Normas temporales sobre la organización del desarrollo y fabricación y operación de software y hardware para proteger la información del acceso no autorizado en sistemas automatizados y equipos informáticos.
DOCUMENTO ORIENTATIVO
REGLAMENTO TRANSITORIO
SOBRE LA ORGANIZACIÓN DEL DESARROLLO, PRODUCCIÓN Y OPERACIÓN DE SOFTWARE Y HERRAMIENTAS TÉCNICAS PARA LA PROTECCIÓN DE LA INFORMACIÓN
DEL ACCESO NO AUTORIZADO
EN SISTEMAS AUTOMATIZADOS Y CARACTERÍSTICAS DE EQUIPOS INFORMÁTICOS
Abreviaturas aceptadas:
AC — sistema automatizado
VD — documento temporal
ZAS — equipos de comunicaciones clasificados
KSZ — complejo de equipos de protección
NSD — acceso no autorizado
NTD— documentación reglamentaria y técnica
OS — sistema operativo
PPP — paquete de solicitud
PRD — reglas de control de acceso
RD — documento de orientación
SVT — instalaciones informáticas
SZI — sistema de seguridad de la información
SZI NSD — sistema para proteger la información del acceso no autorizado
SZSI — sistema de protección de información secreta
SNTP— unidad científica y técnica especial
SRD — sistema de control de acceso
DBMS — sistema de gestión de bases de datos
TK — términos de referencia
Computadora — computadora electrónica
EVT — tecnología informática electrónica
1. DISPOSICIONES GENERALES
1.1. Este Reglamento establece un procedimiento uniforme para la investigación y el desarrollo en el territorio de la Federación de Rusia en el campo de:
protección de la información procesada por sistemas automatizados de diversos niveles y propósitos contra el acceso no autorizado;
creación de equipos informáticos para fines generales y especiales, protegidos contra fugas, distorsión o destrucción de información debido al acceso no autorizado[1], incluido software y hardware para proteger la información del acceso no autorizado;
creación de software y hardware para proteger la información del acceso no autorizado como parte de los sistemas de protección de información clasificada en los sistemas que se están creando.
1.2. El reglamento define las siguientes cuestiones principales:
-
estructura organizativa y procedimiento para llevar a cabo el trabajo para proteger la información del acceso e interacción no autorizados a nivel estatal;
-
un sistema de regulaciones, normas, documentos de orientación y requisitos estatales sobre este tema;
-
el procedimiento para el desarrollo y aceptación de dispositivos electrónicos protegidos, incluidos software y hardware (en particular, criptográficos) herramientas y sistemas para proteger la información contra el acceso no autorizado;
-
el procedimiento para aceptar los medios y sistemas especificados antes de su puesta en servicio como parte de la central nuclear, el procedimiento para su operación y el seguimiento del desempeño de estos medios y sistemas durante la operación.
1.3. El Reglamento fue desarrollado para desarrollar la Instrucción No. 0126-87 sobre los requisitos de software, hardware y sistemas para proteger la información del acceso no autorizado y se basa en el Concepto de protección de SVT y AS del acceso no autorizado a la información.
Las medidas organizativas para prevenir fugas y proteger la información, que son una parte integral de la solución del problema de proteger la información del acceso no autorizado, se basan en los requisitos de las instrucciones especificadas, complementan las herramientas y sistemas de software y hardware, y en esta parte son materia de consideración de la presente Disposición Transitoria.
1.4. La disposición temporal es obligatoria para todos los organismos gubernamentales, empresas estatales, unidades militares, otras instituciones, organizaciones y empresas (independientemente de su forma de propiedad) que posean secretos de estado, y está destinada a clientes, desarrolladores y usuarios de computadoras protegidas. sistemas, sistemas automatizados que funcionan utilizando información de diversos grados de confidencialidad.
1.5. Las herramientas y sistemas de software y hardware desarrollados y operados para proteger la información contra el acceso no autorizado deben ser una parte integral de los sistemas informáticos protegidos, sistemas automatizados que procesan información con diversos grados de secreto.
1.6. Al desarrollar herramientas y sistemas de protección en AS y SVT se deben guiar los requisitos de los siguientes documentos orientativos:
-
El concepto de protección de equipos informáticos y automatizados. sistemas contra el acceso no autorizado a la información;
-
presente Reglamento Temporal;
-
Protección contra el acceso no autorizado a la información. Términos y definiciones;
-
Tecnología informática. Protección contra el acceso no autorizado a la información. Indicadores de seguridad contra el acceso no autorizado a la información;
-
Sistemas automatizados. Protección contra el acceso no autorizado a la información. Clasificación de sistemas automatizados y requisitos para la protección de la información.
2. ESTRUCTURA ORGANIZATIVA, PROCEDIMIENTO DE TRABAJO PARA PROTEGER LA INFORMACIÓN
DE NSD E INTERACCIÓN A NIVEL ESTATAL
2.1. El cliente de equipos electrónicos protegidos es el cliente del correspondiente AS diseñado sobre la base de estos equipos electrónicos.
El cliente de equipos electrónicos protegidos financia su desarrollo o participa en el capital del financiación del desarrollo de equipos electrónicos de uso general en términos de la implementación de sus requisitos.
2.2. El cliente de software y hardware para proteger la información contra el acceso no autorizado a los datos puede ser una agencia gubernamental o una empresa colectiva, independientemente de la forma de propiedad.
2.3. La Comisión Técnica Estatal de Rusia establece tareas para la protección integral[2] de la información procesada por sistemas automatizados, así como el seguimiento del estado y desarrollo de esta área de trabajo.
2.4. Los desarrolladores de computadoras seguras de uso general y especial, incluido su software para todo el sistema, son empresas de propiedad estatal — fabricantes de equipos electrónicos, así como otras organizaciones autorizadas para realizar actividades en el campo de la seguridad de la información.
2.5. Los desarrolladores de herramientas y sistemas de software y hardware para proteger la información contra el acceso no autorizado pueden ser empresas que tengan una licencia para llevar a cabo las actividades especificadas.
2.6. Al llevar a cabo trabajos de investigación y desarrollo en el campo de la protección de la información clasificada contra el acceso no autorizado, la creación de SVT seguros de uso general se lleva a cabo por orden estatal a propuesta de los departamentos interesados, de acuerdo con la Comisión Técnica Estatal de Rusia.
2.7.La organización y funcionamiento de los centros de certificación estatales e industriales están determinados por el Reglamento de dichos centros. Son responsables de realizar pruebas de certificación de software y hardware para proteger la información del acceso no autorizado. La lista de centros de certificación está aprobada por la Comisión Técnica Estatal de Rusia.
3. SISTEMA DE REGLAMENTACIONES ESTATALES, NORMAS, DOCUMENTOS ORIENTATIVOS
Y REQUISITOS PARA LA PROTECCIÓN DE LA INFORMACIÓN CONTRA NSD
3.1. El sistema de regulaciones, estándares, directrices y requisitos estatales para la protección de la información contra el acceso no autorizado se basa en las leyes que determinan la protección de los secretos de estado y la ley de información informática.
3.2. El sistema de estos documentos define el trabajo en dos direcciones:
primera — desarrollo de equipos de uso general y especial protegidos contra fugas, distorsión o destrucción de información, herramientas y sistemas de software y hardware (incluidos los criptográficos) para proteger la información contra el acceso no autorizado;
segundo — desarrollo, implementación y operación de sistemas de protección de centrales nucleares de diversos niveles y propósitos, tanto sobre la base de equipos electrónicos protegidos, incluidos software y hardware y sistemas de protección de la información contra el acceso no autorizado, que hayan pasado pruebas de certificación, como sobre la base de herramientas y sistemas. de nuestro propio desarrollo.
3.3. El sistema de documentación de la primera dirección incluye documentos (incluidos GOST, RD y requisitos) que definen:
-
varios niveles de equipamiento de SVT con medios para proteger la información contra el acceso no autorizado y métodos de evaluación de estos niveles (criterios de seguridad);
-
el procedimiento para desarrollar SVT protegido; interacción, derechos y obligaciones de clientes y desarrolladores en las etapas de pedido y desarrollo de equipos electrónicos seguros;
-
el procedimiento de aceptación y certificación de equipos protegidos; interacción, derechos y obligaciones de clientes y desarrolladores en las etapas de aceptación y certificación de equipos protegidos;
-
desarrollo de documentos operativos y certificados.
3.4. El sistema de documentación de la segunda dirección incluye documentos (incluidos GOST, RD y requisitos) que definen:
-
el procedimiento para organizar y llevar a cabo el desarrollo de un sistema para proteger la información clasificada, la interacción, los derechos y obligaciones del cliente y del desarrollador del AS en general y del SZSI en particular;
-
el procedimiento para desarrollar y tomar prestado software, hardware y sistemas para proteger la información del acceso no autorizado durante el desarrollo de información de seguridad de la información;
-
el procedimiento para configurar dispositivos electrónicos protegidos, incluido software y hardware y sistemas para proteger la información del acceso no autorizado a las condiciones operativas específicas del AS;
-
el procedimiento para la puesta en servicio y aceptación de software, hardware y sistemas para proteger la información del acceso no autorizado como parte del AS adoptado;
-
procedimiento para el uso de dispositivos electrónicos protegidos, incluidos software y hardware y sistemas para proteger la información del acceso no autorizado a datos que hayan superado las pruebas de certificación, de acuerdo con las clases y requisitos de protección en sistemas específicos;
-
el procedimiento para operar los medios y sistemas especificados;
-
desarrollo de documentos y certificados operativos;
-
el procedimiento para monitorear la seguridad del AS;
-
responsabilidad de los funcionarios y diversas categorías de ejecutores (usuarios) de la implementación del procedimiento establecido para el desarrollo y operación de la central nuclear en general y del SZSI En particular.
3.5. La composición de la documentación que define el trabajo en estas áreas la establece la Norma Estatal de la Federación de Rusia y la Comisión Técnica Estatal de Rusia.
3.6. Un requisito obligatorio para los términos de referencia para el desarrollo de SVT y AS debe ser la presencia de una sección de requisitos para la protección contra NSD, y la documentación que acompaña al lanzamiento de SVT y AS debe contener necesariamente un documento (certificado) que contenga los resultados. de un análisis de su protección frente al DSD.
4. PROCEDIMIENTO PARA EL DESARROLLO Y FABRICACIÓN DE SVT PROTEGIDOS, INCLUYENDO HERRAMIENTAS DE SOFTWARE Y HARDWARE Y SISTEMAS DE PROTECCIÓN DE LA INFORMACIÓN CONTRA NSD
4.1. Al desarrollar y fabricar dispositivos electrónicos seguros, incluidos software, hardware y sistemas de protección, es necesario guiarse por el sistema existente para desarrollar y poner en producción productos, definido por GOST 21552-84 y su VD, GOST 16325-88 y su VD, GOST ;15.001-88, GOST 23773-88, GOST 34.201-89, GOST 34.602-89, RD 50-601-10-89, RD 50-601-11-89, RD 50-601-12 -89 y otros documentos.
4.2. El desarrollo de SVT seguros de uso general, incluido su software para todo el sistema, lo llevan a cabo las empresas fabricantes de SVT por orden estatal de acuerdo con las especificaciones técnicas acordadas con la Comisión Técnica Estatal de Rusia (en el caso de herramientas criptográficas integradas y sistemas con la Principal Autoridad Criptográfica del país y la empresa desarrolladora de estas herramientas y sistemas).
4.3. El desarrollo de dispositivos electrónicos seguros para fines especiales, incluido su software (para todo el sistema y aplicado), lo llevan a cabo empresas fabricantes de dispositivos electrónicos bajo órdenes estatales de acuerdo con las especificaciones técnicas acordadas con la Comisión Técnica Estatal de Rusia (en en el caso de herramientas y sistemas criptográficos integrados (la principal autoridad criptográfica del país y el desarrollador de estas herramientas y sistemas) y equipos para fines especiales aprobados por el cliente.
4.4. El procedimiento para desarrollar software seguro basado en software en funcionamiento para todo el sistema.
4.4.1. Se puede realizar el desarrollo de software seguro basado en software general del sistema (SO, DBMS, software de red) que esté en funcionamiento o suministrado junto con equipos electrónicos no protegidos por los fabricantes de estos equipos o el Fondo Estatal de Algoritmos y Programas (GosFAP). por pedido para necesidades gubernamentales de acuerdo con las especificaciones técnicas acordadas con el desarrollador del software correspondiente para todo el sistema, con la Comisión Técnica Estatal de Rusia dentro de su competencia y aprobadas por el cliente de este software.
4.4.2. En este caso, el desarrollador empresarial de una herramienta de software para todo el sistema está obligado a proporcionar al desarrollador empresarial del software protegido toda la documentación necesaria y a realizar consultas durante el desarrollo.
4.4.3. Si es necesario, determinado por el cliente del trabajo, la empresa desarrolladora de una herramienta de software para todo el sistema puede ser coejecutor en el desarrollo de una herramienta de software protegida.
4.4. 4. El desarrollo de software seguro también lo pueden realizar empresas de los departamentos interesados bajo órdenes de la industria. En este caso, la organización principal de esta industria acuerda la especificación técnica que cumple con los mismos requisitos con la Comisión Técnica Estatal de Rusia dentro de su competencia y es aprobada por el cliente del software protegido.
4.5. El procedimiento para desarrollar software seguro basado en prototipos de software importados para todo el sistema.
4.5.1. El desarrollo (adaptación) de software seguro basado en prototipos de software importados para todo el sistema se lleva a cabo por orden estatal o industrial por parte de desarrolladores empresariales de los tipos relevantes de equipos, organizaciones especializadas y empresas de los departamentos interesados de acuerdo con el departamento adquirente y de conformidad con las especificaciones técnicas acordadas con la Comisión Técnica Estatal de Rusia dentro de sus límites de competencia y aprobadas por el cliente de estos medios protegidos, dependiendo del nivel del pedido.
4.5.2. La etapa preliminar del desarrollo de software seguro basado en prototipos de software importados para todo el sistema es la eliminación de la protección contra copia y manipulación del mecanismo operativo del prototipo, así como un análisis del equipo de protección del prototipo para verificar el cumplimiento de los requisitos de las especificaciones técnicas. para utilizar los equipos de protección involucrados, su adición y modificación.
Los trabajos de la etapa preliminar se pueden realizar según una especificación técnica separada.
4.6. El procedimiento para desarrollar herramientas de control de seguridad de software para equipos, software y sistemas de seguridad seguros desarrollados.
4.6.1. Todas las empresas que desarrollan equipos seguros, incluidos software y sistemas de seguridad, deben desarrollar software de prueba para monitorear la seguridad durante la aceptación y operación de equipos y software protegidos.
4.6.2. Para crear herramientas de control de software, pueden participar como coejecutores organizaciones especializadas con licencia de la Comisión Técnica Estatal de Rusia, cuyo enfoque funcional es «abrir» los mecanismos de protección de las herramientas de software de todo el sistema.
4.6.3. La creación de herramientas de control de software se puede realizar tanto de acuerdo con el desarrollo de medios protegidos de especificación técnica, como de acuerdo con especificaciones técnicas privadas, cuyo procedimiento de coordinación y aprobación es similar al establecido en la cláusula 4.5.1. .
4.7. El procedimiento para desarrollar medios técnicos para proteger la información del acceso no autorizado.
4.7.1. El desarrollo de medios técnicos para proteger la información del acceso no autorizado para su uso en agencias gubernamentales puede llevarse a cabo bajo órdenes del gobierno o de la industria.
4.7.2. El desarrollo de medios técnicos para proteger la información del acceso no autorizado se realiza junto con software que asegura su funcionalidad como parte de dispositivos electrónicos protegidos.
Además, los medios técnicos pueden respaldar la seguridad del software de todo el sistema con fines de seguridad de la información.
4.7.3. El desarrollo de medios técnicos para proteger la información contra el acceso no autorizado lo llevan a cabo tanto las empresas que desarrollan equipos electrónicos protegidos como las empresas competentes de los departamentos interesados en las especificaciones técnicas, cuyo procedimiento de coordinación y aprobación es similar al establecido. en la cláusula 4.5.1.
5. PROCEDIMIENTO DE ACEPTACIÓN Y CERTIFICACIÓN DE TIC PROTEGIDAS PARA FINES GENERALES Y ESPECIALES, INCLUYENDO HERRAMIENTAS Y SISTEMAS DE SOFTWARE Y HARDWARE
PROTECCIÓN DE INFORMACIÓN CONTRA NSD
5.1. La investigación (inspecciones, pruebas) y aceptación de equipos electrónicos protegidos para fines generales y especiales, incluido software y hardware y sistemas para proteger la información contra el acceso no autorizado, se lleva a cabo de acuerdo con el procedimiento establecido de acuerdo con GOST V15.307-77. GOST V15.210-78, GOST 23773 -88 y documentación normativa y técnica sobre seguridad de la información.
5.2. Las pruebas de certificación de equipos electrónicos protegidos para fines generales y especiales, incluidos software y hardware y sistemas para proteger la información contra el acceso no autorizado, las llevan a cabo centros de certificación estatales e industriales.
5.3. El derecho a realizar pruebas de certificación de dispositivos electrónicos protegidos, incluidos software y hardware y sistemas para proteger la información contra el acceso no autorizado, lo otorga la Comisión Técnica Estatal de Rusia de acuerdo con la Norma Estatal de Rusia y en el caso de utilizar medios y protección criptográficos. sistemas con la principal autoridad de cifrado del país, hasta empresas que desarrollan dispositivos electrónicos seguros, organizaciones especializadas de departamentos que desarrollan equipos electrónicos seguros, incluido software y hardware y sistemas para proteger la información contra el acceso no autorizado.
5.4. De acuerdo con el Reglamento sobre la certificación de equipos y sistemas informáticos y de comunicaciones según los requisitos de seguridad de la información[3], sobre la base de los resultados de las pruebas de certificación, se redacta un certificado y el desarrollador recibe un certificado certificado por el Servicio Técnico del Estado. Comisión de Rusia y otorgando el derecho de usar y distribuir estas herramientas como protegidas.
5.5. Las herramientas que han recibido el certificado están incluidas en la gama de equipos protegidos, incluidas herramientas y sistemas de software y hardware para proteger la información contra el acceso no autorizado.
El procesamiento de información clasificada está permitido únicamente con la uso de herramientas y sistemas de protección certificados
.5.6. Después de su aceptación, el software desarrollado se envía para su registro en un fondo especializado del Fondo Estatal de Algoritmos y Programas.
6. PROCEDIMIENTO PARA EL DESARROLLO, CERTIFICACIÓN, IMPLEMENTACIÓN Y OPERACIÓN
MEDIOS DE PROTECCIÓN DE LA INFORMACIÓN CRIPTOGRÁFICA CONTRA EL ACCESO NO AUTORIZADO
6.1. Esta sección define la interacción de las partes y el procedimiento para realizar el trabajo durante la creación, certificación y operación de herramientas de protección de información criptográfica (CIPF) contra el acceso no autorizado en empresas y departamentos estatales.
Esta sección se aplica a las herramientas de software, técnicas y de software y hardware como parte de SVT y AS, utilizadas para la protección criptográfica contra el acceso no autorizado a la información procesada, almacenada, acumulada y transmitida en sistemas informáticos construidos sobre la base de computadoras individuales, complejos informáticos y Redes informáticas locales ubicadas dentro de la misma zona controlada.
También se permite la aplicación de lo dispuesto en este apartado cuando se trate de varias zonas controladas, siempre que para la comunicación entre ellas se utilicen canales protegidos con ayuda de equipos ZAS o CIPF, a través de los cuales, de acuerdo con los documentos normativos vigentes, la transferencia de información clasificada del cuello correspondiente (ver párrafo 6.15 de esta sección).
6.2. La gestión organizativa y metodológica del trabajo de creación y operación de CIPF, certificación de CIPF, así como el control sobre el estado y desarrollo de esta área de trabajo es realizada por la Comisión Técnica Estatal de Rusia y el Principal. Autoridad del Código del país a través de una serie de organismos especializados autorizados por ellos.
6.3. Con la ayuda de CIPF, se puede brindar protección contra el acceso no autorizado a información no clasificada y patentada, así como información clasificada como “Secreta”, “Alto Secreto” y “Especial Importancia”.
6.4. Al desarrollar un CIPF (o un producto SVT que contenga un CIPF), destinado a proteger información clasificada de cualquier clasificación, así como a proteger información valiosa y especialmente valiosa [4], los términos de referencia del CIPF deben acordarse con el Comisión Técnica Estatal de Rusia y los países con la Autoridad Principal de Cifrado.
Junto con las especificaciones técnicas, un diagrama de configuración del equipo o AS protegido, una descripción de la estructura de los objetos de información a proteger (indicando la clasificación de secreto máximo), así como datos sobre las características de acceso y las estructuras administrativas previstas de los usuarios deben ser enviados.
6.5. Con base en los resultados de la consideración de los datos iniciales, los organismos antes mencionados brindan al desarrollador de CIPF recomendaciones sobre el uso de uno de los algoritmos de cifrado certificados, así como (si es necesario) una descripción de su esquema criptográfico, constantes criptográficas, ejemplos de prueba para verificar la implementación correcta del algoritmo, recomendaciones para construir un sistema CIPF clave y una serie de otros documentos.
6.6. A partir de los documentos recibidos, el desarrollador implementa el CIPF en forma de software o producto técnico y, con la participación de organizaciones especializadas, prepara los materiales necesarios para la certificación del CIPF de acuerdo con el Reglamento de Certificación.
Aceptación de prototipos obtenidos como resultado del desarrollo realizado por una comisión creada por el Cliente CIPF. La comisión debe incluir representantes de la Comisión Técnica Estatal de Rusia y de la Autoridad Principal de Códigos del país.
6.7. La certificación de CIPF se lleva a cabo de forma autosuficiente. La certificación positiva del CIPF finaliza con la emisión de un certificado de certificación.
6.8. Queda prohibido el uso de CIPF que no haya sido debidamente certificado para la protección contra el acceso no autorizado a información clasificada de cualquier clasificación, así como a información valiosa y especialmente valiosa.
6.9. Al implementar un AS que contenga un CIPF certificado y siempre que este AS esté destinado a procesar información clasificada no superior a “Top Secret” o para procesar información valiosa, no se requiere permiso adicional para operar un CIPF certificado (excepto en los casos específicamente establecidos en el certificado de certificación para CIPF).
Para los AS destinados a procesar información clasificada como «De especial importancia» o para procesar información particularmente valiosa, se debe obtener un permiso por escrito de la Comisión Técnica Estatal de Rusia y la Autoridad Principal de Cifrado del país para operar CIPF como parte de un AS específico.
6.10. El funcionamiento del CIPF utilizado para proteger información secreta o valiosa debe llevarse a cabo de acuerdo con los requisitos de las Instrucciones desarrolladas para garantizar la seguridad del funcionamiento del CIPF como parte de un sistema automatizado y las Instrucciones sobre el procedimiento para utilizar las claves de reemplazo existentes.
La organización que explota la central nuclear debe crear un servicio (organismo) de seguridad de la información que sea responsable de implementar las medidas previstas en las instrucciones anteriores.
6.11. La clasificación de secreto de las claves de reemplazo existentes y los documentos clave correspondientes al proteger la información contra el acceso no autorizado mediante CIPF debe corresponder a la clasificación de secreto máxima de la información cifrada con estas claves.
Los soportes que contengan documentación clave CIPF registrada se contabilizarán, almacenarán y destruirán como documentos ordinarios de la clasificación de seguridad correspondiente de acuerdo con las Instrucciones para garantizar el régimen de secreto N 0126-87.
6.12. Los CIPF sin constantes criptográficas ingresadas y claves reemplazables válidas tienen una clasificación de secreto correspondiente a la clasificación de descripción del esquema criptográfico. CIPF con constantes criptográficas cargadas tiene una clasificación de seguridad correspondiente a la clasificación de constantes criptográficas. La clasificación de secreto de un CIPF con constantes criptográficas cargadas y claves introducidas está determinada por la clasificación máxima de las claves y constantes criptográficas contenidas en el CIPF.
6.13. El texto cifrado obtenido cifrando información de secreto abierto de cualquier tipo mediante CIPF no está clasificado.
Se pueden reenviar medios de almacenamiento externos (cintas magnéticas, discos, casetes, disquetes, etc.) con información cifrada , almacenados y contabilizados como no clasificados si no contienen ni han contenido previamente información clasificada abierta.
6.14. Para transmitir texto cifrado obtenido cifrando información no clasificada utilizando CIPF fuera de la zona controlada, se pueden utilizar canales de comunicación no seguros.
Si la información original (antes del cifrado) era «Para uso oficial», entonces sólo se permite el uso de CIPF certificado.
6.15. Para transmitir fuera del área controlada texto cifrado obtenido mediante el cifrado de información clasificada como “Secreta” o superior mediante CIPF, se deben utilizar canales de comunicación protegidos mediante equipos de cifrado de comunicaciones, para lo cual, de acuerdo con los documentos reglamentarios vigentes, se tiene permiso para transmitir información clasificada. sido obtenido. En este caso, no se requiere un permiso especial para operar CIPF.
El procedimiento para crear equipos de cifrado, es decir. Los medios criptográficos de diversos tipos (hardware y software) diseñados para proteger la información transmitida fuera del área controlada a través de canales de comunicación no seguros están regulados por el Reglamento sobre el desarrollo, producción y mantenimiento de la operación de equipos de cifrado, sistemas de comunicación y control estatales y departamentales y armas. sistemas, utilizando tecnología de cifrado.
6.16. La responsabilidad de la correcta implementación de las reglas de funcionamiento del CIPF (incluso durante el período de prueba de aceptación) recae en la dirección de las empresas que operan los datos del CIPF.
6.17. La supervisión del cumplimiento de los requisitos de las instrucciones operativas de CIPF está asignada a los servicios de protección de la información de las empresas que operan datos CIPF.
7. PROCEDIMIENTO PARA ORGANIZAR Y REALIZAR EL DESARROLLO DE UN SISTEMA SECRETO DE PROTECCIÓN DE INFORMACIÓN EN DEPARTAMENTOS Y
EMPRESAS INDIVIDUALES
7.1. Para resolver cuestiones científicas, técnicas, metodológicas y prácticas fundamentales sobre el problema de proteger la información del acceso no autorizado en sistemas automatizados, se puede llevar a cabo un complejo de trabajos de investigación y desarrollo en el sistema de departamentos de acuerdo con los planes de la industria.
7.2. Para organizar la investigación de problemas, centralizar el desarrollo de herramientas y sistemas para proteger la información del acceso no autorizado, proporcionar orientación científica y metodológica para trabajar en este problema, se pueden crear divisiones industriales especializadas en el sistema de departamentos de las organizaciones matrices de AS. interactuando con divisiones similares de otros ministerios y departamentos
.7.3. La dirección científica del trabajo de protección de la información contra el acceso no autorizado la lleva a cabo el diseñador jefe del AS integrado del país.
7.4. Gestión general del trabajo para proteger la información del acceso no autorizado, implementación de una política técnica unificada, orientación organizativa y metodológica y coordinación del trabajo, financiación de I + D para pedidos de la industria, interacción con la Comisión Técnica Estatal de Rusia, otros departamentos, así como control sobre la organización y ejecución del trabajo para proteger la información del acceso no autorizado en las oficinas centrales de los departamentos llevará a cabo unidades científicas, técnicas y de seguridad o nombrará curadores para esta área de trabajo.
7.5 . En la empresa, la gestión científica y técnica y la organización directa del trabajo para la creación de un sistema integrado de suministro de energía la lleva a cabo el diseñador jefe de este sistema, y por tipo de suministro de energía — jefes de diseño de estos sistemas, supervisores científicos de los temas, jefes de instalaciones de EVT u otros funcionarios que proporcionen la gestión científica y técnica de todo el desarrollo del correspondiente AS.
7.6. Al desarrollar un sistema de seguridad en un sistema automatizado, uno debe guiarse por la clasificación de los sistemas automatizados sujetos a protección contra el acceso no autorizado a la información y los requisitos para proteger la información en sistemas automatizados de diversas clases.
El sistema de protección de información clasificada se implementa como un subsistema AS e incluye un conjunto de medios, sistemas y medidas organizativos, de software, técnicos (incluidos los criptográficos) para proteger la información del acceso no autorizado. SZSI consta de partes funcionales y de sistema. La parte del sistema es general y se utiliza en el desarrollo, implementación y operación de todas o la mayoría de las tareas de AS; la parte funcional asegura la protección de la información al resolver problemas específicos.
7.7. El desarrollo de la central nuclear SPS lo lleva a cabo la división que desarrolla la central nuclear en la empresa, un grupo o individuos especialistas en el desarrollo de medios y medidas de protección [5] y (o) empresas especializadas de investigación, desarrollo y diseño (incluidos otros ministerios y departamentos) en virtud de contratos celebrados por el cliente de AS.
En la estructura de grandes departamentos con un gran volumen de trabajo de seguridad, también se asignan servicios de seguridad u organismos secretos.
7.8. La división de desarrollo de herramientas y medidas de seguridad de la información es responsable del desarrollo e implementación del soporte de seguridad del sistema (adaptación y configuración de software y hardware y sistemas de desarrollo centralizados), así como del desarrollo de requisitos para el soporte de seguridad funcional. p>
Los especialistas — participan en el desarrollo y la implementación del soporte de seguridad del sistema. desarrolladores de subsistemas funcionales y de soporte de AS, servicios de seguridad u organismos secretos.
El desarrollo y la implementación del apoyo a la seguridad de las centrales nucleares se lleva a cabo en cooperación con unidades científicas y técnicas especiales: servicios de seguridad de la información y divisiones del servicio secreto y de seguridad de la empresa.
7.9. Orientación metodológica y participación en el desarrollo de requisitos para la protección de la información contra el acceso no autorizado, fundamentación analítica de la necesidad de crear un régimen de apoyo para las centrales nucleares, coordinación de la elección de equipos electrónicos (incluido el software general del sistema), software y hardware y Los sistemas de protección, la organización del trabajo para identificar oportunidades y evitar la fuga de información secreta durante su procesamiento automatizado se lleva a cabo por el SNTP de la empresa.
SNTP participa en el desarrollo de requisitos para la protección de la información contra el acceso no autorizado a datos junto con el cliente del AS correspondiente, el organismo de seguridad de la industria y el representante militar del Ministerio de Defensa en relación con los problemas. dentro de su competencia.
7.10. La dirección general del trabajo para garantizar el régimen de secreto durante el desarrollo del AS la lleva a cabo el subdirector de la empresa desarrolladora del régimen.
La gestión general del trabajo para garantizar el régimen de secreto durante el funcionamiento de la central nuclear la lleva a cabo el jefe adjunto de la empresa (organización), quien es responsable de garantizar el régimen de secreto.
La organización del control sobre la eficacia de los medios y medidas de protección de la información es desarrollada por la empresa y llevada a cabo por el gerente, responsable en la empresa de organizar el trabajo de seguridad de la información.
7.11. Al desarrollar un sistema de seguridad de la información, es necesario aprovechar al máximo los componentes estándar existentes o desarrollados para todo el sistema, tomando prestado software y hardware y sistemas de protección de la información de sistemas de protección de datos digitales desarrollados centralmente, utilizando dispositivos electrónicos protegidos.
7.12. En el marco de las etapas y fases existentes de la creación de AS (GOST 34.601-90), se llevan a cabo las etapas necesarias de trabajo para la creación del SZSI.
7.13. El conjunto de trabajos sobre la creación de un AS debe prever el desarrollo y la implementación avanzados de la parte del sistema del SZSI.
7.14. En la etapa de prediseño de examen del objeto de automatización, el grupo de inspección designado por orden del cliente de la central nuclear:
-
la presencia o ausencia de información secreta en el Se establece la central nuclear a desarrollar, se evalúa su grado de secreto y sus volúmenes;
-
El modo para procesar información clasificada, la clase AS, un conjunto de equipos técnicos básicos y el software general del sistema destinado a ser utilizado en el AS que se está desarrollando son determinado;
-
se evalúa la posibilidad de utilizar herramientas de seguridad de la información estándar o desarrolladas centralmente y producidas en masa;
-
el grado de participación del personal del centro de cómputo, los servicios funcionales y de producción, los trabajadores científicos y de apoyo de la instalación de automatización en el procesamiento de la información, la naturaleza de la interacción se determinan servicios entre ellos y con las divisiones de seguridad;
-
se determinan medidas para garantizar el régimen de secreto en la etapa de desarrollo de tareas secretas.
7.15. Con base en los resultados del estudio de prediseño se desarrolla una justificación analítica para la creación del SZSI y un apartado de especificaciones técnicas para su desarrollo.
7.16. En la etapa de desarrollo de los proyectos SZSI, el cliente controla su desarrollo.
7.17. En las etapas de diseño técnico y detallado, el desarrollador de la parte del sistema SZSI está obligado a:
-
aclarar la composición de los medios de protección en las versiones de software y SO aplicables, describir el procedimiento para su configuración y operación, formular los requisitos para el desarrollo de tareas funcionales y bases de datos AS;
-
desarrollar o adaptar herramientas de protección de software y hardware, desarrollar medidas organizativas para la parte del sistema del sistema de protección de seguridad;
-
desarrollar documentación organizativa, administrativa y de diseño para equipos de protección y documentación de trabajo para el funcionamiento de equipos y medidas de protección;
-
Brindar asistencia metodológica a los desarrolladores de la parte funcional del SZSI.
7.18. En las etapas de diseño técnico y detallado, el desarrollador de la parte funcional del SZSI está obligado a:
-
proporcionar al desarrollador de la parte del sistema del SZSI con los datos iniciales necesarios para el diseño;
-
con la asistencia metodológica de los desarrolladores del sistema que forma parte del SZSI, prever el uso de medios y medidas de protección al resolver los problemas funcionales del COMO;
-
desarrollar documentación de diseño para el soporte del régimen de la tarea AS e instrucciones de trabajo para la operación de las tareas funcionales de la AS, definiendo el procedimiento para el trabajo del personal y usuarios de la CC al procesar información clasificada, teniendo en cuenta el funcionamiento del SZSI;
-
justificar el número de personas (y sus calificaciones) necesarias para la operación directa (aplicación) de los medios (sistema) desarrollados para proteger la información clasificada;
-
determinar el procedimiento y las condiciones para utilizar medios estándar estándar para proteger la información procesada incluida por el desarrollador en el sistema operativo, software, etc.;
-
generar un paquete de programas de aplicación en combinación con herramientas de seguridad estándar seleccionadas.
7.19. El desarrollo, implementación y operación de los sistemas de centrales nucleares se lleva a cabo en la industria o en una empresa separada de acuerdo con los requisitos de la siguiente documentación organizativa, administrativa y de diseño, teniendo en cuenta las condiciones específicas de operación de las centrales nucleares de diversos niveles y propósitos:
&# 8212; Reglamento sobre el procedimiento para organizar y realizar el trabajo en la industria (en la empresa) para proteger la información clasificada en sistemas automatizados;
— Instrucciones para la protección de información clasificada procesada en AS de la industria (en la empresa o en divisiones de la empresa);
— sección del Reglamento sobre el sistema de permisos para el acceso de los artistas intérpretes o ejecutantes a documentos e información en la empresa, que define las características del sistema de acceso en el proceso de desarrollo y operación del AS;
órdenes, instrucciones, decisiones:
-
sobre la creación de unidades de desarrollo apropiadas, sobre la formación de un grupo de encuesta, sobre la creación de comisiones de expertos;
-
sobre el inicio del procesamiento de información de cierto grado de secreto en la instalación EVT;
-
sobre el nombramiento de las personas responsables del funcionamiento del sistema informático, bases de datos SZSI;
-
sobre el nombramiento de servicios de seguridad autorizados, etc.;
— documentación de diseño de las distintas etapas de creación de un SZSI.
7.20 . El desarrollo, implementación y operación de SZSI en centrales nucleares se lleva a cabo de la manera prescrita de acuerdo con los requisitos de GOST 34.201-89, GOST 34.602-89, GOST 34.601-90, RD 50-680-88, RD 50-682-89,
RD 50-34.698-90 y otros documentos.
7.21. La modernización de la central nuclear debe considerarse como un desarrollo independiente de la propia central nuclear y de su equipamiento. La organización del trabajo deberá corresponderse con el contenido de este apartado.
8. PROCEDIMIENTO DE ACEPTACIÓN DEL SZSI ANTES DE SU PUESTA EN FUNCIONAMIENTO COMO COMPOSICIÓN DEL CONJUNTO
8.1. En la etapa de puesta en servicio del CPS se realiza lo siguiente:
-
pruebas preliminares de los equipos de protección;
-
operación de prueba de equipos de protección y tareas funcionales de centrales nucleares en sus condiciones de operación;
-
pruebas de aceptación de equipos de protección;
-
pruebas de aceptación del SZSI como parte de un sistema automatizado por una comisión del rango correspondiente.
8.2. Las pruebas preliminares de los medios de protección las lleva a cabo el desarrollador de estos medios junto con el cliente y con la participación de especialistas de las autoridades de seguridad de la información de la industria para verificar los medios individuales de acuerdo con GOST 21552-84, GOST 16325-88 y GOST 23773. -88, cumplimiento de la documentación técnica con los requisitos de las especificaciones técnicas, y desarrollar recomendaciones para su finalización y determinación del procedimiento y plazos de operación de prueba.
8.3 Se permite realizar la operación de prueba del equipo de protección antes de realizar las tareas funcionales de la CN o en paralelo con ella. La operación de prueba la lleva a cabo el cliente con la participación del desarrollador de acuerdo con el programa para probar la funcionalidad de las medidas de seguridad en datos reales y probar el proceso tecnológico. En la etapa de operación de prueba, se permite procesar información clasificada como “Secreta” y “Alto Secreto”.
Para información clasificada como “De Especial Importancia”, la posibilidad de procesar en la etapa de operación de prueba la determinan conjuntamente el cliente, el desarrollador y el organismo industrial para la seguridad de la información.
La prueba de las tareas funcionales del AS debe incluir la verificación de su funcionamiento en las condiciones operativas de equipo de seguridad.
8.4. Si los resultados de la operación de prueba son positivos, todo el software, hardware y documentación organizativa se entregarán al cliente según el informe.
La puesta en funcionamiento de los medios técnicos de protección consiste en comprobar sus características y funcionamiento en condiciones específicas, y los medios software de protección — en la resolución de un ejemplo de prueba (prueba) que se acerque más a las condiciones de funcionamiento específicas del AS, con intentos planificados de eludir los sistemas de protección. El caso de prueba lo preparan los desarrolladores junto con el cliente.
8.5. Las pruebas de aceptación del equipo de protección se llevan a cabo como parte de un sistema automatizado presentado a la comisión del cliente.
El cliente es responsable de la organización del trabajo durante la puesta en servicio del equipo de protección y para el funcionamiento de equipos de protección después de las pruebas de aceptación.
8.6. Los materiales de informe basados en los resultados de las pruebas de aceptación del equipo se redactan de acuerdo con GOST 34.201-89 y RD 50-34.698-90 y se envían al organismo de certificación para la emisión del certificado.
Tipos de documentos GOST 19.101-77 está definido para herramientas de seguridad de software, para hardware— GOST 2.102-68 y para documentos operativos — GOST 2.601-68.
9. ORDEN DE FUNCIONAMIENTO DEL SOFTWARE
Y HERRAMIENTAS TÉCNICAS
Y SISTEMAS SECRETOS
DE PROTECCIÓN DE LA INFORMACIÓN INFORMACIÓN DE NSD
9.1. El procesamiento de la información en la CN debe realizarse de acuerdo con el proceso tecnológico de procesamiento de información clasificada, desarrollado y aprobado en la forma establecida en la empresa para el diseño y operación de la CN.
9.2. Para el funcionamiento de SZSI — un conjunto de herramientas de software y hardware y medidas organizativas para su soporte, encaminadas a excluir el acceso no autorizado a la información procesada en el sistema automatizado, por orden del titular de la empresa (unidad estructural), se designan personas para realizar:
-
soporte de la información de seguimiento y control, incluidas cuestiones de organización del trabajo y seguimiento del uso de la información de seguimiento y control en el AS;
-
control operativo sobre el funcionamiento del SZSI;
-
control del cumplimiento del estándar del entorno de software de todo el sistema;
-
desarrollo de instructivos que regulan los derechos y obligaciones de los operadores (usuarios) cuando trabajan con información clasificada.
10. PROCEDIMIENTO DE CONTROL DE LA EFECTIVIDAD DE LA PROTECCIÓN DE LA INFORMACIÓN SECRETA EN AS
10.1. El seguimiento de la eficacia de la protección de la información en un sistema automatizado se lleva a cabo para verificar los certificados de los medios de seguridad y el cumplimiento de la seguridad de la información con los requisitos de las normas y documentos reglamentarios de la Comisión Técnica Estatal de Rusia para la protección de la información contra el acceso no autorizado en los siguientes niveles:
-
estatal, realizado por la Inspección de la Comisión Técnica Estatal de Rusia para trabajos de defensa y trabajos en los que se utiliza información que constituye un secreto de estado;
-
industria, realizada por los órganos de control departamental (principales departamentos científicos, técnicos y de seguridad, organizaciones matrices para la protección de la información en la República Autónoma);
-
a nivel de empresa (organización separada), realizada por representaciones militares de las Fuerzas Armadas (para trabajos de defensa), unidades científicas y técnicas especiales y secretas. servicios de seguridad (cuerpos, servicios de seguridad).
10.2. La iniciativa de realizar inspecciones pertenece a las organizaciones cuya información es procesada por la AS, la Comisión Técnica Estatal de Rusia y los órganos de control departamentales (industriales).
10.3. La verificación del funcionamiento de los medios y sistemas para proteger la información contra el acceso no autorizado se realiza mediante herramientas de software (software y hardware) para el cumplimiento de los requisitos de las especificaciones técnicas, teniendo en cuenta la clasificación de AS y el grado de secreto de la información procesada.
10.4. Con base en los resultados de la inspección se redacta un acta, que se comunica al director de la empresa, al usuario y a otras organizaciones y funcionarios de acuerdo con el nivel de control.
10.5. Dependiendo de la naturaleza de las violaciones relacionadas con el funcionamiento de los medios y sistemas para proteger la información de información no discriminatoria, se pueden presentar reclamaciones contra el AS actual de acuerdo con las regulaciones de la Comisión Técnica Estatal de Rusia, hasta e incluyendo la suspensión del tratamiento de la información, identificación y eliminación de las causas de las infracciones.
La reanudación del trabajo se lleva a cabo después de tomar medidas para eliminar las violaciones y verificar la efectividad de la protección por parte de las autoridades de control y solo con el permiso del organismo que autorizó la inspección.
En caso de terminación del trabajo sobre la base de los resultados de una inspección realizada por la Inspección de la Comisión Técnica Estatal de Rusia, éstos podrán reanudarse sólo con el permiso de la Comisión Técnica Estatal de Rusia, y en relación con los funcionarios culpables de estas violaciones. , la cuestión de su sometimiento a la justicia se resuelve de acuerdo con los requisitos de la Instrucción N 0126-87 y la legislación vigente.
11. PROCEDIMIENTO DE FORMACIÓN, RECICLAJE Y MEJORA DE LAS CALIFICACIONES DE ESPECIALISTAS EN EL ÁMBITO DE LA PROTECCIÓN DE LA INFORMACIÓN CONTRA NSD
11.1. La formación de jóvenes especialistas y el reciclaje del personal en el campo de la protección de la información procesada en sistemas automatizados contra el acceso no autorizado se lleva a cabo en el sistema del Comité Estatal de Ciencia y Educación Superior de la Federación de Rusia y de las Fuerzas Armadas por los departamentos de tecnología informática y sistemas automatizados de instituciones de educación superior bajo contrato con ministerios, departamentos y empresas individuales.
11.2. La formación se lleva a cabo según los programas de formación acordados con la Comisión Técnica Estatal de Rusia.
11.3. La formación avanzada de los especialistas que trabajan en este campo la llevan a cabo los institutos intersectoriales y sectoriales de formación avanzada y los departamentos universitarios mencionados anteriormente según los programas acordados con la Comisión Técnica Estatal de Rusia y los órganos de control de la industria.
[1] En adelante “SVT protegido”
[2] La protección integral de la información significa la implementación de requisitos de protección: desde el acceso no autorizado a la información, desde la filtración a través de canales técnicos, desde la posible introducción de dispositivos electrónicos especiales y programas “virus”.
[3] En adelante: Reglamento de Certificación
[4] Información valiosa — Se trata de información cuyo daño por violación de su protección (asociado, por ejemplo, con la filtración de secretos industriales y comerciales) puede exceder los 100 mil rublos en el sector público de la economía (pero no más de 1 millón de rublos). Información particularmente valiosa — se trata de información cuyo daño por violación de su protección puede superar el millón de rublos en el sector público de la economía.
[5] En adelante: la división para el desarrollo de medios y medidas de protección.
Добавить комментарий