Порядок создания автоматизированных систем в защищенном исполнении - Форум по вопросам информационной безопасности

Господа! Бедный студент нуждается в помощи по ряду вопросов связанных с процессом создания ЗАС. Интересует общий алгоритм создания ЗАС, проводимый при этом перечень работ и порядок создания сопутствующей документации. О существовании ГОСТ Р 51583-2014 в курсе, но в данном стандарте, к сожалению, отсутствует информация, ради которой я здесь. А именно: на каком этапе какой документ формируется заказчиком и какие работы / действия пошагово выполняются. Буду признателен, если поможете разобраться в данном вопросе и внесёте ясность в процесс создания ЗАС в целом.

Вопрос в настоящее время совершенно неправилен.
Есть СВТ в защищенном исполнении, которые и разрабатываются по существующим ГОСТам,
и есть аттестованные АС. АС аттестуются в соответствии с приказами ФСТЭК № 110-2020 и № 77-2021.
СВТ в защищенном исполнении подлежат сертификации, весь необходимый перечень документов приведён куче ГОСТов, как студент вы должны были их изучать. Но обычно студентами под АС в защищенном исполнении предполагается именно аттестованные АС, и тут надо начинать именно с 77 приказа, а там уже разберетесь, если есть желание.

to Артём

В разделе 2 "Нормативные ссылки" ГОСТа 51583-2014 есть отсыл на ГОСТ 34.601 (стадии создания) и ГОСТ 34.201 (виды, комплектность и обозначения документов). Если разобраться в отличии понятий стадии и этапов, то часть вопросов, как правило, уходит.

"Общий" подход создания АС согласно этого стандарта применим к АСЗИ. "Логика" пунктов 5.9 и 5.10 ГОСТа 51583 говорит, что АСЗИ это АС, у которой система защиты информации строится согласно разделам 6 и 7 ГОСТа 51583.
В случае, если делать одновременно АС и ее систему защиты информации, то может сложиться определенное впечатление: у АС по свои стадии и этапы создания, а у ее системы защиты информации свои, типа где каждый "живет" своей жизнью. Это "противоречие" устраняется при разработке технического задания на создание АСЗИ. Здесь работа творческая. С учетом индивидуальных особенностей "скрещивают" названия стадий и этапов работ с их содержанием. Условно: сначала "разложить" создание системы по стадиям и этапам ГОСТа 34.601, а затем у стадий и этапов скорректировать их названия и виды входящих в них работ согласно пункту 6.1 ГОСТа 51583, в итоге получить комплекс работ по созданию АСЗИ.
Но в некоторых случаях проще сделать работу раздельными техническими заданиями - на создание АС и на создание ее системы защиты информации. Будет зависеть от поставленных целей и задач.

В разработке документации стоит руководствоваться пунктом 5.15 ГОСТа 51583. В нем отсыл на стандарт 34.201 (с января этого года действует его новая редакция) и РД 50-34.698-90 (с февраля 2019 года документ официально отменен, но им можно пользоваться). По первому документу определяете состав документов, по второму - их содержание.

Для справки: ГОСТ Р 34.601-90 действует до 30.04.2022, затем будет действовать ГОСТ Р 59793-2021. По сути они аналогичны, но на практике замену стоит иметь в виду. С 30.04.2022 вводится ГОСТ Р 59795-2021 по содержанию схож с отмененным РД 50-34.698-90.