Пояснительная записка (Разработка рекомендаций по проведению испытаний системы защиты информационной системы), страница 6
Описание файла
Файл "Пояснительная записка" внутри архива находится в папке "Разработка рекомендаций по проведению испытаний системы защиты информационной системы". Документ из архива "Разработка рекомендаций по проведению испытаний системы защиты информационной системы", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "Пояснительная записка"
Текст 6 страницы из документа "Пояснительная записка"
Данные рекомендации включают в себя инструкции для проведения предварительных испытаний, опытной эксплуатации и приемочных испытаний системы защиты информации информационной системы, а так же справочные материалы для документов, необходимых при проведении этих видов испытаний.
Они окажут реальную помощь специализированным организациям и специалистам, занимающимся в области защиты информации, для проведения оценки соответствия СЗ в ИС требованиям безопасности информации в форме проведения испытаний. Так же они могут быть использованы в организации учебного процесса.
Список используемых источников
1. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных // Приказ ФСТЭК №21 от 18.02.2013 г. // [Электронный ресурс] – Режим доступа: http://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21.
2. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах // Приказ ФСТЭК №17 от 11.02.2013 г. // [Электронный ресурс] – Режим доступа: http://fstec.ru/normotvorcheskaya/akty/53-prikazy/702-prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17.
3. Положение по аттестации объектов информатизации по требованиям безопасности информации // Положение от 25 ноября 1994 г. // [Электронный ресурс] – Режим доступа: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/112-polozheniya/375-polozhenie-ot-25-noyabrya-1994-g.
4. Об информации, информационных технологиях и о защите информации : ФЗ от 27.07.2006 г. № 149-ФЗ // Справочная правовая система КонсультантПлюс // [Электронный ресурс] – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61798/.
5. О персональных данных : ФЗ от 27.07.2006 г. № 152-ФЗ // Справочная правовая система КонсультантПлюс // [Электронный ресурс] – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61801/.
6. О техническом регулировании: ФЗ от 27.12.2002 № 184-ФЗ // Справочная правовая система КонсультантПлюс // [Электронный ресурс] – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_40241/.
7. Доктрина информационной безопасности РФ от 09.09.2000 г. № Пр-1895 // Справочная правовая система КонсультантПлюс // [Электронный ресурс] – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_28679/.
8. Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» // Приказ Гостехкомиссии от 30.08.2002 г. №282.
9. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов : РД 50-34.698-90. Введ. 27.12.1990 г.
10. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания : ГОСТ 34.601-90. Введ. 29.12.1990 г. № 3469.
11. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения : ГОСТ 34.003-90. Введ. 27.12.1990 г. № 3399.
12. Информационная технология. Виды испытаний автоматизированных систем : ГОСТ 34.603-92. Введ. 17.02.1992 г. № 161.
Приложение А
ПРОГРАММА И МЕТОДИКА ПРЕДВАРИТЕЛЬНЫХ ИСПЫТАНИЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
(ВЫПИСКА)
А.1 Общие положения
Настоящий документ определяет цели, задачи, методы, условия, объем, порядок и методику проведения предварительных испытаний системы защиты информации информационной системы (далее – СЗ) расположенной по адресу: (индекс, полный адрес).
В соответствии с приказом (должность и название организации) от (дата и номер приказа) руководителем комиссии назначен:
__________________________________________________________________________
(должность, ФИО)
В состав комиссии назначены:
__________________________________________________________________________
(должность, ФИО)
__________________________________________________________________________
(должность, ФИО)
__________________________________________________________________________
(должность, ФИО)
Целью предварительных испытаний СЗ является определение функциональной работоспособности подсистем СЗ на этапе проведения испытаний и решение вопроса о возможности приемки СЗ в опытную эксплуатацию.
При проведении предварительных испытаний применяются следующие методы проверок и испытаний:
-
проверка работоспособности подсистем средств защиты информации от НСД, целостности применяемых средств защиты информации от НСД;
-
проверка программной совместимости и корректности функционирования всего комплекса используемых СВТ с продукцией, используемой в целях защиты информации;
-
испытания системы защиты информации от НСД путем попыток осуществить НСД к тестовой защищаемой информации в обход используемой системы защиты информации.
Проверка и испытания комплекса функций защиты информации от НСД проводятся для программно-технической среды ИС в целом.
А. 2 Программа предварительных испытаний
Предварительные испытания СЗ проводятся в соответствии с программой, включающей следующий перечень работ и порядок их проведения:
Испытание подсистем средств защиты информации от НСД, таких как:
-
подсистема управления доступом;
-
подсистема регистрации и учета;
-
подсистема обеспечения целостности.
Результаты проведения испытаний СЗ и заключение о возможности (невозможности) приемки СЗ в опытную эксплуатацию отражаются в протоколе предварительных испытаний.
Приложение Б
ПРОТОКОЛ ПРЕДВАРИТЕЛЬНЫХ ИСПЫТАНИЙ
(ВЫПИСКА)
Б.1 Наименование объекта испытаний
Настоящий протокол составлен по результатам предварительных испытаний системы защиты информационной системы (далее – СЗ), выполненных в соответствии с «Программой и методикой предварительных испытаний».
Место проведения испытаний: (указать место и наименование организации, юридический адрес организации).
Дата и время испытаний: (указать дату и время).
Б.2 Состав комиссии по проведению испытаний
_______________________________________________________________
(ФИО, организация, должность)
_______________________________________________________________
(ФИО, организация, должность)
_______________________________________________________________
(ФИО, организация, должность)
Б.3 Цель испытаний
Целью предварительных испытаний СЗ является определение функциональной работоспособности подсистем СЗ на этапе проведения испытаний и решение вопроса о возможности приемки СЗ в опытную эксплуатацию.
Б.4 Сведения о продолжительности испытаний
Начало проведения испытаний – (указать дату).
Окончание проведения испытаний – (указать дату).
Общая продолжительность проведения испытаний – (количество дней).
Б.5 Перечень пунктов «Программы испытаний», по которым проведены испытания
Испытания проводились по пункту 3 Программы и методики предварительных испытаний.
Б.6 Описание проведения испытаний
Результаты испытаний приведены в таблице Б.1.
Таблица Б.1 – Результаты предварительных испытаний
№ | Наименование испытания | Описание испытания |
1 | 1.1.1. Проверка наличия и работоспособности подсистемы идентификации | Была проверена правильность идентификации субъектов доступа путем обращения субъектов доступа ИС к объектам доступа при помощи штатных средств. Проведена проверка принадлежности предъявленного субъектом идентификатора множеству всех зарегистрированных в ИС идентификаторов, используя логин и аппаратные идентификаторы. При попытке предъявить системе идентификатор не известный подсистеме идентификации, процесс предоставления доступа прекращается. |
Окончание таблицы Б.1
№ | Наименование испытания | Описание испытания |
2 | 1.1.2. Проверка наличия и надежности подсистемы аутентификации | Проведена проверка возможности компрометации пароля методом его подбора. После превышения предельного числа попыток ввода информации идентификации/аутентификации, установленного политикой безопасности, подсистема управления доступом полностью заблокировала возможность ввода информации идентификации/аутентификации. |
… | … | … |
n | 3.1. Проверка средств контроля целостности программных компонентов СЗИ НСД | Проведено резервное копирование программных компонентов СЗИ от НСД, используя штатные средства ИС. Было произведено удаление и переименование нескольких программных модулей СЗИ от НСД, после чего была проведена перезагрузка компьютера. По завершении инициализации СЗИ от НСД зафиксировали изменения в составе программных компонентов. |
Б.7 Сведения об отказах, сбоях и аварийных ситуациях
Отказов, сбоев и аварийных ситуаций в процессе испытаний не выявлено.
Б.8 Сведения о корректировках параметров объекта испытаний и технической документации
Корректировок параметров объекта испытаний и технической документации в процессе испытаний не проводилось.
Приложение В
АКТ ПРИЕМКИ В ОПЫТНУЮ ЭКСПЛУАТАЦИЮ
(ВЫПИСКА)
УТВЕРЖДАЮ
____________ ___________
«___» ______________ 2017 г
В.1 Наименование информационной системы
Объектом опытной эксплуатации является система защиты информации информационной системы (название ИС) – далее СЗ.
В.2 Основание разработки
Система защиты разработана на основании следующих документов:
-
Техническое задание на создание системы защиты информации в информационной системе;
-
Технический проект на создание системы защиты информации в информационной системе.
В.3 Состав приемочной комиссии
Председатель комиссии:
_______________________________________________________________
(ФИО, организация, должность)
Члены комиссии:
_______________________________________________________________
(ФИО, организация, должность)
В. 4 Период времени работы комиссии
Начало проведения испытаний – (дата).
Окончание проведения испытаний – (дата).
Общая продолжительность проведения испытаний – (количество дней).
В. 5 Наименование организации-заказчика и организации-исполнителя
Организация-заказчик – (название организации).
Организация-исполнитель – (название организации).
В.6 Состав функций СЗ, принимаемых в опытную эксплуатацию
-
подсистема идентификации и аутентификации;
-
подсистема управления потоками информации;
-
подсистема управления доступом;
-
подсистема регистрации и учета;
-
подсистема обеспечения целостности.
В.7 Перечень составляющих технического, программного, информационного и организационного обеспечений, проверяемых в процессе опытной эксплуатации
(Перечислить технические средства обработки информации, программное обеспечение, средства защиты, эксплуатационную и организационно-распорядительную документацию).
Приложение Г
ПРОГРАММА ПРОВЕДЕНИЯ ОПЫТНОЙ ЭКСПЛУАТАЦИИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
(ВЫПИСКА)
Г.1 Объект опытной эксплуатации
Объектом опытной эксплуатации является система защиты информации информационной системы (название ИС) – далее СЗ.
В информационной системе обрабатывается (указать вид информации).
(указать компоненты и топологию информационной системы).
Г.2 Цель опытной эксплуатации
Целями опытной эксплуатации СЗ являются:
-
проверка работоспособности СЗ и соответствия функциональности СЗ требованиям технического задания;
-
фиксация сбоев, ошибок, недостатков, возникающих и выявленных в ходе опытной эксплуатации.
Задачи, решаемые в ходе опытной эксплуатации:
-
оперативное устранение причин сбоев, ошибок, недостатков, возникающих в процессе опытной эксплуатации;
-
внесение изменений в техническую и эксплуатационную документацию по итогам опытной эксплуатации.
Г.3 Общие положения
Г.3.1 Документы, на основании которых проводится опытная эксплуатация
Опытная эксплуатация проводится на основании следующих документов:
-
техническое задание на разработку СЗ;
-
акт приемки в опытную эксплуатацию;
-
настоящая программа опытной эксплуатации.
Опытная эксплуатация проводится в соответствии с требованиями, содержащимися в следующих нормативных документах:
-
ГОСТ 21552-84 Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортирование и хранение;
-
ГОСТ 24.208-80 Требования к содержанию документов стадии «ввод в эксплуатацию»;
-
ГОСТ 34.603-92 Виды испытаний автоматизированных систем;
-
ГОСТ 34.003-90 Автоматизированные системы. Термины и определения;
-
РД 50-34.698-90 Автоматизированные системы. Требования к содержанию документов.
Г.3.2 Место и продолжительность опытной эксплуатации