Нормативная документация
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения

Содержание

Предисловие

1 Область применения

2 Нормативные ссылки

3 Термины и определения

4 Обозначения и сокращения

5 Общие положения

6 Содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении

7 Содержание и порядок выполнения работ по защите информации о создаваемой автоматизированной системе в защищенном исполнении

Приложение А

Библиография











7 Содержание и порядок выполнения работ по защите информации о создаваемой автоматизированной системе в защищенном исполнении

7.1 ЗИ о создаваемой АСЗИ является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем, в случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти или заказчиком.

7.2 Основными видами работ по ЗИ о создаваемых (модернизируемых) АСЗИ являются:

- разработка замысла ЗИ о создаваемой (модернизируемой) АСЗИ;

- определение защищаемой информации о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;

- определение носителей защищаемой информации о создаваемой (модернизируемой) АСЗИ и их уязвимостей, актуальных угроз безопасности информации;

- определение и технико-экономическое обоснование организационных и технических мероприятий, которые необходимо проводить в интересах ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;

- обоснование, разработка и/или закупка средств, необходимых для ЗИ о создаваемой (модернизируемой) АСЗИ;

- обоснование и разработка мероприятий по контролю состояния ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;

- разработка документов, регламентирующих организацию и осуществление ЗИ о создаваемой (модернизируемой) АСЗИ.

7.3 Перечень информации, подлежащей защите, определяют на стадии формирования требований к АСЗИ и, при необходимости, уточняют на последующих стадиях ее создания.

7.4 К защищаемой информации о создаваемой (модернизируемой) АСЗИ относят:

- цель и задачи ЗИ в АСЗИ;

- перечень составных частей (сегментов) АСЗИ, участвующих в обработке защищаемой в АСЗИ информации;

- состав возможных уязвимостей АСЗИ, возможных последствий от реализации угроз безопасности информации для нарушения свойств безопасности информации (конфиденциальность, целостность, доступность);

- структурно-функциональные характеристики АСЗИ, включающие структуру и состав АСЗИ, физические, функциональные и технологические взаимосвязи между составными частями АСЗИ и взаимосвязи с иными системами, режимы обработки информации в АСЗИ в целом и в ее отдельных составных частях;

- меры и СЗИ, применяемые в АСЗИ;

- сведения о реализации системы ЗИ в АСЗИ.

Применительно к конкретной АСЗИ перечень защищаемой информации устанавливает заказчик.

7.5 Организация и обеспечение ЗИ о создаваемой (модернизируемой) АСЗИ возлагается:

- на стадиях "Формирование требований к АС" и "Разработка концепции АС" - на разработчика, заказчика работ, проводимых в интересах разработки требований и концептуальных положений;

- на стадии "Техническое задание" - на заказчика АСЗИ;

- на стадиях "Эскизный проект", "Технический проект", "Рабочая документация" - на разработчика АСЗИ;

- на стадии "Ввод в действие" - на генерального конструктора или его заместителей, а по частным вопросам - на конструкторов, изготовителей ПС, ТС;

- на стадии "Сопровождение работ" - на оператора АСЗИ.

7.6 При разработке АСЗИ должна быть организована разрешительная система доступа разработчиков, эксплуатирующего персонала, а при необходимости - и сотрудников сторонних организаций (поставщиков ТС, ПС и услуг для гарантийного и послегарантийного обслуживания, контролирующих органов) к защищаемой информации о АСЗИ, документации на АСЗИ, ТС и ПС, а также к информационным ресурсам, содержащим защищаемую информацию.

7.7 Общее руководство работами по ЗИ при создании (модернизации) АСЗИ осуществляет один из заместителей руководителя организации (предприятия), осуществляющей ее разработку (модернизацию), или уполномоченное лицо.

7.8 В процессе создания (модернизации) АСЗИ должен проводиться контроль состояния ЗИ.

7.9 Контроль состояния ЗИ заключается в оценке:

- соблюдения положений нормативных документов, устанавливающих требования безопасности информации при создании (модернизации) АСЗИ;

- эффективности ЗИ о создаваемой (модернизируемой) АСЗИ;

- знания исполнителями работ по созданию (модернизации) АСЗИ своих функциональных обязанностей в части ЗИ.

7.10 В зависимости от характера нарушений, выявленных в процессе контроля, обработка информации об АСЗИ может быть приостановлена до устранения причин нарушений.




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |


books on zlibrary