ГОСТ Р 51624

ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»

Ключевые выдержки из ГОСТ Р 51624:

1) Программное обеспечение и оборудование не должны содержать недекларированные возможности.
2) Система зашиты информации автоматизированной системы определена, как совокупность всех технических, программных и программно-технических средств зашиты информации и средств контроля эффективности зашиты информации (по ГОСТ Р 51583).
3) Программное обеспечение автоматизированной системы определено, как совокупность программ на носителях данных и программных документов, предназначенных для отладки, функционирования и проверки работоспособности АС (по ГОСТ 34. 003).
4) Угроза безопасности информации определена, как совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации, и/или несанкционированными и/или непреднамеренными воздействиями на нее.
5) Прописана необходимость и порядок использования в АСЗИ шифровальной техники, предназначенной для защиты информации, содержащей сведения, составляющие государственную тайну.
6) Защита информации в АСЗИ должна быть:
  • целенаправленной, осуществляемой в интересах реализации конкретной цели зашиты информации в АСЗИ;
  • комплексной, осуществляемой в интересах защиты всего многообразия структурных элементов АСЗИ от всего спектра опасных для АСЗИ угроз;
  • управляемой, осуществляемой на всех стадиях жизненного цикла АСЗИ, в зависимости от важности обрабатываемой информации, состояния ресурсов АСЗИ, условий эксплуатации АСЗИ, результатов отслеживания угроз безопасности информации;
  • гарантированной; методы и средства защиты информации должны обеспечивать требуемый уровень защиты информации от ее утечки по техническим каналам, несанкционированного доступа к информации, несанкционированным и непреднамеренным воздействиям на нее, независимо от форм её представления.
7) В АСЗИ должна быть реализована система защиты информации, выполняющая следующие функции:
  • предупреждение о появлении угроз безопасности информации;
  • обнаружение, нейтрализацию и локализацию воздействия угроз безопасности информации;
  • управление доступом к защищаемой информации;
  • восстановление системы зашиты информации и защищаемой информации после воздействия угроз;
  • регистрацию событий и попыток несанкционированного доступа к защищаемой информации и несанкционированного воздействия на нее;
  • обеспечение контроля функционирования средств и системы защиты информации и немедленное реагирование на их выход из строя.
8) В АСЗИ защите подлежат:
  • информационные ресурсы в виде информационных массивов и баз данных, содержащих защищаемую информацию, и представленные на магнитных, оптических и других носителях;
  • средства автоматизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных и другие средства.
9) Требования по защите информации к программному обеспечению АСЗИ регламентируются в соответствии с ГОСТ Р 51188 и нормативными документами в области защиты информации.

Источник

Срок действия не ограничен

Ответственность:
  • КоАП РФ, Статья 170. "Нарушение обязательных требований государственных стандартов, правил обязательной сертификации, нарушение требований нормативных документов по обеспечению единства измерений"

Ответственные лица:
  • Руководители гос. органов (организаций)
  • Зам. руководителя по ИБ

Дополнительные документы:
  • ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения"
  • ГОСТ 34. 003