Файл: Национальный стандарт российской федерациизащита информации.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 25.10.2023
Просмотров: 83
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
5.15 Документация на АСЗИ должна разрабатываться с учетом требований
ГОСТ 34.201
и [
5
], а также требований нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов по ЗИ.
5.16 Работы по созданию АСЗИ должны проводиться в соответствии с требованиями нормативных правовых актов и методических документов уполномоченного федерального органа исполнительной власти, настоящего стандарта и других национальных стандартов по ЗИ. Дополнительно при необходимости могут учитываться требования национальных стандартов, приведенных в приложении А.
5.17 Для создания АСЗИ могут применяться как серийно выпускаемые, так и специальные (разрабатываемые в ходе создания АСЗИ) ТС и ПС обработки информации, а также технические, программные, программно-аппаратные,
криптографические СЗИ и средства контроля эффективности ЗИ. Указанные средства должны иметь сертификаты соответствия, полученные в соответствующих системах сертификации по требованиям безопасности информации
[6
,
7]. Специальные средства должны быть сертифицированы в установленном порядке до начала опытной эксплуатации
АСЗИ организациями (учреждениями), имеющими лицензии уполномоченных федеральных органов исполнительной власти на соответствующие виды деятельности.
5.18 Работы по созданию и эксплуатации АСЗИ с использованием криптографических средств организуются в соответствии с положениями нормативных актов Российской Федерации, определяющих порядок разработки,
изготовления, сопровождения и эксплуатации криптографических средств.
5.19 Организационно-методическое руководство работами по созданию, изготовлению, обеспечению и эксплуатации средств криптографической ЗИ, по сертификации этих средств осуществляет федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности.
5.20 Перед вводом в эксплуатацию комплексов ТС АСЗИ (в случае отсутствия документа, подтверждающего уже проведенные исследования) и периодически в процессе их эксплуатации проводятся исследования по криптографической ЗИ в составе комплексов ТС АСЗИ организациями, имеющими лицензию на этот вид работ в соответствии с
[4]
5.21 Порядок эксплуатации АСЗИ с использованием криптографических средств регламентируется законодательством Российской Федерации и нормативными правовыми актами федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности.
5.22 Организация надлежащего исполнения правил эксплуатации средств криптографической ЗИ (в том числе во время приемочных испытаний) возлагается на руководство организаций, эксплуатирующих данные средства.
Контроль выполнения требований инструкций по эксплуатации средств криптографической ЗИ возлагается на специальные подразделения (штатных специалистов) по ЗИ на предприятии (организации), эксплуатирующем данные средства.
5.23 Виды испытаний АСЗИ и общие требования к их проведению определяются
ГОСТ 34.603
, а также нормативными правовыми актами и методическими документами уполномоченного федерального органа исполнительной власти и национальными стандартами по ЗИ.
5.24 Испытания АСЗИ на соответствие требованиям безопасности информации от ее утечки по техническим каналам, несанкционированного доступа к ней, от несанкционированных и непреднамеренных воздействий на информацию, в том числе по криптографической и антивирусной защите, по обнаружению вторжений (атак) и др.
осуществляются в соответствии с положениями нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов.
5.25 В случаях, установленных федеральными законами, актами Президента Российской Федерации и
Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти, для подтверждения соответствия системы ЗИ АСЗИ в реальных условиях эксплуатации требованиям безопасности информации осуществляется аттестация АСЗИ на соответствие требованиям безопасности информации.
5.26 Аттестация АСЗИ проводится до ввода АСЗИ в постоянную эксплуатацию в соответствии с положениями нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов.
Страница 6
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов
6 СОДЕРЖАНИЕ И ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТ НА СТАДИЯХ И ЭТАПАХ СОЗДАНИЯ
АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ
6.1 Защита информации в АСЗИ обеспечивается системой ЗИ АСЗИ. Создание системы ЗИ АСЗИ обеспечивается следующим комплексом работ:
- формирование требований к системе ЗИ АСЗИ;
- разработка (проектирование) системы ЗИ АСЗИ;
- внедрение системы ЗИ АСЗИ;
- аттестация АСЗИ на соответствие требованиям безопасности информации и ввод ее в действие;
- сопровождение системы ЗИ в ходе эксплуатации АСЗИ.
6.2 Формирование требований к системе ЗИ АСЗИ организуется заказчиком и осуществляется разработчиком на основе требований по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, несанкционированных и непреднамеренных воздействий на информацию, в том числе требований по криптографической и антивирусной защите, по обнаружению вторжений (атак), обеспечению устойчивости и непрерывности функционирования АСЗИ и др., закрепленных в нормативных правовых актах уполномоченных федеральных органов исполнительной власти и национальных стандартах в области ЗИ, с учетом целей и задач
АСЗИ, свойственных ей угроз безопасности информации и возможных последствий реализации этих угроз.
Формирование требований к системе ЗИ АСЗИ осуществляется на следующих стадиях создания АСЗИ,
определенных
ГОСТ 34.601
:
- "Формирование требований к АС";
- "Разработка концепции АС";
- "Техническое задание".
Требования к системе ЗИ АСЗИ уточняются (при необходимости) на последующих стадиях создания АСЗИ, с конкретизацией требований к ее построению, используемым информационным технологиям, методам и программно- аппаратным средствам организации сетевого взаимодействия, в том числе с другими системами, к процессу обработки защищаемой информации, условиям функционирования АСЗИ.
6.3 На стадии "Формирование требований к АС" в интересах создания системы ЗИ создаваемой
(модернизируемой) АСЗИ выполняют следующие работы.
6.3.1 На этапе "Обследование объекта и обоснование необходимости создания АС" проводят:
- анализ данных о назначении, функциях, условиях функционирования создаваемой (модернизируемой) АСЗИ и характере обрабатываемой информации;
- определение перечня информации, подлежащей защите;
- определение актуальных угроз безопасности информации, связанных с НСД к защищаемой информации, с утечкой информации по техническим каналам и с несанкционированным воздействием на информацию;
- разработку модели угроз безопасности информации применительно к конкретным вариантам функционирования
АСЗИ;
- оценку (технико-экономической и т.п.) целесообразности создания АС в защищенном исполнении.
6.3.2 На этапе "Формирование требований пользователя к АС" проводят:
а) подготовку исходных данных для формирования требований в части системы ЗИ к создаваемой
(модернизируемой) АСЗИ (исходя из её предназначения и условий использования), включая:
Страница 7
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов
- определение порядка обработки информации в АСЗИ в целом и в отдельных компонентах;
- оценку степени участия персонала в обработке (обсуждении, передаче, хранении) защищаемой в АСЗИ
информации;
- определение требуемого класса (уровня) защищенности АСЗИ от НСД;
- выбор целесообразных (исходя из экономических, научно-технических, временных и других ограничений, а также технологии обработки информации) способов ЗИ и контроля состояния ЗИ в АСЗИ;
- обоснование архитектуры и конфигурации системы ЗИ АСЗИ и ее отдельных составных частей, физических,
функциональных и технологических связей как внутри АСЗИ, так и с другими взаимодействующими системами;
- выбор ТС, которые могут быть использованы при разработке системы ЗИ АСЗИ;
- оценку возможности создания АСЗИ, исходя из ресурсных ограничений;
б) формирование требований к системе ЗИ создаваемой (модернизируемой) АСЗИ в части требований о защите информации.
6.3.3 На этапе "Оформление отчета о выполненной работе и заявки на разработку АС (ТТЗ)" проводят:
- систематизацию результатов, полученных на предыдущих этапах;
- формирование разделов отчета о выполненных работах на данной стадии в части создания системы ЗИ для создаваемой (модернизируемой) АСЗИ;
- оформление заявки на разработку системы ЗИ (ТЗ или дополнения к ТЗ) или другого заменяющего ее документа с аналогичным содержанием (в случае разработки отдельного ТЗ на систему ЗИ АСЗИ).
6.4 На стадии "Разработка концепции АС" в интересах создания системы ЗИ создаваемой (модернизируемой)
АСЗИ выполняют следующие работы.
6.4.1 На этапе "Изучение объекта" проводят:
- определение путей и оценку возможности реализации требований, предъявляемых к системе ЗИ создаваемой
(модернизируемой) АСЗИ;
- обоснование необходимости привлечения организаций, имеющих необходимые лицензии, для создания системы
ЗИ создаваемой (модернизируемой) АСЗИ;
- оценку ориентировочных сроков создания системы ЗИ АСЗИ;
- оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы ЗИ создаваемой
(модернизируемой) АСЗИ;
- обоснование целесообразности проведения НИР (составной части НИР), определение основных вопросов,
подлежащих исследованию в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ;
- разработку ТТЗ на НИР (при необходимости).
6.4.2 На этапе "Проведение необходимых научно-исследовательских работ" проводят:
- анализ требований к назначению, структуре и конфигурации создаваемой (модернизируемой) АСЗИ;
- уточнение режимов обработки информации в АСЗИ в целом и в отдельных компонентах;
- анализ возможных уязвимостей и обоснование актуальных угроз безопасности информации и перечня мероприятий по их блокированию (нейтрализации);
Страница 8
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов
- уточнение требовании о ЗИ в АСЗИ;
- уточнение требований к архитектуре и конфигурации системы ЗИ АСЗИ;
- уточнение требований к составу и характеристикам основных и вспомогательных ПС и ТС, которые могут быть использованы при разработке системы ЗИ АСЗИ, режимам их работы;
- обоснование перечня сертифицированных средств ЗИ, использование которых возможно в составе системы ЗИ
создаваемой (модернизируемой) АСЗИ;
- уточнение оценки материальных, трудовых и финансовых затрат на создание системы ЗИ создаваемой
(модернизируемой) АСЗИ;
- оформление и утверждение отчета о НИР.
6.4.3 На этапе "Разработка вариантов концепции АС и выбор варианта концепции АС, удовлетворяющего требованиям пользователя" проводят:
- разработку альтернативных вариантов концепции создаваемой системы ЗИ и планов их реализации;
- оценку необходимых ресурсов на реализацию каждого варианта и обеспечение функционирования системы ЗИ;
- оценку эффектов, преимуществ и недостатков от реализации каждого варианта;
- выбор варианта концепции системы ЗИ АСЗИ.
6.4.4 На этапе "Оформление отчета о выполненной работе" разрабатывается самостоятельный отчет о работах,
выполненных на стадии "Разработка концепции АС" в части системы ЗИ или раздел в основной отчет о работах,
выполненных в интересах создания (модернизации) АСЗИ в целом.
6.5 На стадии "Техническое задание" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ
выполняют следующие работы.
На этапе "Разработка и утверждение технического задания на создание АС" проводят разработку, оформление,
согласование и утверждение ТЗ на АСЗИ в целом и, при необходимости, ТЗ на систему ЗИ.
ТЗ (раздел ТЗ, дополнение к ТЗ) на систему ЗИ должно разрабатываться в соответствии с требованиями
ГОСТ
34.602 6.6 Разработка (проектирование) системы ЗИ АСЗИ включает:
- разработку проектных решений по системе ЗИ АСЗИ;
- разработку документации на систему ЗИ АСЗИ;
- тестирование системы ЗИ АСЗИ.
6.7 Разработку системы ЗИ АСЗИ организует заказчик, проводит разработчик в соответствии с ТЗ на создание системы ЗИ АСЗИ на следующих стадиях создания АСЗИ, определенных
ГОСТ 34.601
:
- Эскизный проект;
- Технический проект;
- Рабочая документация.
6.8 На стадии "Эскизный проект" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ
выполняют следующие работы.
Страница 9
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов