08. Попередні випробування КСЗІ

3. Випробувальний період

Випробувальний період складається з таких заходів:
- попередні випробування КСЗІ;
- дослідна експлуатація КСЗІ;
- державна експертиза КСЗІ.

3.1. Попередні випробування

Попередні випробування КСЗІ в ІТС здійснюються згідно вимог розділу 6.5 «Введення КСЗІ в дію та оцінка захищеності інформації в ІТС» НД ТЗІ 3.7-003-2005 «Порядок проведення робіт із створення КСЗІ в ІТС».

Метою попередніх випробувань КСЗІ є перевірка її працездатності та визначення можливості прийняття у дослідну експлуатацію. Під час випробувань перевіряються працездатність КСЗІ та відповідність її вимогам ТЗ і НД ТЗІ. Порядок проведення попередніх випробувань може бути визначений наказом керівника установи-власника (розпорядника) ІТС.

Попередні випробування проводяться згідно програми та методики випробувань (далі - Програма). Програму готує розробник КСЗІ, а узгоджує власник ІТС. Вона має бути погоджена керівником установи-власника (розпорядника) ІТС, та затверджена виконавцем робіт зі створення КСЗІ в ІТС. Попередні випробування організовує власник ІТС, а проводить розробник КСЗІ.

Для проведення попередніх випробувань КСЗІ керівником установи-власника (розпорядника) ІТС створюється комісія. Головою комісії попередніх випробувань КСЗІ призначається заступник керівника установи-власника (розпорядника) ІТС.

Програма призначена для встановлення даних, що забезпечують отримання та перевірку проектних рішень, визначення якості робіт, показників якості функціонування КСЗІ, перевірку відповідності системи вимогам політики безпеки, тривалість і режим випробувань. Вона розробляється та оформлюється згідно вимог РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».

Програма повинна містити перелік перевірок та опис методик виконання окремих перевірок КСЗІ. Успішне проведення цих перевірок повинно дозволити зробити однозначний висновок щодо відповідності створеної КСЗІ вимогам ТЗ. Якщо в ході створення КСЗІ здійснюються роботи зі створення певних компонентів КЗЗ, до складу Програми може бути введено Програму та методику випробувань ФПБ.

Методики випробувань КСЗІ розробляються на основі ТЗ і затверджених програм випробувань з використанням типових методик (за наявності). При цьому окремі положення типових методик випробувань можуть уточнюватися та конкретизуватися залежно від особливості системи і умов проведення випробувань. При проведенні випробувань у декілька етапів програми випробувань повинні бути оформлені у вигляді єдиного документа. Зміст розділів методик встановлює розробник КСЗІ.

Перелік перевірок, які повинні увійти до програми, включає:
- відповідність КСЗІ технічному завданню;
- комплектність КСЗІ та її документації;
- кількість і кваліфікація персоналу;
- ступінь виконання КСЗІ своїх функцій;
- контролездатність КСЗІ тощо.

Опис методів випробувань КСЗІ за окремими показниками рекомендується розташовувати в тій же послідовності, в якій ці показники розташовані в технічних вимогах.

Програма випробувань КСЗІ повинна містити такі основні розділи:
- об'єкт випробувань;
- мета випробувань;
- обсяг випробувань;
- умови та порядок випробувань;
- методи випробувань.

Залежно від особливостей КСЗІ допускається об'єднувати або виключати окремі розділи за умови викладу їх вмісту в інших розділах програми випробувань, а також включати в неї додаткові розділи (за необхідністю).

1. У розділі «Об'єкт випробувань» Програми вказується клас ІТС згідно класифікації НД ТЗІ 2.5-005-99, повне найменування та умовне позначення ІТС, в якій створена КСЗІ.

Наприклад: Об'єктом випробувань є КСЗІ в АС класу «1» відділу кадрів установи з умовним позначенням АС «Кадри».

2. У розділі «Мета випробувань» Програми вказуються конкретні цілі та завдання, які повинні бути досягнуті та вирішені в процесі випробувань.

Наприклад: Метою випробувань є оцінка відповідності реалізованих заходів захисту вимогам НД ТЗІ і ТЗ на створення КСЗІ та встановлення факту готовності КСЗІ для проведення її дослідної експлуатації.

3. У розділі «Загальні положення» Програми вказуються:
- перелік керівних документів, на підставі яких проводять випробування;
- місце і тривалість випробувань;
- організації, що беруть участь у випробуваннях.

Якщо раніше вже проводились випробування, то також вказуються:
- перелік проведених випробувань;
- перелік документів, що пред'являються на випробування, відкоригованих за результатами проведених випробувань.

Наприклад: Випробування здійснюються на підставі наказу керівника установи щодо створення КСЗІ в ІТС згідно вимог таких нормативних документів:

- НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

- НД ТЗІ 2.1-002-2007 Захист інформації на об’єктах інформаційної діяльності. Випробування комплексу технічного захисту інформації. Основні положення;

- НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу;

- НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності інформації від несанкціонованого доступу;

- НД ТЗІ 3.7-003-2005 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі; 

- ДСТУ 2851-94 Програмні засоби ЕОМ. Документування результатів випробувань;

- ДСТУ 2853-94 Програмні засоби ЕОМ. Підготовлення і проведення випробувань;

- ГОСТ 34.201-89 Виды, комплектность и обозначение документов при создании автоматизированых систем;

- РД 50-34.698-90 Автоматизированные системы. Требования к содержанию документов.

Випробування КСЗІ здійснюється в АС класу «1», що встановлена у приміщенні відділу кадрів установи, у термін з _______ по _________.

Випробування КСЗІ здійснює комісія установи, призначена наказом керівника установи від _________ № _____.

У випробуваннях КСЗІ бере участь її розробник - фірма «__________», яка має ліцензію на право діяльності в галузі ТЗІ, згідно укладеного договору № ____ від __________.

4. У розділі «Обсяг випробувань» Програми вказуються:
- перелік етапів випробувань і перевірок;
- послідовність проведення та режим випробувань;
- випробування ПЗ;
- перелік робіт, що проводяться після завершення випробувань.

Наприклад: Обсяг випробувань включає проведення перевірок працездатності КСЗІ, виконання вимог ТЗ і НД ТЗІ щодо організації обробки інформації в ІТС та захисту її від НСД. Випробування складаються з 6 етапів, які проводяться у такій послідовності:
1) перевірка наявності та повноти проектної, робочої та експлуатаційної документації КСЗІ та відповідності її вмісту вимогам НД ТЗІ;
2) перевірка реальних умов експлуатації КСЗІ і ІТС в цілому;
3) перевірка впроваджених в ІТС заходів антивірусного захисту інформації;
4) перевірка впроваджених в ІТС заходів захисту інформації від НСД;
5) перевірка впроваджених в ІТС заходів криптографічного захисту інформації;
6) перевірка впровадженої технології поводження з носіями інформації;
7) перевірка підготовленості персоналу та інших організаційних заходів.

Випробування програмних засобів КСЗІ містить заходи з перевірки наявності відповідних ліцензій та сертифікатів, працездатності засобів, правильне конфігурування, функціонування систем їх оновлення та технічної підтримки.

До переліку робіт, що проводяться після завершення випробувань, входить підведення підсумків випробувань і складання відповідного протоколу. У разі необхідності здійснюється усунення недоліків та коригування проектної, робочої або експлуатаційної документації КСЗІ. Завершальним етапом у переліку робіт є складання «Акту завершення попередніх випробувань КСЗІ в ІТС».

5. У розділі «Умови та порядок проведення випробувань» Програми вказуються:
- умови проведення випробувань (умови початку та завершення окремих етапів, наявні обмеження тощо);
- вимоги до технічного обслуговування КСЗІ;
- вимоги до персоналу, що проводить випробування (порядок його допуску до випробувань);
- заходи забезпечення безпеки проведення випробувань.

Якшо до проведення випробувань залучаються сторонні організації та експерти, то також вказується:
- порядок взаємодії організацій, що беруть участь у випробуваннях;
- порядок залучення експертів для дослідження можливих пошкоджень під час випробувань.

Наприклад: Доступ до приміщення відділу кадрів установи, де встановлена АС «Кадри», мають право лише особи згідно Переліку, затвердженого керівником установи. У випробуваннях беруть безпосередню участь такі особи:
- керівник служби захисту інформації установи;
- адміністратор безпеки АС «Кадри» установи;
- представник розробника КСЗІ - фірми «__________».

Випробування проводяться щодня з 10-00 до 17-00 з використанням тестових даних, що не містять інформацію з обмеженим доступом (далі – ІзОД). Перед початком випробувань представник розробника КСЗІ щодня проводить інструктаж персоналу АС з 09-00 до 10-00.

Підведення підсумків щоденних випробувань проводиться заступником керівника установи з 17-00 до 18-00. Щоденний контроль стану протипожежної та електробезпеки у приміщенні відділу кадрів покладається на інженера з охорони праці установи.

Технічне обслуговування засобів КСЗІ та усунення їх недоліків, виявлених під час випробувань, забезпечує представник її розробника - фірми «__________». Відповідальність за безаварійне проведення випробувань покладається на службу захисту інформації установи.

6. У розділі «Методи випробувань» Програми вказуються описи використовуваних методів випробувань із зазначенням результатів проведення випробувань (переліків тестових прикладів, контрольних роздруківок тестових прикладів тощо).

Наприклад: Методи випробувань складаються з методик проведення таких заходів перевірки:
1) наявності та повноти проектної, робочої та експлуатаційної документації КСЗІ та відповідності її вмісту вимогам НД ТЗІ;
2) реальних умов експлуатації КСЗІ і ІТС в цілому;
3) впроваджених в ІТС заходів захисту інформації від НСД;
4) впроваджених в ІТС заходів антивірусного захисту інформації;
5) впровадженої технології поводження з носіями інформації;
6) перевірка підготовленості персоналу та інших організаційних заходів.

1. Перевірка наявності та повноти проектної, робочої та експлуатаційної документації КСЗІ та відповідності її вмісту вимогам нормативно-правових актів.

Методика цього етапу містить перевірки:
- наявності та повноти комплекту документації на КСЗІ;
- відповідності вмісту документації вимогам нормативно-правових актів.

Перевірки здійснюються згідно таблиці 1.

Назва документа

Відповідає нормативному документу

1

Акт категоріювання ІТС

НД ТЗІ 1.6-005-2013

2

Акт обстеження ІТС

ДСТУ 3396.1-96 

3

План захисту інформації в ІТС

НД ТЗІ 1.1-002-99

4

Формуляр ІТС

РД 50-34.698-90

5

Технічне завдання на КСЗІ

НД ТЗІ 3.7-001-99

6

Техноробочий проект КСЗІ

РД 50-34.698-90

7

Технічний паспорт на комплекс ТЗІ

НД ТЗІ 1.1-005-2007 

8

Наказ про призначення служби захисту інформації (адміністратора безпеки)

НД ТЗІ 1.4-001-2000

9

Положення про службу захисту інформації

НД ТЗІ 1.4-001-2000

10

Інструкція щодо захисту інформації, яка є власністю держави

Правила забезпечення захисту інформації в ІТС (ПКМУ № 373 від 29.03.2006)

11

Експертні висновки про відповідність ОС, АВПЗ, КЗЗ від НСД вимогам НД ТЗІ

Положення про державну експертизу (Наказ ДССЗЗІ № 93 від 16.05.2007)

 

……..

…………..

2. Перевірка реальних умов експлуатації КСЗІ і ІТС в цілому

Методика цього етапу містить перевірки:

- обладнання приміщення відділу кадрів, під час якої уточнюється розміщення технічних засобів ІТС, систем електроживлення та заземлення та правильності нанесення їх на плані приміщення;

- порядку доступу до приміщення відділу кадрів, під час якої з’ясовується наявність затвердженого переліку осіб, які мають право знаходитись у приміщенні відділу кадрів; наявність інструкцій, що регламентують дії охорони у разі спрацювання систем охоронно-пожежної сигналізації, та ведення журналу видачі ключів від приміщення відділу кадрів;

- наявність і працездатність пристроїв безпербійного живлення засобів ІТС.

3. Перевірка впроваджених в ІТС заходів захисту інформації від НСД

3.1. Перевірка працездатності КЗЗ, під час якої з'ясовується:
- неможливість входу в ІТС без паролю (автентифікації);
- факт настроювання КЗЗ та наявність відповідного запису у формулярі ІТС;
- можливість відновлення працездатності КЗЗ після тестових збоїв;
- ведення електронного журналу КЗЗ щодо реєстрації всіх дій користувачів.

3.2. Перевірка параметрів конфігурування КЗЗ, під час якої з’ясовується:
- факт реєстрації користувачів та адміністраторів КЗЗ;
- неможливість зміни параметрів КЗЗ звичайним користувачем;
- відповідність діючих параметрів конфігурування КЗЗ вимогам його технічної документації;
- наявність у формулярі ІТС переліку програмного забезпечення (далі - ПЗ), дозволеного до використання в ІТС, та можливість обмеження його використання поза цим переліком.

3.3. Перевірка організації надання користувачам доступу до ресурсів, під час якої з’ясовується:
- наявність документально оформленого порядку надання співробітникам доступу до ресурсів ІТС;
- наявність та відповідність форми ведення журналу обліку користувачів.

3.4. Перевірка ПЗ щодо надання користувачам можливості виконувати свої службові обов'язки, пов'язані з обробкою ІзОД, згідно встановленої технології роботи в ІТС та правил захисту ІзОД, під час якої з’ясовується:
- можливість використання встановленого ПЗ для обробки ІзОД згідно з встановленими правами доступу;
- можливість імпорту та експорту користувачами ІзОД на змінні носії згідно з встановленими правами;
- можливість друку користувачами ІзОД згідно з встановленими правами.

3.5. Перевірка організації контролю за діями користувачів, під час якої з’ясовується:
- наявність та відповідність форми ведення журналу обліку роботи користувачів;
- можливість реєстрації засобами КЗЗ дій користувачів щодо доступу до ІТС, обробки та друку ними ІзОД.

4. Перевірка впроваджених в ІТС заходів антивірусного захисту інформації

4.1. Перевірка працездатності АВПЗ, під час якої з’ясовується:
- факт настроювання АВПЗ та наявність відповідного запису у формулярі ІТС;
- автозавантаження «резидентного сторожу» АВПЗ під час запуску ОС;
- необхідна реакція АВПЗ на тестовий вірус;
- ведення електронного журналу АВПЗ щодо реєстрації своїх дій.

4.2. Перевірка параметрів конфігурування АВПЗ, під час якої з'ясовується:
- неможливість зміни параметрів АВПЗ звичайним користувачем;
- відповідність діючих параметрів конфігурування АВПЗ вимогам його технічної документації;
- забезпечення щоденного оновлення антивірусних баз згідно вимог «Порядку оновлення антивірусних програмних засобів, які мають позитивний експертний висновок за результатами державної експертизи в сфері ТЗІ», затверджений наказом Адміністрації Держспецзв'язку від 26.03.2007 № 45, зареєстрований в Міністерстві юстиції України 10.04.2007 за № 320/13587.

5. Перевірка порядку поводження з носіями інформації

5.1. Перевірка обліку машинних носіїв даних, під час якої з’ясовується наявність, відповідність форми та ведення журналу обліку машинних носіїв інформації.

5.2. Перевірка порядку резервування інформації на машинних носіях даних, під час якої з’ясовується наявність відповідного розділу в настанові користувачу та інструкціях щодо порядку поводження з машинними носіями інформації.

5.3. Перевірка порядку обліку та реєстрації паперових носіїв, під час якої з’ясовується:
- наявність у функціональних інструкціях порядку друку ІзОД на паперові носії;
- наявність, відповідність форми та ведення журналу друку ІзОД на паперові носії;
- відповідність встановлених реквізитів на паперових носіях вимогам «Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію», затверджена постановою КМ України від 27.11.98 № 1893.

6. Перевірка підготовленості персоналу та інших організаційних заходів

6.1. Перевірка знання персоналом ІТС вимог організаційно-технічних документів, під час якої з'ясовується:
- наявність задокументованого факту ознайомлення користувачів ІТС з відповідними інструкціями;
- рівень знань користувачами ІТС положень функціональних інструкцій;
- рівень знань користувачами ІТС порядку дій щодо створення документів, які містять ІзОД.

6.2. Перевірка організації поточного контролю виконання вимог щодо захисту ІзОД в ІТС, під час якої здійснюється аналіз розроблених інструкцій щодо таких дій:
- періодичного контролю захищеності ІзОД у процесі штатного функціонування ІТС;
- у випадках виходу з ладу компонентів ІТС;
- у разі виявлення порушень в ході поточного контролю ІТС та контролю дієвості вжитих заходів щодо їх усунення.

 

7. У розділі «Матеріально-технічне забезпечення випробувань» Програми вказуються конкретні види матеріально-технічного забезпечення проведення випробувань з розподілом завдань і обов'язків організацій, які беруть участь у випробуваннях.

Наприклад: Матеріально-технічне забезпечення випробувань КСЗІ в АС «Кадри» здійснюється:
- господарським відділом установи - в частині забезпечення офісних засобів та комплектуючих для ІТС установи;
- фірмою «__________» (розробником КСЗІ) - в частині забезпечення комплектуючих для КЗЗ від НСД.

8. У розділі «Звітність» Програми вказується перелік звітних документів, які повинні оформлятися в процесі випробувань та після їх завершення, з визначенням порядку їх погодження і затвердження та термінів оформлення цих документів. До звітних документів відносяться акт, протокол або звіт про результати випробувань, акт технічного стану системи після випробувань тощо.

Наприклад: Результати попередніх випробувань оформлюються «Протоколом попередніх випробувань», який повинен містити:
- задокументовані результати випробувань, передбачених Програмою та методикою;
- перелік виявлених недоліків, необхідних заходів щодо їх усунення та рекомендовані терміни виконання цих робіт;
- висновки щодо можливості прийняття КСЗІ в дослідну експлуатацію.

Протокол має бути складений на протязі тижня після завершення випробувань, підписаний членами комісії з проведення випробувань, представником розробника КСЗІ та затверджений керівником установи. У разі виявлення недоліків компонентів КСЗІ вони повинні бути усунуті силами служби захисту інформації та розробника КСЗІ у місячний термін.

Після усунення недоліків складається «Акт завершення попередніх випробувань КСЗІ в ІТС». В Акті мають бути відображені задокументовані в Протоколі попередніх випробувань відомості щодо результатів випробувань, виявлених недоліків та проведених заходів з їх усунення, а також наведені висновки щодо можливості прийняття КСЗІ у дослідну експлуатацію. Акт має бути підписаний членами комісії з проведення випробувань, представником розробника КСЗІ та затверджений керівником установи.

 

Після завершення попередніх випробувань складається «Протокол попередніх випробувань КСЗІ в ІТС», який повинен містити такі розділи:
1) об'єкт випробувань;
2) мета випробувань;
3) обсяг випробувань;
4) результати випробувань;
5) оцінка повноти та завершення випробувань;
6) висновок.

Обсяг викладання розділів Протоколу повинен відповідати обсягу розділів Програми.

Якщо під час випробувань були виявлені недоліки, вони та їхні причини обов'язково фіксуються у відповідних розділах Протоколу. У такому разі висновок Протоколу повинен містити рекомендації та термін усунення всіх виявлених недоліків. Після усунення недоліків проводяться чергові випробування, за результатами яких знову складається Протокол.

Якщо недоліків не виявлено, розділ 5 викладається таким чином:

Випробування КСЗІ в ІТС проведено згідно вимог «Програми та методики випробувань» від _________ № ______ у повному обсязі. За результатами випробувань встановлено, що КСЗІ в ІТС створена у відповідності до технічного завдання та відповідає вимогам нормативно-правових актів України та НД ТЗІ у повному обсязі.

Висновок викладається таким чином:

Створена КСЗІ в ІТС є придатною для функціонування та проведення дослідної експлуатації.

 

Після складання Протоколу з позитивним висновком оформлюється «Акт завершення попередніх випробувань КСЗІ в ІТС». Акт має бути підписаний членами комісії установи-власника (розпорядника) ІТС, представником виконавця робіт зі створення КСЗІ (за наявності) та затверджений керівником установи-власника (розпорядника) ІТС. Про завершення проведення попередніх випробувань КСЗІ в ІТС необхідно зробити відповідний запис у формулярі ІТС.

Приклад Акту:

Акт завершення попередніх випробувань КСЗІ

Комісія, призначена наказом керівника установи від __________ № ____ у складі:
- голова комісії - заступник керівника установи __________________,
- керівник служби захисту інформації __________________,
- начальник відділу інформаційних технологій __________________ ,
- представник розробника КСЗІ - фірми «_____________» __________________

склали даний акт у тому, що у термін з ___________ по ____________ здійснила проведення попередніх випробувань КСЗІ в ІТС згідно вимог «Програми та методики попередніх випробувань» від _________ № ______ у повному обсязі. За підсумками випробувань був складений «Протокол попередніх випробувань» від _________ № ______.

Випробування проведено в реальних умовах з використанням штатних засобів ОС і КЗЗ та додаткових програмних засобів експлуатації КСЗІ в ІТС у такому обсязі:
- перевірка наявності та повноти комплекту проектної і організаційно-технічної документації на КСЗІ та відповідності її вмісту НД ТЗІ;
- перевірка впровадження заходів захисту інформації від НСД;
- перевірка впровадження технології обробки інформації;
- перевірка підготовленості персоналу.

Для оцінки проведених перевірок застосовувались методи експертного аналізу та стендові роботи з перевірки працездатності засобів та механізмів захисту. Випробування проведено з використанням тестових даних, які не містили службової інформації.

За результатами випробувань встановлено, що КСЗІ в ІТС створена у відповідності до технічного завдання та відповідає вимогам нормативно-правових актів України та НД ТЗІ у повному обсязі.

Висновок: Створена КСЗІ в ІТС є придатною для функціонування та проведення дослідної експлуатації.

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика