Создание автоматизированных информационных систем (АС)


1. Стадии и этапы создания автоматизированных информационных систем
2. Техническое задание на создание АИС (системы защиты информации АИС)
3. Виды документов на создание АИС (СЗИ АИС)


1. Стадии и этапы создания автоматизированных информационных систем


Выделяют следующие основные организации-участники создания АС: заказчик (пользователь), разработчик и поставщик. Кроме того в процессе могут участвовать генеральный проектировщик, проектировщик и строительная организация.

Заказчик – организация, для которой создается АС и которая обеспечивает финансирование, приемку работ и эксплуатацию АС, а также выполнение отдельных работ по созданию АС.

Разработчик - организация, осуществляющая работы по созданию АС, представляя заказчику совокупность научно-технических услуг на разных стадиях и этапах создания, а также разрабатывая и поставляя различные программные и технические средства АС.

Поставщик - организация, изготавливающая и поставляющая программные и технические средства по заказу разработчика или заказчика.

Стадии и этапы создания, виды работ на этапах создания автоматизированных систем определяет ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».

Согласно ГОСТ 34.601-90 выделяют следующие стадии создания АС:

По ГОСТ РВ 15.004 определены такие этапы: формирование требований к АС; разработка концепции АС; техническое задание относятся к исследованию и обоснованию разработки, этапы эскизного проекта, технического проекта и рабочей документации – к разработке, этап ввода в действие – к производству, этап сопровождения АС – к эксплуатации.

Рассмотрим этапы ГОСТа РВ 15.004 более подробно.

Стадия: Исследование и обоснование разработки

В этап «Исследование и обоснование разработки» входит:

Детальный анализ деятельности организации

На стадии формирование требований к АС проводится:

  1. обследование объекта и обоснование необходимости создания АС;
  2. формирование требований пользователя к АС;
  3. оформление отчета о выполненной работе и заявки на разработку АС (тактико-технического задания).

Обследование объекта и обоснование необходимости создания АС

Обследование - это изучение и  диагностический анализ организационной структуры организации, ее деятельности и существующей системы обработки информации.

Материалы, полученные в  результате обследования, используются для:

Результатом этапа является документ - технико-экономическое обоснование проекта, где четко сформулировано, что мы получим, когда получим готовый продукт. В документе желательно отразить не только затраты, но и  выгоду проекта, например время окупаемости проекта, ожидаемый экономический эффект (если его удается оценить).

Технико-экономическое обоснование проекта

Примерное содержание этого документа:

  1. ограничения, риски, критические факторы, которые могут повлиять на успешность проекта;
  2. совокупность условий, при которых предполагается эксплуатировать будущую систему: архитектура системы, аппаратные и программные ресурсы, условия функционирования, обслуживающий персонал и пользователи системы;
  3.  сроки завершения отдельных этапов, форма приемки/сдачи работ, привлекаемые ресурсы, меры по защите информации;
  4.  описание выполняемых системой функций;
  5.  возможности развития системы;
  6.  информационные объекты системы;
  7.  интерфейсы и распределение функций между человеком и системой;
  8.  требования к программным и информационным компонентам ПО, требования к СУБД;
  9.  что не будет реализовано в рамках проекта.

Разработка концепции АС

На этой стадии проводится:

Техническое задание на выполнение НИР

На этом этапе осуществляется разработка и утверждение Технического задания на создание АС.

Техническое задание – это исходный технический документ, утверждаемый заказчиком и устанавливающий комплекс технических требований к создаваемым АИС, а также требования к содержанию, объему и срокам выполнения работ по созданию АИС.

При разработке технического задания необходимо решить следующие задачи:

  1. установить общую цель создания ИС, определить состав подсистем и функциональных задач;
  2. разработать и обосновать требования, предъявляемые к подсистемам;
  3. разработать и обосновать требования, предъявляемые к информационной базе, математическому и программному обеспечению, комплексу технических средств (включая средства связи и передачи данных);
  4. установить общие требования к проектируемой системе;
  5. определить перечень задач создания системы и исполнителей;
  6. определить этапы создания системы и сроки их выполнения;
  7. провести предварительный расчет затрат на создание системы и определить уровень экономической эффективности ее внедрения.

ТЗ на НИР в общем случае должно состоять из следующих разделов:

(согласно ГОСТ РВ 15.101-95 Тактико-техническое (техническое) задание на выполнение научно-исследовательских работ.)

Начало работ отсчитывается с даты подписания приказа руководителя организации (решения, распоряжения) об открытии темы. В приказе (решении, распоряжении) руководитель организации формирует коллектив из числа штатных сотрудников с обязательным включением в число исполнителей работ специалиста по защите информации.

Стадия: Раработка

В стадию «Разработка» входит:

Эскизный проект

На стадии эскизного проекта проводится разработка предварительных проектных решений по системе и ее частям и разработка документации на АС и ее части. Эскизный проект разрабатывается с целью установления принципиальных (конструктивных, схемных и др.) решений АИС, дающих общее представление о принципе работы и (или) устройстве АИС, когда это целесообразно сделать до разработки технического проекта или рабочей документации.

Технический проект

Разрабатываются проектные решения по системе и ее частям, документация на АС и ее части; осуществляется разработка и оформление документации на поставку изделий для комплектования АС и (или) технических требований (технических заданий) на их разработку и разработка заданий на проектирование в смежных частях проекта объекта автоматизации.

Технический проект разрабатывается с целью выявления окончательных технических решений, дающих полное представление о конструкции изделия, когда это целесообразно сделать до разработки рабочей документации.

Содержание разрабатываемого технического (техно-рабочего) проекта

  1. Пояснительная записка с изложением решений по обеспечению ЗИ, составу средств защиты информации с указанием их соответствия требованиям ТЗ.
  2. Описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации.
  3. План организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации.

Мероприятия по защите информации от утечки по техническим каналам относятся к основным элементам проектных решений, которые включаются в соответствующие разделы проекта, и разрабатываются одновременно с ними.

Рабочая документация

На этапе осуществляется:

Цель и содержание работ этапа заключаются в разработке РКД для изготовления и проведения испытаний АИС, специального технологического оборудования и оснастки, предназначенных для обеспечения эксплуатации, технического обслуживания и ремонта АИС в процессе эксплуатации, а также программной документации (при необходимости).

Стадия: Производство

Ввод в действие

На этапе ввода в действие осуществляется:

Стадия: Эксплуатация

- выполняются работы в соответствии с гарантийными обязательствами и послегарантийное обслуживание.

Стадии и этапы, выполняемые организациями - участниками работ по созданию АС, устанавливаются в договорах и техническом задании на основе настоящего стандарта (п. 13 ГОСТ 34.601-90).

Схематически это взаимодействие можно представить в виде рисунка:



Порядок создания автоматизированных систем с защитой информации регламентируется ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения."

Для обработки информации, необходимость защиты которой определяется законодательством Российской Федерации или решением ее обладателя, должны создаваться автоматизированные системы в защищенном исполнении, в которых реализованы в соответствии с действующими нормативными правовыми актами требования о защите информации. Реализация требований о защите в автоматизированной системе в защищенном исполнении осуществляется системой защиты информации, являющейся неотъемлемой составной частью автоматизированной системы в защищенном исполнении.

Согласно ГОСТ Р 51624-2000 автоматизированная система в защищенном исполнении – это автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации.

Система защиты информации автоматизированной системы - совокупность всех технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации.

Соответствие этапов создания АС в защищенном исполнении:


СТР-К ГОСТ 34.601-90
Предпроектная стадия 1. Формирование требований к АС
2. Разработка концепции АС
3. Техническое задание
Стадия проектирования 4. Эскизный проект
5. Технический проект
6. Рабочая документация
Стадия ввода в действие 7. Ввод в действие
8. Сопровождение АС

И между ГОСТ Р 51583 и ГОСТ 34.601-90:


ГОСТ Р 51583 ГОСТ 34.601-90
Формирование требований к системе ЗИ АС 1. Формирование требований к АС
2. Разработка концепции АС
3. Техническое задание
Разработка (проектирование) системы ЗИ АС 4. Эскизный проект
5. Технический проект
6. Рабочая документация
Внедрение системы ЗИ АС. Аттестация АС на соответствие требованиям безопасности информации и ввод ее в действие 7. Ввод в действие
Сопровождение системы ЗИ в ходе эксплуатации АС 8. Сопровождение АС

Для обеспечения защиты информации, проводятся следующие мероприятия (Пункт 13 Приказа ФСТЭК России от 11.02.2013 г. № 17):

Соотношение требований приказа и ГОСТ Р 51583 – 2014 приведено в таблице:


ГОСТ Р 51583 - 2014 Приказ ФСТЭК России № 17
Формирование требований к СЗИ Формирование требований к системе ЗИ АСЗИ
Разработка (проектирование) системы ЗИ АСЗИ Разработка системы защиты информации
Внедрение системы ЗИ АСЗИ. Аттестация АСЗИ на соответствие требованиям БИ и ввод ее в действие Внедрение системы защиты информации. Аттестация АС по требованиям защиты информации и ввод ее в действие
Сопровождение системы ЗИ в ходе эксплуатации АСЗИ Обеспечение ЗИ в ходе эксплуатации аттестованной АС.

Формирование требований к защите защиты информации, содержащейся в информационной системы, осуществляется обладателем информации (заказчиком).

Основные требования к системе защиты информации в АС:

В процессе формирования требований к СЗИ АС целесообразно найти ответы на следующие вопросы:

  1. Какие меры безопасности предполагается использовать?
  2. Какова стоимость доступных программных и технических мер защиты?
  3. Насколько эффективны доступные меры защиты?
  4. Насколько уязвимы подсистемы СЗИ?
  5. Имеется ли возможность провести анализ риска (прогнозирование возможных последствий, которые могут вызвать выявленные угрозы и каналы утечки информации)?

Разработка системы защиты информации информационной системы согласно Пункту 15 Приказа ФСТЭК России от 11.02.2013 г. № 17 включает в себя:

  1. 1. Проектирование системы защиты информации информационной системы
  2. 2. Разработку эксплутационной документации на систему защиты информации информационной системы
  3. 3. Макетирование и тестирование системы защиты информации информационной системы (при необходимости)

Типовое содержание работ в части создания системы защиты информации на определенных в ГОСТ 34.601 стадиях и этапах создания автоматизированных систем в защищенном исполнении определено в разделе 6 «Содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении» ГОСТ Р 51583 – 2014.


2. Техническое задание на создание АИС (системы защиты информации АИС)


Порядок разработки технического задания на создание (развитие или модернизации) автоматизированной системы определяет ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы."

ГОСТ 34.602-89 определяет состав и содержание разделов (подразделов) ТЗ на создание АС.


РАЗДЕЛЫ ТЕХНИЧЕСКОГО ЗАДАНИЯ
I. ОБЩИЕ СВЕДЕНИЯ
II. НАЗНАЧЕНИЕ И ЦЕЛИ СОЗДАНИЯ (РАЗВИТИЯ) СИСТЕМЫ
III. ХАРАКТЕРИСТИКА ОБЪЕКТОВ АВТОМАТИЗАЦИИ
IV. ТРЕБОВАНИЯ К СИСТЕМЕ
V. СОСТАВ И СОДЕРЖАНИЕ РАБОТ ПО СОЗДАНИЮ СИСТЕМЫ
VI. ПОРЯДОК КОНТРОЛЯ И ПРИЕМКИ СИСТЕМЫ
VII. ТРЕБОВАНИЯ К СОСТАВУ И СОДЕРЖАНИЮ РАБОТ ПО ПОДГОТОВКЕ ОБЪЕКТА АВТОМАТИЗАЦИИ К ВВОДУ СИСТЕМЫ В ДЕЙСТВИЕ
VIII. ТРЕБОВАНИЯ К ДОКУМЕНТИРОВАНИЮ
IX. ИСТОЧНИКИ РАЗРАБОТКИ
ПРИЛОЖЕНИЯ

Общие требования к автоматизированной системе по ГОСТ Р 51624 – 2000 представлены на рисунке.



Функциональные требования к АС (согласно п. 5.2 ГОСТ Р 51624 – 2000):


Требования к эффективности (п. 5.3 ГОСТ Р 51624 - 2000)

Требования к эффективности или гарантиям решения задач защиты информации в АС включают:

Технические требования (п. 5.4 ГОСТ Р 51624 - 2000) включают требования к основным вилам обеспечения АС (техническому и программному), к зданиям (помещениям) или объектам, в которых АС устанавливаются, а также к средствам защиты информации и контроля эффективности защиты информации.

Экономические требования по ЗИ (п. 5.5 ГОСТ Р 51624 - 2000) включают:


Требования к документации (п. 5.6 ГОСТ Р 51624 - 2000)

Комплектность документации на АС устанавливается в нормативных документах и по ГОСТ 34.201, и дополнительно включает документы по защите информации на автоматизированную систему.

Требования к комплектности конструкторской, технологической и эксплуатационной документации на средства защиты информации и контроля ее эффективности.

На технические средства разрабатывают конструкторскую и эксплуатационную документацию согласно требованиям ЕСКД.

Согласно пункту 14 Приказа ФСТЭК России от 11.02.2013 г. № 17 формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком) с учетом ГОСТ Р 51583 и ГОСТ Р 51624.

Согласно пункту 14.4 Приказа ФСТЭК России от 11.02.2013 г. № 17 требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624.

Автоматизированные системы в защищенном исполнении должны создаваться в соответствии с Техническим заданием, являющимся основным документом, на основании которого выполняются работы, необходимые для создания (модернизации) автоматизированной системы в защищенном исполнении в целом и ее системы защиты информации, и осуществляется приемка этих работ заказчиком (пункт 5.5 ГОСТ Р 51583-2014).

В соответствии с пунктом 4.4 ГОСТ Р 51624-2000 требования по защите информации, предъявляемые к автоматизированным системам в защищенном исполнении, задаются в Техническом задании на создание системы в соответствии с ГОСТ 34.602 в виде отдельного подраздела Технического задания на НИР (ОКР) «Требования по защите информации».

Итак, заказчик определяет : техническое задание на создание информационной системы с отдельным подразделом ТЗ на НИР (ОКР) «требования по защите информации» и техническое задание (частное техническое задание) на создание системы защиты информации информационной системы.


Техническое задание на создание СЗИ АС Частное техническое задание на создание СЗИ АС
Вновь создаваемые информационные системы Модернизируемые информационные системы

Согласно 3.13. СТР-К. Техническое (частное техническое) задание на разработку СЗИ должно содержать:

Согласно пункту 3.14. СТР-К. Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согласовывается со службой безопасности организации-заказчика, подрядными организациями и утверждается заказчиком.

Подпункт 14.4 Приказа ФСТЭК России от 11.02.2013 г. № 17 устанавливает требования к системе защиты информации:

Положения приказа ФСТЭК России от 11.02.2013 г. № 17 используются при создании государственных информационных систем (ГИС), при создании иных ИС нужно руководствоваться положениями СТРК. По решению руководителя организации при создании иных информационных систем могут использоваться положения приказа ФСТЭК России № 17.

При разработке ТЗ на АС в разделе «Требования к системе» должен быть предусмотрен подраздел «Требования по защите информации». Соответственно содержание подраздела «требования по защите информации» в зависимости от вида АС различается: для ГИС – согласно Приказу ФСТЭК России № 17, для иных ИС – в соответствии с СТРК.

Согласно пункту 4.6 ГОСТ Р 51624-2000 в АС должна быть реализована система защиты информации, выполняющая следующие функции:

Обеспечение ЗИ в АС достигается заданием, реализацией и контролем выполнения требований по защите информации:

  1. к процессу хранения, передачи и обработки защищаемой в АС информации;
  2. к системе ЗИ;
  3. к взаимодействию АС с другими АС;
  4. к условиям функционирования АС;
  5. к содержанию работ по созданию (модернизации) АСЗИ на различных стадиях и этапах ее создания (модернизации);
  6. к организациям (должностным лицам), участвующим в создании (модернизации) и эксплуатации АС;
  7. к документации на АС;
  8. к АС в целом.

Совокупность нормативных документов, регулирующих постановку технического задания на АС:



Цели защиты информации определены ст. 16 Федеральный закон 149 – ФЗ, п. 25 Положение о ГСЗИ, п. 5.2.3 ГОСТ Р 51624 – 2000, п. 5.2 ГОСТ 51583 – 2014.

Цели защиты информации в АС должны включать:

Защита информации в информационной системе осуществляется с целью предотвращения неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении защищаемой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации.

Целями защиты информации в информационной системе являются:

В ст. 16 Федерального закона 149 – ФЗ и п. 5.2 ГОСТ 51583 – 2014 не предусмотрена защита информации от утечки по техническим каналам.

Примером формирования цели защиты информации согласно подпункту 5.2.3.1 ГОСТ Р 51264 – 2000 (примерная формулировка) может быть такая:

«Общей целью защиты информации в информационной системе является предотвращение или снижение величины ущерба, наносимого владельцу и/или пользователю системы в течение всего жизненного цикла автоматизированной системы, вследствие реализации угроз безопасности информации, с показателем эффективности защиты информации 0,9».

Частными целями защиты информации, обеспечивающими достижение общей цели защиты информации в информационной системе, являются:

Задачи обеспечения защиты информации устанавливаются согласно п. 26 Положение о ГСЗИ, п.7 Приказа ФСТЭК России от 11.02.2013г. № 17, п. 5.2.6 ГОСТ Р 51624 – 2000.

Формулировка каждой задачи защиты информации в АС должна включать:

  1. наименование конкретной угрозы безопасности для АС (ее компонента), которую необходимо предотвратить (устранить) при решении задачи;
  2. формулировку способа решения задачи;
  3. перечень функций, которые должны быть реализованы для решения данной задачи;
  4. требования к эффективности или гарантиям решения задачи;
  5. ограничения на ресурсы АС, выделяемые на решение данной задачи.

Формирование задачи защиты информации (примерная формулировка): «Защита информации, содержащейся в автоматизированной системе должна обеспечивается путем выполнения обладателем информации (заказчиком) и (или) оператором требований к организации защиты информации, содержащейся в автоматизированной системе, и требований к мерам защиты информации, содержащейся в автоматизированной системе.

Система защиты информации в АС должна обеспечивать выполнение следующих задач:

Каким образом обеспечивается выполнение задач защиты информации (примерная формулировка):
«Предотвращение перехвата техническими средствами информации, передаваемой по каналам связи, должна обеспечиваться применением криптографических средств защиты, а также проведением организационно-технических и режимных мероприятий. Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок должно обеспечиваться применением защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранированием помещений, установлением контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами».

Вопрос о том, каким образом обеспечивается выполнение задач защиты информации, определен в п.26 Положения о ГСЗИ.


Класс защищенности АС (категория, уровень)


Приказ ФСТЭК России от 11.02.2013 г. № 17, РД Гостехкомиссии России.

Требования к системе защиты информации определяются в зависимости от класса защищенности (категории – АС ГТ, уровень защищенности - ИСПДн) информационной системы и угроз безопасности информации.

Перечень объектов защиты информационной системы определяется в соответствии с п. 24 Положение о ГСЗИ, п. 4.8 ГОСТ Р 51624 – 2000, СТР и СТР – К.

Согласно п.2.7 СТР – К СЗИ АИС должна обеспечивать защиту:

Согласно п. 24 Положения о ГСЗИ в интересах обеспечения защиты информации в АИС защите подлежит:

  1. Информационные ресурсы, содержащие сведения, отнесенные к государственной или служебной тайне, представленные в виде носителей на магнитной и оптической основе, информативных физических полей, информативных массивов и баз данных.
  2. Средства и системы информатизации (……, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации (………..смысловой и буквенно-цифровой информации), используемые для обработки информации, содержащей сведения, отнесенные к государственной или служебной тайне.
  3. Технические средства и системы, не обрабатывающие информацию, но ……., где обрабатывается (циркулирует) информация, содержащая ….. тайне.

Требования к мерам защиты установлены п. 20, прил. 2 Приказа ФСТЭК России от 11.02.2013 г. № 17, п. 5.3 ГОСТ Р 51583 - 2014, п. 5.3 ГОСТ Р 51624 – 2000, сборником РД (руководящих документов) ФСТЭК России.

Меры защиты информационных ресурсов АИС достаточно многочисленны:

Согласно приказу ФСТЭК России от 11.02.2013 г. № 17 Организационные и технические меры защиты информации, реализуемые в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик должны обеспечивать:

Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности информационных систем приведены в приложении № 2 к приказу ФСТЭК России от 11.02.2013 г. № 17. Для выбора мер защиты информации для соответствующего категории АИС ГТ применяются методические документы, разработанные и утвержденные ФСТЭК России.

Требования к средствам защиты установлены Указом Президента Российской Федерации от 17 марта 2008 г. № 351, п. 27 Положение о ГСЗИ, п. 5.4.5 ГОСТ Р 51624 – 2000, п. 26 Приказа ФСТЭК России от 11.02.2013 № 17, РД ФСТЭК России.



Требования к защите информации при информационном взаимодействии с иными информационными системами установлены п. 27 Положения о ГСЗИ, п. 5.4.5 ГОСТ Р 51624 – 2000, Приказами Минкомсвязи России от 23.03.2009 № 41 и от 27.12.2010 № 190, Приказом ФНС России от 13.01.2012 № ММВ-7-4/6, РД ФСТЭК России.

Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту информации при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы, проектных решений по ее системе защиты информации, направленных на обеспечение защиты информации (Приказ ФСТЭК России от 11.02.2013 г. № 17).

Определение требований к экранированию, выполняющему функции разграничения информационных потоков на границе защищаемой сети изложено в «Требованиях к межсетевым экранам» 2016 год.

К организационно-режимным мерам относятся:

  1. контроль доступа посторонних лиц к ТС и каналам связи в КЗ участника взаимодействия;
  2. обслуживание ИС, подключенных к системе взаимодействия, только лицами, имеющими право доступа к информации, содержащейся в указанных информационных системах;
  3. исключения доступа посторонних лиц к защищаемой (в т.ч. парольной и ключевой) информации, хранящейся на используемых и отчуждаемых носителях информации;
  4. учет лиц, имеющих доступ к оконечному оборудованию, обеспечивающему криптографическую защиту каналов связи системы взаимодействия, расположенному в КЗ участника взаимодействия, а также лиц, имеющих возможность изменения конфигурации ИС данного участника взаимодействия, подключенных к системе взаимодействия.

Пример раздела «Требования по защите информации»:

«Организационные - технические меры защиты информации и сертифицированные средства защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, должны обеспечивать реализацию требований приложения № 2 приказа ФСТЭК России от 11 февраля 2013 г. № 17 к составу мер защиты информации и базовому набору для информационной системы 2 класса защищенности регионального масштаба».

«Система защиты информации в АИС должна обеспечивать выполнение следующих требований по идентификации и аутентификации пользователей :


3. Система документов на создание автоматизированных систем


Система документов АС – это виды и комплектность документации, разрабатываемых на стадиях создания автоматизированных систем. Ее определяет ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.

Основные определения ГОСТ 34.201-89:

Документация на автоматизированную систему - комплекс взаимоувязанных документов, в котором полностью описаны все решения по созданию и функционированию системы, а также документов, подтверждающих соответствие системы требованиям технического задания и готовность ее к эксплуатации (функционированию).

Проектно-сметная документация на АС - часть документации на АС, разрабатываемая для выполнения строительных и монтажных работ, связанных с созданием АС.

Рабочая документация на АС - часть документации на АС, необходимой для изготовления, строительства, монтажа и наладки автоматизированной системы в целом, а также входящих в систему программно-технических, программно-методических комплексов и компонентов технического, программного и информационного обеспечения.

Согласно п.2.1. ГОСТ 34.201-89 перечень наименований разрабатываемых документов и их комплектность на систему и ее части должен быть определен в Техническом задании на создание автоматизированной системы.

ГОСТ 34.201-89 устанавливает следующие виды документов: проектно – сметная документация и эксплуатационная документация. Проектная документация СЗИ АС включает в себя:

Эксплуатационная документация СЗИ АС включает в себя:

Рекомендуемый состав проектной документации на АИС

предпроектная стадия:

  1. Аналитическое обоснование необходимости создания СЗИ.
  2. Акт классификации АС (ПЭВМ, средств ВТ).
  3. Перечень устанавливаемых ОТСС и ВТСС.
  4. Техническое задание на создание (реконструкцию) ОИ.

стадия проектирования:

  1. Эскизный проект на создание (реконструкцию) ОИ.
  2. Технический проект на создание (реконструкцию) ОИ.
  3. Описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации.

стадия ввода АИС в эксплуатацию:

  1. Приемо-сдаточный акт средств ЗИ.
  2. Акты внедрения средств ЗИ.
  3. Протоколы аттестационных испытаний и заключение по их результатам.
  4. Аттестат соответствия АИС требованиям по безопасности информации.

Перечень работ, выполняемых на стадии ввода в эксплуатацию объекта информатизации и СЗИ:

Оформляемые документы:

  1. Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний.
  2. Протоколы аттестационных испытаний и заключение по их результатам.
  3. Аттестат соответствия объекта информатизации требованиям по безопасности информации.
  4. Приказ (указание, решение) о назначении лиц, ответственных за эксплуатацию объекта информатизации.
  5. Приказ (указание, решение) о разрешении обработки в АС (обсуждении в ЗП) конфиденциальной информации.

На стадии "Ввод в действие" согласно ГОСТ 34.201-89 разрабатывают следующие организационно-распорядительные документы:

Рекомендуемый состав организационно-распорядительной документации

Оформляются приказы (указания, решения):

Требования к содержанию документов на автоматизированную систему определяет РД 50-34.698-90 "Методические указания. Информационная технология."

Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов.

Номенклатуру дополнительной документации по защите информации на автоматизированную систему определяет ГОСТ Р 51624-2000 «Защита информации. Автоматизированные информационные системы в защищенном исполнении». Согласно ему определена следующая дополнительная документация:

Структуру и содержание программы и методики аттестационных испытаний объектов информатизации определяет Национальный стандарт Российской Федерации ограниченного распространения ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методика аттестационных испытаний».

Разделы документа:

  1. Общие положения
  2. Программа аттестационных испытаний объектов информатизации
  3. Методика аттестационных испытаний объектов информатизации

Раздел «Общие положения» состоит из:

Раздел «Программа аттестационных испытаний АС (ИС)» состоит из:

Допускается устанавливать особенности аттестации распределенной ИС на основе результатов испытаний выделенного набора ее сегментов. Требования к содержанию ПАИ СИРД и средств обработки речевой и видеоинформации аналогичны.

Раздел "Методика аттестационных испытаний АС (ИС)" состоит из:

Нормативные правовые документы

  1. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  2. Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».
  3. Постановлением Совета Министров – Правительства Российской Федерации от 15 сентября 1993 г. № 912-51 «Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам».
  4. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных».
  5. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Нормативные и методические документы

  1. ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем».
  2. ГОСТ 34.601-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».
  3. ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».
  4. ГОСТ Р 51624-2000 «Защита информации. Автоматизированные информационные системы в защищенном исполнении».
  5. ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
  6. ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
  7. ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности».
  8. ГОСТ Р ИСО/МЭК ТО 19791-2008 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем».
  9. ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».
  10. ГОСТ Р ИСО/МЭК 21827-2010 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса».
  11. ГОСТ Р 54869 «Требования к управлению проектом для обеспечения эффективного достижения целей проекта».
  12. ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель».
  13. ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности».
  14. ГОСТ Р ИСО/МЭК ТО 15446-2008 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности».
  15. ГОСТ Р ИСО/МЭК 18045-2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий».
  16. ГОСТ Р ИСО/МЭК 21827-2010 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса».