Отчет_Антиплагиат (Разработка рекомендаций по проведению испытаний системы защиты информационной системы), страница 7

80подготовка отчетной документации и оценка результатовиспытаний СЗ ИС.Проверка структуры, состава и условий эксплуатации ИС включает:анализ полноты исходных данных и проверка ихсоответствия реальным условиям размещения, монтажа иэксплуатации ИС;исследование технологического процесса обработки,хранения и передачи 56 информации в ИС;анализ информационных потоков;определение состава 56 используемых для обработки,хранения и передачи 57 информации ОТСС.Проверка состояния организации работ и выполнения 56 требований позащите информации 56 включает:оценку правильности установления уровня защищенностиИС;оценку полноты разработки организационнораспорядительной, проектной и эксплуатационной документации.Проверка ИС на соответствие требованиям безопасности информациивключает проверку наличия необходимых документов и соответствия ихсодержания установленным требованиям, наличия сертификатовсоответствия требованиям безопасности информации, проверка ихвыполнения.40В методику приемочных испытаний я предлагаю включить:анализ полноты исходных данных, проверка ихсоответствия реальным условиям размещения, монтажа иэксплуатации ИС, исследование технологического процессаобработки и хранения и передачи 57 информации, анализинформационных потоков, определение состава использованныхдля обработки, 56 хранения и передачи 57 информации основныхтехнических средств и систем; 47проверку состояния организации работ и выполнениятребований безопасности информации;испытания ИС на соответствие требованиям по защитеинформации от несанкционированного доступа.

82По 63 результатам испытаний комиссия делает выводы о выполнениитребований по защите информации от НСД.Для анализа полноты исходных данных, проверки их соответствияреальным условиям размещения, монтажа и эксплуатации ИС, исследованиятехнологического процесса обработки, хранения и передачи 57 информации,анализа информационных потоков, 57 определения состава использованных дляобработки, хранения и 47 передачи информации основных технических средстви систем 47 приемочной комиссии должны быть представлены: 1техническое задание на создание 1 СЗ ИС;проектная документация на СЗ ИС;перечень защищаемых информационных ресурсов;акт классификации ИС по требованиям защитыинформации от НСД (в соответствии с нормативными правовымиактами и методическими документами уполномоченного41федерального органа исполнительной власти и национальнымистандартами);сертификаты соответствия требованиям безопасностиинформации на программные и технические средства ИС,используемые средства защиты;организационно-распорядительная документацияразрешительной системы доступа пользователей ИС к защищаемыминформационным ресурсам ИС;состав технических и программных средств, входящих вИС;описание технологического процесса обработкиинформации в ИС;перечень программного обеспечения, установленного в ИС;инструкции администратору защиты информации ипользователям ИС;инструкции по эксплуатации средств защиты информации.Приведенный перечень исходных данных и документации принеобходимости может уточняться по результатам анализа и проверки взависимости от особенностей ИС по согласованию с приемочной комиссией.При исследовании технологического процесса автоматизированнойобработки и хранения информации проверяют:объект доступа – средства обработки и передачиинформации, носители информации на магнитной и бумажнойоснове, накопители и все виды памяти ЭВМ, 55 которые могутсодержать информацию, отдельные документы и их архивы,используемые в технологическом процессе 55 обработки информации,файлы, записи и другие 55 информационные ресурсы, доступ к42которым необходимо регламентировать;субъект доступа – пользователи ИС, а также программныесредства, с 55 использованием которых осуществляется доступ кобъектам 55 доступа.Используя разрешительную систему доступа пользователей ИС кзащищаемым информационным ресурсам и данные по технологии обработкии передачи защищаемой информации, анализируют обобщеннуютехнологическую схему ИС с существующими и возможнымиинформационными потоками, возможностями доступа к обрабатываемой ипередаваемой информации.

56Проверяют соответствие 56 описания технологического процесса обработки,хранения и передачи защищаемой информации 57 реальному технологическомупроцессу обработки.Проверяют паспортные (исходные) данные ИС, комплектность ихарактеристики средств защиты и устанавливают угрозы безопасностиинформации в ИС, уязвимые критические места ИС, снижающие уровень еезащиты.Проверяют соответствие инструкций пользователей и администраторазащиты информации ИС установленным требованиям.По результатам исследований уточняют схему технологического процессав отношении отдельных средств обработки и передачи информации и каждогопользователя ИС.Предлагаемая мной проверка состояния организации работ и выполнениятребований безопасности информации приведена в таблице 2.3.1.Таблица 2.3.1 - Проверка состояния организации работ и выполнениятребований безопасности информацииИспытание Методика проведения испытания Критерий приемки431.

ПроверкасоответствиясодержанияпредставленныхдокументовустановленнымтребованиямПроверяют соответствиепредставленных документовтребованиям нормативныхправовых актов и методическихдокументов уполномоченныхфедеральных органовисполнительной власти, а 30 такжестандартов и иных документов 30органов государственногоуправления в пределахкомпетенции.Проверяют соответствиеприведенных в представленныхдокументах сведений о составе ИС(типы, заводские номера, местаразмещения и т.д.) ее реальномусоставу.Проверка считаетсяуспешной, еслипредставленные документыполностью соответствуеттребуемому составу, несодержат противоречивыхсведений и оформлены всоответствии сустановленнымитребованиями.Продолжение таблицы 2.3.1ИспытаниеМетодика проведенияиспытанияКритерий приемки2. Проверка соответствиясостава и структурыпрограммно-техническихсредств ИСпредставленнойдокументацииС представленнойдокументацией сверяют состави структуру программнотехнических средств ИС,включенных в реальныйтехнологический процессобработки информации.С использованиемстандартных средствоперационной системы илидругих программ фиксируютперечень технических ипрограммных средств и сверяютс приведенным в документахразрешительной системыдоступа и описаниитехнологического процессаобработки 57 защищаемойинформации.Проверка считается 57успешной, если состав,номенклатура, структурапрограммно-техническихсредств ИС и ихразмещение 57 полностьюсоответствуютпредставленнойдокументации на ИС.3.

Проверкаправильностиклассификации ИСОпределяют максимальнуюстепень секретности(конфиденциальности)обрабатываемой в ИСинформации, анализируютуровни полномочий по доступук секретной(конфиденциальной)информации различныхПроверка считаетсяуспешной, если класс ИСсоответствуетпредставленному наприемочные испытанияАкту классификацииавтоматизированнойсистемы.44пользователей ИС, режимыобработки данных в ИС иустанавливают класс ИС всоответствии с нормативнымиправовыми актами иметодическими документамиуполномоченного федеральногооргана исполнительной власти инациональными стандартами .Испытания ИС на соответствие требованиям по защите информации отнесанкционированного доступа я 82 представил в таблице 2.3.2. По результатамиспытаний комиссия делает выводы о выполнении требований по защитеинформации от НСД.Таблица 2.3.2 - Методики проведения испытаний ИС на 56 соответствиетребованиям по защите информации от НСД 80ИспытаниеМетодика проведенияиспытанияКритерий приемки1.

Проверка наличия сертификатов на средства защиты информации, выполнения правил ихэксплуатацииПроверяют соответствие представленныхсертификатов установленным (используемым) в ИСсредствам защиты информации от НСД. Основныминструментальным средством приемочных испытанийна данном этапе является программа фиксации иконтроля исходного состояния (наименованиепрограммы) . Программа используется в режимефиксации исходного состояния файлов программногокомплекса. При этом рассчитывают контрольные суммыдля указанных в формуляре (паспорте) программныхмодулей СЗИ от НСД. Расчет производят по алгоритмуформирования имитовставки в соответствии с ГОСТ28147 или по контрольным суммам другогоаттестованного алгоритма.

Полученные значенияконтрольного суммирования сравнивают со значениями,указанными в формуляре (паспорте) средства защитыинформации.Проверка считаетсяуспешной:если действующиесертификаты соответствуюттребованиям безопасностиинформации на всеиспользуемые в ИС СЗИ отНСД;если используемое СЗИ отНСД соответствует уровнюзащищенностиперсональных данных ИС;если результатыконтрольного суммированияпрограммных модулей СЗИот НСД соответствуютзначениям, указанным впаспорте данного СЗИ.2. Проверка соответствия описания технологического процесса обработки и хранениязащищаемой информации реальному процессу45Заявитель представляет приемочной комиссии описание технологического процессаобработки информации в ИС, которое включает:перечень объектов и субъектов доступа;перечень штатных средств доступа к информации в 56 ИС;перечень средств защиты информации;описание реализованных правил разграничения доступа; 56описание информационных потоков в ИС.В качестве объектов доступа могут быть приняты:система в целом;терминалы, ЭВМ, узлы сети ЭВМ, каналы связи, внешние устройства ЭВМ;программы;тома, каталоги, файлы, записи, поля записей.В 49 качестве субъектов доступа 81 могут рассматриваться лица и процессы (программыпользователей), имеющие возможность доступа к штатными средствами ИС.Приемочная комиссия проверяет:соответствие технологического процесса обработки и хранения 57 защищаемойинформации требованиям безопасности информации; 57соответствие описания технологического процесса обработки ихранения 57 защищаемой информации реальному процессу.Продолжение таблицы 2.3.2ИспытаниеМетодика проведенияиспытанияКритерий приемки3.