Автономные испытания СЗ следует проводить в соответствии с программой и методикой автономных испытаний, разрабатываемых для каждой части системы защиты.

В программе автономных испытаний указывают:

• перечень функций, подлежащих испытаниям;

• описание взаимосвязей объекта испытаний с другими частями ИС;

• условия, порядок и методы проведения испытаний и обработки результатов;

• критерии приемки частей по результатам испытаний.

Результаты автономных испытаний следует фиксировать в протоколах испытаний. Протокол должен содержать заключение о возможности (невозможности) допуска СЗ или её части к комплексным испытаниям. В случае, если проведенные автономные испытания будут признаны недостаточными, либо будет выявлено нарушение требований регламентирующих документов по составу или содержанию документации, указанная часть СЗ может быть возвращена на доработку и назначен новый срок испытаний.

Комплексные испытания СЗ проводят путем выполнения комплексных тестов. Результаты испытаний отражают в протоколе. Работу завершают оформлением акта приемки в опытную эксплуатацию.

В программе комплексных испытаний СЗ указывают:

• перечень объектов испытания;

• состав предъявляемой документации;

• описание проверяемых взаимосвязей между объектами испытаний;

• очередность испытаний частей СЗ;

• порядок и методы испытаний, в том числе состав программных средств и оборудования, необходимых для проведения испытаний, включая специальные стенды и полигоны.

Для проведения комплексных испытаний должны быть представлены:

• программа комплексных испытаний;

• заключение по автономным испытаниям соответствующих частей ИС и устранение ошибок и замечаний, выявленных при автономных испытаниях;

• комплексные тесты;

• программные и технические средства и соответствующая им эксплуатационная документация.

Комплексный тест должен:

• быть логически увязанным;

• обеспечивать проверку работоспособности подсистем системы защиты во всех режимах функционирования, установленных в техническом задании на создание системы защиты;

• обеспечивать проверку реакции системы защиты на некорректную информацию и аварийные ситуации.

Протокол комплексных испытаний должен содержать заключение о возможности или невозможности приемки СЗ в опытную эксплуатацию, а также перечень необходимых доработок и рекомендуемые сроки их выполнения. После устранения недостатков проводят повторные комплексные испытания в необходимом объеме.

1.3.2 Опытная эксплуатация

Опытную эксплуатацию системы защиты проводят с целью определения фактических значений количественных и качественных характеристик СЗ и готовности персонала к работе в условиях её функционирования, определения фактической эффективности СЗ, корректировке (при необходимости) документации.

Опытную эксплуатацию проводят в соответствии с программой, в которой указывают:

• условия и порядок функционирования подсистем СЗ и СЗ в целом;

• продолжительность опытной эксплуатации, достаточную для проверки правильности функционирования системы защиты и готовности персонала к работе в условиях её функционирования;

• порядок устранения недостатков, выявленных в процессе опытной эксплуатации.

Во время опытной эксплуатации СЗ ведут рабочий журнал, в который заносят сведения о продолжительности функционирования системы защиты, отказах, сбоях, аварийных ситуациях, изменениях параметров объекта автоматизации, проводимых корректировках документации и программных средств, наладке, технических средств. Сведения фиксируют в журнале с указанием даты и ответственного лица. В журнал могут быть занесены замечания персонала по удобству эксплуатации системы защиты. По результатам опытной эксплуатации принимают решение о возможности или невозможности предъявления системы защиты на приемочные испытания. Работа завершается оформлением акта о завершении опытной эксплуатации и допуске СЗ к приемочным испытаниям.

1.3.3 Приемочные испытания

Приемочные испытания СЗ проводят для определения соответствия СЗ техническому заданию на создание системы защиты, оценки качества опытной эксплуатации и решения вопроса о возможности приемки СЗ в постоянную эксплуатацию. Приемочные испытания проводят в соответствии с программой, в которой указывают:

• перечень подсистем системы защиты, выделенных в системе для испытаний и перечень требований, которым должны соответствовать эти подсистемы (со ссылкой на пункты технического задания);

• критерии приемки системы защиты и ее частей;

• условия и сроки проведения испытаний;

• средства для проведения испытаний;

• фамилии лиц, ответственных за проведение испытаний;

• методику испытаний и обработки их результатов;

• перечень оформляемой документации.

Для проведения приемочных испытаний необходимо предъявить следующую документацию:

• техническое задание на создание системы защиты;

• акт приемки в опытную эксплуатацию;

• рабочие журналы опытной эксплуатации;

• акт завершения опытной эксплуатации и допуска СЗ к приемочным испытаниям;

• программа и методика испытаний.

Приемочные испытания следует проводить на функционирующем объекте, и они должны включать проверку:

• полноты и качества реализации функций при штатных, предельных, критических значениях параметров СЗ и в других условиях функционирования СЗ, указанных в ТЗ;

• выполнения каждого требования, относящегося к интерфейсу системы;

• работы персонала в диалоговом режиме;

• средств и методов восстановления работоспособности СЗ после отказов;

• комплектности и качества эксплуатационной документации.

Протоколы испытаний объектов по всей программе обобщают в едином протоколе, на основании которого делают заключение о соответствии системы защиты требованиям технического задания на создание СЗ и возможности оформления акта приемки СЗ в постоянную эксплуатацию. Работу завершают оформлением акта о приемке системы защиты в постоянную эксплуатацию.

1.3.4 Аттестация СЗ на соответствие требованиям безопасности информации

Под аттестацией объекта информатизации понимается комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации.

Целью аттестации объекта информатизации является подтверждение соответствия его системы защиты информации в реальных условиях эксплуатации требованиям безопасности информации.

Аттестация объектов информатизации может носить обязательный или добровольный характер.

Добровольная аттестация осуществляется по инициативе заявителя (владельца информации или владельца объекта информатизации) на условиях договора между заявителем и органом по аттестации. Добровольная аттестация может осуществляться для установления соответствия системы защиты информации объекта информатизации требованиям безопасности информации, установленным национальными стандартами и владельцем информации или владельцем объекта информатизации.

Обязательная аттестация проводится только в случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти, и исключительно на соответствие системы защиты информации объекта информатизации требованиям безопасности информации, установленным федеральными законами, нормативными правовыми актами Президента Российской Федерации, Правительства Российской Федерации, уполномоченных федеральных органов исполнительной власти.

Аттестация объекта информатизации проводится до ввода объекта информатизации в эксплуатацию и вызвана необходимостью официального подтверждения эффективности системы защиты информации, реализованной на объекте информатизации.

Обязательной аттестации подлежат:

• объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров («Положение по аттестации объектов информатизации по требованиям безопасности информации» (утв. Гостехкомиссией РФ 25.11.1994));

• государственные и муниципальные информационные системы, функционирующих на территории Российской Федерации (Приказ ФСТЭК России от 11 февраля 2013 г. №17);

• государственные информационные ресурсы (Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), утвержденные приказом Гостехкомиссии России от 30.08.2002 №282);

• ключевые системы информационной инфраструктуры (КСИИ).

В остальных случаях достаточно приемочных испытаний.

Участниками аттестации объекта информатизации являются:

• уполномоченные федеральные органы исполнительной власти (только в случае обязательной аттестации);

• органы по аттестации (при обработке информации, содержащей сведения, составляющие государственную тайну);

• организации, имеющие право на деятельность в области технической защиты конфиденциальной информации (при обработке информации конфиденциального характера);

• заявители.

Органы по аттестации (организации) в пределах своей компетенции:

• аттестуют объекты информатизации и выдают аттестаты соответствия;

• отменяют и приостанавливают действие выданных этим органом (организацией) аттестатов соответствия;

• формируют фонд нормативных правовых актов, методических документов и национальных стандартов в области защиты информации;

• ведут реестр аттестованных ими объектов информатизации и применяемой на них сертифицированной продукции, используемой в целях защиты информации;

• предоставляют уполномоченным федеральным органам исполнительной власти в пределах их полномочий материалы по результатам аттестации объектов информатизации, а так же информируют уполномоченные федеральные органы исполнительной власти о выявленных новых угрозах безопасности информации;

• осуществляют взаимодействие с соответствующими уполномоченным федеральным органам исполнительной власти и ежеквартально информируют их о своей деятельности по аттестации объектов информатизации.

Для проведения аттестации заявитель предоставляет аттестационной комиссии следующие исходные данные и документацию:

• модель угроз безопасности информации;

• акт классификации информационной системы;

• техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы;

• оформленный технический паспорт на АС;

• проектная и эксплуатационная документация на систему защиты информации информационной системы;

• организационно-распорядительные документы по защите информации;

• результаты анализа уязвимостей информационной системы;

• материалы предварительных и приемочных испытаний системы защиты информации информационной системы;

• состав технических и программных средств, входящих в АС;

• сертификаты соответствия требованиям безопасности информации на программные и технические средства АС, используемые средства защиты;

• планы размещения основных и вспомогательных технических средств и систем;

• план контролируемой зоны;

• схемы прокладки линий передачи данных;

• схемы и характеристики систем электропитания и заземления;

• организационно-распорядительная документация разрешительной системы доступа пользователей АС к защищаемым информационным ресурсам АС;

• описание технологического процесса обработки информации в АС.

Порядок проведения аттестации объекта информатизации по требованиям безопасности информации:

• подача заявки в орган по аттестации и рассмотрение заявки на аттестацию;

• предварительное ознакомление с аттестуемым объектом;

• разработка программы и методики аттестационных испытаний;

• формирование аттестационной комиссии;

• заключение договоров на аттестацию;

• проведение аттестационных испытаний объекта информатизации;

• оформление, регистрация и выдача «Аттестата соответствия».

При проведении аттестационных испытаний применяются следующие методы проверок и испытаний:

• экспертно-документальный метод;

• инструментальные измерения и оценка защищенности информации от ее утечки по техническим каналам;

• проверка функций или комплекса функций защиты информации от НСД с помощью инструментальных средств контроля, а также путем пробного запуска средств защиты информации от НСД и наблюдения за выполнением их функций;

• проверка соответствия применённых параметров настройки элементов системы защиты информации требованиям безопасности информации;

• проверка подсистем защиты информации от НСД, целостности применяемых средств защиты информации от НСД, в том числе с использованием специальных средств контроля эффективности защиты информации;

• проверка программной совместимости и корректности функционирования всего комплекса используемых СВТ с продукцией, используемой в целях защиты информации;

• испытания системы защиты информации от НСД путем попыток осуществить НСД к тестовой защищаемой информации в обход используемой системы защиты информации, в том числе с использованием специальных программных тестирующих средств;

• инструментальные измерения звукопоглощающих (звукоизолирующих) характеристик ограждающих конструкций ВП (ЗП) и оценка защищенности акустической речевой информации от ее утечки по техническим каналам;

• инструментальные измерения и оценка эффективности применяемых средств защиты речевой информации.

Перечень используемых инструментальных средств контроля эффективности защиты информации от ее утечки по техническим каналам:

• измерительный приемник – анализатор спектра;

• комплект измерительных антенн;

• токосъемник индукционный;

• автоматизированная система исследования эффекта акустоэлектрических преобразований в технических средствах и в отходящих от них линий;

• система измерительная автоматизированная;

• генератор и цифровой осциллограф.

Перечень используемых инструментальных средств контроля защищенности от НСД к информации:

• программа фиксации и контроля исходного программного комплекса;

• средство контроля защищенности от НСД;

• программа моделирования системы разграничения доступа;

• программа поиска и гарантированного уничтожения информации на дисках;

• сетевой сканер безопасности;

• программа инвентаризации ресурсов.

По результатам аттестационных испытаний оформляют заключение, которое содержит краткую оценку соответствия системы защиты информации в информационной системе требованиям безопасности информации, рекомендации по контролю за функционированием информационной системы, вывод о возможности выдачи аттестата соответствия. После чего происходит оформление, регистрация и выдача «Аттестата соответствия».

2 Оценка соответствия СЗ методом ввода в эксплуатацию через проведение испытаний

Для ввода в эксплуатацию системы защиты информации в информационной системе от несанкционированного доступа, необходимо провести оценку соответствия созданной системы защиты информации требованиям безопасности информации. Для этого, на основании Федерального закона от 27.12.2002 № 184-ФЗ «О техническом регулировании», я предлагаю провести ряд испытаний. Испытания проводятся на основании ГОСТ 34.603-90 «Информационная технология. Виды испытаний автоматизированных систем». Они включают в себя предварительные испытания, опытную эксплуатацию и приемочные испытания. В первой главе мы уже познакомились с теоретическими сведениями о данных испытаниях. Вторая глава посвящена их практическому применению.

2.1 Проведение предварительных испытаний

Предварительные испытания проводятся на основании документа «Программа и методика предварительных испытаний». Предлагаемый мной вариант которого представлен в приложении А.