Пояснительная записка (Разработка рекомендаций по проведению испытаний системы защиты информационной системы), страница 4
Описание файла
Файл "Пояснительная записка" внутри архива находится в папке "Разработка рекомендаций по проведению испытаний системы защиты информационной системы". Документ из архива "Разработка рекомендаций по проведению испытаний системы защиты информационной системы", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "Пояснительная записка"
Текст 4 страницы из документа "Пояснительная записка"
Целью предварительных испытаний системы защиты информации в информационной системе является определение функциональной работоспособности подсистем СЗ на этапе проведения испытаний и решение вопроса о возможности приемки ИС в опытную эксплуатацию.
При проведении предварительных испытаний я предлагаю применять следующие методы проверок и испытаний:
-
проверка работоспособности подсистем средств защиты информации от НСД;
-
проверка целостности применяемых средств защиты информации от НСД;
-
проверка программной совместимости и корректности функционирования всего комплекса используемых СВТ с продукцией, используемой в целях защиты информации;
-
испытания системы защиты информации от НСД путем попыток осуществить НСД к тестовой защищаемой информации в обход используемой системы защиты информации.
Предварительные испытания СЗ проводятся в соответствии с программой, в которую я включил следующий перечень работ и порядок их проведения:
-
испытание подсистем средств защиты информации от НСД, таких как подсистема управления доступом, подсистема регистрации и учета, подсистема обеспечения целостности;
-
составление протокола предварительных испытаний, который включает результаты проведения испытаний СЗ, заключение о возможности (невозможности) приемки ИС в опытную эксплуатацию, а так же перечень необходимых доработок и рекомендуемые сроки их выполнения.
Предлагаемый мной вариант документа «Протокол предварительных испытаний» приведен в приложении Б.
Методики предварительных испытаний включают:
-
проверку наличия и работоспособности подсистемы идентификации;
-
проверку наличия и надежности подсистемы аутентификации;
-
проверку средств загрузки операционной системы ИС в обход подсистемы идентификации и аутентификации;
-
проверку времени действия пароля;
-
проверку длины пароля;
-
проверку идентификации аппаратурных объектов доступа;
-
проверку идентификации информационных объектов доступа;
-
проверку настроек СЗ от НСД в части назначения объектам меток, соответствующих степеням секретности (уровня конфиденциальности) ресурсов;
-
проверку регистрации начала и окончания работ;
-
проверку регистрации выдачи документов на «твердую» копию;
-
проверку регистрации использования программных средств;
-
проверку регистрации доступа программных средств к защищаемым файлам;
-
проверку регистрации доступа программных средств к дополнительным защищаемым объектам доступа;
-
проверку автоматического учета создания новых объектов доступа;
-
проверку очистки освобождаемых областей памяти;
-
проверку очистки внешней памяти при ее освобождении (перераспределении);
-
проверку средств контроля целостности программных компонентов СЗ от НСД.
Предварительные испытания завершают оформлением акта приемки в опытную эксплуатацию, предлагаемый мной вариант которого приведен в приложении В.
2.2 Проведение опытной эксплуатации
Опытную эксплуатацию проводятся на основании документа «Программа проведения опытной эксплуатации». Предлагаемый мной вариант документа представлен в приложении Г.
Целями опытной эксплуатации СЗ являются:
-
проверка работоспособности СЗ и соответствия функциональности СЗ требованиям технического задания;
-
фиксация сбоев, ошибок, недостатков, возникающих и выявленных в ходе опытной эксплуатации.
Задачи, решаемые в ходе опытной эксплуатации:
-
оперативное устранение причин сбоев, ошибок, недостатков, возникающих в процессе опытной эксплуатации;
-
внесение изменений в техническую и эксплуатационную документацию по итогам опытной эксплуатации.
Место проведения и продолжительность опытной эксплуатации указывается в документе «Программа проведения опытной эксплуатации».
Предлагаемый мной перечень проверок, включенных в программу опытной эксплуатации, включает:
-
проверку работоспособности СЗ;
-
проверку соответствия настроек СЗ требованиям технического задания.
Во время опытной эксплуатации исполнителем ведется рабочий журнал, в который заносятся сведения об отказах, сбоях, аварийных ситуациях, изменениях параметров объекта автоматизации, проводимых корректировках документации и программных средств, наладке технических средств.
Предлагаемый мной вариант документа «Журнал проведения опытной эксплуатации» приведен в приложении Д.
Порядок проведения опытной эксплуатации СЗ:
-
формирование приказа на проведение опытной эксплуатации;
-
подготовка программно-аппаратного комплекса ИС в соответствии с проектной документацией;
-
установка и настройка СЗИ, в соответствии с техническим заданием;
-
формирование плана обучения и инструктажа персонала;
-
проведение обучения всех категорий персонала ИС, непосредственно участвующего в проведении опытной эксплуатации;
-
проведение опытной эксплуатации и формирование журнала опытной эксплуатации;
-
формирование акта по результатам проведения опытной эксплуатации.
При проведении опытной эксплуатации СЗ работа с ней должна проводиться в соответствии с эксплуатационными документами.
По результатам проведения опытной эксплуатации исполнитель предоставляет «Журнал проведения опытной эксплуатации», не содержащий критических замечаний, а также план-график устранения замечаний, выявленных на этапе проведения опытной эксплуатации.
На основании «Журнала проведения опытной эксплуатации» оформляется «Акт завершения опытной эксплуатации», предлагаемый мной вариант которого представлен в приложении Е, который предоставляется комиссии по проведению приемочных испытаний.
2.3 Проведение приемочных испытаний
Приемочные испытания проводятся на основании документа «Программа и методика приемочных испытаний». Предлагаемый вариант документа приведен в приложении Ж.
Целью приемочных испытаний является определение соответствия ИС требованиям безопасности информации. Приемочные испытания проводятся на соответствие положениям и требованиям действующих нормативных правовых актов, методических документов и национальных стандартов в области защиты информации.
Задачей приемочных испытаний СЗ является оценка её соответствия требованиям технического задания.
Приемочные испытания СЗ проводятся в соответствии с программой, включающей следующий перечень работ и порядок их проведения:
-
проверка структуры, состава и условий эксплуатации ИС;
-
проверка состояния организации работ и выполнения требований по защите информации;
-
проверка ИС на соответствие требованиям безопасности информации, включая;
-
проведение испытаний ИС на соответствие требованиям по защите информации от НСД;
-
подготовка отчетной документации и оценка результатов испытаний СЗ.
Проверка и испытания комплекса функций защиты информации от НСД проводятся для программно-технической среды ИС в целом в соответствии с действующими документами по защите информации от НСД. Перечень используемых инструментальных средств контроля защищенности от НСД к информации приведен в таблице 2.1.
Проверка соответствия СЗ требованиям безопасности информации проводится на основании анализа общих результатов испытаний и выявленных в процессе испытаний недостатков и нарушений.
Таблица 2.1 – Используемые инструментальные средства контроля защищенности от НСД к информации
Используемые средства | Сведения о сертификате, |
Программа фиксации и контроля исходного программного комплекса | Сертификат ФСТЭК России №___, действителен до (число, месяц, год). |
Программа моделирования системы разграничения доступа | Сертификат ФСТЭК России №___, действителен до (число, месяц, год). |
Средство контроля защищенности от НСД | Сертификат ФСТЭК России №___, действителен до (число, месяц, год). |
Программа поиска и гарантированного уничтожения информации на дисках | Сертификат ФСТЭК России №___, действителен до (число, месяц, год). |
Сетевой сканер безопасности | Сертификат ФСТЭК России №___, действителен до (число, месяц, год). |
Проверка структуры, состава и условий эксплуатации ИС включает:
-
анализ полноты исходных данных и проверка их соответствия реальным условиям размещения, монтажа и эксплуатации ИС;
-
исследование технологического процесса обработки, хранения и передачи информации в ИС;
-
анализ информационных потоков;
-
определение состава используемых для обработки, хранения и передачи информации ОТСС.
Проверка состояния организации работ и выполнения требований по защите информации включает:
-
оценку правильности установления уровня защищенности ИС;
-
оценку полноты разработки организационно-распорядительной, проектной и эксплуатационной документации.
Проверка ИС на соответствие требованиям безопасности информации включает проверку наличия необходимых документов и соответствия их содержания установленным требованиям, наличия сертификатов соответствия требованиям безопасности информации, проверка их выполнения.
В методику приемочных испытаний я предлагаю включить:
-
анализ полноты исходных данных, проверка их соответствия реальным условиям размещения, монтажа и эксплуатации ИС, исследование технологического процесса обработки и хранения и передачи информации, анализ информационных потоков, определение состава использованных для обработки, хранения и передачи информации основных технических средств и систем;
-
проверку состояния организации работ и выполнения требований безопасности информации;
-
испытания ИС на соответствие требованиям по защите информации от несанкционированного доступа.
По результатам испытаний комиссия делает выводы о выполнении требований по защите информации от НСД.
Для анализа полноты исходных данных, проверки их соответствия реальным условиям размещения, монтажа и эксплуатации ИС, исследования технологического процесса обработки, хранения и передачи информации, анализа информационных потоков, определения состава использованных для обработки, хранения и передачи информации основных технических средств и систем приемочной комиссии должны быть представлены:
-
техническое задание на создание СЗ;
-
проектная документация на СЗ;
-
перечень защищаемых информационных ресурсов;
-
акт классификации ИС по требованиям защиты информации от НСД (в соответствии с нормативными правовыми актами и методическими документами уполномоченного федерального органа исполнительной власти и национальными стандартами);
-
сертификаты соответствия требованиям безопасности информации на программные и технические средства ИС, используемые средства защиты;
-
организационно-распорядительная документация разрешительной системы доступа пользователей ИС к защищаемым информационным ресурсам ИС;
-
состав технических и программных средств, входящих в ИС;
-
описание технологического процесса обработки информации в ИС;
-
перечень программного обеспечения, установленного в ИС;
-
инструкции администратору защиты информации и пользователям ИС;
-
инструкции по эксплуатации средств защиты информации.
Приведенный перечень исходных данных и документации при необходимости может уточняться по результатам анализа и проверки в зависимости от особенностей ИС по согласованию с приемочной комиссией.
При исследовании технологического процесса автоматизированной обработки и хранения информации проверяют:
-
объект доступа – средства обработки и передачи информации, носители информации на магнитной и бумажной основе, накопители и все виды памяти ЭВМ, которые могут содержать информацию, отдельные документы и их архивы, используемые в технологическом процессе обработки информации, файлы, записи и другие информационные ресурсы, доступ к которым необходимо регламентировать;
-
субъект доступа – пользователи ИС, а также программные средства, с использованием которых осуществляется доступ к объектам доступа.
Используя разрешительную систему доступа пользователей ИС к защищаемым информационным ресурсам и данные по технологии обработки и передачи защищаемой информации, анализируют обобщенную технологическую схему ИС с существующими и возможными информационными потоками, возможностями доступа к обрабатываемой и передаваемой информации.
Проверяют соответствие описания технологического процесса обработки, хранения и передачи защищаемой информации реальному технологическому процессу обработки.
Проверяют паспортные (исходные) данные ИС, комплектность и характеристики средств защиты и устанавливают угрозы безопасности информации в ИС, уязвимые критические места ИС, снижающие уровень ее защиты.
Проверяют соответствие инструкций пользователей и администратора защиты информации ИС установленным требованиям.
По результатам исследований уточняют схему технологического процесса в отношении отдельных средств обработки и передачи информации и каждого пользователя ИС.
Предлагаемая мной проверка состояния организации работ и выполнения требований безопасности информации приведена в таблице 2.2.
Таблица 2.2 – Проверка состояния организации работ и выполнения требований безопасности информации
Испытание | Методика проведения испытания | Критерий приемки |
1. Проверка соответствия содержания представленных документов установленным требованиям | Проверяют соответствие представленных документов требованиям нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти, а также стандартов и иных документов органов государственного управления в пределах компетенции. Проверяют соответствие приведенных в представленных документах сведений о составе ИС (типы, заводские номера, места размещения и т.д.) ее реальному составу. | Проверка считается успешной, если представленные документы полностью соответствует требуемому составу, не содержат противоречивых сведений и оформлены в соответствии с установленными требованиями. |
2. Проверка соответствия состава и структуры программно-технических средств ИС представленной документации | С представленной документацией сверяют состав и структуру программно-технических средств ИС, включенных в реальный технологический процесс обработки информации. С использованием стандартных средств операционной системы или других программ фиксируют перечень технических и программных средств и сверяют с приведенным в документах разрешительной системы доступа и описании технологического процесса обработки защищаемой информации. | Проверка считается успешной, если состав, номенклатура, структура программно-технических средств ИС и их размещение полностью соответствуют представленной документации на ИС. |
Окончание таблицы 2.2
Испытание | Методика проведения испытания | Критерий приемки |
3. Проверка правильности классификации ИС | Определяют максимальную степень секретности (конфиденциальности) обрабатываемой в ИС информации, анализируют уровни полномочий по доступу к секретной (конфиденциальной) информации различных пользователей ИС, режимы обработки данных в ИС и устанавливают класс ИС в соответствии с нормативными правовыми актами и методическими документами уполномоченного федерального органа исполнительной власти и национальными стандартами. | Проверка считается успешной, если класс ИС соответствует представленному на приемочные испытания Акту классификации автоматизированной системы. |
Методики для проведения испытаний ИС на соответствие требованиям по защите информации от несанкционированного доступа я представил в таблице 2.3. По результатам испытаний комиссия делает выводы о выполнении требований по защите информации от НСД.