# Разработка и ведение эксплуатационной документации защищенных автоматизированных систем. # Общий порядок действий по созданию систем защиты информации Система защиты информации (применительно к органу управления, организации, учреждению – это совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации (пункт 2.4.3. Национального стандарта Российской Федерации ГОСТ Р50922-2006 «Защита информации. Основные термины и определения»). В организационную структуру системы входят: - руководитель – несет персональную ответственность за обеспечение информационной безопасности (устав организации, положение об органе); - заместитель руководителя, курирующий вопросы информационно-технической безопасности (должностной регламент); - постоянно действующий коллегиальный орган, вырабатывающий предложения по решению проблемных вопросов в области защиты информации; (положение о комиссии); - подразделение или специалист, ответственные за реализацию мероприятий по технической защите информации (положение о подразделении, должностная инструкция или регламент специалиста). Система защиты информации (применительно к объекту обработки информации) – это совокупность организационных мероприятий, технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации (пункт 3.3 Национального стандарта Российской Федерации ГОСТ Р51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»). Задачи, решаемые системой защиты информации: - исключение неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности - информации); - исключение неправомерных уничтожения или модифицирования информации (обеспечение целостности информации); - исключение неправомерного блокирования информации (обеспечение доступности информации). # Автоматизированные системы В соответствии с определением по ГОСТ 34.003-90 (Информационная технология. Комплекс стандартов на автоматизированные системы (КСАС). Автоматизированные системы. Термины и определения) эксплуатационная документация на автоматизированную систему (АС) – это часть рабочей документации на АС, предназначенная для использования при эксплуатации системы, определяющая правила действия персонала и пользователей системы при ее функционировании, проверке и обеспечении ее работоспособности. Перечень наименований разрабатываемых документов и их комплектность на систему и ее части должен быть определен в техническом задании на создание автоматизированной системы (подсистемы). Ниже приведена таблица, в которой приведены виды и номенклатура эксплуатационных документов в соответствии с КСАС. ![](kolj1.PNG) ![](kolj2.PNG) ![](kolj3.PNG) # При проектировании системы защиты автоматизированной системы управления определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, программируемые логические контроллеры, исполнительные устройства, иные объекты доступа); определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в автоматизированной системе управления; выбираются меры защиты информации, подлежащие реализации в рамках системы защиты автоматизированной системы управления; определяются параметры программирования и настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей автоматизированной системы управления; определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации; определяется структура системы защиты автоматизированной системы управления, включая состав (количество) и места размещения ее элементов; осуществляется при необходимости выбор средств защиты информации с учетом их стоимости, совместимости с программным обеспечением и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности автоматизированной системы управления; определяются меры защиты информации при информационном взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями; осуществляется проверка, в том числе при необходимости с использованием макетов или тестовой зоны, корректности функционирования автоматизированной системы управления с системой защиты и совместимости выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления. При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней автоматизированной системы управления. Результаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на автоматизированную систему управления (систему защиты автоматизированной системы управления), разрабатываемой с учетом ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем" (далее - ГОСТ 34.201) и стандартов организации.