требований пользователя к АСЗИ | Подготовка исходных данных для формирования требований по ЗИ на АС и процессов ее создания и эксплуатации. Разработка предварительных требований к СиЗИ на АСЗИ. | ||
| 1.3. Оформление отчета о выполняемой работе и заявки на разработку АСЗИ | Разработка предложений по ЗИ в отчетной нормативно-технической документации. Оформление отчета о выполненных работах по ЗИ на данных стадиях. Оформление предложений по ЗИ в заявку на разработку АСЗИ. Формирование предложений по ЗИ в ТЗ на АСЗИ. | ||
| 2. Разработка концепции АС | 2.1. Изучение объекта | Уточнение условий эксплуатации АСЗИ и категорий важности обрабатываемой информации. Формирование перечня угроз защищаемой информации. Уточнение номенклатуры требований, предъявляемых к АСЗИ. | |
| 2.2. Проведение необходимых НИР | Поиск путей реализации требований по ЗИ в АС. Оценка возможности реализации требований по ЗИ в АСЗИ. Оформление и утверждение отчета о НИР по ЗИ или разделов по ЗИ в отчет о НИР по созданию АСЗИ. | ||
| 2.3. Разработка вариантов концепции АС и выбор варианта концепции АС | Разработка альтернативных вариантов концепции ЗИ в АС и облика СиЗИ и процессов ее создания. Выбор оптимального варианта концепции ЗИ в АС (разработка замысла ЗИ в АС) и СиЗИ АС. Технико-экономическое обоснование выбранного варианта ЗИ в АС и процессов ее создания и эксплуатации | ||
| 2.4.Оформление отчета о выполненной работе | Подготовка и оформление отчета о выполненных работах по ЗИ на данной стадии создания АС. Согласование концепции ЗИ в АС и предложений по вариантам СиЗИ в АС. Предложения по ЗИ в отчетную нормативно-техническую документацию этапа работ. Согласование и получение заключения ФАПСИ на разработку ШС. | ||
| По ГОСТ 34.601 | Типовое содержание работ по защите информации | |
| Стадия | Этапы работы | |
| 3.Техническое задание | 3.1. Разработка и утверждение технического задания на создание АСЗИ | Разработка требований по ЗИ в раздел ТЗ (ЧТЗ) на создание АСЗИ. Разработка, оформление, согласование и утверждение ТЗ (ЧТЗ) на создание АСЗИ. |
| 4. Эскизный проект | 4.1. Разработка предварительных проектных решений по системе в целом и ее частям | Разработка предварительных проектных решений АСЗИ. Технико-экономическое обоснование эффективности вариантов СиЗИ. Разработка ТЗ на СрЗИ и средства контроля эффективности ЗИ. Разработка требований на СрЗИ и средства контроля эффективности ЗИ в АС. |
| 4.2. Разработка документации на АСЗИ и ее части | Разработка, оформление, согласование и утверждение документации по ЗИ и разделов эскизного проекта АС в части ЗИ. Экспертиза документации отчетной научно-технической документации и технической документации. | |
| 5. Технический проект | 5.1. Разработка проектных решений по системе в целом и ее частям | Разработка СрЗИ н средств контроля. Разработка технического проекта СиЗИ и предложений по ЗИ в технический проект АСЗИ. |
| 5.2. Разработка документации на АСЗИ и ее части | Разработка рабочей документации и технического проекта СиЗИ АС. Разработка разделов технической документации по ЗИ и/или отдельных документов по ЗИ в АС. Участие в экспертизе документации АСЗИ. | |
| 5.3. Разработка и оформление документации на поставку изделий для комплектования АСЗИ | Подготовка и оформление технической документации на поставку ТС и ПС для АС и СиЗИ. Поставка СрЗИ. Испытания СрЗИ. Сертификация СрЗИ и СиЗИ на соответствие требованиям по безопасности информации. Специсследования (спецпроверки) приобретенных ТС. Тестирование ПС. Экспертиза. | |
| 5.4. Разработка заданий на проектирование в смежных частях проекта объекта автоматизации | Проектирование помещений АС с учетом требований НД по защите информации. | |
| 6. Рабочая документация | 6.1. Разработка рабочей документации на систему в целом и ее части | Участие в разработке рабочей конструкторской документации АС в части учета требований по ЗИ. Разработка рабочей конструкторской документации СиЗИ. Участие в экспертизе рабочей конструкторской документации. |
| 6.2. Разработка или адаптация программ | Разработка ПС АСЗИ, программных СрЗИ. Тестирование ПС. Сертификация ПС по требованиям безопасности информации |
| По ГОСТ 34.601 | Типовое содержание работ по защите информации | |
| Стадия | Этапы работы | |
| 7. Ввод в действие | 7.1. Подготовка АСЗИ к вводу в действие | Реализация проектных решений по организационной структуре СиЗИ АС и процесса. Требования к организационным мерам ЗИ |
| 7.2 Подготовка персонала | Проверка способности персонала обеспечить функционирование АСЗИ н СиЗИ. Проверка специалистов службы безопасности АС по обслуживанию СиЗИ. | |
| 7.3. Комплектация АС поставляемыми изделиями (ПС и ТС) | Получение комплектующих изделий для СиЗИ. Проверка качества поставляемых комплектующих изделий | |
| 7.4. Строительно-монтажные работы | Участие в работах по надзору за выполнением требований по ЗИ строительными организациями. Участие в испытаниях ТС по вопросам ЗИ. Проведение специсследований ТС | |
| 7.5. Пуско-наладочные работы | Проведение автономных наладок технических и программных СрЗИ, загрузка информации в базу данных и ее проверка. Участие в комплексной наладке всех средств АС с точки зрения обеспечения ЗИ | |
| 7.6. Проведение предварительных испытаний | Испытание СиЗИ на соответствие требованиям. Устранение недостатков СрЗИ и СиЗИ. Внесение изменений в документацию на СиЗИ. Участие в испытаниях АСЗИ. Проведение специсследований ТС. Аттестация АСЗИ | |
| 7.7. Проведение опытной эксплуатации | Эксплуатация СиЗИ. Анализ, доработка, наладка СиЗИ. Акт о завершении опытной эксплуатации СиЗИ. Участие в опытной эксплуатации АСЗИ. Анализ и предложения по доработке АСЗИ. | |
| 8. Сопровож-дение АСЗИ | 8. Выполнение работ в соответствии с гарантийными обязательствами | Устранение недостатков по ЗИ в процессе функционирования АСЗИ. Внесение изменений в документацию АС в части вопросов ЗИ. Проведение инспекционного контроля за стабильностью характеристик АСЗИ. |
| 8.2.Послегарантий- ное обслуживание | Анализ функционирования СиЗИ в АСЗИ. Установление причин не выполнения требований по ЗИ в АСЗИ. Выявление недостатков. Устранение недостатков в СиЗИ АСЗИ по гарантийным обязательствам. Внесение изменений в документацию на АСЗИ. Контроль состояния ЗИ в АС в защищенном исполнении. |
Приложение Б
(справочное)
Библиография
| [1] | Положение о государственной системе защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам. Москва. Военное издательство. 1993. |
| [2] РД 50-680-88 | Методические указания. Автоматизированные системы. Основные положения |
| [3] | Федеральный закон "Об участии в международном информационном обмене" № 85-ФЗ от 4.07.96 г. |
| [4] | Положение о сертификации средств защиты информации. Постановление Правительства Российской Федерации от 26.06.95г. N 608 |
| [5] | Положение о сертификации средств защиты информации по требованиям безопасности информации. Приказ Председателя Гостехкомиссии России от 27.10.1995 г. №199. Зарегистрировано Госстандартом России в Государственном реестре 20.03.1995 г. (Свидетельство №РОСС 1Ш.0001.01БИОО). |
| [6] | Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации). Гостехкомиссия России. Решение N 32 от 14.03.95г. |
| [7] | Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов Российской Федерации. Гостехкомиссия России. Решение N 32 от 14.03.95. |
| [8] РД 50-34.698-90 | Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов. |
| [9] Положение ПШ-93 | Положение о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику в Российской Федерации. |
| [10] | Положение об аттестации объектов информатизации по требованиям безопасности информации. Гостехкомиссия России. 1994. |
| [11] Руководящий документ | Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Гостехкомиссия России. Москва. Военное издательство. 1992. |
| [12] Руководящий документ | Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России. Москва. Военное издательство. 1992. |
| [13] Руководящий документ | Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России. Москва. Военное издательство. 1992. |
| [14] Руководящий документ | Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. Гостехкомиссия России. М.: Военное издательство. 1992. |
| [15] Руководящий документ | Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России. М.:1998. |
Ключевые слова: защищаемая информация, автоматизированная система, автоматизированная система в защищенном исполнении, требования по защите информации, средства защиты информации, средства контроля эффективности защиты информации, система защиты информации, аттестация автоматизированной системы в защищенном исполнении, сертификация средств защиты информации, лицензирование в области защиты информации, контроль эффективности защиты информации.
Заместитель Председателя технического комитета по стандартизации "Защита информации"
Начальник управления - Заместитель начальника 5 ЦНИИИ МО РФ
(по проблемам защиты информации)
В. Герасименко
" __" ______________1999г.
Ответственный секретарь технического комитета
по стандартизации "Защита информации"
начальник лаборатории 5 ЦНИИИ МО РФ
В. Парфенов
" __" _____________ 1999 г.