Применение средств криптографической защиты информации при проектировании автоматизированных систем в защищенном исполнении.

Проектирование АСЗИ регламентирует ГОСТ Р 51583-2000.

Работы по созданию АСЗИ с использованием шифровальных средств для защиты сведений, отнесенных к государственной тайне, организуются в соответствии с положениями нормативных актов РФ, определяющих порядок разработки, изготовления и обеспечения эксплуатации шифровальных средств, систем и комплексов вооружения, использующих шифровальные средства.

- Для создания АСЗИ могут применяться как серийно выпускаемые, так и вновь разработанные шифровальные СрЗИ. Выпускаемые средства должны иметь сертификаты соответствия, полученные в соответствующих системах сертификации по требованиям безопасности информации [9], [10].

- Порядок обеспечения эксплуатации АСЗИ с использованием шифровальной техники для защиты сведений, отнесенных к государственной тайне, регламентируется в [5].

- Ответственность за надлежащее исполнение правил эксплуатации средств криптографической ЗИ (в том числе во время приемочных испытаний) возлагается на руководство организаций, эксплуатирующих данные средства.

- Контроль за выполнением требований инструкций по эксплуатации средств криптографической ЗИ возлагается на специальные подразделения по ЗИ на предприятии (организации), эксплуатирующем данные средства [5].

- Тематические исследования по криптографической ЗИ в составе комплексов технических средств АСЗИ проводятся организациями, имеющими лицензию на этот вид работ в соответствии с[5].

- Специальные исследования ТС и средств АСЗИ проводятся организациями (учреждения­ми), имеющими лицензии ГТК РФ на соответствующий вид деятельности.

- Сертификация средств, комплексов и систем ЗИ осуществляется в соответствии с требованиями [9], [10].

- Аттестацию АСЗИ осуществляют в соответствии с требованиями [4], [13].

 

Стадии и этапы работ по созданию АСЗИ:

1. Формиро­вание требова­ний к АС

1.1 Сбор исходных данных об объекте информатизации, степени секретности обрабатываемой информации, оценка и обоснование необходимости и целесообразности применения криптографических ср-тв в разрабатываемой АСЗИ.

1.2 Подготовка исходных данных для формирования требо­ваний по использованию криптографических срв в АС. Разработка предварительных требований к криптографическим СЗИ.

1.3. Разработка предложений по применению криптографических срв в АС в отчетной НД. Оформление предложений по использованию криптографических срв на АС в заявку на разра­ботку АСЗИ. Формирование предложений по использованию криптографических срв в АС в ТЗ на АСЗИ.

2 Разработка концепции АС

2.1 Уточнение условий эксплуатации криптографических срв и категорий важности обрабатываемых срвами информации. Уточнение номенк­латуры требований, предъявляемых к криптографическим ср-вам.

2.2 Поиск путей реализации требований по применению криптографических срв в АС. Оцен­ка возможности реализации требований по ЗИ в АСЗИ. Оформление и утверждение отчета о НИР по ЗИ или раз­делов по ЗИ с помощью криптографических срв в отчет о НИР по созданию АСЗИ.

2.3 Разработка альтернативных вариантов применению криптографических срв в АС с учетом требо­ваний. Выбор оптимального варианта. Технико-экономическое обоснование выбранного варианта применения криптографических срв в АС.

2.4. Согласование кон­цепции ЗИ в АС и предложений по вариантам применения криптографических срв в АС. Согласова­ние и получение заключения ФАПСИ на разработку шифровальных срв.

3 ТЗ

3.1 Разработка требований по применению криптографических срв в АС. Разработка, оформление, согласование и ут­верждение ТЗ (ЧТЗ) на создание АСЗИ

4 Эскизный проект

4.1 Разработка предварительных проектных решений по применению криптографических срв в АС. Технико-экономическое обоснование эффективности вари­антов применения криптографических срв. Разработка требований и ТЗ на криптографические срва и средства контроля эффективности ЗИ.

4.2 Разработка, оформление, согласование и утверждение документации по применению криптографических срв. Экспертиза документации отчетной научно-тех­нической документации и технической документации.

5 Техничес­кий проект

5.1 Разработка принципиальных схем применения криптографических СЗИ. Разработка техни­ческого проекта на КСЗИ и предложений по ЗИ в техничес­кий проект АСЗИ.

5.2 Разработка рабочей документации и технического про­екта КСЗИ.

5.3 Подготовка и оформление технической документации на поставку криптосрв для АС. Поставка КСЗИ. Испы­тания КСЗИ. Сертификация СКЗИ на соответствие требованиям по безопасности информации. Специсследо­вания (спецпроверки) приобретенных КСЗИ. Тестирование КСЗИ. Экспертиза.

6 Рабочая документация

6.1 Участие в разработке рабочей конструкторской докумен­тации АС в части учета требований по ЗИ. Разработка рабо­чей конструкторской документации на КСЗИ. Участие в экс­пертизе рабочей конструкторской документации

6.2 Разработка ПС АСЗИ, программных КСЗИ. Тестирова­ние КСЗИ. Сертификация КСЗИ по требованиям безопасности информации

Приложение Б

(справочное)

Библиография

[1]	Положение о государственной системе защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам. Москва. Военное издательство. 1993.
[2] РД 50-680-88	Методические указания. Автоматизированные системы. Основные положения
[3]	Федеральный закон "Об участии в международном информационном обмене" № 85-ФЗ от 4.07.96 г.
[4]	Положение о сертификации средств защиты информации. Постановление Правительства Российской Федерации от 26.06.95г. N 608
[5]	Положение о сертификации средств защиты информации по требованиям безопасности информации. Приказ Председателя Гостехкомиссии России от 27.10.1995 г. №199. Зарегистрировано Госстандартом России в Государственном реестре 20.03.1995 г. (Свидетельство №РОСС 1Ш.0001.01БИОО).
[6]	Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации). Гостехкомиссия России. Решение N 32 от 14.03.95г.
[7]	Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов Российской Федерации. Гостехкомиссия России. Решение N 32 от 14.03.95.
[8] РД 50-34.698-90	Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов.
[9] Положение ПШ-93	Положение о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику в Российской Федерации.
[10]	Положение об аттестации объектов информатизации по требованиям безопасности информации. Гостехкомиссия России. 1994.
[11] Руководящий документ	Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Гостехкомиссия России. Москва. Военное издательство. 1992.
[12] Руководящий документ	Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России. Москва. Военное издательство. 1992.
[13] Руководящий документ	Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России. Москва. Военное издательство. 1992.
[14] Руководящий документ	Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. Гостехкомиссия России. М.: Военное издательство. 1992.
[15] Руководящий документ	Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России. М.:1998.