3.1. Система государственных нормативных актов, стандартов, руководящих документов и требований по защите информации от НСД базируется на законах, определяющих вопросы защиты государственных секретов и информационного компьютерного права.
3.2. Система указанных документов определяет работу в двух направлениях:
>• первое — разработка СВТ общего и специального назначения, защищенных от утечки, искажения или уничтожения информации, программных и технических (в том числе криптографических) средств и систем защиты информации от НСД;
>• второе — разработка, внедрение и эксплуатация систем защиты АС различного уровня и назначения как на базе защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД, прошедших сертификационные испытания, так и на базе средств и систем собственной разработки.
3.3. К системе документации первого направления относятся документы (в том числе, ГОСТы, РД и требования), определяющие:
>• различные уровни оснащенности СВТ средствами защиты информации от НСД и способы оценки этих уровней (критерии защищенности);
>• порядок разработки защищенных СВТ; взаимодействие, права и обязанности заказчиков и разработчиков на стадиях заказа и разработки защищенных СВТ;
>• порядок приемки и сертификации защищенных СВТ; взаимодействие, права и обязанности заказчиков и разработчиков на стадиях приемки и сертификации защищенных СВТ;
>• разработку эксплуатационных документов и сертификатов.
3.4. К системе документации второго направления относятся документы(в том числе, ГОСТы, РД и требования), определяющие:
>• порядок организации и проведения разработки системы защиты секретной информации, взаимодействие, права и обязанности заказчика и разработчика АС в целом и СЗСИ в частности;
>• порядок разработки и заимствования программных и технических средств и систем защиты информации от НСД в процессе разработки СЗСИ;
>• порядок настройки защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД на конкретные условия функционирования АС;
>• порядок ввода в действие и приемки программных и технических средств и систем защиты информации от НСД в составе принимаемой АС;
>• порядок использования защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД, прошедших сертификационные испытания, в соответствии с классами и требованиями по защите в конкретных системах;
>• порядок эксплуатации указанных средств и систем;
>• разработку эксплуатационных документов и сертификатов;
>• порядок контроля защищенности АС;
>• ответственность должностных лиц и различных категорий исполнителей (пользователей) за выполнение установленного порядка разработки и эксплуатации АС в целом и СЗСИ в частности.
3.5. Состав документации, определяющей работу в этих направлениях, устанавливают Госстандарт Российской Федерации и Гостехкомиссия России.
3.6. Обязательным требованием к ТЗ на разработку СВТ и АС должно быть наличие раздела требований по защите от НСД, а в составе документации, сопровождающей выпуск СВТ и АС, должен обязательно присутствовать документ (сертификат), содержащий результаты анализаих защищенности от НСД.