|
|
@@ -0,0 +1,84 @@
|
|
|
+Содержание и порядок выполнения работ по защите информации при модернизации автоматизированной системы в защищенном исполнении
|
|
|
+
|
|
|
+В 2014 году был введен в действие национальный стандарт ГОСТ P 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения", который
|
|
|
+определил комплекс работ по созданию системы защиты информации для создаваемых (модернизируемых) автоматизированных систем, в отношении которых законодательством или заказчиком установлены
|
|
|
+требования по их защите.
|
|
|
+
|
|
|
+
|
|
|
+Автоматизированная система в защищенном исполнении (АСЗИ) - автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями
|
|
|
+стандартов и/или иных нормативных документов по защите информации. В качестве основных видов автоматизированных систем ГОСТ рассматривает автоматизированные рабочие места и информационные системы.
|
|
|
+[Картинка 1](1.jpg)
|
|
|
+
|
|
|
+
|
|
|
+При создании (модернизации) АСЗИ необходимо руководствоваться следующими общими требованиями:
|
|
|
+
|
|
|
+- система ЗИ АСЗИ должна обеспечивать комплексное решение задач по ЗИ от НСД, от утечки защищаемой информации по техническим каналам, от несанкционированных и непреднамеренных воздействий на
|
|
|
+информацию (на носители информации) применительно к конкретной АСЗИ. Состав решаемых задач по ЗИ определяется задачами обработки информации, решаемыми с использованием АСЗИ, ее программным и
|
|
|
+аппаратным составом, конфигурацией этой системы, условиями функционирования, требованиями, предъявляемыми к обрабатываемой информации, угрозами безопасности информации;
|
|
|
+
|
|
|
+
|
|
|
+- система ЗИ АСЗИ должна разрабатываться (проектироваться) с учетом возможности реализации требований о защите обрабатываемой информации при использовании в АСЗИ методов и программно-аппаратных
|
|
|
+средств организации сетевого взаимодействия;
|
|
|
+
|
|
|
+
|
|
|
+- система ЗИ АСЗИ должна создаваться с учетом обеспечения возможности формирования различных вариантов ее построения, а также расширения возможностей ее составных частей (сегментов) в зависимости
|
|
|
+от условий функционирования АСЗИ и требований о ЗИ;
|
|
|
+
|
|
|
+
|
|
|
+- ЗИ должна обеспечиваться во всех составных частях (сегментах) АСЗИ, используемых в обработке защищаемой информации;
|
|
|
+
|
|
|
+
|
|
|
+- входящие в состав АСЗИ средства ЗИ и контроля эффективности ЗИ не должны препятствовать нормальному функционированию АСЗИ;
|
|
|
+
|
|
|
+
|
|
|
+- программное обеспечение системы ЗИ должно быть совместимым с программным обеспечением других составных частей (сегментов) АСЗИ и не должно снижать требуемый уровень защищенности информации в
|
|
|
+АСЗИ;
|
|
|
+
|
|
|
+
|
|
|
+- программно-технические средства, используемые для построения системы ЗИ, должны быть совместимы между собой (корректно работать совместно) и не должны снижать уровень защищенности информации в
|
|
|
+АСЗИ.
|
|
|
+[Картинка 2](2.jpg)
|
|
|
+
|
|
|
+ЗИ о создаваемой АСЗИ является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем.
|
|
|
+
|
|
|
+
|
|
|
+В ГОСТ P 51583-2014 выделен следующий комплекс работ по созданию системы защиты информации:
|
|
|
+
|
|
|
+-формирование требований к системе защиты информации АСЗИ;
|
|
|
+
|
|
|
+-разработка (проектирование) системы защиты информации АСЗИ;
|
|
|
+
|
|
|
+-внедрение системы защиты информации АСЗИ;
|
|
|
+
|
|
|
+-аттестация АСЗИ по требованиям безопасности информации и ввод в действие;
|
|
|
+
|
|
|
+-сопровождение системы защиты информации в ходе эксплуатации АСЗИ.
|
|
|
+
|
|
|
+В "Требования по защите информации и созданию системы защиты информации" были рассмотрены стадии создания СЗИ в соответствии с СТР-К (предроектная, проектирование, ввод в действие СЗИ).
|
|
|
+ГОСТ Р 51583-2014 не противоречит СТР-К, а лишь более подробно раскрывает комплекс работ по созданию СЗИ. Стоит отметить, что на ГОСТ ссылаются последние документы ФСТЭК.
|
|
|
+
|
|
|
+В работах по созданию (модернизации) АСЗИ и ее системы ЗИ участвуют:
|
|
|
+
|
|
|
+
|
|
|
+- заказчик АСЗИ - в части задания в ТЗ на АСЗИ и систему ЗИ, включения в документацию на АСЗИ обоснованных требований о защите обрабатываемой АСЗИ информации и контроля их выполнения в
|
|
|
+процессе экспертизы документации, испытаний и приемки как АСЗИ в целом, так и системы ЗИ, а также в части организации аттестации АСЗИ на соответствие требованиям безопасности информации и
|
|
|
+сопровождения АСЗИ в ходе ее эксплуатации;
|
|
|
+
|
|
|
+
|
|
|
+- разработчик АСЗИ - в части обеспечения соответствия разрабатываемой АСЗИ и ее системы ЗИ требованиям ТЗ, нормативных правовых актов, методических документов и национальных стандартов в области
|
|
|
+защиты информации;
|
|
|
+
|
|
|
+
|
|
|
+- изготовитель ТС и ПС - в части осуществления технических мер по обеспечению соответствия изготавливаемых ТС и ПС заданным требованиям о защите обрабатываемой АСЗИ информации, в соответствии
|
|
|
+с документацией на АСЗИ;
|
|
|
+
|
|
|
+
|
|
|
+- поставщик ТС и ПС - в части поставки ТС и ПС для АСЗИ, соответствующих требованиям по ЗИ, по заказу изготовителя, разработчика или заказчика и их гарантий
|
|
|
+
|
|
|
+[Картинка 3](3.jpg)
|
|
|
+
|
|
|
+Источники:
|
|
|
+1.[psihdocs.ru](https://psihdocs.ru/lekciya-soderjanie-i-poryadok-vipolneniya-rabot-po-zashite-inf.html)
|
|
|
+2.[docs.cntd.ru](https://docs.cntd.ru/document/1200108858)
|
|
|
+3.[www.fa.ru](http://www.fa.ru/org/div/uank/Documents/2019/ГОСТ%20Р%2051583%20-%202000.pdf)
|
|
|
+
|
