Порядок создания автоматизированных систем в защищенном исполнении.

Процесс создания АСЗИ заключается в выполнении совокупности мероприятий, направленных на разработку и/или практической применение информационной технологии, реализующей функции по ЗИ, установленные в соответствии с требованиями стандартов и/или нормативных документов по ЗИ как во вновь создаваемых, так и в действующих АС.

Целью создания АСЗИ является исключение или существенное затруднение получения злоумышленником защищаемой информации, обрабатываемой в АС, а также исключение или существенное затруднение несанкционированного и/или непреднамеренного воздействия на защищаемую обрабатываемую информацию и ее носители.

Защита информации в АСЗИ является составной частью работ по их созданию, эксплуатации и осуществляется во всех органах государственной власти и на предприятиях (организациях), располагающих информацией, содержащей сведения, отнесенные к государственной или служебной тайне.

Разработка и внедрение вновь создаваемой АС производится в соответствии с ТЗ. ТЗ на АС является основным документом, определяющим требования, предъявляемые к АС, порядок создания АС и приемку АС при вводе в действие.

Для вновь создаваемых АС ТЗ разрабатывают на систему в целом, предназначенную для работы самостоятельно или в составе другой системы. Дополнительно могут быть разработаны ЧТЗ на части АС, на подсистемы АС. Поэтому требования по ЗИ при создании АСЗИ должны включаться разделом в общее ТЗ на АС или могут быть изложены в виде частного ЧТЗ или дополнения к основному ТЗ на АС.

Для АСЗИ, создаваемой на базе действующей АС, разрабатывается ТЗ (ЧТЗ) или дополнение к основному ТЗ на АС, в которые включаются требования по ЗИ только в части создаваемой системы (подсистемы) защиты обрабатываемой информации в АС.

Реализация мероприятий по защите информации в АСЗИ должна осуществляться непрерывно на всех стадиях и этапах создания АСЗИ во взаимосвязи с мерами по обеспечению установленного режима секретности проводимых работ.

Основные принципы и положения по созданию и функционированию АСЗИ должны соответствовать требованиям ГОСТ 29339, ГОСТ Р 50543, ГОСТ Р 50739, ГОСТ Р 50972. ГОСТ Р 51275, ГОСТ РВ 50797.

Для АСЗИ, предназначенных для обработки информации, составляющей государственную тайну, а также несекретной информации с ограниченным доступом, используемой в управлении экологически опасными объектами, требования вышеперечисленных документов являются обязательными.

В остальных случаях требования вышеперечисленных документов несет рекомендательных характер и конкретные требования по созданию и функционированию АСЗИ в области защиты информации могут устанавливаться в нормативных документах, разрабатываемых собственником информации.

Организации-участники работ по созданию АСЗИ должны иметь лицензии на право проведения работ в области защиты информации. Лицензирование организаций и предприятий осуществляется в установленном порядке.

Работы по созданию, производству и эксплуатации АСЗИ с использованием шифровальных средств для защиты сведений, отнесенных к государственной тайне, организуются в соответствии с положениями нормативных актов Российской Федерации, определяющих порядок разработки, изготовления и обеспечения эксплуатации шифровальных средств, систем и комплексов вооружения, использующих шифровальные средства.

Научно-техническое обеспечение создания АСЗИ должно соответствовать современному состоянию развития науки и техники, а технические решения по защите информации должны быть экономически оправданными.

Для создания АСЗИ могут применяться как серийно выпускаемые, так и вновь разработанные ТС и ПС обработки информации, а также технические, программные, программно-технические, шифровальные СрЗИ и средства для контроля эффективности. Выпускаемые средства должны иметь сертификаты соответствия, полученные в соответствующих системах сертификации по требованиям безопасности информации.

Вновь разработанные средства должны быть сертифицированы в установленном порядке до начала опытной эксплуатации АСЗИ.

Заказчик, собственник и владелец АСЗИ, а также организации-участники создания АСЗИ несут ответственность за обеспечение зашиты обрабатываемой информации в АСЗИ и выполняемые работы по ЗИ на всех стадиях создания АСЗИ как это предусмотрено в законодательстве Российской Федерации.

Технические, программные и программно-технические СрЗИ специального применения создаются разработчиком АСЗИ. Конструкторская документация на их изготовление включается в состав документации на АСЗИ отдельными документами или разделами основных документов.

За обеспечение создания АСЗИ несут ответственность:

- заказчик - в части включения в ТЗ (ЧТЗ) на АСЗИ и ее компонентов, а также в техническую, программную, конструкторскую и эксплуатационную документацию обоснованных требований по защите обрабатываемой информации и контроля их выполнения в процессе экспертизы документации, испытаний и приемки как АСЗИ в целом, так и ее компонентов;

- предприятие - разработчик - в части обеспечения соответствия разрабатываемой АСЗИ и СиЗИ требованиям ТЗ (ЧТЗ) по защите обрабатываемой информации, действующим стандартам, нормам и другим НД;

- предприятие - изготовитель - в части осуществления технических мер по обеспечению соответствия изготавливаемых технических средств и программной продукции заданным требованиям по защите обрабатываемой информации, реализованным в конструкторской и программной документации.

Общее руководство работами по ЗИ при создании АСЗИ в целом осуществляет главный конструктор АСЗИ или его заместители, а при создании компонентов АСЗИ - главные конструктора этих компонентов или их заместители.

Методическое руководство работами по ЗИ в АСЗИ в процессе жизненного цикла АСЗИ осуществляют подразделения организаций (штатные специалисты) по ЗИ, участвующие в создании АСЗИ.

 

84. Типовое содержание работ по защите информации на стадиях создания автоматизированных систем в защищенном исполнении.

 

По ГОСТ 34.601-90	Типовое содержание работ по защите информации
Стадия	Этапы работы
1.Формирование требований к АС	1.1. Обследование объекта и обоснование необходимости создания АСЗИ	Сбор данных о проводимых работах на объекте информатизации по обработке информации различной степени секретности. Определение факторов, воздействующих на информацию в соответствии с требованиями ГОСТ Р 51275. Оценка целесообразности создания АСЗИ.
1.2. Формирование требований пользователя к АСЗИ	Подготовка исходных данных для формирования требований по ЗИ на АС и процессов ее создания и эксплуатации. Разработка предварительных требований к СиЗИ на АСЗИ.
1.3. Оформление отчета о выполняемой работе и заявки на разработку АСЗИ	Разработка предложений по ЗИ в отчетной нормативно-технической документации. Оформление отчета о выполненных работах по ЗИ на данных стадиях. Оформление предложений по ЗИ в заявку на разработку АСЗИ. Формирование предложений по ЗИ в ТЗ на АСЗИ.
2. Разработка концепции АС	2.1. Изучение объекта	Уточнение условий эксплуатации АСЗИ и категорий важности обрабатываемой информации. Формирование перечня угроз защищаемой информации. Уточнение номенклатуры требований, предъявляемых к АСЗИ.
2.2. Проведение необходимых НИР	Поиск путей реализации требований по ЗИ в АС. Оценка возможности реализации требований по ЗИ в АСЗИ. Оформление и утверждение отчета о НИР по ЗИ или разделов по ЗИ в отчет о НИР по созданию АСЗИ.
2.3. Разработка вариантов концепции АС и выбор варианта концепции АС	Разработка альтернативных вариантов концепции ЗИ в АС и облика СиЗИ и процессов ее создания. Выбор оптимального варианта концепции ЗИ в АС (разработка замысла ЗИ в АС) и СиЗИ АС. Технико-экономическое обоснование выбранного варианта ЗИ в АС и процессов ее создания и эксплуатации
2.4.Оформление отчета о выполненной работе	Подготовка и оформление отчета о выполненных работах по ЗИ на данной стадии создания АС. Согласование концепции ЗИ в АС и предложений по вариантам СиЗИ в АС. Предложения по ЗИ в отчетную нормативно-техническую документацию этапа работ. Согласование и получение заключения ФАПСИ на разработку ШС.
3.Техническое задание	3.1. Разработка и утверждение технического задания на создание АСЗИ	Разработка требований по ЗИ в раздел ТЗ (ЧТЗ) на создание АСЗИ. Разработка, оформление, согласование и утверждение ТЗ (ЧТЗ) на создание АСЗИ.
4. Эскизный проект	4.1. Разработка предварительных проектных решений по системе в целом и ее частям	Разработка предварительных проектных решений АСЗИ. Технико-экономическое обоснование эффективности вариантов СиЗИ. Разработка ТЗ на СрЗИ и средства контроля эффективности ЗИ. Разработка требований на СрЗИ и средства контроля эффективности ЗИ в АС.
4.2. Разработка документации на АСЗИ и ее части	Разработка, оформление, согласование и утверждение документации по ЗИ и разделов эскизного проекта АС в части ЗИ. Экспертиза документации отчетной научно-технической документации и технической документации.
5. Технический проект	5.1. Разработка проектных решений по системе в целом и ее частям	Разработка СрЗИ н средств контроля. Разработка технического проекта СиЗИ и предложений по ЗИ в технический проект АСЗИ.
5.2. Разработка документации на АСЗИ и ее части	Разработка рабочей документации и технического проекта СиЗИ АС. Разработка разделов технической документации по ЗИ и/или отдельных документов по ЗИ в АС. Участие в экспертизе документации АСЗИ.
	Подготовка и оформление технической документации на поставку ТС и
5.3. Разработка и оформление документации на поставку изделий для комплектования АСЗИ	ПС для АС и СиЗИ. Поставка СрЗИ. Испытания СрЗИ. Сертификация СрЗИ и СиЗИ на соответствие требованиям по безопасности информации. Специсследования (спецпроверки) приобретенных ТС. Тестирование ПС. Экспертиза.
5.4. Разработка заданий на проектирование в смежных частях проекта объекта автоматизации	Проектирование помещений АС с учетом требований НД по защите информации.
6. Рабочая документация	6.1. Разработка рабочей документации на систему в целом и ее части	Участие в разработке рабочей конструкторской документации АС в части учета требований по ЗИ. Разработка рабочей конструкторской документации СиЗИ. Участие в экспертизе рабочей конструкторской документации.
6.2. Разработка или адаптация программ	Разработка ПС АСЗИ, программных СрЗИ. Тестирование ПС. Сертификация ПС по требованиям безопасности информации

 

 

7. Ввод в действие	7.1. Подготовка АСЗИ к вводу в действие	Реализация проектных решений по организационной структуре СиЗИ АС и процесса. Требования к организационным мерам ЗИ
7.2 Подготовка персонала	Проверка способности персонала обеспечить функционирование АСЗИ н СиЗИ. Проверка специалистов службы безопасности АС по обслуживанию СиЗИ.
7.3. Комплектация АС поставляемыми изделиями (ПС и ТС)	Получение комплектующих изделий для СиЗИ. Проверка качества поставляемых комплектующих изделий
7.4. Строительно-монтажные работы	Участие в работах по надзору за выполнением требований по ЗИ строительными организациями. Участие в испытаниях ТС по вопросам ЗИ. Проведение специсследований ТС
7.5. Пуско-наладочные работы	Проведение автономных наладок технических и программных СрЗИ, загрузка информации в базу данных и ее проверка. Участие в комплексной наладке всех средств АС с точки зрения обеспечения ЗИ
7.6.Проведение предварительных испытаний	Испытание СиЗИ на соответствие требованиям. Устранение недостатков СрЗИ и СиЗИ. Внесение изменений в документацию на СиЗИ. Участие в испытаниях АСЗИ. Проведение специсследований ТС. Аттестация АСЗИ
7.7. Проведение опытной эксплуатации	Эксплуатация СиЗИ. Анализ, доработка, наладка СиЗИ. Акт о завершении опытной эксплуатации СиЗИ. Участие в опытной эксплуатации АСЗИ. Анализ и предложения по доработке АСЗИ.
8. Сопровождение АСЗИ	8. Выполнение работ в соответствии с гарантийными обязательствами	Устранение недостатков по ЗИ в процессе функционирования АСЗИ. Внесение изменений в документацию АС в части вопросов ЗИ. Проведение инспекционного контроля за стабильностью характеристик АСЗИ.
8.2.Послегарантийное обслуживание	Анализ функционирования СиЗИ в АСЗИ. Установление причин не выполнения требований по ЗИ в АСЗИ. Выявление недостатков. Устранение недостатков в СиЗИ АСЗИ по гарантийным обязательствам. Внесение изменений в документацию на АСЗИ. Контроль состояния ЗИ в АС в защищенном исполнении.

85. Разработка технического задания на создание автоматизированной системы в защищенном исполнении. Этапы и виды работ.

Техническое задание является основой проекта, в нем отражаются все детали дальнейшей реализации проекта. Техническое задание (ТЗ) составляется специалистами внедренческого центра на основе требований к технической стороне реализуемого проекта со стороны руководства компании, начальников отделов, технологов производства, сотрудников бухгалтерии.

Разработка и внедрение вновь создаваемой АС производится в соответствии с ТЗ. ТЗ на АС является основным документом, определяющим требования, предъявляемые к АС, порядок создания АС и приемку АС при вводе в действие.

Для вновь создаваемых АС ТЗ разрабатывают на систему в целом, предназначенную для работы самостоятельно или в составе другой системы. Дополнительно могут быть разработаны ЧТЗ на части АС, на подсистемы АС. Поэтому требования по ЗИ при создании АСЗИ должны включаться разделом в общее ТЗ на АС или могут быть изложены в виде частного ЧТЗ или дополнения к основному ТЗ на АС.

Для АСЗИ, создаваемой на базе действующей АС, разрабатывается ТЗ (ЧТЗ) или дополнение к основному ТЗ на АС, в которые включаются требования по ЗИ только в части создаваемой системы (подсистемы) защиты обрабатываемой информации в АС.

На этапе разработки ТЗ на создание АСЗИ происходит разработка требований по ЗИ в раздел ТЗ (ЧТЗ). Также на данном этапе проводят разработку, оформление, согласование и утверждение ТЗ (ЧТЗ) на создание АСЗИ.

ТЗ на АСЗИ содержит следующие разделы:

1. общие сведения;

2. назначение и цели создания (развития) системы;

3. характеристика объектов автоматизации;

4. требования к системе;

5. состав и содержание работ по созданию системы;.

6. порядок контроля и приемки системы;

7. требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие;

8. требования к документированию;

9. источники разработки.

В ТЗ на АС могут включаться приложения.

1. В разделе «Общие сведения» указывают:

- полное наименование системы и ее условное обозначение;

- номер договора;

- наименование предприятий (объединений) разработчика и заказчика (пользователя) системы и их реквизиты;

- перечень документов, на основании которых создается система, кем и когда утверждены эти документы;

- плановые сроки начала и окончания работы по созданию системы;

- сведения об источниках и порядке финансирования работ;

- порядок оформления и предъявления заказчику результатов работ по созданию системы (ее частей), по изготовлению и наладке отдельных средств (технических, программных, информационных) и программно-технических (программно-методических) комплексов системы.

2. В разделе «Назначение и цели создания (развития) системы» указывают:

- вид автоматизируемой деятельности (управление, проектирование и т. п.) и перечень объектов автоматизации (объектов), на которых предполагается ее использовать.

- наименования и требуемые значения технических, технологических, производственно-экономических или других показателей объекта автоматизации, которые должны быть достигнуты в результате создания АС, и указывают критерии оценки достижения целей создания системы.

3. В разделе «Характеристики объектов автоматизации» приводят:

- краткие сведения об объекте автоматизации или ссылки на документы, содержащие такую информацию;

- сведения об условиях эксплуатации объекта автоматизация и характеристиках окружающей среды.

4. Раздел «Требования к системе» состоит из следующих подразделов:

1) требования к системе в целом;

2) требования к функциям (задачам), выполняемым системой;

3) требования к видам обеспечения.

Состав требований к системе, включаемых в данный раздел ТЗ на АС, устанавливают в зависимости от вида, назначения, специфических особенностей и условий функционирования конкретной системы.

В подразделе «Требования к системе в целом» указывают: требования к структуре и функционированию системы, требования к численности и квалификации персонала системы и режиму его работы, показатели назначения, требования к надежности, требования безопасности, требования к эргономике и технической эстетике, требования к транспортабельности для подвижных АС, требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов системы, требования к защите информации от несанкционированного доступа, требования по сохранности информации при авариях, требования к защите от влияния внешних воздействий, требования к патентной чистоте, требования по стандартизации и унификации и дополнительные требования.

В подразделе «Требование к функциям (задачам)», выполняемым системой, приводят:

- по каждой подсистеме перечень функций, задач или их комплексов (в том числе обеспечивающих взаимодействие частей системы), подлежащих автоматизации;

- временной регламент реализации каждой функции, задачи;

- требования к качеству реализации каждой функции (задачи), к форме представления выходной информации, характеристики необходимой точности и времени выполнения, требования одновременности выполнения группы функций, достоверности выдачи результатов;

- перечень и критерии отказов для каждой функции, по которой задаются требования по надежности.

В подразделе «Требования к видам обеспечения» в зависимости от вида системы приводят требования к:

математическому, информационному, лингвистическому, программному, техническому, метрологическому, организационному, методическому и другие видам обеспечения системы.

5. Раздел «Состав и содержание работ по созданию системы» должен содержать перечень стадий и этапов работ по созданию системы в соответствии с ГОСТ 24.601, сроки их выполнения, перечень организаций — исполнителей работ, ссылки на документы, подтверждающие согласие этих организаций на участие в создании системы, или запись, определяющую ответственного (заказчик или разработчик) за проведение этих работ.

В данном разделе также приводят:

- Перечень документов, по ГОСТ 34.201, предъявляемых по окончании соответствующих стадий и этапов работ;

- вид и порядок проведения экспертиза технической документации (стадия, этап, объем проверяемой документации, организация-эксперт);

- программу работ, направленных на обеспечение требуемого уровня надежности разрабатываемой системы (при необходимости);

- перечень работ по метрологическому обеспечению на всех стадиях создания системы с указанием их сроков выполнения и организаций-исполнителей (при необходимости).

6. В разделе «Порядок контроля и приемки системы» указывают:

- виды, состав, объем и методы испытаний системы и ее составных частей (виды испытаний в соответствии с действующими нормами, распространяющимися на разрабатываемую систему);

- общие требования к приемке работ по стадиям (перечень участвующих предприятий и организаций, место и сроки проведения), порядок согласования и утверждения приемочной документации;

- статус приемочной комиссии (государственная, межведомственная, ведомственная).

7. В разделе «Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие» необходимо привести перечень основных мероприятий и их исполнителей, которые следует выполнить при подготовке объекта автоматизации к вводу АС в действие.

В перечень основных мероприятий включают:

- приведение поступающей в систему информации (в соответствии с требованиями к информационному и лингвистическому обеспечению) к виду, пригодному для обработки с помощью ЭВМ;

- изменения, которые необходимо осуществить в объекте автоматизации;

- создание условий функционирования объекта автоматизации, при которых гарантируется соответствие создаваемой системы требованиям, содержащимся в ТЗ;

- создание необходимых для функционирования системы подразделений и служб;

- сроки и порядок комплектования штатов и обучения персонала.

8. В разделе «Требования к документированию» приводят:

- согласованный разработчиком и заказчиком системы перечень подлежащих разработке комплектов и видов документов, соответствующих требованиям ГОСТ 34.201 и НТД отрасли заказчика; перечень документов, выпускаемых на машинных носителях; требования к микрофильмированию документации;

- требования по документированию комплектующих элементов межотраслевого применения в соответствии с требованиями ЕСКД и ЕСПД;

- при отсутствии государственных стандартов, определяющих требования к документированию элементов системы, дополнительно включают требования к составу и содержанию таких документов.

9. В разделе «Источники разработки» должны быть перечислены документы и информационные материалы (технико-экономическое обоснование, отчеты о законченных научно-исследовательских работах, информационные материалы на отечественные, зарубежные системы-аналоги и др.), на основании которых разрабатывалось ТЗ и которые должны быть использованы при создании системы.