Купить систему ГАРАНТ Получить демо-доступ Узнать стоимость Информационный банк Подобрать комплект Семинары
  • ТЕКСТ ДОКУМЕНТА
  • АННОТАЦИЯ
  • ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ ДОП. ИНФОРМ.

Национальный стандарт РФ ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 28 января 2014 г. N 3-ст)

2 Нормативные ссылки

 

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения

ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем

ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания

ГОСТ 34.602-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы

ГОСТ 34.603-92 Информационная технология. Виды испытаний автоматизированных систем

ГОСТ 16504-81 Система государственных испытаний продукции. Испытания и контроль качества продукции. Основные термины и определения

ГОСТ Р 50922-2006 Защита информации. Основные термины и определения

ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения

ГОСТ Р ИСО/МЭК 15408-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

ГОСТ Р ИСО/МЭК 15408-2-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности

ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности

ГОСТ Р ИСО/МЭК ТО 15446-2008 Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности

ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

ГОСТ Р ИСО/МЭК 21827-2010 Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса

ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

 

В настоящем стандарте применены термины по ГОСТ Р 50922, ГОСТ Р 53114, ГОСТ 34.003, ГОСТ 16504, а также следующие термины с соответствующими определениями:

3.1 мероприятия по защите информации: Совокупность действий, направленных на разработку и/или практическое применение способов и средств защиты информации.

3.2 обработка информации: Выполнение любого действия (операции) или совокупности действий (операций) с информацией (например, сбор, накопление, ввод, вывод, прием, передача, запись, хранение, регистрация, преобразование, отображение и т.п.), совершаемых с заданной целью.

3.3 система защиты информации автоматизированной системы: Совокупность организационных мероприятий, технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации.

3.4 информационная система: Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

4 Обозначения и сокращения

 

В настоящем стандарте применены следующие сокращения:

AC - автоматизированная система;

АСЗИ - автоматизированная система в защищенном исполнении;

ЗИ - защита информации;

НИР - научно-исследовательская работа;

НСД - несанкционированный доступ;

ОКР - опытно-конструкторская работа;

ПС - программное средство;

СЗИ - средство защиты информации;

ТЗ - техническое задание;

ТТЗ - тактико-техническое задание;

ТС - техническое средство.

5 Общие положения

 

5.1 Для обработки информации, необходимость защиты которой определяется законодательством Российской Федерации или решением ее обладателя, должны создаваться АСЗИ, в которых реализованы в соответствии с действующими нормативными правовыми актами требования о ЗИ. Реализация требований о ЗИ в АСЗИ осуществляется системой ЗИ, являющейся неотъемлемой составной частью АСЗИ.

5.2 Целью создания системы ЗИ АСЗИ является обеспечение ЗИ от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, соблюдение конфиденциальности информации ограниченного доступа, реализация права на доступ к информации.

5.3 При создании (модернизации) АСЗИ необходимо руководствоваться следующими общими требованиями:

- система ЗИ АСЗИ должна обеспечивать комплексное решение задач по ЗИ от НСД, от утечки защищаемой информации по техническим каналам, от несанкционированных и непреднамеренных воздействий на информацию (на носители информации) применительно к конкретной АСЗИ. Состав решаемых задач по ЗИ определяется задачами обработки информации, решаемыми с использованием АСЗИ, ее программным и аппаратным составом, конфигурацией этой системы, условиями функционирования, требованиями, предъявляемыми к обрабатываемой информации, угрозами безопасности информации;

- система ЗИ АСЗИ должна разрабатываться (проектироваться) с учетом возможности реализации требований о защите обрабатываемой информации при использовании в АСЗИ методов и программно-аппаратных средств организации сетевого взаимодействия;

- система ЗИ АСЗИ должна создаваться с учетом обеспечения возможности формирования различных вариантов ее построения, а также расширения возможностей ее составных частей (сегментов) в зависимости от условий функционирования АСЗИ и требований о ЗИ;

- ЗИ должна обеспечиваться во всех составных частях (сегментах) АСЗИ, используемых в обработке защищаемой информации;

- входящие в состав АСЗИ средства ЗИ и контроля эффективности ЗИ не должны препятствовать нормальному функционированию АСЗИ;

- программное обеспечение системы ЗИ должно быть совместимым с программным обеспечением других составных частей (сегментов) АСЗИ и не должно снижать требуемый уровень защищенности информации в АСЗИ;

- программно-технические средства, используемые для построения системы ЗИ, должны быть совместимы между собой (корректно работать совместно) и не должны снижать уровень защищенности информации в АСЗИ.

ЗИ о создаваемой АСЗИ является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем.

5.4 Обеспечение ЗИ в АСЗИ достигается заданием, реализацией и контролем выполнения требований о защите информации:

- к процессу хранения, передачи и обработки защищаемой в АСЗИ информации;

- к системе ЗИ;

- к взаимодействию АСЗИ с другими АС;

- к условиям функционирования АСЗИ;

- к содержанию работ по созданию (модернизации) АСЗИ на различных стадиях и этапах ее создания (модернизации);

- к организациям (должностным лицам), участвующим в создании (модернизации) и эксплуатации АСЗИ;

- к документации на АСЗИ;

- к АСЗИ в целом.

5.5 АСЗИ должны создаваться в соответствии с ТЗ, являющимся основным документом, на основании которого выполняются работы, необходимые для создания (модернизации) АСЗИ в целом и ее системы ЗИ, и осуществляется приемка этих работ заказчиком.

5.6 Процесс создания АСЗИ должен представлять собой совокупность упорядоченных во времени, взаимосвязанных, объединенных в стадии и этапы работ, выполнение которых необходимо и достаточно для создания АСЗИ, соответствующей заданным к ней требованиям.

5.7 В работах по созданию (модернизации) АСЗИ и ее системы ЗИ участвуют:

- заказчик АСЗИ - в части задания в ТЗ на АСЗИ и систему ЗИ, включения в документацию на АСЗИ обоснованных требований о защите обрабатываемой АСЗИ информации и контроля их выполнения в процессе экспертизы документации, испытаний и приемки как АСЗИ в целом, так и системы ЗИ, а также в части организации аттестации АСЗИ на соответствие требованиям безопасности информации и сопровождения АСЗИ в ходе ее эксплуатации;

- разработчик АСЗИ - в части обеспечения соответствия разрабатываемой АСЗИ и ее системы ЗИ требованиям ТЗ, нормативных правовых актов, методических документов и национальных стандартов в области защиты информации;

- изготовитель ТС и ПС - в части осуществления технических мер по обеспечению соответствия изготавливаемых ТС и ПС заданным требованиям о защите обрабатываемой АСЗИ информации, в соответствии с документацией на АСЗИ;

- поставщик ТС и ПС - в части поставки ТС и ПС для АСЗИ, соответствующих требованиям по ЗИ, по заказу изготовителя, разработчика или заказчика и их гарантийного и послегарантийного обслуживания.

5.8 Организации, участвующие в создании АСЗИ, в случае выполнения работ и оказания услуг в области ЗИ, деятельность по осуществлению которых подлежит лицензированию, должны иметь соответствующие лицензии [1-4].

5.9 Стадии и этапы работ по созданию АСЗИ устанавливаются в ТЗ на АСЗИ на основе ГОСТ 34.601 с учетом положений настоящего стандарта.

5.10 Типовое содержание работ в части создания системы ЗИ (на определенных в ГОСТ 34.601 стадиях и этапах создания АСЗИ) приведено в разделе 6. Типовое содержание и порядок выполнения работ по ЗИ о создаваемой АСЗИ приведено в разделе 7. Состав и содержание работ могут уточняться в соответствии с требованиями нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов по ЗИ, а также в соответствии с требованиями заказчика АСЗИ.

5.11 В ТЗ на создание АСЗИ для реализуемых в соответствии с ним стадий и этапов ее создания должны включаться требования к системе ЗИ АСЗИ, а также требования по ЗИ о создаваемой АСЗИ в соответствии с настоящим стандартом, нормативными правовыми актами и методическими документами уполномоченных федеральных органов исполнительной власти и другими национальными стандартами.

5.12 Мероприятия по ЗИ должны проводиться на всех стадиях и этапах создания АСЗИ с учетом применимых (исходя из предназначения АСЗИ) требований нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов в области ЗИ.

5.13 Для АСЗИ, создаваемой на базе действующей АС, разрабатывают ТЗ на создание системы ЗИ или дополнение к основному ТЗ на АС, в которое включают требования к системе ЗИ, а также к той части АС, которая подлежит доработке (модернизации) в связи с включением в состав АС системы ЗИ.

5.14 Разработка, утверждение и согласование ТЗ или дополнения к ТЗ на модернизируемую АС осуществляется в порядке, установленном ГОСТ 34.602.

5.15 Документация на АСЗИ должна разрабатываться с учетом требований ГОСТ 34.201 и [5], а также требований нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов по ЗИ.

5.16 Работы по созданию АСЗИ должны проводиться в соответствии с требованиями нормативных правовых актов и методических документов уполномоченного федерального органа исполнительной власти, настоящего стандарта и других национальных стандартов по ЗИ. Дополнительно при необходимости могут учитываться требования национальных стандартов, приведенных в приложении А.

5.17 Для создания АСЗИ могут применяться как серийно выпускаемые, так и специальные (разрабатываемые в ходе создания АСЗИ) ТС и ПС обработки информации, а также технические, программные, программно-аппаратные, криптографические СЗИ и средства контроля эффективности ЗИ. Указанные средства должны иметь сертификаты соответствия, полученные в соответствующих системах сертификации по требованиям безопасности информации [6, 7]. Специальные средства должны быть сертифицированы в установленном порядке до начала опытной эксплуатации АСЗИ организациями (учреждениями), имеющими лицензии уполномоченных федеральных органов исполнительной власти на соответствующие виды деятельности.

5.18 Работы по созданию и эксплуатации АСЗИ с использованием криптографических средств организуются в соответствии с положениями нормативных актов Российской Федерации, определяющих порядок разработки, изготовления, сопровождения и эксплуатации криптографических средств.

5.19 Организационно-методическое руководство работами по созданию, изготовлению, обеспечению и эксплуатации средств криптографической ЗИ, по сертификации этих средств осуществляет федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности.

5.20 Перед вводом в эксплуатацию комплексов ТС АСЗИ (в случае отсутствия документа, подтверждающего уже проведенные исследования) и периодически в процессе их эксплуатации проводятся исследования по криптографической ЗИ в составе комплексов ТС АСЗИ организациями, имеющими лицензию на этот вид работ в соответствии с [4].

5.21 Порядок эксплуатации АСЗИ с использованием криптографических средств регламентируется законодательством Российской Федерации и нормативными правовыми актами федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности.

5.22 Организация надлежащего исполнения правил эксплуатации средств криптографической ЗИ (в том числе во время приемочных испытаний) возлагается на руководство организаций, эксплуатирующих данные средства.

Контроль выполнения требований инструкций по эксплуатации средств криптографической ЗИ возлагается на специальные подразделения (штатных специалистов) по ЗИ на предприятии (организации), эксплуатирующем данные средства.

5.23 Виды испытаний АСЗИ и общие требования к их проведению определяются ГОСТ 34.603, а также нормативными правовыми актами и методическими документами уполномоченного федерального органа исполнительной власти и национальными стандартами по ЗИ.

5.24 Испытания АСЗИ на соответствие требованиям безопасности информации от ее утечки по техническим каналам, несанкционированного доступа к ней, от несанкционированных и непреднамеренных воздействий на информацию, в том числе по криптографической и антивирусной защите, по обнаружению вторжений (атак) и др. осуществляются в соответствии с положениями нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов.

5.25 В случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти, для подтверждения соответствия системы ЗИ АСЗИ в реальных условиях эксплуатации требованиям безопасности информации осуществляется аттестация АСЗИ на соответствие требованиям безопасности информации.

5.26 Аттестация АСЗИ проводится до ввода АСЗИ в постоянную эксплуатацию в соответствии с положениями нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов.

6 Содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении

 

6.1 Защита информации в АСЗИ обеспечивается системой ЗИ АСЗИ. Создание системы ЗИ АСЗИ обеспечивается следующим комплексом работ:

- формирование требований к системе ЗИ АСЗИ;

- разработка (проектирование) системы ЗИ АСЗИ;

- внедрение системы ЗИ АСЗИ;

- аттестация АСЗИ на соответствие требованиям безопасности информации и ввод ее в действие;

- сопровождение системы ЗИ в ходе эксплуатации АСЗИ.

6.2 Формирование требований к системе ЗИ АСЗИ организуется заказчиком и осуществляется разработчиком на основе требований по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, несанкционированных и непреднамеренных воздействий на информацию, в том числе требований по криптографической и антивирусной защите, по обнаружению вторжений (атак), обеспечению устойчивости и непрерывности функционирования АСЗИ и др., закрепленных в нормативных правовых актах уполномоченных федеральных органов исполнительной власти и национальных стандартах в области ЗИ, с учетом целей и задач АСЗИ, свойственных ей угроз безопасности информации и возможных последствий реализации этих угроз.

Формирование требований к системе ЗИ АСЗИ осуществляется на следующих стадиях создания АСЗИ, определенных ГОСТ 34.601:

- "Формирование требований к АС";

- "Разработка концепции АС";

- "Техническое задание".

Требования к системе ЗИ АСЗИ уточняются (при необходимости) на последующих стадиях создания АСЗИ, с конкретизацией требований к ее построению, используемым информационным технологиям, методам и программно-аппаратным средствам организации сетевого взаимодействия, в том числе с другими системами, к процессу обработки защищаемой информации, условиям функционирования АСЗИ.

6.3 На стадии "Формирование требований к АС" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы.

6.3.1 На этапе "Обследование объекта и обоснование необходимости создания АС" проводят:

- анализ данных о назначении, функциях, условиях функционирования создаваемой (модернизируемой) АСЗИ и характере обрабатываемой информации;

- определение перечня информации, подлежащей защите;

- определение актуальных угроз безопасности информации, связанных с НСД к защищаемой информации, с утечкой информации по техническим каналам и с несанкционированным воздействием на информацию;

- разработку модели угроз безопасности информации применительно к конкретным вариантам функционирования АСЗИ;

- оценку (технико-экономической и т.п.) целесообразности создания АС в защищенном исполнении.

6.3.2 На этапе "Формирование требований пользователя к АС" проводят:

а) подготовку исходных данных для формирования требований в части системы ЗИ к создаваемой (модернизируемой) АСЗИ (исходя из её предназначения и условий использования), включая:

- определение порядка обработки информации в АСЗИ в целом и в отдельных компонентах;

- оценку степени участия персонала в обработке (обсуждении, передаче, хранении) защищаемой в АСЗИ информации;

- определение требуемого класса (уровня) защищенности АСЗИ от НСД;

- выбор целесообразных (исходя из экономических, научно-технических, временных и других ограничений, а также технологии обработки информации) способов ЗИ и контроля состояния ЗИ в АСЗИ;

- обоснование архитектуры и конфигурации системы ЗИ АСЗИ и ее отдельных составных частей, физических, функциональных и технологических связей как внутри АСЗИ, так и с другими взаимодействующими системами;

- выбор ТС, которые могут быть использованы при разработке системы ЗИ АСЗИ;

- оценку возможности создания АСЗИ, исходя из ресурсных ограничений;

б) формирование требований к системе ЗИ создаваемой (модернизируемой) АСЗИ в части требований о защите информации.

6.3.3 На этапе "Оформление отчета о выполненной работе и заявки на разработку АС (ТТЗ)" проводят:

- систематизацию результатов, полученных на предыдущих этапах;

- формирование разделов отчета о выполненных работах на данной стадии в части создания системы ЗИ для создаваемой (модернизируемой) АСЗИ;

- оформление заявки на разработку системы ЗИ (ТЗ или дополнения к ТЗ) или другого заменяющего ее документа с аналогичным содержанием (в случае разработки отдельного ТЗ на систему ЗИ АСЗИ).

6.4 На стадии "Разработка концепции АС" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы.

6.4.1 На этапе "Изучение объекта" проводят:

- определение путей и оценку возможности реализации требований, предъявляемых к системе ЗИ создаваемой (модернизируемой) АСЗИ;

- обоснование необходимости привлечения организаций, имеющих необходимые лицензии, для создания системы ЗИ создаваемой (модернизируемой) АСЗИ;

- оценку ориентировочных сроков создания системы ЗИ АСЗИ;

- оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы ЗИ создаваемой (модернизируемой) АСЗИ;

- обоснование целесообразности проведения НИР (составной части НИР), определение основных вопросов, подлежащих исследованию в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ;

- разработку ТТЗ на НИР (при необходимости).

6.4.2 На этапе "Проведение необходимых научно-исследовательских работ" проводят:

- анализ требований к назначению, структуре и конфигурации создаваемой (модернизируемой) АСЗИ;

- уточнение режимов обработки информации в АСЗИ в целом и в отдельных компонентах;

- анализ возможных уязвимостей и обоснование актуальных угроз безопасности информации и перечня мероприятий по их блокированию (нейтрализации);

- уточнение требований о ЗИ в АСЗИ;

- уточнение требований к архитектуре и конфигурации системы ЗИ АСЗИ;

- уточнение требований к составу и характеристикам основных и вспомогательных ПС и ТС, которые могут быть использованы при разработке системы ЗИ АСЗИ, режимам их работы;

- обоснование перечня сертифицированных средств ЗИ, использование которых возможно в составе системы ЗИ создаваемой (модернизируемой) АСЗИ;

- уточнение оценки материальных, трудовых и финансовых затрат на создание системы ЗИ создаваемой (модернизируемой) АСЗИ.

- оформление и утверждение отчета о НИР.

6.4.3 На этапе "Разработка вариантов концепции АС и выбор варианта концепции АС, удовлетворяющего требованиям пользователя" проводят:

- разработку альтернативных вариантов концепции создаваемой системы ЗИ и планов их реализации;

- оценку необходимых ресурсов на реализацию каждого варианта и обеспечение функционирования системы ЗИ;

- оценку эффектов, преимуществ и недостатков от реализации каждого варианта;

- выбор варианта концепции системы ЗИ АСЗИ.

6.4.4 На этапе "Оформление отчета о выполненной работе" разрабатывается самостоятельный отчет о работах, выполненных на стадии "Разработка концепции АС" в части системы ЗИ или раздел в основной отчет о работах, выполненных в интересах создания (модернизации) АСЗИ в целом.

6.5 На стадии "Техническое задание" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы.

На этапе "Разработка и утверждение технического задания на создание АС" проводят разработку, оформление, согласование и утверждение ТЗ на АСЗИ в целом и, при необходимости, ТЗ на систему ЗИ.

ТЗ (раздел ТЗ, дополнение к ТЗ) на систему ЗИ должно разрабатываться в соответствии с требованиями ГОСТ 34.602.

6.6 Разработка (проектирование) системы ЗИ АСЗИ включает:

- разработку проектных решений по системе ЗИ АСЗИ;

- разработку документации на систему ЗИ АСЗИ;

- тестирование системы ЗИ АСЗИ.

6.7 Разработку системы ЗИ АСЗИ организует заказчик, проводит разработчик в соответствии с ТЗ на создание системы ЗИ АСЗИ на следующих стадиях создания АСЗИ, определенных ГОСТ 34.601:

- Эскизный проект;

- Технический проект;

- Рабочая документация.

6.8 На стадии "Эскизный проект" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы.

6.8.1 На этапе "Разработка предварительных проектных решений по системе и ее частям" проводят:

- определение субъектов доступа (пользователей, процессов и иных субъектов доступа) и объектов доступа (устройств, объектов файловой системы, запускаемых и исполняемых модулей, объектов системы управления базами данных, объектов, создаваемых прикладным программным обеспечением, иных объектов доступа);

- уточнение исходных данных, касающихся технических, информационных, программных и организационных аспектов создания и функционирования системы ЗИ АСЗИ и АСЗИ в целом;

- определение функций системы ЗИ создаваемой (модернизируемой) АСЗИ, состава комплексов задач и отдельных задач, решаемых подсистемой ЗИ;

- проработку и рассмотрение вариантов построения системы ЗИ с учетом результатов ранее проведенных исследований и новейших достижений науки и техники, в том числе по зарубежным аналогам, определение общих требований к системе ЗИ (ее структура, состав (число) и места размещения составных частей системы ЗИ);

- определение функций и параметров ТС и ПС системы ЗИ, особенностей их реализации в интересах блокирования (нейтрализации) угроз безопасности информации в АСЗИ;

- определение состава организационных мер ЗИ, ТС и ПС системы ЗИ, выбор сертифицированных СЗИ с учетом их совместимости с основными ТС и ПС создаваемой (модернизируемой) АСЗИ;

- обоснование номенклатуры СЗИ, специального технологического оборудования, средств контроля и измерений, подлежащих разработке входе создания АСЗИ.

6.8.2 На этапе "Разработка документации на АС и ее части" проводят разработку, оформление, согласование и утверждение документации в объеме, необходимом для описания полной совокупности принятых предварительных проектных решений и достаточном для дальнейшего выполнения работ по созданию системы ЗИ. Виды документов - по ГОСТ 34.201.

6.9 На стадии "Технический проект" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ выполняют следующие работы.

6.9.1 На этапе "Разработка проектных решений по системе и ее частям" обеспечивают:

- разработку общих решений по системе ЗИ, по ее функциональной структуре, ТС и ПС системы ЗИ, алгоритмам функционирования системы ЗИ, функциям персонала, обслуживающего систему ЗИ;

- разработку алгоритмов решения задач ЗИ, параметров настройки ТС и ПС, обеспечивающих реализацию функциональных возможностей системы ЗИ;

- разработку макетов составных частей системы ЗИ (при необходимости).

6.9.2 На этапе "Разработка документации на АС и ее части" проводят разработку, оформление, согласование и утверждение технической документации на систему ЗИ. Виды документов - по ГОСТ 34.201.

6.9.3 На этапе "Разработка и оформление документации на поставку изделий для комплектования АС и (или) технических требований (технических заданий) на их разработку" проводят:

- подготовку и оформление документов на поставку ТС и ПС для комплектования системы ЗИ создаваемой (модернизируемой) АСЗИ;

- определение технических требований и составление ТЗ на разработку специальных СЗИ, специального технологического оборудования, средств контроля и измерений, не изготавливаемых серийно.

6.9.4 На этапе "Разработка заданий на проектирование в смежных частях проекта объекта информатизации" осуществляют разработку, оформление, согласование и утверждение заданий на проектирование помещений для АСЗИ с учетом требований о ЗИ.

6.10 На стадии "Рабочая документация" в интересах создания системы ЗИ создаваемой (модернизируемой) АСЗИ проводят следующие работы.

6.10.1 На этапе "Разработка рабочей документации на систему и ее части" осуществляют разработку рабочей документации на систему ЗИ, содержащей все необходимые и достаточные сведения для обеспечения выполнения работ по вводу системы ЗИ АСЗИ в действие и ее эксплуатации, в том числе для поддержания уровня эксплуатационных характеристик (качества) системы ЗИ в соответствии с принятыми проектными решениями, ее оформление, согласование и утверждение, а также разработку программы и методик испытаний системы ЗИ. Виды документов - по ГОСТ 34.201.

6.10.2 На этапе "Разработка и адаптация программ" проводят:

- разработку ПС для СЗИ, адаптацию и/или привязку приобретаемых ПС, тестирование ПС системы ЗИ АСЗИ;

- разработку и испытания СЗИ, технологического оборудования, средств контроля и измерений системы ЗИ АСЗИ;

- сертификацию разрабатываемых ПС и СЗИ системы ЗИ АСЗИ по требованиям безопасности информации;

- разработку документации на ПС и СЗИ системы ЗИ АСЗИ;

- тестирование ПС системы ЗИ АСЗИ.

При тестировании ПС системы ЗИ АСЗИ:

- проверяют работоспособность и совместимость ПС системы ЗИ с информационными технологиями и ТС обработки информации;

- проверяют выполнение ПС системы ЗИ требований к системе ЗИ АСЗИ;

- корректируют документацию на систему ЗИ АСЗИ (при необходимости).

6.11 Внедрение системы ЗИ АСЗИ включает:

- установку и настро

Откройте актуальную версию документа прямо сейчас

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Система ГАРАНТ
Информационно-правовое обеспечение ГАРАНТ включает широкий круг инструментов и полезных сервисов для специалистов различных областей.
Узнайте подробнее о наполнении профессиональных комплектов и стоимости информационного обеспечения.
Демо-доступ на 3 дня

Новости

Все новости
25 июня 2026 17:05
Общество
Опасность связана с утратой приватности и проблемами кибербезопасности.
25 июня 2026 16:37
Труд
С работником-стажером будут заключать срочный трудовой договор и назначать ему наставника.
25 июня 2026 16:11
Общество
Необходимость обусловлена недополучением денег государством и незащищенностью граждан в этой сфере.
25 июня 2026 15:55
Судебная практика
Компенсация положена только педагогам общеобразовательных учреждений, но не методистам муниципального управления образования.
25 июня 2026 15:20
Практика
Механизм позволяет в упрощенном порядке поставить соответствующие объекты на кадастровый учет.
25 июня 2026 14:58
Социальная сфера
Предусмотрен широкий спектр лабораторных исследований и два имплантата.
Все новости

Аналитика

Все статьи
23 июня 2026
Бизнес
18 июня 2026
Налоги и бухучет
17 июня 2026
15 июня 2026
Общество
11 июня 2026
Общество
5 июня 2026
ЖКХ
Все статьи
Получите полный доступ к системе ГАРАНТ бесплатно на 3 дня!
Получить доступ
РЕКЛАМА erid 4CQwVszH9pWwojUA9Q3

Другие документы

10.03.2026 14:34
Проект Постановления Правительства Российской Федерации "О внесении изменений в приложение к постановлению Правительства Российской Федерации от 17.07.2015 № 719" (подготовлен Минпромторгом России 27.02.2026)
10.03.2026 14:32
Приказ Федеральной службы государственной статистики от 05.02.2026 № 52 "Об утверждении форм федерального статистического наблюдения и указаний по их заполнению для организации комплексного наблюдения условий жизни населения"
14.02.2026 11:44
Пояснительная записка к проекту Приказа Государственной корпорации по атомной энергии "Росатом" "Об утверждении перечня должностей Госкорпорации "Росатом", при назначении на которые граждане обязаны представлять сведения о своих доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей, а также перечня должностей Госкорпорации "Росатом", при замещении которых работники Госкорпорации "Росатом" обязаны представлять сведения о своих доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах,.." (подготовлен Госкорпорацией "Росатом" 21.11.2025) (не действует)
14.02.2026 11:41
Пояснительная записка к проекту Приказа Министерства строительства и жилищно-коммунального хозяйства Российской Федерации "О признании утратившим силу приказа Министерства строительства и жилищно-коммунального хозяйства Российской Федерации от 17.08.2016 N 570/пр" (подготовлен Минстроем России 12.11.2025)
13.02.2026 18:47
Приложение № 3. Перечень недействующих кодов бюджетной классификации Российской Федерации (в части кода целевой статьи расходов), по которым приняты бюджетные и (или) денежные обязательства, поставленные на учет до начала текущего финансового года, по которым получателю средств федерального бюджета необходимо внести изменения в бюджетные обязательства в части кода бюджетной классификации Российской Федерации. Письмо Минфина России от 27.01.2026 № 02-05-07/5352 О внесении изменений в коды бюджетной классификации Российской Федерации по бюджетным (денежным) обязательствам, поставленным на учёт до начала текущего финансового года
13.02.2026 18:34
Приложение N 8. Ключевые показатели эффективности реализации национальной модели целевых условий ведения бизнеса до 2030 года по направлению "Коммунальная инфраструктура". Распоряжение Правительства Российской Федерации от 29.11.2025 N 3523-р Об утверждении национальной модели целевых условий ведения бизнеса до 2030 г.
13.02.2026 18:23
Приложение 25. Основания исключения ипотечных сертификатов участия из котировальных списков (утратило силу). Положение Банка России от 24.02.2016 № 534-П "О допуске ценных бумаг к организованным торгам" (с изменениями и дополнениями)
13.02.2026 15:19
Приложение N 3. Порядок аттестации уполномоченных лиц биоресурсного центра в сфере обеспечения качества создания, формирования, сохранения, развития, изучения и использования биологических (биоресурсных) коллекций. Приказ Министерства науки и высшего образования Российской Федерации от 05.11.2025 N 819 "Об утверждении Требований к уровню образования и квалификации уполномоченных лиц биоресурсного центра в сфере обеспечения качества создания, формирования, сохранения, развития, изучения и использования биологических (биоресурсных) коллекций, Перечня полномочий указанных уполномоченных лиц, а также Порядка их аттестации"
13.02.2026 15:05
Раздел 5. Приказ Федеральной службы государственной статистики от 29.09.2017 N 647 "Об утверждении Методики расчета баланса трудовых ресурсов и оценки затрат труда"
13.01.2026 13:23
Приложение. Минимальное количество баллов единого государственного экзамена по общеобразовательным предметам, соответствующим специальности или направлению подготовки, по которым проводится прием на обучение, в том числе на целевое обучение, в федеральные государственные бюджетные образовательные учреждения высшего образования, подведомственные Министерству юстиции Российской Федерации, на 2026/27 учебный год. Приказ Министерства юстиции Российской Федерации от 28.10.2025 N 273 "Об установлении минимального количества баллов единого государственного экзамена по общеобразовательным предметам, соответствующим специальности или направлению подготовки, по которым проводится прием на обучение, в том числе на целевое обучение, в федеральные государственные бюджетные образовательные учреждения высшего образования, подведомственные Министерству юстиции Российской Федерации, на 2026/27 учебный год"