Большая энциклопедия промышленного шпионажа - Каторин Юрий Федорович. Страница 117

>• Положение о порядке организации и проведения в отрасли (на предприятии) работ по защите секретной информации в АС;

>• Инструкция по защите секретной информации, обрабатываемой в АС отрасли (на предприятии или в подразделениях предприятия);

>• раздел Положения о разрешительной системе допуска исполнителей к документам и сведениям на предприятии, определяющий особенности системы допуска в процессе разработки и функционирования АС;

приказы, указания, решения:

>• о создании соответствующих подразделений разработчиков, о формировании группы обследования, о создании экспертных комиссий;

>• о начале обработки на объекте ЭВТ информации определенной степени секретности;

>• о назначении лиц, ответственных за эксплуатацию вычислительной системы, баз данных СЗСИ;

>• о назначении уполномоченных службы безопасности и т.д.;

>• проектная документация различных стадий создания СЗСИ.

7.20. Разработка, внедрение и эксплуатация СЗСИ в АС производится установленным порядком в соответствии с требованиями ГОСТ 34.201-89, ГОСТ 34.602-89, ГОСТ 34.601-90, РД 50-680—88, РД 50-682-89, РД 50-34.698-90 и других документов.

21. Модернизация АС должна рассматриваться как самостоятельная разработка самой АС и СЗСИ для нее. Организация работ при этом должна соответствовать содержанию настоящего раздела.

8. Порядок приемки СЗСИ перед сдачей в эксплуатацию в составе АС

8.1. На стадии ввода в действие КСЗ осуществляются:

>• предварительные испытания средств защиты;

>• опытная эксплуатация средств защиты и функциональных задач АС в условиях их работы;

>• приемочные испытания средств защиты;

>• приемочные испытания СЗСИ в составе автоматизированной системы комиссией соответствующего ранга.

8.2. Предварительные испытания средств защиты проводит разработчик этих средств совместно с заказчиком и с привлечением специалистов отраслевых органов безопасности информации в целях проверки отдельных средств по ГОСТ 21552-84, ГОСТ 16325-88 и ГОСТ 23773-88, соответствия технической документации требованиям ТЗ, выработки рекомендаций по их доработке и определения порядка и сроков проведения опытной эксплуатации.

8.3. Допускается проведение опытной эксплуатации средств защиты до эксплуатации функциональных задач АС или параллельно с ней. Опытную эксплуатацию осуществляет заказчик с участием разработчика в соответствии с программой в целях проверки работоспособности средств защиты на реальных данных и отработки технологического процесса. На этапе опытной эксплуатации допускается обработка информации, имеющей гриф «Секретно» и «Совершенно секретно».

Для информации, имеющей гриф «Особой важности», возможность обработки на этапе опытной эксплуатации определяют совместно заказчик, разработчик и отраслевой орган безопасности информации.

Опытная эксплуатация функциональных задач АС должна включать проверку их функционирования в условиях работы средств защиты.

8.4. При положительных результатах опытной эксплуатации все программные, технические средства, организационная документация сдаются заказчику по акту.

Приемка технических средств защиты в эксплуатацию заключается в проверке их характеристик и функционирования в конкретных условиях, а программных средств защиты — в решении контрольного примера (теста), наиболее приближенного к конкретным условиям функционирования АС, с запланированными попытками обхода систем защиты. Контрольный пример готовят разработчики совместно с заказчиком.

8.5. Приемочные испытания СЗСИ проводятся в составе автоматизированной системы, предъявляемой комиссии заказчика.

Ответственность за организацию работ при вводе в действие СЗСИ, за функционирование средств защиты после приемочных испытаний несет заказчик.

8.6. Отчетные материалы по результатам приемочных испытаний СЗСИ оформляются в соответствии с ГОСТ 34.201-89 и РД 50-34.698-90 и направляются в орган по сертификации для оформления сертификата.

Виды документов на программные средства защиты определены ГОСТ 19.101-77, на технические средства — ГОСТ 2.102-68, а на эксплуатационные документы — ГОСТ 2.601-68.

9. Порядок эксплуатации программных и технических средств и систем защиты секретной информации от НСД

9.1. Обработка информации в АС должна производиться в соответствии с технологическим процессом обработки секретной информации, разработанным и утвержденным в порядке, установленном на предприятии для проектирования и эксплуатации АС.

9.2. Для эксплуатации СЗСИ — комплекса программно-технических средств и организационных мероприятий по их сопровождению, направленного на исключение несанкционированного доступа к обрабатываемой в АС информации, приказом руководителя предприятия (структурного подразделения) назначаются лица, осуществляющие:

>• сопровождение СЗСИ, включая вопросы организации работы и контроля за использованием СЗСИ в АС;

>• оперативный контроль за функционированием СЗСИ;

>• контроль соответствия общесистемной программной среды эталону;

>• разработку инструкции, регламентирующей права и обязанности операторов (пользователей) при работе с секретной информацией.

10. Порядок контроля эффективности защиты секретной информации в АС

10.1. Контроль эффективности защиты информации в АС проводится в целях проверки сертификатов на средства защиты и соответствия СЗИ требованиям стандартов и нормативных документов Гостехкомиссии России по защите информации от НСД на следующих уровнях:

>• государственном, осуществляемом Инспекцией Гостехкомиссии России по оборонным работам и работам, в которых используются сведения, составляющие государственную тайну;

>• отраслевом, осуществляемом ведомственными органами контроля (главными научно-техническими и режимными управлениями, головными организациями по защите информации в АС);

>• на уровне предприятия (отдельной организации), осуществляемом военными представительствами Вооруженных Сил (по оборонным работам), специальными научно-техническими подразделениями и режимно-секретными службами (органами, службами безопасности).

10.2. Инициатива проведения проверок принадлежит организациям, чья информация обрабатывается в АС, Гостехкомиссии России и ведомственным (отраслевым) органам контроля.

10.3. Проверка функционирующих средств и систем защиты информации от НСД осуществляется с помощью программных (программно-технических) средств на предмет соответствия требованиям ТЗ с учетом классификации АС и степени секретности обрабатываемой информации.

10.4. По результатам проверки оформляется акт, который доводится до сведения руководителя предприятия, пользователя и других организаций и должностных лиц в соответствии с уровнем контроля.

10.5. В зависимости от характера нарушений, связанных с функционированием средств и систем защиты информации от НСД, действующей АС в соответствии с положением о Гостехкомиссии России могут быть предъявлены претензии вплоть до приостановки обработки информации, выявления и устранения причин нарушений.

Возобновление работ производится после принятия мер по устранению нарушений и проверки эффективности защиты органами контроля и только с разрешения органа, санкционировавшего проверку.

В случае прекращения работ по результатам проверки Инспекцией Гостехкомиссии России они могут быть возобновлены только с разрешения Гостехкомиссии России, а в отношении должностных лиц, виновных в этих нарушениях, решается вопрос о привлечении их к ответственности в соответствии с требованиями Инструкции № 0126-87 и действующим законодательством.

11. Порядок обучения, переподготовки и повышения квалификации специалистов в области защиты информации от НСД

11.1. Подготовка молодых специалистов и переподготовка кадров в области защиты информации, обрабатываемой в АС, от НСД осуществляется в системе Госкомитета Российской Федерации по делам науки и высшей школы и Вооруженных Сил кафедрами вычислительной техники и автоматизированных систем высших учебных заведений по договорам с министерствами, ведомствами и отдельными предприятиями.