Действующий
Организационные мероприятия по предупреждению утечки и защите информации, являющиеся составной частью решения проблемы защиты информации от НСД, базируются на требованиях указанной инструкции, дополняют программные и технические средства и системы и в этой части являются предметом рассмотрения настоящего Временного положения.
1.4. Временное положение обязательно для выполнения всеми органами государственного управления, государственными предприятиями, воинскими частями, другими учреждениями, организациями и предприятиями (независимо от форм собственности), обладающими государственными секретами, и предназначено для заказчиков, разработчиков и пользователей защищенных СВТ, автоматизированных систем, функционирующих с использованием информации различной степени секретности.
1.5. Разрабатываемые и эксплуатируемые программные и технические средства и системы защиты информации от НСД должны являться неотъемлемой составной частью защищенных СВТ, автоматизированных систем, обрабатывающих информацию различной степени секретности.
1.6. При разработке средств и систем защиты в АС и СВТ необходимо руководствоваться требованиями следующих руководящих документов:
настоящее Временное положение;
2. Организационная структура, порядок проведения работ по защите информации от НСД и взаимодействия на государственном уровне
2.1. Заказчиком защищенных СВТ является заказчик соответствующей АС, проектируемой на базе этих СВТ.
Заказчик защищенных СВТ финансирует их разработку или принимает долевое участие в финансировании разработок СВТ общего назначения в части реализации своих требований.
2.2. Заказчиком программных и технических средств защиты информации от НСД может являться государственное учреждение или коллективное предприятие независимо от формы собственности.
2.3. Постановку задач по комплексной
*(2) защите информации, обрабатываемой автоматизированными системами, а также контроль за состоянием и развитием этого направления работ осуществляет Гостехкомиссия России.
2.4. Разработчиками защищенных СВТ общего и специального назначения, в том числе их общесистемного программного обеспечения, являются государственные предприятия - производители СВТ, а также другие организации, имеющие лицензию на проведение деятельности в области защиты информации.
2.5. Разработчиками программных и технических средств и систем защиты информации от НСД могут быть предприятия, имеющие лицензию на проведение указанной деятельности.
2.6. Проведение научно-исследовательских и опытно-конструкторских работ в области защиты секретной информации от НСД, создание защищенных СВТ общего назначения осуществляется по государственному заказу по представлению заинтересованных ведомств, согласованному с Гостехкомиссией России.
2.7. Организация и функционирование государственных и отраслевых сертификационных центров определяются Положением об этих центрах. На них возлагается проведение сертификационных испытаний программных и технических средств защиты информации от НСД. Перечень сертификационных центров утверждает Гостехкомиссия России.
3. Система государственных нормативных актов, стандартов, руководящих документов и требований по защите информации от НСД
3.1. Система государственных нормативных актов, стандартов, руководящих документов и требований по защите информации от НСД базируется на законах, определяющих вопросы защиты государственных секретов и информационного компьютерного права.
3.2. Система указанных документов определяет работу в двух направлениях:
первое - разработка СВТ общего и специального назначения, защищенных от утечки, искажения или уничтожения информации, программных и технических (в том числе криптографических) средств и систем защиты информации от НСД;
второе - разработка, внедрение и эксплуатация систем защиты АС различного уровня и назначения как на базе защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД, прошедших сертификационные испытания, так и на базе средств и систем собственной разработки.
3.3. К системе документации первого направления относятся документы (в том числе, ГОСТы, РД и требования), определяющие:
различные уровни оснащенности СВТ средствами защиты информации от НСД и способы оценки этих уровней (критерии защищенности);
порядок разработки защищенных СВТ; взаимодействие, права и обязанности заказчиков и разработчиков на стадиях заказа и разработки защищенных СВТ;
порядок приемки и сертификации защищенных СВТ; взаимодействие, права и обязанности заказчиков и разработчиков на стадиях приемки и сертификации защищенных СВТ;
разработку эксплуатационных документов и сертификатов.
3.4. К системе документации второго направления относятся документы (в том числе, ГОСТы, РД и требования), определяющие:
порядок организации и проведения разработки системы защиты секретной информации, взаимодействие, права и обязанности заказчика и разработчика АС в целом и СЗСИ в частности;
порядок разработки и заимствования программных и технических средств и систем защиты информации от НСД в процессе разработки СЗСИ;
порядок настройки защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД на конкретные условия функционирования АС;
порядок ввода в действие и приемки программных и технических средств и систем защиты информации от НСД в составе принимаемой АС;
порядок использования защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД, прошедших сертификационные испытания, в соответствии с классами и требованиями по защите в конкретных системах;
порядок эксплуатации указанных средств и систем;
разработку эксплуатационных документов и сертификатов;
порядок контроля защищенности АС;
ответственность должностных лиц и различных категорий исполнителей (пользователей) за выполнение установленного порядка разработки и эксплуатации АС в целом и СЗСИ в частности.
3.5. Состав документации, определяющей работу в этих направлениях, устанавливают Госстандарт Российской Федерации и Гостехкомиссия России.
3.6. Обязательным требованием к ТЗ на разработку СВТ и АС должно быть наличие раздела требований по защите от НСД, а в составе документации, сопровождающей выпуск СВТ и АС, должен обязательно присутствовать документ (сертификат), содержащий результаты анализа их защищенности от НСД.
4. Порядок разработки и изготовления защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД
4.1. При разработке и изготовлении защищенных СВТ, в том числе программных и технических средств и систем защиты необходимо руководствоваться существующей системой разработки и постановки продукции на производство, определенной ГОСТ 21552-84 и ВД к нему, ГОСТ 16325-88 и ВД к нему, ГОСТ 15.001-88, ГОСТ 23773-88,
ГОСТ 34.201-89,
ГОСТ 34.602-89, РД 50-601-10-89, РД 50-601-11-89, РД 50-601-12-89 и другими документами.
4.2. Разработку защищенных СВТ общего назначения, в том числе их общесистемного программного обеспечения, осуществляют предприятия-производители СВТ по государственному заказу в соответствии с ТЗ, согласованным с Гостехкомиссией России (в случае встроенных криптографических средств и систем с Главным шифрорганом страны и предприятием-разработчиком этих средств и систем).
4.3. Разработку защищенных СВТ специального назначения, в том числе их программного обеспечения (общесистемного и прикладного), осуществляют предприятия-производители СВТ по государственному заказу в соответствии с ТЗ, согласованным с Гостехкомиссией России (в случае встроенных криптографических средств и систем - Главным шифрорганом страны и предприятием-разработчиком этих средств и систем) и утвержденным заказчиком СВТ специального назначения.
4.4. Порядок разработки защищенных программных средств на базе общесистемного программного обеспечения, находящегося в эксплуатации.
4.4.1. Разработка защищенных программных средств на базе общесистемного программного обеспечения (ОС, СУБД, сетевые программные средства), находящегося в эксплуатации или поставляемого вместе с незащищенными СВТ предприятиями-изготовителями этих СВТ или Государственным фондом алгоритмов и программ (ГосФАП), может осуществляться по заказу для государственных нужд в соответствии с ТЗ, согласованным с разработчиком соответствующих общесистемных программных средств, с Гостехкомиссией России в пределах ее компетенции и утвержденным заказчиком этих программных средств.
4.4.2. Предприятие-разработчик общесистемного программного средства обязано в этом случае предоставить предприятию-разработчику защищенного программного средства всю необходимую документацию и оказывать консультации при разработке.
4.4.3. При необходимости, определяемой заказчиком работ, предприятие-разработчик общесистемного программного средства может быть соисполнителем разработки защищенного программного средства.
4.4.4. Разработку защищенных программных средств могут осуществлять также предприятия заинтересованных ведомств по отраслевому заказу. В этом случае ТЗ, отвечающее тем же требованиям, согласовывается головной организацией этой отрасли с Гостехкомиссией России в пределах ее компетенции и утверждается заказчиком защищенных программных средств.
4.5. Порядок разработки защищенных программных средств на базе импортных общесистемных программных прототипов.