7.1 ЗИ о создаваемой АСЗИ является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем, в случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти или заказчиком [из 7.1 ГОСТ Р 51583-2014]
7.2 Основными видами работ по ЗИ о создаваемых (модернизируемых) АСЗИ являются:
- разработка замысла ЗИ о создаваемой (модернизируемой) АСЗИ;
- определение защищаемой информации о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
- определение носителей защищаемой информации о создаваемой (модернизируемой) АСЗИ и их уязвимостей, актуальных угроз безопасности информации;
- определение и технико-экономическое обоснование организационных и технических мероприятий, которые необходимо проводить в интересах ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
- обоснование, разработка и (или) закупка средств, необходимых для ЗИ о создаваемой (модернизируемой) АСЗИ;
- обоснование и разработка мероприятий по контролю состояния ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
- разработка документов, регламентирующих организацию и осуществление ЗИ о создаваемой (модернизируемой) АСЗИ.
[из 7.2 ГОСТ Р 51583-2014]
7.3 Перечень информации, подлежащей защите, определяют на стадии формирования требований к АСЗИ и, при необходимости, уточняют на последующих стадиях ее создания [из 7.3 ГОСТ Р 51583-2014]
7.4 К защищаемой информации о создаваемой (модернизируемой) АСЗИ относят:
- цель и задачи ЗИ в АСЗИ;
- перечень составных частей (сегментов) АСЗИ, участвующих в обработке защищаемой в АСЗИ информации;
- состав возможных уязвимостей АСЗИ, возможных последствий от реализации угроз безопасности информации для нарушения свойств безопасности информации (конфиденциальность, целостность, доступность);
- структурно-функциональные характеристики АСЗИ, включающие структуру и состав АСЗИ, физические, функциональные и технологические взаимосвязи между составными частями АСЗИ и взаимосвязи с иными системами, режимы обработки информации в АСЗИ в целом и в ее отдельных составных частях;
- меры и СЗИ, применяемые в АСЗИ;
- сведения о реализации системы ЗИ в АСЗИ.
Применительно к конкретной АСЗИ перечень защищаемой информации устанавливает заказчик [из 7.4 ГОСТ Р 51583-2014]
7.5 Организация и обеспечение ЗИ о создаваемой (модернизируемой) АСЗИ возлагается:
- на стадиях «Формирование требований к АС» и «Разработка концепции АС» - на разработчика, заказчика работ, проводимых в интересах разработки требований и концептуальных положений;
- на стадии «Техническое задание» - на заказчика АСЗИ;
- на стадиях «Эскизный проект», «Технический проект», «Рабочая документация» - на разработчика АСЗИ;
- на стадии «Ввод в действие» - на генерального конструктора или его заместителей, а по частным вопросам - на конструкторов, изготовителей ПС, ТС;
- на стадии «Сопровождение работ» - на оператора АСЗИ.
[из 7.5 ГОСТ Р 51583-2014]
7.6 При разработке АСЗИ должна быть организована разрешительная система доступа разработчиков, эксплуатирующего персонала, а при необходимости - и сотрудников сторонних организаций (поставщиков ТС, ПС и услуг для гарантийного и послегарантийного обслуживания, контролирующих органов) к защищаемой информации о АСЗИ, документации на АСЗИ, ТС и ПС, а также к информационным ресурсам, содержащим защищаемую информацию [из 7.6 ГОСТ Р 51583-2014]
7.7 Общее руководство работами по ЗИ при создании (модернизации) АСЗИ осуществляет один из заместителей руководителя организации (предприятия), осуществляющей ее разработку (модернизацию), или уполномоченное лицо [из 7.7 ГОСТ Р 51583-2014]
7.9 Контроль состояния ЗИ заключается в оценке:
- соблюдения положений нормативных документов, устанавливающих требования безопасности информации при создании (модернизации) АСЗИ;
- эффективности ЗИ о создаваемой (модернизируемой) АСЗИ;
- знания исполнителями работ по созданию (модернизации) АСЗИ своих функциональных обязанностей в части ЗИ.
[из 7.9 ГОСТ Р 51583-2014]
7.10 В зависимости от характера нарушений, выявленных в процессе контроля, обработка информации об АСЗИ может быть приостановлена до устранения причин нарушений [из 7.10 ГОСТ Р 51583-2014]