Антиплагиат (1209233), страница 15
Текст из файла (страница 15)
Отдельной частью отчета определяется набор рекомендаций поустранению уязвимостей. Информация в данную часть переносится изсоответствующих полей записей об уязвимостях в отчете. Форма отчетапредставлена в приложении Б к методическим рекомендациям.После проведения действия по выявлению уязвимостей составляется планустранения уязвимостей. План устранения состоит из отдельных мероприятий,перенесенных из части отчета по поиску уязвимостей «Рекомендации поустранению». Каждому мероприятию назначается ответственное за еговыполнение лицо и временные рамки исполнения.
Форма плана устраненияуязвимостей указана в приложении В к методическим рекомендациям.Ответственные за выполнение мероприятий лица обеспечивают внесениеизменений в состав и конфигурацию информационной системы или ее частей втечении указанного времени.Не устраненные (неустранимые на данный момент) уязвимости заносятся вдополнительный отчет, используя классификацию ГОСТ Р 56546-2015.4.3 Контроль 2 установки обновлений программного обеспечения и средствзащиты информации 1Даная мера выполняется до установки любого программного обеспечения исредств защиты информации.Необходимо составить перечень всего программного обеспечения и средствзащиты информации в 16 информационной системе. 16 Это делается путем переносаданной информации из проектной документации на информационную систему вперечень.
Каждый пункт перечня – это информация о программном106обеспечении или средстве защиты информации в виде формуляра, формакоторого описана в ГОСТ 19.501-78.Необходимо для каждого пункта перечня получить информацию обактуальной версии. Для этого нужно обратиться к следующим источникам:официальный сайт разработчика;контактное лицо компании разработчика;другие источники, обозначенные оператором как доверенные.Необходимо получить дистрибутив актуальной версии каждого пункта изтех же источников. Данные дистрибутивы будут использоваться при установкепрограммного обеспечения и средств защиты информации согласно проектуинформационной системы. После завершения установки каждого из нихсоответствующий пункт перечня обновляется для отражения реальной версиипрограммного обеспечения 1 или 1 средства защиты информации.
1 Полученныйперечень добавляется к эксплуатационной документации на информационнуюсистему.4.4 Контроль правильности функционирования программного обеспечения исредств защиты информации 2Необходимо определить все функции программного обеспечения и средствзащиты информации. Данная информация содержится в проектнойдокументации, в частности в документе «Описание программногообеспечения». Все функции заносятся в промежуточный перечень функцийпрограммного обеспечения и средств защиты информации, сгруппированные понаименованию программного обеспечения или средства защиты информации.Необходимо спроектировать набор тестовых сценариев, подтверждающихвыполнение всех функций из промежуточного перечня. Для этого необходимоопределить набор входных данных для части программного обеспечения илисредства защиты, ввод которых должен согласно перечню привести к107ожидаемому результату.
Каждый тестовый сценарий включает в себя набордействий над частью программного обеспечения или средства защитыинформации с использованием этих входных данных и описание верныхвыходных данных. Для подтверждения полноты составленного набора тестовыхсценариев составляется матрица соответствия, колонки которой – это функциииз промежуточного перечня, а столбцы – тестовые сценарии.
В ячейке матрицыставится отметка, если успешное выполнение тестового сценария подтверждаетправильность выполнения функции программного обеспечения или средствазащиты информации.Необходимо составить план выполнения тестовых сценариев. Каждый пунктплана состоит из следующих полей:тестовый сценарий;назначенное для тестирования лицо;временные рамки выполнения тестового сценария.Тестирующее лицо обязано в срок выполнить тестовый сценарий исоставить отчет о его выполнении. В отчет вносится отметка об успешностивыполнения тестового сценария. В случае неуспешного выполнения такжевносятся следующая информация:описание ошибочной ситуации;название части программного обеспечения;номер версии программного обеспечения;серьезность ошибки;приоритет ошибки;лицо, обнаружившее ошибку;окружение (операционная система);шаги воспроизведения ошибки;фактический результат;ожидаемый результат.Все полученные отчеты сводятся в один общий.
Описание найденных108ошибок функционирования дополнительно заносится в отдельную главу«Выявленные ошибки функционирования».Необходимо составить план устранения ошибок функционирования. Дляэтого для каждой найденной ошибки из главы отчета принимается решение оспособе устранения из следующих:обновление до новой версии программного обеспечения, не содержащейошибку;изменение параметров конфигурации программного обеспечения длядостижения состояния, в котором ошибка не наблюдается;изменение состава информационной системы для сохраненияфункциональности программного обеспечения и устранения ошибки.Все принятые решения заносятся в план с указанием лица, ответственногоза внесение выбранных изменений, и временных рамок исполнения.
Данноелицо обязано обеспечить внесение изменений.Необходимо составить отчет о выполнении мероприятий по контролюправильности функционирования программного обеспечения иинформационной системы. В отчет вносятся все функции из промежуточногоперечня с указанием следующей информации:описание функции;используемый тестовый сценарий;тестирующее лицо;результат тестирования;дата тестирования;лицо, устранившее ошибку;способ устранения ошибки;дата устранения ошибки.4.5 Контроль соответствия настроек программного обеспечения и средствзащиты информации 1 проектной документации на создание информационной109системыНеобходимо установить и настроить в информационной системе выбранныесредства инвентаризации.
Результат работы средств инвентаризациипредставляет собой отчет о составе и конфигурации программного обеспеченияи средств защиты информации. Необходимо создать отчет о соответствииконфигурации, каждый пункт представляет собой запись о параметреконфигурации программного обеспечения или средства защиты и состоит изследующих полей:описание программного обеспечения или средства защиты;описание параметра конфигурации;настоящее значение параметра конфигурации, полученное сиспользованием средств инвентаризации;необходимое значение параметра конфигурации, описанное в проектнойдокументации;отметка о соответствии;лицо, проводящее контроль соответствия;дата проведения контроля соответствия.Разрешается сгруппировать пункты в отчете по наименованиюпрограммного обеспечения или средства защиты.Ответственное лицо обязано проверить соответствие всех параметровконфигурации проектной документации.
В случае обнаружения несоответствияк пункту отчета добавляются следующие поля:отметка об устранении несоответствия;описание устранения несоответствия;лицо, устранившее несоответствие;дата устранения несоответствия.Проводящее контроль соответствия лицо устраняет несоответствие, если этовозможно, и вносит соответствующие данные в отчет.110Полученный отчет подтверждает отсутствие несоответствий параметров 16настроек программного обеспечения и средств защиты в 1 информационнойсистеме 16 проектной документации.В случае если обнаружены неустранимые несоответствия, они выносятся вотдельный отчет, который передается лицам, ответственным за принятиерешения о проведении мероприятий по устранению несоответствий.
Данноелицо принимает решение о методе устранения несоответствия,соответствующего причине появления несоответствия. Решения по каждомунесоответствию заносятся в план мероприятий по устранению несоответствийпараметров настройки 16 программного обеспечения и средств защитыинформации с 16 указанием ответственных за выполнение лиц и временных рамокисполнения. План приводится в исполнение с занесением соответствующейинформации в отчет о контроле соответствия.
В случае, если его исполнениеможет повлечь за собой изменение других параметров конфигурации,необходимо провести повторную проверку данного программного обеспеченияили средств защиты.Из полученного отчета составляется перечень параметров конфигурациипрограммного обеспечения и средств защиты информации 16 информационнойсистемы. 16 Данный перечень вносится в эксплуатационную документациюинформационной системы.4.6 Контроль состава технических средств, программного обеспечения исредств защиты информации 2Необходимо установить и настроить в информационной системе выбранныесредства инвентаризации. Результат работы средств инвентаризациипредставляет собой отчет о составе технических средств, программногообеспечения и средств защиты информации 6 информационной системы. 16Необходимо создать отчет о проведении контроля состава технических средств,программного обеспечения и средств защиты информации, 6 каждый пункт111которого представляет собой запись о контролируемом компоненте и состоит изследующих полей:описание технического средства, программного обеспечения илисредства защиты;отметка о наличии или отсутствии компонента в информационнойсистеме;лицо, проводящее контроль состава компонентов;дата проведения контроля состава компонентов.Разрешается сгруппировать пункты в отчете по узлам информационнойсистемы.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
