ГОСТ Р 51583-2014. Семинар 7

1.

МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РФ
РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ НЕФТИ И ГАЗА
(НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ)
ИМЕНИ И. М. ГУБКИНА
ГОСТ Р 51583-2014
ВЫПОЛНИЛА:
СТУДЕНТКА ГРУППЫ
КС-20-05
КУРЕЕВА ЕЛЕНА
МОСКВА, 2024

2.

ГОСТ Р 51583-2014
Защита информации. ПОРЯДОК СОЗДАНИЯ
АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ
ИСПОЛНЕНИИ. Общие положения

3.

СОДЕРЖАНИЕ
• 1 Область применения
• 2 Нормативные ссылки
• 3 Термины и определения
• 4 Обозначения и сокращения
• 5 Общие положения
• 6 Содержание и порядок выполнения работ на стадиях и этапах создания
автоматизированных систем в защищенном исполнении
• 7 Содержание и порядок выполнения работ по защите информации о создаваемой
автоматизированной системе в защищенном исполнении
• Приложение А (справочное) Примерный перечень и содержание нормативной
информации национальных стандартов, рекомендуемых к применению при создании
автоматизированных систем в защищенном исполнении

4.

ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящий
стандарт
распространяется
на
создаваемые
(модернизируемые) информационные автоматизированные системы,
в
отношении
которых
законодательством
или
заказчиком
установлены требования по их защите, и устанавливает содержание
и порядок выполнения работ на стадиях и этапах создания
автоматизированных систем в защищенном исполнении, содержание
и порядок выполнения работ по защите информации о создаваемой
(модернизируемой) автоматизированной системе в защищенном
исполнении.

5.

НОРМАТИВНЫЕ ССЫЛКИ

6.

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
• мероприятия по защите информации: Совокупность действий, направленных на
разработку и/или практическое применение способов и средств защиты информации.
• обработка информации: Выполнение любого действия (операции) или совокупности
действий (операций) с информацией (например, сбор, накопление, ввод, вывод, прием,
передача, запись, хранение, регистрация, преобразование, отображение и т. п.),
совершаемых с заданной целью.
• система защиты информации автоматизированной системы: Совокупность
организационных мероприятий, технических, программных и программно-технических
средств защиты информации и средств контроля эффективности защиты информации.
• информационная система: Совокупность содержащейся в базах данных информации
и обеспечивающих ее обработку информационных технологий и технических средств.

7.

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
• АС — автоматизированная система;
• АСЗИ — автоматизированная система в защищенном исполнении;
ЗИ — защита информации;
• НИР — научно-исследовательская работа;
• НСД — несанкционированный доступ;
• ОКР — опытно-конструкторская работа;
• ПС — программное средство;

8.

ОБЩИЕ ПОЛОЖЕНИЯ
Для обработки информации, необходимость защиты которой определяется
законодательством Российской Федерации или решением ее обладателя,
должны создаваться АСЗИ, в которых реализованы в соответствии с
действующими нормативными правовыми актами требования о ЗИ.
Реализация требований о ЗИ в АСЗИ осуществляется системой ЗИ,
являющейся неотъемлемой составной частью АСЗИ.
Целью создания системы ЗИ АСЗИ является обеспечение ЗИ от
неправомерного доступа, уничтожения, модифицирования, блокирования,
копирования, предоставления, распространения, а также от иных
неправомерных действий в отношении такой информации, соблюдение
конфиденциальности информации ограниченного доступа, реализация права
на доступ к информации.

9.

ОБЩИЕ ПОЛОЖЕНИЯ
При создании (модернизации) АСЗИ необходимо руководствоваться следующими общими требованиями:
• система ЗИ АСЗИ должна обеспечивать комплексное решение задач по ЗИ от НСД, от утечки защищаемой
информации по техническим каналам, от несанкционированных и непреднамеренных воздействий на
информацию (на носители информации) применительно к конкретной АСЗИ. Состав решаемых задач по ЗИ
определяется задачами обработки информации, решаемыми с использованием АСЗИ, ее программным и
аппаратным составом, конфигурацией этой системы, условиями функционирования, требованиями,
предъявляемыми к обрабатываемой информации, угрозами безопасности информации;
• система ЗИ АСЗИ должна разрабатываться (проектироваться) с учетом возможности реализации требований о
защите обрабатываемой информации при использовании в АСЗИ методов и программно-аппаратных средств
организации сетевого взаимодействия;
• система ЗИ АСЗИ должна создаваться с учетом обеспечения возможности формирования различных вариантов
ее построения, а также расширения возможностей ее составных частей (сегментов) в зависимости от условий
функционирования АСЗИ и требований о ЗИ;
• ЗИ должна обеспечиваться во всех составных частях (сегментах) АСЗИ, используемых в обработке защищаемой
информации;

10.

ОБЩИЕ ПОЛОЖЕНИЯ
Обеспечение ЗИ в АСЗИ достигается заданием, реализацией и контролем выполнения требований о
защите информации:
- к процессу хранения, передачи и обработки защищаемой в АСЗИ информации;
- к системе ЗИ;
- к взаимодействию АСЗИ с другими АС;
- к условиям функционирования АСЗИ;
- к содержанию работ по созданию (модернизации) АСЗИ на различных стадиях и этапах ее создания
(модернизации);
- к организациям (должностным лицам), участвующим в создании (модернизации) и эксплуатации
АСЗИ;
- к документации на АСЗИ;
- к АСЗИ в целом.

11.

ОБЩИЕ ПОЛОЖЕНИЯ
В работах по созданию (модернизации) АСЗИ и ее системы ЗИ
участвуют:
• заказчик АСЗИ
• разработчик АСЗИ
• изготовитель ТС и ПС
• поставщик ТС и ПС

12.

ОБЩИЕ ПОЛОЖЕНИЯ
Перед вводом в эксплуатацию комплексов ТС АСЗИ (в случае отсутствия
документа, подтверждающего уже проведенные исследования) и
периодически в процессе их эксплуатации проводятся исследования по
криптографической ЗИ в составе комплексов ТС АСЗИ организациями,
имеющими лицензию на этот вид работ .
Порядок эксплуатации АСЗИ с использованием криптографических средств
регламентируется
законодательством
Российской
Федерации
и
нормативными правовыми актами федерального органа исполнительной
власти, уполномоченного в области обеспечения безопасности.
Контроль выполнения требований инструкций по эксплуатации средств
криптографической ЗИ возлагается на специальные подразделения
(штатных специалистов) по ЗИ на предприятии (организации),
эксплуатирующем данные средства.

13.

ОБЩИЕ ПОЛОЖЕНИЯ
• Виды испытаний АСЗИ и общие требования к их проведению определяются ГОСТ 34.603, а также
нормативными правовыми актами и методическими документами уполномоченного федерального органа
исполнительной власти и национальными стандартами по ЗИ.
• Испытания АСЗИ на соответствие требованиям безопасности информации от ее утечки по техническим
каналам, несанкционированного доступа к ней, от несанкционированных и непреднамеренных воздействий
на информацию, в том числе по криптографической и антивирусной защите, по обнаружению вторжений
(атак) и др. осуществляются в соответствии с положениями нормативных правовых актов и методических
документов уполномоченных федеральных органов исполнительной власти и национальных стандартов.
В случаях, установленных федеральными законами, актами Президента Российской Федерации и
Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных
органов исполнительной власти, для подтверждения соответствия системы ЗИ АСЗИ в реальных условиях
эксплуатации требованиям безопасности информации осуществляется аттестация АСЗИ на соответствие
требованиям безопасности информации.
Аттестация АСЗИ проводится до ввода АСЗИ в постоянную эксплуатацию в соответствии с положениями
нормативных правовых актов и методических документов уполномоченных федеральных органов
исполнительной власти и национальных стандартов.

14.

СОДЕРЖ АН И Е И П О РЯ Д ОК ВЫ П ОЛ Н ЕН ИЯ РАБО Т
Н А СТА Д И Я Х И Э ТАП АХ СО З Д АН ИЯ
АВТОМАТИЗИРОВАН Н ЫХ С ИСТЕМ В
З А Щ И Щ Е Н НОМ И С П ОЛН Е НИ И
Создание системы ЗИ АСЗИ обеспечивается следующим комплексом
работ:
формирование требований к системе ЗИ АСЗИ;
разработка (проектирование) системы ЗИ АСЗИ;
внедрение системы ЗИ АСЗИ;
аттестация АСЗИ на соответствие требованиям безопасности
информации и ввод ее в действие;
сопровождение системы ЗИ входе эксплуатации АСЗИ.

15.

СОДЕРЖ АН И Е И П О РЯ Д ОК ВЫ П ОЛ Н ЕН ИЯ РАБО Т
Н А СТА Д И Я Х И Э ТАП АХ СО З Д АН ИЯ
АВТОМАТИЗИРОВАН Н ЫХ С ИСТЕМ В
З А Щ И Щ Е Н НОМ И С П ОЛН Е НИ И
Формирование требований к системе ЗИ АСЗИ организуется
заказчиком и осуществляется разработчиком на основе требований:
по предотвращению утечки информации по техническим каналам,
несанкционированного доступа к ней,
несанкционированных и непреднамеренных воздействий
информацию, в том числе требований по криптографической
антивирусной защите, по обнаружению вторжений (атак),
обеспечению устойчивости и непрерывности функционирования
АСЗИ и др.
на
Формирование требований к системе ЗИ АСЗИ
осуществляется на следующих стадиях создания АСЗИ,
определенных ГОСТ 34.601:
• «Формирование требований к АС»;
• «Разработка концепции АС»;
• «Техническое задание»

16.

СТА Д И Я « Ф О РМ И РО ВАН ИЕ Т РЕБО ВАН И Й К АС »
ВКЛ ЮЧАЕТ В С ЕБЯ ЭТАПЫ :
• «Обследование объекта и обоснование необходимости создания
АС»
• «Формирование требований пользователя к АС»
• «Оформление отчета о выполненной работе и заявки на
разработку АС (ТТЗ)»

17.

СТА Д И Я « РАЗ РАБО Т КА КО Н ЦЕП ЦИИ АС »
ВКЛ ЮЧАЕТ В С ЕБЯ ЭТАПЫ :
• «Изучение объекта»
• «Проведение необходимых научно-исследовательских работ»
• «Разработка вариантов концепции АС и выбор варианта концепции
АС, удовлетворяющего требованиям пользователя»

18.

СТА Д И Я « Т ЕХН И ЧЕС КО Е З А Д АН И Е»
ВКЛ ЮЧАЕТ В С ЕБЯ ЭТАПЫ :
• «Разработка и утверждение технического задания на создание АС»
• «Разработка проектных решений по системе и ее частям»

19.

ВН ЕД РЕН И Е С И СТ ЕМ Ы З И АСЗ И ВКЛ ЮЧАЕТ :
установку и настройку СЗИ;
разработку
организационно-распорядительных
документов,
определяющих мероприятия по ЗИ в ходе эксплуатации АСЗИ;
предварительные испытания системы ЗИ АСЗИ;
опытную эксплуатацию и доработку системы ЗИ АСЗИ;
приемочные испытания системы ЗИ АСЗИ;
аттестацию АСЗИ на соответствие требованиям безопасности
информации.

20.

СОД Е РЖ А Н И Е И П О РЯ Д О К В Ы П О Л Н Е Н И Я РА БО Т П О
З А Щ И Т Е И Н Ф О РМ А Ц И И О СО З Д А ВА Е М О Й
А ВТО М АТ И З И РО ВА Н Н О Й С И СТ Е М Е В З А Щ И Щ Е Н Н О М
ИСПОЛНЕНИИ
ЗИ о создаваемой АСЗИ является составной частью работ по
их созданию и осуществляется во всех организациях, участвующих в
процессе создания (модернизации) этих систем, в случаях,
установленных федеральными законами, актами Президента
Российской Федерации и Правительства Российской Федерации,
нормативными правовыми актами уполномоченных федеральных
органов исполнительной власти или заказчиком.

21.

ОСНОВНЫМИ ВИДАМИ РАБОТ ПО ЗИ О
СОЗДАВАЕМЫХ (МОДЕРНИЗИРУЕМЫХ)
АСЗИ ЯВЛЯЮТСЯ:
-
разработка замысла ЗИ о создаваемой (модернизируемой) АСЗИ;
-
определение защищаемой информации о создаваемой (модернизируемой)
АСЗИ на различных стадиях ее создания;
-
определение
носителей
защищаемой
информации
о
создаваемой
(модернизируемой) АСЗИ и их уязвимостей, актуальных угроз безопасности
информации;
-
определение и технико-экономическое обоснование организационных и
технических мероприятий, которые необходимо проводить в интересах ЗИ о
создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
-
обоснование, разработка и /или закупка средств, необходимых для ЗИ о
создаваемой (модернизируемой) АСЗИ;
-
обоснование и разработка мероприятий по контролю состояния ЗИ
создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
-
разработка документов, регламентирующих организацию и осуществление ЗИ о
создаваемой (модернизируемой) АСЗИ.
о

22.

К З А Щ И Щ А Е М О Й И Н Ф О РМ А Ц И И О СО З Д А ВА Е М О Й
( М ОД Е Р Н И З И РУ Е М О Й ) АСЗ И О Т Н О С Я Т :
цель и задачи ЗИ в АСЗИ;
перечень составных частей (сегментов) АСЗИ, участвующих в обработке
защищаемой в АСЗИ информации;
состав возможных уязвимостей АСЗИ, возможных последствий от реализации
угроз безопасности информации для нарушения свойств безопасности
информации (конфиденциальность, целостность, доступность);
структурно-функциональные характеристики АСЗИ, включающие структуру и
состав АСЗИ, физические, функциональные и технологические взаимосвязи
между составными частями АСЗИ и взаимосвязи с иными системами, режимы
обработки информации в АСЗИ в целом и в ее отдельных составных частях; меры и СЗИ, применяемые в АСЗИ;
сведения о реализации системы ЗИ в АСЗИ. Применительно к конкретной АСЗИ
перечень защищаемой информации устанавливает заказчик

23.

СОДЕРЖ АН И Е И П О РЯ Д ОК ВЫ П ОЛ Н ЕН ИЯ РАБО Т
ПО З АЩ И Т Е И Н Ф О РМ АЦИ И О СО З Д АВАЕМ ОЙ
АВТОМАТИЗИРОВАН Н ОЙ С ИСТЕМЕ В
З А Щ И Щ Е Н НОМ И С П ОЛН Е НИ И
• При разработке АСЗИ должна быть организована разрешительная
система доступа разработчиков, эксплуатирующего персонала, а при
необходимости — и сотрудников сторонних организаций (поставщиков
ТС, ПС и услуг для гарантийного и послегарантийного обслуживания,
контролирующих органов) к защищаемой информации о АСЗИ,
документации на АСЗИ, ТС и ПС, а также к информационным
ресурсам, содержащим защищаемую информацию.
• Общее руководство работами по ЗИ при создании (модернизации)
АСЗИ осуществляет один из заместителей руководителя организации
(предприятия), осуществляющей ее разработку (модернизацию), или
уполномоченное лицо.

24.

КОНТРОЛЬ СОСТОЯНИЯ ЗИ
ЗАКЛЮЧАЕТСЯ В ОЦЕНКЕ:
-
соблюдения
положений
нормативных
документов,
устанавливающих требования безопасности информации при
создании (модернизации) АСЗИ;
-
эффективности ЗИ о создаваемой (модернизируемой) АСЗИ;
-
знания исполнителями работ по созданию (модернизации) АСЗИ
своих функциональных обязанностей в части ЗИ.

25.

ПРИЛОЖЕНИЕ

26.

ЗАКЛЮЧЕНИЕ
В заключение можно отметить, что настоящий стандарт представляет
собой важный инструмент регулирования процесса создания и
модернизации
информационных
автоматизированных
систем,
подпадающих под
требования
по
защите, установленные
законодательством или заказчиком. Он определяет содержание и
порядок выполнения работ на различных стадиях и этапах разработки
таких систем в защищенном исполнении, а также устанавливает
необходимые меры по защите информации о них.