Файл: Национальный стандарт российской федерациизащита информации.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 25.10.2023
Просмотров: 84
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
6.8.1 На этапе "Разработка предварительных проектных решений по системе и ее частям" проводят:
- определение субъектов доступа (пользователей, процессов и иных субъектов доступа) и объектов доступа
(устройств, объектов файловой системы, запускаемых и исполняемых модулей, объектов системы управления базами данных, объектов, создаваемых прикладным программным обеспечением, иных объектов доступа);
- уточнение исходных данных, касающихся технических, информационных, программных и организационных аспектов создания и функционирования системы ЗИ АСЗИ и АСЗИ в целом;
- определение функций системы ЗИ создаваемой (модернизируемой) АСЗИ, состава комплексов задач и отдельных задач, решаемых подсистемой ЗИ;
- проработку и рассмотрение вариантов построения системы ЗИ с учетом результатов ранее проведенных исследований и новейших достижений науки и техники, в том числе по зарубежным аналогам, определение общих требований к системе ЗИ (ее структура, состав (число) и места размещения составных частей системы ЗИ);
- определение функций и параметров ТС и ПС системы ЗИ, особенностей их реализации в интересах блокирования (нейтрализации) угроз безопасности информации в АСЗИ;
- определение состава организационных мер ЗИ, ТС и ПС системы ЗИ, выбор сертифицированных СЗИ с учетом их совместимости с основными ТС и ПС создаваемой (модернизируемой) АСЗИ;
- обоснование номенклатуры СЗИ, специального технологического оборудования, средств контроля и измерений,
подлежащих разработке в ходе создания АСЗИ.
6.8.2 На этапе "Разработка документации на АС и ее части" проводят разработку, оформление, согласование и утверждение документации в объеме, необходимом для описания полной совокупности принятых предварительных проектных решений и достаточном для дальнейшего выполнения работ по созданию системы ЗИ. Виды документов - по
ГОСТ 34.201 6.9 На стадии "Технический проект" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ
выполняют следующие работы.
6.9.1 На этапе "Разработка проектных решений по системе и ее частям" обеспечивают:
- разработку общих решений по системе ЗИ, по ее функциональной структуре, ТС и ПС системы ЗИ, алгоритмам функционирования системы ЗИ, функциям персонала, обслуживающего систему ЗИ;
- разработку алгоритмов решения задач ЗИ, параметров настройки ТС и ПС, обеспечивающих реализацию функциональных возможностей системы ЗИ;
- разработку макетов составных частей системы ЗИ (при необходимости).
6.9.2 На этапе "Разработка документации на АС и ее части" проводят разработку, оформление, согласование и утверждение технической документации на систему ЗИ. Виды документов - по
ГОСТ 34.201 6.9.3 На этапе "Разработка и оформление документации на поставку изделий для комплектования АС и (или)
технических требований (технических заданий) на их разработку" проводят:
- подготовку и оформление документов на поставку ТС и ПС для комплектования системы ЗИ создаваемой
(модернизируемой) АСЗИ;
- определение технических требований и составление ТЗ на разработку специальных СЗИ, специального технологического оборудования, средств контроля и измерений, не изготавливаемых серийно.
6.9.4 На этапе "Разработка заданий на проектирование в смежных частях проекта объекта информатизации"
осуществляют разработку, оформление, согласование и утверждение заданий на проектирование помещений для
АСЗИ с учетом требований о ЗИ.
6.10 На стадии "Рабочая документация" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ
Страница 10
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов
проводят следующие работы.
6.10.1 На этапе "Разработка рабочей документации на систему и ее части" осуществляют разработку рабочей документации на систему ЗИ, содержащей все необходимые и достаточные сведения для обеспечения выполнения работ по вводу системы ЗИ АСЗИ в действие и ее эксплуатации, в том числе для поддержания уровня эксплуатационных характеристик (качества) системы ЗИ в соответствии с принятыми проектными решениями, ее оформление, согласование и утверждение, а также разработку программы и методик испытаний системы ЗИ. Виды документов - по
ГОСТ 34.201 6.10.2 На этапе "Разработка и адаптация программ" проводят:
- разработку ПС для СЗИ, адаптацию и/или привязку приобретаемых ПС, тестирование ПС системы ЗИ АСЗИ;
- разработку и испытания СЗИ, технологического оборудования, средств контроля и измерений системы ЗИ АСЗИ;
- сертификацию разрабатываемых ПС и СЗИ системы ЗИ АСЗИ по требованиям безопасности информации;
- разработку документации на ПС и СЗИ системы ЗИ АСЗИ;
- тестирование ПС системы ЗИ АСЗИ.
При тестировании ПС системы ЗИ АСЗИ:
- проверяют работоспособность и совместимость ПС системы ЗИ с информационными технологиями и ТС
обработки информации;
- проверяют выполнение ПС системы ЗИ требований к системе ЗИ АСЗИ;
- корректируют документацию на систему ЗИ АСЗИ (при необходимости).
6.11 Внедрение системы ЗИ АСЗИ включает:
- установку и настройку СЗИ;
- разработку организационно-распорядительных документов, определяющих мероприятия по ЗИ в ходе эксплуатации АСЗИ;
- предварительные испытания системы ЗИ АСЗИ;
- опытную эксплуатацию и доработку системы ЗИ АСЗИ;
- приемочные испытания системы ЗИ АСЗИ;
- аттестацию АСЗИ на соответствие требованиям безопасности информации.
6.12 Внедрение системы ЗИ АСЗИ организует заказчик, проводит разработчик в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации
[8]
и рабочей документацией на систему ЗИ АСЗИ на стадии "Ввод в действие", определенной
ГОСТ 34.601 6.13 На стадии "Ввод в действие" в интересах внедрения системы ЗИ создаваемой (модернизируемой) АСЗИ
проводят следующие работы.
6.13.1 На этапе "Подготовка объекта к вводу АС в действие" проводят работы по реализации:
- проектных решений по организационной структуре системы ЗИ создаваемой (модернизируемой) АСЗИ и АСЗИ в целом;
- организационных мер, обеспечивающих эффективное использование системы ЗИ.
6.13.2 На этапе "Подготовка персонала" проводят:
Страница 11
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов
6.10.1 На этапе "Разработка рабочей документации на систему и ее части" осуществляют разработку рабочей документации на систему ЗИ, содержащей все необходимые и достаточные сведения для обеспечения выполнения работ по вводу системы ЗИ АСЗИ в действие и ее эксплуатации, в том числе для поддержания уровня эксплуатационных характеристик (качества) системы ЗИ в соответствии с принятыми проектными решениями, ее оформление, согласование и утверждение, а также разработку программы и методик испытаний системы ЗИ. Виды документов - по
ГОСТ 34.201 6.10.2 На этапе "Разработка и адаптация программ" проводят:
- разработку ПС для СЗИ, адаптацию и/или привязку приобретаемых ПС, тестирование ПС системы ЗИ АСЗИ;
- разработку и испытания СЗИ, технологического оборудования, средств контроля и измерений системы ЗИ АСЗИ;
- сертификацию разрабатываемых ПС и СЗИ системы ЗИ АСЗИ по требованиям безопасности информации;
- разработку документации на ПС и СЗИ системы ЗИ АСЗИ;
- тестирование ПС системы ЗИ АСЗИ.
При тестировании ПС системы ЗИ АСЗИ:
- проверяют работоспособность и совместимость ПС системы ЗИ с информационными технологиями и ТС
обработки информации;
- проверяют выполнение ПС системы ЗИ требований к системе ЗИ АСЗИ;
- корректируют документацию на систему ЗИ АСЗИ (при необходимости).
6.11 Внедрение системы ЗИ АСЗИ включает:
- установку и настройку СЗИ;
- разработку организационно-распорядительных документов, определяющих мероприятия по ЗИ в ходе эксплуатации АСЗИ;
- предварительные испытания системы ЗИ АСЗИ;
- опытную эксплуатацию и доработку системы ЗИ АСЗИ;
- приемочные испытания системы ЗИ АСЗИ;
- аттестацию АСЗИ на соответствие требованиям безопасности информации.
6.12 Внедрение системы ЗИ АСЗИ организует заказчик, проводит разработчик в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации
[8]
и рабочей документацией на систему ЗИ АСЗИ на стадии "Ввод в действие", определенной
ГОСТ 34.601 6.13 На стадии "Ввод в действие" в интересах внедрения системы ЗИ создаваемой (модернизируемой) АСЗИ
проводят следующие работы.
6.13.1 На этапе "Подготовка объекта к вводу АС в действие" проводят работы по реализации:
- проектных решений по организационной структуре системы ЗИ создаваемой (модернизируемой) АСЗИ и АСЗИ в целом;
- организационных мер, обеспечивающих эффективное использование системы ЗИ.
6.13.2 На этапе "Подготовка персонала" проводят:
Страница 11
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов
- обучение персонала АСЗИ и проверку его способности обеспечивать функционирование системы ЗИ и АСЗИ в целом;
- проверку и подготовку специалистов структурного подразделения или должностного лица (работника),
ответственных за ЗИ в АСЗИ.
6.13.3 На этапе "Комплектация АС поставляемыми изделиями (программными и техническими средствами,
программно-техническими комплексами, информационными изделиями)":
- обеспечивают получение комплектующих изделий системы ЗИ серийного и единичного производства,
материалов и монтажных изделий;
- проводят входной контроль качества комплектующих изделий системы ЗИ, проверку наличия документов по сертификации;
- проводят специальные исследования и специальные проверки закупленных средств.
6.13.4 На этапе "Строительно-монтажные работы" осуществляют:
- надзор за выполнением строительными организациями требований ЗИ;
- проверку реализации требований о ЗИ при приемке монтажных работ (в случае необходимости проводят соответствующие испытания).
6.13.5 На этапе "Пусконаладочные работы" осуществляют:
- автономную наладку ТС и ПС системы ЗИ;
- комплексную наладку всех СЗИ системы ЗИ.
6.13.6 На этапе "Проведение предварительных испытаний" осуществляют:
- испытания системы ЗИ на работоспособность и соответствие техническому заданию в соответствии с программой и методикой предварительных испытаний;
- устранение недостатков, выявленных в процессе испытаний, и внесение изменений в документацию на систему
ЗИ создаваемой (модернизируемой) АСЗИ, в том числе эксплуатационную, в соответствии с протоколом испытаний;
- принятие решения о возможности опытной эксплуатации системы ЗИ АСЗИ.
6.13.7 На этапе "Проведение опытной эксплуатации" проводят:
- проверку функционирования системы ЗИ в составе АСЗИ, в том числе реализованных мер ЗИ;
- анализ выявленных в ходе опытной эксплуатации системы ЗИ уязвимостей АСЗИ, доработку, наладку системы
ЗИ;
- проверку готовности пользователей и администраторов к эксплуатации системы ЗИ АСЗИ;
- оформление акта о завершении опытной эксплуатации системы ЗИ АСЗИ.
6.13.8 На этапе "Проведение приемочных испытаний" проводят:
- испытания системы ЗИ АСЗИ на соответствие ТЗ на систему ЗИ в соответствии с программой и методиками приемочных испытаний АСЗИ;
- анализ результатов испытаний системы ЗИ АСЗИ и устранение недостатков, выявленных при испытаниях;
- оформление разделов акта о приемке АСЗИ в постоянную эксплуатацию (в части системы ЗИ АСЗИ).
Страница 12
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов
6.14 Аттестацию АСЗИ на соответствие требованиям безопасности информации организует заказчик, проводит организация, имеющая лицензию на данный вид деятельности, до ввода АСЗИ в эксплуатацию, с использованием информационных ресурсов, подлежащих защите, и содержит оценку соответствия ее системы ЗИ требованиям безопасности информации в реальных условиях эксплуатации, проводимую в соответствии с требованиями нормативных правовых актов и методических документов уполномоченного федерального органа исполнительной власти, а также национальных стандартов в области защиты информации.
6.15 Сопровождение системы ЗИ в ходе эксплуатации АСЗИ организует заказчик (оператор), проводит разработчик в соответствии с проектными решениями, рабочей документацией на систему ЗИ АСЗИ, организационно- распорядительными документами по ЗИ. Сопровождение системы ЗИ в ходе эксплуатации АСЗИ заключается в выполнении работ относительно системы ЗИ АСЗИ в соответствии с гарантийными обязательствами и по послегарантийному обслуживанию, которые осуществляются на стадии "Сопровождение АС", определенной
ГОСТ
34.601 6.16 На стадии "Сопровождение АС" проводят следующие работы.
6.16.1 На этапе "Выполнение работ в соответствии с гарантийными обязательствами" осуществляют работы по:
- устранению недостатков системы ЗИ, выявленных в процессе эксплуатации АСЗИ, и последующему контролю за стабильностью характеристик системы ЗИ АСЗИ, влияющих на эффективность ЗИ в течение установленных гарантийных сроков;
- внесению изменений в документацию на систему ЗИ и, при необходимости, в документацию на АСЗИ в целом.
6.16.2 На этапе "Послегарантийное обслуживание" осуществляют работы по:
- мониторингу качества функционирования системы ЗИ АСЗИ;
- установлению причин невыполнения требований о ЗИ в процессе функционирования АСЗИ;
- устранению недостатков в системе ЗИ и контролю за стабильностью ее характеристик, влияющих на эффективность ЗИ;
- внесению изменений в документацию на систему ЗИ и, при необходимости, в документацию на АСЗИ в целом.
1 2 3
7 СОДЕРЖАНИЕ И ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ О СОЗДАВАЕМОЙ
АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ
7.1 ЗИ о создаваемой АСЗИ является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем, в случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации,
нормативными правовыми актами уполномоченных федеральных органов исполнительной власти или заказчиком.
7.2 Основными видами работ по ЗИ о создаваемых (модернизируемых) АСЗИ являются:
- разработка замысла ЗИ о создаваемой (модернизируемой) АСЗИ;
- определение защищаемой информации о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
- определение носителей защищаемой информации о создаваемой (модернизируемой) АСЗИ и их уязвимостей,
актуальных угроз безопасности информации;
- определение и технико-экономическое обоснование организационных и технических мероприятий, которые необходимо проводить в интересах ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
- обоснование, разработка и/или закупка средств, необходимых для ЗИ о создаваемой (модернизируемой) АСЗИ;
- обоснование и разработка мероприятий по контролю состояния ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
Страница 13
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов
АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ
7.1 ЗИ о создаваемой АСЗИ является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем, в случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации,
нормативными правовыми актами уполномоченных федеральных органов исполнительной власти или заказчиком.
7.2 Основными видами работ по ЗИ о создаваемых (модернизируемых) АСЗИ являются:
- разработка замысла ЗИ о создаваемой (модернизируемой) АСЗИ;
- определение защищаемой информации о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
- определение носителей защищаемой информации о создаваемой (модернизируемой) АСЗИ и их уязвимостей,
актуальных угроз безопасности информации;
- определение и технико-экономическое обоснование организационных и технических мероприятий, которые необходимо проводить в интересах ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
- обоснование, разработка и/или закупка средств, необходимых для ЗИ о создаваемой (модернизируемой) АСЗИ;
- обоснование и разработка мероприятий по контролю состояния ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
Страница 13
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов
- разработка документов, регламентирующих организацию и осуществление ЗИ о создаваемой (модернизируемой)
АСЗИ.
7.3 Перечень информации, подлежащей защите, определяют на стадии формирования требований к АСЗИ и, при необходимости, уточняют на последующих стадиях ее создания.
7.4 К защищаемой информации о создаваемой (модернизируемой) АСЗИ относят:
- цель и задачи ЗИ в АСЗИ;
- перечень составных частей (сегментов) АСЗИ, участвующих в обработке защищаемой в АСЗИ информации;
- состав возможных уязвимостей АСЗИ, возможных последствий от реализации угроз безопасности информации для нарушения свойств безопасности информации (конфиденциальность, целостность, доступность);
- структурно-функциональные характеристики АСЗИ, включающие структуру и состав АСЗИ, физические,
функциональные и технологические взаимосвязи между составными частями АСЗИ и взаимосвязи с иными системами, режимы обработки информации в АСЗИ в целом и в ее отдельных составных частях;
- меры и СЗИ, применяемые в АСЗИ;
- сведения о реализации системы ЗИ в АСЗИ.
Применительно к конкретной АСЗИ перечень защищаемой информации устанавливает заказчик.
7.5 Организация и обеспечение ЗИ о создаваемой (модернизируемой) АСЗИ возлагается:
- на стадиях "Формирование требований к АС" и "Разработка концепции АС" - на разработчика, заказчика работ,
проводимых в интересах разработки требований и концептуальных положений;
- на стадии "Техническое задание" - на заказчика АСЗИ;
- на стадиях "Эскизный проект", "Технический проект", "Рабочая документация" - на разработчика АСЗИ;
- на стадии "Ввод в действие" - на генерального конструктора или его заместителей, а по частным вопросам - на конструкторов, изготовителей ПС, ТС;
- на стадии "Сопровождение работ" - на оператора АСЗИ.
7.6 При разработке АСЗИ должна быть организована разрешительная система доступа разработчиков,
эксплуатирующего персонала, а при необходимости - и сотрудников сторонних организаций (поставщиков ТС, ПС и услуг для гарантийного и послегарантийного обслуживания, контролирующих органов) к защищаемой информации о
АСЗИ, документации на АСЗИ, ТС и ПС, а также к информационным ресурсам, содержащим защищаемую информацию.
7.7 Общее руководство работами по ЗИ при создании (модернизации) АСЗИ осуществляет один из заместителей руководителя организации (предприятия), осуществляющей ее разработку (модернизацию), или уполномоченное лицо.
7.8 В процессе создания (модернизации) АСЗИ должен проводиться контроль состояния ЗИ.
7.9 Контроль состояния ЗИ заключается в оценке:
- соблюдения положений нормативных документов, устанавливающих требования безопасности информации при создании (модернизации) АСЗИ;
- эффективности ЗИ о создаваемой (модернизируемой) АСЗИ;
- знания исполнителями работ по созданию (модернизации) АСЗИ своих функциональных обязанностей в части
Страница 14
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
ГОСТ Р от 28 января 2014 г. № 51583-2014
Документ сохранен с портала docs.cntd.ru
— электронного фонда из более 25 000 000 нормативно-правовых и нормативно-технических документов