|
|
@@ -0,0 +1,55 @@
|
|
|
+# Разработка и ведение эксплуатационной документации защищенных автоматизированных систем.
|
|
|
+
|
|
|
+# Общий порядок действий по созданию систем защиты информации
|
|
|
+
|
|
|
+Система защиты информации (применительно к органу управления, организации, учреждению – это совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации (пункт 2.4.3. Национального стандарта Российской Федерации ГОСТ Р50922-2006 «Защита информации. Основные термины и определения»).
|
|
|
+
|
|
|
+В организационную структуру системы входят:
|
|
|
+
|
|
|
+- руководитель – несет персональную ответственность за обеспечение информационной безопасности (устав организации, положение об органе);
|
|
|
+- заместитель руководителя, курирующий вопросы информационно-технической безопасности (должностной регламент);
|
|
|
+- постоянно действующий коллегиальный орган, вырабатывающий предложения по решению проблемных вопросов в области защиты информации; (положение о комиссии);
|
|
|
+- подразделение или специалист, ответственные за реализацию мероприятий по технической защите информации (положение о подразделении, должностная инструкция или регламент специалиста).
|
|
|
+
|
|
|
+Система защиты информации (применительно к объекту обработки информации) – это совокупность организационных мероприятий, технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации (пункт 3.3 Национального стандарта Российской Федерации ГОСТ Р51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»).
|
|
|
+
|
|
|
+Задачи, решаемые системой защиты информации:
|
|
|
+
|
|
|
+- исключение неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности - информации);
|
|
|
+- исключение неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
|
|
|
+- исключение неправомерного блокирования информации (обеспечение доступности информации).
|
|
|
+
|
|
|
+# Автоматизированные системы
|
|
|
+
|
|
|
+В соответствии с определением по ГОСТ 34.003-90 (Информационная технология. Комплекс стандартов на автоматизированные системы (КСАС). Автоматизированные системы. Термины и определения) эксплуатационная документация на автоматизированную систему (АС) – это часть рабочей документации на АС, предназначенная для использования при эксплуатации системы, определяющая правила действия персонала и пользователей системы при ее функционировании, проверке и обеспечении ее работоспособности. Перечень наименований разрабатываемых документов и их комплектность на систему и ее части должен быть определен в техническом задании на создание автоматизированной системы (подсистемы). Ниже приведена таблица, в которой приведены виды и номенклатура эксплуатационных документов в соответствии с КСАС.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+# При проектировании системы защиты автоматизированной системы управления
|
|
|
+
|
|
|
+определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, программируемые логические контроллеры, исполнительные устройства, иные объекты доступа);
|
|
|
+
|
|
|
+определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в автоматизированной системе управления;
|
|
|
+
|
|
|
+выбираются меры защиты информации, подлежащие реализации в рамках системы защиты автоматизированной системы управления;
|
|
|
+
|
|
|
+определяются параметры программирования и настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей автоматизированной системы управления;
|
|
|
+
|
|
|
+определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
|
|
|
+
|
|
|
+определяется структура системы защиты автоматизированной системы управления, включая состав (количество) и места размещения ее элементов;
|
|
|
+
|
|
|
+осуществляется при необходимости выбор средств защиты информации с учетом их стоимости, совместимости с программным обеспечением и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности автоматизированной системы управления;
|
|
|
+
|
|
|
+определяются меры защиты информации при информационном взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями;
|
|
|
+
|
|
|
+осуществляется проверка, в том числе при необходимости с использованием макетов или тестовой зоны, корректности функционирования автоматизированной системы управления с системой защиты и совместимости выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления.
|
|
|
+
|
|
|
+При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней автоматизированной системы управления.
|
|
|
+
|
|
|
+Результаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на автоматизированную систему управления (систему защиты автоматизированной системы управления), разрабатываемой с учетом ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем" (далее - ГОСТ 34.201) и стандартов организации.
|
|
|
+
|
