Шрифт:
Интервал:
Закладка:
>• систему государственных нормативных актов, стандартов, руководящих документов и требований по этой проблеме;
>• порядок разработки и приемки защищенных СВТ, в том числе программных и технических (в частности, криптографических) средств и систем защиты информации от НСД;
>• порядок приемки указанных средств и систем перед сдачей в эксплуатацию в составе АС, порядок их эксплуатации и контроля за работоспособностью этих средств и систем в процессе эксплуатации.
1.3. Положение разработано в развитие Инструкции № 0126-87 в части требований к программным и техническим средствам и системам защиты информации от НСД и базируется на Концепции защиты СВТ и АС от НСД к информации.
Организационные мероприятия по предупреждению утечки и защите информации, являющиеся составной частью решения проблемы защиты информации от НСД, базируются на требованиях указанной инструкции, дополняют программные и технические средства и системы и в этой части являются предметом рассмотрения настоящего Временного положения.
1.4. Временное положение обязательно для выполнения всеми органами государственного управления, государственными предприятиями, воинскими частями, другими учреждениями, организациями и предприятиями (независимо от форм собственности), обладающими государственными секретами, и предназначено для заказчиков, разработчиков и пользователей защищенных СВТ, автоматизированных систем, функционирующих с использованием информации различной степени секретности.
1.5. Разрабатываемые и эксплуатируемые программные и технические средства и системы защиты информации от НСД должны являться неотъемлемой составной частью защищенных СВТ, автоматизированных систем, обрабатывающих информацию различной степени секретности.
1.6. При разработке средств и систем защиты в АС и СВТ необходимо руководствоваться требованиями следующих руководящих документов:
>• концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации;
>• настоящее Временное положение;
>• защита от несанкционированного доступа к информации. Термины и определения;
>• средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;
>• автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.
2. Организационная структура, порядок проведения работ по защите информации от НСД и взаимодействия на государственном уровне
2.1. Заказчиком защищенных СВТ является заказчик соответствующей АС, проектируемой на базе этих СВТ.
Заказчик защищенных СВТ финансирует их разработку или принимает долевое участие в финансировании разработок СВТ общего назначения в части реализации своих требований.
2.2. Заказчиком программных и технических средств защиты информации от НСД может являться государственное учреждение или коллективное предприятие независимо от формы собственности.
2.3. Постановку задач по комплексной защите информации, обрабатываемой автоматизированными системами, а также контроль за состоянием и развитием этого направления работ осуществляет Гостехкомиссия России.
2.4. Разработчиками защищенных СВТ общего и специального назначения, в том числе их общесистемного программного обеспечения, являются государственные предприятия — производители СВТ, а также другие организации, имеющие лицензию на проведение деятельности в области защиты информации.
2.5. Разработчиками программных и технических средств и систем защиты информации от НСД могут быть предприятия, имеющие лицензию на проведение указанной деятельности.
2.6. Проведение научно-исследовательских и опытно-конструкторских работ в области защиты секретной информации от НСД, создание защищенных СВТ общего назначения осуществляется по государственному заказу по представлению заинтересованных ведомств, согласованному с Гостехкомиссией России.
2.7. Организация и функционирование государственных и отраслевых сертификационных центров определяются Положением об этих центрах. На них возлагается проведение сертификационных испытаний программных и технических средств защиты информации от НСД. Перечень сертификационных центров утверждает Гостехкомиссия России.
3. Система государственных нормативных актов, стандартов, руководящих документов и требований по защите информации от НСД
3.1. Система государственных нормативных актов, стандартов, руководящих документов и требований по защите информации от НСД базируется на законах, определяющих вопросы защиты государственных секретов и информационного компьютерного права.
3.2. Система указанных документов определяет работу в двух направлениях:
>• первое — разработка СВТ общего и специального назначения, защищенных от утечки, искажения или уничтожения информации, программных и технических (в том числе криптографических) средств и систем защиты информации от НСД;
>• второе — разработка, внедрение и эксплуатация систем защиты АС различного уровня и назначения как на базе защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД, прошедших сертификационные испытания, так и на базе средств и систем собственной разработки.
3.3. К системе документации первого направления относятся документы (в том числе, ГОСТы, РД и требования), определяющие:
>• различные уровни оснащенности СВТ средствами защиты информации от НСД и способы оценки этих уровней (критерии защищенности);
>• порядок разработки защищенных СВТ; взаимодействие, права и обязанности заказчиков и разработчиков на стадиях заказа и разработки защищенных СВТ;
>• порядок приемки и сертификации защищенных СВТ; взаимодействие, права и обязанности заказчиков и разработчиков на стадиях приемки и сертификации защищенных СВТ;
>• разработку эксплуатационных документов и сертификатов.
3.4. К системе документации второго направления относятся документы (в том числе, ГОСТы, РД и требования), определяющие:
>• порядок организации и проведения разработки системы защиты секретной информации, взаимодействие, права и обязанности заказчика и разработчика АС в целом и СЗСИ в частности;
>• порядок разработки и заимствования программных и технических средств и систем защиты информации от НСД в процессе разработки СЗСИ;
>• порядок настройки защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД на конкретные условия функционирования АС;
>• порядок ввода в действие и приемки программных и технических средств и систем защиты информации от НСД в составе принимаемой АС;
>• порядок использования защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД, прошедших сертификационные испытания, в соответствии с классами и требованиями по защите в конкретных системах;
>• порядок эксплуатации указанных средств и систем;
>• разработку эксплуатационных документов и сертификатов;
>• порядок контроля защищенности АС;
>• ответственность должностных лиц и различных категорий исполнителей (пользователей) за выполнение установленного порядка разработки и эксплуатации АС в целом и СЗСИ в частности.
3.5. Состав документации, определяющей работу в этих направлениях, устанавливают Госстандарт Российской Федерации и Гостехкомиссия России.
3.6. Обязательным требованием к ТЗ на разработку СВТ и АС должно быть наличие раздела требований по защите от НСД, а в составе документации, сопровождающей выпуск СВТ и АС, должен обязательно присутствовать документ (сертификат), содержащий результаты анализа их защищенности от НСД.
4. Порядок разработки и изготовления защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД
4.1. При разработке и изготовлении защищенных СВТ, в том числе программных и технических средств и систем защиты необходимо руководствоваться существующей системой разработки и постановки продукции на производство, определенной ГОСТ 21552-84 и ВД к нему, ГОСТ 16325-88 и ВД к нему, ГОСТ 15.001-88, ГОСТ