Специальные требования СТР-К. Решение Коллегии Гостехкомиссии России 202. 03. 01г. Утверждено 30. 08. 2002 приказом Председателя Гостехкомиссии России 282

Разработка и внедрение СЗИ осуществляется во взаимодействии разработчика со службой безопасности предприятия- заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.
3.5. Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом на предприятии "Руководстве по защите информации" или в специальном "Положении о порядке организации и проведения работ по защите информации" и должна предусматривать:

порядок определения защищаемой информации;

порядок привлечения подразделений предприятия, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;

порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;

порядок разработки, ввода в действие и эксплуатацию объектов информатизации;

ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.
3.6. В учреждении (на предприятии) должен быть документально оформлен перечень сведений конфиденциального характера (приложение № 6), подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.
3.7. Устанавливаются следующие стадии создания системы защиты информации:

предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;

стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку
СЗИ в составе объекта информатизации;

стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.
3.8. На предпроектной стадии по обследованию объекта информатизации:

устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;

определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;

определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;

определяются условия расположения объектов информатизации относительно границ КЗ;

определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;

определяются режимы обработки информации в АС в целом и в отдельных компонентах;

определяется класс защищенности АС;

определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;

определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.
3.9. По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.
На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации, в т.ч. настоящего документа, с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.
3.10. Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера.
Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя.
3.11. Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия.
Ознакомление специалистов этого предприятия с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.
3.12. Аналитическое обоснование необходимости создания СЗИ должно содержать:


информационную характеристику и организационную структуру объекта информатизации;

характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;

возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

перечень предлагаемых к использованию сертифицированных средств защиты информации;

обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;

оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;

ориентировочные сроки разработки и внедрения СЗИ;

перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.
Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика.
3.13. Техническое (частное техническое) задание на разработку СЗИ должно содержать:

обоснование разработки;

исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;

класс защищенности АС;

ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в экс- плуатацию объект информатизации;

конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и ус- тановленного класса защищенности АС;

перечень предполагаемых к использованию сертифицированных средств защиты информации;

обоснование проведения разработок собственных средств защиты информации, невозможности или не- целесообразности использования имеющихся на рынке сертифицированных средств защиты информации;

состав, содержание и сроки проведения работ по этапам разработки и внедрения;

перечень подрядных организаций-исполнителей видов работ;

перечень предъявляемой заказчику научно-технической продукции и документации.
3.14. Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согласовывается со службой безопасности предприятия-заказчика, подрядными организациями и утверждается заказчиком.
3.15. В целях дифференцированного подхода к защите информации производится классификация АС по требованиям защищенности от НСД к информации.
Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа (РД)
Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации" и раздела 5 настоящего документа и оформляется актом.
Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.
3.16. На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку
СЗИ;

разработка раздела технического проекта на объект информатизации в части защиты информации;

строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;

разработка организационно-технических мероприятий по защите информации в соответствии с предъяв- ляемыми требованиями;

закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;

закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;

разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;

организация охраны и физической защиты помещений объекта информатизации, исключающих несанк- ционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;


определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;

выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;

разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.
3.17. Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.
Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.
3.18. На стадии проектирования и создания объекта информатизации оформляются также технический (техно- рабочий) проект и эксплуатационная документация СЗИ, состоящие из:

пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим
(в том числе криптографическим) средствам обеспечения безопасности информации, состава средств защиты информации с указанием их соответствия требованиям ТЗ;

описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;

плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;

технического паспорта объекта информатизации (форма технического паспорта на АС приведена в приложении
№ 5);

инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для работников службы защиты информации .
3.19. На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

аттестация объекта информатизации по требованиям безопасности информации.
3.20. На этой стадии оформляются:

акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;

предъявительский акт к проведению аттестационных испытаний;

заключение по результатам аттестационных испытаний.
При положительных результатах аттестации на объект информатизации оформляется "Аттестат соответствия" требованиям по безопасности информации (форма "Аттестата соответствия" для АС приведена в приложении № 2, для ЗП в приложении № 3)
3.21. Кроме вышеуказанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:

о проектировании объекта информатизации, создании соответствующих подразделений разработки и на- значении ответственных исполнителей;

о формировании группы обследования и назначении ее руководителя;

о заключении соответствующих договоров на проведение работ;

о назначении лиц, ответственных за эксплуатацию объекта информатизации;

о начале обработки в АС (обсуждения в защищаемом помещении) конфиденциальной информации.
3.22. Для объектов информатизации, находящихся в эксплуатации до введения в действие настоящего документа, может быть предусмотрен по решению их заказчика (владельца) упрощенный вариант их доработки (модернизации), переоформления организационно-распорядительной, технологической и эксплуатационной документации.
Программа аттестационных испытаний такого рода объектов информатизации определяется аттестационной комиссией.
Необходимым условием является их соответствие действующим требованиям по защите информации.
3.23. Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно- распорядительной и эксплуатационной документацией, с учетом требований и положений, изложенных в разделах 4-6 настоящего документа.
3.24. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке:

соблюдения нормативных и методических документов Гостехкомиссии России;

работоспособности применяемых средств защиты информации в соответствии с их эксплутационной до- кументацией;

знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.
3.25. Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.
3.26. При необходимости по решению руководителя предприятия в ЗП и в местах размещения средств обработки информации могут проводиться работы по обнаружению и изъятию "закладок", предназначенных для скрытого перехвата защищаемой информации.
3.27. Такие работы могут проводиться организациями, имеющими соответствующие лицензии ФАПСИ или ФСБ
России на данный вид деятельности.