ГОСУДАРСТВЕННЫЙ СТАНДАРТ СОЮЗА ССР
Защита
информации
АВТОМАТИЗИРОВАННЫЕ
СИСТЕМЫ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ
Общие
требования
ГОСТ Р
51624-2000
ГОССТАНДАРТ РОССИИ
Москва
Предисловие
1 РАЗРАБОТАН 5 ЦНИИИ МО РФ
ВНЕСЕН Техническим комитетом по
стандартизации "Защита информации" (ТК. 362)
2 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ
Постановлением Госстандарта России от 30 июня
2000 г. ь 175-ст
3 В настоящем стандарте
реализованы нормы Законов Российской Федерации в информационной сфере и в
областях защиты информации
4 ВВЕДЕН ВПЕРВЫЕ
Настоящий стандарт не может
быть полностью или частично воспроизведен, тиражирован и распространен в
качестве официального издания без разрешения Госстандарта России
ГОСТ Р 51624-2000
ГОСТ 16504-81 Система
государственных испытаний продукции. Испытания и контроль качества продукции.
Основные термины и определения
ГОСТ 20397-82 Средства
технические малых электронных вычислительных машин. Общие технические
требования, правила приемки, методы испытаний, маркировка, упаковка, транспортирование
и хранение, гарантия изготовителя ГОСТ 21552-84 Средства вычислительной
техники. Общие технические требования, правила приемки, методы испытаний,
маркировка, упаковка, транспортирование и хранение ГОСТ БД 21552-84
ГОСТ 23773- 88 Машины
вычислительные электронные цифровые общего назначения. Методы испытаний
ГОСТ 27201- 87 Машины
вычислительные электронные персональные. Типы, основные параметры, общие
технические требования
ГОСТ 28147- 89 Система
обработки информации. Защита криптографическая. Алгоритм криптографического
преобразования
ГОСТ 29339-92
ГОСТ Р 50543-93 Конструкции
базовые несущие средств вычислительной техники. Требования по обеспечению
защиты информации и электромагнитной совместимости методом экранирования
ГОСТ Р 50600-93
ГОСТ Р 50739-95 Средства
вычислительной техники. Защита от несанкционированного доступа к информации.
Общие технические требования
ГОСТ Р 50752-95
ГОСТ Р 50922-96 Защита
информации. Основные термины и определения
ГОСТ Р 51188-98 Защита
информации. Испытания программных средств на наличие компьютерных вирусов.
Типовое руководство
ГОСТ Р 51275-99 Защита
информации. Объект информатизации. Факторы, воздействующне на информацию. Общие
положения
ГОСТ Р 51583-2000 Защита
информации. Порядок создания автоматизированных систем в защищенном исполнении.
Общие положения
3
Определения и соглашения
3.1 В настоящем стандарте
применяют следующие термины с соответствующими определениями:
3.1.1 Государственная тайна -
защищаемые государством сведения в области его военной, внешнеполитической,
экономической, разведывательной, контрразведывательной и оперативно - розыскной
деятельности, распространение которых может нанести ущерб безопасности
Российской Федерации (по ГОСТ Р 51583).
3.1.2 Служебная тайна -
защищаемая по закону конфиденциальная информация, ставшая известной в
государственных органах и органах местного самоуправления только на законных
основаниях и в силу исполнения их представителями служебных обязанностей, а
также служебная ин формация о деятельности государственных органов, доступ к которой
ограничен федеральным законом или в силу служебной необходимости (по ГОСТ Р
51583).
3.1.3 Секретная информация -
информация, содержащая сведения, отнесенные к государственной тайне.
3.1.4 Защищаемая информация -
информация, являющаяся предметом собственности и подлежащая защите в
соответствии с требованиями правовых документов или требованиями, устанавливаемыми
собственником информации (по ГОСТ Р 50922).
3.1.5 Защита информации -
деятельность, направленная на предотвращение утечки защищаемой информации,
несанкционированных и непреднамеренных воздействий на защищаемую информацию (по
ГОСТ Р 50922).
3.1.6 Автоматизированная
система - система, состоящая из персонала и комплекса средств автоматизации его
деятельности, реализующая информационную технологию выполнения установленных
функций (по ГОСТ 34.003).
3.1.7 Автоматизированная
система в защищенном исполнении - автоматизированная систе ма, реализующая
информационную технологию выполнения установленных функций в соответствии с
требованиями стандартов и/или иных нормативных документов по защите информации.
3.1.8 Интегрированная
автоматизированная система - совокупность двух или более взаимоувязанных АС, в
которой функционирование одной из них зависит от результатов функционирования
другой (других) так, что эту совокупность можно рассматривать как единую АС (по
ГОСТ 34.003).
3.1.9 Система защиты информации
автоматизированной системы - совокупность всех технических, программных и
программно-технических средств защиты информации и средств контроля эффективности
защиты информации (по ГОСТ Р 51583).
3.1.10 Специальная проверка -
проверка компонентов автоматизированной системы, осуществляемая с целью поиска
и изъятия закладочного устройства (по ГОСТ Р 51583).
3.1.11 Специальные исследования
(специсследования) - выявление с использованием контрольно-измерительной
аппаратуры возможных технических каналов утечки защищаемой информации от
основных и вспомогательных технических средств и систем и оценка соответствия
зашиты информации требованиям нормативных документов по защите информации (по
ГОСТ Р 51583).
3.1.12 Обработка информации -
совокупность операций сбора, накопления, ввода, вывода, приема, передачи,
записи, хранения, регистрации, уничтожения, преобразования, отображения информации
(по ГОСТ Р 51275).
3.1.13 Техническое обеспечение
автоматизированной системы - совокупность технических средств, используемых при
функционировании АС (по ГОСТ 34.003).
3.1.14 Программное обеспечение
автоматизированной системы - совокупность программ на носителях данных и
программных документов, предназначенных для отладки, функционирования и
проверки работоспособности АС (по ГОСТ 34.003).
3.1.15 Испытания -
экспериментальное определение количественных и/или качественных характеристик
свойств объекта испытаний как результата воздействия на него при его функционировании,
при моделировании объекта и/или воздействий (по ГОСТ 16504).
3.1.16 Фактор, воздействующий
на защищаемую информацию, - явление, действие или процесс, результатом которых
могут быть утечка, искажение, уничтожение защищаемой информации, блокирование
доступа к ней (по ГОСТ Р 51275).
3.1.17 Угроза безопасности
информации - совокупность условий и факторов, создающих потенциальную или
реально существующую опасность, связанную с утечкой информации, и/или несанкционированными
и/или непреднамеренными воздействиями на нее.
3.1.18 Побочное
электромагнитное излучение - электромагнитное излучение, возникающее при работе
технических средств обработки информации (по ГОСТ Р 51275).
3.1.19 Электромагнитные наводки
- токи и напряжения в токопроводящих элементах, электрические заряды или
магнитные потоки, вызванные электромагнитным полем.
3.1.20 Закладочное устройство -
элемент средства съема информации, скрытно внедряемый (закладываемый или
вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию,
оборудование, предметы интерьера, транспортные средства, а также в технические средства
и системы обработки информации) (по ГОСТ Р 51275).
3.1.21 Программная закладка -
внесенные в программное обеспечение функциональные объекты, которые при
определенных условиях (входных данных) инициируют выполнение не описанных в
документации функций программного обеспечения, позволяющих осуществлять
несанкционированные воздействия на информацию (по ГОСТ Р 51275).
3.1.22 Вирус - вредоносная
программа, способная создавать свои копии или другие вредоносные программы и
внедрять их в файлы, системные области компьютера, компьютерных сетей, а также
осуществлять иные деструктивные действия.
3.1.23 Класс защищенности
автоматизированной системы - определенная совокупность требований по защите
информации, предъявляемых к автоматизированной системе.
3.1.24 Контролируемая зона -
пространство, в пределах которого осуществляется контроль за пребыванием и
действиями лиц и/или транспортных средств.
Примечание- Границей
контролируемой зоны может быть: периметр охраняемой территории предприятия
(учреждения); ограждающие конструкции охраняемого здания, охраняемой части
здания, выделенного помещения.
3.2 В настоящем стандарте
приняты следующие сокращения:
AC - автоматизированная
система;
АСЗИ - автоматизированная
система в защищенном исполнении;
ТЗ - техническое задание;
НИР - научно-исследовательская
работа;
ОКР - опытно-конструкторская
работа;
ЗИ - защита информации;
ПЭМИН - побочные
электромагнитные излучения и наводки;
СНиП - санитарные нормы и
правила;
ЕСКД - единая система
конструкторской документации;
ТС - технические средства;
НСД - несанкционированный
доступ;
ПС - программные средства;
НД - нормативный документ;
СрЗИ - средство защиты
информации;
ЕСПД - единая система
программной документации;
ЕСТД - единая система
технологической документации.
4 Общие
положения
4.1 Создание (модернизация) и
эксплуатация АСЗИ должны осуществляться с учетом требовг ний нормативных
документов по защите информации, требований настоящего стандарта, стандас тов
и/или технического задания на АС в части требований по защите информации.
Порядок использования в АСЗИ
шифровальной техники, предназначенной для защиты информации, содержащей
сведения, составляющие государственную тайну, определяется в соотвествии с
требованиями [1].
4.2 АСЗИ могут быть разработаны
и поставлены потребителю в виде защищенного изделия. Функционирующие
(эксплуатируемые) и модернизируемые АС, предназначенные для обработки защищаемой
информации, должны обеспечиваться дополнительной системой защиты ннформации.
4.3 Требования по защите
информации устанавливаются заказчиком как на АСЗИ в целом, так при
необходимости и на составные компоненты (части).
Требования по защите
информации, предъявляемые к компонентам (составным частям) АСЗИ должны быть
согласованы с требованиями по защите информации системы в целом.
4.4 Требования по защите
информации, предъявляемые к АСЗИ, задаются в ТЗ на создание системы в
соответствии с ГОСТ 34.602 в виде отдельного подраздела ТЗ на НИР (ОКР)
"Требования по защите информации".
При необходимости в ТЗ на
создание АСЗИ или в его составные части заказчик может включать специфические
требования по защите информации, дополняющие или уточняющие требования
настоящего стандарта.
По результатам технического и
эскизного проектирования АСЗИ требования по защите информации, при
необходимости, допускается корректировать в порядке, установленном для внесения
изменений в утвержденное ТЗ.
4.5 Защита информации в АСЗИ
должна быть:
- целенаправленной,
осуществляемой в интересах реализации конкретной цели защиты информации в АСЗИ;
- комплексной, осуществляемой в
интересах защиты всего многообразия структурных элементов АСЗИ от всего спектра
опасных для АСЗИ угроз;
- управляемой, осуществляемой
на всех стадиях жизненного цикла АСЗИ, в зависимости от важности обрабатываемой
информации, состояния ресурсов АСЗИ, условий эксплуатации АСЗИ результатов
отслеживания угроз безопасности информации;
- гарантированной; методы и
средства защиты информации должны обеспечивать требуемый уровень защиты
информации от ее утечки по техническим каналам, несанкционированного доступа к
информации, несанкционированным и непреднамеренным воздействиям на нее,
независимо от форм ее представления.
4.6 В АСЗИ должна быть
реализована система защиты информации, выполняющая следующие функции:
- предупреждение о появлении
угроз безопасности информации;
- обнаружение, нейтрализацию и
локализацию воздействия угроз безопасности информации;
- управление доступом к
защищаемой информации;
- восстановление системы защиты
информации и защищаемой информации после воздействия угроз;
- регистрацию событий и попыток
несанкционированного доступа к защищаемой информации и несанкционированного
воздействия на нее;
- обеспечение контроля
функционирования средств и системы защиты информации и немедленное реагирование
на их выход из строя.
Необходимый состав функций,
которые должны быть реализованы в АС, устанавливают в соответствии с [2].
4.7 При разработке
(модернизации) и эксплуатации АСЗИ должна быть организована решительная система
доступа разработчиков, пользователей, эксплуатирующего персонала к техническим
и программным средствам, а также информационным ресурсам АСЗИ.
Пользователям предоставляется
право работать только с теми средствами и ресурсами, которые необходимы им для
выполнения установленных функциональных обязанностей.
Полномочия разработчиков,
пользователей и эксплуатирующего персонала по доступу к ресурсам АСЗИ
устанавливаются заказчиком системы и отражаются в ТЗ на создание (модернизацию)
АСЗИ в разделе "Положения о разрешительной системе допуска исполнителей к
документам и сведениям на предприятии" и в инструкции по эксплуатации АСЗИ
[2].
4.8 В АСЗИ защите подлежат:
- информационные ресурсы в виде
информационных массивов и баз данных, содержащих защищаемую информацию, и
представленные на магнитных, оптических и других носителях;
- средства автоматизации
(средства вычислительной техники, информационно-вычислительные комплексы, сети
и системы), программные средства (операционные системы, системы управления
базами данных, другое общесистемное и прикладное программное обеспечение),
автоматизированные системы управления, системы связи и передачи данных и другие
средства.
4.9 Система защиты информации в
АСЗИ является неотъемлемой составной частью создаваемой АСЗИ или реализуется в
виде дополнительной подсистемы модернизируемой функционирующей
автоматизированной системы. Требования к системе защиты информации АСЗИ
предъявляют согласно ГОСТ 34.602.
5 Общие
требования
5.1 Общие требования к АСЗИ
включают:
- функциональные требования;
- требования к эффективности;
- технические требования;
- экономические требования;
- требования к документации.
5.2 Функциональные требования к
АСЗИ включают следующие группы требований:
- грифы секретности
(конфиденциальности) обрабатываемой в АСЗИ информации;
- категорию (класс
защищенности) АСЗИ;
- цели защиты информации;
- перечень защищаемой в АСЗИ
информации и требуемые уровни эффективности ее защиты;
- возможные технические каналы
утечки информации и способы несанкционированного доступа к информации,
несанкционированных и непреднамеренных воздействий на информацию в АСЗИ, класс
защищенности АСЗИ;
- задачи защиты информации в
АСЗИ.
5.2.1 Определение грифа
секретности (конфиденциальности) информации, категории защиты АСЗИ осуществляет
заказчик в соответствии с действующими руководящими и нормативными документами
в области защиты информации и [2].
5.2.2 Определение класса
защищенности АСЗИ осуществляется в соответствии с [3], 14].
5.2.3 Цели защиты информации в
АСЗИ
5.2.3.1 Общей целью ЗИ в АСЗИ
является предотвращение или снижение величины ущерба, наносимого владельцу
и/или пользователю этой системы, вследствие реализации угроз безопасности
информации.
Частными целями защиты
информации, обеспечивающими достижение общей цели АСЗИ, являются:
- предотвращение утечки
информации по техническим каналам;
- предотвращение
несанкционированного уничтожения, искажения, копирования, блокирования информации;
- соблюдение правового режима
использования массивов, программ обработки информации, обеспечения полноты,
целостности, достоверности информации в системах обработки;
- сохранение возможности
управления процессом обработки и использования информации условиях
несанкционированных воздействий на защищаемую информацию.
5.2.3.2 Цели защиты информации
в АСЗИ должны включать:
- содержательную формулировку
цели защиты;
- показатель эффективности
достижения цели и требуемое его значение;
- время актуальности каждой
цели защиты информации (этапы жизненного цикла, в течение которых цель должна
достигаться).
5.2.4 Перечень защищаемой
информации в АСЗИ и требуемые нормы (уровни) эффективности ее защиты
5.2.4.1 Определение конкретного
перечня защищаемой информации в АСЗИ должно осуществляться исходя из назначения
АСЗИ, целей защиты информации, состава и структуры АСЗИ, а также состава и
структуры защиты информации.
Перечень защищаемой информации
определяется как для АСЗИ в целом, так и для ее составных частей (компонентов).
5.2.4.2 Требования по
эффективности защиты информации в АСЗИ должны включать:
- перечень реализуемых способов
защиты информации;
- перечень показателей
эффективности защиты информации;
- требуемые уровни
эффективности защиты информации.
5.2.5 Выявление возможных
технических каналов утечки информации в АСЗИ, способов несанкционированного
доступа, несанкционированных и непреднамеренных воздействий на нее должно
осуществляться на основе анализа состава, структуры, алгоритмов функционирования
АСЗИ, условий размещения АСЗИ с использованием моделей угроз безопасности
информации, номенклатуры воздействующих на информацию факторов в соответствии с
[51.
Оценка опасности технических
каналов утечки информации, возможных способов несанкционированного доступа к
информации и несанкционированных воздействий на нее осуществляется по
показателям и методикам, определенным в нормативных и методических документах
Гостехкомиссии России и других ведомств, уполномоченных Правительством Российской
Федерации на проведение соответствующих работ.
5.2.6 Формулировка каждой
задачи защиты информации в АСЗИ должна включать:
- наименование конкретной
угрозы безопасности для АСЗИ (ее компонента), которую необходимо предотвратить
(устранить) при решении задачи;
- формулировку способа решения
задачи;
- перечень функций, которые
должны быть реализованы для решения данной задачи:
- требования к эффективности
или гарантиям решения задачи;
- ограничения на ресурсы АСЗИ,
выделяемые на решение данной задачи.
5.2.6.1 Задачи защиты
информации в АСЗИ включают:
- предотвращение перехвата
защищаемой информации, передаваемой по каналам связи;
- предотвращение утечки
обрабатываемой защищаемой информации за счет побочных электромагнитных
излучений и наводок;
- исключение
несанкционированного доступа к обрабатываемой или хранящейся в АСЗИ защищаемой
информации;
- предотвращение
несанкционированных и непреднамеренных воздействии, вызывающих разрушение,
уничтожение, искажение защищаемой информации или сбои в работе средств АСЗИ;
- выявление возможно внедренных
в технические средства АСЗИ специальных электронных устройств перехвата
информации;
- организация разрешительной
системы допуска пользователей АСЗИ к работе с защищаемой информацией и ее
носителями;
- осуществление контроля
функционирования средств и систем защиты информации в АСЗИ.
5.3 Требования к эффективности
или гарантиям решения задач защиты информации в АСЗИ включают:
- требования по предотвращению
утечки защищаемой информации по техническим каналам;
- требования по предотвращению
несанкционированного доступа к защищаемой информации;
- требования по предотвращению
несанкционированных и непреднамеренных воздействий, вызывающих разрушение,
уничтожение, искажение информации или сбои в работе средств АСЗИ;
- требования по выявлению
внедренных в помещения и в технические средства специальных электронных
устройств перехвата информации;
- требования по контролю
функционирования системы защиты информации АСЗИ.
5.3.1 Требования по
предотвращению утечки защищаемой информации по техническим каналам
5.3.1.1 Требования по
предотвращению утечки защищаемой информации включают:
- требования по предотвращению
утечки защищаемой информации за счет побочных электромагнитных излучений и наводок;
- требования по предотвращению
утечки защищаемой информации по техническим каналам разведки;
- требования по предотвращению
утечки защищаемой информации за счет сигналов, излучаемых техническими
средствами АС, которые обеспечивают функционирование системы;
- требования по предотвращению
утечки защищаемой информации за счет несанкционированного доступа к ней.
5.3.1.2 Средства вычислительной
техники, входящие в состав АСЗИ и подлежащие защите, должны удовлетворять
требованиям по защите информации от утечки за счет побочных электромагнитных
излучений и наводок по ГОСТ 29339, ГОСТ Р 50543 и других нормативных документов
[61. Номенклатура показателей эффективности защиты информации от утечки за счет
побочных электромагнитных излучений и наводок определяется в соответствии с
действующими норматив-
ными документами.
5.3.1.3 Требования по
предотвращению утечки защищаемой информации по техническим каналам разведки
включают:
- требования по предотвращению
утечки защищаемой информации по каналам технической разведки;
- требования по предотвращению
утечки защищаемой информации по каналам агентурной разведки, использующей
технические средства.
Требования по предотвращению
утечки защищаемой информации по каналам технической и агентурной разведки устанавливают
в соответствии с [2].
5.3.1.4 Требования по
устойчивости функционирования структурных компонентов АСЗИ к внешним факторам,
воздействующим на информацию, устанавливают на конкретные классы (виды, типы)
компонентов АСЗИ по ГОСТ 16325, ГОСТ 20397, ГОСТ 21552, ГОСТ ВД 21552, ГОСТ
27201.
Требования по устойчивости АСЗИ
к внутренним воздействующим факторам на информацию (отказы, сбои, ошибки)
устанавливают совместно с требованиями надежности и устойчивости функционирования
конкретной системы или ее компонентов и по ГОСТ 16325, ГОСТ 20397, ГОСТ 21552,
ГОСТ ВД 21552, ГОСТ 27201.
5.3.1.5 Требования по
предотвращению утечки защищаемой информации за счет встроенных электронных
и/или программных закладок в АСЗИ включают требования по выявлению встроенных
закладочных устройств и их устранению. Эти требования устанавливают в
соответствии с действующими руководящими и нормативными документами (7].
5.3.2 Требования по
предотвращению несанкционированного доступа к защищаемой информации устанавливают
по ГОСТ Р 50739 и нормативным документам Гостехкомиссии России [3] [5], 181.
5.3.3 Требования по
предотвращению несанкционированных и непреднамеренных воздействий, ' вызывающих
разрушение, уничтожение, искажение информации или сбои в работе средств АСЗИ информации,
устанавливают в соответствии с действующими правовыми, руководящими и нормативными
документами в области защиты информации.
Требования по предотвращению
изменения информации за счет внешних воздействующих факторов на АСЗИ
устанавливают с учетом требований, предъявляемых к компонентам АСЗИ по ГОСТ
16325, ГОСТ 20397, ГОСТ 21552, ГОСТ БД 21552, ГОСТ 27201. j
Требования по предотвращению
изменения защищаемой информации за счет внешних побочных явлений
(электромагнитных полей) устанавливают в соответствии с нормами по электромагнитной
совместимости и действующими нормативными документами, i
Требования по предотвращению
изменения защищаемой информации за счет субъективных преднамеренных действий
злоумышленника на АСЗИ, включающих компьютерные вирусы, устанавливаются в
соответствии с действующими нормативными документами и достигаются применением
специальных программных и аппаратных средств защиты (антивирусные программы) и
организации системы контроля безопасности программного обеспечения, j
5.4 Технические требования по
защите информации включают требования к основным вилам обеспечения АСЗИ
(техническому и программному), к зданиям (помещениям) или объектам, в которых
АСЗИ устанавливаются, а также к средствам защиты информации и контроля
эффективгюсти защиты информации.
5.4.1 Требования по защите
информации к техническому обеспечению АСЗИ включают требования как к основным
техническим средствам, используемым по функциональному назначению АСЗИ, так и к
вспомогательным техническим средствам, обеспечивающим функционирование основных
технических средств.
5.4.1.1 Технические требования,
предъявляемые к основным техническим средствам, содержат требования по защите
информации от утечки по ПЭМИН, от закладочных устройств, от внешних п
внутренних воздействующих
факторов, от несанкционированного доступа к информации и несан-
кционированных действий на нее.
5.4.1.2 Конструктивные
требования, предъявляемые к техническим средствам АС, аолжу.ы
формироваться с учетом
требований по защите информации и включаться в раздел "Конструктив-
ные требования" ТЗ на
разработку конкретного технического средства АСЗИ.
5.4.1.3 Технические средства
АСЗИ должны обеспечивать сохранность информации при от-
ключении электропитания, при
авариях, а также в условиях неблагоприятных природных явления и
стихийных бедствий.
,
5.4.1.4 Методы контроля, испытаний
и приемки технических средств АСЗИ должны соответ-
ствовать ГОСТ 23773 и ГОСТ Р
50752.
5.4.1.5 Требования к системе
заземления и сети электропитания АСЗИ должны устанавливать-
ся в соответствии с (2).
5.4.2 Требования к защите сети
телекоммуникаций (сети передачи данных) устанавливают и
соответствии с [21.
5.4.3 Требования по защите
информации к программному обеспечению АСЗИ регламентиру-
ются в соответствии с ГОСТ Р
51188 и нормативными документами в области защиты инфор.^-
ции (2] - (5], (7), 181.
5.4.4 Требования по ЗИ к
зданиям (помещениям) или к устройствам, в которых устанавлива-
ются АСЗИ, включают требования
к ограждающим конструкциям здания (помещения), к техноло-
гии строительства, требования к
средствам коммуникаций и требования к звукоизоляции помете
ний.
5.4.4.1 При необходимости
реконструкции и расширения помещений и сооружений объекта,
на котором размещается АСЗИ,
требования по защите информации предъявляют в соответствии со
СНиП и другими действующими
руководящими и нормативными документами [9], [10].
5.4.4.2 При размещении основных
технических средств АСЗИ в помещениях, предназначен
ных для ведения
конфиденциальных (секретных) переговоров, должны быть приняты меры по за-
щите от утечки речевой
информации за счет акустоэлектрических преобразований в элементах ос-
новных и вспомогательных
технических средств АСЗИ.
5.4.5 Требования, предъявляемые
к средствам защиты информации и средствам контроля эффек-
тивности защиты информации
5.4.5.1 Номенклатуру и
содержание требований, предъявляемых к средствам зашиты информа-
ции и контроля эффективности
защиты информации, определяют в соответствии с ГОСТ 2S 1-1",
ГОСТ Р 34.10, ГОСТ Р 34.11 и
техническими условиями на средства защиты информации и контро-
ля ее эффективности.
nri-'r.^-
"Wf- _';__
_tf"^'^
_, fif.'Mf
^^
'l'':_'l_^
ГОСТ P 51624-2000
5.4.6 Ограничения на
аппаратные, программные, информационные, временные и другие ре-
сурсы АСЗИ, выделяемые на
решение задач защиты информации, определяют с учетом имеющихся
ресурсов АСЗИ исходя из
допустимого снижения эффективности, функционирования АСЗИ по
основному функциональному
назначению.
5.5 Экономические требования по
ЗИ включают:
- допустимые затраты на
создание АСЗИ и/или системы защиты информации в АСЗИ;
- допустимые затраты на
эксплуатацию АСЗИ и/или системы защиты информации в АСЗИ.
5.6 Требования к документации
на АСЗИ
5.6.1 Комплектность
документации на АСЗИ устанавливается в нормативных документах и по
ГОСТ 34.201, [II] и
дополнительно включает документы, указанные в таблице 1.
5.6.2 Требования к
комплектности конструкторской, технологической ч эксплуатационной доку-
ментации на средства защиты
информации и контроля ее эффективности
На технические средства
разрабатывают конструкторскую и эксплуатационную документацию
согласно требованиям ЕСКД.
Таблица 1 - Номенклатура
дополнительной документации по защите информации на автоматизированную
систему
Наименование документа Код документа по ГОСТ 34.201 Примечание
1 Схема первичного
электропитания основных и вспомогательных технических средств АСЗИ С7* С
учетом требований по ЗИ
2 Схема заземления основных и
вспомогательных технических средств АСЗИ С7** С учетом требований по ЗИ
3 Спецификация основных и
вспомогательных технических средств, программных средств АСЗИ -
4 Руководство для абонентов
АСЗИ (сети) по режимным вопросам ИЭ4 С учетом требований по ЗИ
5 Перечень контрольных
испытаний и проверок (объем и периодичность) по подтверждению защищенности АСЗИ -
6 Предписание на эксплуатацию
ТС Д130 С учетом требований по ЗИ
7 Сертификат соответствия (на
каждое ТС, ПС системы и СрЗИ) -
8 Акт категорирования средств
АСЗИ и системы в целом по вопросам защиты информации -
9 Акт классификации АСЗИ в
части защиты от НСД к информации в системе -
10 Аттестат соответствия АСЗИ
требованиям НД по защите информации -
11 Формуляр по защите
информации (технический паспорт) -
12 Концепции, положения,
руководства, наставления, инструкции, уставы, правила, нормы, модели (по ГОСТ Р
50600) -
На программные средства
разрабатывают конструкторскую и эксплуатационную документа-
цию в соответствии с ЕСПД.
На программно-технические
средства разрабатывают конструкторскую и эксплуатационную
документацию согласно
требованиям ЕСПД, ЕСКД и ЕСТД.
5.6.3 Требования к составу,
видам документов и содержанию организационно-распорядитель-
ной документации устанавливают
в соответствии с ГОСТ Р 50600 и [21, [12J, [13].
ГОСТ Р 51624-2000
ГОСТ Р 51624-2000
УДК
65.011.56.012.45:006.354 OKC
35.040, 35.240 Э01 ОКСТУ0090
Ключевые слова: защищаемая
информация, автоматизированная система, автоматизированная си-
стема в защищенном исполнении,
требования по защите информации, средства зашиты информа-
ции, средства контроля
эффективности защиты информации, система защиты информации, серти-
фикация средств защиты
информации, контроль эффективности защиты информации
^^7^^
Z ^ ^^-7f
<-
Экзь
ГОСУДАРСТВЕННАЯ
ТЕХНИЧЕСКАЯ КОМИССИЯ
ПРИ ПРЕЗИДЕНТЕ
РОССИЙСКОЙ ФЕДЕРАЦИИ
" ^ " сентября
1998 г.
ь 240/ ^^^
г. Москва, К-160
РУКОВОДИТЕЛЯМ
АКЦИОНЕРНЫХ ОБЩЕСТВ
КОМПАНИЙ)
согласно расчета рассылки
Сообщаю, что Гостехкомиссией
России в 1998 году издан ряд
нормативных правовых документов
в области защиты государственной
тайны (список прилагается).
Согласно письма Минфина России
ь13-3-4/407 от 07.08.98г.
обеспечение указанными
документами организаций с негосударственной
формой собственности следует
осуществлять за плату, которую
необходимо производить путем
перечисления денежных средств на счета
по учету доходов федерального
бюджета, открытые органами
федерального казначейства по
субъектам Российской Федерации на
соответствующий код Бюджетной
классификации Российской Федерации.
Непосредственная рассылка
документов в организации будет
производиться на основании
представленых заявок с указанием
наименований требуемых
нормативно-правовых актов (допускается
сокращенное наименование
документов), их количества (не более 2-х
экземпляров) и
приложением копий платежных
поручений,
подтверждающих оплату
заявленных документов. В заявке требуется
также указать номер и дату
лицензии ФСБ России на право, проведения
работ с использованием
сведений, составляющих государственную тайну и
почтовый адрес
режимно-секретного органа.
ПЕРВЫЙ ЗАМЕСТИТЕЛЬ ПРЕДСЕДАТЕЛЯ
ГОСТЕХКОМИССИИ РОССИИ
Сокол^ в. С<
Е. Беляев
ВА^^М^Р СЬ^гее^ил.
список
нормативных правовых документов
в области защиты государственной
тайны, изданных Гостехкомиссией
России в 1998 году
Контактные телефоны Центральной
конторы по распространению
_ >
стандартов:
(095) 125-55 94 - секретные
стандарты,
(095) 124-99-44 - стандарты с
грифом "Для служебного пользования",
(095) 236-34-48 - несекретные
стандарты.