Антиплагиат (1209233), страница 8
Текст из файла (страница 8)
В частности, этодокумент «Описание программного обеспечения», созданный согласно РД 5034.698-90. Данный документ содержит раздел «Функции частей программногообеспечения», где описываются назначение и основные функции каждой частипрограммного обеспечения информационной системы, а также входные ивыходные данные.45Используя эту информацию, необходимо составить сценарии модульныхтестов (тесты, направленные на части программного обеспеченияинформационной системы) для проверки каждой функции. Для этогоиспользуется Матрица соответствия требований – двумерная таблица, гдеколонки – это функции части программного обеспечения, а строки – сценариитестов.
В ячейке таблицы ставится отметка, если данный сценарий тестапокрывает данную функцию.Тест должен использовать одну из следующих техник:эквивалентное разделение. Это проверка одного значения из интерваладопустимых входных значений и одного значения вне этого интервала;анализ граничных значений. Это проверка минимального имаксимального значения из интервала допустимых входных значений изначений больше (для максимального) или меньше (для минимального)границ;причина/следствие.
Это ввод определенных входных значений (причина)и ожидание определенных выходных значений (следствие);предугадывание ошибки. Это использование знаний программногообеспечения тестирующего лица и интерпретации спецификаций длявыявления и проверки входных данных, при вводе которых возможновозникновение ошибки;исчерпывающее тестирование (неэффективно). Это проверка всехвозможных входных значений.После составления всех необходимых тестов, их необходимо провести. Вплан реализации тестов вносятся следующие поля:тестовый сценарий;лицо, ответственное за проведение теста;дата проведения теста.Если в процессе выполнения теста был получен неправильный результат, тотестирующее лицо должно составить отчет об ошибке со следующими полями:46описание ошибочной ситуации;название части программного обеспечения;номер версии программного обеспечения;серьезность ошибки;приоритет ошибки;лицо, нашедшее ошибку;окружение (операционная система);шаги воспроизведения ошибки;фактический результат;ожидаемый результат.Параметр «Серьезность ошибки» может принимать одно из пяти возможныхзначений:блокирующая ошибка.
Ошибка приводит программное обеспечение внерабочее состояние, в котором невозможна дальнейшая работа;критическая ошибка. Ошибка приводит часть программного обеспеченияв нерабочее состояние;значительная ошибка. Ошибка некорректной бизнес логикипрограммного обеспечения. Есть возможность продолжения работы;незначительная ошибка. Ошибка не нарушает бизнес логикупрограммного обеспечения и является проблемой пользовательскогоинтерфейса;тривиальная ошибка. Ошибка не касается бизнес логики программногообеспечения, не воспроизводится, незаметна посредствомпользовательского интерфейса и не оказывает влияние на общее качествоработы программного обеспечения.Параметр «Приоритет ошибки» может принимать одно из трех значений:высокий приоритет. Ошибка является критичной для программногообеспечения и должна быть исправлена как можно скорее;47средний приоритет.
Ошибка не является критичной для программногообеспечения, но должна быть исправлена;низкий приоритет. Ошибка не является критичной для программногообеспечения и не требует немедленного исправления.Набор отчетов об ошибках передается лицу, ответственному заосуществление контроля правильности функционирования информационнойсистемы.
Данное лицо разрабатывает план мероприятий по ликвидации ошибокфункционирования. Мероприятия могут включать в себя:обновление до новой версии программного обеспечения, не содержащейошибку;изменение параметров конфигурации программного обеспечения длядостижения состояния, в котором ошибка не наблюдается;изменение состава программного обеспечения информационной системыдля сохранения функциональности программного обеспечения иустранения ошибки.Каждому мероприятию назначаются ответственное лицо и временные рамкиисполнения.3.2.3.3 Контроль соответствия настроек программного обеспечения исредств защиты информации параметрам настройки, приведенным вэксплуатационной документации 1Средства инвентаризации программного обеспечения и настроекпредоставляет полный список параметров настройки программногообеспечения.
Данный список с указанием даты инвентаризации необходимосохранить для дальнейшего использования в качестве эталона для сравнения. Вслучае если настройки и состав программного обеспечения изменяютсязапланировано, необходимо создать новый список и сравнить его с предыдущимна предмет различий.48Необходимо назначить лицо ответственное за периодическую сверку новогосписка с эталонным на данный момент. Сверка производится для каждой записипрограммного обеспечения и параметра конфигурации программногообеспечения. В случае обнаружения несоответствия, необходимо провестианализ всех организационных документов, содержащих сведения об измененииконфигурации программного обеспечения за период времени.В случае обнаружения несоответствия и отсутствия записей о нем ворганизационных документах данное несоответствие необходимо устранить.Если устранение возможно произвести немедленно, то данное действиепроизводится лицом, ответственным на сверку конфигурации. Также фактустранения несоответствия отмечается в отчете сверки.
Если устранениеневозможно провести немедленно, несоответствие помечается в отчете сверкикак подлежащее устранению.После проведения сверки при необходимости составляется планмероприятий по исправлению несоответствий, с указанием необходимыхдействий, ответственными лицами и датами устранения.
План согласуется иприводится в исполнение с составлением отчета по проделанным действиям.3.2.4 Контроль состава технических средств, программного обеспечения исредств защиты информации (АНЗ 4) 2Методический документ ФСТЭК «Меры защиты информации» требует отоператора проведения контроля 6 состава технических средств, программногообеспечения и средств защиты информации, применяемых в информационнойсистеме.
В 1 ходе 6 реализации данной меры оператор должен:контролировать соответствие состава технических средств, программногообеспечения и средств защиты информации 2 эксплуатационнойдокументации и принимать меры, направленные 1 на устранениевыявленных недостатков; 149 1контролировать выполнение условий и сроков действия сертификатовсоответствия на средства защиты информации и 1 принимать меры,направленные 1 на устранение выявленных недостатков. 1Также от оператора требуется использовать автоматизированные средстваинвентаризации технических средств, программного обеспечения и средствзащиты информации.3.2.4.1 1 Контроль соответствия состава технических средств, программногообеспечения и средств защиты информации 1 эксплуатационнойдокументацииНа 1 этапе введения информационной системы в эксплуатацию необходимоиспользовать автоматизированные средства инвентаризации и проектнуюдокументацию для создания эталонного списка технических средств,программного обеспечения и средств защиты информации.
Каждый пунктсписка представляет собой описание соответствующего объектаинформационной системы.На этапе эксплуатации информационной системы в случае изменениясостава технических средств, программного обеспечения и средств защитыинформации 2 следует обновить данный список с указанием даты внесенияизменений и внесшего изменения лица.Необходимо назначить лицо, ответственное за периодическое составлениесписка технических средств, программного обеспечения и средств защитыинформации, 6 актуального на данный момент.
Список составляется при помощисредств автоматизированной инвентаризации. Затем назначенное лицо проводитсравнение составленного списка с эталонным по каждому пункту. В случаеобнаружения несоответствия, необходимо провести анализ всехорганизационных документов, содержащих сведения об изменении составатехнических средств, программного обеспечения и средств защиты информации 250 2за период времени.В случае обнаружения несоответствия и отсутствия записей о нем ворганизационных документах данное несоответствие необходимо устранить.
Вслучае присутствия в информационной системе не санкционированноготехнического средства, программного обеспечения или средства защитыинформации, мероприятие по устранению несоответствия предполагаетудаление данного объекта из информационной системы. В случае несанкционированного отсутствия в информационной системе техническогосредства, программного обеспечения или средства защиты информации,мероприятие по устранению несоответствия предполагает восстановлениеданного объекта из информационной системы.
В обоих случаях составляетсяотчет об обнаружении и устранении несоответствия, а также уведомляютсяответственные лица и организуется внутреннее расследование.Составленный комплекс мероприятий с указанием ответственных заисполнение лиц и временных рамок согласуется и приводится в исполнение. Поисполнению составляется отчет об исполнении комплекса мероприятий.3.2.4.2 Контроль выполнения условий и сроков действия сертификатовсоответствия на средства защиты информации 1На 1 этапе внедрения информационной системы в эксплуатацию необходимосоставить график проведения мероприятий по контролю сроков действиясертификатов 1 на средства защиты информации, 1 используемые в системе защитыинформации.
Даты проведения мероприятий для графика выбираютсясоответственно датам окончания сертификатов с указанием средства защитыинформации, чей сертификат необходимо проверить.Согласно Положению о сертификации средств защиты информацииГосударственной технической комиссии от 25.10.1995, производитель средствазащиты информации должен принять решение о продлении срока действия51сертификата и отправить соответствующий запрос в организацию посертификации не позднее, чем за три месяца до 76 окончания срока действиясертификата средства защиты. Соответственно, за три месяца до окончаниясрока действия сертификата на средство защиты информации необходимонаправить производителю запрос информации о продлении срока действиясертификата.
ФСТЭК разрешает использовать положительный ответпроизводителя средства защиты как разрешение на его применение довынесения решения организации по сертификации о продлении срока действия,даже в случае его истечения.В том случае, если сертификат на средство защиты информации истек и небудет продлен, необходимо уведомить лицо, ответственное заадминистрирование системы защиты информации информационной системы.Данное лицо должно принять решение о продолжении использования средствазащиты информации. В зависимости от вынесенного решения, необходимопроизвести следующие действия:если было принято решение о продолжении использования средствазащиты информации, необходимо отправить в организацию посертификации запрос о продлении срока действия сертификата 40 наединичные образцы, используемые оператором согласно процедуре,описанной в положении о сертификации средств защиты информацииГосударственной технической комиссии от 25.10.1995;если было принято решение о прекращении использования средствазащиты информации, необходимо изменить состав средств защиты сцелью замены несертифицированного средства на другоесертифицированное с необходимыми для поддержания состояниябезопасности функциями.523.2.5 Контроль правил генерации и смены паролей пользователей, заведенияи удаления учетных записей пользователей, реализации правилразграничения доступом, полномочий пользователей в информационнойсистеме ( 2 АНЗ 5)Согласно методическому документу ФСТЭК «Меры защиты информации»оператор должен осуществлять:контроль правил генерации и смены паролей пользователей всоответствии с ИАФ.1 и ИАФ.4;контроль заведения и удаления учетных записей пользователей всоответствии с УПД.1;контроль реализации правил разграничения доступом в соответствии сУПД.2;контроль реализации полномочий пользователей в соответствии с УПД.4и УПД.5.3.2.5.1 Контроль 1 правил генерации и смены паролей 2Правила генерации и смены паролей пользователей 6 регламентируются ворганизационно-распорядительных документах оператора и применяются путемнастройки автоматизированных средств защиты информации по управлениюдоступом.Необходимо периодически проверять настройки данных средств защиты насоответствие организационно-распорядительным документам.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
