CC BY
156ИСПЫТАНИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Селифанов Валентин Валерьевич, ФГБОУ ВПО «Новосибирский государственный университет экономики и управления «НИНХ», г. Новосибирск
E-mail: e.s. evstratenko@nsuem.ru
Аннотация. Рассмотрены существующие в Российской Федерации требования к проведению испытаний системы защиты информации государственных информационных систем. Приведены особенности и рекомендации по их проведению.
Abstract. The existing in the Russian Federation of requirements to the testing system of information security of public information systems. Peculiarities and recommendations on their implementation.
Ключевые слова: предварительные испытания, опытная эксплуатация, приемочные испытания, государственная информационная система.
Е 1ЕС ТН К НА УК! 1
И ТВОРЧЕСТВА
Система защиты информации государственной информационной системы (далее - ГИС) должна решать три основные задачи:
- нейтрализовать все актуальные угрозы безопасности;
- применяемые средства защиты информации должны соответствовать предъявляемым к ним требованиям;
- не оказывать отрицательного влияния на штатный режим функционирования.
Наиболее проблематичным вопросом для оператора является оценка последней задачи. Существующие требования [1] предписывают для этого три этапа:
- предварительные испытания;
- опытная эксплуатация;
- приемочные испытания.
При этом не посредственно порядок действий и их объем определяется
ВЕСТНИК НАУКИ И ТВОРЧЕСТВА
непосредственно оператором на этапе принятия решения о необходимости защиты информации, содержащейся в информационной системе п. 14.1 приказа ФСТЭК России от 11 февраля 2013 г. № 17 [1].
Оператор информационной системы исходя из сложности системы должен определить необходимые работы при проведении испытаний и перечень и содержания разрабатываемых документов с учетом следующих стандартов:
- ГОСТ 34.601-90 [2];
- ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем» (далее - ГОСТ 34.603) [3];
- ГОСТ Р 51583-2014 [4].
При этом необходимо учитывать, что проведение испытаний происходит с учетом указанных выше стандартов, а не в соответствии с их требованиями [8]. Задание их, изначально, в качестве требований может привести к достаточно плачевным последствиям - от срыва сроков государственного контракта до невозможности его реализации. Рассмотрим необходимые и достаточные требования для каждого этапа.
Предварительные испытания. •
Предварительные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 [3] и включают проверку работоспособности системы защиты информации информационной системы, а также принятие решения о возможности опытной эксплуатации системы защиты информации информационной системы [1].
Если рассмотреть ГОСТ 34.603 [3], то данные испытания необходимо проводить в два этапа: автономные и комплексные. С обязательным оформлением для каждого этапа следующих документов:
- программы и методики испытаний (в случае с автономными на каждую часть системы с жесткими требованиями к содержанию);
- график проведения испытаний;
- тесты;
- протоколы испытаний;
- акт о результатах испытаний.
Документация получается объемная и не всегда необходимая, например, если реализуемая ГИС состоит из одного автоматизированного рабочего места. Поэтому в каждом конкретном случае необходим свой подход. Минимум же документов установлен постановлением Правительства РФ от 6 июля 2015 г. № 676 [5] и он состоит из:
- программы и методики предварительных испытаний;
- протокола предварительных испытаний;
- акта о приемке системы в опытную эксплуатацию.
ВЕСТНИК НАУКИ И ТВОРЧЕСТВА
Без разделения на автономные и комплексные испытания.
Опытная эксплуатация.
Опытная эксплуатация системы защиты информации информационной системы проводится с учетом ГОСТ 34.603 [3] и включает проверку функционирования системы защиты информации информационной системы, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации системы защиты информации информационной системы [1].
На этом этапе ГОСТ 34.603 [3] практически идентичен постановлению Правительства от 6 июля 2015 г. № 676 [5] с той лишь разницей - в стандарте жестко закреплены требования к содержанию документов и добавлена обязанность ввести журнал опытной эксплуатации.
Таким образом обязательны к оформлению следующие документы [5]: программа и методика и акт о завершении опытной эксплуатации.
Так же необходимо подтвердить квалификацию пользователей информационной системы - это могут быть как зачетные ведомости, так и сертификаты, свидетельства об обучении, повышении квалификации или • переподготовки. Жесткие требования здесь не установлены, однако, оператору ГИС необходимо помнить, что обязанность по доказательству проведения этого этапа будет лежат на нем, и действовать, исходя из этого [7].
Приемочные испытания.
Приемочные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 [3] и включают проверку выполнения требований к системе защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.
Перечень обязательных к оформлению документов [5] полностью аналогичен предыдущему этапу. В ГОСТ 34.603 [3] так же закреплено содержание документа и добавлено требование по ведению протокола испытаний [6].
Таким образом, действующие нормативные правовые акты Российской Федерации предоставляют оператору ГИС широкие возможности по оценке влияния системы защиты информации на качество и надежность работы системы в целом.
Однако оператор ГИС должен определять состав и содержание каждого этапа испытаний с учетом особенностей конкретной системы. Ошибки и не точности допущенные здесь могут привести к различным последствиям - от не достоверной оценки (при не достаточной проработке) до срыва сроков
ВЕСТНИК НАУКИ И ТВОРЧЕСТВА
государственного контракта и невозможности его реализации (при завышении требований).
Литература:
1. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: Приказ ФСТЭК России от 11 февраля 2013 г. № 17 / Правовой сервер «Консультант Плюс» / [Электронный ресурс] / Режим доступа: www.consultant.ru.
2. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания: ГОСТ 34.601-90 от 1 января 1992 г. / Правовой сервер «Консультант Плюс» / [Электронный ресурс] / Режим доступа: www.consultant.ru.
3. Информационная технология. Виды испытаний автоматизированных систем: ГОСТ 34.603-92 от 17 февраля 1992 г. / Правовой сервер «Консультант Плюс» / [Электронный ресурс] / Режим доступа: www.consultant.ru.
4. Защита информации. Порядок создания автоматизированных систем в • защищенном исполнении. Общие положения: ГОСТ Р 51583-2014 от 28 января 2014 г. / Правовой сервер «Консультант Плюс» / [Электронный ресурс] / Режим доступа: www.consultant.ru.
5. О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации: постановление Правительства РФ от 6 июля 2015 г. № 676 / Правовой сервер «Консультант Плюс» / [Электронный ресурс] / Режим доступа: www.consultant.ru.
6. Селифанов В.В., Горбач Р.А., Ремизова В.А. Альтернативная измерительная площадка как основа лабораторного стенда для обучения студентов // Информационное противодействие угрозам терроризма. - 2015. - № 24. - С. 261267.
7. Селифанов В.В., Евстратенко Е.С., Таратынова У.В. Построение системы защиты информации государственной информационной системы с учетом политик информационной безопасности разработанных в соответствии с ГОСТ Р ИСО/МЭК 27001 // Научные исследования: от теории к практике. - 2016. - №1 (7). - С. 157-159.
8. Селифанов В.В., Евстратенко Е.С., Таратынова У.В. Посторенние системы защиты информации государственной системы с учетом управления рисками информационной безопасности // Научные исследования: от теории к практике. -2016. - № 1 (7). - С. 154-157.
