Из ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении

ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. Information protection. Sequence of protected operational system formation. General provisions. УДК 004.056:004.78:006.354 ОКС 35.020 П80. Редакция от 03.02.2022.

1 Область применения ГОСТ Р 51583-2014

Настоящий стандарт распространяется на создаваемые (модернизируемые) информационные автоматизированные системы, в отношении которых законодательством или заказчиком установлены требования по их защите, и устанавливает содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении, содержание и порядок выполнения работ по защите информации о создаваемой (модернизируемой) автоматизированной системе в защищенном исполнении.

Примечание - В качестве основных видов автоматизированных систем рассматриваются автоматизированные рабочие места и информационные системы.

Положения настоящего стандарта дополняют положения комплекса стандартов «Информационная технология. Комплекс стандартов на автоматизированные системы» в части порядка создания автоматизированных систем в защищенном исполнении [из 1 Область применения ГОСТ Р 51583-2014]

2 Нормативные ссылки ГОСТ Р 51583-2014

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

[из 2 Нормативные ссылки ГОСТ Р 51583-2014]

3 Термины и определения ГОСТ Р 51583-2014

В настоящем стандарте применены термины по ГОСТ Р 50922, ГОСТ Р 53114, ГОСТ 34.003, ГОСТ 16504, а также следующие термины с соответствующими определениями:

Обработка информации по ГОСТ Р 51583-2014

Выполнение любого действия (операции) или совокупности действий (операций) с информацией (например, сбор, накопление, ввод, вывод, прием, передача, запись, хранение, регистрация, преобразование, отображение и т.п.), совершаемых с заданной целью [из 3.2 ГОСТ Р 51583-2014]

4 Обозначения и сокращения ГОСТ Р 51583-2014

В настоящем стандарте применены следующие сокращения:

  • АС - автоматизированная система;
  • АСЗИ - автоматизированная система в защищенном исполнении;
  • ЗИ - защита информации;
  • НИР - научно-исследовательская работа;
  • НСД - несанкционированный доступ;
  • ОКР - опытно-конструкторская работа;
  • ПС - программное средство;
  • СЗИ - средство защиты информации;
  • ТЗ - техническое задание;
  • ТТЗ - тактико-техническое задание;
  • ТС - техническое средство.

[из 4 Обозначения и сокращения ГОСТ Р 51583-2014]

5 Общие положения ГОСТ Р 51583-2014

Для обработки информации, необходимость защиты которой определяется законодательством Российской Федерации или решением ее обладателя, должны создаваться АСЗИ, в которых реализованы в соответствии с действующими нормативными правовыми актами требования о ЗИ. Реализация требований о ЗИ в АСЗИ осуществляется системой ЗИ, являющейся неотъемлемой составной частью АСЗИ [из 5.1 ГОСТ Р 51583-2014]

При создании (модернизации) АСЗИ необходимо руководствоваться следующими общими требованиями:

ЗИ о создаваемой АСЗИ является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем [из 5.3 ГОСТ Р 51583-2014]

Обеспечение ЗИ в АСЗИ достигается заданием, реализацией и контролем выполнения требований о защите информации:

[из 5.4 ГОСТ Р 51583-2014]

АСЗИ должны создаваться в соответствии с ТЗ, являющимся основным документом, на основании которого выполняются работы, необходимые для создания (модернизации) АСЗИ в целом и ее системы ЗИ, и осуществляется приемка этих работ заказчиком [из 5.5 ГОСТ Р 51583-2014]

Процесс создания АСЗИ должен представлять собой совокупность упорядоченных во времени, взаимосвязанных, объединенных в стадии и этапы работ, выполнение которых необходимо и достаточно для создания АСЗИ, соответствующей заданным к ней требованиям [из 5.6 ГОСТ Р 51583-2014]

В работах по созданию (модернизации) АСЗИ и ее системы ЗИ участвуют:

[из 5.7 ГОСТ Р 51583-2014]

Типовое содержание работ в части создания системы ЗИ (на определенных в ГОСТ 34.601 стадиях и этапах создания АСЗИ) приведено в разделе 6. Типовое содержание и порядок выполнения работ по ЗИ о создаваемой АСЗИ приведено в разделе 7. Состав и содержание работ могут уточняться в соответствии с требованиями нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов по ЗИ, а также в соответствии с требованиями заказчика АСЗИ [из 5.10 ГОСТ Р 51583-2014]

В ТЗ на создание АСЗИ для реализуемых в соответствии с ним стадий и этапов ее создания должны включаться требования к системе ЗИ АСЗИ, а также требования по ЗИ о создаваемой АСЗИ в соответствии с настоящим стандартом, нормативными правовыми актами и методическими документами уполномоченных федеральных органов исполнительной власти и другими национальными стандартами [из 5.11 ГОСТ Р 51583-2014]

Мероприятия по ЗИ должны проводиться на всех стадиях и этапах создания АСЗИ с учетом применимых (исходя из предназначения АСЗИ) требований нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов в области ЗИ [из 5.12 ГОСТ Р 51583-2014]

Для АСЗИ, создаваемой на базе действующей АС, разрабатывают ТЗ на создание системы ЗИ или дополнение к основному ТЗ на АС, в которое включают требования к системе ЗИ, а также к той части АС, которая подлежит доработке (модернизации) в связи с включением в состав АС системы ЗИ [из 5.13 ГОСТ Р 51583-2014]

Документация на АСЗИ должна разрабатываться с учетом требований ГОСТ 34.201 и [5], а также требований нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов по ЗИ [из 5.15 ГОСТ Р 51583-2014]

Работы по созданию АСЗИ должны проводиться в соответствии с требованиями нормативных правовых актов и методических документов уполномоченного федерального органа исполнительной власти, настоящего стандарта и других национальных стандартов по ЗИ. Дополнительно при необходимости могут учитываться требования национальных стандартов, приведенных в приложении А (Примерный перечень и содержание нормативной информации национальных стандартов, рекомендуемых к применению при создании автоматизированных систем в защищенном исполнении [из приложения А ГОСТ Р 51583-2014], /45801, ) [из 5.16 ГОСТ Р 51583-2014]

Для создания АСЗИ могут применяться как серийно выпускаемые, так и специальные (разрабатываемые в ходе создания АСЗИ) ТС и ПС обработки информации, а также технические, программные, программно-аппаратные, криптографические СЗИ и средства контроля эффективности ЗИ. Указанные средства должны иметь сертификаты соответствия, полученные в соответствующих системах сертификации по требованиям безопасности информации [6, 7]. Специальные средства должны быть сертифицированы в установленном порядке до начала опытной эксплуатации АСЗИ организациями (учреждениями), имеющими лицензии уполномоченных федеральных органов исполнительной власти на соответствующие виды деятельности [из 5.17 ГОСТ Р 51583-2014]

Работы по созданию и эксплуатации АСЗИ с использованием криптографических средств организуются в соответствии с положениями нормативных актов Российской Федерации, определяющих порядок разработки, изготовления, сопровождения и эксплуатации криптографических средств [из 5.18 ГОСТ Р 51583-2014]

Организационно-методическое руководство работами по созданию, изготовлению, обеспечению и эксплуатации средств криптографической ЗИ, по сертификации этих средств осуществляет федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности [из 5.19 ГОСТ Р 51583-2014]

Перед вводом в эксплуатацию комплексов ТС АСЗИ (в случае отсутствия документа, подтверждающего уже проведенные исследования) и периодически в процессе их эксплуатации проводятся исследования по криптографической ЗИ в составе комплексов ТС АСЗИ организациями, имеющими лицензию на этот вид работ в соответствии с [4] [из 5.20 ГОСТ Р 51583-2014]

Порядок эксплуатации АСЗИ с использованием криптографических средств регламентируется законодательством Российской Федерации и нормативными правовыми актами федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности [из 5.21 ГОСТ Р 51583-2014]

Организация надлежащего исполнения правил эксплуатации средств криптографической ЗИ (в том числе во время приемочных испытаний) возлагается на руководство организаций, эксплуатирующих данные средства.

Контроль выполнения требований инструкций по эксплуатации средств криптографической ЗИ возлагается на специальные подразделения (штатных специалистов) по ЗИ на предприятии (организации), эксплуатирующем данные средства [из 5.22 ГОСТ Р 51583-2014]

Виды испытаний АСЗИ и общие требования к их проведению определяются ГОСТ 34.603, а также нормативными правовыми актами и методическими документами уполномоченного федерального органа исполнительной власти и национальными стандартами по ЗИ [из 5.23 ГОСТ Р 51583-2014]

В случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти, для подтверждения соответствия системы ЗИ АСЗИ в реальных условиях эксплуатации требованиям безопасности информации осуществляется аттестация АСЗИ на соответствие требованиям безопасности информации [из 5.25 ГОСТ Р 51583-2014]

6 Содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении ГОСТ Р 51583-2014

Формирование требований к системе ЗИ АСЗИ организуется заказчиком и осуществляется разработчиком на основе требований по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, несанкционированных и непреднамеренных воздействий на информацию, в том числе требований по криптографической и антивирусной защите, по обнаружению вторжений (атак), обеспечению устойчивости и непрерывности функционирования АСЗИ и др., закрепленных в нормативных правовых актах уполномоченных федеральных органов исполнительной власти и национальных стандартах в области ЗИ, с учетом целей и задач АСЗИ, свойственных ей угроз безопасности информации и возможных последствий реализации этих угроз.

Формирование требований к системе ЗИ АСЗИ осуществляется на следующих стадиях создания АСЗИ, определенных ГОСТ 34.601:

Требования к системе ЗИ АСЗИ уточняются (при необходимости) на последующих стадиях создания АСЗИ, с конкретизацией требований к ее построению, используемым информационным технологиям, методам и программно-аппаратным средствам организации сетевого взаимодействия, в том числе с другими системами, к процессу обработки защищаемой информации, условиям функционирования АСЗИ [из 6.2 ГОСТ Р 51583-2014]

На стадии «Формирование требований к АС» в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы [из 6.3 ГОСТ Р 51583-2014]

На этапе «Формирование требований пользователя к АС» проводят:

  1. подготовку исходных данных для формирования требований в части системы ЗИ к создаваемой (модернизируемой) АСЗИ (исходя из ее предназначения и условий использования), включая:
  2. формирование требований к системе ЗИ создаваемой (модернизируемой) АСЗИ в части требований о защите информации.

[из 6.3.2 ГОСТ Р 51583-2014]

На этапе «Оформление отчета о выполненной работе и заявки на разработку АС (ТТЗ)» проводят:

[из 6.3.3 ГОСТ Р 51583-2014]

На стадии «Разработка концепции АС» в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы [из 6.4 ГОСТ Р 51583-2014]

На этапе «Изучение объекта» проводят:

  • определение путей и оценку возможности реализации требований, предъявляемых к системе ЗИ создаваемой (модернизируемой) АСЗИ;
  • обоснование необходимости привлечения организаций, имеющих необходимые лицензии, для создания системы ЗИ создаваемой (модернизируемой) АСЗИ;
  • оценку ориентировочных сроков создания системы ЗИ АСЗИ;
  • оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы ЗИ создаваемой (модернизируемой) АСЗИ;
  • обоснование целесообразности проведения НИР (составной части НИР), определение основных вопросов, подлежащих исследованию в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ;
  • разработку ТТЗ на НИР (при необходимости).

[из 6.4.1 ГОСТ Р 51583-2014]

На этапе «Проведение необходимых научно-исследовательских работ» проводят:

[из 6.4.2 ГОСТ Р 51583-2014]

На этапе «Разработка вариантов концепции АС и выбор варианта концепции АС, удовлетворяющего требованиям пользователя» проводят:

[из 6.4.3 ГОСТ Р 51583-2014]

На этапе «Оформление отчета о выполненной работе» разрабатывается самостоятельный отчет о работах, выполненных на стадии «Разработка концепции АС» в части системы ЗИ или раздел в основной отчет о работах, выполненных в интересах создания (модернизации) АСЗИ в целом [из 6.4.4 ГОСТ Р 51583-2014]

6.5 На стадии «Техническое задание» в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы.

На этапе «Разработка и утверждение технического задания на создание АС» проводят разработку, оформление, согласование и утверждение ТЗ на АСЗИ в целом и, при необходимости, ТЗ на систему ЗИ.

ТЗ (раздел ТЗ, дополнение к ТЗ) на систему ЗИ должно разрабатываться в соответствии с требованиями ГОСТ 34.602 [из 6.5 ГОСТ Р 51583-2014]

Разработку системы ЗИ АСЗИ организует заказчик, проводит разработчик в соответствии с ТЗ на создание системы ЗИ АСЗИ на следующих стадиях создания АСЗИ, определенных ГОСТ 34.601:

  • эскизный проект;
  • технический проект;
  • рабочая документация.

[из 6.7 ГОСТ Р 51583-2014]

На стадии «Эскизный проект» в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы [из 6.8 ГОСТ Р 51583-2014]

На этапе «Разработка предварительных проектных решений по системе и ее частям» проводят:

[из 6.8.1 ГОСТ Р 51583-2014]

На этапе «Разработка документации на АС и ее части» проводят разработку, оформление, согласование и утверждение документации в объеме, необходимом для описания полной совокупности принятых предварительных проектных решений и достаточном для дальнейшего выполнения работ по созданию системы ЗИ. Виды документов - по ГОСТ 34.201 [из 6.8.2 ГОСТ Р 51583-2014]

На стадии «Технический проект» в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы [из 6.9 ГОСТ Р 51583-2014]

На этапе «Разработка проектных решений по системе и ее частям» обеспечивают:

[из 6.9.1 ГОСТ Р 51583-2014]

На этапе «Разработка и оформление документации на поставку изделий для комплектования АС и (или) технических требований (технических заданий) на их разработку» проводят:

[из 6.9.3 ГОСТ Р 51583-2014]

На этапе «Разработка заданий на проектирование в смежных частях проекта объекта информатизации» осуществляют разработку, оформление, согласование и утверждение заданий на проектирование помещений для АСЗИ с учетом требований о ЗИ [из 6.9.4 ГОСТ Р 51583-2014]

На стадии «Рабочая документация» в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ проводят следующие работы [из 6.10 ГОСТ Р 51583-2014]

На этапе «Разработка рабочей документации на систему и ее части» осуществляют разработку рабочей документации на систему ЗИ, содержащей все необходимые и достаточные сведения для обеспечения выполнения работ по вводу системы ЗИ АСЗИ в действие и ее эксплуатации, в том числе для поддержания уровня эксплуатационных характеристик (качества) системы ЗИ в соответствии с принятыми проектными решениями, ее оформление, согласование и утверждение, а также разработку программы и методик испытаний системы ЗИ. Виды документов - по ГОСТ 34.201 [из 6.10.1 ГОСТ Р 51583-2014]

На этапе «Разработка и адаптация программ» проводят:

При тестировании ПС системы ЗИ АСЗИ:

[из 6.10.2 ГОСТ Р 51583-2014]

Внедрение системы ЗИ АСЗИ организует заказчик, проводит разработчик в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации [8] и рабочей документацией на систему ЗИ АСЗИ на стадии «Ввод в действие», определенной ГОСТ 34.601 [из 6.12 ГОСТ Р 51583-2014]

На стадии «Ввод в действие» в интересах внедрения системы ЗИ создаваемой (модернизируемой) АСЗИ проводят следующие работы [из 6.13 ГОСТ Р 51583-2014]

На этапе «Подготовка объекта к вводу АС в действие» проводят работы по реализации:

[из 6.13.1 ГОСТ Р 51583-2014]

На этапе «Подготовка персонала» проводят:

[из 6.13.2 ГОСТ Р 51583-2014]

На этапе «Комплектация АС поставляемыми изделиями (программными и техническими средствами, программно-техническими комплексами, информационными изделиями)»:

[из 6.13.3 ГОСТ Р 51583-2014]

На этапе «Строительно-монтажные работы» осуществляют:

[из 6.13.4 ГОСТ Р 51583-2014]

На этапе «Проведение предварительных испытаний» осуществляют:

[из 6.13.6 ГОСТ Р 51583-2014]

На этапе «Проведение опытной эксплуатации» проводят:

[из 6.13.7 ГОСТ Р 51583-2014]

На этапе «Проведение приемочных испытаний» проводят:

[из 6.13.8 ГОСТ Р 51583-2014]

Аттестацию АСЗИ на соответствие требованиям безопасности информации организует заказчик, проводит организация, имеющая лицензию на данный вид деятельности, до ввода АСЗИ в эксплуатацию, с использованием информационных ресурсов, подлежащих защите, и содержит оценку соответствия ее системы ЗИ требованиям безопасности информации в реальных условиях эксплуатации, проводимую в соответствии с требованиями нормативных правовых актов и методических документов уполномоченного федерального органа исполнительной власти, а также национальных стандартов в области защиты информации [из 6.14 ГОСТ Р 51583-2014]

Сопровождение системы ЗИ в ходе эксплуатации АСЗИ организует заказчик (оператор), проводит разработчик в соответствии с проектными решениями, рабочей документацией на систему ЗИ АСЗИ, организационно-распорядительными документами по ЗИ. Сопровождение системы ЗИ в ходе эксплуатации АСЗИ заключается в выполнении работ относительно системы ЗИ АСЗИ в соответствии с гарантийными обязательствами и по послегарантийному обслуживанию, которые осуществляются на стадии «Сопровождение АС», определенной ГОСТ 34.601 [из 6.15 ГОСТ Р 51583-2014]

На стадии «Сопровождение АС» проводят следующие работы [из 6.16 ГОСТ Р 51583-2014]

На этапе «Выполнение работ в соответствии с гарантийными обязательствами» осуществляют работы по:

[из 6.16.1 ГОСТ Р 51583-2014]

На этапе «Послегарантийное обслуживание» осуществляют работы по:

[из 6.16.2 ГОСТ Р 51583-2014]

7 Содержание и порядок выполнения работ по защите информации о создаваемой автоматизированной системе в защищенном исполнении ГОСТ Р 51583-2014

ЗИ о создаваемой АСЗИ является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем, в случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти или заказчиком [из 7.1 ГОСТ Р 51583-2014]

Основными видами работ по ЗИ о создаваемых (модернизируемых) АСЗИ являются:

[из 7.2 ГОСТ Р 51583-2014]

К защищаемой информации о создаваемой (модернизируемой) АСЗИ относят:

Применительно к конкретной АСЗИ перечень защищаемой информации устанавливает заказчик [из 7.4 ГОСТ Р 51583-2014]

Организация и обеспечение ЗИ о создаваемой (модернизируемой) АСЗИ возлагается:

[из 7.5 ГОСТ Р 51583-2014]

При разработке АСЗИ должна быть организована разрешительная система доступа разработчиков, эксплуатирующего персонала, а при необходимости - и сотрудников сторонних организаций (поставщиков ТС, ПС и услуг для гарантийного и послегарантийного обслуживания, контролирующих органов) к защищаемой информации о АСЗИ, документации на АСЗИ, ТС и ПС, а также к информационным ресурсам, содержащим защищаемую информацию [из 7.6 ГОСТ Р 51583-2014]

Контроль состояния ЗИ заключается в оценке:

[из 7.9 ГОСТ Р 51583-2014]

Приложение А (справочное) - Примерный перечень и содержание нормативной информации национальных стандартов, рекомендуемых к применению при создании автоматизированных систем в защищенном исполнении ГОСТ Р 51583-2014

- Приложение А ГОСТ Р 51583-2014

[из Приложение А (справочное) - Примерный перечень и содержание нормативной информации национальных стандартов, рекомендуемых к применению при создании автоматизированных систем в защищенном исполнении ГОСТ Р 51583-2014]

Библиография ГОСТ Р 51583-2014

[1] Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны (утверждено постановлением Правительства Российской Федерации от 15 апреля 1995 г. № 333)

[2] Положение о лицензировании деятельности по технической защите конфиденциальной информации (утверждено постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79)

[3] Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации (утверждено постановлением Правительства Российской Федерации от 3 марта 2012 г. № 171)

[4] Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) (утверждено постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313)

[6] Положение о сертификации средств защиты информации (утверждено постановлением Правительства РФ от 26 июня 1995 г. № 608)

[7] Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, накладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг) (утверждено постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330)

[8] Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (в редакции Федеральных законов от 27 июня 2010 г. № 227-ФЗ, от 6 апреля 2011 г. № 65-ФЗ, от 21 июля 2011 г. № 252-ФЗ, от 28 июля 2012 г. № 139-ФЗ)