Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ОБРАЗОВАНИЯ

«ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»

Кафедра "Информационные технологии и системы"

К ЗАЩИТЕ ДОПУСТИТЬ

Заведующий кафедрой ________ М.А. Попов

"____"_______ 2017 г.

Разработка рекомендаций по проведению испытаний системы защиты информационной системы

Пояснительная записка к выпускной квалификационной работе бакалавра

ВКР 10.03.01 24Б ПЗ

Студент гр. 24Б	П.Ю. Полянский
Руководитель доцент	В.Н. Никитин
Нормоконтроль доцент, к.п.н., доцент	В.И. Шестухина

Хабаровск – 2017

Annotation

Subject of final qualification work is development of recommendations for testing the information system protection system.

The purpose of work is development of methodical recommendations assessment of conformity of security system in an information system with information security requirements in the form of commissioning. This form of an assessment of compliance assumes carrying out preliminary tests, trial operation and acceptance tests. Methodical recommendations have been developed to assist specialists engaged in technical protection of information.

During work the analysis of the existing documentation in the field of compliance confirmation has been carried out. The result of the work is the ready-made versions of the documents for testing the protection system, such as «Program and methodology of preliminary tests», «Program of carrying out trial operation», «Program and methodology of acceptance tests», «Protocol of preliminary tests», «The act of acceptance in trial operation», «Working book of trial operation», «The act of completion of trial operation», «Protocol of acceptance tests», «The act of acceptance in continuous operation».

They will provide real assistance to specialized organizations and experts engaged in the field of information protection to assess the compliance of the protection system with information security requirements in the form of testing. Also they can be used in the organization of educational process.

Содержание

Введение 5

1 Оценка соответствия. Общие положения 8

1.1 Общие положения 8

1.2 Оценка соответствия 11

1.2.1 Добровольное подтверждение соответствия 13

1.2.2 Обязательное подтверждение соответствия 14

1.2.2.1 Декларирование соответствия 14

1.2.2.2 Обязательная сертификация 16

1.2.3 Принципы подтверждения соответствия 17

1.3 Виды испытаний системы защиты информации 18

1.3.1 Предварительные испытания 20

1.3.2 Опытная эксплуатация 22

1.3.3 Приемочные испытания 23

1.3.4 Аттестация СЗ на соответствие требованиям безопасности информации 24

2 Оценка соответствия СЗ методом ввода в эксплуатацию через проведение испытаний 31

2.1 Проведение предварительных испытаний 31

2.2 Проведение опытной эксплуатации 33

2.3 Проведение приемочных испытаний 35

Заключение 53

Список используемых источников 54

Приложение А 56

Приложение Б 58

Приложение В 61

Приложение Г 63

Приложение Д 65

Приложение Е 66

Приложение Ж 68

Приложение З 70

Приложение И 73

Введение

Важность и актуальность вопросов защиты информации уже давно заняли лидирующие места среди задач, решаемых в процессе проектирования, создания и использования современных информационных систем. В настоящее время разработано множество стандартов, нормативных документов, технических регламентов и приказов, описывающих процессы проектирования, реализации, тестирования и эксплуатации системы защиты информации в информационной системе. Для уменьшения вероятности отказа системы защиты все эти этапы необходимо проводить правильно. Особое внимание хотелось уделить этапу тестирования созданной системы защиты информации, так как, к сожалению, принятые на сегодняшний день стандарты, нормативные документы ФСТЭК России и ФСБ России дают методику, но не дают методических рекомендаций, т.е. нет подробного описания процесса проведения испытаний.

Целью работы является разработка методических рекомендаций по проведению оценки соответствия системы защиты информации в информационной системе требованиям безопасности информации в форме ввода в эксплуатацию. Данная форма оценки соответствия, согласно ГОСТ 34.603-92 «Информационная технология. Виды испытаний автоматизированных систем», предполагает проведение предварительных испытаний, опытной эксплуатации и приемочных испытаний. Методические рекомендации разработаны в помощь специалистам, осуществляющим деятельность по технической защите информации.

Задачи:

• анализ существующей документации в области подтверждения соответствия;

• разработка справочных материалов для документа «Программа и методика предварительных испытаний»;

• разработка справочных материалов для документа «Программа проведения опытной эксплуатации»;

• разработка справочных материалов для документа «Программа и методика приемочных испытаний»;

• разработка справочных материалов для документа «Протокол предварительных испытаний»;

• разработка справочных материалов для документа «Акт приемки в опытную эксплуатацию»;

• разработка справочных материалов для документа «Рабочий журнал опытной эксплуатации»;

• разработка справочных материалов для документа «Акт о завершении опытной эксплуатации»;

• разработка справочных материалов для документа «Протокол приемочных испытаний»;

• разработка справочных материалов для документа «Акт приемки в постоянную эксплуатацию».

Объект исследования: информационные системы.

Предмет исследования: Цели, порядок, принципы и формы оценки соответствия системы защиты информации в информационной системе требованиям безопасности информации.

Выпускная квалификационная работа состоит из введения, двух основных разделов, заключения, списка используемых источников и девяти приложений.

В первом разделе рассматриваются цели, порядок принципы и формы оценки и подтверждения соответствия, а так же виды испытаний системы защиты информации информационной системы и требования к их проведению.

Во втором разделе осуществляется разработка «Программы и методики предварительных испытаний», «Программы опытной эксплуатации», «Программы и методики приемочных испытаний», «Протокола предварительных испытаний», «Акта приемки в опытную эксплуатацию», «Рабочего журнала опытной эксплуатации», «Акта о завершении опытной эксплуатации», «Протокола приемочных испытаний», «Акта приемки в постоянную эксплуатацию» и других методических рекомендаций для проведения испытаний системы защиты информации в информационной системе.

В списке использованных источников приводятся используемые документы, веб-сайты, и другие источники информации, используемые в данной ВКР.

1 Оценка соответствия. Общие положения

1.1 Общие положения

Информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации, выполняющийся непрерывно на всем протяжении жизненного цикла информационной системы:

• конфиденциальность: обеспечение доступа к информации только авторизованным пользователям;

• целостность: обеспечение достоверности и полноты информации и методов ее обработки;

• доступность: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Защита информации – комплекс правовых, организационных и технических мероприятий и действий по предотвращению угроз информационной безопасности и устранению их последствий в процессе сбора, хранения, обработки и передачи информации в информационных системах.

Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» гласит, что в отношении продукции (работ), используемой (проводимых) в целях защиты информации ограниченного доступа, обязательными требованиями являются:

• требования технических регламентов;

• требования, установленные государственными заказчиками;

• требования, установленные федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности (ФСБ России);

• требования, установленные федеральными органами противодействия техническим разведкам и технической защиты информации (ФСТЭК России).

Таким образом, процесс защиты информации ограниченного доступа должен осуществляться на основании требований документов:

• Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

• закон Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне»;

• указ Президента Российской от 5 декабря 2016 г. № 646 Федерации «Об утверждении Доктрины информационной безопасности Российской Федерации»;

• указ Президента Российской от 17 марта 2008 г. № 351 Федерации «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;

• указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

• указ Президента Российской Федерации от 30 ноября 1995 г. № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне»;

• постановление Правительства Российской Федерации от 25 августа 2005 г. № 537 «О функциях федеральных органов исполнительной власти, Государственной корпорации по атомной энергии «Росатом» и Российской академии наук по реализации договора о всеобъемлющем запрещении ядерных испытаний»;

• постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

• приказ ФСТЭК России № 489 от 31.08.2010 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»;

• приказ ФСТЭК России от 14.03.2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»;

• приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Система защиты информации – это комплекс организационных и технических мероприятий, направленных на обеспечение информационной безопасности предприятия.

Разработка системы защиты информации производится подразделением организации или специализированными организациями, имеющими лицензии ФСТЭК (Гостехкомиссии) России.