Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
|
ГОСТ Р 51583-2000 Порядок создания автоматизированных систем в защищенном исполнении |
|
ГОСТ Р 51583-2000 ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ __________________________________________________________________________________________ Защита информации ПОРЯДОК СОЗДАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ Общие положения Москва Предисловие 1 РАЗРАБОТАН 5 ЦНИИИ МО РФ ВНЕСЕН Техническим комитетом по стандартизации “Защита информации” (ТК 362Р) 2 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 6 апреля 2000 г. № 95-ст 3 В настоящем стандарте реализованы нормы Законов Российской Федерации в информацион ной сфере и в области защиты информации 4 ВВЕДЕН ВПЕРВЫЕ ГОСТ Р 51583-2000 Содержание 1 Область применения 2 Нормативные ссылки 3 Определения и сокращения 4 Общие положения о порядке создания автоматизированных систем в защищенном исполнении 5 Особенности испытаний и применения автоматизированной системы в защищенном исполнении Приложение А. Типовое содержание работ по защите информации на стадиях создания автоматизированных систем в защищенном исполнении Приложение Б. Библиография 1 Область применения Настоящий стандарт распространяется на автоматизированные системы в защищенном ис полнении, используемые в различных видах деятельности (исследование, управление, проектиро вание и т. п.), включая их сочетания, в процессе создания и применения, которых осуществляется обработка защищаемой информации, содержащей сведения, отнесенные к государственной или служебной тайне. Настоящий стандарт устанавливает дополнительные требования и положения стандартов класса 34 “Информационная технология. Комплекс стандартов на автоматизированные системы” в части порядка создания и применения автоматизированных систем в защищенном исполнении. Настоящий стандарт применяется на территории Российской Федерации органами государ ственной власти, местного самоуправления, организациями, предприятиями и учреждениями не зависимо от их организационно-правовой формы и формы собственности, которые заказывают, разрабатывают, изготавливают и используют (эксплуатируют) автоматизированные системы в за щищенном исполнении. 2 Нормативные ссылки В настоящем стандарте использованы ссылки на следующие стандарты: ГОСТ 34.003—90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения ГОСТ 34.201—89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем ГОСТ 34.601—90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания ГОСТ 34.602—89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы ГОСТ 16504—81 Система государственных испытаний продукции. Испытания и контроль качества продукции. Основные термины и определения ГОСТ 29339-92 ГОСТ Р 50543—93 Конструкции базовые несущие средств вычислительной техники. Требования по обеспечению защиты информации и электромагнитной совместимости методом экранирования ГОСТ Р 50739—95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования ГОСТ Р 50752-95 - ГОСТ РВ 50797-95 ГОСТ Р 50922—96 Защита информации. Основные термины и определения ГОСТ Р 51188—98 Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство ГОСТ Р 51275—99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения 3 Определения и сокращения 3.1 В настоящем стандарте применяют следующие термины с соответствующими определени ями. 3.1.1 Автоматизированная система в защищенном исполнении — автоматизированная систе ма, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или нормативных документов по защите информации. 3.1.2 Аттестация автоматизированной системы в защищенном исполнении — процесс комплексной проверки выполнения заданных функций автоматизированной системы по обработке защищаемой информации на соответствие требованиям стандартов и/или нормативных документов в области защиты информации и оформления документов о ее соответствии выполнять функции по обработке защищаемой информации на конкретном объекте информатизации. 3.1.3 Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Примечание— Отнесение информации к государственной тайне осуществляется в соответствии с Законом “О государственной тайне”. 3.1.4 Служебная тайна — защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных осно ваниях и в силу исполнения их представителями служебных обязанностей, а также служебная ин формация о деятельности государственных органов, доступ к которой ограничен федеральным за коном или в силу служебной необходимости. 3.1.5 Защита информации — деятельность, направленная на предотвращение утечки защища емой информации, несанкционированных и непреднамеренных воздействий на защищаемую ин формацию (по ГОСТ Р 50922). 3.1.6 Защищаемая информация — информация, являющаяся предметом собственности и под лежащая защите в соответствии с требованиями правовых документов или требованиями, устанав ливаемыми собственником информации (по ГОСТ Р 50922). 3.1.7 Закладочное устройство — элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации) (по ГОСТ Р 51275). 3.1.8 Информационная сфера — сфера деятельности субъектов, связанная с созданием, пре образованием и потреблением информации [I]. 3.1.9 Информационная технология — приемы, способы и методы применения средств вычис лительной техники при выполнении функций хранения, обработки, передачи и использования данных (по ГОСТ 34.003). 3.1.10 Информационный процесс — процесс создания, сбора, обработки, накопления, хра нения, поиска, распространения и потребления информации. 3.1.11 Испытания — экспериментальное определение количественных и/или качественных ха рактеристик свойств объекта испытаний как результата воздействия на него при его функциониро вании, при моделировании объекта и/или воздействий (по ГОСТ 16504). 3.1.12 Категорирование защищаемой информации — установление градаций важности защи щаемой информации (по ГОСТ Р 50922). 3.1.13 Мероприятие по защите информации — совокупность действий, направленных на раз работку и/или практическое применение способов и средств защиты информации (по ГОСТ Р 50922). 3.1.14 Непреднамеренное воздействие на информацию — ошибка пользователя информацией, сбой технических и программных средств информационных систем, природные явления или иные нецеленаправленные на изменение информации действия, приводящие к искажению, уничтоже нию, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. 3.1.15 Несанкционированное воздействие на информацию — воздействие на защищаемую ин формацию с нарушением установленных прав и/или правил доступа, приводящее к утечке, иска жению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничто жению или сбою функционирования носителя информации. 3.1.16 Обработка информации — совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации (по ГОСТ Р 51275). 3.1.17 Секретная информация — информация, содержащая сведения, отнесенные к государ ственной тайне. 3.1.18 Система защиты информации автоматизированной системы — совокупность техничес ких, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации. 3.1.19 Средство защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации (по ГОСТ Р 50922). 3.1.20 Средство контроля эффективности защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффектив ности защиты информации (по ГОСТ Р 50922). 3.1.21 Приемочный контроль — контроль продукции, по результатам которого принимается решение о ее пригодности к поставкам и/или использованию (по ГОСТ 16504). 3.1.22 Контроль эффективности защиты информации — проверка соответствия качественных и количественных показателей эффективности мероприятий по защите информации требованиям или нормам эффективности защиты информации (по ГОСТ Р 50922). 3.1.23 Специальная проверка — проверка компонентов автоматизированной системы, осуще ствляемая с целью поиска и изъятия закладочного устройства. 3.1.24 Специальные исследования (специсследования) — выявление с использованием конт рольно-измерительной аппаратуры возможных технических каналов утечки защищаемой информа ции от основных и вспомогательных технических средств и систем и оценка соответствия защиты информации требованиям нормативных документов по защите информации. 3.2 В настоящем стандарте приняты следующие сокращения: AC — автоматизированная система; АСЗИ — автоматизированная система в защищенном исполнении; ЗИ — защита информации; НД — нормативный документ; ТЗ — техническое задание; ЧТЗ — частное техническое задание; ШС — шифровальное средство; ТС — технические средства; ПС — программные средства; СрЗИ — средство защиты информации; СиЗИ — система защиты информации; СВТ — средство вычислительной техники; ПЭМИН — побочные электромагнитные излучения и наводки; НСД — несанкционированный доступ; НИР — научно-исследовательская работа; ФАПСИ — Федеральное агентство правительственной связи и информации.
4 Общие положения о порядке создания автоматизированных систем в защищенном исполнении 4.1 АС представляет организационно-техническую систему, обеспечивающую выработку ре шений на основе автоматизации информационных процессов в различных сферах деятельности (уп равление, проектирование, производство и т. д.) или их сочетаниях. 4.2 АС реализует информационную технологию в виде определенной последовательности ин формационно-связанных функций, задач или процедур, выполняемых в автоматизированном или автоматическом режимах. 4.3 Целесообразность создания и внедрения АС определяется социальным, научно-техничес ким или другими полезными эффектами, получаемыми в результате автоматизации. 4.4 Процесс создания АСЗИ заключается в выполнении совокупности мероприятий, направ ленных на разработку и/или практическое применение информационной технологии, реализую щей функции по ЗИ, установленные в соответствии с требованиями стандартов и/или НД по ЗИ как во вновь создаваемых, так и в действующих АС. 4.5 Целью создания АСЗИ является исключение или существенное затруднение получения злоумышленником защищаемой информации, обрабатываемой в АС, а также исключение или су щественное затруднение несанкционированного и/или непреднамеренного воздействия на защи щаемую информацию и ее носители. 4.6 Защита информации в АСЗИ является составной частью работ по их созданию, эксплуата ции и осуществляется во всех органах государственной власти и на предприятиях (организациях), располагающих информацией, содержащей сведения, отнесенные к государственной или служеб ной тайне [2J. 4.7 Разработка и внедрение вновь создаваемой АС производится в соответствии с ТЗ на АС, которое является основным документом, определяющим требования, предъявляемые к АС, поря док создания АС и приемку АС при вводе в действие. 4.8 Для вновь создаваемых AC T3 разрабатывают на систему в целом, предназначенную для работы самостоятельно или в составе другой системы. Дополнительно могут быть разработаны ЧТЗ на части и подсистемы АС. Поэтому требования по ЗИ при создании АСЗИ должны включаться разделом в общее ТЗ на АС или могут быть изложены в виде частного ЧТЗ или дополнения к основ ному ТЗ на АС. Порядок утверждения и согласования ЧТЗ (дополнения к основному ТЗ на АС) не должен отличаться от установленного порядка утверждения и согласования ТЗ на АС по ГОСТ 34.602. 4.9 Для АСЗИ, создаваемой на базе действующей АС, разрабатывают ТЗ (ЧТЗ) или дополнение к основному ТЗ на АС, в которые включают требования по ЗИ только в части создаваемой системы (подсистемы) защиты обрабатываемой информации в АС. Утверждение и согласование ТЗ (ЧТЗ) или дополнения к основному ТЗ на АС производится в порядке, установленном ГОСТ 34.602. 4.10 Реализация мероприятий по защите информации в АСЗИ должна осуществляться непрерывно на всех стадиях и этапах создания АСЗИ во взаимосвязи с мерами по обеспечению установленного режима секретности проводимых работ. Основные принципы и положения по созданию и функционированию АСЗИ должны соответствовать требованиям ГОСТ 29339, ГОСТ Р 50543, ГОСТ Р 50739, ГОСТ Р 51275, ГОСТ РВ 50797, нормативных документов [З], f4], [5], [б], [7J, f8]. Для АСЗИ, предназначенных для обработки информации, составляющей государственную тайну, а также информации с ограниченным доступом, используемой в управлении экологически опасными объектами, требования вышеперечисленных документов являются обязательными. В остальных случаях требования вышеперечисленных документов носят рекомендательный характер и конкретные требования по созданию и функционированию АСЗИ в области защиты информации могут устанавливаться в НД, разрабатываемых собственником информации. 4.11 Типовое содержание работ на всех стадиях и этапах создания АСЗИ должно соответствовать требованиям ГОСТ 34.601, [1] и рекомендациям, приведенным в приложении А. 4.12 Организации—участники работ по созданию АСЗИ должны иметь лицензии на право проведения работ в области защиты информации. Лицензирование организаций и предприятий осуществляется в установленном порядке. 4.13 Работы по созданию, производству и эксплуатации АСЗИ с использованием ШС для защиты сведений, отнесенных к государственной тайне, организуются в соответствии с положениями нормативных актов Российской Федерации, определяющих порядок разработки, изготовления и обеспечения эксплуатации ШС, систем и комплексов вооружения, использующих ШС. 4.14. Научно-техническое обеспечение создания АСЗИ должно соответствовать современному состоянию развития науки и техники, а технические решения по защите информации должны быть экономически оправданными. 4.15. Для создания АСЗИ могут применяться как серийно выпускаемые, так и вновь разработанные ТС и ПС обработки информации, а также технические, программные, программно-технические, шифровальные СрЗИ и средства для контроля эффективности. Выпускаемые средства должны иметь сертификаты соответствия, полученные в соответствующих системах сертификации по требованиям безопасности информации [9], [10]. Вновь разработанные средства должны быть сертифицированы в установленном порядке до начала опытной эксплуатации АСЗИ. 4.16. Процесс создания и применения АСЗИ должен быть документирован в полном соответствии с требованиями ГОСТ 34.201, в том числе и НД по защите обрабатываемой информации [4]. 4.17. Заказчик, собственник и владелец АСЗИ, а также организации—участники создания АСЗИ несут ответственность за обеспечение защиты обрабатываемой информации в АСЗИ и выполняемые работы по ЗИ на всех стадиях создания АСЗИ, как это предусмотрено в законодательстве Российской Федерации. 4.18. Технические, программные и программно-технические СрЗИ специального применения создаются разработчиком АСЗИ. Конструкторская документация на их изготовление включается в состав документации на АСЗИ отдельными документами или разделами основных документов. 4.19 За обеспечение создания АСЗИ несут ответственность: - заказчик — в части включения в ТЗ (ЧТЗ) на АСЗИ и ее компонентов, а также в техничес кую, программную, конструкторскую и эксплуатационную документацию обоснованных требова ний по защите обрабатываемой информации и контроля их выполнения в процессе экспертизы документации, испытаний и приемки как АСЗИ в целом, так и ее компонентов; - предприятие-разработчик — в части обеспечения соответствия разрабатываемой АСЗИ и СиЗИ требованиям ТЗ (ЧТЗ) по защите обрабатываемой информации, действующим стандартам, нормам и другим НД; - предприятие-изготовитель — в части осуществления технических мер по обеспечению соответствия изготавливаемых ТС и программной продукции заданным требованиям по защите обраба тываемой информации, реализованным в конструкторской и программной документации. 4.20 Общее руководство работами по ЗИ при создании АСЗИ в целом осуществляет главный конструктор АСЗИ или его заместители, а при создании компонентов АСЗИ — главные конструктора этих компонентов или их заместители. Методическое руководство работами по ЗИ в АСЗИ в процессе жизненного цикла АСЗИ осуществляют подразделения организаций (штатные специалисты) по ЗИ, участвующие в создании АСЗИ [II], [12]. 5 Особенности испытаний и применения автоматизированной системы в защищенном исполнении 5.1 Состав реализуемых стадий и этапов создания для каждой конкретной АСЗИ, а также содержание выполняемых на них работ по защите обрабатываемой информации устанавливают на стадии “Техническое задание” при разработке ТЗ (ЧТЗ) в соответствии с требованиями ГОСТ 34.602. Номенклатуру требований по ЗИ, предъявляемую к АСЗИ, разрабатывают в соответствии с требованиями НД по ЗИ, содержащими требования по проведению сертификации комплектующих изделий, по проведению специальных исследований и специальных проверок средств обработки информации как иностранного, так и совместного производства и по проведению аттестации АСЗИ по требованиям безопасности информации. 5.2 Ввод АСЗИ в эксплуатацию осуществляется только после выполнения всех мероприятий по ЗИ и проведения испытаний испытательным центром (лабораторией) на соответствие требованиям НД по защите информации. 5.3 Применение АСЗИ для обработки защищаемой информации разрешается только после ее аттестации на соответствие требованиям безопасности информации. 5.4 Эксплуатация АСЗИ должна осуществляться в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией на АСЗИ, оценка которым должна быть дана при испытаниях АСЗИ на соответствие требованиям НД по защите информации. 5.5 Должностные лица, персонал и пользователи (операторы) АСЗИ несут ответственность за несоблюдение ими установленного порядка работы по ЗИ и применения мер и средств защиты информации. 5.6 При выявлении нарушений требований ЗИ на АСЗИ установленным НД эксплуатация АСЗИ должна быть прекращена. 5.7 Прекращение эксплуатации АСЗИ возможно также на следующих основаниях: - согласно принятому собственником (владельцем) АСЗИ решению и оформленному в установленном порядке; - согласно принятому решению органа надзора (контроля) из-за несоответствия требованиям НД по защите информации или по другим причинам, приводящим к утечке ЗИ или другим угрозам защищаемой информации; - по решению суда. 5.8 Организационно-методическое руководство работами по созданию, изготовлению, обеспечению и эксплуатации средств криптографической ЗИ, сертификации этих средств, а также контроль за состоянием и развитием этого направления работ осуществляют ведомства, уполномоченные Правительством Российской Федерации на проведение соответствующих работ. 5.9 Порядок обеспечения эксплуатации АСЗИ с использованием шифровальной техники для защиты сведений, отнесенных к государственной тайне, регламентируется в [5]. 5.10 Ответственность за надлежащее исполнение правил эксплуатации средств криптографической ЗИ (в том числе во время приемочных испытаний) возлагается на руководство организаций, эксплуатирующих данные средства. 5.11 Контроль за выполнением требований инструкций по эксплуатации средств криптографической ЗИ возлагается на специальные подразделения по ЗИ на предприятии (организации), эксплуатирующем данные средства [5]. 5.12 Тематические исследования по криптографической ЗИ в составе комплексов технических средств АСЗИ проводятся организациями, имеющими лицензию на этот вид работ в соответствии с[5]. 5.13 Специальные исследования ТС и средств АСЗИ проводятся организациями (учреждения ми), имеющими лицензии Гостехкомиссии России на соответствующий вид деятельности. 5.14 Сертификация средств, комплексов и систем ЗИ осуществляется в соответствии с требованиями [9], [10]. 5.15 Аттестацию АСЗИ осуществляют в соответствии с требованиями [4], [13]. 5.16 Испытания СВТ АСЗИ на соответствие требованиям по защите обрабатываемой инфор мации от утечки за счет ПЭМИН осуществляют по ГОСТ Р 50752. 5.17 Испытания СВТ и АСЗИ на соответствие требованиям ГОСТ Р 50739, [14] по защите от НСД к информации осуществляют по [15]. 5.18 Испытания программных средств АСЗИ на наличие компьютерных вирусов осуществляют по ГОСТ Р 51188. ГОСТ Р 51583-2000 ПРИЛОЖЕНИЕ А (рекомендуемое) Типовое содержание работ по защите информации на стадиях создания автоматизированных систем в защищенном исполнении Таблица А. 1 ГОСТ 34.601 Типовое содержание работ по защите информации Стадия Этап работы 1 Формиро вание требова ний к АС 1.1 Обследование объекта и обоснование необходимости создания АСЗИ Сбор данных о проводимых работах на объекте инфор матизации по обработке информации различной степени секретности. Определение факторов, воздействующих на информацию в соответствии с требованиями ГОСТ Р 51275. Оценка целесообразности создания АСЗИ 1.2 Формирование требова ний пользователя к АСЗИ Подготовка исходных данных для формирования требо ваний по ЗИ на АС и процессов ее создания и эксплуата ции. Разработка предварительных требований к СиЗИ на АСЗИ 1.3 Оформление отчета о выполняемой работе и заявки на разработку АСЗИ Разработка предложений по ЗИ в отчетной НД. Оформ ление отчета о выполненных работах по ЗИ на данных ста диях. Оформление предложений по ЗИ в заявку на разра ботку АСЗИ. Формирование предложений по ЗИ в ТЗ на АСЗИ 2 Разработка концепции АС 2.1 Изучение объекта Уточнение условий эксплуатации АСЗИ и категорий важности обрабатываемой информации. Формирование пе речня угроз защищаемой информации. Уточнение номенк латуры требований, предъявляемых к АСЗИ 2.2 Проведение необходи мых НИР Поиск путей реализации требований по ЗИ в АС. Оцен ка возможности реализации требований по ЗИ в АСЗИ. Оформление и утверждение отчета о НИР по ЗИ или раз делов по ЗИ в отчет о НИР по созданию АСЗИ 2.3 Разработка вариантов концепции АС и выбор вари анта концепции АС Разработка альтернативных вариантов концепции ЗИ в АС и облика СиЗИ и процессов ее создания с учетом требо ваний [9]. Выбор оптимального варианта концепции ЗИ в АС (разработка замысла ЗИ в АС) и СиЗИ АС. Технико-экономическое обоснование выбранного варианта ЗИ в АС и процессов ее создания и эксплуатации 2.4 Оформление отчета о выполненной работе Подготовка и оформление отчета о выполненных рабо тах по ЗИ на данной стадии создания АС. Согласование кон цепции ЗИ в АС и предложений по вариантам СиЗИ в АС. Предложения по ЗИ в отчетную НД этапа работ. Согласова ние и получение заключения ФАПСИ на разработку ШС 3 Техничес кое задание 3.1 Разработка и утвержде ние технического задания на создание АСЗИ Разработка требований по ЗИ в раздел ТЗ (ЧТЗ) на со здание АСЗИ. Разработка, оформление, согласование и ут верждение ТЗ (ЧТЗ) на создание АСЗИ 4 Эскизный проект 4.1 Разработка предвари тельных проектных решений по системе в целом и ее час тям Разработка предварительных проектных решений АСЗИ. Технико-экономическое обоснование эффективности вари антов СиЗИ. Разработка ТЗ на СрЗИ и средства контроля эффективности ЗИ. Разработка требований на СрЗИ и сред ства контроля эффективности ЗИ и АС
Продолжение таблицы A.I ГОСТ 34.601 Типовое содержание работ по защите информации Стадия Этап работы 4 Эскизный проект 4.2 Разработка документа ции на АСЗИ и ее части Разработка, оформление, согласование и утверждение документации по ЗИ и разделов эскизного проекта АС в части ЗИ. Экспертиза документации отчетной научно-тех нической документации и технической документации 5 Техничес кий проект 5.1 Разработка проектных решений по системе в целом и ее частям Разработка СрЗИ и средств контроля. Разработка техни ческого проекта СиЗИ и предложений по ЗИ в техничес кий проект АСЗИ 5.2 Разработка документа ции на АСЗИ и ее части Разработка рабочей документации и технического про екта СиЗИ АС. Разработка разделов технической докумен тации по ЗИ и/или отдельных документов по ЗИ в АС. Уча стие в экспертизе документации АСЗИ 5.3 Разработка и оформле ние документации на постав ку изделий для комплектова ния АСЗИ Подготовка и оформление технической документации на поставку ТС и ПС для АС и СиЗИ. Поставка СрЗИ. Испы тания СрЗИ. Сертификация СрЗИ и СиЗИ на соответствие требованиям по безопасности информации. Специсследо вания (спецпроверки) приобретенных ТС. Тестирование ПС. Экспертиза 5.4 Разработка заданий на проектирование в смежных частях проекта объекта автома тизации Проектирование помещений АС с учетом требований НД по защите информации 6 Рабочая документация 6.1 Разработка рабочей до кументации на систему в це лом и ее части Участие в разработке рабочей конструкторской докумен тации АС в части учета требований по ЗИ. Разработка рабо чей конструкторской документации СиЗИ. Участие в экс пертизе рабочей конструкторской документации 6.2 Разработка или адапта ция программ Разработка ПС АСЗИ, программных СрЗИ. Тестирова ние ПС. Сертификация ПС по требованиям безопасности информации 7 Ввод в дей ствие 7.1 Подготовка АСЗИ к вводу в действие Реализация проектных решений по организационной структуре СиЗИ АС и процесса. Требования к организаци онным мерам ЗИ 7.2 Подготовка персонала Проверка способности персонала обеспечивать функци онирование АСЗИ и СиЗИ. Проверка специалистов службы безопасности АС по обслуживанию СиЗИ 7.3 Комплектация АС по ставляемыми изделиями (ПС и ТС) Получение комплектующих изделий для СиЗИ. Провер ка качества поставляемых комплектующих изделий 7.4 Строительно-монтаж ные работы Участие в работах по надзору за выполнением требова ний по ЗИ строительными организациями. Участие в испы таниях ТС по вопросам ЗИ. Проведение специсследований ТС 7.5 Пуско-наладочные ра боты Проведение автономных наладок технических и про граммных СрЗИ, загрузка информации в базу данных и ее проверка. Участие в комплексной наладке всех средств АС с точки зрения обеспечения ЗИ
Окончание таблицы А. 1 ГОСТ 34.601 Типовое содержание работ по защите информации Стадия Этап работы 7 Ввод в дей ствие 7.6 Проведение предвари тельных испытаний Испытание СиЗИ на соответствие требованиям. Устра нение недостатков СрЗИ и СиЗИ. Внесение изменений в документацию на СиЗИ. Участие в испытаниях АСЗИ. Про ведение специсследований ТС. Аттестация АСЗИ 7.7 Проведение опытной эксплуатации Эксплуатация СиЗИ. Анализ, доработка, наладка СиЗИ. Акт о завершении опытной эксплуатации СиЗИ. Участие в опытной эксплуатации АСЗИ. Анализ и предложения по доработке АСЗИ 8 Сопровож дение АСЗИ 8.1 Выполнение работ в соответствии с гарантийными обязательствами Устранение недостатков по ЗИ в процессе функциони рования АСЗИ. Внесение изменений в документацию АС в части вопросов ЗИ. Проведение инспекционного контроля за стабильностью характеристик АСЗИ 8.2 Послегарантийное об служивание Анализ функционирования СиЗИ в АСЗИ. Установле ние причин невыполнения требований по ЗИ в АСЗИ. Вы явление недостатков. Устранение недостатков в СиЗИ АСЗИ по гарантийным обязательствам. Внесение изменений в документацию на АСЗИ. Контроль состояния ЗИ в АС в защищенном исполне нии
ГОСТ Р 51583-2000 ПРИЛОЖЕНИЕ Б (справочное) <!--[if !supportTextWrap]--> Библиография [I] РД 50-34.698-90 Методические указания. Информационная технология. Комплекс стандартов и ру ководящих документов на автоматизированные системы. Автоматизированные сис темы. Требования к содержанию документов [2] Положение о государственной системе защиты информации в Российской Федера ции от иностранной технической разведки и от ее утечки по техническим каналам. М.: Военное издательство, 1993 [3] РД 50-680-88 [4] Методические указания. Автоматизированные системы. Основные положения Федеральный Закон об участии в Международном информационном обмене № 85-ФЗ от 04.07.96 г. [5] Положение ПШ-93 Положение о разработке, изготовлении и обеспечении эксплуатации шифроваль ной техники, систем связи и комплексов вооружения, использующих шифроваль ную технику в Российской Федерации [6] Концепция защиты средств вычислительной техники и автоматизированных сис тем от несанкционированного доступа к информации. Гостехкомиссия России. М.: [7] Военное издательство, 1992 [8] Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированно го доступа в автоматизированных системах и средствах вычислительной техники. Гостехкомиссия России. М.: Военное издательство, 1992 [9] Средства вычислительной техники. Межсетевые экраны. Защита от несанкциониро ванного доступа к информации. Показатели защищенности от несанкционирован ного доступа к информации. Гостехкомиссия России. М.: Военное издательство, 1998 [10] Положение о сертификации средств защиты информации. Постановление Прави тельства Российской Федерации от 26.06.95 № 608 [11] Положение о сертификации средств защиты информации по требованиям безопас ности информации. Приказ Председателя Гостехкомиссии России от 27.10.95 № 199 [12] Типовое положение о подразделении по защите информации от иностранных тех нических разведок и от ее утечки по техническим каналам на предприятии (в уч реждении, организации). Гостехкомиссия России. [13] Решение № 32 от 14.03.95 Типовое положение о подразделении по защите информации от иностранных тех нических разведок и от ее утечки по техническим каналам в министерствах и ве домствах, в органах государственной власти субъектов Российской Федерации. Го стехкомиссия России. Решение № 32 от 14.03.95 Положение об аттестации объектов информатизации по требованиям безопасности информации. Гостехкомиссия России, 1994 [14] Автоматизированные системы. Защита от несанкционированного доступа к инфор мации. Классификация автоматизированных систем и требования по защите ин формации. Гостехкомиссия России. М.: Военное издательство, 1992 Средства вычислительной техники. Защита от несанкционированного доступа к информации. [15] Показатели защищенности от несанкционированного доступа к ин формации. Гостехкомиссия России. М.: Военное издательство, 1992 ГОСТ Р 51583-2000 УДК 65.011.56.012.45:006.354 ОКС 01.040 01 ЭОО ОКСТУ 0090 Ключевые слова: защищаемая информация, автоматизированная система, автоматизирован ная система в защищенном исполнении, требования по защите информации, средства защиты информации, средства контроля эффективности защиты информации, система защиты информа ции, аттестация автоматизированной системы в защищенном исполнении, сертификация средств защиты информации, лицензирование в области защиты информации, контроль эффективности защиты информации |