Пояснительная записка (1209237), страница 5

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 5)

Данный список содержит в себе информацию о каждом программном компоненте информационной системы и его версии. В формуляре программного компонента указываются изменения, вносимые в процессе эксплуатации.

Необходимо назначить лицо, ответственное за периодичное проведение поиска обновлений программных компонентов информационной системы. Поиск проводится для каждого компонента, указанного в составленном списке программных компонентов. Поиск производится путем сравнения настоящей версии программного компонента, используемой в информационной системе с последней надежной версией, указанной в общедоступных источниках производителя компонента.

В случае обнаружения более новой версии, ответственное лицо обязано подготовить мероприятие по установке новой версии. Мероприятие включает в себя следующие действия:

• получение новой версии программного компонента из надежного источника (напрямую от производителя);

• установку новой версии программного компонента на всех узлах информационной системы, содержащих данный компонент;

• обновление соответствующей записи в списке программных компонентов информационной системы и внесение записи об изменении.

Мероприятия, подготовленные в процессе выполнения поиска, объединяются в комплекс мероприятий по обновлению программного обеспечения. План реализации данного комплекса мероприятий включает в себя следующие поля:

• содержание мероприятий;

• лица, ответственные за выполнение мероприятий;

• временные рамки выполнения мероприятий.

Составленный план согласуется с руководящими лицами и приводится в исполнение. По выполнению всех мероприятий из плана необходимо составить отчет, включающий в себя следующие поля:

• лицо, выполнившее мероприятие;

• время выполнения мероприятия;

• выполненные действия.

Данный отчет будет использован в дальнейшем как доказательство выполнения работ по контролю установки обновлений программного обеспечения информационной системы.

3.2.3 Контроль работоспособности, правильности функционирования и верности конфигурации (АНЗ 3)

Методический документ ФСТЭК «Меры защиты информации» требует от оператора проведения контроля работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации.

При контроле работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации осуществляется:

• контроль работоспособности программного обеспечения и средств защиты информации;

• проверка правильности функционирования программного обеспечения и средств защиты информации;

• контроль соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации.

3.2.3.1 Контроль работоспособности программного обеспечения

Контроль работоспособности программного обеспечения предполагает выявление неработоспособного (отключенного) программного обеспечения и восстановление его работоспособности. Отключение программного обеспечения и средств защиты информации фиксируется в журнале событий безопасности, организованном в процессе реализации соответствующих мер защиты по обеспечению безопасности информации. Необходимо организовать процесс отслеживания записей об отключении программного обеспечения и средств защиты информации в журналах событий безопасности. Для этого следует назначить ответственное лицо, проводящее постоянный мониторинг событий безопасности.

При обнаружении неработоспособного программного обеспечения и средств защиты информации назначенное лицо обязано немедленно восстановить работоспособность (удаленно или вручную). В случае если восстановление невозможно произвести немедленно, необходимо ограничить обработку информации в данном сегменте информационной системы согласно организационным документам. После применения ограничений, работоспособность восстанавливается с исследованием причин неработоспособности.

В случае серьезной неисправности или обнаружении намеренного нарушения работоспособности необходимо уведомить ответственных лиц организации и начать внутреннее расследование, если это необходимо.

По результатам контроля работоспособности составляется отчет с указанием каждого инцидента, его причины, лица, обнаружившего факт неработоспособности и времени обнаружения.

3.2.3.2 Контроль правильности функционирования программного обеспечения

Для проведения контроля правильности функционирования программного обеспечения и средств защиты информации оператору следует создать набор тестов на известных входных данных и с известным результатом, выполнение которых однозначно подтверждает правильность функционирования.

Источником информации для проектирования подобных тестов является эксплуатационная документация информационной системы. В частности, это документ «Описание программного обеспечения», созданный согласно РД 50-34.698-90. Данный документ содержит раздел «Функции частей программного обеспечения», где описываются назначение и основные функции каждой части программного обеспечения информационной системы, а также входные и выходные данные.

Используя эту информацию, необходимо составить сценарии модульных тестов (тесты, направленные на части программного обеспечения информационной системы) для проверки каждой функции. Для этого используется Матрица соответствия требований – двумерная таблица, где колонки – это функции части программного обеспечения, а строки – сценарии тестов. В ячейке таблицы ставится отметка, если данный сценарий теста покрывает данную функцию.

Тест должен использовать одну из следующих техник:

• эквивалентное разделение. Это проверка одного значения из интервала допустимых входных значений и одного значения вне этого интервала;

• анализ граничных значений. Это проверка минимального и максимального значения из интервала допустимых входных значений и значений больше (для максимального) или меньше (для минимального) границ;

• причина/следствие. Это ввод определенных входных значений (причина) и ожидание определенных выходных значений (следствие);

• предугадывание ошибки. Это использование знаний программного обеспечения тестирующего лица и интерпретации спецификаций для выявления и проверки входных данных, при вводе которых возможно возникновение ошибки;

• исчерпывающее тестирование (неэффективно). Это проверка всех возможных входных значений.

После составления всех необходимых тестов, их необходимо провести. В план реализации тестов вносятся следующие поля:

• тестовый сценарий;

• лицо, ответственное за проведение теста;

• дата проведения теста.

Если в процессе выполнения теста был получен неправильный результат, то тестирующее лицо должно составить отчет об ошибке со следующими полями:

• описание ошибочной ситуации;

• название части программного обеспечения;

• номер версии программного обеспечения;

• серьезность ошибки;

• приоритет ошибки;

• лицо, нашедшее ошибку;

• окружение (операционная система);

• шаги воспроизведения ошибки;

• фактический результат;

• ожидаемый результат.

Параметр «Серьезность ошибки» может принимать одно из пяти возможных значений:

• блокирующая ошибка. Ошибка приводит программное обеспечение в нерабочее состояние, в котором невозможна дальнейшая работа;

• критическая ошибка. Ошибка приводит часть программного обеспечения в нерабочее состояние;

• значительная ошибка. Ошибка некорректной бизнес логики программного обеспечения. Есть возможность продолжения работы;

• незначительная ошибка. Ошибка не нарушает бизнес логику программного обеспечения и является проблемой пользовательского интерфейса;

• тривиальная ошибка. Ошибка не касается бизнес логики программного обеспечения, не воспроизводится, незаметна посредством пользовательского интерфейса и не оказывает влияние на общее качество работы программного обеспечения.

Параметр «Приоритет ошибки» может принимать одно из трех значений:

• высокий приоритет. Ошибка является критичной для программного обеспечения и должна быть исправлена как можно скорее;

• средний приоритет. Ошибка не является критичной для программного обеспечения, но должна быть исправлена;

• низкий приоритет. Ошибка не является критичной для программного обеспечения и не требует немедленного исправления.

Набор отчетов об ошибках передается лицу, ответственному за осуществление контроля правильности функционирования информационной системы. Данное лицо разрабатывает план мероприятий по ликвидации ошибок функционирования. Мероприятия могут включать в себя:

• обновление до новой версии программного обеспечения, не содержащей ошибку;

• изменение параметров конфигурации программного обеспечения для достижения состояния, в котором ошибка не наблюдается;

• изменение состава программного обеспечения информационной системы для сохранения функциональности программного обеспечения и устранения ошибки.

Каждому мероприятию назначаются ответственное лицо и временные рамки исполнения.

3.2.3.3 Контроль соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации

Средства инвентаризации программного обеспечения и настроек предоставляет полный список параметров настройки программного обеспечения. Данный список с указанием даты инвентаризации необходимо сохранить для дальнейшего использования в качестве эталона для сравнения. В случае если настройки и состав программного обеспечения изменяются запланировано, необходимо создать новый список и сравнить его с предыдущим на предмет различий.

Необходимо назначить лицо ответственное за периодическую сверку нового списка с эталонным на данный момент. Сверка производится для каждой записи программного обеспечения и параметра конфигурации программного обеспечения. В случае обнаружения несоответствия, необходимо провести анализ всех организационных документов, содержащих сведения об изменении конфигурации программного обеспечения за период времени.

В случае обнаружения несоответствия и отсутствия записей о нем в организационных документах данное несоответствие необходимо устранить. Если устранение возможно произвести немедленно, то данное действие производится лицом, ответственным на сверку конфигурации. Также факт устранения несоответствия отмечается в отчете сверки. Если устранение невозможно провести немедленно, несоответствие помечается в отчете сверки как подлежащее устранению.

После проведения сверки при необходимости составляется план мероприятий по исправлению несоответствий, с указанием необходимых действий, ответственными лицами и датами устранения. План согласуется и приводится в исполнение с составлением отчета по проделанным действиям.

3.2.4 Контроль состава технических средств, программного обеспечения и средств защиты информации (АНЗ 4)

Методический документ ФСТЭК «Меры защиты информации» требует от оператора проведения контроля состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе. В ходе реализации данной меры оператор должен:

• контролировать соответствие состава технических средств, программного обеспечения и средств защиты информации эксплуатационной документации и принимать меры, направленные на устранение выявленных недостатков;

• контролировать выполнение условий и сроков действия сертификатов соответствия на средства защиты информации и принимать меры, направленные на устранение выявленных недостатков.

Также от оператора требуется использовать автоматизированные средства инвентаризации технических средств, программного обеспечения и средств защиты информации.

3.2.4.1 Контроль соответствия состава технических средств, программного обеспечения и средств защиты информации эксплуатационной документации

На этапе введения информационной системы в эксплуатацию необходимо использовать автоматизированные средства инвентаризации и проектную документацию для создания эталонного списка технических средств, программного обеспечения и средств защиты информации. Каждый пункт списка представляет собой описание соответствующего объекта информационной системы.

На этапе эксплуатации информационной системы в случае изменения состава технических средств, программного обеспечения и средств защиты информации следует обновить данный список с указанием даты внесения изменений и внесшего изменения лица.

Необходимо назначить лицо, ответственное за периодическое составление списка технических средств, программного обеспечения и средств защиты информации, актуального на данный момент. Список составляется при помощи средств автоматизированной инвентаризации. Затем назначенное лицо проводит сравнение составленного списка с эталонным по каждому пункту. В случае обнаружения несоответствия, необходимо провести анализ всех организационных документов, содержащих сведения об изменении состава технических средств, программного обеспечения и средств защиты информации за период времени.

В случае обнаружения несоответствия и отсутствия записей о нем в организационных документах данное несоответствие необходимо устранить. В случае присутствия в информационной системе не санкционированного технического средства, программного обеспечения или средства защиты информации, мероприятие по устранению несоответствия предполагает удаление данного объекта из информационной системы. В случае не санкционированного отсутствия в информационной системе технического средства, программного обеспечения или средства защиты информации, мероприятие по устранению несоответствия предполагает восстановление данного объекта из информационной системы. В обоих случаях составляется отчет об обнаружении и устранении несоответствия, а также уведомляются ответственные лица и организуется внутреннее расследование.

Характеристики

Список файлов ВКР