ypv
62ab3a0c07
init
|
2 years ago | |
|---|---|---|
| .. | ||
| 1.jpg | 2 years ago | |
| 2.jpg | 2 years ago | |
| 3.jpg | 2 years ago | |
| README.md | 2 years ago | |
README.md
Содержание и порядок выполнения работ по защите информации при модернизации автоматизированной системы в защищенном исполнении
В 2014 году был введен в действие национальный стандарт ГОСТ P 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения", который определил комплекс работ по созданию системы защиты информации для создаваемых (модернизируемых) автоматизированных систем, в отношении которых законодательством или заказчиком установлены требования по их защите.
Автоматизированная система в защищенном исполнении (АСЗИ) - автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации. В качестве основных видов автоматизированных систем ГОСТ рассматривает автоматизированные рабочие места и информационные системы. Картинка 1
При создании (модернизации) АСЗИ необходимо руководствоваться следующими общими требованиями:
система ЗИ АСЗИ должна обеспечивать комплексное решение задач по ЗИ от НСД, от утечки защищаемой информации по техническим каналам, от несанкционированных и непреднамеренных воздействий на информацию (на носители информации) применительно к конкретной АСЗИ. Состав решаемых задач по ЗИ определяется задачами обработки информации, решаемыми с использованием АСЗИ, ее программным и аппаратным составом, конфигурацией этой системы, условиями функционирования, требованиями, предъявляемыми к обрабатываемой информации, угрозами безопасности информации;
система ЗИ АСЗИ должна разрабатываться (проектироваться) с учетом возможности реализации требований о защите обрабатываемой информации при использовании в АСЗИ методов и программно-аппаратных средств организации сетевого взаимодействия;
система ЗИ АСЗИ должна создаваться с учетом обеспечения возможности формирования различных вариантов ее построения, а также расширения возможностей ее составных частей (сегментов) в зависимости от условий функционирования АСЗИ и требований о ЗИ;
ЗИ должна обеспечиваться во всех составных частях (сегментах) АСЗИ, используемых в обработке защищаемой информации;
входящие в состав АСЗИ средства ЗИ и контроля эффективности ЗИ не должны препятствовать нормальному функционированию АСЗИ;
программное обеспечение системы ЗИ должно быть совместимым с программным обеспечением других составных частей (сегментов) АСЗИ и не должно снижать требуемый уровень защищенности информации в АСЗИ;
программно-технические средства, используемые для построения системы ЗИ, должны быть совместимы между собой (корректно работать совместно) и не должны снижать уровень защищенности информации в АСЗИ.
Картинка 2
ЗИ о создаваемой АСЗИ является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем.
В ГОСТ P 51583-2014 выделен следующий комплекс работ по созданию системы защиты информации:
-формирование требований к системе защиты информации АСЗИ;
-разработка (проектирование) системы защиты информации АСЗИ;
-внедрение системы защиты информации АСЗИ;
-аттестация АСЗИ по требованиям безопасности информации и ввод в действие;
-сопровождение системы защиты информации в ходе эксплуатации АСЗИ.
В "Требования по защите информации и созданию системы защиты информации" были рассмотрены стадии создания СЗИ в соответствии с СТР-К (предроектная, проектирование, ввод в действие СЗИ). ГОСТ Р 51583-2014 не противоречит СТР-К, а лишь более подробно раскрывает комплекс работ по созданию СЗИ. Стоит отметить, что на ГОСТ ссылаются последние документы ФСТЭК.
В работах по созданию (модернизации) АСЗИ и ее системы ЗИ участвуют:
заказчик АСЗИ - в части задания в ТЗ на АСЗИ и систему ЗИ, включения в документацию на АСЗИ обоснованных требований о защите обрабатываемой АСЗИ информации и контроля их выполнения в процессе экспертизы документации, испытаний и приемки как АСЗИ в целом, так и системы ЗИ, а также в части организации аттестации АСЗИ на соответствие требованиям безопасности информации и сопровождения АСЗИ в ходе ее эксплуатации;
разработчик АСЗИ - в части обеспечения соответствия разрабатываемой АСЗИ и ее системы ЗИ требованиям ТЗ, нормативных правовых актов, методических документов и национальных стандартов в области защиты информации;
изготовитель ТС и ПС - в части осуществления технических мер по обеспечению соответствия изготавливаемых ТС и ПС заданным требованиям о защите обрабатываемой АСЗИ информации, в соответствии с документацией на АСЗИ;
поставщик ТС и ПС - в части поставки ТС и ПС для АСЗИ, соответствующих требованиям по ЗИ, по заказу изготовителя, разработчика или заказчика и их гарантий
Источники:
1.psihdocs.ru
2.docs.cntd.ru
3.www.fa.ru