Читайте также:
|
Проведение работ по защите информации должно проводиться на всех стадиях разработки и внедрения. Основные требования по их организации изложены в отраслевом руководящем документе [12.7].
Организация и проведение работ по защите информации, составляющей государственную и служебную тайну, на различных стадиях разработки и внедрения СФЗ, в том числе при ее обработке техническими средствами и от утечки по техническим каналам определяется в целом действующими федеральными и отраслевыми нормативными документами.
Разработка СФЗ и ее подсистемы защиты информации может осуществляться как подразделениями ЯО, так и специализированными предприятиями, имеющими лицензию на соответствующий вид деятельности, в том числе, в области защиты информации.
Право на обработку информации, составляющей государственную тайну, предоставляется только предприятиям, получившим лицензию Федеральной службы безопасности на право проведения работ со сведениями, составляющими государственную тайну, а на оказание услуг сторонним предприятиям по разработке подсистемы защиты информации или ее отдельных компонент - предприятиям, имеющим необходимые лицензии на право осуществления соответствующих видов деятельности в области защиты информации.
Научно-техническое руководство и непосредственную организацию работ по созданию подсистемы защиты информации осуществляет главный конструктор СФЗ или другое должностное лицо, обеспечивающее научно-техническое руководство всей разработкой СФЗ.
В случае разработки подсистемы защиты информации или ее отдельных компонентов специализированным предприятием, на ЯО определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием сведений, составляющих государственную тайну и служебную тайну.
Разработка и внедрение подсистемы защиты информации осуществляется во взаимодействии разработчика со службой безопасности ЯО, которая осуществляет на ЯО методическое руководство и участие в разработке конкретных требований по защите информации, аналитического обоснования необходимости создания подсистемы защиты информации, согласование выбора средств вычислительной техники и связи, технических и программных средств защиты, организацию работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, участвует в согласовании технических заданий на проведение работ, в аттестации СФЗ.
Порядок организации на ЯО работ по созданию и эксплуатации СФЗ и ее подсистемы защиты информации должен предусматривать:
•определение подразделений, в т.ч. специализированных предприятий, участвующих в разработке и эксплуатации СФЗ и ее подсистемы защиты информации, их задачи и функции на различных стадиях создания и эксплуатации СФЗ;
•порядок взаимодействия в этой работе предприятий, подразделений и специалистов;
•определение должностных лиц, ответственных за своевременность и качество постановки требований по защите информации, за качество и научно-технический уровень разработки СФЗ.
Ответственность за обеспечение защиты информации об организации и функционировании СФЗ возлагается на руководителя ЯО.
На ЯО в дополнение к действующему «Перечню сведений, подлежащих засекречиванию по Минатому России» разрабатываются Перечни сведений конфиденциального характера, раскрывающих особенности функционирования ЯО и его СФЗ, и соответствующая разрешительная система доступа персонала к такого рода информации.
Устанавливаются следующие стадии создания подсистемы защиты информации:
• предпроектная стадия, включающая обследование объекта, для которого создается СФЗ, разработку аналитического обоснования необходимости создания подсистемы защиты информации и технического (частного технического) задания на ее создание;
• стадия проектирования (разработки проектов) и реализации СФЗ, включающая разработку подсистемы защиты информации в составе СФЗ;
• стадия ввода в действие подсистемы защиты информации, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию СФЗ на соответствие требованиям безопасности информации.
На предпроектной стадии по обследованию объекта, для которого создается СФЗ:
• определяются (уточняются) угрозы ЯО в целом и информационной безопасности, в частности;
• определяется модель вероятного нарушителя СФЗ применительно к конкретным условиям функционирования ЯО;
• устанавливается необходимость обработки (обсуждения) секретной (конфиденциальной) информации на различных пунктах управления и в различных компонентах СФЗ, оценивается ее степень секретности, уровень чувствительности, объемы, характер и условия использования;
• определяются конфигурация и топология СФЗ в целом и ее отдельных компонент, физические, функциональные и технологические связи как внутри СФЗ, так и с другими системами (например, системами учета и контроля ЯМ, технологической безопасности);
• определяются технические средства и системы, предполагаемые к использованию в разрабатываемой СФЗ, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
• определяются режимы обработки информации в системе управления СФЗ в целом и в отдельных компонентах;
• определяется, какие данные и системы являются важными и должны дублироваться;
• определяется категория помещений пунктов управления СФЗ;
• определяется категория технических средств и систем;
• определяется класс защищенности АС;
• определяется класс защищенности систем транкинговой радиосвязи;
• определяется степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер их взаимодействия между собой и со службой безопасности ЯО;
• определяются мероприятия по защите информации в процессе разработки СФЗ;
• по результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания подсистемы защиты информации;
• на основе действующих федеральных и отраслевых нормативных документов по защите информации, в т.ч. настоящего документа, с учетом установленных категории помещений пунктов управления СФЗ, технических средств и систем, класса защищенности АС и систем транкинговой радиосвязи задаются конкретные требования по защите информации, включаемые в ТЗ (ЧТЗ) на разработку подсистемы защиты информации.
На стадии проектирования и реализации СФЗ и подсистемы защиты информации в ее составе на основе предъявляемых к системе требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:
• разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) СФЗ в соответствии с требованиями ТЗ (ЧТЗ) на разработку подсистемы защиты информации;
• разработка раздела технического проекта на СФЗ в части защиты информации;
• строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещение и монтаж технических средств и систем;
• разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
• закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации (либо их сертификация);
• проверка эффективности защиты помещений пунктов управления СФЗ и технических средств и систем в реальных условиях их размещения и эксплуатации с целью определения достаточности мер защиты с учетом установленной категории;
• закупка сертифицированных образцов и серийно выпускаемых технических и программных (в т.ч. криптографических) средств защиты информации и их установка;
• разработка (доработка) или закупка и последующая сертификация «по назначению» и по требованиям безопасности информации прикладных программных средств и программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
• организация охраны и физической защиты пунктов управления СФЗ и других зон ограниченного доступа, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности;
• разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала СФЗ к обрабатываемой информации;
• определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации СФЗ;
• выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
• разработка организационно-распорядительной и рабочей документации по эксплуатации СФЗ в защищенном исполнении, а также средств и мер защиты информации (приказов, инструкций и других документов);
• выполнение других мероприятий, специфичных для конкретных СФЗ и направлений защиты информации.
Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой безопасности ЯО в части достаточности мер по технической защите информации и утверждается заказчиком.
На стадии проектирования и реализации СФЗ оформляются также технический (техно-рабочий) проект и эксплуатационная документация подсистемы защиты информации, состоящие из:
• пояснительной записки с кратким изложением состава средств и мер защиты и принятых решений по техническим, программным, в т.ч. криптографическим, организационным средствам и мерам защиты информации с указанием их соответствия требованиям ТЗ (ЧТЗ);
• описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;
• плана организационно-технических мероприятий по подготовке СФЗ к внедрению средств и мер защиты информации;
• технического паспорта СФЗ (технических паспортов составляющих ее компонент, зон ограниченного доступа - помещений пунктов управления СФЗ, серверных, узлов связи, и т.п.;
• инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администратора системы, а также для работников службы безопасности ЯО.
На стадии ввода в действие СФЗ и подсистемы защиты информации в ее составе осуществляются:
• опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе СФЗ и отработки технологического процесса обработки (передачи) информации;
• приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
• аттестация СФЗ по требованиям безопасности информации.
При положительных результатах аттестации владельцу СФЗ выдается «Аттестат соответствия» требованиям безопасности информации.
Для СФЗ, находящихся в эксплуатации до введения в действие настоящего документа, может быть предусмотрен по решению их заказчика (владельца) упрощенный вариант их доработки (реконструкции), переоформления организационно-распорядительной, техно-рабочей и эксплуатационной документации.
Необходимым условием является их соответствие действующим требованиям по защите информации и их аттестация.
Аттестация СФЗ по требованиям безопасности информации осуществляется аккредитованными в установленном порядке органами по аттестации.
Эксплуатация СФЗ осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией.
Контроль состояния и эффективности защиты информации осуществляется службой безопасности ЯО, отраслевыми и федеральными органами контроля и заключается в оценке выполнения требований нормативных документов, в том числе настоящего документа, а также обоснованности принятых мер.
Дата добавления: 2015-07-08; просмотров: 153 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Мероприятия по комплексной защите информации в СФЗ ЯО | | | Требования и рекомендации по защите информации от утечки за счет побочных электромагнитных излучений и наводок |