Файл: Национальный стандарт российской федерациизащита информации.pdf

ГОСТ Р 51583-2014
Группа П80
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ЗАЩИТА ИНФОРМАЦИИ
ПОРЯДОК СОЗДАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ
ОБЩИЕ ПОЛОЖЕНИЯ
INFORMATION PROTECTION. SEQUENCE OF PROTECTED OPERATIONAL SYSTEM FORMATION. GENERAL
PROVISIONS
ОКС 35.020
Дата введения 2014-09-01
ПРЕДИСЛОВИЕ
1 РАЗРАБОТАН Федеральным автономным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФАУ "ГНИИИ ПТЗИ ФСТЭК России"), Обществом с ограниченной ответственностью "Научно- производственная фирма "Кристалл" (ООО "НПФ "Кристалл"), Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ
Приказом Федерального агентства по техническому регулированию и метрологии от 28 января 2014 г. N 3-ст
4 ВВЕДЕН ВПЕРВЫЕ
5 ПЕРЕИЗДАНИЕ. Октябрь 2018 г.
Правила применения настоящего стандарта установлены в
статье 26 Федерального закона от 29 июня 2015 г.
N 162-ФЗ "О стандартизации в Российской Федерации"
. Информация об изменениях к настоящему стандарту
публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные
стандарты", а официальный текст изменений и поправок - в ежемесячном указателе "Национальные стандарты".
В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет
опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты".
Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего
пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в
сети Интернет (www.gost.ru)
1 ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящий стандарт распространяется на создаваемые
(модернизируемые) информационные автоматизированные системы, в отношении которых законодательством или заказчиком установлены требования по их защите, и устанавливает содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении, содержание и порядок выполнения работ по защите информации о создаваемой (модернизируемой) автоматизированной системе в защищенном исполнении.
Страница 1
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов

Примечание - В качестве основных видов автоматизированных систем рассматриваются автоматизированные рабочие места и информационные системы.
Положения настоящего стандарта дополняют положения комплекса стандартов "Информационная технология.
Комплекс стандартов на автоматизированные системы" в части порядка создания автоматизированных систем в защищенном исполнении.
2 НОРМАТИВНЫЕ ССЫЛКИ
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ 34.003
Информационная технология. Комплекс стандартов на автоматизированные системы.
Автоматизированные системы. Термины и определения
ГОСТ 34.201
Информационная технология. Комплекс стандартов на автоматизированные системы. Виды,
комплектность и обозначение документов при создании автоматизированных систем
ГОСТ 34.601
Информационная технология. Комплекс стандартов на автоматизированные системы.
Автоматизированные системы. Стадии создания
ГОСТ 34.602
Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы
ГОСТ 34.603
Информационная технология. Виды испытаний автоматизированных систем
ГОСТ 16504
Система государственных испытаний продукции. Испытания и контроль качества продукции.
Основные термины и определения
ГОСТ Р 50922
Защита информации. Основные термины и определения
ГОСТ Р 53114
Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения
ГОСТ Р 54869
Проектный менеджмент. Требования к управлению проектом
ГОСТ Р 57628
Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности
ГОСТ Р ИСО/МЭК 15408-1
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
ГОСТ Р ИСО/МЭК 15408-2
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности
ГОСТ Р ИСО/МЭК 15408-3
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
ГОСТ Р ИСО/МЭК 18045
Информационная технология. Методы и средства обеспечения безопасности.
Методология оценки безопасности информационных технологий
ГОСТ Р ИСО/МЭК 21827
Информационная технология. Методы и средства обеспечения безопасности.
Проектирование систем безопасности. Модель зрелости процесса
ГОСТ Р ИСО/МЭК 27002
Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК 27005
Информационная технология. Методы и средства обеспечения безопасности.
Менеджмент риска информационной безопасности
Страница 2
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов

ГОСТ Р ИСО/МЭК ТО 19791
Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия).
Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка,
внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В настоящем стандарте применены термины по
ГОСТ Р 50922
,
ГОСТ Р 53114
,
ГОСТ 34.003
,
ГОСТ 16504
, а также следующие термины с соответствующими определениями:
3 . 1 мероприятия по защите информации: Совокупность действий, направленных на разработку и/или практическое применение способов и средств защиты информации.
3.2 обработка информации: Выполнение любого действия (операции) или совокупности действий (операций) с информацией (например, сбор, накопление, ввод, вывод, прием, передача, запись, хранение, регистрация,
преобразование, отображение и т.п.), совершаемых с заданной целью.
3 . 3 система защиты информации автоматизированной системы: Совокупность организационных мероприятий, технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации.
3.4 информационная система: Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
4 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
В настоящем стандарте применены следующие сокращения:
АС - автоматизированная система;
АСЗИ - автоматизированная система в защищенном исполнении;
ЗИ - защита информации;
НИР - научно-исследовательская работа;
НСД - несанкционированный доступ;
ОКР - опытно-конструкторская работа;
ПС - программное средство;
СЗИ - средство защиты информации;
ТЗ - техническое задание;
ТТЗ - тактико-техническое задание;
Страница 3
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов

ТС - техническое средство.
5 ОБЩИЕ ПОЛОЖЕНИЯ
5.1 Для обработки информации, необходимость защиты которой определяется законодательством Российской
Федерации или решением ее обладателя, должны создаваться АСЗИ, в которых реализованы в соответствии с действующими нормативными правовыми актами требования о ЗИ. Реализация требований о ЗИ в АСЗИ
осуществляется системой ЗИ, являющейся неотъемлемой составной частью АСЗИ.
5.2 Целью создания системы ЗИ АСЗИ является обеспечение ЗИ от неправомерного доступа, уничтожения,
модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, соблюдение конфиденциальности информации ограниченного доступа,
реализация права на доступ к информации.
5.3 При создании (модернизации) АСЗИ необходимо руководствоваться следующими общими требованиями:
- система ЗИ АСЗИ должна обеспечивать комплексное решение задач по ЗИ от НСД, от утечки защищаемой информации по техническим каналам, от несанкционированных и непреднамеренных воздействий на информацию (на носители информации) применительно к конкретной АСЗИ. Состав решаемых задач по ЗИ определяется задачами обработки информации, решаемыми с использованием АСЗИ, ее программным и аппаратным составом,
конфигурацией этой системы, условиями функционирования, требованиями, предъявляемыми к обрабатываемой информации, угрозами безопасности информации;
- система ЗИ АСЗИ должна разрабатываться (проектироваться) с учетом возможности реализации требований о защите обрабатываемой информации при использовании в АСЗИ методов и программно-аппаратных средств организации сетевого взаимодействия;
- система ЗИ АСЗИ должна создаваться с учетом обеспечения возможности формирования различных вариантов ее построения, а также расширения возможностей ее составных частей (сегментов) в зависимости от условий функционирования АСЗИ и требований о ЗИ;
- ЗИ должна обеспечиваться во всех составных частях (сегментах) АСЗИ, используемых в обработке защищаемой информации;
- входящие в состав АСЗИ средства ЗИ и контроля эффективности ЗИ не должны препятствовать нормальному функционированию АСЗИ;
- программное обеспечение системы ЗИ должно быть совместимым с программным обеспечением других составных частей (сегментов) АСЗИ и не должно снижать требуемый уровень защищенности информации в АСЗИ;
- программно-технические средства, используемые для построения системы ЗИ, должны быть совместимы между собой (корректно работать совместно) и не должны снижать уровень защищенности информации в АСЗИ.
ЗИ о создаваемой АСЗИ является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем.
5.4 Обеспечение ЗИ в АСЗИ достигается заданием, реализацией и контролем выполнения требований о защите информации:
- к процессу хранения, передачи и обработки защищаемой в АСЗИ информации;
- к системе ЗИ;
- к взаимодействию АСЗИ с другими АС;
- к условиям функционирования АСЗИ;
- к содержанию работ по созданию (модернизации) АСЗИ на различных стадиях и этапах ее создания
(модернизации);
Страница 4
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов

- к организациям (должностным лицам), участвующим в создании (модернизации) и эксплуатации АСЗИ;
- к документации на АСЗИ;
- к АСЗИ в целом.
5.5 АСЗИ должны создаваться в соответствии с ТЗ, являющимся основным документом, на основании которого выполняются работы, необходимые для создания (модернизации) АСЗИ в целом и ее системы ЗИ, и осуществляется приемка этих работ заказчиком.
5.6 Процесс создания АСЗИ должен представлять собой совокупность упорядоченных во времени,
взаимосвязанных, объединенных в стадии и этапы работ, выполнение которых необходимо и достаточно для создания АСЗИ, соответствующей заданным к ней требованиям.
5.7 В работах по созданию (модернизации) АСЗИ и ее системы ЗИ участвуют:
- заказчик АСЗИ - в части задания в ТЗ на АСЗИ и систему ЗИ, включения в документацию на АСЗИ обоснованных требований о защите обрабатываемой АСЗИ информации и контроля их выполнения в процессе экспертизы документации, испытаний и приемки как АСЗИ в целом, так и системы ЗИ, а также в части организации аттестации
АСЗИ на соответствие требованиям безопасности информации и сопровождения АСЗИ в ходе ее эксплуатации;
- разработчик АСЗИ - в части обеспечения соответствия разрабатываемой АСЗИ и ее системы ЗИ требованиям
ТЗ, нормативных правовых актов, методических документов и национальных стандартов в области защиты информации;
- изготовитель ТС и ПС - в части осуществления технических мер по обеспечению соответствия изготавливаемых
ТС и ПС заданным требованиям о защите обрабатываемой АСЗИ информации, в соответствии с документацией на
АСЗИ;
- поставщик ТС и ПС - в части поставки ТС и ПС для АСЗИ, соответствующих требованиям по ЗИ, по заказу изготовителя, разработчика или заказчика и их гарантийного и послегарантийного обслуживания.
5.8 Организации, участвующие в создании АСЗИ, в случае выполнения работ и оказания услуг в области ЗИ,
деятельность по осуществлению которых подлежит лицензированию, должны иметь соответствующие лицензии
[1
-
4]
5.9 Стадии и этапы работ по созданию АСЗИ устанавливаются в ТЗ на АСЗИ на основе
ГОСТ 34.601
с учетом положений настоящего стандарта.
5.10 Типовое содержание работ в части создания системы ЗИ (на определенных в
ГОСТ 34.601
стадиях и этапах создания АСЗИ) приведено в разделе 6. Типовое содержание и порядок выполнения работ по ЗИ о создаваемой
АСЗИ приведено в разделе 7. Состав и содержание работ могут уточняться в соответствии с требованиями нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов по ЗИ, а также в соответствии с требованиями заказчика АСЗИ.
5.11 В ТЗ на создание АСЗИ для реализуемых в соответствии с ним стадий и этапов ее создания должны включаться требования к системе ЗИ АСЗИ, а также требования по ЗИ о создаваемой АСЗИ в соответствии с настоящим стандартом, нормативными правовыми актами и методическими документами уполномоченных федеральных органов исполнительной власти и другими национальными стандартами.
5.12 Мероприятия по ЗИ должны проводиться на всех стадиях и этапах создания АСЗИ с учетом применимых
(исходя из предназначения АСЗИ) требований нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов в области ЗИ.
5.13 Для АСЗИ, создаваемой на базе действующей АС, разрабатывают ТЗ на создание системы ЗИ или дополнение к основному ТЗ на АС, в которое включают требования к системе ЗИ, а также к той части АС, которая подлежит доработке (модернизации) в связи с включением в состав АС системы ЗИ.
5.14 Разработка, утверждение и согласование ТЗ или дополнения к ТЗ на модернизируемую АС осуществляется в порядке, установленном
ГОСТ 34.602
Страница 5
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов