АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Требования по организации и проведении работ по защите информации в СФЗ ЯО

Читайте также:
  1. A) приказом (распоряжением) работодателя, если иное не предусмотрено Трудовым кодексом РФ
  2. A) сумма потребительских стоимостей, который может приобрести рабочий на свою номинальную заработную плату
  3. Cкоростная автоматическая обработка
  4. I Психологические принципы, задачи и функции социальной работы
  5. I. Задания для самостоятельной работы
  6. I. Задания для самостоятельной работы
  7. I. Задания для самостоятельной работы
  8. I. КУРСОВЫЕ РАБОТЫ
  9. I. ОБЩИЕ ПОЛОЖЕНИЯ ПО ВЫПОЛНЕНИЮ КОНТРОЛЬНОЙ РАБОТЫ
  10. I. Общие требования безопасности.
  11. I. ОБЩИЕ УКАЗАНИЯ К ВЫПОЛНЕНИЮ КУРСОВОЙ РАБОТЫ
  12. I. Определение основной и дополнительной зарплаты работников ведется с учетом рабочих, предусмотренных технологической картой.

Проведение работ по защите информации должно проводиться на всех стадиях разработки и внедрения. Основные требования по их организации изложены в отраслевом руководящем документе [12.7].

Организация и проведение работ по защите информации, составляющей государственную и служебную тайну, на различных стадиях разработки и внедрения СФЗ, в том числе при ее обработке техническими средствами и от утечки по техническим каналам определяется в целом действующими федеральными и отраслевыми нормативными документами.

Разработка СФЗ и ее подсистемы защиты информации может осуществляться как подразделениями ЯО, так и специализированными предприятиями, имеющими лицензию на соответствующий вид деятельности, в том числе, в области защиты информации.

Право на обработку информации, составляющей государственную тайну, предоставляется только предприятиям, получившим лицензию Федеральной службы безопасности на право проведения работ со сведениями, составляющими государственную тайну, а на оказание услуг сторонним предприятиям по разработке подсистемы защиты информации или ее отдельных компонент - предприятиям, имеющим необходимые лицензии на право осуществления соответствующих видов деятельности в области защиты информации.

Научно-техническое руководство и непосредственную организацию работ по созданию подсистемы защиты информации осуществляет главный конструктор СФЗ или другое должностное лицо, обеспечивающее научно-техническое руководство всей разработкой СФЗ.

В случае разработки подсистемы защиты информации или ее отдельных компонентов специализированным предприятием, на ЯО определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием сведений, составляющих государственную тайну и служебную тайну.

Разработка и внедрение подсистемы защиты информации осуществляется во взаимодействии разработчика со службой безопасности ЯО, которая осуществляет на ЯО методическое руководство и участие в разработке конкретных требований по защите информации, аналитического обоснования необходимости создания подсистемы защиты информации, согласование выбора средств вычислительной техники и связи, технических и программных средств защиты, организацию работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, участвует в согласовании технических заданий на проведение работ, в аттестации СФЗ.

Порядок организации на ЯО работ по созданию и эксплуатации СФЗ и ее подсистемы защиты информации должен предусматривать:

•определение подразделений, в т.ч. специализированных предприятий, участвующих в разработке и эксплуатации СФЗ и ее подсистемы защиты информации, их задачи и функции на различных стадиях создания и эксплуатации СФЗ;

•порядок взаимодействия в этой работе предприятий, подразделений и специалистов;

•определение должностных лиц, ответственных за своевременность и качество постановки требований по защите информации, за качество и научно-технический уровень разработки СФЗ.

Ответственность за обеспечение защиты информации об организации и функционировании СФЗ возлагается на руководителя ЯО.

На ЯО в дополнение к действующему «Перечню сведений, подлежащих засекречиванию по Минатому России» разрабатываются Перечни сведений конфиденциального характера, раскрывающих особенности функционирования ЯО и его СФЗ, и соответствующая разрешительная система доступа персонала к такого рода информации.

Устанавливаются следующие стадии создания подсистемы защиты информации:

• предпроектная стадия, включающая обследование объекта, для которого создается СФЗ, разработку аналитического обоснования необходимости создания подсистемы защиты информации и технического (частного технического) задания на ее создание;

• стадия проектирования (разработки проектов) и реализации СФЗ, включающая разработку подсистемы защиты информации в составе СФЗ;

• стадия ввода в действие подсистемы защиты информации, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию СФЗ на соответствие требованиям безопасности информации.

На предпроектной стадии по обследованию объекта, для которого создается СФЗ:

• определяются (уточняются) угрозы ЯО в целом и информационной безопасности, в частности;

• определяется модель вероятного нарушителя СФЗ применительно к конкретным условиям функционирования ЯО;

• устанавливается необходимость обработки (обсуждения) секретной (конфиденциальной) информации на различных пунктах управления и в различных компонентах СФЗ, оценивается ее степень секретности, уровень чувствительности, объемы, характер и условия использования;

• определяются конфигурация и топология СФЗ в целом и ее отдельных компонент, физические, функциональные и технологические связи как внутри СФЗ, так и с другими системами (например, системами учета и контроля ЯМ, технологической безопасности);

• определяются технические средства и системы, предполагаемые к использованию в разрабатываемой СФЗ, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;

• определяются режимы обработки информации в системе управления СФЗ в целом и в отдельных компонентах;

• определяется, какие данные и системы являются важными и должны дублироваться;

• определяется категория помещений пунктов управления СФЗ;

• определяется категория технических средств и систем;

• определяется класс защищенности АС;

• определяется класс защищенности систем транкинговой радиосвязи;

• определяется степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер их взаимодействия между собой и со службой безопасности ЯО;

• определяются мероприятия по защите информации в процессе разработки СФЗ;

• по результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания подсистемы защиты информации;

• на основе действующих федеральных и отраслевых нормативных документов по защите информации, в т.ч. настоящего документа, с учетом установленных категории помещений пунктов управления СФЗ, технических средств и систем, класса защищенности АС и систем транкинговой радиосвязи задаются конкретные требования по защите информации, включаемые в ТЗ (ЧТЗ) на разработку подсистемы защиты информации.

На стадии проектирования и реализации СФЗ и подсистемы защиты информации в ее составе на основе предъявляемых к системе требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

• разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) СФЗ в соответствии с требованиями ТЗ (ЧТЗ) на разработку подсистемы защиты информации;

• разработка раздела технического проекта на СФЗ в части защиты информации;

• строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещение и монтаж технических средств и систем;

• разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

• закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации (либо их сертификация);

• проверка эффективности защиты помещений пунктов управления СФЗ и технических средств и систем в реальных условиях их размещения и эксплуатации с целью определения достаточности мер защиты с учетом установленной категории;

• закупка сертифицированных образцов и серийно выпускаемых технических и программных (в т.ч. криптографических) средств защиты информации и их установка;

• разработка (доработка) или закупка и последующая сертификация «по назначению» и по требованиям безопасности информации прикладных программных средств и программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;

• организация охраны и физической защиты пунктов управления СФЗ и других зон ограниченного доступа, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности;

• разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала СФЗ к обрабатываемой информации;

• определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации СФЗ;

• выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;

• разработка организационно-распорядительной и рабочей документации по эксплуатации СФЗ в защищенном исполнении, а также средств и мер защиты информации (приказов, инструкций и других документов);

• выполнение других мероприятий, специфичных для конкретных СФЗ и направлений защиты информации.

Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой безопасности ЯО в части достаточности мер по технической защите информации и утверждается заказчиком.

На стадии проектирования и реализации СФЗ оформляются также технический (техно-рабочий) проект и эксплуатационная документация подсистемы защиты информации, состоящие из:

• пояснительной записки с кратким изложением состава средств и мер защиты и принятых решений по техническим, программным, в т.ч. криптографическим, организационным средствам и мерам защиты информации с указанием их соответствия требованиям ТЗ (ЧТЗ);

• описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;

• плана организационно-технических мероприятий по подготовке СФЗ к внедрению средств и мер защиты информации;

• технического паспорта СФЗ (технических паспортов составляющих ее компонент, зон ограниченного доступа - помещений пунктов управления СФЗ, серверных, узлов связи, и т.п.;

• инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администратора системы, а также для работников службы безопасности ЯО.

На стадии ввода в действие СФЗ и подсистемы защиты информации в ее составе осуществляются:

• опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе СФЗ и отработки технологического процесса обработки (передачи) информации;

• приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

• аттестация СФЗ по требованиям безопасности информации.

При положительных результатах аттестации владельцу СФЗ выдается «Аттестат соответствия» требованиям безопасности информации.

Для СФЗ, находящихся в эксплуатации до введения в действие настоящего документа, может быть предусмотрен по решению их заказчика (владельца) упрощенный вариант их доработки (реконструкции), переоформления организационно-распорядительной, техно-рабочей и эксплуатационной документации.

Необходимым условием является их соответствие действующим требованиям по защите информации и их аттестация.

Аттестация СФЗ по требованиям безопасности информации осуществляется аккредитованными в установленном порядке органами по аттестации.

Эксплуатация СФЗ осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией.

Контроль состояния и эффективности защиты информации осуществляется службой безопасности ЯО, отраслевыми и федеральными органами контроля и заключается в оценке выполнения требований нормативных документов, в том числе настоящего документа, а также обоснованности принятых мер.

 


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 73 | 74 | 75 | 76 | 77 | 78 | 79 | 80 | 81 | 82 | 83 | 84 | 85 | 86 | 87 | 88 | 89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.006 сек.)