Пояснительная записка (Разработка рекомендаций по проведению испытаний системы защиты информационной системы), страница 2

Существует три стадии создания системы защиты информации:

• предпроектная стадия, включающая предпроектное обследование объекта защиты, разработку аналитического обоснования необходимости создания СЗИ и технического задания на ее создание;

• стадия проектирования, включающая разработку СЗИ в составе объекта информатизации;

• стадия внедрения, включающая установку и настройку СЗ в ИС, разработку организационно-распорядительной документации, оценку соответствия СЗ в ИС требованиям безопасности информации, проведение предварительных испытаний, опытной эксплуатации и приемочных испытаний.

Моя работа посвящена мероприятиям, проводимым на стадии внедрения, а именно – оценке соответствия системы защиты информации в информационной системе от несанкционированного доступа требованиям безопасности информации.

1.2 Оценка соответствия

Оценка соответствия – прямое или косвенное определение соблюдения требований, предъявляемых к объекту. Объектом, в нашем случае, служит информационная система, система защиты которой подлежит оценке соответствия требованиям безопасности информации.

Более подробно остановимся на том виде оценки соответствия, где не требуется сертификация. Данный вид актуален тем, кто не обрабатывает информацию ограниченного доступа, и для кого сертификация не является обязательной. Например, это могут быть негосударственные информационные системы, информационные системы общего пользования или информационные системы, предназначенные для учебных целей.

Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании» гласит, что оценка соответствия СЗ может проводиться в форме проведения испытаний СЗ, на стадии ввода в эксплуатацию. Учитывая то, что мы рассматриваем случай, где не требуется сертификация, это дает нам возможность исключить аттестационные испытания, оставив только предварительные, опытную эксплуатацию и приемочные испытания, о которых говорится в ГОСТ 34.603-92 «Информационная технология. Виды испытаний автоматизированных систем».

К сожалению, принятые на сегодняшний день стандарты, нормативные документы ФСТЭК России и ФСБ России дают методику, но не дают методических рекомендаций, т.е. нет подробного описания процесса проведения этих испытаний.

Своей задачей я поставил разработать варианты документов «Программы и методики предварительных испытаний», «Программы опытной эксплуатации», «Программы и методики приемочных испытаний», «Протокола предварительных испытаний», «Акта приемки в опытную эксплуатацию», «Рабочего журнала опытной эксплуатации», «Акта о завершении опытной эксплуатации», «Протокола приемочных испытаний», «Акта приемки в постоянную эксплуатацию», необходимых для проведения оценки соответствия, где не требуется сертификация.

Все же я считаю, что стоит рассмотреть формы и принципы подтверждения соответствия, чтобы убедиться, что выбранный нами метод не противоречит принятым на сегодняшний день законам, стандартам, приказам, нормативным документам ФСТЭК России и ФСБ России.

В этом нам поможет Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», который гласит, что на территории Российской Федерации подтверждение соответствия может носить обязательный или добровольный характер. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации. Обязательное подтверждение соответствия может осуществляться в форме обязательной сертификации, либо принятия декларации о соответствии.

Рассмотрим все формы более подробно.

1.2.1 Добровольное подтверждение соответствия

Добровольное подтверждение соответствия осуществляется по инициативе заявителя, на условиях договора между заявителем и органом по сертификации, в форме добровольной сертификации и устанавливает соответствие:

• национальным стандартам;

• стандартам организаций;

• системам добровольной сертификации;

• условиям договора.

Система добровольной сертификации может быть создана одним или несколькими юридическими лицами или индивидуальными предпринимателями. Лицо или лица, создавшие систему добровольной сертификации, устанавливают перечень объектов, подлежащих сертификации, и их характеристик, на соответствие которым осуществляется добровольная сертификация, правила выполнения предусмотренных данной системой добровольной сертификации работ и порядок их оплаты, определяют участников данной системы добровольной сертификации.

Система добровольной сертификации может быть зарегистрирована федеральным органом исполнительной власти по техническому регулированию. Этот процесс осуществляется в течение пяти дней с момента представления всех необходимых документов в федеральный орган исполнительной власти по техническому регулированию.

Для регистрации системы добровольной сертификации в федеральный орган исполнительной власти по техническому регулированию представляются:

• свидетельство о государственной регистрации юридического лица или индивидуального предпринимателя;

• правила функционирования системы добровольной сертификации;

• изображение знака соответствия, применяемое в данной системе добровольной сертификации, если применение знака соответствия предусмотрено, и порядок применения знака соответствия;

• документ об оплате регистрации системы добровольной сертификации.

1.2.2 Обязательное подтверждение соответствия

Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента.

Существует две формы обязательного подтверждения соответствия:

• декларация о соответствии;

• обязательная сертификация.

Сертификат соответствия и декларация о соответствии действуют на всей территории Российской Федерации и имеют равную юридическую силу на время их действия.

1.2.2.1 Декларирование соответствия

Декларирование соответствия это форма подтверждения соответствия продукции требованиям технических регламентов.

Декларация о соответствии это документ, удостоверяющий соответствие выпускаемой в обращение продукции требованиям технических регламентов.

Декларирование соответствия может осуществляться двумя способами:

• принятие декларации о соответствии на основании собственных доказательств;

• принятие декларации о соответствии на основании собственных доказательств, а так же доказательств, полученных с участием органа по сертификации или аккредитованной испытательной лаборатории.

При декларировании соответствия заявитель на основании собственных доказательств самостоятельно формирует доказательственные материалы в целях подтверждения соответствия продукции требованиям технического регламента. В качестве доказательственных материалов используются техническая документация, результаты собственных испытаний и другие документы, послужившие основанием для подтверждения соответствия продукции требованиям технического регламента.

При декларировании соответствия на основании собственных доказательств и доказательств, полученных с участием органа по сертификации или аккредитованной испытательной лаборатории, заявитель по своему выбору, в дополнение к собственным доказательствам, включает в доказательственные материалы протоколы испытаний, проведенных в аккредитованной испытательной лаборатории.

Форма декларации о соответствии утверждается федеральным органом исполнительной власти по техническому регулированию.

Декларация о соответствии и доказательственные материалы хранятся у заявителя в течение десяти лет со дня окончания срока действия такой декларации в случае, если иной срок их хранения не установлен техническим регламентом. Заявитель обязан представить декларацию о соответствии либо регистрационный номер декларации о соответствии и доказательственные материалы по требованию федерального органа исполнительной власти, уполномоченного на осуществление государственного контроля (надзора) за соблюдением требований технических регламентов.

1.2.2.2 Обязательная сертификация

Сертификация это форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, документам по стандартизации или условиям договоров.

Система сертификации это совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом.

Обязательная сертификация осуществляется органом по сертификации на основании договора с заявителем. Схемы сертификации, применяемые для сертификации определенных видов продукции, устанавливаются соответствующим техническим регламентом.

Обязательная сертификация осуществляется органом по сертификации, аккредитованным в соответствии с законодательством Российской Федерации об аккредитации в национальной системе аккредитации.

Орган по сертификации:

• привлекает на договорной основе для проведения испытаний аккредитованные испытательные лаборатории;

• осуществляет контроль за объектами сертификации, если такой контроль предусмотрен соответствующей схемой обязательной сертификации и договором;

• ведет реестр выданных им сертификатов соответствия;

• выдает сертификаты соответствия, приостанавливает или прекращает действие выданных им сертификатов соответствия;

• обеспечивает предоставление заявителям информации о порядке проведения обязательной сертификации;

• определяет стоимость работ по сертификации, выполняемых в соответствии с договором с заявителем;

• в порядке, установленном соответствующим техническим регламентом, принимает решение о продлении срока действия сертификата соответствия, в том числе по результатам проведенного контроля за сертифицированными объектами.

Соответствие системы требованиям технических регламентов подтверждается сертификатом соответствия, выдаваемым заявителю органом по сертификации.

1.2.3 Принципы подтверждения соответствия

Принципы подтверждения соответствия указаны в статье 19 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании». Данная статья гласит о том, что:

• информация о порядке осуществления подтверждения соответствия должна быть доступна заинтересованным лицам;

• недопустимо применение обязательного подтверждения соответствия к объектам, в отношении которых не установлены требования технических регламентов;

• должен быть установлен перечень форм и схем обязательного подтверждения соответствия в отношении определенных видов продукции в соответствующем техническом регламенте;

• сроки осуществления обязательного подтверждения соответствия и затраты заявителя должны быть уменьшены;

• принуждение к осуществлению добровольного подтверждения соответствия, в том числе в определенной системе добровольной сертификации недопустимы;

• должны быть защищены имущественные интересы заявителей;

• должна быть соблюдена коммерческая тайна в отношении сведений, полученных при осуществлении подтверждения соответствия;

• недопустима подмена обязательного подтверждения соответствия добровольной сертификацией.

Из этой статьи становится понятно, что нельзя применять обязательную сертификацию к объектам, к которым не установлены данные требования. Принуждение к добровольной сертификации так же запрещено законом. Отсюда можно сделать вывод, что для объектов, которые необходимо проверить на соответствие требованиям безопасности информации, и к которым не установлены требования по обязательному подтверждению соответствия, достаточно самого факта оценки соответствия.

Таким образом, делаем вывод, что выбранный нами метод оценки соответствия не противоречит принятым на сегодняшний день законам, стандартам, приказам, нормативным документам ФСТЭК России и ФСБ России. В таком случае, разберем все виды испытаний подробнее.

1.3 Виды испытаний системы защиты информации

Испытания системы защиты информации в информационной системе проводятся с учетом ГОСТ 34.603-92 «Информационная технология. Виды испытаний автоматизированных систем» на стадии «Ввода в действие», по ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания» с целью проверки соответствия создаваемой СЗ требованиям технического задания. Они представляют собой процесс проверки выполнения всех заданных функций СЗ, работоспособности ее подсистем, определения и проверки соответствия требованиям технического задания, количественных и качественных характеристик СЗ, выявления и устранения недостатков в СЗ и в разработанной документации.

Испытания СЗ следует проводить на объекте заказчика. По согласованию между заказчиком и разработчиком предварительные испытания и приемку программных средств, входящих в систему защиты информационной системы, допускается проводить на технических средствах разработчика при создании условий получения достоверных результатов испытаний.

В зависимости от вида требований, предъявляемых к СЗ на испытаниях, проверке в ней подвергают:

• комплекс программных и технических средств;

• персонал;

• эксплуатационную документацию, регламентирующую деятельность персонала при функционировании СЗ;

• систему защиты в целом.

При испытаниях СЗ проверяют:

• качество выполнения комплексом программных и технических средств функций защиты во всех режимах функционирования СЗ согласно ТЗ на создание системы защиты;

• знание персоналом эксплуатационной документации и наличие у него навыков, необходимых для выполнения установленных функций во всех режимах функционирования СЗ, согласно ТЗ на создание системы защиты;

• полноту содержащихся в эксплуатационной документации указании персоналу по выполнению им функций во всех режимах функционирования СЗ согласно ТЗ на создание системы защиты;

• количественные и качественные характеристики СЗ в соответствии с ТЗ на создание системы защиты;

• другие свойства СЗ, которым она должна соответствовать по ТЗ.

Выделяют четыре основных вида испытаний:

• предварительные;

• опытная эксплуатация;

• приемочные;

• аттестационные.

Так же допускаются дополнительные проведения других видов испытаний ИС и её частей. 

Для планирования проведения всех видов испытаний разрабатывают документ «Программа и методика испытаний», в которой устанавливается необходимый и достаточный объем испытаний, обеспечивающий заданную достоверность получаемых результатов. Разработчик документа устанавливается в договоре или техническом задании.

1.3.1 Предварительные испытания

Предварительные испытания СЗ проводят для определения ее работоспособности и решения вопроса о возможности приемки СЗ в опытную эксплуатацию. Предварительные испытания могут быть автономные или комплексные.