Главная Обратная связь

Дисциплины:

Архитектура (936)
Биология (6393)
География (744)
История (25)
Компьютеры (1497)
Кулинария (2184)
Культура (3938)
Литература (5778)
Математика (5918)
Медицина (9278)
Механика (2776)
Образование (13883)
Политика (26404)
Правоведение (321)
Психология (56518)
Религия (1833)
Социология (23400)
Спорт (2350)
Строительство (17942)
Технология (5741)
Транспорт (14634)
Физика (1043)
Философия (440)
Финансы (17336)
Химия (4931)
Экология (6055)
Экономика (9200)
Электроника (7621)






ОРГАНИЗАЦИЯ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ



3.1. Организация и проведение работ по технической защите информации с ограниченным доступом, не со­держащей сведений, составляющих государственную тайну, при ее обработке техническими средствами определяются настоящим документом, действующими государственными стандартами и другими норма­тивными и методическими документами Гостехкомиссии России.

3.2. Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их экс­плуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты ин­формации на руководителей подразделений по защите информации (служб безопасности) учреждения (предприятия).

3.3. Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) СЗИ объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обес­печивающее научно-техническое руководство созданием объекта информатизации.

3.4. Разработка СЗИ может осуществляться как подразделением учреждения (предприятия), так и специа­лизированным предприятием, имеющим лицензии Гостехкомиссии России и/или ФАПСИ на соответст­вующий вид деятельности в области защиты информации.

В случае разработки СЗИ или ее отдельных компонент специализированным предприятием, в учреждении (на предприятии), для которого осуществляется разработка (предприятие-заказчик), определяются подраз­деления (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуа­тацию) мероприятий по защите информации в ходе выполнения работ с использованием конфиденциаль­ной информации.

Разработка и внедрение СЗИ осуществляется во взаимодействии разработчика со службой безопасности предприятия-заказчика, которая осуществляет методическое руководство и участвует в разработке кон­кретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств за­щиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостно­сти защищаемой информации, в аттестации объектов информатизации.

3.5. Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом на предприятии "Руководстве по защите информации" или в специальном "Положении о порядке организации и проведения работ по защите информации" и должна предусматривать:



· порядок определения защищаемой информации;

· порядок привлечения подразделений предприятия, специализированных сторонних организаций к разра­ботке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных ста­диях создания и эксплуатации объекта информатизации;

· порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;

· порядок разработки, ввода в действие и эксплуатацию объектов информатизации;

· ответственность должностных лиц за своевременность и качество формирования требований по техниче­ской защите информации, за качество и научно-технический уровень разработки СЗИ.

3.6. В учреждении (на предприятии) должен быть документально оформлен перечень сведений конфиден­циального характера (приложение № 6), подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

3.7. Устанавливаются следующие стадии создания системы защиты информации:

· предпроектная стадия, включающая предпроектное обследование объекта информатизации, разра­ботку аналитического обоснования необходимости создания СЗИ и технического (частного техниче­ского) задания на ее создание;

· стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая раз­работку СЗИ в составе объекта информатизации;

· стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требова­ниям безопасности информации.



3.8. На предпроектной стадии по обследованию объекта информатизации:

· устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;

· определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техни­ческим каналам;

· определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя приме­нительно к конкретным условиям функционирования;

· определяются условия расположения объектов информатизации относительно границ КЗ;

· определяются конфигурация и топология автоматизированных систем и систем связи в целом и их от­дельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

· определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные сред­ства, имеющиеся на рынке и предлагаемые к разработке;

· определяются режимы обработки информации в АС в целом и в отдельных компонентах;

· определяется класс защищенности АС;

· определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;

· определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирова­ния объекта информатизации.

3.9. По результатам предпроектного обследования разрабатывается аналитическое обоснование необходи­мости создания СЗИ.

На основе действующих нормативных правовых актов и методических документов по защите конфиденци­альной информации, в т.ч. настоящего документа, с учетом установленного класса защищенности АС за­даются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

3.10. Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера.

Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя.

3.11. Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищае­мой информации целесообразно выполнять представителям предприятия-заказчика при методической по­мощи специализированного предприятия.

Ознакомление специалистов этого предприятия с защищаемыми сведениями осуществляется в установлен­ном на предприятии-заказчике порядке.

3.12. Аналитическое обоснование необходимости создания СЗИ должно содержать:

· информационную характеристику и организационную структуру объекта информатизации;

· характеристику комплекса основных и вспомогательных технических средств, программного обеспече­ния, режимов работы, технологического процесса обработки информации;

· возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

· перечень предлагаемых к использованию сертифицированных средств защиты информации;

· обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;

· оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;

· ориентировочные сроки разработки и внедрения СЗИ;

· перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство созда­ния объекта информатизации), руководителем службы безопасности и утверждается руководителем пред­приятия-заказчика.

3.13. Техническое (частное техническое) задание на разработку СЗИ должно содержать:

· обоснование разработки;

· исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программ­ном, информационном и организационном аспектах;

· класс защищенности АС;

· ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в экс­плуатацию объект информатизации;

· конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и ус­тановленного класса защищенности АС;

· перечень предполагаемых к использованию сертифицированных средств защиты информации;

· обоснование проведения разработок собственных средств защиты информации, невозможности или не­целесообразности использования имеющихся на рынке сертифицированных средств защиты ин­формации;

· состав, содержание и сроки проведения работ по этапам разработки и внедрения;

· перечень подрядных организаций-исполнителей видов работ;

· перечень предъявляемой заказчику научно-технической продукции и документации.

3.14. Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согла­совывается со службой безопасности предприятия-заказчика, подрядными организациями и утверждается заказчиком.

3.15. В целях дифференцированного подхода к защите информации производится классификация АС по требованиям защищенности от НСД к информации.

Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями руководящего до­кумента (РД) Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и раздела 5 настоящего документа и оформляется актом.

Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

3.16. На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъ­являемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и вре­менные ресурсы осуществляются:

· разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) зада­ния на разработку СЗИ;

· разработка раздела технического проекта на объект информатизации в части защиты информации;

· строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчи­ком, размещением и монтажом технических средств и систем;

· разработка организационно-технических мероприятий по защите информации в соответствии с предъяв­ляемыми требованиями;

· закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении техниче­ских средств обработки, передачи и хранения информации, либо их сертификация;

· закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографи­ческих) средств защиты информации и их установка;

· разработка (доработка) или закупка и последующая сертификация по требованиям безопасности инфор­мации программных средств защиты информации в случае, когда на рынке отсутствуют тре­буемые сертифицированные программные средства;

· организация охраны и физической защиты помещений объекта информатизации, исключающих несанк­ционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

· разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персо­нала к обрабатываемой (обсуждаемой) на объекте информатизации информации;

· определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуа­тации объекта информатизации;

· выполнение генерации пакета прикладных программ в комплексе с программными средствами за­щиты информации;

· разработка эксплуатационной документации на объект информатизации и средства защиты информа­ции, а также организационно-распорядительной документации по защите информации (приказов, ин­струкций и других документов);

· выполнение других мероприятий, специфичных для конкретных объектов информатизации и направле­ний защиты информации.

3.17. Задание на проектирование оформляется отдельным документом, согласовывается с проектной орга­низацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по тех­нической защите информации и утверждается заказчиком.

Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновре­менно с ними.

3.18. На стадии проектирования и создания объекта информатизации оформляются также технический (техно-рабочий) проект и эксплуатационная документация СЗИ, состоящие из:

· пояснительной записки с изложением решений по комплексу организационных мер и программно-тех­ническим (в том числе криптографическим) средствам обеспечения безопасности информации, со­става средств защиты информации с указанием их соответствия требованиям ТЗ;

· описания технического, программного, информационного обеспечения и технологии обработки (пере­дачи) информации;

· плана организационно-технических мероприятий по подготовке объекта информатизации к внедре­нию средств и мер защиты информации;

· технического паспорта объекта информатизации (форма технического паспорта на АС приведена в при­ложении № 5);

· инструкций и руководств по эксплуатации технических и программных средств защиты для пользовате­лей, администраторов системы, а также для работников службы защиты информации .

3.19. На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

· опытная эксплуатация средств защиты информации в комплексе с другими техническими и программ­ными средствами в целях проверки их работоспособности в составе объекта информатиза­ции и отработки технологического процесса обработки (передачи) информации;

· приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

· аттестация объекта информатизации по требованиям безопасности информации.

3.20. На этой стадии оформляются:

· акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;

· предъявительский акт к проведению аттестационных испытаний;

· заключение по результатам аттестационных испытаний.

При положительных результатах аттестации на объект информатизации оформляется "Аттестат соответст­вия" требованиям по безопасности информации (форма "Аттестата соответствия" для АС приведена в при­ложении № 2, для ЗП в приложении № 3)

3.21. Кроме вышеуказанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:

· о проектировании объекта информатизации, создании соответствующих подразделений разработки и на­значении ответственных исполнителей;

· о формировании группы обследования и назначении ее руководителя;

· о заключении соответствующих договоров на проведение работ;

· о назначении лиц, ответственных за эксплуатацию объекта информатизации;

· о начале обработки в АС (обсуждения в защищаемом помещении) конфиденциальной информации.

3.22. Для объектов информатизации, находящихся в эксплуатации до введения в действие настоящего до­кумента, может быть предусмотрен по решению их заказчика (владельца) упрощенный вариант их дора­ботки (модернизации), переоформления организационно-распорядительной, технологической и эксплуата­ционной документации.

Программа аттестационных испытаний такого рода объектов информатизации определяется аттестацион­ной комиссией.

Необходимым условием является их соответствие действующим требованиям по защите информации.

3.23. Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной орга­низационно-распорядительной и эксплуатационной документацией, с учетом требований и положений, из­ложенных в разделах 4-6 настоящего документа.

3.24. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специаль­ных программно-технических воздействий, вызывающих нарушение целостности информации или работо­способность технических средств в учреждении (на предприятии), проводится периодический (не реже од­ного раза в год) контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и феде­ральными органами контроля (для информации, режим защиты которой определяет государство) и заклю­чается в оценке:

· соблюдения нормативных и методических документов Гостехкомиссии России;

· работоспособности применяемых средств защиты информации в соответствии с их эксплутационной до­кументацией;

· знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

3.25. Собственник или владелец конфиденциальной информации имеет право обратиться в органы государ­ственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.

3.26. При необходимости по решению руководителя предприятия в ЗП и в местах размещения средств об­работки информации могут проводиться работы по обнаружению и изъятию "закладок", предназначенных для скрытого перехвата защищаемой информации.

3.27. Такие работы могут проводиться организациями, имеющими соответствующие лицензии ФАПСИ или ФСБ России на данный вид деятельности.


Эта страница нарушает авторские права

allrefrs.ru - 2019 год. Все права принадлежат их авторам!