четверг, 27 октября 2016 г.

Испытания системы защиты

На основании статьи 14 частью 6 ФЗ №149 "ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ " Правительство РФ утверждает два постановления №675 и №676

В  приказе ФСТЭК № 17 тоже есть пункты касаемо испытаний системы защиты информационных систем...а в новой редакции 17-го появился ещё один документ - подтверждение об отсутствии уязвимостей.

1. Предварительные испытания
16.4. Предварительные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем» (далее – ГОСТ 34.603) и включают проверку работоспособности системы защиты информации информационной системы, а также принятие решения о возможности опытной эксплуатации системы защиты информации информационной системы.

2. Опытная эксплуатация
16.5.Опытная эксплуатация системы защиты информации информационной системы проводится с учетом ГОСТ 34.603 и включает проверку функционирования системы защиты информации информационной системы, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации системы защиты информации информационной системы.

3. Анализ уязвимостей
16.6. Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем системы защиты информации информационной системы и предотвращения реализации угроз безопасности информации.
Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы.

4. Приёмочные испытания
16.7. Приемочные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований к системе защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.

5. Ввод в действие
17.5. Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия.

Какие документы ещё необходимо разработать и подготовить, для того чтобы ввести систему в действие?

Для проведения всех испытаний необходимо разработать документ "Программа и методика испытаний ".
1. Для предварительных испытаний составляется протокол с заключением о возможности приёмки в опытную эксплуатацию. Работу завершают оформлением акта
приемки в опытную эксплуатацию.
2. Во время опытной эксплуатации заводится рабочий журнал, в который заносят сведения о сбоях, отказах, аварийных ситуациях т.д. По результатам оформляется заключение о возможности/ не возможности предъявления системы на приёмочные испытания. Работа завершается оформлением акта о завершении опытной эксплуатации и допуске
системы к приемочным испытаниям.
3. По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.
4. Результаты приёмочных испытаний отражают в протоколе на основании которого делают заключение о соответствии системы и возможности составления акта приёмки в постоянную эксплуатацию. Работу завершают оформлением акта о приемке АС в постоянную эксплуатацию.
5. Ввод в действие. После аттестации, система вводится в эксплуатацию на основании акта (Акт о вводе системы в эксплуатацию) с указанием даты начала эксплуатации.

В итоге вот такой дополнительный перечень получился, который необходимо подготовить в дополнение к существующей документации.

Комментариев нет:

Отправить комментарий