Программа и методика приёмочных испытаний (Разработка рекомендаций по проведению испытаний системы защиты информационной системы)
Описание файла
Файл "Программа и методика приёмочных испытаний" внутри архива находится в следующих папках: Разработка рекомендаций по проведению испытаний системы защиты информационной системы, Приложения. Документ из архива "Разработка рекомендаций по проведению испытаний системы защиты информационной системы", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "Программа и методика приёмочных испытаний"
Текст из документа "Программа и методика приёмочных испытаний"
СОГЛАСОВАНО
(должность руководителя организации)
_________________ (И.О.Фамилия)
м.п.
«___»_____________ 2017 г.
УТВЕРЖДАЮ
(Заместитель руководителя
органа по аттестации)
______________ (И.О.Фамилия)
м.п.
«___»_____________ 2017 г.
ПРОГРАММА И МЕТОДИКА ПРИЕМОЧНЫХ ИСПЫТАНИЙ
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Хабаровск 2017
1 Общие положения
Настоящий документ определяет цели, задачи, методы, условия, объем, порядок и методику проведения приемочных испытаний на соответствие требованиям безопасности информации системы защиты информации информационной системы (далее – СЗ) (название организации), расположенной по адресу: (индекс, полный адрес).
В соответствии с приказом (должность и название организации) от (дата и номер приказа) руководителем приемочной комиссии назначен:
_______________________________________________________________
(должность, ФИО)
В состав приемочной комиссии назначены:
_______________________________________________________________
(должность, ФИО)
_______________________________________________________________
(должность, ФИО)
_______________________________________________________________
(должность, ФИО)
Целью приемочных испытаний является определение соответствия ИС требованиям безопасности информации. Приемочные испытания проводятся на соответствие положениям и требованиям действующих нормативных правовых актов, методических документов и национальных стандартов в области защиты информации..
Задачей приемочных испытаний СЗ является оценка её соответствия требованиям пунктов (перечислить пункты и разделы) технического задания (далее – ТЗ).
При проведении приемочных испытаний применяются следующие методы проверок и испытаний:
-
экспертно-документальный метод;
-
проверка функций или комплекса функций защиты информации от НСД с помощью инструментальных средств контроля, а также путем пробного запуска средств защиты информации от НСД и наблюдения за выполнением их функций;
-
проверка соответствия применённых параметров настройки элементов системы защиты информации требованиям безопасности информации;
-
проверка подсистем защиты информации от НСД, целостности применяемых средств защиты информации от НСД, в том числе с использованием специальных средств контроля эффективности защиты информации;
-
проверка программной совместимости и корректности функционирования всего комплекса используемых СВТ с продукцией, используемой в целях защиты информации;
-
испытания системы защиты информации от НСД путем попыток осуществить НСД к тестовой защищаемой информации в обход используемой системы защиты информации, в том числе с использованием специальных программных тестирующих средств.
Экспертно-документальный метод предусматривает проверку соответствия СЗ установленным требованиям безопасности информации на основании экспертной оценки полноты и достаточности необходимых мер защиты информации в представленных документах, а также на основании соответствия реальных условий эксплуатации требованиям к размещению, монтажу и эксплуатации технических средств.
Перечень используемых инструментальных средств контроля защищенности от НСД к информации приведен в таблице 1.
Таблица 1 – Используемые инструментальные средства контроля защищенности от НСД к информации
Используемые средства | Сведения о сертификате, |
Программа фиксации и контроля исходного программного комплекса (наименование программы) | Сертификат ФСТЭК России №___, действителен до (число, месяц, год). |
Программа моделирования системы разграничения доступа (наименование программы) | Сертификат ФСТЭК России №___, действителен до (число, месяц, год). |
Средство контроля защищенности от НСД (наименование программы) | Сертификат ФСТЭК России №___, действителен до (число, месяц, год). |
Программа поиска и гарантированного уничтожения информации на дисках (наименование программы) | Сертификат ФСТЭК России №___, действителен до (число, месяц, год). |
Сетевой сканер безопасности (наименование программы) | Сертификат ФСТЭК России №___, действителен до (число, месяц, год). |
Проверка и испытания комплекса функций защиты информации от НСД проводятся для программно-технической среды ИС в целом в соответствии с действующими документами по защите информации от НСД.
Проверка соответствия СЗ требованиям безопасности информации проводится на основании анализа общих результатов испытаний и выявленных в процессе испытаний недостатков и нарушений.
В случае выявления по результатам испытаний несоответствия СЗ установленным требованиям по защите информации комиссия может рассмотреть возможность оперативного устранения выявленных недостатков и нарушений. При этом могут рекомендоваться следующие меры:
-
доработка организационно-распорядительной документации;
-
применение дополнительных организационных и технических мер защиты;
-
применение дополнительных сертифицированных средств защиты информации.
2 Программа приемочных испытаний
Приемочные испытания СЗ проводятся в соответствии с программой, включающей следующий перечень работ и порядок их проведения:
Проверка структуры, состава и условий эксплуатации ИС, включая:
-
анализ полноты исходных данных и проверка их соответствия реальным условиям размещения, монтажа и эксплуатации ИС;
-
исследование технологического процесса обработки, хранения и передачи информации в ИС;
-
анализ информационных потоков;
-
определение состава используемых для обработки, хранения и передачи информации ОТСС.
Проверка состояния организации работ и выполнения требований по защите информации, включая:
-
оценку правильности установления уровня защищенности ИС;
-
оценку полноты разработки организационно-распорядительной, проектной и эксплуатационной документации.
Проверка ИС на соответствие требованиям безопасности информации, включая:
-
проверку наличия необходимых документов и соответствия их содержания установленным требованиям, наличия сертификатов соответствия требованиям безопасности информации, проверка их выполнения.
Проведение испытаний ИС на соответствие требованиям по защите информации от НСД.
Подготовка отчетной документации и оценка результатов испытаний СЗ ИС.
Результаты проведения испытаний СЗ ИС на соответствие требованиям по защите информации отражаются в протоколе приемочных испытаний.
Материалы приемочных испытаний оформляются протоколами испытаний, содержащими:
-
наименование испытуемого объекта;
-
цель испытаний;
-
перечень использованных нормативных документов и методик испытаний;
-
перечень средств контроля защиты информации от НСД;
-
описание проверок;
-
результаты испытаний.
На основании данных документов составляется протокол по результатам приемочных испытаний, включающий:
-
оценку соответствия ИС требованиям безопасности информации;
-
перечень выявленных недостатков и нарушений;
-
рекомендации по устранению выявленных недостатков и нарушений;
-
вывод о возможности (невозможности) ввода ИС в постоянную эксплуатацию.
Продолжительность работ по пунктам Программы приемочных испытаний представлена в таблице 2.
Таблица 2 – Продолжительность приемочных испытаний
Вид испытания | Продолжительность, чел/час |
Проверка структуры, состава и условий эксплуатации ИС. | |
Проверка состояния организации работ и выполнения требований по защите информации. | |
Проверка ИС на соответствие требованиям безопасности информации. | |
Проведение испытаний ИС на соответствие требованиям по защите информации от НСД. | |
Подготовка отчетной документации и оценка результатов испытаний ИС. |
3 Методика приемочных испытаний
3.1 Анализ полноты исходных данных, проверка их соответствия реальным условиям размещения, монтажа и эксплуатации ИС, исследование технологического процесса обработки, хранения и передачи информации, анализ информационных потоков, определение состава использованных для обработки, хранения и передачи информации основных технических средств и систем
Приемочной комиссии должны быть представлены:
-
техническое задание на создание СЗ;
-
проектная документация на СЗ;
-
перечень защищаемых информационных ресурсов;
-
акт классификации ИС по требованиям защиты информации от НСД (в соответствии с нормативными правовыми актами и методическими документами уполномоченного федерального органа исполнительной власти и национальными стандартами);
-
сертификаты соответствия требованиям безопасности информации на программные и технические средства ИС, используемые средства защиты;
-
организационно-распорядительная документация разрешительной системы доступа пользователей ИС к защищаемым информационным ресурсам ИС;
-
состав технических и программных средств, входящих в ИС;
-
описание технологического процесса обработки информации в ИС;
-
перечень программного обеспечения, установленного в ИС;
-
инструкции администратору защиты информации и пользователям ИС;
-
инструкции по эксплуатации средств защиты информации.
Приведенный перечень исходных данных и документации при необходимости может уточняться по результатам анализа и проверки в зависимости от особенностей ИС по согласованию с приемочной комиссией.
При исследовании технологического процесса автоматизированной обработки и хранения информации проверяют:
-
объект доступа – средства обработки и передачи информации, носители информации на магнитной и бумажной основе, накопители и все виды памяти ЭВМ, которые могут содержать информацию, отдельные документы и их архивы, используемые в технологическом процессе обработки информации, файлы, записи и другие информационные ресурсы, доступ к которым необходимо регламентировать;
-
субъект доступа – пользователи ИС, а также программные средства, с использованием которых осуществляется доступ к объектам доступа.
Используя разрешительную систему доступа пользователей ИС к защищаемым информационным ресурсам и данные по технологии обработки и передачи защищаемой информации, анализируют обобщенную технологическую схему ИС с существующими и возможными информационными потоками, возможностями доступа к обрабатываемой и передаваемой информации.
Проверяют соответствие описания технологического процесса обработки, хранения и передачи защищаемой информации реальному технологическому процессу обработки.
Проверяют паспортные (исходные) данные ИС, комплектность и характеристики средств защиты и устанавливают угрозы безопасности информации в ИС, уязвимые критические места ИС, снижающие уровень ее защиты.
Проверяют соответствие инструкций пользователей и администратора защиты информации ИС установленным требованиям.
По результатам исследований уточняют схему технологического процесса в отношении отдельных средств обработки и передачи информации и каждого пользователя ИС.
3.2 Проверка состояния организации работ и выполнения требований безопасности информации приведены в таблице 3.
Таблица 3 – Проверка состояния организации работ и выполнения требований безопасности информации
Испытание | Методика проведения испытания | Критерий приемки |
1. Проверка соответствия содержания представленных документов установленным требованиям | Проверяют соответствие представленных документов требованиям нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти, а также стандартов и иных документов органов государственного управления в пределах компетенции. Проверяют соответствие приведенных в представленных документах сведений о составе ИС (типы, заводские номера, места размещения и т.д.) ее реальному составу. | Проверка считается успешной, если представленные документы полностью соответствует требуемому составу, не содержат противоречивых сведений и оформлены в соответствии с установленными требованиями. |
2. Проверка соответствия состава и структуры программно-технических средств ИС представленной документации | С представленной документацией сверяют состав и структуру программно-технических средств ИС, включенных в реальный технологический процесс обработки информации. С использованием стандартных средств операционной системы или других программ фиксируют перечень технических и программных средств и сверяют с приведенным в документах разрешительной системы доступа и описании технологического процесса обработки защищаемой информации. | Проверка считается успешной, если состав, номенклатура, структура программно-технических средств ИС и их размещение полностью соответствуют представленной документации на ИС. |