(Действующий) Руководящий документ "Временное положение по организации разработки,...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
различные уровни оснащенности СВТ средствами защиты информации от НСД и способы оценки этих уровней (критерии защищенности);
порядок разработки защищенных СВТ; взаимодействие, права и обязанности заказчиков и разработчиков на стадиях заказа и разработки защищенных СВТ;
порядок приемки и сертификации защищенных СВТ; взаимодействие, права и обязанности заказчиков и разработчиков на стадиях приемки и сертификации защищенных СВТ;
разработку эксплуатационных документов и сертификатов.
3.4. К системе документации второго направления относятся документы (в том числе, ГОСТы, РД и требования), определяющие:
порядок организации и проведения разработки системы защиты секретной информации, взаимодействие, права и обязанности заказчика и разработчика АС в целом и СЗСИ в частности;
порядок разработки и заимствования программных и технических средств и систем защиты информации от НСД в процессе разработки СЗСИ;
порядок настройки защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД на конкретные условия функционирования АС;
порядок ввода в действие и приемки программных и технических средств и систем защиты информации от НСД в составе принимаемой АС;
порядок использования защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД, прошедших сертификационные испытания, в соответствии с классами и требованиями по защите в конкретных системах;
порядок эксплуатации указанных средств и систем;
разработку эксплуатационных документов и сертификатов;
порядок контроля защищенности АС;
ответственность должностных лиц и различных категорий исполнителей (пользователей) за выполнение установленного порядка разработки и эксплуатации АС в целом и СЗСИ в частности.
3.5. Состав документации, определяющей работу в этих направлениях, устанавливают Госстандарт Российской Федерации и Гостехкомиссия России.
3.6. Обязательным требованием к ТЗ на разработку СВТ и АС должно быть наличие раздела требований по защите от НСД, а в составе документации, сопровождающей выпуск СВТ и АС, должен обязательно присутствовать документ (сертификат), содержащий результаты анализа их защищенности от НСД.

4. Порядок разработки и изготовления защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД

4.1. При разработке и изготовлении защищенных СВТ, в том числе программных и технических средств и систем защиты необходимо руководствоваться существующей системой разработки и постановки продукции на производство, определенной ГОСТ 21552-84 и ВД к нему, ГОСТ 16325-88 и ВД к нему, ГОСТ 15.001-88, ГОСТ 23773-88, ГОСТ 34.201-89, ГОСТ 34.602-89, РД 50-601-10-89, РД 50-601-11-89, РД 50-601-12-89 и другими документами.
4.2. Разработку защищенных СВТ общего назначения, в том числе их общесистемного программного обеспечения, осуществляют предприятия-производители СВТ по государственному заказу в соответствии с ТЗ, согласованным с Гостехкомиссией России (в случае встроенных криптографических средств и систем с Главным шифрорганом страны и предприятием-разработчиком этих средств и систем).
4.3. Разработку защищенных СВТ специального назначения, в том числе их программного обеспечения (общесистемного и прикладного), осуществляют предприятия-производители СВТ по государственному заказу в соответствии с ТЗ, согласованным с Гостехкомиссией России (в случае встроенных криптографических средств и систем - Главным шифрорганом страны и предприятием-разработчиком этих средств и систем) и утвержденным заказчиком СВТ специального назначения.
4.4. Порядок разработки защищенных программных средств на базе общесистемного программного обеспечения, находящегося в эксплуатации.
4.4.1. Разработка защищенных программных средств на базе общесистемного программного обеспечения (ОС, СУБД, сетевые программные средства), находящегося в эксплуатации или поставляемого вместе с незащищенными СВТ предприятиями-изготовителями этих СВТ или Государственным фондом алгоритмов и программ (ГосФАП), может осуществляться по заказу для государственных нужд в соответствии с ТЗ, согласованным с разработчиком соответствующих общесистемных программных средств, с Гостехкомиссией России в пределах ее компетенции и утвержденным заказчиком этих программных средств.
4.4.2. Предприятие-разработчик общесистемного программного средства обязано в этом случае предоставить предприятию-разработчику защищенного программного средства всю необходимую документацию и оказывать консультации при разработке.
4.4.3. При необходимости, определяемой заказчиком работ, предприятие-разработчик общесистемного программного средства может быть соисполнителем разработки защищенного программного средства.
4.4.4. Разработку защищенных программных средств могут осуществлять также предприятия заинтересованных ведомств по отраслевому заказу. В этом случае ТЗ, отвечающее тем же требованиям, согласовывается головной организацией этой отрасли с Гостехкомиссией России в пределах ее компетенции и утверждается заказчиком защищенных программных средств.
4.5. Порядок разработки защищенных программных средств на базе импортных общесистемных программных прототипов.
4.5.1. Разработку (адаптацию) защищенных программных средств на базе импортных общесистемных программных прототипов осуществляют по государственному или отраслевому заказу предприятия-разработчики соответствующих типов СВТ, специализированные организации и предприятия заинтересованных ведомств по согласованию с приобретающим ведомством и в соответствии с ТЗ, согласованным с Гостехкомиссией России в пределах ее компетенции и утвержденным заказчиком этих защищенных средств в зависимости от уровня заказа.
4.5.2. Предварительным этапом разработки защищенных программных средств на базе импортных общесистемных программных прототипов является снятие защиты от копирования и вскрытия механизма работы прототипа, а также проведение анализа защитных средств прототипа на предмет их соответствия требованиям ТЗ в целях использования задействованных средств защиты, их дополнения и модификации.
Проведение работ предварительного этапа может осуществляться по отдельному ТЗ.
4.6. Порядок разработки программных средств контроля защищенности разработанных защищенных СВТ, программных средств и систем защиты.
4.6.1. Все предприятия, осуществляющие разработку защищенных СВТ, в том числе программных средств и систем защиты, обязаны разрабатывать тестовые программные средства для контроля защищенности в процессе приемки и эксплуатации защищенных СВТ и программных средств.
4.6.2. Для создания программных средств контроля могут привлекаться в качестве соисполнителей специализированные организации, имеющие на то лицензию Гостехкомиссии России, функциональной направленностью которых является "вскрытие" механизмов защиты общесистемных программных средств.
4.6.3. Создание программных средств контроля может осуществляться как по общему с разработкой защищенных средств ТЗ, так и по частному ТЗ, порядок согласования и утверждения которого аналогичен изложенному в п. 4.5.1.
4.7. Порядок разработки технических средств защиты информации от НСД.
4.7.1. Разработка технических средств защиты информации от НСД для использования в государственных структурах может производиться по государственному или отраслевому заказу.
4.7.2. Разработка технических средств защиты информации от НСД производится совместно с программными средствами, обеспечивающими их работоспособность в составе защищенных СВТ.
Кроме того, технические средства могут поддерживать защищенность общесистемных программных средств в целях безопасности информации.
4.7.3. Разработку технических средств защиты информации от НСД осуществляют как предприятия-разработчики защищенных СВТ, так и компетентные предприятия заинтересованных ведомств по ТЗ, порядок согласования и утверждения которого аналогичен изложенному в п. 4.5.1.

5. Порядок приемки и сертификации защищенных СВТ общего и специального назначения, в том числе программных и технических средств и систем защиты информации от НСД

5.1. Исследования (проверки, испытания) и приемка защищенных СВТ общего и специального назначения, в том числе программных и технических средств и систем защиты информации от НСД производится установленным порядком в соответствии с ГОСТ В15.307-77, ГОСТ В15.210-78, ГОСТ 23773-88 и НТД по безопасности информации.
5.2. Сертификационные испытания защищенных СВТ общего и специального назначения, в том числе программных и технических средств и систем защиты информации от НСД проводят государственные и отраслевые сертификационные центры.
5.3. Право на проведение сертификационных испытаний защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД предоставляется Гостехкомиссией России по согласованию с Госстандартом России и в случае использования криптографических средств и систем защиты с Главным шифрорганом страны, предприятиям-разработчикам защищенных СВТ, специализированным организациям ведомств, разрабатывающих защищенные СВТ, в том числе программные и технические средства и системы защиты информации от НСД.
5.4. В соответствии с Положением о сертификации средств и систем вычислительной техники и связи по требованиям защиты информации (в дальнейшем: Положение о сертификации) по результатам сертификационных испытаний оформляется акт, а разработчику выдается сертификат, заверенный Гостехкомиссией России и дающий право на использование и распространение этих средств как защищенных.
5.5. Средства, получившие сертификат, включаются в номенклатуру защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД.
Обработка секретной информации разрешается только с использованием сертифицированных средств и систем защиты.
5.6. Разработанные программные средства после их приемки представляются для регистрации в специализированный фонд Государственного фонда алгоритмов и программ.

6. Порядок разработки, сертификации, внедрения и эксплуатации средств криптографической защиты информации от несанкционированного доступа

6.1. Данный раздел определяет взаимодействие сторон и порядок проведения работ при создании, сертификации и эксплуатации средств криптографической защиты информации (СКЗИ) от несанкционированного доступа на государственных предприятиях, в ведомствах.
Действие данного раздела распространяется на программные, технические и программно-технические средства в составе СВТ и АС, применяемые для криптографической защиты от НСД к информации, обрабатываемой, хранимой, накапливаемой и передаваемой в вычислительных системах, построенных на базе отдельных ЭВМ, комплексов ЭВМ и локальных вычислительных сетей, расположенных в пределах одной контролируемой зоны.
Разрешается применение положений данного раздела также в случае нескольких контролируемых зон при условии, что для связи между ними используются защищенные с помощью аппаратуры ЗАС или СКЗИ каналы, по которым в соответствии с действующими нормативными документами разрешена передача секретной информации соответствующего грифа (см. п. 6.15 данного раздела).