Концепция Обеспечения ИБ. КОНЦЕПЦИЯ ОБЕСПЕЧЕНИЯ ИБ. Обеспечения безопасности информации в автоматизированной системе организации
 Скачать 161.32 Kb.
|
|
7.5.Защита речевой информации при проведении закрытых переговоров Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения специальных электронных (закладных) устройств, транслирующих эту информацию, акустических, виброакустических и лазерных технических средств разведки, информации, наведенной на различные электрические и прочие цепи, выходящие за пределы контролируемой зоны, противодействие этим угрозам безопасности информационных ресурсов должно осуществляться всеми доступными средствами и методами. Помещения, в которых предусматривается ведение конфиденциальных переговоров, должны быть проверены на предмет отсутствия в них (в стеновых панелях, фальшполах и фальшпотолках, мебели, технических средствах, размещенных в этих помещениях) закладных устройств, технические средства передачи информации (телефоны, телефаксы, модемы), а также различные электрические и прочие цепи, трубопроводы, системы вентиляции и кондиционирования и т.д. должны быть защищены таким образом, чтобы акустические сигналы не могли быть перехвачены за пределами контролируемой зоны, а в необходимых случаях и за пределами данного выделенного помещения. В этих целях используются проектные решения, обеспечивающие звукоизоляцию помещений, специальные средства обнаружения закладных устройств, устанавливаются временные или постоянные посты радиоконтроля, на технические средства передачи информации устанавливаются устройства, предотвращающие перехват акустических сигналов с линий связи, на электрические цепи, выходящие за пределы контролируемой зоны, ставятся фильтры, а на трубопроводы - диэлектрические вставки, используются системы активной защиты в акустическом и других диапазонах. 7.6.Управление системой обеспечения безопасности информации Управление системой обеспечения безопасности информации в АС представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические) с целью достижения требуемых показателей и норм защищенности циркулирующей в АС ОРГАНИЗАЦИИ информации в условиях реализации основных угроз безопасности. Главной целью организации управления системой обеспечения безопасности информации является повышение надежности защиты информации в процессе ее обработки, хранения и передачи. Целями управления системой обеспечения безопасности информации являются: на этапе создания и ввода в действие АС ОРГАНИЗАЦИИ - разработка и реализация научно-технических программ и координационных планов создания нормативно-правовых основ и технической базы, обеспечивающей использование передовых зарубежных средств и информационных технологий и производство отечественных технических и программных средств обработки и передачи информации в защищенном исполнении в интересах обеспечения безопасности информации АС; организация и координация взаимодействия в этой области разработчиков АС, концентрация кадровых, финансовых и иных ресурсов заинтересованных сторон при разработке и поэтапном вводе в действие системы; создание действенной организационной структуры, обеспечивающей комплексное решение задач безопасности информации при функционировании АС, в том числе службы безопасности АС, оснащенной необходимыми программно-аппаратными средствами управления и контроля; на этапе эксплуатации АС - обязательное и неукоснительное выполнение предусмотренных на этапе создания АС правил и процедур, направленных на обеспечение безопасности информации, всеми задействованными в системе участниками, эффективное пресечение посягательств на информационные ресурсы, технические средства и информационные технологии, своевременное выявление негативных тенденций и совершенствование управления в области защиты информации. Управление системой обеспечения безопасности информации реализуется специализированной подсистемой, представляющей собой совокупность органов управления, технических, программных и криптографических средств и организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней. Органами управления являются подразделения безопасности информации, а пунктами управления - центр управления безопасностью (ЦУБ) и автоматизированные рабочие места администраторов (операторов) безопасности, расположенные на объектах АС ОРГАНИЗАЦИИ. Функциями подсистемы управления являются: информационная, управляющая и вспомогательная. Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании операторов безопасности о возникающих в АС ситуациях, способных привести к нарушению безопасности информации. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты, которая обобщается (агрегируется) и передается на вышестоящие пункты управления. Управляющая функция заключается в формировании планов реализации технологических операций АС с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков АС, на которых возникают угрозы безопасности информации. К управляющим функциям службы безопасности относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду АС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического процесса обработки секретной (конфиденциальной) информации возлагается на администратора автоматизированной системы (базы данных) и администратора службы безопасности, которые расположены в ЦУБ. К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых в АС с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации. 7.7.Контроль эффективности системы защиты Контроль эффективности защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации. Контроль может проводиться как службой безопасности (оперативный контроль в процессе информационного взаимодействия в АС), так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также Инспекцией Гостехкомиссии России или Федеральным агентством правительственной связи и информации в пределах их компетенции. Оценка эффективности мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям. Контроль может осуществляться администратором безопасности как с помощью штатных средств системы защиты информации от НСД, так и с помощью специальных программных средств контроля. 8. Первоочередные мероприятия по обеспечению безопасности информации АС организации Для реализации основных положений настоящей Концепции целесообразно провести (осуществить) следующие мероприятия: создать во всех территориальных подразделениях ОРГАНИЗАЦИИ подразделения технической защиты информации в АС ОРГАНИЗАЦИИ и ввести ответственных (возможно внештатных, из числа сотрудников подразделения) за безопасность информации в структурных подразделениях ОРГАНИЗАЦИИ, определить их задачи и функции на различных стадиях создания, развития и эксплуатации АС и системы защиты информации; для снижения затрат на создание системы защиты и упрощения категорирования и аттестации подсистем АС ОРГАНИЗАЦИИ рассмотреть возможность внесения изменений в конфигурацию сетей и СВТ, технологии обработки, передачи и хранения (архивирования) информации (с целью максимального разделения подсистем АС ОРГАНИЗАЦИИ, в которых обрабатывается информация различных категорий конфиденциальности); определить порядок приобретения и использования сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации; образцов технических средств, прошедших специальные исследования, в соответствии с требованиями предписания на эксплуатацию, а также сертифицированных средств защиты информации; уточнить (в том числе на основе апробации) конкретные требования к СЗИ, включаемые в ТЗ на разработку СЗИ АС ОРГАНИЗАЦИИ; определить возможность использования в АС ОРГАНИЗАЦИИ имеющихся сертифицированных средств защиты информации; произвести закупку сертифицированных образцов и серийно выпускаемых технических и программных средств защиты информации («Secret Net» и т.п.) и их внедрение на рабочих станциях и файловых серверах сети с целью контроля за изменением конфигурации аппаратных и программных средств и действиями пользователей; произвести разработку и последующую сертификацию программных средств защиты информации в случае, когда на рынке отсутствуют требуемые программные средства; для обеспечения режима удаленного доступа пользователей по сети ОРГАНИЗАЦИИ к информации конфиденциальных баз данных рассмотреть возможность разработки, сертификации и аттестации специальных криптографических средств. В их состав должны входить: сетевой криптошлюз, защищенные абонентские пункты доступа через криптошлюз, центр генерации и распространения ключей. На уровне прикладных программ необходимо разработать средства, обеспечивающие возможность доступа к конфиденциальным данным только с защищенных абонентских пунктов; определить степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер его взаимодействия между собой и с подразделениями по защите информации; произвести разработку и реализацию разрешительной системы доступа пользователей и эксплуатационного персонала АС ОРГАНИЗАЦИИ или иного объекта информатизации к обрабатываемой информации, оформляемой в виде раздела «Положения о разрешительной системе допуска исполнителей к документам и сведениям»; произвести разработку организационно-распорядительной и рабочей документации по эксплуатации объекта информатизации в защищенном исполнении, а также средств и мер защиты информации в АС ОРГАНИЗАЦИИ (План защиты, Инструкции, обязанности и т.п.), регламентирующих процессы допуска пользователей к работе с АС ОРГАНИЗАЦИИ, разработки, приобретения и использования программного обеспечения на рабочих станциях и серверах, порядок внесения изменений в конфигурацию аппаратных и программных средств при ремонте, развитии и обслуживании СВТ, порядок применения и администрирования средств защиты информации и т.п.; для снижения риска перехвата в сети с других рабочих станций имен и паролей привилегированных пользователей (в особенности администраторов средств защиты и баз данных) организовать их работу в отдельных сегментах сети, шире применять сетевые устройства типа switch, не использовать удаленных режимов конфигурирования сетевых устройств (маршрутизаторов, концентраторов и т.п.); исключить доступ программистов в эксплуатируемые подсистемы АС ОРГАНИЗАЦИИ (к реальной информации и базам данных), организовать опытный участок АС для разработки и отладки программ. Передачу разработанных программ в эксплуатацию производить через архив эталонов программ (фонд алгоритмов и программ) подразделения, ответственного за эксплуатацию ПО; для защиты компонентов ЛВС органов ОРГАНИЗАЦИИ от неправомерных воздействий из других ЛВС ОРГАНИЗАЦИИ и внешних сетей по IP - протоколу целесообразно использовать на узлах корпоративной сети ОРГАНИЗАЦИИ сертифицированные установленным порядком межсетевые экраны; произвести опытную эксплуатацию средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объектов информатизации и отработки технологических процессов обработки (передачи) информации; произвести специальную проверку импортных технических средств на предмет возможно внедренных в эти средства электронных устройств перехвата информации («закладок»); произвести специальную проверку выделенных помещений на предмет обнаружения возможно внедренных в эти помещения или предметы интерьера электронных устройств перехвата информации («закладок»); произвести обследование объекта информатизации и специальные исследования технических средств; произвести конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возможных технических каналов утечки информации (в случае необходимости); произвести развязку цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал; произвести развязку линий связи и других цепей между выходящими за пределы контролируемой зоны и находящимися внутри нее; произвести необходимую звуко- и виброизоляцию выделенных помещений; произвести категорирование помещений, в которых проводятся обсуждения или ведутся переговоры по секретным вопросам (выделенных помещений); произвести категорирование ОТСС, предназначенных для обработки, передачи и хранения конфиденциальной информации; произвести классификацию защищенности автоматизированных систем от несанкционированного доступа (НСД) к информации, предназначенных для обработки конфиденциальной информации; произвести оформление технического паспорта объекта информатизации (АС ОРГАНИЗАЦИИ); произвести аттестацию объекта информатизации по требованиям защиты информации; организовать охрану и физическую защиту объекта информатизации и отдельных технических средств, исключающих НСД к техническим средствам, их хищение и нарушение работоспособности; организовать контроль состояния и эффективности защиты информации с оценкой выполнения требований нормативных документов организационно-технического характера, обоснованности принятых мер, проверки выполнения норм эффективности защиты информации по действующим методикам с применением поверенной контрольно-измерительной аппаратуры и сертифицированных программных средств контроля. для контроля за состоянием защиты, выявлением слабых мест (уязвимостей) в системе защиты серверов и рабочих станций и принятия своевременных мер по их устранению (перекрытию возможности их использования злоумышленниками) необходимо использовать специальные программы оценки защищенности (сканеры, например Internet Security Scanner фирмы ISS); для контроля за правильностью настроек администраторами средств защиты на серверах под управлением ОС UNIX (SINIX) целесообразно использовать System Security Scanner (фирмы ISS). Приложение 1 ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ, РЕГЛАМЕНТИРУЮЩИХ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ Конституция Российской Федерации; Гражданский Кодекс Российской Федерации; Уголовный Кодекс Российской Федерации; Кодекс Российской Федерации об административных правонарушениях; Декларация прав и свобод человека и гражданина Российской Федерации; Законы Российской Федерации: «Об информации, информатизации и защите информации» от 20 февраля 1995 г. № 24‑ФЗ; «О безопасности» от 5 марта 1992 г. № 2446‑1; «О связи» от 16 февраля 1995 г. № 15‑ФЗ; «О государственной тайне» от 21 июля 1993 г. № 5485‑1; «О защите прав потребителей» от 7 февраля 1992 г. № 2300‑1; «Об участии в международном информационном обмене» от 4 июля 1996 г. № 85‑ФЗ; «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128‑ФЗ; «Об электронной цифровой подписи» от 10 января 2002 г. № 1‑ФЗ; «О техническом регулировании» от 27 декабря 2002 г. № 184‑ФЗ; «О коммерческой тайне» от 29 июля 2004 г. № 98‑ФЗ; Указы Президента Российской Федерации: «Об основах государственной политики в сфере информатизации» от 20 января 1994 г. № 170; «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3 апреля 1995 г. № 334; «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 9 января 1996 г. № 21; «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188; «Об утверждении концепции национальной безопасности Российской Федерации» от 17 декабря 1997 г. № 1300; «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» от 12 мая 2004 г. № 611; Постановления Правительства Российской Федерации: «О перечне сведений, которые не могут составлять коммерческую тайну» от 5 декабря 1991 г. № 35; «Об утверждении Положения о выпуске и обращении ценных бумаг и фондовых биржах в РСФСР» от 28 декабря 1991 г. № 78; «Об утверждении Перечня территорий Российской Федерации с регламентированным посещением для иностранных граждан» от 4 июля 1992 г. № 470; «О порядке приема и передвижении иностранных граждан в Российской Федерации» от 14 октября 1992 г. № 790; «Об утверждении Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» от 15 сентября 1993 г. № 912‑51; «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» от 3 ноября 1994 г. № 1233; «О лицензировании деятельности предприятий, учреждений и организации по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» от 15 апреля 1995 г. № 333; «О сертификации средств защиты информации» от 26 июня 1995 г. № 608; «Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и перечня видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности» от 1 июля 1996 г. № 770; «О лицензировании отдельных видов деятельности» от 11 февраля 2002 г. № 135; «О лицензировании деятельности по технической защите конфиденциальной информации» от 30 апреля 2002 г. № 290; «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» от 27 мая 2002 г. № 348; «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» от 23 сентября 2002 г. № 691; Решения Гостехкомиссии России: «Основы концепции защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам» от 16 ноября 1993 г. № 6; «О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от ее утечки по техническим каналам на объекте» от 3 октября 1995 г. № 42; Совместные решения Гостехкомиссии России и ФАПСИ: «Положение о государственном лицензировании деятельности в области защиты информации» от 24 апреля 1994 г. № 10 с дополнениями и изменениями, внесенными решением Гостехкомиссии России и ФАПСИ от 24 июня 1997 г. № 60; «Система сертификации средств криптографической защиты информации» (N РОСС RU.0001.03001); Специальные нормативные документы Гостехкомиссии России: «Концепция защиты информации в системах ее обработки» (утверждена председателем Гостехкомиссии России 1992 г.); «Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 30 марта 1992 г.); «Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения» (решение Председателя Гостехкомиссии России от 30 марта 1992 г.); «Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники» (решение Председателя Гостехкомиссии России от 30 марта 1992 г.); «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 30 марта 1992 г.); «Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации» (решение Председателя Гостехкомиссии России от 30 марта 1992 г.); «Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 25 июля 1997 г.); «Руководящий документ. Защита информации. Специальные защитные знаки. Классификация и общие требования» (решение Председателя Гостехкомиссии России от 25 июля 1997 г.); «Руководящий документ. Средства защиты информации. Специальные и общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам» (Гостехкомиссия России 1998 г.); «Руководящий документ. Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов» «Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (приказ Председателя Гостехкомиссии России от 4 июня 1999 г. № 114); «Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий (Часть 1, Часть 2, Часть 3)» (приказ Председателя Гостехкомиссии России от 19 июня 2002 г. № 187); «Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности» (Гостехкомиссия России 2003 г.); «Руководящий документ. Безопасность информационных технологий. Руководство по регистрации профилей защиты» (Гостехкомиссия России 2003 г.); «Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты» (Гостехкомиссия России 2003 г.); «Руководство по разработке профилей защиты и заданий по безопасности» (Гостехкомиссия России 2003 г.); «Положение о сертификации средств защиты информации по требованиям безопасности информации» (приказ председателя Гостехкомиссии России от 27 октября 1995 г. № 199); «Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям по безопасности информации» (утверждено председателем Гостехкомиссии России 25 ноября 1994 г.); «Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)» (одобрены решением Гостехкомиссии России от 14 марта 1995 г. № 32); «Положение по аттестации объектов информатизации по требованиям безопасности информации» (утверждено председателем Гостехкомиссии России 25 ноября 1994 г.); «Перечень средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности информации» (N РОСС RU.0001.01БИ00); «Перечень объектов информатизации, подлежащих аттестации в системе сертификации средств защиты информации по требованиям безопасности информации» (N РОСС RU.0001.01БИ00); «Государственный реестр сертифицированных средств защиты информации»; «Основы концепции защиты информации от иностранных технических разведок и от ее утечки по техническим каналам» (одобрены решением Гостехкомиссии России от 16 ноября 1993 г. № 6); «Специальные требования и рекомендации по технической защите конфиденциальной информации» (приказ председателя Гостехкомиссии России от 30 августа 2002 г. № 282); Документы по созданию автоматизированных систем и систем защиты информации: «Информационная безопасность и защита информации. Сборник терминов и определений» (Гостехкомиссия России 2001 г.); ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на АС. Техническое задание на создание АС»; РД. 50-34.698-90. «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на АС. АС. Требования к содержанию документов»; ГОСТ 24.202-80 «Система технической документации на АСУ»; Требования к содержанию документа «Технико-экономическое обоснование создания АСУ»; ГОСТ 6.38-90 «Система организационно-распорядительной документации. Требования к оформлению документов»; ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники»; ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство»; ЕСКД. «Эксплуатационная и ремонтная документация»; ГОСТ 34.201-89. «Информационная технология. Комплекс стандартов на АС. Виды, комплектность и обозначение документов при создании АС»; ГОСТ 28195-89. «Оценка качества программных средств. Общие положения»; ГОСТ 28806-90. «Качество программных средств. Термины и определения»; ГОСТ Р ИСО/МЭК 9126-93. «Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению»; ГОСТ 2.111-68. «Нормоконтроль»; ГОСТ РВ 50170-92. «Противодействие ИТР. Термины и определения»; ГОСТ Р 51275-99. «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»; ГОСТ Р ИСО 7498-1-99. «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель»; ГОСТ Р ИСО 7498-2-99. «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации»; ГОСТ Р ИСО/МЭК 15408-1-2002. «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Ведение и общая модель»; ГОСТ Р ИСО/МЭК 15408-2-2002. «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»; ГОСТ Р ИСО/МЭК 15408-3-2002. «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности»; Стандарты по защите от НСД к информации: ГОСТ Р 50922-96. «Защита информации. Основные термины и определения»; ГОСТ Р 50739-95. «Средства вычислительной техники. Защита от НСД к информации. ОТТ»; ГОСТ ВД 16325-88. «Машины вычислительные электронные цифровые общего назначения. ОТТ. Дополнения». Стандарты по криптографической защите и ЭЦП: ГОСТ 28147-89. «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»; ГОСТ Р 34.10-94. «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»; ГОСТ Р 34.11-94. «Функция хеширования». Стандарты, применяемые при оценке качества объектов информатизации: ГОСТ 40.9001-88. «Системы качества. Модель обеспечения качества при проектировании и(или) разработке, производстве, монтаже и обслуживании»; ГОСТ 40.9003-88. «Системы качества. Модель для обеспечения качества при окончательном контроле и испытаниях»; «Порядок проведения Госстандартом России государственного контроля и надзора за соблюдением обязательных требований государственных стандартов, правил обязательной сертификации и за сертифицированной продукцией (работами, услугами)» от 30 декабря 1993 г. № 239; ГОСТ 28906-91. «Системы обработки информации. Взаимосвязь открытых систем. Базовая ЭТАЛОННАЯ модель»; ГОСТ 16504-81. «Испытания и контроль качества продукции»; ГОСТ 28195-89. «Оценка качества программных изделий. Общие положения». Нормативные документы, регламентирующие сохранность информации на объекте информатизации: «Об использовании в качестве доказательств по арбитражным делам документов, подготовленных с помощью электронно-вычислительной техники» (Инструктивные указания Государственного Арбитража СССР от 29 июня 1979 г. № И-1-4); «Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике» Раздел IV. Могут ли подтверждаться обстоятельства дела доказательствами, изготовленными и подписанными с помощью средств электронно-вычислительной техники, в которых использована система цифровой (электронной) подписи? (Письмо Высшего Арбитражного суда Российской Федерации от 19 августа 1994 г. № C1-7/ОП-587 в редакции от 12сентября 1996 г.); «О Федеральном законе «Об информации, информатизации и защите информации»» (Письмо Высшего Арбитражного суда Российской Федерации от 07июня 1995 г. № C1-7/03-316). Стандарты ЕСПД, ЕСКД, СРПП: ЕСКД. «Эксплуатационная и ремонтная документация»; ГОСТ 34.603-92. «Виды испытаний АС»; ГОСТ 23773-88. Машины вычислительные электронные цифровые общего назначения. Методы испытаний»; ГОСТ 27201-87. «Машины вычислительные электронные персональные. Типы, основные параметры, ОТТ»; ГОСТ 21964-76. «Внешние воздействующие факторы. Номенклатура и характеристики»; ГОСТ В 15.210-78. «Испытания опытных образцов изделий. Основные положения»; ГОСТ В 15.211-78. «СРПП ВТ. Порядок разработки программ и методик испытаний опытных образцов изделий»; ГОСТ В 15.110-81. «Документация отчетная научно - техническая на НИР и ОКР. Основные положения»; ГОСТ Р 34.951-92. «Информационная технология. Взаимосвязь открытых систем. Услуги сетевого уровня»; Стандарты в области терминов и определений: ГОСТ 34.003-90. «Информационная технология. Комплекс стандартов на АС. Термины и определения»; ГОСТ Р В 50170-92. «Противодействие ИТР. Термины и определения» ГОСТ 15971-90. «СОИ. Термины и определения»; ГОСТ 22348-77. «Единые автоматизированные системы связи. Термины и определения»; ГОСТ 29099-91. «Сети вычислительные локальные. Термины и определения»; ГОСТ 28806-90. «Качество программных средств. Термины и определения». Приложение 2 |