6 Содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении

6.1 Защита информации в АСЗИ обеспечивается системой ЗИ АСЗИ. Создание системы ЗИ АСЗИ обеспечивается следующим комплексом работ:

- формирование требований к системе ЗИ АСЗИ;

- разработка (проектирование) системы ЗИ АСЗИ;

- внедрение системы ЗИ АСЗИ;

- аттестация АСЗИ на соответствие требованиям безопасности информации и ввод ее в действие;

- сопровождение системы ЗИ в ходе эксплуатации АСЗИ.

6.2 Формирование требований к системе ЗИ АСЗИ организуется заказчиком и осуществляется разработчиком на основе требований по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, несанкционированных и непреднамеренных воздействий на информацию, в том числе требований по криптографической и антивирусной защите, по обнаружению вторжений (атак), обеспечению устойчивости и непрерывности функционирования АСЗИ и др., закрепленных в нормативных правовых актах уполномоченных федеральных органов исполнительной власти и национальных стандартах в области ЗИ, с учетом целей и задач АСЗИ, свойственных ей угроз безопасности информации и возможных последствий реализации этих угроз.

Формирование требований к системе ЗИ АСЗИ осуществляется на следующих стадиях создания АСЗИ, определенных ГОСТ 34.601:

- "Формирование требований к АС";

- "Разработка концепции АС";

- "Техническое задание".

Требования к системе ЗИ АСЗИ уточняются (при необходимости) на последующих стадиях создания АСЗИ, с конкретизацией требований к ее построению, используемым информационным технологиям, методам и программно-аппаратным средствам организации сетевого взаимодействия, в том числе с другими системами, к процессу обработки защищаемой информации, условиям функционирования АСЗИ.

6.3 На стадии "Формирование требований к АС" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы.

6.3.1 На этапе "Обследование объекта и обоснование необходимости создания АС" проводят:

- анализ данных о назначении, функциях, условиях функционирования создаваемой (модернизируемой) АСЗИ и характере обрабатываемой информации;

- определение перечня информации, подлежащей защите;

- определение актуальных угроз безопасности информации, связанных с НСД к защищаемой информации, с утечкой информации по техническим каналам и с несанкционированным воздействием на информацию;

- разработку модели угроз безопасности информации применительно к конкретным вариантам функционирования АСЗИ;

- оценку (технико-экономической и т.п.) целесообразности создания АС в защищенном исполнении.

6.3.2 На этапе "Формирование требований пользователя к АС" проводят:

а) подготовку исходных данных для формирования требований в части системы ЗИ к создаваемой (модернизируемой) АСЗИ (исходя из её предназначения и условий использования), включая:

- определение порядка обработки информации в АСЗИ в целом и в отдельных компонентах;

- оценку степени участия персонала в обработке (обсуждении, передаче, хранении) защищаемой в АСЗИ информации;

- определение требуемого класса (уровня) защищенности АСЗИ от НСД;

- выбор целесообразных (исходя из экономических, научно-технических, временных и других ограничений, а также технологии обработки информации) способов ЗИ и контроля состояния ЗИ в АСЗИ;

- обоснование архитектуры и конфигурации системы ЗИ АСЗИ и ее отдельных составных частей, физических, функциональных и технологических связей как внутри АСЗИ, так и с другими взаимодействующими системами;

- выбор ТС, которые могут быть использованы при разработке системы ЗИ АСЗИ;

- оценку возможности создания АСЗИ, исходя из ресурсных ограничений;

б) формирование требований к системе ЗИ создаваемой (модернизируемой) АСЗИ в части требований о защите информации.

6.3.3 На этапе "Оформление отчета о выполненной работе и заявки на разработку АС (ТТЗ)" проводят:

- систематизацию результатов, полученных на предыдущих этапах;

- формирование разделов отчета о выполненных работах на данной стадии в части создания системы ЗИ для создаваемой (модернизируемой) АСЗИ;

- оформление заявки на разработку системы ЗИ (ТЗ или дополнения к ТЗ) или другого заменяющего ее документа с аналогичным содержанием (в случае разработки отдельного ТЗ на систему ЗИ АСЗИ).

6.4 На стадии "Разработка концепции АС" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы.

6.4.1 На этапе "Изучение объекта" проводят:

- определение путей и оценку возможности реализации требований, предъявляемых к системе ЗИ создаваемой (модернизируемой) АСЗИ;

- обоснование необходимости привлечения организаций, имеющих необходимые лицензии, для создания системы ЗИ создаваемой (модернизируемой) АСЗИ;

- оценку ориентировочных сроков создания системы ЗИ АСЗИ;

- оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы ЗИ создаваемой (модернизируемой) АСЗИ;

- обоснование целесообразности проведения НИР (составной части НИР), определение основных вопросов, подлежащих исследованию в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ;

- разработку ТТЗ на НИР (при необходимости).

6.4.2 На этапе "Проведение необходимых научно-исследовательских работ" проводят:

- анализ требований к назначению, структуре и конфигурации создаваемой (модернизируемой) АСЗИ;

- уточнение режимов обработки информации в АСЗИ в целом и в отдельных компонентах;

- анализ возможных уязвимостей и обоснование актуальных угроз безопасности информации и перечня мероприятий по их блокированию (нейтрализации);

- уточнение требовании о ЗИ в АСЗИ;

- уточнение требований к архитектуре и конфигурации системы ЗИ АСЗИ;

- уточнение требований к составу и характеристикам основных и вспомогательных ПС и ТС, которые могут быть использованы при разработке системы ЗИ АСЗИ, режимам их работы;

- обоснование перечня сертифицированных средств ЗИ, использование которых возможно в составе системы ЗИ создаваемой (модернизируемой) АСЗИ;

- уточнение оценки материальных, трудовых и финансовых затрат на создание системы ЗИ создаваемой (модернизируемой) АСЗИ;

- оформление и утверждение отчета о НИР.

6.4.3 На этапе "Разработка вариантов концепции АС и выбор варианта концепции АС, удовлетворяющего требованиям пользователя" проводят:

- разработку альтернативных вариантов концепции создаваемой системы ЗИ и планов их реализации;

- оценку необходимых ресурсов на реализацию каждого варианта и обеспечение функционирования системы ЗИ;

- оценку эффектов, преимуществ и недостатков от реализации каждого варианта;

- выбор варианта концепции системы ЗИ АСЗИ.

6.4.4 На этапе "Оформление отчета о выполненной работе" разрабатывается самостоятельный отчет о работах, выполненных на стадии "Разработка концепции АС" в части системы ЗИ или раздел в основной отчет о работах, выполненных в интересах создания (модернизации) АСЗИ в целом.

6.5 На стадии "Техническое задание" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы.

На этапе "Разработка и утверждение технического задания на создание АС" проводят разработку, оформление, согласование и утверждение ТЗ на АСЗИ в целом и, при необходимости, ТЗ на систему ЗИ.

ТЗ (раздел ТЗ, дополнение к ТЗ) на систему ЗИ должно разрабатываться в соответствии с требованиями ГОСТ 34.602.

6.6 Разработка (проектирование) системы ЗИ АСЗИ включает:

- разработку проектных решений по системе ЗИ АСЗИ;

- разработку документации на систему ЗИ АСЗИ;

- тестирование системы ЗИ АСЗИ.

6.7 Разработку системы ЗИ АСЗИ организует заказчик, проводит разработчик в соответствии с ТЗ на создание системы ЗИ АСЗИ на следующих стадиях создания АСЗИ, определенных ГОСТ 34.601:

- Эскизный проект;

- Технический проект;

- Рабочая документация.

6.8 На стадии "Эскизный проект" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы.

6.8.1 На этапе "Разработка предварительных проектных решений по системе и ее частям" проводят:

- определение субъектов доступа (пользователей, процессов и иных субъектов доступа) и объектов доступа (устройств, объектов файловой системы, запускаемых и исполняемых модулей, объектов системы управления базами данных, объектов, создаваемых прикладным программным обеспечением, иных объектов доступа);

- уточнение исходных данных, касающихся технических, информационных, программных и организационных аспектов создания и функционирования системы ЗИ АСЗИ и АСЗИ в целом;

- определение функций системы ЗИ создаваемой (модернизируемой) АСЗИ, состава комплексов задач и отдельных задач, решаемых подсистемой ЗИ;

- проработку и рассмотрение вариантов построения системы ЗИ с учетом результатов ранее проведенных исследований и новейших достижений науки и техники, в том числе по зарубежным аналогам, определение общих требований к системе ЗИ (ее структура, состав (число) и места размещения составных частей системы ЗИ);

- определение функций и параметров ТС и ПС системы ЗИ, особенностей их реализации в интересах блокирования (нейтрализации) угроз безопасности информации в АСЗИ;

- определение состава организационных мер ЗИ, ТС и ПС системы ЗИ, выбор сертифицированных СЗИ с учетом их совместимости с основными ТС и ПС создаваемой (модернизируемой) АСЗИ;

- обоснование номенклатуры СЗИ, специального технологического оборудования, средств контроля и измерений, подлежащих разработке в ходе создания АСЗИ.

6.8.2 На этапе "Разработка документации на АС и ее части" проводят разработку, оформление, согласование и утверждение документации в объеме, необходимом для описания полной совокупности принятых предварительных проектных решений и достаточном для дальнейшего выполнения работ по созданию системы ЗИ. Виды документов - по ГОСТ 34.201.

6.9 На стадии "Технический проект" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы.

6.9.1 На этапе "Разработка проектных решений по системе и ее частям" обеспечивают:

- разработку общих решений по системе ЗИ, по ее функциональной структуре, ТС и ПС системы ЗИ, алгоритмам функционирования системы ЗИ, функциям персонала, обслуживающего систему ЗИ;

- разработку алгоритмов решения задач ЗИ, параметров настройки ТС и ПС, обеспечивающих реализацию функциональных возможностей системы ЗИ;

- разработку макетов составных частей системы ЗИ (при необходимости).

6.9.2 На этапе "Разработка документации на АС и ее части" проводят разработку, оформление, согласование и утверждение технической документации на систему ЗИ. Виды документов - по ГОСТ 34.201.

6.9.3 На этапе "Разработка и оформление документации на поставку изделий для комплектования АС и (или) технических требований (технических заданий) на их разработку" проводят:

- подготовку и оформление документов на поставку ТС и ПС для комплектования системы ЗИ создаваемой (модернизируемой) АСЗИ;

- определение технических требований и составление ТЗ на разработку специальных СЗИ, специального технологического оборудования, средств контроля и измерений, не изготавливаемых серийно.

6.9.4 На этапе "Разработка заданий на проектирование в смежных частях проекта объекта информатизации" осуществляют разработку, оформление, согласование и утверждение заданий на проектирование помещений для АСЗИ с учетом требований о ЗИ.

6.10 На стадии "Рабочая документация" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ проводят следующие работы.

6.10.1 На этапе "Разработка рабочей документации на систему и ее части" осуществляют разработку рабочей документации на систему ЗИ, содержащей все необходимые и достаточные сведения для обеспечения выполнения работ по вводу системы ЗИ АСЗИ в действие и ее эксплуатации, в том числе для поддержания уровня эксплуатационных характеристик (качества) системы ЗИ в соответствии с принятыми проектными решениями, ее оформление, согласование и утверждение, а также разработку программы и методик испытаний системы ЗИ. Виды документов - по ГОСТ 34.201.

6.10.2 На этапе "Разработка и адаптация программ" проводят:

- разработку ПС для СЗИ, адаптацию и/или привязку приобретаемых ПС, тестирование ПС системы ЗИ АСЗИ;

- разработку и испытания СЗИ, технологического оборудования, средств контроля и измерений системы ЗИ АСЗИ;

- сертификацию разрабатываемых ПС и СЗИ системы ЗИ АСЗИ по требованиям безопасности информации;

- разработку документации на ПС и СЗИ системы ЗИ АСЗИ;

- тестирование ПС системы ЗИ АСЗИ.

При тестировании ПС системы ЗИ АСЗИ:

- проверяют работоспособность и совместимость ПС системы ЗИ с информационными технологиями и ТС обработки информации;

- проверяют выполнение ПС системы ЗИ требований к системе ЗИ АСЗИ;

- корректируют документацию на систему ЗИ АСЗИ (при необходимости).

6.11 Внедрение системы ЗИ АСЗИ включает:

- установку и настройку СЗИ;

- разработку организационно-распорядительных документов, определяющих мероприятия по ЗИ в ходе эксплуатации АСЗИ;

- предварительные испытания системы ЗИ АСЗИ;

- опытную эксплуатацию и доработку системы ЗИ АСЗИ;

- приемочные испытания системы ЗИ АСЗИ;

- аттестацию АСЗИ на соответствие требованиям безопасности информации.

6.12 Внедрение системы ЗИ АСЗИ организует заказчик, проводит разработчик в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации [8] и рабочей документацией на систему ЗИ АСЗИ на стадии "Ввод в действие", определенной ГОСТ 34.601.

6.13 На стадии "Ввод в действие" в интересах внедрения системы ЗИ создаваемой (модернизируемой) АСЗИ проводят следующие работы.

6.13.1 На этапе "Подготовка объекта к вводу АС в действие" проводят работы по реализации:

- проектных решений по организационной структуре системы ЗИ создаваемой (модернизируемой) АСЗИ и АСЗИ в целом;

- организационных мер, обеспечивающих эффективное использование системы ЗИ.

6.13.2 На этапе "Подготовка персонала" проводят:

- обучение персонала АСЗИ и проверку его способности обеспечивать функционирование системы ЗИ и АСЗИ в целом;

- проверку и подготовку специалистов структурного подразделения или должностного лица (работника), ответственных за ЗИ в АСЗИ.

6.13.3 На этапе "Комплектация АС поставляемыми изделиями (программными и техническими средствами, программно-техническими комплексами, информационными изделиями)":

- обеспечивают получение комплектующих изделий системы ЗИ серийного и единичного производства, материалов и монтажных изделий;

- проводят входной контроль качества комплектующих изделий системы ЗИ, проверку наличия документов по сертификации;

- проводят специальные исследования и специальные проверки закупленных средств.

6.13.4 На этапе "Строительно-монтажные работы" осуществляют:

- надзор за выполнением строительными организациями требований ЗИ;

- проверку реализации требований о ЗИ при приемке монтажных работ (в случае необходимости проводят соответствующие испытания).

6.13.5 На этапе "Пусконаладочные работы" осуществляют:

- автономную наладку ТС и ПС системы ЗИ;

- комплексную наладку всех СЗИ системы ЗИ.

6.13.6 На этапе "Проведение предварительных испытаний" осуществляют:

- испытания системы ЗИ на работоспособность и соответствие техническому заданию в соответствии с программой и методикой предварительных испытаний;

- устранение недостатков, выявленных в процессе испытаний, и внесение изменений в документацию на систему ЗИ создаваемой (модернизируемой) АСЗИ, в том числе эксплуатационную, в соответствии с протоколом испытаний;

- принятие решения о возможности опытной эксплуатации системы ЗИ АСЗИ.

6.13.7 На этапе "Проведение опытной эксплуатации" проводят:

- проверку функционирования системы ЗИ в составе АСЗИ, в том числе реализованных мер ЗИ;

- анализ выявленных в ходе опытной эксплуатации системы ЗИ уязвимостей АСЗИ, доработку, наладку системы ЗИ;

- проверку готовности пользователей и администраторов к эксплуатации системы ЗИ АСЗИ;

- оформление акта о завершении опытной эксплуатации системы ЗИ АСЗИ.

6.13.8 На этапе "Проведение приемочных испытаний" проводят:

- испытания системы ЗИ АСЗИ на соответствие ТЗ на систему ЗИ в соответствии с программой и методиками приемочных испытаний АСЗИ;

- анализ результатов испытаний системы ЗИ АСЗИ и устранение недостатков, выявленных при испытаниях;

- оформление разделов акта о приемке АСЗИ в постоянную эксплуатацию (в части системы ЗИ АСЗИ).

6.14 Аттестацию АСЗИ на соответствие требованиям безопасности информации организует заказчик, проводит организация, имеющая лицензию на данный вид деятельности, до ввода АСЗИ в эксплуатацию, с использованием информационных ресурсов, подлежащих защите, и содержит оценку соответствия ее системы ЗИ требованиям безопасности информации в реальных условиях эксплуатации, проводимую в соответствии с требованиями нормативных правовых актов и методических документов уполномоченного федерального органа исполнительной власти, а также национальных стандартов в области защиты информации.

6.15 Сопровождение системы ЗИ в ходе эксплуатации АСЗИ организует заказчик (оператор), проводит разработчик в соответствии с проектными решениями, рабочей документацией на систему ЗИ АСЗИ, организационно-распорядительными документами по ЗИ. Сопровождение системы ЗИ в ходе эксплуатации АСЗИ заключается в выполнении работ относительно системы ЗИ АСЗИ в соответствии с гарантийными обязательствами и по послегарантийному обслуживанию, которые осуществляются на стадии "Сопровождение АС", определенной ГОСТ 34.601.

6.16 На стадии "Сопровождение АС" проводят следующие работы.

6.16.1 На этапе "Выполнение работ в соответствии с гарантийными обязательствами" осуществляют работы по:

- устранению недостатков системы ЗИ, выявленных в процессе эксплуатации АСЗИ, и последующему контролю за стабильностью характеристик системы ЗИ АСЗИ, влияющих на эффективность ЗИ в течение установленных гарантийных сроков;

- внесению изменений в документацию на систему ЗИ и, при необходимости, в документацию на АСЗИ в целом.

6.16.2 На этапе "Послегарантийное обслуживание" осуществляют работы по:

- мониторингу качества функционирования системы ЗИ АСЗИ;

- установлению причин невыполнения требований о ЗИ в процессе функционирования АСЗИ;

- устранению недостатков в системе ЗИ и контролю за стабильностью ее характеристик, влияющих на эффективность ЗИ;

- внесению изменений в документацию на систему ЗИ и, при необходимости, в документацию на АСЗИ в целом.

Далее >>>