В структуре крупных подразделений с большим объемом работ по режимному обеспечению выделяются также службы безопасности или секретные органы.
7.8. На подразделение разработки средств и мер защиты информации возлагаются разработка и внедрение системного режимного обеспечения (адаптация и настройка программных и технических средств и систем централизованной разработки), а также разработка требований к функциональному режимному обеспечению.
К разработке и внедрению системного режимного обеспечения привлекаются специалисты — разработчики обеспечивающих и функциональных подсистем АС, служб безопасности или секретных органов.
Разработка и внедрение режимного обеспечения АС осуществляется при взаимодействии со специальными научно-техническими подразделениями — службами защиты информации и подразделениями режимно-секретной службы предприятия.
7.9. Методическое руководство и участие в разработке требований по защите информации от НСД, аналитического обоснования необходимости создания режимного обеспечения АС, согласование выбора СВТ (в том числе общесистемного программного обеспечения), программных и технических средств и систем защиты, организацию работ по выявлению возможностей и предупреждению утечки секретной информации при ее автоматизированной обработке осуществляет СНТП предприятия.
В выработке требований по защите информации от НСД СНТП участвует совместно с заказчиком соответствующей АС, отраслевым органом обеспечения безопасности и военным представительством Министерства обороны в части вопросов, относящихся к его компетенции.
7.10. Общее руководство работами по обеспечению режима секретности при разработке АС осуществляет заместитель руководителя предприятия-разработчика по режиму.
Общее руководство работами по обеспечению режима секретности при эксплуатации АС осуществляет заместитель руководителя предприятия (организации), отвечающий за обеспечение режима секретности.
Организацию контроля эффективности средств и мер защиты информации разрабатывает предприятие и осуществляет руководитель, отвечающий на предприятии за организацию работ по защите информации.
7.11. При разработке СЗСИ необходимо максимально использовать имеющиеся или разрабатываемые типовые общесистемные компоненты, заимствуя программные и технические средства и системы защиты информации от НСД централизованной разработки, используя защищенные СВТ.
7.12. В рамках существующих стадий и этапов создания АС (ГОСТ 34.601-90) выполняются необходимые этапы работ по созданию СЗСИ.
7.13. В комплексе работ по созданию АС должны предусматриваться опережающая разработка и внедрение системной части СЗСИ.
7.14. На предпроектной стадии по обследованию объекта автоматизации группой обследования, назначенной приказом заказчика АС:
>• устанавливается наличие или отсутствие секретной информации в АС, подлежащей разработке, оценивается ее степень секретности и объемы;
>• определяются режим обработки секретной информации, класс АС, комплекс основных технических СВТ, общесистемные программные
средства, предполагаемые к использованию в разрабатываемой АС;
>• оценивается возможность использования типовых или разрабатываемых централизованно и выпускаемых серийно средств защиты информации;
>• определяются степень участия персонала ВЦ, функциональных и производственных служб, научных и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и с подразделениями режимно-секретной службы;
>• определяются мероприятия по обеспечению режима секретности на стадии разработки секретных задач.
7.15. На основании результатов предпроектного обследования разрабатываются аналитическое обоснование создания СЗСИ и раздел ТЗ на ее отработку.
7.16. На стадии разработки проектов СЗСИ заказчик контролирует ее разработку.
7.17. На стадиях технического и рабочего проектирования разработчик системной части СЗСИ обязан:
>• уточнить состав средств защиты в применяемых версиях ОС и ППП, описать порядок их настройки и эксплуатации, сформулировать требования к разработке функциональных задач и баз данных АС;
>• разработать или адаптировать программные и технические средства защиты, разработать организационные мероприятия по системной части СЗСИ;
>• разработать организационно-распорядительную и проектную документацию СЗСИ и рабочую документацию по эксплуатации средств и мер защиты;
>• осуществлять методическую помощь разработчикам функциональной части СЗСИ.
7.18. На стадиях технического и рабочего проектирования разработчик функциональной части СЗСИ обязан:
>• представить разработчику системной части СЗСИ необходимые исходные данные для проектирования;
>• при методической помощи разработчиков системной части СЗСИ предусмотреть при решении функциональных задач АС использование средств и мер защиты;
>• разработать проектную документацию по режимному обеспечению задачи АС и рабочие инструкции для эксплуатации функциональных задач АС, определяющие порядок работы персонала ВЦ и пользователей при обработке секретной информации с учетом функционирования СЗСИ;
>• обосновать количество лиц (и их квалификацию), необходимых для непосредственной эксплуатации (применения) разработанных средств (системы) защиты секретной информации;
>• определить порядок и условия использования стандартных штатных средств защиты обрабатываемой информации, включенных разработчиком в ОС, ППП и т.п.;
>• выполнить генерацию пакета прикладных программ в комплексе с выбранными стандартными средствами защиты.
7.19. Разработка, внедрение и эксплуатация СЗСИ АС осуществляется в отрасли или на отдельном предприятии в соответствии с требованиями следующей организационно-распорядительной и проектной документацией, учитывающей конкретные условия функционирования АС различного уровня и назначения:
>• Положение о порядке организации и проведения в отрасли (на предприятии) работ по защите секретной информации в АС;
>• Инструкция по защите секретной информации, обрабатываемой в АС отрасли (на предприятии или в подразделениях предприятия);
>• раздел Положения о разрешительной системе допуска исполнителей к документам и сведениям на предприятии, определяющий особенности системы допуска в процессе разработки и функционирования АС;
приказы, указания, решения:
>• о создании соответствующих подразделений разработчиков, о формировании группы обследования, о создании экспертных комиссий;
>• о начале обработки на объекте ЭВТ информации определенной степени секретности;
>• о назначении лиц, ответственных за эксплуатацию вычислительной системы, баз данных СЗСИ;
>• о назначении уполномоченных службы безопасности и т.д.;
>• проектная документация различных стадий создания СЗСИ.
7.20. Разработка, внедрение и эксплуатация СЗСИ в АС производится установленным порядком в соответствии с требованиями ГОСТ 34.201-89, ГОСТ 34.602-89, ГОСТ 34.601-90, РД 50-680—88, РД 50-682-89, РД 50-34.698-90 и других документов.
21. Модернизация АС должна рассматриваться как самостоятельная разработка самой АС и СЗСИ для нее. Организация работ при этом должна соответствовать содержанию настоящего раздела.
8. Порядок приемки СЗСИ перед сдачей в эксплуатацию в составе АС
8.1. На стадии ввода в действие КСЗ осуществляются:
>• предварительные испытания средств защиты;
>• опытная эксплуатация средств защиты и функциональных задач АС в условиях их работы;
>• приемочные испытания средств защиты;
>• приемочные испытания СЗСИ в составе автоматизированной системы комиссией соответствующего ранга.
8.2. Предварительные испытания средств защиты проводит разработчик этих средств совместно с заказчиком и с привлечением специалистов отраслевых органов безопасности информации в целях проверки отдельных средств по ГОСТ 21552-84, ГОСТ 16325-88 и ГОСТ 23773-88, соответствия технической документации требованиям ТЗ, выработки рекомендаций по их доработке и определения порядка и сроков проведения опытной эксплуатации.
8.3. Допускается проведение опытной эксплуатации средств защиты до эксплуатации функциональных задач АС или параллельно с ней. Опытную эксплуатацию осуществляет заказчик с участием разработчика в соответствии с программой в целях проверки работоспособности средств защиты на реальных данных и отработки технологического процесса. На этапе опытной эксплуатации допускается обработка информации, имеющей гриф «Секретно» и «Совершенно секретно».
Для информации, имеющей гриф «Особой важности», возможность обработки на этапе опытной эксплуатации определяют совместно заказчик, разработчик и отраслевой орган безопасности информации.
Опытная эксплуатация функциональных задач АС должна включать проверку их функционирования в условиях работы средств защиты.
8.4. При положительных результатах опытной эксплуатации все программные, технические средства, организационная документация сдаются заказчику по акту.
Приемка технических средств защиты в эксплуатацию заключается в проверке их характеристик и функционирования в конкретных условиях, а программных средств защиты — в решении контрольного примера (теста), наиболее приближенного к конкретным условиям функционирования АС, с запланированными попытками обхода систем защиты. Контрольный пример готовят разработчики совместно с заказчиком.
8.5. Приемочные испытания СЗСИ проводятся в составе автоматизированной системы, предъявляемой комиссии заказчика.
Ответственность за организацию работ при вводе в действие СЗСИ, за функционирование средств защиты после приемочных испытаний несет заказчик.
8.6. Отчетные материалы по результатам приемочных испытаний СЗСИ оформляются в соответствии с ГОСТ 34.201-89 и РД 50-34.698-90 и направляются в орган по сертификации для оформления сертификата.
Виды документов на программные средства защиты определены ГОСТ 19.101-77, на технические средства — ГОСТ 2.102-68, а на эксплуатационные документы — ГОСТ 2.601-68.