3.2. Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации на руководителей подразделений по защите информации (служб безопасности) учреждения (предприятия).

3.3. Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) СЗИ объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.

3.4. Разработка СЗИ может осуществляться как подразделением учреждения (предприятия), так и специализированным предприятием, имеющим лицензии Гостехкомиссии России и/или ФАПСИ на соответствующий вид деятельности в области защиты информации.

В случае разработки СЗИ или ее отдельных компонент специализированным предприятием, в учреждении (на предприятии), для которого осуществляется разработка (предприятие-заказчик), определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.

Разработка и внедрение СЗИ осуществляется во взаимодействии разработчика со службой безопасности предприятия-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.

3.5. Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом на предприятии "Руководстве по защите информации" или в специальном "Положении о порядке организации и проведения работ по защите информации" и должна предусматривать:

• 
  порядок определения защищаемой информации;
  
• 
  порядок привлечения подразделений предприятия, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;
  
• 
  порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
  
• 
  порядок разработки, ввода в действие и эксплуатацию объектов информатизации;
  
• 
  ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.
  

---

3.6. В учреждении (на предприятии) должен быть документально оформлен перечень сведений конфиденциального характера (приложение № 6), подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

3.7. Устанавливаются следующие стадии создания системы защиты информации:

• 
  предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
  
• 
  стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;
  
• 
  стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.
  

3.8. На предпроектной стадии по обследованию объекта информатизации:

• 
  устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
  
• 
  определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
  
• 
  определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;
  
• 
  определяются условия расположения объектов информатизации относительно границ КЗ;
  
• 
  определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
  
• 
  определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
  
• 
  определяются режимы обработки информации в АС в целом и в отдельных компонентах;
  
• 
  определяется класс защищенности АС;
  
• 
  определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
  
• 
  определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.
  

---

3.9. По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.

На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации, в т.ч. настоящего документа, с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

3.10. Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера.

Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя.

3.11. Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия.

Ознакомление специалистов этого предприятия с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.

3.12. Аналитическое обоснование необходимости создания СЗИ должно содержать:

• 
  информационную характеристику и организационную структуру объекта информатизации;
  
• 
  характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
  
• 
  возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
  
• 
  перечень предлагаемых к использованию сертифицированных средств защиты информации;
  
• 
  обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;
  
• 
  оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;
  
• 
  ориентировочные сроки разработки и внедрения СЗИ;
  
• 
  перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.
  

Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика.

---

3.13. Техническое (частное техническое) задание на разработку СЗИ должно содержать:

• 
  обоснование разработки;
  
• 
  исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
  
• 
  класс защищенности АС;
  
• 
  ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;
  
• 
  конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса защищенности АС;
  
• 
  перечень предполагаемых к использованию сертифицированных средств защиты информации;
  
• 
  обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
  
• 
  состав, содержание и сроки проведения работ по этапам разработки и внедрения;
  
• 
  перечень подрядных организаций-исполнителей видов работ;
  
• 
  перечень предъявляемой заказчику научно-технической продукции и документации.
  

3.14. Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согласовывается со службой безопасности предприятия-заказчика, подрядными организациями и утверждается заказчиком.

3.15. В целях дифференцированного подхода к защите информации производится классификация АС по требованиям защищенности от НСД к информации.

Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа (РД) Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и раздела 5 настоящего документа и оформляется актом.

Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

3.16. На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

• 
  разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;
  
• 
  разработка раздела технического проекта на объект информатизации в части защиты информации;
  
• 
  строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
  
• 
  разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
  
• 
  закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
  
• 
  закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;
  
• 
  разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
  
• 
  организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
  
• 
  разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;
  
• 
  определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;
  
• 
  выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
  
• 
  разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
  
• 
  выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.
  

---

3.17. Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.

3.18. На стадии проектирования и создания объекта информатизации оформляются также технический (техно-рабочий) проект и эксплуатационная документация СЗИ, состоящие из:

• 
  пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим (в том числе криптографическим) средствам обеспечения безопасности информации, состава средств защиты информации с указанием их соответствия требованиям ТЗ;
  
• 
  описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;
  
• 
  плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;
  
• 
  технического паспорта объекта информатизации (форма технического паспорта на АС приведена в приложении № 5);
  
• 
  инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для работников службы защиты информации .
  

3.19. На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

• 
  опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
  
• 
  приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
  
• 
  аттестация объекта информатизации по требованиям безопасности информации.
  

3.20. На этой стадии оформляются:

• 
  акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
  
• 
  предъявительский акт к проведению аттестационных испытаний;
  
• 
  заключение по результатам аттестационных испытаний.
  

При положительных результатах аттестации на объект информатизации оформляется "Аттестат соответствия" требованиям по безопасности информации (форма "Аттестата соответствия" для АС приведена в приложении № 2, для ЗП в приложении № 3)

---

Смотрите также файлы

• Нивелирование поверхностей.docx

• Установить соответствие.pptx

• Контрольная работа 9 Модуль 4 по дисциплине Биофизика специальность Сестринское дело.docx

• Деятельность способ существования людей ( 10 класс).pptx

• Протокол от Председатель пс Н. В. Охотникова.doc