Випробування та дослідна експлуатація

Метою попередніх випробувань є перевірка працездатності КСЗІ, встановлення відповідності досягнутого в АС рівня захищеності інформації вимогам цього технічного завдання та визначення можливості прийняття її у дослідну експлуатацію.

Під час випробувань перевіряються працездатність КСЗІ та відповідність її вимогам ТЗ.

Обсяг випробувань має бути достатнім для вичерпної оцінки коректності реалізації усіх вимог захисту інформації. Обсяг випробувань вказується в документі “Програма та методика випробовувань ”.

На випробуваннях КСЗІ повинно бути перевірено функціонування всіх програмно-технічних компонент КСЗІ і наявних в них механізмів захисту на відповідність вимогам, які пред’являються до них ТЗ на КСЗІ, а також впроваджених в АС організаційних та інших заходів із захисту інформації.

Перевірка програмно-технічних компонент КСЗІ повинна включати випробовування засобів керування доступом, засобів реєстрації та обліку, засобів забезпечення цілісності інформації, засобів керування КСЗI.

Випробування повинні проводитись з використанням даних, які не відносяться до конфіденційної інформації.

Порядок підготовки та проведення випробувань має відповідати стандарту ГОСТ 34.603-92

Попередні випробування проводяться згідно з програмою та методиками випробувань. Програму й методики випробувань готує розробник КСЗІ, а узгоджує замовник АС. Програма та методики випробувань, протоколи випробувань розробляються та оформлюються згідно з вимогами РД 50-34.698.

Попередні випробування організовує замовник АС, а проводить розробник КСЗІ спільно із замовником. Для проведення попередніх випробувань замовником АС створюється комісія. Головою комісії призначається представник замовника.

Результати попередніх випробувань оформлюються “Протоколом випробувань”, де міститься висновок щодо можливості прийняття КСЗІ у дослідну експлуатацію, а також перелік виявлених недоліків, необхідних заходів з їх усунення, і рекомендовані терміни виконання цих робіт.

Після усунення недоліків у випадку їх наявності та коригування проектної, робочої, експлуатаційної документації КСЗІ оформлюється акт про приймання КСЗІ у дослідну експлуатацію.

Під час дослідної експлуатації КСЗІ:

ü відпрацьовуються технології оброблення інформації, обігу машинних носіїв інформації, керування засобами захисту, розмежування доступу користувачів до ресурсів АС та автоматизованого контролю за діями користувачів;

ü співробітники СЗІ та користувачі АС набувають практичних навичок з використання технічних та програмно-апаратних засобів захисту інформації, засвоюють вимоги організаційних та розпорядчих документів з питань розмежування доступу до технічних засобів та інформаційних ресурсів;

ü здійснюється доопрацювання програмного забезпечення, додаткове налагоджування та конфігурування комплексу засобів захисту;

ü здійснюється коригування робочої та експлуатаційної документації.

За результатами робіт за довільною формою складається акт про завершення дослідної експлуатації, який містить висновок щодо можливості представлення КСЗІ на державну експертизу.

Державна експертиза завершує створення КСЗІ.

Література

1. Закон України “Про інформацію”;

2. Закон України “Про захист інформації в інформаційно-телекомунікаційних системах”;

3. ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення;

4. ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт;

5. ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення;

6. ДСТУ 2226-93 Автоматизовані системи. Терміни та визначення;

7. ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні вимоги до організації проектування та проектної документації для будівництва;

8. ДБН 2.2-3-2004 Склад, порядок розроблення, погодження та затвердження проектної документації для будівництва;

9. ГОСТ 34.201 - 89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем;

10. ГОСТ 34.601 - 90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания;

11. ГОСТ 34.602 - 89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы;

12. РД 50 - 34.698 - 90 Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов;

13. Комплекс стандартов Единая система программной документации (ЕСПД);

14. Комплекс стандартов Единая система конструкторской документации (ЕСКД);

15. НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБ України від 28.04.1999 № 22;

16. НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБ України від 28.04.1999 № 22;

17. НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі. Затверджено наказом ДСТСЗІ СБ України від 04.12.2000 № 53;

18. НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБ України від 28.04.1999 № 22;

19. НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБ України від 28.04.1999 № 22;

20. НД ТЗІ 3.6-001-2000 Технічний захист інформації. Комп’ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБ України від 20.12.2000 № 60;

21. НД ТЗІ 3.7-001-99 Методичні вказівки щодо розроблення технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі. Затверджено наказом ДСТСЗІ СБ України від 28.04.1999 № 22;

22. НД ТЗІ 2.5-008-2002 Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2. Затверджено наказом ДСТСЗІ СБ України від 13.12.2002 № 84;

23. НД ТЗІ 2.5-010-2003 Вимоги до захисту інформації WEB - сторінки від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБ України від 02.04.2003 № 33;

24. НД ТЗІ 3.7-003-2005 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі. Затверджено наказом ДСТСЗІ СБ України від 08.11.2005 № 125;

25. Положення про державну експертизу в сфері технічного захисту інформації. Затверджене наказом ДСТСЗІ СБ України від 29.12.1999 №62 і зареєстроване в Міністерстві юстиції України 24.01.2000 за №40/4261;

26. Положення про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб. Затверджене наказом ДСТСЗІ СБ України від 23.02.2002 № 9 і зареєстроване в Міністерстві юстиції України 13.03.2002 за № 245/6533;

27. Постанова Кабінету Міністрів України від 04.02.1998 р. №121 “Про затвердження переліку обов’язкових етапів робіт під час проектування, впровадження та експлуатації систем і засобів автоматизованої обробки та передачі даних ”