|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Требования по организации и проведении работ по защите информации в СФЗ ЯОПроведение работ по защите информации должно проводиться на всех стадиях разработки и внедрения. Основные требования по их организации изложены в отраслевом руководящем документе [12.7]. Организация и проведение работ по защите информации, составляющей государственную и служебную тайну, на различных стадиях разработки и внедрения СФЗ, в том числе при ее обработке техническими средствами и от утечки по техническим каналам определяется в целом действующими федеральными и отраслевыми нормативными документами. Разработка СФЗ и ее подсистемы защиты информации может осуществляться как подразделениями ЯО, так и специализированными предприятиями, имеющими лицензию на соответствующий вид деятельности, в том числе, в области защиты информации. Право на обработку информации, составляющей государственную тайну, предоставляется только предприятиям, получившим лицензию Федеральной службы безопасности на право проведения работ со сведениями, составляющими государственную тайну, а на оказание услуг сторонним предприятиям по разработке подсистемы защиты информации или ее отдельных компонент - предприятиям, имеющим необходимые лицензии на право осуществления соответствующих видов деятельности в области защиты информации. Научно-техническое руководство и непосредственную организацию работ по созданию подсистемы защиты информации осуществляет главный конструктор СФЗ или другое должностное лицо, обеспечивающее научно-техническое руководство всей разработкой СФЗ. В случае разработки подсистемы защиты информации или ее отдельных компонентов специализированным предприятием, на ЯО определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием сведений, составляющих государственную тайну и служебную тайну. Разработка и внедрение подсистемы защиты информации осуществляется во взаимодействии разработчика со службой безопасности ЯО, которая осуществляет на ЯО методическое руководство и участие в разработке конкретных требований по защите информации, аналитического обоснования необходимости создания подсистемы защиты информации, согласование выбора средств вычислительной техники и связи, технических и программных средств защиты, организацию работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, участвует в согласовании технических заданий на проведение работ, в аттестации СФЗ. Порядок организации на ЯО работ по созданию и эксплуатации СФЗ и ее подсистемы защиты информации должен предусматривать: •определение подразделений, в т.ч. специализированных предприятий, участвующих в разработке и эксплуатации СФЗ и ее подсистемы защиты информации, их задачи и функции на различных стадиях создания и эксплуатации СФЗ; •порядок взаимодействия в этой работе предприятий, подразделений и специалистов; •определение должностных лиц, ответственных за своевременность и качество постановки требований по защите информации, за качество и научно-технический уровень разработки СФЗ. Ответственность за обеспечение защиты информации об организации и функционировании СФЗ возлагается на руководителя ЯО. На ЯО в дополнение к действующему «Перечню сведений, подлежащих засекречиванию по Минатому России» разрабатываются Перечни сведений конфиденциального характера, раскрывающих особенности функционирования ЯО и его СФЗ, и соответствующая разрешительная система доступа персонала к такого рода информации. Устанавливаются следующие стадии создания подсистемы защиты информации: • предпроектная стадия, включающая обследование объекта, для которого создается СФЗ, разработку аналитического обоснования необходимости создания подсистемы защиты информации и технического (частного технического) задания на ее создание; • стадия проектирования (разработки проектов) и реализации СФЗ, включающая разработку подсистемы защиты информации в составе СФЗ; • стадия ввода в действие подсистемы защиты информации, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию СФЗ на соответствие требованиям безопасности информации. На предпроектной стадии по обследованию объекта, для которого создается СФЗ: • определяются (уточняются) угрозы ЯО в целом и информационной безопасности, в частности; • определяется модель вероятного нарушителя СФЗ применительно к конкретным условиям функционирования ЯО; • устанавливается необходимость обработки (обсуждения) секретной (конфиденциальной) информации на различных пунктах управления и в различных компонентах СФЗ, оценивается ее степень секретности, уровень чувствительности, объемы, характер и условия использования; • определяются конфигурация и топология СФЗ в целом и ее отдельных компонент, физические, функциональные и технологические связи как внутри СФЗ, так и с другими системами (например, системами учета и контроля ЯМ, технологической безопасности); • определяются технические средства и системы, предполагаемые к использованию в разрабатываемой СФЗ, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке; • определяются режимы обработки информации в системе управления СФЗ в целом и в отдельных компонентах; • определяется, какие данные и системы являются важными и должны дублироваться; • определяется категория помещений пунктов управления СФЗ; • определяется категория технических средств и систем; • определяется класс защищенности АС; • определяется класс защищенности систем транкинговой радиосвязи; • определяется степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер их взаимодействия между собой и со службой безопасности ЯО; • определяются мероприятия по защите информации в процессе разработки СФЗ; • по результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания подсистемы защиты информации; • на основе действующих федеральных и отраслевых нормативных документов по защите информации, в т.ч. настоящего документа, с учетом установленных категории помещений пунктов управления СФЗ, технических средств и систем, класса защищенности АС и систем транкинговой радиосвязи задаются конкретные требования по защите информации, включаемые в ТЗ (ЧТЗ) на разработку подсистемы защиты информации. На стадии проектирования и реализации СФЗ и подсистемы защиты информации в ее составе на основе предъявляемых к системе требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются: • разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) СФЗ в соответствии с требованиями ТЗ (ЧТЗ) на разработку подсистемы защиты информации; • разработка раздела технического проекта на СФЗ в части защиты информации; • строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещение и монтаж технических средств и систем; • разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями; • закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации (либо их сертификация); • проверка эффективности защиты помещений пунктов управления СФЗ и технических средств и систем в реальных условиях их размещения и эксплуатации с целью определения достаточности мер защиты с учетом установленной категории; • закупка сертифицированных образцов и серийно выпускаемых технических и программных (в т.ч. криптографических) средств защиты информации и их установка; • разработка (доработка) или закупка и последующая сертификация «по назначению» и по требованиям безопасности информации прикладных программных средств и программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства; • организация охраны и физической защиты пунктов управления СФЗ и других зон ограниченного доступа, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности; • разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала СФЗ к обрабатываемой информации; • определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации СФЗ; • выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации; • разработка организационно-распорядительной и рабочей документации по эксплуатации СФЗ в защищенном исполнении, а также средств и мер защиты информации (приказов, инструкций и других документов); • выполнение других мероприятий, специфичных для конкретных СФЗ и направлений защиты информации. Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой безопасности ЯО в части достаточности мер по технической защите информации и утверждается заказчиком. На стадии проектирования и реализации СФЗ оформляются также технический (техно-рабочий) проект и эксплуатационная документация подсистемы защиты информации, состоящие из: • пояснительной записки с кратким изложением состава средств и мер защиты и принятых решений по техническим, программным, в т.ч. криптографическим, организационным средствам и мерам защиты информации с указанием их соответствия требованиям ТЗ (ЧТЗ); • описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации; • плана организационно-технических мероприятий по подготовке СФЗ к внедрению средств и мер защиты информации; • технического паспорта СФЗ (технических паспортов составляющих ее компонент, зон ограниченного доступа - помещений пунктов управления СФЗ, серверных, узлов связи, и т.п.; • инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администратора системы, а также для работников службы безопасности ЯО. На стадии ввода в действие СФЗ и подсистемы защиты информации в ее составе осуществляются: • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе СФЗ и отработки технологического процесса обработки (передачи) информации; • приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком; • аттестация СФЗ по требованиям безопасности информации. При положительных результатах аттестации владельцу СФЗ выдается «Аттестат соответствия» требованиям безопасности информации. Для СФЗ, находящихся в эксплуатации до введения в действие настоящего документа, может быть предусмотрен по решению их заказчика (владельца) упрощенный вариант их доработки (реконструкции), переоформления организационно-распорядительной, техно-рабочей и эксплуатационной документации. Необходимым условием является их соответствие действующим требованиям по защите информации и их аттестация. Аттестация СФЗ по требованиям безопасности информации осуществляется аккредитованными в установленном порядке органами по аттестации. Эксплуатация СФЗ осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией. Контроль состояния и эффективности защиты информации осуществляется службой безопасности ЯО, отраслевыми и федеральными органами контроля и заключается в оценке выполнения требований нормативных документов, в том числе настоящего документа, а также обоснованности принятых мер.
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.005 сек.) |