4. Основные нормативные документы, определяющие общие требования и порядок создания автоматизированных систем в защищённом исполнении ______мин.

Изложенные выше методологические основы и подходы к созданию систем защиты и защищенных АС реализованы в государственных стандартах и нормативных документах .

Базовыми ГОСТ в данной области являются: (СЛАЙД _18_)

1. Гост р 51624—2000 Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования.

2. Гост р 51583—2000 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.

ГОСТ Р 51624—2000 Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования. ОН устанавливает общие требования по защите информации к автоматизированным системам в защищенном исполнении, используемым в различных областях деятельности (оборона, экономика, наука и др.).

Положения настоящего стандарта дополняют требования стандартов класса 34 "Информационная технология. Комплекс стандартов на автоматизированные системы" в части требований по защите информации от ее утечки по техническим каналам, несанкционированного доступа и несанкционированных воздействий на информацию.

Создание (модернизация) и эксплуатация АСЗИ должны осуществляться с учетом требований нормативных документов по защите информации, требований настоящего стандарта, стандартов и/или технического задания на АС в части требований по защите информации.

Порядок использования в АСЗИ шифровальной техники, предназначенной для защиты информации, содержащей сведения, составляющие государственную тайну, определяется в соответствии с требованиями [Положение о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику в Российской Федерации].

АСЗИ могут быть разработаны и поставлены потребителю в виде защищенного изделия. Функционирующие (эксплуатируемые) и модернизируемые АС, предназначенные для обработки защищаемой информации, должны обеспечиваться дополнительной системой защиты информации.

Требования по защите информации устанавливаются заказчиком как на АСЗИ в целом, так при необходимости и на составные компоненты (части).

Требования по защите информации, предъявляемые к компонентам (составным частям) АСЗИ, должны быть согласованы с требованиями по защите информации системы в целом.

Требования по защите информации, предъявляемые к АСЗИ, задаются в ТЗ на создание системы в соответствии с ГОСТ 34.602 в виде отдельного подраздела ТЗ на НИР (ОКР) "Требования по защите информации".

Данный ГОСТ устанавливает требования к защите информации:

Защита информации в АСЗИ должна быть:

 целенаправленной, осуществляемой в интересах реализации конкретной цели защиты информации в АСЗИ;

 комплексной, осуществляемой в интересах защиты всего многообразия структурных элементов АСЗИ от всего спектра опасных для АСЗИ угроз;

 управляемой, осуществляемой на всех стадиях жизненного цикла АСЗИ, в зависимости от важности обрабатываемой информации, состояния ресурсов АСЗИ, условий эксплуатации АСЗИ, результатов отслеживания угроз безопасности информации;

 гарантированной; методы и средства защиты информации должны обеспечивать требуемый уровень защиты информации от ее утечки по техническим каналам, несанкционированного доступа к информации, несанкционированным и непреднамеренным воздействиям на нее, независимо от форм ее представления.

В АСЗИ должна быть реализована система защиты информации, выполняющая следующие функции:

 предупреждение о появлении угроз безопасности информации;

 обнаружение, нейтрализацию и локализацию воздействия угроз безопасности информации;

 управление доступом к защищаемой информации;

 восстановление системы защиты информации и защищаемой информации после воздействия угроз;

 регистрацию событий и попыток несанкционированного доступа к защищаемой информации и несанкционированного воздействия на нее;

 обеспечение контроля функционирования средств и системы защиты информации и немедленное реагирование на их выход из строя.

Необходимый состав функций, которые должны быть реализованы в АС, устанавливают в соответствии с [Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам. Гостехкомиссия России. М.: 1997].

При разработке (модернизации) и эксплуатации АСЗИ должна быть организована разрешительная система доступа разработчиков, пользователей, эксплуатирующего персонала к техническим и программным средствам, а также информационным ресурсам АСЗИ.

Пользователям предоставляется право работать только с теми средствами и ресурсами, которые необходимы им для выполнения установленных функциональных обязанностей.

Общие требования к АСЗИ включают:

 функциональные требования;

 требования к эффективности;

 технические требования;

 экономические требования;

 требования к документации.

В свою очередь, Функциональные требования к АСЗИ включают следующие группы требований:

 грифы секретности (конфиденциальности) обрабатываемой в АСЗИ информации;

 категорию (класс защищенности) АСЗИ;

 цели защиты информации;

 перечень защищаемой в АСЗИ информации и требуемые уровни эффективности ее защиты;

 возможные технические каналы утечки информации и способы несанкционированного доступа к информации, несанкционированных и непреднамеренных воздействий на информацию в АСЗИ, класс защищенности АСЗИ;

Требования к эффективности или гарантиям решения задач защиты информации в АСЗИ включают:

 требования по предотвращению утечки защищаемой информации по техническим каналам;

 требования по предотвращению несанкционированного доступа к защищаемой информации;

 требования по предотвращению несанкционированных и непреднамеренных воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств АСЗИ;

 требования по выявлению внедренных в помещения и в технические средства специальных электронных устройств перехвата информации;

 требования по контролю функционирования системы защиты информации АСЗИ.

Технические требования по защите информации включают требования к основным видам обеспечения АСЗИ (техническому и программному), к зданиям (помещениям) или объектам, в которых АСЗИ устанавливаются, а также к средствам защиты информации и контроля эффективности защиты информации.

Экономические требования по ЗИ включают:

 допустимые затраты на создание АСЗИ и/или системы защиты информации в АСЗИ;

 допустимые затраты на эксплуатацию АСЗИ и/или системы защиты информации в АСЗИ.

Требования к документации на АСЗИ

Комплектность документации на АСЗИ устанавливается в нормативных документах и по ГОСТ 34.201, [РД 50-34.698-90 Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов] и дополнительно включает документы, указанные в таблице 1.

Таблица 1.

[1] Положение ПШ -93	Положение о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику в Российской Федерации
[2] СТР	Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам. Гостехкомиссия России. М.: 1997
[3]	Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Гостехкомиссия России. М.: 1992
[4]	Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России. М.: 1992
[5]	Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России. М.: 1992
[6] Сборник норм	Нормы защиты информации, обрабатываемой средствами вычислительной техники и в автоматизированных системах, от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН). Гостехкомиссия России. m.: 1998
[7]	Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недскларированных возможностей. Гостехкомиссия России. М.: 1998
[8]	Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России. М.: 1998
[9] ВСН 01-91	Инструкция по разработке защиты военно-промышленных объектов от иностранных технических разведок. Основы и организация проектирования. Гостехкомиссия России. М.: 1991
[10] Пособие к ВСН 01-91	Пособие по разработке зашиты военно-промышленных объектов от иностранных технических разведок на предпроектном этапе
[11] РД 50-34.698-90	Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов
[12]	Положение об аттестации объектов информатизации по требованиям безопасности информации. Гостехкомиссия России. М.: 1994
[13]	Положение о сертификации средств защиты информации по требованиям безопасности информации. Приказ Председателя Гостехкомиссии России от 27.10.1995 г. N 199. Зарегистрировано Госстандартом России в Государственном реестре 20.03.1995 г.

ГОСТ Р 51583—2000 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения распространяется на автоматизированные системы в защищенном ис­полнении, используемые в различных видах деятельности (исследование, управление, проектиро­вание и т. п.), включая их сочетания, в процессе создания и применения, которых осуществляется обработка защищаемой информации, содержащей сведения, отнесенные к государственной или служебной тайне.

Настоящий стандарт устанавливает дополнительные требования и положения стандартов класса 34 “Информационная технология. Комплекс стандартов на автоматизированные системы” в части порядка создания и применения автоматизированных систем в защищенном исполнении.

Стандарт даёт определение основных терминов и понятий в области защиты в информации и создания автоматизированных систем в защищённом исполнении.

Гост определяет, что

Процесс создания АСЗИ заключается в выполнении совокупности мероприятий, направ­ленных на разработку и/или практическое применение информационной технологии, реализую­щей функции по ЗИ, установленные в соответствии с требованиями стандартов и/или НД по ЗИ как во вновь создаваемых, так и в действующих АС.

Целью создания АСЗИ является исключение или существенное затруднение получения злоумышленником защищаемой информации, обрабатываемой в АС, а также исключение или су­щественное затруднение несанкционированного и/или непреднамеренного воздействия на защи­щаемую информацию и ее носители.

Защита информации в АСЗИ является составной частью работ по их созданию, эксплуата­ции и осуществляется во всех органах государственной власти и на предприятиях (организациях), располагающих информацией, содержащей сведения, отнесенные к государственной или служеб­ной тайне [2J.

Разработка и внедрение вновь создаваемой АС производится в соответствии с ТЗ на АС, которое является основным документом, определяющим требования, предъявляемые к АС, поря­док создания АС и приемку АС при вводе в действие.

Для вновь создаваемых AC T3 разрабатывают на систему в целом, предназначенную для работы самостоятельно или в составе другой системы. Дополнительно могут быть разработаны ЧТЗ на части и подсистемы АС. Поэтому требования по ЗИ при создании АСЗИ должны включаться разделом в общее ТЗ на АС или могут быть изложены в виде частного ЧТЗ или дополнения к основ­ному ТЗ на АС.

Порядок утверждения и согласования ЧТЗ (дополнения к основному ТЗ на АС) не должен отличаться от установленного порядка утверждения и согласования ТЗ на АС по ГОСТ 34.602.

Для АСЗИ, создаваемой на базе действующей АС, разрабатывают ТЗ (ЧТЗ) или дополнение к основному ТЗ на АС, в которые включают требования по ЗИ только в части создаваемой системы (подсистемы) защиты обрабатываемой информации в АС.

Утверждение и согласование ТЗ (ЧТЗ) или дополнения к основному ТЗ на АС производится в порядке, установленном ГОСТ 34.602.

Реализация мероприятий по защите информации в АСЗИ должна осуществляться непрерывно на всех стадиях и этапах создания АСЗИ во взаимосвязи с мерами по обеспечению установленного режима секретности проводимых работ.

Основные принципы и положения по созданию и функционированию АСЗИ должны соответствовать требованиям ГОСТ 29339, ГОСТ Р 50543, ГОСТ Р 50739, ГОСТ Р 51275, ГОСТ РВ 50797, нормативных документов [З], f4], [5], [б], [7J, f8].

Типовое содержание работ на всех стадиях и этапах создания АСЗИ должно соответствовать требованиям ГОСТ 34.601, [1] и рекомендациям, приведенным в приложении А.