7.9. Методическое руководство и участие в разработке требований по защите информации от НСД, аналитического обоснования необходимости создания режимного обеспечения АС, согласование выбора СВТ (в том числе общесистемного программного обеспечения), программных и технических средств и систем защиты, организацию работ по выявлению возможностей и предупреждению утечки секретной информации при ее автоматизированной обработке осуществляет СНТП предприятия.

В выработке требований по защите информации от НСД СНТП участвует совместно с заказчиком соответствующей АС, отраслевым органом обеспечения безопасности и военным представительством Министерства обороны в части вопросов, относящихся к его компетенции.

7.10. Общее руководство работами по обеспечению режима секретности при разработке АС осуществляет заместитель руководителя предприятия-разработчика по режиму.

Общее руководство работами по обеспечению режима секретности при эксплуатации АС осуществляет заместитель руководителя предприятия (организации), отвечающий за обеспечение режима секретности.

Организацию контроля эффективности средств и мер защиты информации разрабатывает предприятие и осуществляет руководитель, отвечающий на предприятии за организацию работ по защите информации.

7.11. При разработке СЗСИ необходимо максимально использовать имеющиеся или разрабатываемые типовые общесистемные компоненты, заимствуя программные и технические средства и системы защиты информации от НСД централизованной разработки, используя защищенные СВТ.

7.12. В рамках существующих стадий и этапов создания АС (ГОСТ 34.601-90) выполняются необходимые этапы работ по созданию СЗСИ.

7.13. В комплексе работ по созданию АС должны предусматриваться опережающая разработка и внедрение системной части СЗСИ.

7.14. На предпроектной стадии по обследованию объекта автоматизации группой обследования, назначенной приказом заказчика АС:

устанавливается наличие или отсутствие секретной информации в АС, подлежащей разработке, оценивается ее степень секретности и объемы;

определяются режим обработки секретной информации, класс АС, комплекс основных технических СВТ, общесистемные программные средства, предполагаемые к использованию в разрабатываемой АС;

оценивается возможность использования типовых или разрабатываемых централизованно и выпускаемых серийно средств защиты информации;

определяются степень участия персонала ВЦ, функциональных и производственных служб, научных и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и с подразделениями режимно-секретной службы;

определяются мероприятия по обеспечению режима секретности на стадии разработки секретных задач.

7.15. На основании результатов предпроектного обследования разрабатываются аналитическое обоснование создания СЗСИ и раздел ТЗ на ее отработку.

7.16. На стадии разработки проектов СЗСИ заказчик контролирует ее разработку.

7.17. На стадиях технического и рабочего проектирования разработчик системной части СЗСИ обязан:

уточнить состав средств защиты в применяемых версиях ОС и ППП, описать порядок их настройки и эксплуатации, сформулировать требования к разработке функциональных задач и баз данных АС;

разработать или адаптировать программные и технические средства защиты, разработать организационные мероприятия по системной части СЗСИ;

разработать организационно-распорядительную и проектную документацию СЗСИ и рабочую документацию по эксплуатации средств и мер защиты;

осуществлять методическую помощь разработчикам функциональной части СЗСИ.

7.18. На стадиях технического и рабочего проектирования разработчик функциональной части СЗСИ обязан:

представить разработчику системной части СЗСИ необходимые исходные данные для проектирования;

при методической помощи разработчиков системной части СЗСИ предусмотреть при решении функциональных задач АС использование средств и мер защиты;

разработать проектную документацию по режимному обеспечению задачи АС и рабочие инструкции для эксплуатации функциональных задач АС, определяющие порядок работы персонала ВЦ и пользователей при обработке секретной информации с учетом функционирования СЗСИ;

обосновать количество лиц (и их квалификацию), необходимых для непосредственной эксплуатации (применения) разработанных средств (системы) защиты секретной информации;

определить порядок и условия использования стандартных штатных средств защиты обрабатываемой информации, включенных разработчиком в ОС, ППП и т.п.;

выполнить генерацию пакета прикладных программ в комплексе с выбранными стандартными средствами защиты.

7.19. Разработка, внедрение и эксплуатация СЗСИ АС осуществляется в отрасли или на отдельном предприятии в соответствии с требованиями следующей организационно-распорядительной и проектной документацией, учитывающей конкретные условия функционирования АС различного уровня и назначения:

- Положение о порядке организации и проведения в отрасли (на предприятии) работ по защите секретной информации в АС;

- Инструкция по защите секретной информации, обрабатываемой в АС отрасли (на предприятии или в подразделениях предприятия);

- раздел Положения о разрешительной системе допуска исполнителей к документам и сведениям на предприятии, определяющий особенности системы допуска в процессе разработки и функционирования АС;

приказы, указания, решения:

о создании соответствующих подразделений разработчиков, о формировании группы обследования, о создании экспертных комиссий;

о начале обработки на объекте ЭВТ информации определенной степени секретности;

о назначении лиц, ответственных за эксплуатацию вычислительной системы, баз данных СЗСИ;

о назначении уполномоченных службы безопасности и т.д.;

- проектная документация различных стадий создания СЗСИ.

7.20. Разработка, внедрение и эксплуатация СЗСИ в АС производится установленным порядком в соответствии с требованиями ГОСТ 34.201-89, ГОСТ 34.602-89, ГОСТ 34.601-90, РД 50-680-88, РД 50-682-89, РД 50-34.698-90 и других документов.

7.21. Модернизация АС должна рассматриваться как самостоятельная разработка самой АС и СЗСИ для нее. Организация работ при этом должна соответствовать содержанию настоящего раздела.

8. Порядок приемки СЗСИ перед сдачей в эксплуатацию в составе АС

8.1. На стадии ввода в действие КСЗ осуществляются:

предварительные испытания средств защиты;

опытная эксплуатация средств защиты и функциональных задач АС в условиях их работы;

приемочные испытания средств защиты;

приемочные испытания СЗСИ в составе автоматизированной системы комиссией соответствующего ранга.

8.2. Предварительные испытания средств защиты проводит разработчик этих средств совместно с заказчиком и с привлечением специалистов отраслевых органов безопасности информации в целях проверки отдельных средств по ГОСТ 21552-84, ГОСТ 16325-88 и ГОСТ 23773-88, соответствия технической документации требованиям ТЗ, выработки рекомендаций по их доработке и определения порядка и сроков проведения опытной эксплуатации.

8.3. Допускается проведение опытной эксплуатации средств защиты до эксплуатации функциональных задач АС или параллельно с ней. Опытную эксплуатацию осуществляет заказчик с участием разработчика в соответствии с программой в целях проверки работоспособности средств защиты на реальных данных и отработки технологического процесса. На этапе опытной эксплуатации допускается обработка информации, имеющей гриф "Секретно" и "Совершенно секретно".

Для информации, имеющей гриф "Особой важности", возможность обработки на этапе опытной эксплуатации определяют совместно заказчик, разработчик и отраслевой орган безопасности информации.

Опытная эксплуатация функциональных задач АС должна включать проверку их функционирования в условиях работы средств защиты.