08. Попередні випробування КСЗІ

3. Випробувальний період

Випробувальний період складається з таких заходів:
- попередні випробування КСЗІ;
- дослідна експлуатація КСЗІ;
- державна експертиза КСЗІ.

3.1. Попередні випробування

Попередні випробування КСЗІ в ІТС здійснюються згідно вимог розділу 6.5 «Введення КСЗІ в дію та оцінка захищеності інформації в ІТС» НД ТЗІ 3.7-003-2005 «Порядок проведення робіт із створення КСЗІ в ІТС».

Метою попередніх випробувань КСЗІ є перевірка її працездатності та визначення можливості прийняття у дослідну експлуатацію. Під час випробувань перевіряються працездатність КСЗІ та відповідність її вимогам ТЗ і НД ТЗІ. Порядок проведення попередніх випробувань може бути визначений наказом керівника установи-власника (розпорядника) ІТС.

Попередні випробування проводяться згідно програми та методики випробувань (далі - Програма). Програму готує розробник КСЗІ, а узгоджує власник ІТС. Вона має бути погоджена керівником установи-власника (розпорядника) ІТС, та затверджена виконавцем робіт зі створення КСЗІ в ІТС. Попередні випробування організовує власник ІТС, а проводить розробник КСЗІ.

Для проведення попередніх випробувань КСЗІ керівником установи-власника (розпорядника) ІТС створюється комісія. Головою комісії попередніх випробувань КСЗІ призначається заступник керівника установи-власника (розпорядника) ІТС.

Програма призначена для встановлення даних, що забезпечують отримання та перевірку проектних рішень, визначення якості робіт, показників якості функціонування КСЗІ, перевірку відповідності системи вимогам політики безпеки, тривалість і режим випробувань. Вона розробляється та оформлюється згідно вимог РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».

Програма повинна містити перелік перевірок та опис методик виконання окремих перевірок КСЗІ. Успішне проведення цих перевірок повинно дозволити зробити однозначний висновок щодо відповідності створеної КСЗІ вимогам ТЗ. Якщо в ході створення КСЗІ здійснюються роботи зі створення певних компонентів КЗЗ, до складу Програми може бути введено Програму та методику випробувань ФПБ.

Методики випробувань КСЗІ розробляються на основі ТЗ і затверджених програм випробувань з використанням типових методик (за наявності). При цьому окремі положення типових методик випробувань можуть уточнюватися та конкретизуватися залежно від особливості системи і умов проведення випробувань. При проведенні випробувань у декілька етапів програми випробувань повинні бути оформлені у вигляді єдиного документа. Зміст розділів методик встановлює розробник КСЗІ.

Перелік перевірок, які повинні увійти до програми, включає:
- відповідність КСЗІ технічному завданню;
- комплектність КСЗІ та її документації;
- кількість і кваліфікація персоналу;
- ступінь виконання КСЗІ своїх функцій;
- контролездатність КСЗІ тощо.

Опис методів випробувань КСЗІ за окремими показниками рекомендується розташовувати в тій же послідовності, в якій ці показники розташовані в технічних вимогах.

Програма випробувань КСЗІ повинна містити такі основні розділи:
- об'єкт випробувань;
- мета випробувань;
- обсяг випробувань;
- умови та порядок випробувань;
- методи випробувань.

Залежно від особливостей КСЗІ допускається об'єднувати або виключати окремі розділи за умови викладу їх вмісту в інших розділах програми випробувань, а також включати в неї додаткові розділи (за необхідністю).

1. У розділі «Об'єкт випробувань» Програми вказується клас ІТС згідно класифікації НД ТЗІ 2.5-005-99, повне найменування та умовне позначення ІТС, в якій створена КСЗІ.

Наприклад: Об'єктом випробувань є КСЗІ в АС класу «1» відділу кадрів установи з умовним позначенням АС «Кадри».

2. У розділі «Мета випробувань» Програми вказуються конкретні цілі та завдання, які повинні бути досягнуті та вирішені в процесі випробувань.

Наприклад: Метою випробувань є оцінка відповідності реалізованих заходів захисту вимогам НД ТЗІ і ТЗ на створення КСЗІ та встановлення факту готовності КСЗІ для проведення її дослідної експлуатації.

3. У розділі «Загальні положення» Програми вказуються:
- перелік керівних документів, на підставі яких проводять випробування;
- місце і тривалість випробувань;
- організації, що беруть участь у випробуваннях.

Якщо раніше вже проводились випробування, то також вказуються:
- перелік проведених випробувань;
- перелік документів, що пред'являються на випробування, відкоригованих за результатами проведених випробувань.

Наприклад: Випробування здійснюються на підставі наказу керівника установи щодо створення КСЗІ в ІТС згідно вимог таких нормативних документів:

- НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

- НД ТЗІ 2.1-002-2007 Захист інформації на об’єктах інформаційної діяльності. Випробування комплексу технічного захисту інформації. Основні положення;

- НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу;

- НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності інформації від несанкціонованого доступу;

- НД ТЗІ 3.7-003-2005 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі; 

- ДСТУ 2851-94 Програмні засоби ЕОМ. Документування результатів випробувань;

- ДСТУ 2853-94 Програмні засоби ЕОМ. Підготовлення і проведення випробувань;

- ГОСТ 34.201-89 Виды, комплектность и обозначение документов при создании автоматизированых систем;

- РД 50-34.698-90 Автоматизированные системы. Требования к содержанию документов.

Випробування КСЗІ здійснюється в АС класу «1», що встановлена у приміщенні відділу кадрів установи, у термін з _______ по _________.

Випробування КСЗІ здійснює комісія установи, призначена наказом керівника установи від _________ № _____.

У випробуваннях КСЗІ бере участь її розробник - фірма «__________», яка має ліцензію на право діяльності в галузі ТЗІ, згідно укладеного договору № ____ від __________.

4. У розділі «Обсяг випробувань» Програми вказуються:
- перелік етапів випробувань і перевірок;
- послідовність проведення та режим випробувань;
- випробування ПЗ;
- перелік робіт, що проводяться після завершення випробувань.

Наприклад: Обсяг випробувань включає проведення перевірок працездатності КСЗІ, виконання вимог ТЗ і НД ТЗІ щодо організації обробки інформації в ІТС та захисту її від НСД. Випробування складаються з 6 етапів, які проводяться у такій послідовності:
1) перевірка наявності та повноти проектної, робочої та експлуатаційної документації КСЗІ та відповідності її вмісту вимогам НД ТЗІ;
2) перевірка реальних умов експлуатації КСЗІ і ІТС в цілому;
3) перевірка впроваджених в ІТС заходів антивірусного захисту інформації;
4) перевірка впроваджених в ІТС заходів захисту інформації від НСД;
5) перевірка впроваджених в ІТС заходів криптографічного захисту інформації;
6) перевірка впровадженої технології поводження з носіями інформації;
7) перевірка підготовленості персоналу та інших організаційних заходів.

Випробування програмних засобів КСЗІ містить заходи з перевірки наявності відповідних ліцензій та сертифікатів, працездатності засобів, правильне конфігурування, функціонування систем їх оновлення та технічної підтримки.

До переліку робіт, що проводяться після завершення випробувань, входить підведення підсумків випробувань і складання відповідного протоколу. У разі необхідності здійснюється усунення недоліків та коригування проектної, робочої або експлуатаційної документації КСЗІ. Завершальним етапом у переліку робіт є складання «Акту завершення попередніх випробувань КСЗІ в ІТС».

5. У розділі «Умови та порядок проведення випробувань» Програми вказуються:
- умови проведення випробувань (умови початку та завершення окремих етапів, наявні обмеження тощо);
- вимоги до технічного обслуговування КСЗІ;
- вимоги до персоналу, що проводить випробування (порядок його допуску до випробувань);
- заходи забезпечення безпеки проведення випробувань.

Якшо до проведення випробувань залучаються сторонні організації та експерти, то також вказується:
- порядок взаємодії організацій, що беруть участь у випробуваннях;
- порядок залучення експертів для дослідження можливих пошкоджень під час випробувань...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика