Техническая документация

ЗИ о создаваемой АСЗИ является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем, в случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти или заказчиком [из подр. 7.1 ГОСТ Р 51583-2014]

Основными видами работ по ЗИ о создаваемых (модернизируемых) АСЗИ являются:

• разработка замысла ЗИ о создаваемой (модернизируемой) АСЗИ;
• определение защищаемой информации о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
• определение носителей защищаемой информации о создаваемой (модернизируемой) АСЗИ и их уязвимостей, актуальных угроз безопасности информации;
• определение и технико-экономическое обоснование организационных и технических мероприятий, которые необходимо проводить в интересах ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
• обоснование, разработка и (или) закупка средств, необходимых для ЗИ о создаваемой (модернизируемой) АСЗИ;
• обоснование и разработка мероприятий по контролю состояния ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
• разработка документов, регламентирующих организацию и осуществление ЗИ о создаваемой (модернизируемой) АСЗИ.

[из подр. 7.2 ГОСТ Р 51583-2014]

Перечень информации, подлежащей защите, определяют на стадии формирования требований к АСЗИ и, при необходимости, уточняют на последующих стадиях ее создания [из подр. 7.3 ГОСТ Р 51583-2014]

К защищаемой информации о создаваемой (модернизируемой) АСЗИ относят:

• цель и задачи ЗИ в АСЗИ;
• перечень составных частей (сегментов) АСЗИ, участвующих в обработке защищаемой в АСЗИ информации;
• состав возможных уязвимостей АСЗИ, возможных последствий от реализации угроз безопасности информации для нарушения свойств безопасности информации (конфиденциальность, целостность, доступность);
• структурно-функциональные характеристики АСЗИ, включающие структуру и состав АСЗИ, физические, функциональные и технологические взаимосвязи между составными частями АСЗИ и взаимосвязи с иными системами, режимы обработки информации в АСЗИ в целом и в ее отдельных составных частях;
• меры и СЗИ, применяемые в АСЗИ;
• сведения о реализации системы ЗИ в АСЗИ.

Применительно к конкретной АСЗИ перечень защищаемой информации устанавливает заказчик [из подр. 7.4 ГОСТ Р 51583-2014]

Организация и обеспечение ЗИ о создаваемой (модернизируемой) АСЗИ возлагается:

• на стадиях «Формирование требований к АС» и «Разработка концепции АС» - на разработчика, заказчика работ, проводимых в интересах разработки требований и концептуальных положений;
• на стадии «Техническое задание» - на заказчика АСЗИ;
• на стадиях «Эскизный проект», «Технический проект», «Рабочая документация» - на разработчика АСЗИ;
• на стадии «Ввод в действие» - на генерального конструктора или его заместителей, а по частным вопросам - на конструкторов, изготовителей ПС, ТС;
• на стадии «Сопровождение работ» - на оператора АСЗИ.

[из подр. 7.5 ГОСТ Р 51583-2014]

При разработке АСЗИ должна быть организована разрешительная система доступа разработчиков, эксплуатирующего персонала, а при необходимости - и сотрудников сторонних организаций (поставщиков ТС, ПС и услуг для гарантийного и послегарантийного обслуживания, контролирующих органов) к защищаемой информации о АСЗИ, документации на АСЗИ, ТС и ПС, а также к информационным ресурсам, содержащим защищаемую информацию [из подр. 7.6 ГОСТ Р 51583-2014]

Общее руководство работами по ЗИ при создании (модернизации) АСЗИ осуществляет один из заместителей руководителя организации (предприятия), осуществляющей ее разработку (модернизацию), или уполномоченное лицо [из подр. 7.7 ГОСТ Р 51583-2014]

В процессе создания (модернизации) АСЗИ должен проводиться контроль состояния ЗИ [из подр. 7.8 ГОСТ Р 51583-2014]

Контроль состояния ЗИ заключается в оценке:

• соблюдения положений нормативных документов, устанавливающих требования безопасности информации при создании (модернизации) АСЗИ;
• эффективности ЗИ о создаваемой (модернизируемой) АСЗИ;
• знания исполнителями работ по созданию (модернизации) АСЗИ своих функциональных обязанностей в части ЗИ.

[из подр. 7.9 ГОСТ Р 51583-2014]

В зависимости от характера нарушений, выявленных в процессе контроля, обработка информации об АСЗИ может быть приостановлена до устранения причин нарушений [из подр. 7.10 ГОСТ Р 51583-2014]

Норматив времени на исполнение услуги, установленный исполнителем услуги и доведенный до сведения потребителя услуги. Примечание - Примерами установленных нормативов времени на исполнение услуги являются нормативы времени на изготовление продукции общественного питания, услуги химчистки, услуги по ремонту и техническому обслуживанию оборудования, транспорта и т.п. [из п. 3.1.14 ГОСТ Р 50646-2012]

Реквизит, определяющий место хранения документа после завершения работы с ним [из п. 91 ГОСТ Р 7.0.8-2013]