Особенности испытаний и применения автоматизированной системы в защищенном исполнении

Состав реализуемых стадий и этапов создания для каждой конкретной АСЗИ, а также содержание выполняемых на них работ по защите обрабатываемой информации устанавливают на стадии "Техническое задание" при разработке ТЗ (ЧТЗ) в соответствии с требованиями ГОСТ 34.602.

Номенклатура требований по ЗИ, предъявляемая к АСЗИ, разрабатывается в соответствии с требованиями НД по ЗИ, содержащими требования по проведению сертификации комплектующих изделий, по проведению специальных исследований и специальных проверок средств обработки информации как иностранного так и совместного производства и по проведению аттестации АСЗИ по требованиям безопасности информации.

Ввод АСЗИ в эксплуатацию осуществляется только после выполнения всех мероприятий по ЗИ и проведения испытаний испытательным центром (лабораторией) на соответствие требованиям НД по защите информации.

Применение АСЗИ для обработки защищаемой информации разрешается только после ее аттестации на соответствие требованиям безопасности информации.

Эксплуатация АСЗИ должна осуществляться в полном соответствия с утвержденной организационно - распорядительной и эксплуатационной документацией на АСЗИ, оценка которым должна быть дана при испытаниях АСЗИ на соответствие требованиям НД по защите информации.

Должностные лица, обслуживающий персонал и пользователи (операторы) АСЗИ несут ответственность за несоблюдение ими установленного порядка работы по ЗИ и применения мер и средств защиты информации.

При выявлении нарушений требований ЗИ на АСЗИ установленным НД эксплуатация АСЗИ должна быть прекращена.

Прекращение эксплуатации АСЗИ возможно также по следующим основаниям:

· согласно принятому собственником (владельцем) АСЗИ решению и оформленному в установленном порядке;

· согласно принятому решению органа надзора (контроля) из-за несоответствия требованиям НД по защите информации или по другим причинам, приводящим к утечке ЗИ или другим угрозам защищаемой информации;

· по решению суда.

Организационно-методическое руководство работами по созданию, изготовлению, обеспечению и эксплуатации средств криптографической ЗИ, сертификации этих средств, а также контроль за состоянием и развитием этого направления работ осуществляют ведомства, уполномоченные Правительством Российской Федерации на проведение соответствующих работ.

Порядок обеспечения эксплуатации АСЗИ с использованием шифровальной техники для защиты сведений, отнесенных к государственной тайне, регламентируется.

Ответственность за надлежащее исполнении правил эксплуатации средств криптографической ЗИ (в том числе во время приемочных ис­пытаний) возлагается на руководство организаций, эксплуатирующих дан­ные средства.

Контроль за выполнением требований инструкций по эксплуатации средств криптографической ЗИ возлагается на специальные подразделения по ЗИ на предприятии (организации).

Тематические исследования по криптографической ЗИ в составе комплексов технических средств АСЗИ проводятся организациями имеющими лицензию на этот вид работ.

Специальные исследования ТС и средств АСЗИ проводятся организациями (учреждениями), имеющими лицензии ФСТЭК России на соответствующий вид деятельности.

Сертификация средств, комплексов и систем ЗИ осуществляется в соответствии с требованиями.

Аттестацию на соответствие требованиям защиты информации АСЗИ осуществляют в соответствии с требованиями.

Испытания СВТ АСЗИ на соответствие требованиям по защите обрабатываемой информации от утечки за счет побочных электромагнитных излучений и наводок осуществляют по ГОСТ Р 50752.

Испытания СВТ и АСЗИ на соответствие требованиям ГОСТ Р 50739, по защите от НСД к информации осуществляют по.

Испытания программных средств АСЗИ на наличие компьютерных вирусов осуществляют по ГОСТ Р 51188.

Вопросы для самоконтроля

1. Содержание технического задания на создание автоматизированной системы.

2. Комплектность и обозначение документов при создании автоматизированных систем.

3. Этапы создания автоматизированных систем в защищенном исполнении.

СПИСОК ЛИТЕРАТУРЫ

Основная:

1. Государственная тайна в Российской Федерации. Учебно-методическое пособие. Издание 2-е, перераб. и дополн. /Под ред. Вуса М. А./. СПб.: Изд-во Санкт-Петербургского университета, 2000, 409 с.

2. Организация и современные методы защиты информации. / под общей редакцией Диева С. А. И Шаваева А. Г./. М.: Концерн «Банковский Деловой Центр», 1998, 472 с.

3. Позняков Е. Н. Защита объектов (рекомендации для руководящих и сотрудников служб безопасности). М.: Концерн «Банковский Деловой Центр», 1997, 224 с.

4. Рекомендации по повышению безопасности объектов. М.: ВНИИПО МВД РФ, 1995.

5. Петраков А. В., Дорошенко П. С., Савлуков Н. В. Охрана и защита современного предприятия. М.: Энергоатомиздат, 1999, 568 с.

6. Волхонский В. В. Устройства охранной сигнализации. СПб.: Эконолис и культура, 1999, 272 с.

7. Вопросы обеспечения защиты коммерческой тайны при установлении внешнеэкономических и иных связей с иностранными организациями. М.: Минрадиопром, 1991.

8. Ярочкин В. И. Служба безопасности коммерческого предприятия. Организационные вопросы. М.: «Ось-89», 1995.

9. Все о защите коммерческой информации: настольная книга для делового человека. М.: Махаон, 1992.

10. Белов Е.Б. и др. Основы информационной безопасности. М.: Горячая линия-Телеком, 2006.

11. Яковлев В.В., Корниенко А.А. Информационная безопасность и защита информации в корпоративных сетях железнодорожного транспорта. М.:, 2002.

Дополнительная литература:

1. Торокин А. А. Основы инженерно-технической защиты информации. М.: «Ось-89», 1998, 365 с.

2. Барсуков В. В., Водолазкий В. В. Соверменные технологии безопасности. Интегральный подход. М.: «Нолидж», 2000, 496 с.

3. Левин А. А. Секрет фирмы. М.: Машиностроение, 1992.

4. Ракитянский И. М. Тайны хранят не замки, а люди. М.: Менеджер, 1991.

5. Дайлов А. А., Кишкин В. А. Хранилища сейфов, системы безопасности связи и телекоммуникаций. Ns1, 1996, С 68-70.

6. Крысин А. В. Безопасность предпринимательской деятельности. М.: М.: «Финансы статистика»,1996, 380 с.

7. Выбор и применение современных технических средств охранно-пожарной сигнализации на объектах народного хозяйства: Рекомендации. М.: ВНИИПО МВД СССР, 1991, 222с.

8. Уокер Ф. Электронные системы охраны. Пер. с англ. М.: «За и против», 1991, 288 с.

9. Лысов А. В., Остапенко А. Н. Промышленный шпионаж в России: методы и средства. СПб.: «Бум Техно», 1994.

10. Савицкий В. Что такое настоящий сейф. Частный сыск, охрана и безопасность, No1, 1996, с.25-26.

11. Бизнес и безопасность. М.: КМЦ «Центурион», 1992.

12. Тарас А. Е. Безопасность бизнесмена.

ПРИЛОЖЕНИЕ 1.

ИСТОЧНИКИ ТЕОРЕТИЧЕСКИХ ЗНАНИЙ

· Конституция Российской Федерации;

· Доктрина информационной безопасности Российской Федерации;

· Концепция национальной безопасности Российской Федерации;

· Федеральный закон от 27.07.06 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации";

· Федеральный закон от 27.07.06 г. № 152-ФЗ "О персональных данных";

· Федеральный закон от 07.07.03 г. № 126-ФЗ "О связи";

· Федеральный закон от 8.08.01г. № 128-ФЗ "О лицензировании отдельных видов деятельности";

· Федеральный закон от 10.01.02 г. № 1-ФЗ 'Об электронной цифровой подписи'.

Указы Президента Российской Федерации:

· Указ Президента Российской Федерации от 16.08.04 г. № 1085 "Вопросы Федеральной службы по техническому и экспортному контролю";

· Указ Президента Российской Федерации от 17.12.97 г. № 1300 "Концепция национальной безопасности Российской Федерации" в редакции указа Президента Российской Федерации от 10.01.2000 г. № 24;

· Указ Президента Российской Федерации от 06.03.97 г. № 188 " Об утверждении перечня сведений конфиденциального характера";

· Указ Президента Российской Федерации от 06.10.98 г. № 1189 'О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена'.

Постановление Правительства Российской Федерации:

Постановление Правительства Российской Федерации от 03.11.94 г. № 1233 "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти";

Постановление Правительства Российской Федерации от 30.04.02 г. № 290 "О лицензировании деятельности по технической защите конфиденциальной информации';

Постановление Правительства Российской Федерации от 27.05.02 г. № 348 "Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации', а также " Положение по аттестации объектов информатизации по требованиям безопасности информации " у твержденного Председателем Государственной технической комиссии при Президенте Российской Федерации Ю.Яшиным 25 ноября 1994 г.

ПРИЛОЖЕНИЕ 2

ПРИЛОЖЕНИЕ N 1 К ПРИКАЗУ ОАО "РЖД" ОТ 27.12.2004 г. N 240

ПЕРЕЧЕНЬ ИНФОРМАЦИИ, СОСТАВЛЯЮЩЕЙ КОММЕРЧЕСКУЮ ТАЙНУ ОАО "РЖД"

1. Информация о финансово - экономической деятельности

1.1. Информация, раскрывающая нераспределенную прибыль, балансовую прибыль по видам деятельности и видам перевозок, - до момента ее открытого опубликования в составе годовой бухгалтерской отчетности в соответствии с законодательством Российской Федерации.

1.2. Информация, раскрывающая себестоимость, рентабельность по видам перевозок или подсобной деятельности, - до момента ее открытого опубликования в составе годовой бухгалтерской отчетности в соответствии с законодательством Российской Федерации.

1.3. Информация, раскрывающая расходы, осуществляемые за счет прибыли, в том числе расходы на капитальные вложения, покрытие убытков жилищно-коммунального хозяйства, пополнение оборотных средств, - до момента ее открытого опубликования в составе годовой бухгалтерской отчетности в соответствии с законодательством Российской Федерации.

1.4. Информация, раскрывающая расходы по видам перевозок или подсобной деятельности, в том числе амортизационные отчисления, - до момента ее открытого опубликования в составе годовой бухгалтерской отчетности в соответствии с законодательством Российской Федерации.

1.5. Информация, раскрывающая содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности в целом по ОАО "РЖД", филиалу или другому структурному подразделению ОАО "РЖД".

1.6. Информация, раскрывающая изменение уставного капитала ОАО "РЖД", - до момента ее открытого опубликования в соответствии законодательством Российской Федерации.

2. Информация об эксплуатационной и производственной деятельности

2.1. Информация, раскрывающая качественный и количественный состав цветных металлов в узлах или деталях тягового железнодорожного подвижного состава либо в сооружениях или устройствах, обеспечивающих функционирование инфраструктуры железнодорожного транспорта общего пользования, принадлежащей ОАО "РЖД" (далее - сооружения и устройства).

2.2. Информация, раскрывающая характеристики пропускной способности узловых железнодорожных станций, за исключением сведений, составляющих государственную тайну.

2.3. Графики движения поездов, технические нормативы, станционные интервалы.

2.4. Графики исполненного движения поездов, общее количество фактически проходящих грузовых и пассажирских поездов или отдельно грузовых поездов (пар поездов, вагонов) за сутки, фактические средние интервалы между поездами по железнодорожной станции, перегону, участку, направлению.

2.5. Информация, раскрывающая объемы фактически осуществленных перевозок в целом по ОАО "РЖД", железной дороге с разбивкой по номенклатуре грузов в вагонах за квартал, месяц, за исключением сведений, составляющих государственную тайну.

2.6. Информация, раскрывающая содержание отчетов о груженых вагонопотоках по назначению.

2.7. Информация, раскрывающая наличие и состояние закрытых (законсервированных) сооружений и устройств в целом по ОАО "РЖД", железной дороге (раздельных пунктов, парков и путей железнодорожных станций, веток, обходов).

2.8. Информация, раскрывающая количество и техническое состояние вагонов, подаваемых под погрузку опасных грузов класса 1, или поездов с опасными грузами класса 1.

2.9. Информация, раскрывающая содержание техническо-распорядительных актов, масштабных, распорядительных планов, а также продольных профилей станционных путей пассажирских, грузовых, сортировочных, участковых или промежуточных железнодорожных станций.

2.10. Информация, раскрывающая сведения об инвентарном парке локомотивов (тип, серия, количество, распределение по сроку службы или по конструктивным устройствам) в целом по ОАО "РЖД", железной дороге.

2.11. Информация, раскрывающая наличие запасных частей и основных комплектующих изделий к железнодорожному подвижному составу в целом по ОАО "РЖД", железной дороге, - до момента ее открытого опубликования в составе годовой бухгалтерской отчетности в соответствии с законодательством Российской Федерации.

2.12. Информация, раскрывающая поступление и расходование угля, топочного мазута, дизельного топлива, моторных масел и консистентных смазок в целом по ОАО "РЖД", железной дороге, - до момента ее открытого опубликования в составе годовой бухгалтерской отчетности в соответствии с законодательством Российской Федерации.

2.13. Информация, раскрывающая количество складов для твердого топлива и их полезную емкость, количество резервуаров для нефтепродуктов и их емкость в целом по ОАО "РЖД", железной дороге.

3. Информация об управленческой деятельности

3.1. Результаты совещаний и решения руководства ОАО "РЖД", филиала или другого структурного подразделения ОАО "РЖД" по вопросам коммерческой, финансовой или производственной деятельности, разглашение которых может нанести ущерб интересам ОАО "РЖД".

3.2. Информация, раскрывающая факторы, сдерживающие развитие ОАО "РЖД", а также способные нанести ущерб интересам ОАО "РЖД".

4. Информация о кадровой деятельности

4.1. Информация, раскрывающая содержание личного дела работника ОАО "РЖД", филиала или другого структурного подразделения ОАО "РЖД", за исключением сведений, которые подлежат опубликованию в годовом отчете ОАО "РЖД", или не могут составлять коммерческую тайну ОАО "РЖД" в соответствии с законодательством Российской Федерации.

4.2. Сведения, раскрывающие заработную плату работников ОАО "РЖД", филиала или другого структурного подразделения ОАО "РЖД".

Примечания к разделу:

· сведения о задолженности по выплате заработной платы и по иным социальным выплатам не являются сведениями, составляющими коммерческую тайну ОАО "РЖД";

· сведения о численности, о составе работников, о системе оплаты труда, об условиях труда, о наличии свободных рабочих мест не являются сведениями, составляющими коммерческую тайну ОАО "РЖД";

· сведения о нарушениях законодательства Российской Федерации и о фактах привлечения к ответственности за совершение этих нарушений не являются сведениями, составляющими коммерческую тайну ОАО "РЖД".

5. Информация о контрольной и ревизионной деятельности

5.1. Информация, раскрывающая содержание заключения Ревизионной комиссии о достоверности данных, содержащихся в годовом отчете ОАО "РЖД", - до момента его раскрытия на годовом общем собрании акционеров ОАО "РЖД".

5.2. Информация, раскрывающая содержание аудиторского заключения, подтверждающего достоверность бухгалтерской отчетности, - до момента его открытого опубликования в соответствии с законодательством Российской Федерации.

5.3. Информация, раскрывающая результаты проверки или ревизии (содержание акта, отчета, справки) финансово - хозяйственной или иной деятельности ОАО "РЖД", филиала или другого структурного подразделения ОАО "РЖД", за исключением сведений, которые в соответствии со статьей 5 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне" не могут составлять коммерческую тайну ОАО "РЖД".

6. Информация о сигнализации и связи, электрификации, энергетике

6.1. Информация, раскрывающая схему и описание отдельной радиорелейной линии связи, используемой ОАО "РЖД", с указанием трассы, пропускной способности, полосы частот, а также типа и тактико-технические характеристик оконечной аппаратуры.

6.2. Общие схемы и картограммы телефонной канализации кабелей соединительных линий, местных телефонных сетей органов управления железных дорог, отделений железных дорог и железнодорожных узлов, проектируемые и действующие кабельные планы железнодорожных станций внеклассных, 1 и 2 класса с указанием на них устройств сигнализации, централизации и блокировки (далее - устройств СЦБ), а также устройств связи.

6.3. Схематические или двухниточные планы (действующих и проектируемых железнодорожных станций внеклассных, 1 или 2 класса с таблицами зависимости и указанием на них устройств СЦБ).

6.4. Сводная информация, раскрывающая распределение и использование полос радиочастот в целом по ОАО "РЖД", железной дороге.

6.5. Схемы внешнего энергоснабжения электрифицированных линий в целом по ОАО "РЖД", филиалу или другому структурному подразделению ОАО РЖД".

6.6. Информация, раскрывающая с топогеодезической привязкой данные о дислокации стационарных или передвижных электростанций, трансформаторных подстанций с указанием мощности и напряжения в целом по ОАО "РЖД", филиалу или другому структурному подразделению ОАО "РЖД".

6.7. Информация, раскрывающая волновые расписания магистральной радиосвязи.

Примечание: для радиостанций поездной, станционной радиосвязи и аварийно-восстановительных подразделений указанные сведения являются открытыми.

6.8. Информация, раскрывающая схему и описание действующей или проектируемой линии связи ОАО "РЖД", железной дороги, отделения железной дороги, трассу, количество каналов, систем передачи данных и их типов, местонахождение усилительных пунктов, тип кабеля, его емкость, степень задействования, количество и тип оконечной аппаратуры, за исключением сведений, составляющих государственную тайну.

6.9. Информация, раскрывающая оснащенность железной дороги устройствами СЦБ.

6.10. Информация, раскрывающая с топогеодезической привязкой данные о дислокации, назначении, технической оснащенности стационарных радиостанций магистральной дорожной радиосвязи и характеристику использования отдельных передатчиков и приемников на радиостанциях в целом по ОАО "РЖД", филиалу или другому структурному подразделению ОАО "РЖД".

7. Информация о договорной работе

7.1. Существенные условия договоров (заключенных или находящихся на стадии заключения), включая применяемые формы расчетов, предоставленные или полученные льготы, условия, сроки поставки, если разглашение данной информации может нанести ущерб экономическим интересам ОАО "РЖД".

7.2. Содержание документов по маркетинговой, ценовой, конкурентной политике, в том числе по обоснованию сделок, выбору контрагента, о методах расчета цен, структуре и уровне цен, если разглашение данной информации может нанести ущерб экономическим интересам ОАО "РЖД".

7.3. Информация, раскрывающая позицию ОАО "РЖД" в ходе переговоров до подписания соответствующих договоров, планы по тактике или целям переговоров, если разглашение указанной информации может нанести ущерб экономическим интересам ОАО "РЖД".

7.4. Сведения, конфиденциальность которых установлена в договорах (контрактах, соглашениях), заключенных ОАО "РЖД".

7.5. Информация, раскрывающая планируемые закупки, продажи за рубежом товаров, услуг до подписания договоров, степень заинтересованности ОАО "РЖД" в импорте или экспорте отдельных видов товаров, если разглашение указанных сведений может нанести ущерб экономическим интересам ОАО "РЖД", за исключением сведений, официально сообщаемых при проведении конкурсных торгов или передаваемых иностранным посольствам и представительствам иностранных организаций в установленном порядке.

8. Информация о результатах собственных исследований

Информация, об объектах интеллектуальной собственности, возникших вследствие выполнения по заданиям ОАО "РЖД" научно-исследовательских, опытно-конструкторских, технологических и иных работ, а также приобретенных или разработанных по заданиям ОАО "РЖД" решений, инноваций.

9. Информация о внешнеэкономической деятельности

Сведения, конфиденциальность которых установлена сторонами при проведении международных переговоров.

10. Информация о рекламной деятельности

Информация, раскрывающая концепцию и методы проведения рекламной деятельности ОАО "РЖД".

11. Информация о медицинской деятельности

11.1. Сводная информация, раскрывающая материально-техническое обеспечение службы медицинского обеспечения железной дороги.

11.2. Информация, раскрывающая состояние здоровья работника ОАО "РЖД", диагноз его заболевания и иные сведения, полученные при его медицинском обследовании или лечении.

Примечание: сведения, раскрывающие показатели производственного травматизма или профессиональной заболеваемости не являются сведениями, составляющими коммерческую тайну ОАО "РЖД".

12. Информация о защите информации и объектов ОАО "РЖД"

12.1. Информация, раскрывающая организацию и состояние защиты информации, составляющей коммерческую тайну в целом по ОАО "РЖД", филиалу или другому структурному подразделению ОАО "РЖД".

12.2. Информация, раскрывающая критические для функционирования ОАО "РЖД" информационные технологии, информационно-управляющие системы, включая схемы организации аппаратных, программных или программно-аппаратных комплексов, используемые ими протоколы обмена данными и форматы хранения данных.

12.3. Информация, раскрывающая методы защиты и настройки программ или операционных систем вычислительных средств, используемых для обработки конфиденциальной информации ОАО "РЖД" или разграничения доступа к информационным ресурсам.

12.4. Информация, раскрывающая идентификационную либо аутентификационную информацию пользователя информационной системы или телекоммуникационной сети.

12.5. Информация, раскрывающая конкретный порядок формирования и защиты электронной подписи на документах ОАО "РЖД", филиала или другого структурного подразделения ОАО "РЖД".

12.6. Информация, раскрывающая уязвимость сооружений или устройств ОАО "РЖД", филиала или другого структурного подразделения ОАО "РЖД".

12.7. Информация, раскрывающая содержание планов и конкретных мероприятий по охране сооружений или устройств ОАО "РЖД", работников ОАО "РЖД" и пассажиров от террористических актов.

Примечания к Перечню:

При перечислении информации:

· через союз "и", словосочетание "а также" ограничительный гриф доступа устанавливается всей информации в совокупности;

· через запятую и с союзом "и" перед последним перечислением сведений в категории ограничительный гриф доступа устанавливается всей информации в совокупности;

· через запятую, союзы "или" и "либо" ограничительный гриф доступа устанавливается для каждой категории информации в отдельности

ПРИЛОЖЕНИЕ 3

ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО

"РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ" (ОАО "РЖД")

------------------------------------------------------------------------

4 апреля 2006 г. N 79

Дата добавления: 2014-01-15; Просмотров: 451; Нарушение авторских прав?; Мы поможем в написании вашей работы!