Отчет_Антиплагиат (Разработка рекомендаций по проведению испытаний системы защиты информационной системы), страница 5

93 Разработчик документаустанавливается в договоре или техническом задании.1.3.1 34 Предварительные испытанияПредварительные испытания СЗ ИС проводят для определения ееработоспособности и решения вопроса о возможности приемки 1 СЗ ИС вопытную эксплуатацию. Предварительные 1 испытания могут быть автономныеили комплексные.Автономные испытания 1 СЗ ИС следует проводить в соответствии спрограммой и методикой автономных испытаний, разрабатываемых длякаждой части 1 системы защиты.В программе автономных испытаний указывают:перечень функций, 1 подлежащих испытаниям;описание взаимосвязей объекта испытаний с другимичастями ИС;условия, порядок и методы проведения испытаний иобработки результатов; 54критерии приемки частей по результатам испытаний.

1Результаты автономных испытаний 2 следует фиксировать в протоколахиспытаний. Протокол должен содержать заключение о возможности(невозможности) допуска 1 СЗ ИС или её части к комплексным испытаниям. Вслучае, если проведенные автономные испытания будут признанынедостаточными, либо будет выявлено нарушение требованийрегламентирующих документов по составу или содержанию документации,указанная часть 1 СЗ ИС может быть возвращена на доработку и назначенновый срок испытаний.Комплексные испытания 1 СЗ ИС проводят путем выполнения комплексных 222тестов. Результаты испытаний отражают в протоколе. Работу завершаютоформлением акта приемки в опытную эксплуатацию.В программе комплексных испытаний 2 СЗ ИС указывают:перечень объектов испытания;состав предъявляемой документации;описание проверяемых взаимосвязей между объектамииспытаний;очередность испытаний частей 1 СЗ ИС; 54порядок и методы испытаний, в том числе составпрограммных средств и оборудования, необходимых дляпроведения испытаний, включая специальные стенды и полигоны.Для проведения комплексных испытаний должны быть представлены:программа комплексных испытаний;заключение по автономным испытаниям соответствующихчастей 1 ИС и устранение ошибок и замечаний, выявленных приавтономных испытаниях;комплексные тесты;программные и технические средства и соответствующаяим эксплуатационная документация.

1Комплексный тест должен:быть логически увязанным;обеспечивать проверку 21 работоспособности подсистемсистемы защиты во всех режимах функционирования,установленных в техническом задании на 24 создание системызащиты;23обеспечивать проверку реакции системы 1 защиты нанекорректную информацию и аварийные ситуации.Протокол комплексных испытаний должен содержать заключение овозможности 1 или невозможности 1 приемки СЗ ИС в опытную эксплуатацию, атакже перечень необходимых доработок и рекомендуемые сроки ихвыполнения.

После устранения недостатков проводят повторныекомплексные испытания в необходимом объеме.1.3.2 Опытная эксплуатацияОпытную эксплуатацию 2 системы 95 защиты проводят с целью определенияфактических значений количественных и качественных характеристик 1 СЗ ИСи готовности персонала к работе в условиях 1 её функционирования,определения фактической эффективности 48 СЗ ИС, корректировке (принеобходимости) документации. 1Опытную эксплуатацию проводят в соответствии с программой, в которойуказывают:условия и порядок функционирования 1 подсистем СЗ и СЗ вцелом; 42продолжительность опытной эксплуатации, достаточнуюдля проверки правильности функционирования системы 35 защиты иготовности персонала к работе в условиях 42 её функционирования;порядок устранения недостатков, выявленных в процессеопытной эксплуатации.Во время опытной эксплуатации 1 СЗ ИС ведут рабочий журнал, в которыйзаносят сведения о продолжительности функционирования системы 35 защиты,отказах, сбоях, аварийных ситуациях, изменениях параметров объектаавтоматизации, проводимых корректировках документации и программных 124средств, наладке, технических средств.

Сведения фиксируют в журнале суказанием даты и ответственного лица. В журнал могут быть занесенызамечания персонала по удобству эксплуатации 1 системы защиты. Порезультатам опытной эксплуатации принимают решение о возможности илиневозможности предъявления 1 системы защиты на приемочные испытания.Работа завершается оформлением акта о завершении опытной эксплуатации идопуске 1 СЗ ИС к приемочным испытаниям.1.3.3 Приемочные испытанияПриемочные испытания 2 СЗ ИС проводят для определения соответствияСЗ ИС техническому заданию на создание системы защиты, оценки качестваопытной эксплуатации и решения вопроса о возможности приемки 1 СЗ ИС впостоянную эксплуатацию.

Приемочные испытания проводят в соответствиис программой, в которой указывают:перечень 1 подсистем системы защиты, выделенных всистеме для испытаний и перечень требований, которым должнысоответствовать 42 эти подсистемы ( со ссылкой на пунктытехнического задания);критерии приемки системы 24 защиты и ее частей;условия и сроки проведения испытаний;средства для проведения испытаний;фамилии лиц, ответственных за проведение испытаний;методику испытаний и обработки их результатов;перечень оформляемой документации.Для проведения приемочных испытаний 1 необходимо предъявитьследующую документацию: 2425техническое задание на создание 24 системы защиты;акт приемки в опытную эксплуатацию;рабочие журналы опытной эксплуатации;акт завершения опытной эксплуатации и допуска 42 СЗ ИС к 54приемочным испытаниям;программа и методика испытаний.Приемочные испытания следует проводить на функционирующемобъекте, и 1 они должны включать проверку:полноты и качества реализации функций при штатных,предельных, критических значениях параметров 42 СЗ ИС и в другихусловиях функционирования 42 СЗ ИС, 54 указанных в ТЗ;выполнения каждого требования, относящегося кинтерфейсу системы;работы персонала в диалоговом режиме;средств и методов восстановления работоспособности 42 СЗИС после отказов;комплектности и качества эксплуатационной документации.

54Протоколы испытаний объектов по всей программе обобщают в единомпротоколе, на основании которого делают заключение о соответствиисистемы 1 защиты требованиям технического задания 1 на создание СЗ ИС ивозможности оформления акта приемки 1 СЗ ИС в постоянную эксплуатацию.Работу завершают оформлением акта о приемке 1 системы защиты впостоянную эксплуатацию.1.3.4 Аттестация СЗ ИС на соответствие требованиям безопасности 80информации 7526Под аттестацией объекта информатизации понимается комплекс 75организационных и технических мероприятий, в 46 результате которыхподтверждается соответствие системы защиты информации 46 объектаинформатизации требованиям безопасности информации. 57Целью аттестации объекта информатизации 57 является подтверждениесоответствия его системы защиты информации в реальных условияхэксплуатации требованиям безопасности информации.Аттестация объектов информатизации может носить обязательный илидобровольный характер.Добровольная аттестация 49 осуществляется по инициативе 49 заявителя(владельца информации или владельца объекта информатизации) на условияхдоговора между заявителем и органом по 11 аттестации.

49 Добровольнаяаттестация может осуществляться 49 для установления соответствия системызащиты информации объекта информатизации требованиям безопасностиинформации, установленным национальными стандартами и владельцеминформации или владельцем объекта информатизации.Обязательная аттестация проводится только в случаях, установленных 3федеральными законами, актами Президента Российской Федерации и 3Правительства Российской Федерации, нормативными правовыми актамиуполномоченных федеральных органов исполнительной власти, и 3исключительно на соответствие 3 системы защиты информации объектаинформатизации требованиям безопасности информации, установленнымфедеральными законами, нормативными правовыми актами ПрезидентаРоссийской Федерации, Правительства Российской Федерации, 100уполномоченных федеральных органов исполнительной власти.

60Аттестация объекта информатизации проводится до ввода объектаинформатизации в эксплуатацию и вызвана необходимостью официальногоподтверждения эффективности системы защиты информации, реализованнойна объекте информатизации.27Обязательной аттестации подлежат:объекты информатизации, предназначенные для обработкиинформации, составляющей государственную тайну, управленияэкологически опасными объектами, ведения секретных переговоров(« 78 Положение по аттестации объектов информатизации потребованиям безопасности информации» (утв. Гостехкомиссией 63 РФ25.11.1994));государственные и муниципальные информационные системы,функционирующих на территории Российской Федерации (ПриказФСТЭК России от 11 февраля 2013 г.

No17);государственные информационные ресурсы (Руководящий документ«Специальные требования и рекомендации по технической защитеконфиденциальной информации» (СТР-К), 55 утвержденные приказомГостехкомиссии России от 30.08.2002 55 No282.)ключевые системы информационной инфраструктуры (КСИИ).В остальных случаях достаточно приемочных испытаний.Участниками аттестации объекта информатизации являются:уполномоченные федеральные органы исполнительнойвласти (только в случае обязательной аттестации);органы по аттестации (при обработке информации,содержащей сведения, составляющие государственную тайну);организации, имеющие право на деятельность в областитехнической защиты конфиденциальной информации (приобработке информации конфиденциального характера);заявители.Органы по аттестации ( 58 организации) в пределах своей компетенции: 5828 58аттестуют объекты информатизации и выдают аттестатысоответствия;отменяют и приостанавливают действие выданных этиморганом ( 78 организацией) аттестатов соответствия;формируют фонд 78 нормативных правовых актов,методических документов и национальных стандартов в 46 областизащиты информации; 52ведут реестр аттестованных ими объектов информатизациии применяемой на них сертифицированной продукции,используемой в целях защиты информации;предоставляют уполномоченным 40 федеральным органамисполнительной власти в пределах их полномочий 36 материалы порезультатам аттестации объектов информатизации, а так жеинформируют уполномоченные федеральные органыисполнительной власти о выявленных новых угрозах безопасностиинформации;осуществляют взаимодействие с соответствующимиуполномоченным федеральным органам исполнительной власти иежеквартально информируют их о своей деятельности поаттестации объектов информатизации.Для проведения аттестации заявитель предоставляет аттестационнойкомиссии следующие исходные данные и документацию:модель угроз безопасности информации;акт классификации информационной системы;техническое задание на создание информационной системыи (или) техническое задание (частное техническое задание) на 4629создание системы защиты информации информационной системы; 46оформленный технический паспорт на АС;проектная и эксплуатационная документация на системузащиты информации информационной системы;организационно-распорядительные документы по защитеинформации;результаты анализа уязвимостей информационной системы;материалы предварительных и приемочных испытанийсистемы защиты информации информационной системы; 46состав технических и программных средств, входящих вАС; 63сертификаты соответствия требованиям безопасностиинформации на 63 программные и технические средства АС,используемые средства защиты; 63планы размещения основных и вспомогательныхтехнических средств и систем; 63план контролируемой зоны;схемы прокладки линий передачи данных;схемы и характеристики систем электропитания изаземления; 87организационно-распорядительная документацияразрешительной системы доступа пользователей АС к защищаемыминформационным ресурсам АС;описание технологического процесса обработкиинформации в АС.30Порядок 106 проведения аттестации объекта 58 информатизации по требованиямбезопасности информации: 106подача заявки в орган по аттестации и 49 рассмотрение заявкина аттестацию;предварительное ознакомление с аттестуемым объектом; 78разработка программы и методики аттестационныхиспытаний; 78формирование аттестационной комиссии;заключение договоров на аттестацию;проведение аттестационных испытаний объектаинформатизации;оформление, регистрация и выдача «Аттестатасоответствия».