6.1 Защита информации в АСЗИ обеспечивается системой ЗИ АСЗИ. Создание системы ЗИ АСЗИ обеспечивается следующим комплексом работ:
- формирование требований к системе ЗИ АСЗИ;
- разработка (проектирование) системы ЗИ АСЗИ;
- внедрение системы ЗИ АСЗИ;
- аттестация АСЗИ на соответствие требованиям безопасности информации и ввод ее в действие;
- сопровождение системы ЗИ в ходе эксплуатации АСЗИ.
[из 6.1 ГОСТ Р 51583-2014]
6.2 Формирование требований к системе ЗИ АСЗИ организуется заказчиком и осуществляется разработчиком на основе требований по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, несанкционированных и непреднамеренных воздействий на информацию, в том числе требований по криптографической и антивирусной защите, по обнаружению вторжений (атак), обеспечению устойчивости и непрерывности функционирования АСЗИ и др., закрепленных в нормативных правовых актах уполномоченных федеральных органов исполнительной власти и национальных стандартах в области ЗИ, с учетом целей и задач АСЗИ, свойственных ей угроз безопасности информации и возможных последствий реализации этих угроз.
Формирование требований к системе ЗИ АСЗИ осуществляется на следующих стадиях создания АСЗИ, определенных ГОСТ 34.601:
- «Формирование требований к АС»;
- «Разработка концепции АС»;
- «Техническое задание».
Требования к системе ЗИ АСЗИ уточняются (при необходимости) на последующих стадиях создания АСЗИ, с конкретизацией требований к ее построению, используемым информационным технологиям, методам и программно-аппаратным средствам организации сетевого взаимодействия, в том числе с другими системами, к процессу обработки защищаемой информации, условиям функционирования АСЗИ [из 6.2 ГОСТ Р 51583-2014]
6.3 На стадии «Формирование требований к АС» в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы [из 6.3 ГОСТ Р 51583-2014]
6.3.1 На этапе «Обследование объекта и обоснование необходимости создания АС» проводят:
- анализ данных о назначении, функциях, условиях функционирования создаваемой (модернизируемой) АСЗИ и характере обрабатываемой информации;
- определение перечня информации, подлежащей защите;
- определение актуальных угроз безопасности информации, связанных с НСД к защищаемой информации, с утечкой информации по техническим каналам и с несанкционированным воздействием на информацию;
- разработку модели угроз безопасности информации применительно к конкретным вариантам функционирования АСЗИ;
- оценку (технико-экономической и т.п.) целесообразности создания АС в защищенном исполнении.
[из 6.3.1 ГОСТ Р 51583-2014]
6.3.2 На этапе «Формирование требований пользователя к АС» проводят:
- подготовку исходных данных для формирования требований в части системы ЗИ к создаваемой (модернизируемой) АСЗИ (исходя из ее предназначения и условий использования), включая:
- определение порядка обработки информации в АСЗИ в целом и в отдельных компонентах;
- оценку степени участия персонала в обработке (обсуждении, передаче, хранении) защищаемой в АСЗИ информации;
- определение требуемого класса (уровня) защищенности АСЗИ от НСД;
- выбор целесообразных (исходя из экономических, научно-технических, временных и других ограничений, а также технологии обработки информации) способов ЗИ и контроля состояния ЗИ в АСЗИ;
- обоснование архитектуры и конфигурации системы ЗИ АСЗИ и ее отдельных составных частей, физических, функциональных и технологических связей как внутри АСЗИ, так и с другими взаимодействующими системами;
- выбор ТС, которые могут быть использованы при разработке системы ЗИ АСЗИ;
- оценку возможности создания АСЗИ, исходя из ресурсных ограничений;
- формирование требований к системе ЗИ создаваемой (модернизируемой) АСЗИ в части требований о защите информации.
[из 6.3.2 ГОСТ Р 51583-2014]
6.3.3 На этапе «Оформление отчета о выполненной работе и заявки на разработку АС (ТТЗ)» проводят:
- систематизацию результатов, полученных на предыдущих этапах;
- формирование разделов отчета о выполненных работах на данной стадии в части создания системы ЗИ для создаваемой (модернизируемой) АСЗИ;
- оформление заявки на разработку системы ЗИ (ТЗ или дополнения к ТЗ) или другого заменяющего ее документа с аналогичным содержанием (в случае разработки отдельного ТЗ на систему ЗИ АСЗИ).
[из 6.3.3 ГОСТ Р 51583-2014]
6.4 На стадии «Разработка концепции АС» в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы [из 6.4 ГОСТ Р 51583-2014]
6.4.1 На этапе «Изучение объекта» проводят:
- определение путей и оценку возможности реализации требований, предъявляемых к системе ЗИ создаваемой (модернизируемой) АСЗИ;
- обоснование необходимости привлечения организаций, имеющих необходимые лицензии, для создания системы ЗИ создаваемой (модернизируемой) АСЗИ;
- оценку ориентировочных сроков создания системы ЗИ АСЗИ;
- оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы ЗИ создаваемой (модернизируемой) АСЗИ;
- обоснование целесообразности проведения НИР (составной части НИР), определение основных вопросов, подлежащих исследованию в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ;
- разработку ТТЗ на НИР (при необходимости).
[из 6.4.1 ГОСТ Р 51583-2014]
6.4.2 На этапе «Проведение необходимых научно-исследовательских работ» проводят:
- анализ требований к назначению, структуре и конфигурации создаваемой (модернизируемой) АСЗИ;
- уточнение режимов обработки информации в АСЗИ в целом и в отдельных компонентах;
- анализ возможных уязвимостей и обоснование актуальных угроз безопасности информации и перечня мероприятий по их блокированию (нейтрализации);
- уточнение требований о ЗИ в АСЗИ;
- уточнение требований к архитектуре и конфигурации системы ЗИ АСЗИ;
- уточнение требований к составу и характеристикам основных и вспомогательных ПС и ТС, которые могут быть использованы при разработке системы ЗИ АСЗИ, режимам их работы;
- обоснование перечня сертифицированных средств ЗИ, использование которых возможно в составе системы ЗИ создаваемой (модернизируемой) АСЗИ;
- уточнение оценки материальных, трудовых и финансовых затрат на создание системы ЗИ создаваемой (модернизируемой) АСЗИ;
- оформление и утверждение отчета о НИР.
[из 6.4.2 ГОСТ Р 51583-2014]
6.4.3 На этапе «Разработка вариантов концепции АС и выбор варианта концепции АС, удовлетворяющего требованиям пользователя» проводят:
- разработку альтернативных вариантов концепции создаваемой системы ЗИ и планов их реализации;
- оценку необходимых ресурсов на реализацию каждого варианта и обеспечение функционирования системы ЗИ;
- оценку эффектов, преимуществ и недостатков от реализации каждого варианта;
- выбор варианта концепции системы ЗИ АСЗИ.
[из 6.4.3 ГОСТ Р 51583-2014]
6.4.4 На этапе «Оформление отчета о выполненной работе» разрабатывается самостоятельный отчет о работах, выполненных на стадии «Разработка концепции АС» в части системы ЗИ или раздел в основной отчет о работах, выполненных в интересах создания (модернизации) АСЗИ в целом [из 6.4.4 ГОСТ Р 51583-2014]
6.5 На стадии «Техническое задание» в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы.
На этапе «Разработка и утверждение технического задания на создание АС» проводят разработку, оформление, согласование и утверждение ТЗ на АСЗИ в целом и, при необходимости, ТЗ на систему ЗИ.
ТЗ (раздел ТЗ, дополнение к ТЗ) на систему ЗИ должно разрабатываться в соответствии с требованиями ГОСТ 34.602 [из 6.5 ГОСТ Р 51583-2014]
6.6 Разработка (проектирование) системы ЗИ АСЗИ включает:
- разработку проектных решений по системе ЗИ АСЗИ;
- разработку документации на систему ЗИ АСЗИ;
- тестирование системы ЗИ АСЗИ.
[из 6.6 ГОСТ Р 51583-2014]
6.7 Разработку системы ЗИ АСЗИ организует заказчик, проводит разработчик в соответствии с ТЗ на создание системы ЗИ АСЗИ на следующих стадиях создания АСЗИ, определенных ГОСТ 34.601:
- эскизный проект;
- технический проект;
- рабочая документация.
[из 6.7 ГОСТ Р 51583-2014]
6.8 На стадии «Эскизный проект» в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы [из 6.8 ГОСТ Р 51583-2014]
6.8.1 На этапе «Разработка предварительных проектных решений по системе и ее частям» проводят:
- определение субъектов доступа (пользователей, процессов и иных субъектов доступа) и объектов доступа (устройств, объектов файловой системы, запускаемых и исполняемых модулей, объектов системы управления базами данных, объектов, создаваемых прикладным программным обеспечением, иных объектов доступа);
- уточнение исходных данных, касающихся технических, информационных, программных и организационных аспектов создания и функционирования системы ЗИ АСЗИ и АСЗИ в целом;
- определение функций системы ЗИ создаваемой (модернизируемой) АСЗИ, состава комплексов задач и отдельных задач, решаемых подсистемой ЗИ;
- проработку и рассмотрение вариантов построения системы ЗИ с учетом результатов ранее проведенных исследований и новейших достижений науки и техники, в том числе по зарубежным аналогам, определение общих требований к системе ЗИ (ее структура, состав (число) и места размещения составных частей системы ЗИ);
- определение функций и параметров ТС и ПС системы ЗИ, особенностей их реализации в интересах блокирования (нейтрализации) угроз безопасности информации в АСЗИ;
- определение состава организационных мер ЗИ, ТС и ПС системы ЗИ, выбор сертифицированных СЗИ с учетом их совместимости с основными ТС и ПС создаваемой (модернизируемой) АСЗИ;
- обоснование номенклатуры СЗИ, специального технологического оборудования, средств контроля и измерений, подлежащих разработке в ходе создания АСЗИ.
[из 6.8.1 ГОСТ Р 51583-2014]
6.8.2 На этапе «Разработка документации на АС и ее части» проводят разработку, оформление, согласование и утверждение документации в объеме, необходимом для описания полной совокупности принятых предварительных проектных решений и достаточном для дальнейшего выполнения работ по созданию системы ЗИ. Виды документов - по ГОСТ 34.201 [из 6.8.2 ГОСТ Р 51583-2014]
6.9 На стадии «Технический проект» в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы [из 6.9 ГОСТ Р 51583-2014]
6.9.1 На этапе «Разработка проектных решений по системе и ее частям» обеспечивают:
- разработку общих решений по системе ЗИ, по ее функциональной структуре, ТС и ПС системы ЗИ, алгоритмам функционирования системы ЗИ, функциям персонала, обслуживающего систему ЗИ;
- разработку алгоритмов решения задач ЗИ, параметров настройки ТС и ПС, обеспечивающих реализацию функциональных возможностей системы ЗИ;
- разработку макетов составных частей системы ЗИ (при необходимости).
[из 6.9.1 ГОСТ Р 51583-2014]
6.9.2 На этапе «Разработка документации на АС и ее части» проводят разработку, оформление, согласование и утверждение технической документации на систему ЗИ. Виды документов - по ГОСТ 34.201 [из 6.9.2 ГОСТ Р 51583-2014]
6.9.3 На этапе «Разработка и оформление документации на поставку изделий для комплектования АС и (или) технических требований (технических заданий) на их разработку» проводят:
- подготовку и оформление документов на поставку ТС и ПС для комплектования системы ЗИ создаваемой (модернизируемой) АСЗИ;
- определение технических требований и составление ТЗ на разработку специальных СЗИ, специального технологического оборудования, средств контроля и измерений, не изготавливаемых серийно.
[из 6.9.3 ГОСТ Р 51583-2014]
6.9.4 На этапе «Разработка заданий на проектирование в смежных частях проекта объекта информатизации» осуществляют разработку, оформление, согласование и утверждение заданий на проектирование помещений для АСЗИ с учетом требований о ЗИ [из 6.9.4 ГОСТ Р 51583-2014]
6.10 На стадии «Рабочая документация» в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ проводят следующие работы [из 6.10 ГОСТ Р 51583-2014]
6.10.1 На этапе «Разработка рабочей документации на систему и ее части» осуществляют разработку рабочей документации на систему ЗИ, содержащей все необходимые и достаточные сведения для обеспечения выполнения работ по вводу системы ЗИ АСЗИ в действие и ее эксплуатации, в том числе для поддержания уровня эксплуатационных характеристик (качества) системы ЗИ в соответствии с принятыми проектными решениями, ее оформление, согласование и утверждение, а также разработку программы и методик испытаний системы ЗИ. Виды документов - по ГОСТ 34.201 [из 6.10.1 ГОСТ Р 51583-2014]
6.10.2 На этапе «Разработка и адаптация программ» проводят:
- разработку ПС для СЗИ, адаптацию и (или) привязку приобретаемых ПС, тестирование ПС системы ЗИ АСЗИ;
- разработку и испытания СЗИ, технологического оборудования, средств контроля и измерений системы ЗИ АСЗИ;
- сертификацию разрабатываемых ПС и СЗИ системы ЗИ АСЗИ по требованиям безопасности информации;
- разработку документации на ПС и СЗИ системы ЗИ АСЗИ;
- тестирование ПС системы ЗИ АСЗИ.
При тестировании ПС системы ЗИ АСЗИ:
- проверяют работоспособность и совместимость ПС системы ЗИ с информационными технологиями и ТС обработки информации;
- проверяют выполнение ПС системы ЗИ требований к системе ЗИ АСЗИ;
- корректируют документацию на систему ЗИ АСЗИ (при необходимости).
[из 6.10.2 ГОСТ Р 51583-2014]
6.11 Внедрение системы ЗИ АСЗИ включает:
- установку и настройку СЗИ;
- разработку организационно-распорядительных документов, определяющих мероприятия по ЗИ в ходе эксплуатации АСЗИ;
- предварительные испытания системы ЗИ АСЗИ;
- опытную эксплуатацию и доработку системы ЗИ АСЗИ;
- приемочные испытания системы ЗИ АСЗИ;
- аттестацию АСЗИ на соответствие требованиям безопасности информации.
[из 6.11 ГОСТ Р 51583-2014]
6.12 Внедрение системы ЗИ АСЗИ организует заказчик, проводит разработчик в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации [8] и рабочей документацией на систему ЗИ АСЗИ на стадии «Ввод в действие», определенной ГОСТ 34.601 [из 6.12 ГОСТ Р 51583-2014]
6.13 На стадии «Ввод в действие» в интересах внедрения системы ЗИ создаваемой (модернизируемой) АСЗИ проводят следующие работы [из 6.13 ГОСТ Р 51583-2014]
6.13.1 На этапе «Подготовка объекта к вводу АС в действие» проводят работы по реализации:
- проектных решений по организационной структуре системы ЗИ создаваемой (модернизируемой) АСЗИ и АСЗИ в целом;
- организационных мер, обеспечивающих эффективное использование системы ЗИ.
[из 6.13.1 ГОСТ Р 51583-2014]
6.13.2 На этапе «Подготовка персонала» проводят:
- обучение персонала АСЗИ и проверку его способности обеспечивать функционирование системы ЗИ и АСЗИ в целом;
- проверку и подготовку специалистов структурного подразделения или должностного лица (работника), ответственных за ЗИ в АСЗИ.
[из 6.13.2 ГОСТ Р 51583-2014]
6.13.3 На этапе «Комплектация АС поставляемыми изделиями (программными и техническими средствами, программно-техническими комплексами, информационными изделиями)»:
- обеспечивают получение комплектующих изделий системы ЗИ серийного и единичного производства, материалов и монтажных изделий;
- проводят входной контроль качества комплектующих изделий системы ЗИ, проверку наличия документов по сертификации;
- проводят специальные исследования и специальные проверки закупленных средств.
[из 6.13.3 ГОСТ Р 51583-2014]
6.13.4 На этапе «Строительно-монтажные работы» осуществляют:
- надзор за выполнением строительными организациями требований ЗИ;
- проверку реализации требований о ЗИ при приемке монтажных работ (в случае необходимости проводят соответствующие испытания).
[из 6.13.4 ГОСТ Р 51583-2014]
6.13.6 На этапе «Проведение предварительных испытаний» осуществляют:
- испытания системы ЗИ на работоспособность и соответствие техническому заданию в соответствии с программой и методикой предварительных испытаний;
- устранение недостатков, выявленных в процессе испытаний, и внесение изменений в документацию на систему ЗИ создаваемой (модернизируемой) АСЗИ, в том числе эксплуатационную, в соответствии с протоколом испытаний;
- принятие решения о возможности опытной эксплуатации системы ЗИ АСЗИ.
[из 6.13.6 ГОСТ Р 51583-2014]
6.13.7 На этапе «Проведение опытной эксплуатации» проводят:
- проверку функционирования системы ЗИ в составе АСЗИ, в том числе реализованных мер ЗИ;
- анализ выявленных в ходе опытной эксплуатации системы ЗИ уязвимостей АСЗИ, доработку, наладку системы ЗИ;
- проверку готовности пользователей и администраторов к эксплуатации системы ЗИ АСЗИ;
- оформление акта о завершении опытной эксплуатации системы ЗИ АСЗИ.
[из 6.13.7 ГОСТ Р 51583-2014]
6.13.8 На этапе «Проведение приемочных испытаний» проводят:
- испытания системы ЗИ АСЗИ на соответствие ТЗ на систему ЗИ в соответствии с программой и методиками приемочных испытаний АСЗИ;
- анализ результатов испытаний системы ЗИ АСЗИ и устранение недостатков, выявленных при испытаниях;
- оформление разделов акта о приемке АСЗИ в постоянную эксплуатацию (в части системы ЗИ АСЗИ).
[из 6.13.8 ГОСТ Р 51583-2014]
6.14 Аттестацию АСЗИ на соответствие требованиям безопасности информации организует заказчик, проводит организация, имеющая лицензию на данный вид деятельности, до ввода АСЗИ в эксплуатацию, с использованием информационных ресурсов, подлежащих защите, и содержит оценку соответствия ее системы ЗИ требованиям безопасности информации в реальных условиях эксплуатации, проводимую в соответствии с требованиями нормативных правовых актов и методических документов уполномоченного федерального органа исполнительной власти, а также национальных стандартов в области защиты информации [из 6.14 ГОСТ Р 51583-2014]
6.15 Сопровождение системы ЗИ в ходе эксплуатации АСЗИ организует заказчик (оператор), проводит разработчик в соответствии с проектными решениями, рабочей документацией на систему ЗИ АСЗИ, организационно-распорядительными документами по ЗИ. Сопровождение системы ЗИ в ходе эксплуатации АСЗИ заключается в выполнении работ относительно системы ЗИ АСЗИ в соответствии с гарантийными обязательствами и по послегарантийному обслуживанию, которые осуществляются на стадии «Сопровождение АС», определенной ГОСТ 34.601 [из 6.15 ГОСТ Р 51583-2014]
6.16.1 На этапе «Выполнение работ в соответствии с гарантийными обязательствами» осуществляют работы по:
- устранению недостатков системы ЗИ, выявленных в процессе эксплуатации АСЗИ, и последующему контролю за стабильностью характеристик системы ЗИ АСЗИ, влияющих на эффективность ЗИ в течение установленных гарантийных сроков;
- внесению изменений в документацию на систему ЗИ и, при необходимости, в документацию на АСЗИ в целом.
[из 6.16.1 ГОСТ Р 51583-2014]
6.16.2 На этапе «Послегарантийное обслуживание» осуществляют работы по:
- мониторингу качества функционирования системы ЗИ АСЗИ;
- установлению причин невыполнения требований о ЗИ в процессе функционирования АСЗИ;
- устранению недостатков в системе ЗИ и контролю за стабильностью ее характеристик, влияющих на эффективность ЗИ;
- внесению изменений в документацию на систему ЗИ и, при необходимости, в документацию на АСЗИ в целом.
[из 6.16.2 ГОСТ Р 51583-2014]