(Действующий) Руководящий документ "Временное положение по организации разработки,...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
устанавливается наличие или отсутствие секретной информации в АС, подлежащей разработке, оценивается ее степень секретности и объемы;
определяются режим обработки секретной информации, класс АС, комплекс основных технических СВТ, общесистемные программные средства, предполагаемые к использованию в разрабатываемой АС;
оценивается возможность использования типовых или разрабатываемых централизованно и выпускаемых серийно средств защиты информации;
определяются степень участия персонала ВЦ, функциональных и производственных служб, научных и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и с подразделениями режимно-секретной службы;
определяются мероприятия по обеспечению режима секретности на стадии разработки секретных задач.
7.15. На основании результатов предпроектного обследования разрабатываются аналитическое обоснование создания СЗСИ и раздел ТЗ на ее отработку.
7.16. На стадии разработки проектов СЗСИ заказчик контролирует ее разработку.
7.17. На стадиях технического и рабочего проектирования разработчик системной части СЗСИ обязан:
уточнить состав средств защиты в применяемых версиях ОС и ППП, описать порядок их настройки и эксплуатации, сформулировать требования к разработке функциональных задач и баз данных АС;
разработать или адаптировать программные и технические средства защиты, разработать организационные мероприятия по системной части СЗСИ;
разработать организационно-распорядительную и проектную документацию СЗСИ и рабочую документацию по эксплуатации средств и мер защиты;
осуществлять методическую помощь разработчикам функциональной части СЗСИ.
7.18. На стадиях технического и рабочего проектирования разработчик функциональной части СЗСИ обязан:
представить разработчику системной части СЗСИ необходимые исходные данные для проектирования;
при методической помощи разработчиков системной части СЗСИ предусмотреть при решении функциональных задач АС использование средств и мер защиты;
разработать проектную документацию по режимному обеспечению задачи АС и рабочие инструкции для эксплуатации функциональных задач АС, определяющие порядок работы персонала ВЦ и пользователей при обработке секретной информации с учетом функционирования СЗСИ;
обосновать количество лиц (и их квалификацию), необходимых для непосредственной эксплуатации (применения) разработанных средств (системы) защиты секретной информации;
определить порядок и условия использования стандартных штатных средств защиты обрабатываемой информации, включенных разработчиком в ОС, ППП и т.п.;
выполнить генерацию пакета прикладных программ в комплексе с выбранными стандартными средствами защиты.
7.19. Разработка, внедрение и эксплуатация СЗСИ АС осуществляется в отрасли или на отдельном предприятии в соответствии с требованиями следующей организационно-распорядительной и проектной документацией, учитывающей конкретные условия функционирования АС различного уровня и назначения:
- Положение о порядке организации и проведения в отрасли (на предприятии) работ по защите секретной информации в АС;
- Инструкция по защите секретной информации, обрабатываемой в АС отрасли (на предприятии или в подразделениях предприятия);
- раздел Положения о разрешительной системе допуска исполнителей к документам и сведениям на предприятии, определяющий особенности системы допуска в процессе разработки и функционирования АС;
приказы, указания, решения:
о создании соответствующих подразделений разработчиков, о формировании группы обследования, о создании экспертных комиссий;
о начале обработки на объекте ЭВТ информации определенной степени секретности;
о назначении лиц, ответственных за эксплуатацию вычислительной системы, баз данных СЗСИ;
о назначении уполномоченных службы безопасности и т.д.;
- проектная документация различных стадий создания СЗСИ.
7.20. Разработка, внедрение и эксплуатация СЗСИ в АС производится установленным порядком в соответствии с требованиями ГОСТ 34.201-89, ГОСТ 34.602-89, ГОСТ 34.601-90, РД 50-680-88, РД 50-682-89, РД 50-34.698-90 и других документов.
7.21. Модернизация АС должна рассматриваться как самостоятельная разработка самой АС и СЗСИ для нее. Организация работ при этом должна соответствовать содержанию настоящего раздела.

8. Порядок приемки СЗСИ перед сдачей в эксплуатацию в составе АС

8.1. На стадии ввода в действие КСЗ осуществляются:
предварительные испытания средств защиты;
опытная эксплуатация средств защиты и функциональных задач АС в условиях их работы;
приемочные испытания средств защиты;
приемочные испытания СЗСИ в составе автоматизированной системы комиссией соответствующего ранга.
8.2. Предварительные испытания средств защиты проводит разработчик этих средств совместно с заказчиком и с привлечением специалистов отраслевых органов безопасности информации в целях проверки отдельных средств по ГОСТ 21552-84, ГОСТ 16325-88 и ГОСТ 23773-88, соответствия технической документации требованиям ТЗ, выработки рекомендаций по их доработке и определения порядка и сроков проведения опытной эксплуатации.
8.3. Допускается проведение опытной эксплуатации средств защиты до эксплуатации функциональных задач АС или параллельно с ней. Опытную эксплуатацию осуществляет заказчик с участием разработчика в соответствии с программой в целях проверки работоспособности средств защиты на реальных данных и отработки технологического процесса. На этапе опытной эксплуатации допускается обработка информации, имеющей гриф "Секретно" и "Совершенно секретно".
Для информации, имеющей гриф "Особой важности", возможность обработки на этапе опытной эксплуатации определяют совместно заказчик, разработчик и отраслевой орган безопасности информации.
Опытная эксплуатация функциональных задач АС должна включать проверку их функционирования в условиях работы средств защиты.
8.4. При положительных результатах опытной эксплуатации все программные, технические средства, организационная документация сдаются заказчику по акту.
Приемка технических средств защиты в эксплуатацию заключается в проверке их характеристик и функционирования в конкретных условиях, а программных средств защиты - в решении контрольного примера (теста), наиболее приближенного к конкретным условиям функционирования АС, с запланированными попытками обхода систем защиты. Контрольный пример готовят разработчики совместно с заказчиком.
8.5. Приемочные испытания СЗСИ проводятся в составе автоматизированной системы, предъявляемой комиссии заказчика.
Ответственность за организацию работ при вводе в действие СЗСИ, за функционирование средств защиты после приемочных испытаний несет заказчик.
8.6. Отчетные материалы по результатам приемочных испытаний СЗСИ оформляются в соответствии с ГОСТ 34.201-89 и РД 50-34.698-90 и направляются в орган по сертификации для оформления сертификата.
Виды документов на программные средства защиты определены ГОСТ 19.101-77, на технические средства - ГОСТ 2.102-68, а на эксплуатационные документы - ГОСТ 2.601-68.

9. Порядок эксплуатации программных и технических средств и систем защиты секретной информации от НСД

9.1. Обработка информации в АС должна производиться в соответствии с технологическим процессом обработки секретной информации, разработанным и утвержденным в порядке, установленном на предприятии для проектирования и эксплуатации АС.
9.2. Для эксплуатации СЗСИ - комплекса программно-технических средств и организационных мероприятий по их сопровождению, направленного на исключение несанкционированного доступа к обрабатываемой в АС информации, приказом руководителя предприятия (структурного подразделения) назначаются лица, осуществляющие: