Главная страница
Навигация по странице:

  • 9.6 Проверка выполнения требований по защите информации от утечки за счет специальных электронных устройств перехвата информации

  • 9.7 Испытания на соответствие требованиям по защите информации от несанкционированного доступа

  • Наименование проверок и испытаний Пункт методических рекомендаций

  • 9.7.2

  • 9.7.3.

  • 9.7.4.

  • 9.7.5.

  • 9.7.5.3.

  • 9.7.6.

  • 9.7.6.6.

  • 11. Методика аттестационных испытаний выделенных помещений по требованиям безопасности информации 11.1 Общие положения

  • 11.2 Условия и порядок проведения аттестационных испытаний

  • П.З. 7.1 Программа и методики проведения аттестационных испытани. Программа и методики проведения аттестационных испытаний объектов информатизации ооо Солнышко


    Скачать 86.54 Kb.
    НазваниеПрограмма и методики проведения аттестационных испытаний объектов информатизации ооо Солнышко
    Дата19.04.2023
    Размер86.54 Kb.
    Формат файлаdocx
    Имя файлаП.З. 7.1 Программа и методики проведения аттестационных испытани.docx
    ТипПрограмма
    #1075196
    страница3 из 4
    1   2   3   4

    9.5.6. Рекомендации по результатам испытаний

    По результатам испытаний должны быть сделаны выводы о соответствии (или несоответствии) объекта ВТ требуемому уровню защиты информации от утечки за счет ПЭМИН СВТ.

    Комиссия может рекомендовать следующие меры по устранению недостатков:

    • применение дополнительных организационных и технических мер по защите информации;

    • применение дополнительных сертифицированных средств защиты информации;

    • исключение отдельных технических средств, обрабатывающих конфиденциальную информацию, из состава объекта.

    9.6 Проверка выполнения требований по защите информации от утечки за счет специальных электронных устройств перехвата информации

    Проверяется наличие актов или заключений о специальной проверке импортных СВТ, применяемых для обработки секретной информации.

    9.7 Испытания на соответствие требованиям по защите информации от несанкционированного доступа

    Испытания проводятся в объеме, указанном в таблице 7.

    Объем испытаний на соответствие требованиям по ЗИ от НСД может уточняться в зависимости от установленного класса АС.

    Таблица 7

    Наименование проверок и испытаний

    Пункт методических рекомендаций

    Анализ и оценка технологического процесса обработки информации

    9.7.2

    Выбор инструментальных средств и методики испытаний

    9.7.3

    Испытания подсистемы управления доступом

    9.7.4

    Проверка механизма идентификации

    9.7.4.1-9.7.4.2

    Проверка механизма аутентификации

    9.7.4.3-9.7.4.4

    Проверка механизма контроля доступа

    9.7.4.5

    Проверка механизмов управления потоками информации

    9.7.4.6-9.7.4.7

    Испытания подсистемы регистрации и учета

    9.7.5

    Испытания подсистемы обеспечения целостности

    9.7.6

    9.7.2. Анализ и оценка технологического процесса обработки информации в части НСД.

    9.7.2.1. Комиссии представляется описание технологического процесса обработки информации в аттестуемом объекте ВТ, включающее в себя следующую информацию:

    • перечень объектов доступа;

    • перечень субъектов доступа;

    • перечень штатных средств доступа к информации на объекте ВТ;

    • перечень средств защиты информации;

    • описание реализованных правил разграничения доступа;

    • описание информационных потоков.

    9.7.2.2. В качестве объектов доступа в зависимости от класса СВТ могут быть приняты:

    • система в целом;

    • терминалы, ЭВМ, узлы сети ЭВМ, каналы связи, внешние устройства ЭВМ;

    • программы;

    • тома, каталоги, файлы, записи, поля записей;

    • все виды памяти ЭВМ, в которых может находиться информация.

    Информационные носители могут иметь метку конфиденциальности (гриф секретности) и находиться на учете.

    9.7.2.3. В качестве субъектов доступа могут рассматриваться лица и процессы (программы пользователей), имеющие возможность доступа к объектам штатными средствами объекта ВТ.

    Субъекты доступа могут иметь официальное разрешение (допуск) к информации определенного уровня конфиденциальности.

    9.7.2.4. Под штатными средствами доступа к информации на объекте ВТ понимаются общесистемные и прикладные системы, средства и программы, предоставляющие субъектам документированные возможности доступа к объектам доступа.

    9.7.2.5. Комиссия проверяет соответствие описания технологического процесса обработки и хранения конфиденциальной информации реальному процессу.

    Особое внимание уделяется выявлению возможностей переноса информации большего уровня конфиденциальности на информационный носитель меньшего уровня.

    9.7.2.6. Проводится анализ разрешенных и запрещенных связей между субъектами и объектами доступа с привязкой к конкретным СВТ и штатному персоналу, оценка их соответствия разрешительной системе доступа персонала к защищаемым ресурсам на всех этапах обработки.

    9.7.3. Выбор методики испытаний и инструментальных средств.

    9.7.3.1. Методика испытаний АС на соответствие требованиям защиты информации от НСД уточняется на основании результатов анализа технологического процесса обработки информации в АС

    Методика испытаний должна включать в себя перечень инструментальных средств, используемых при испытаниях и проверках данной АС.

    Методика испытаний может дополняться, уточняться и корректироваться в процессе испытаний руководителем аттестационной комиссии по согласованию с заявителем.

    9.7.3.2. В качестве тестирующих средств для проведения испытаний могут быть выбраны технические и программные средства, принятые в установленном порядке для такого рода деятельности.

    Перечень принятых тестирующих средств с описанием их возможностей и местонахождения хранится в органе по аттестации объектов информатики и предоставляется для ознакомления заинтересованным сторонам.

    9.7.3.3. При отсутствии необходимых тестирующих средств они могут быть специально разработаны в период проведения аттестационных испытаний. Возможность их применения при испытаниях подтверждается председателем аттестационной комиссии и согласовывается с заявителем. После окончания испытаний документация на эти тестирующие средства прилагается к протоколам испытаний и отсылается в орган по аттестации.

    9.7.4. Испытания подсистемы управления доступом.

    9.7.4.1. Проверка правильности идентификации объектов доступа в АС проверяется путем обращения к ним субъектов доступа по идентификаторам объектов. Обращение должно осуществляться однозначно только к данному объекту.

    Объекты доступа определяются в соответствии с РД Гостехкомиссии России «Автоматизированные системы Защита от НСД к информации. Классификация АС и требования по защите информации» и актом классификации АС.

    9.7.4.2. Проверка правильности идентификации субъектов доступа проверяется путем обращения субъектов доступа АС к объектам доступа при помощи штатных средств.

    При обращении должна проводиться проверка принадлежности предъявленного субъектом идентификатора множеству всех зарегистрированных в АС идентификаторов субъектов.

    Если субъект доступа предъявляет идентификатор, не известный системе, то средства управления должны прекращать процесс предоставления доступа.

    9.7.4.3. При подтверждении подлинности (аутентификации) проверяется действительная принадлежность субъекту доступа предъявленного им идентификатора.

    В качестве идентификатора могут быть использованы, например, биометрические признаки субъекта, специальные устройства (магнитная карточка, жетон и т.д.), пароль временного действия.

    9.7.4.4. При проверке надежности аутентификации должна оцениваться вероятность подбора или несанкционированного получения (хищения) секретного (личного) признака или устройства посторонним субъектом доступа за период действия этого признака (устройства).

    9.7.4.5. Правильность определения системой полномочий и предоставления доступа субъектам по отношению к объектам проверяется следующим образом.

    По описанию применения СЗИ выявляются виды полномочий (читать, изменять, выполнять, передавать и т.д.), по которым различаются права субъектов на доступ к объектам. Проверяется правильность предоставления доступа в соответствии с установленными правами субъектов по отношению к конкретным объектам.

    9.7.4.6. Управление потоками информации осуществляется на основании сопоставления меток конфиденциальности объектов доступа. Необходимо проверить наличие меток конфиденциальности на всех информационных объектах доступа. Метки конфиденциальности (грифы) должны быть ранжированы по важности помечаемой информации.

    9.7.4.7. Наличие и надежность средств управления потоками информации в АС проверяется путем моделирования информационных потоков в реальном технологическом процессе по всем выявленным средствам перемещения информации. В АС должен блокироваться перенос информации с более высоким уровнем конфиденциальности на объекты с меньшим уровнем.

    9.7.5. Испытания подсистемы регистрации и учета.

    9.7.5.1. Регистрация и учет событий, определенных требованиями по безопасности информации к установленному классу АС, должны производиться на всех этапах технологического процесса хранения и обработки конфиденциальной информации. Регистрация должна охватывать все события, определенные указанным РД Гостехкомиссии России для АС установленного класса.

    9.7.5.2. Для проверки необходимо при помощи стандартных средств АС просмотреть результаты регистрации всех действий, которые были произведены с защищаемыми ресурсами при проверках по п. 7.4 данных рекомендаций. Должны быть зарегистрированы все требуемые события с требуемыми параметрами регистрации.

    9.7.5.3. Для проверки регистрации изменения полномочий субъектов доступа необходимо произвести эти изменения при помощи средств СЗИ и просмотреть результаты регистрации.

    9.7.5.4. Для проверки процедуры автоматического учета создаваемых, инициируемых защищаемых информационных ресурсов необходимо смоделировать создание (инициацию) защищаемого носителя информации на тех этапах технологического процесса, где используются СВТ.

    При помощи средств СЗИ просматриваются результаты учета. Должны быть автоматически учтены все созданные (инициированные) защищаемые информационные ресурсы с требуемыми параметрами учета.

    9.7.5.5. Проверяется ведение учета всех защищаемых носителей информации, осуществляемого вручную персоналом, путем проверки технологических инструкций, степени ознакомления с ними конкретных исполнителей, проверки правильности ведения карточек и журналов учета.

    9.7.5.6. Проверка средств очистки (обнуления, обезличивания) освобождаемых областей оперативной и внешней памяти ЭВМ осуществляется путем записи в область памяти пользователем некоторой определенной информации, фиксирования конкретного физического адреса области, освобождения области данным пользователем, попытки считывания информации из данной области по зафиксированному адресу и сравнения считанного с первоначально записанной в эту область информацией. При нормальной работе средств очистки освобождаемых областей памяти ранее записанная информация должна отличаться от считанной.

    9.7.5.7. Проверка средств сигнализации попыток нарушения защиты осуществляется путем моделирования несанкционированных обращений к защищаемым объектам доступа и отслеживания появления определенных сигналов в местах интерфейса с администратором системы защиты и нарушителем.

    9.7.6. Испытания подсистемы обеспечения целостности.

    9.7.6.1. Проверка подсистемы обеспечения целостности СЗИ от НСД проводится по перечню функций, определенных указанным РД Гостехкомиссии России для данного класса АС.

    9.7.6.2. Надежность функций контроля целостности программных средств может быть проверена при помощи внесения изменений в отдельные программы или их подмены. При этом отслеживается реакция системы защиты на произведенные нарушения.

    9.7.6.3. При проверке обеспечения неизменности программной среды определяется наличие и работоспособность технологии внесения новых программных средств в операционную среду, предусматривающую процедуры экспертной оценки или верификации новых программных средств для выявления потенциально опасных для СЗИ программных функций, критерии санкционирования ввода программ в операционную среду и допуска определенных категорий пользователей к этим программам.

    Проверяется наличие и работоспособность средств и мер предотвращения несанкционированного ввода программ в операционную среду.

    9.7.6.4. По результатам анализа технологического процесса обработки и хранения конфиденциальной информации в АС проверяется выполнение требований по физической охране средств АС и носителей информации в АС, пропускному режиму и оборудованию помещений необходимыми защитными средствами.

    Проверяется наличие в системе администратора системы защиты информации, оценивается его уровень подготовленности и степень оснащения его рабочего места необходимыми средствами оперативного контроля и сопровождения СЗИ.

    9.7.6.5. Проверяется наличие и работоспособность средств периодического тестирования всех функций СЗИ НСД, наличие графика проведения тестирования. Средства тестирования должны давать однозначную информацию о всех функциях СЗИ НСД, предусмотренных требованиями к данному классу АС.

    9.7.6.6. Приводится выборочная проверка используемых в системе программных средств на наличие компьютерных вирусов.

    9.7.6.7. Проверяется наличие и работоспособность технологии восстановления программных средств защиты информации в АС, ведения архива программных средств защиты, условия и периодичность их обновления и тестирования.

    Автоматическое оперативное восстановление функций СЗИ НСД при сбоях проверяется путем моделирования сбойных ситуаций и последующей проверки (тестирования) функций СЗИ НСД.

    9.7.6.8. Если для данного класса АС требуется наличие сертифицированных средств защиты, проверяется наличие таких сертификатов соответствия, а также установленные в них классы защищенности.

    9.7.7 Рекомендации по результатам испытаний.

    Комиссия может рекомендовать следующие меры по устранению недостатков:

    • применение дополнительных организационно-технических мероприятий по защите информации;

    • доработка организационно-распорядительной документации;

    • применение дополнительных сертифицированных средств защиты информации;

    • исключение отдельных программных средств из состава АС.

    10. Подготовка отчетной документации

    10.8.1. Результаты аттестационных испытаний объекта ВТ по всем рассмотренным выше направлениям обеспечения безопасности информации оформляются протоколом испытаний.

    На основании подученных результатов испытаний принимается заключение, которое должно включать:

    • оценку соответствия объекта ВТ требованиям по безопасности информации;

    • вывод о возможности выдачи «Аттестата соответствия»;

    • перечень выявленных недостатков и нарушений;

    • рекомендации по устранению выявленных недостатков и нарушений.

    11. Методика аттестационных испытаний выделенных помещений по требованиям безопасности информации

    11.1 Общие положения

    Настоящая методика определяет условия и порядок проведения аттестационных испытаний выделенных помещений ООО «Солнышко» на соответствие требованиям по безопасности информации.

    Объектом аттестационных испытаний являются выделенные помещения второй и третьей категории расположенные в кабинетах административного здания ООО «Солнышко»

    Целью аттестационных испытаний ВП ООО «Солнышко» является оценка соответствия данных объектов информатизации требованиям руководящих документов по защите информации.

    11.2 Условия и порядок проведения аттестационных испытаний

    Испытания проводятся в эксплуатационных режимах работы объекта информатизации с использованием тестирующих технических средств.

    Для проведения испытаний выделенных помещений заявитель представляет аттестационной комиссии следующие исходные данные и документацию:

    • оформленный технический паспорт на объект информатизации (в соответствии с приложением №1 СТР-К);

    • акт категорирования защищаемых помещений;

    • план контролируемой зоны предприятия (учреждения);

    • перечень защищаемых ресурсов с документальным подтверждением максимальной степени секретности обсуждаемых в выделенном помещении вопросов;

    • инструкции по эксплуатации средств защиты информации;

    • предписания на эксплуатацию технических средств и систем;

    • протоколы специальных исследований технических средств и систем;

    • акты или заключения о специальной проверке технических средств;

    • сертификаты соответствия требованиям безопасности информации на средства и системы обработки и передачи информации, используемые средства защиты информации;

    • данные по уровню подготовки кадров, обеспечивающих защиту информации;

    • данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;

    • данные о наличии нормативной и методической документации по защите информации и контролю эффективности защиты.

    Аттестационные испытания проводятся в следующем порядке:

    • проверка на соответствие организационно-техническим требованиям по защите информации;

    • испытания на соответствие требованиям по защите информации от утечки по каналам ПЭМИН;

    • проверка выполнения требований по защите информации от утечки за счет специальных электронных устройств перехвата информации;

    • подготовка отчетной документации.
    1   2   3   4


    написать администратору сайта