09. Дослідна експлуатація КСЗІ

3.2. Дослідна експлуатація

Дослідна експлуатація КСЗІ в ІТС здійснюється згідно вимог розділу 6.5 «Введення КСЗІ в дію та оцінка захищеності інформації в ІТС» НД ТЗІ 3.7-003-2005 «Порядок проведення робіт із створення КСЗІ в ІТС».

КСЗІ в ІТС приймається у дослідну експлуатацію після затвердження «Акту завершення попередніх випробувань» на підставі його позивного висновку. Порядок проведення дослідної експлуатації визначається наказом керівника установи-власника (розпорядника) ІТС, де вказується термін її проведення.

Для проведення дослідної експлуатації КСЗІ керівником установи-власника (розпорядника) ІТС створюється комісія. Головою комісії з дослідної експлуатації КСЗІ призначається заступник керівника установи-власника (розпорядника) ІТС.

Під час дослідної експлуатації КСЗІ:

- відпрацьовуються технології обробки інформації та обігу її носіїв, керування засобами захисту, розмежування доступу користувачів до ресурсів ІТС та контролю за їх діями;

- співробітники СЗІ та користувачі ІТС засвоюють вимоги організаційних та розпорядчих документів з питань розмежування доступу до технічних засобів та інформаційних ресурсів, набувають практичних навичок з використання технічних та програмно-апаратних засобів захисту інформації;

- у разі необхідності здійснюється доопрацювання ПЗ, додаткове налагоджування КЗЗ та коригування документації.

До складу експлуатаційної документації повинні входити документи, що визначають порядок інсталяції, ініціалізації, налаштування та експлуатації всіх компонентів КЗЗ, визначених у документації техно-робочого проекту КСЗІ.

Згідно вимог НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в КС від НСД» для КЗЗ (окремих компонентів) у вигляді окремих документів або розділів інших документів повинні бути розроблені:
- опис процедур інсталяції та ініціації КЗЗ;
- опис послуг безпеки, що реалізуються КЗЗ;
- настанови адміністратору з послуг безпеки;
- настанови користувачу з послуг безпеки.

Етап дослідної експлуатації завершується складанням «Акту завершення дослідної експлуатації КСЗІ в ІТС».

«Акт завершення дослідної експлуатації КСЗІ в ІТС» повинен містити перелік відпрацьованих заходів дослідної експлуатації та їх результати, а також висновки щодо можливості (або неможливості) представлення КСЗІ на державну експертизу.

Акт має бути підписаний членами комісії установи-власника (розпорядника) ІТС, представником виконавця робіт зі створення КСЗІ (за наявності) та затверджений керівником установи-власника (розпорядника) ІТС. Про завершення дослідної експлуатації КСЗІ необхідно зробити відповідний запис у формулярі ІТС.

Акт складається з таких розділів:
- заходи, відпрацьовані адміністраторами;
- заходи, відпрацьовані користувачами;
- заходи з ведення документації;
- заходи з налагоджування ПЗ (за необхідності);
- результати дослідної експлуатації;
- висновок.

Наприклад, акт можна викласти таким чином:

Під час дослідної експлуатації були проведені такі заходи:

1. Відпрацювання адміністраторами:
- роботи з КЗЗ (створення нових користувачів, призначення або скасування прав їх доступу);
- типових процедур контролю за станом захисту (аналіз журналів аудиту, архівування журналів аудиту);
- відновлення КЗЗ після збоїв та відмов (архівування технологічної інформації, відновлення технологічної інформації з архівів);
- налагодження та роботи з АВПЗ, перевірка файлів на наявність вірусів, оновлення антивірусних баз захисту.

2. Відпрацювання користувачами типових процедур з обробки ІзОД:
- вхід і вихід з операційної системи;
- створення пароля;
- створення, видалення та модифікація файлів;
- перевірка файлів на наявність вірусів.

3. Відпрацювання порядку ведення експлуатаційних документів:
- журналу обліку носіїв інформації;
- журналу обліку користувачів;
- журналу обліку роботи користувачів;
- формуляру ІТС;
- паспорту на комплекс ТЗІ (у разі наявності).

4. Додаткове налагоджування та конфігурування механізмів захисту ОС, КЗЗ і АВПЗ, а також коригування робочої та експлуатаційної документації.

За результатами дослідної експлуатації встановлено:

Дослідна експлуатація ІТС проведена в повному обсязі та КСЗІ у вказаній ІТС відповідає вимогам затвердженого ТЗ і НД ТЗІ. Персонал спроможний забезпечити виконання функцій КСЗІ в ІТС, передбачених затвердженим Технічним завданням, та обробку інформації в ІТС згідно затверджених правил.

Висновок: Створена КСЗІ в ІТС є придатною для функціонування та проведення державної експертизи.

 

Після затвердження «Акту завершення дослідної експлуатації» складається «Акт завершення робіт зі створення КСЗІ в ІТС», який повинен містити:
- загальні відомості;
- перелік розроблених документів (вказуються реєстраційні номери, інші атрибути документів);
- перелік проведених робіт;
- висновок.

Акт має бути підписаний членами комісії установи-власника (розпорядника) ІТС, представником виконавця робіт зі створення КСЗІ (за наявності) та затверджений керівником установи-власника (розпорядника) ІТС. Про завершення робіт зі створення КСЗІ необхідно зробити відповідний запис у формулярі ІТС. Типова форма «Акту про завершення робіт зі створення КСЗІ в АС класу 1» можна побачити на сайті Держспецзв'язку тут.

Наприклад, для АС класу «1» акт можна викласти таким чином:

1. Загальні відомості щодо КСЗІ
КСЗІ в АС класу «1» ______________________ призначена для обробки службової та відкритої інформації.
АС класу «1» розміщена  за адресою: м. ________, вул. _________, __, прим. № __.
Виконавці робіт із для створення КСЗІ:
1. Служба захисту інформації установи.
2. Фірма «____________»: м. ________, вул. _________, ___.

2. Перелік документів, розроблені під час проведення робіт зі створення КСЗІ:
1.   Акт категоріювання АС (№ ___ від ______);
2.   Акт (протокол, звіт) обстеження АС (№ ___ від ______);
3.   Модель загроз для інформації (№ ___ від ______);
4.   План захисту інформації в АС (№ ___ від ______);
5.   Формуляр АС (№ ___ від ______);
6.   Технічне завдання на створення КСЗІ (№ ___ від ______);
7.   Техно-робочий проект КСЗІ (№ ___ від ______);
8.   Інструкція адміністратора безпеки АС (№ ___ від ______);
9.   Інструкція системного адміністратора АС (№ ___ від ______);
10. Інструкція користувача АС (№ ___ від ______);
11. Інструкція антивірусного захисту в АС (№ ___ від ______);
12. Інструкція щодо правил захисту інформації в АС (№ ___ від ______);
13. Програма та Методика попередніх випробувань (№ ___ від ______);
14. Акт  інсталяції та ініціалізації КЗЗ від НСД (№ ___ від ______);
15. Акт навчання персоналу щодо роботи з КСЗІ (№ ___ від ______);
16  Акт (протокол, звіт) за результатами випробувань (№ ___ від ______);
17. Акт (протокол, звіт) за результатами дослідної експлуатації (№ ___ від ______);
18. Інші розроблені документи.

3. Виконано такі роботи зі створення КСЗІ

1. Наказом керівника (назва установи) від ___________ № ______ утворено (призначено) службу захисту інформації в АС (відповідальних осіб за організацію захисту інформації в АС).

2. Наказом керівника (назва установи) від ___________ № ______ визначено співробітників установи, допущених до роботи в АС, системного адміністратора та адміністратора безпеки АС.

3. Наказом керівника (назва установи) від ___________ № ______  визначений порядок створення КСЗІ в АС ________________ та склад комісії з проведення категоріювання та обстеження АC, проведення випробувань КСЗІ та інших робіт.           

4. Наказом керівника (назва установи) від ___________ № ______ визначений порядок проведення попрередніх випробувань КСЗІ та прийняття її у дослідну експлуатацію.

5. Наказом керівника (назва установи) від ___________ № ______ визначений порядок введення КСЗІ в АС ____________________в дослідну експлуатацію та завершення робіт з її створення.

6. Розроблено проектну та експлуатаційну документацію згідно з п.2 цього Акта.

7. Перевірено відповідність формуляра встановленому програмному та апаратному забезпеченню.

8. Упроваджено організаційні заходи захисту відповідно до пунктів ________________ Плану захисту інформації в АС.

9. Перевірено, що комплекс засобів захисту інформації за своїми можливостями відповідає вимогам технічного завдання на створення КСЗІ, проектна і експлуатаційна документація враховує особливості комплексу засобів захисту інформації.

10. Проведено інсталяцію та налаштування механізмів захисту ОС _________________, КЗЗ від НСД ___________________, АВПЗ __________________ відповідно до вимог експлуатаційної документації _________________, технічного завдання на створення КСЗІ, техно-робочого проекту КСЗІ, розпорядчих документів _____________________.

11. Користувачі, адміністратори, обслуговуючий персонал АС ознайомлені з експлуатаційною документацією КСЗІ та регламентом роботи АС під розпис (від __________   № ____).

Висновки:

За результатами виконаних робіт КСЗІ в АС класу «1» __________________________ здатна забезпечувати захист інформації відповідно до НД ТЗІ в обсязі вимог, зазначених у технічному завданні на створення КСЗІ, визнана придатною для роботи та представлення на державну експертизу...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика