Методы проверок и испытаний, применяемые при проведении аттестационных испытаний

Методы проверок и испытаний, применяемые при проведении аттестационных испытаний

Цель: получить представление о видах и технологии проведения проверок и испытаний, проводимых органом по аттестации на объекте информатизации.

При проведении аттестационных испытаний, органом по аттестации используются следующие методы проверок и испытаний:

увеличить изображение
Рис. 9. Методы проверки и испытаний при проведении аттестационных испытаний

1. Экспертно-документальный метод предусматривает оценку соответствия системы защиты объекта информатизации установленным требованиям по безопасности информации. Сотрудниками органа по аттестации производится экспертная оценка полноты и достаточности мер по защите информации объекта информатизации. В первую очередь производится оценка наличия, достаточности и полноты организационно-распорядительной документации по защите информации, разработанной заявителем на объект информатизации.

Заявителем должна быть предоставлена, в том числе, следующая документация на объект информатизации:

• организационно-распорядительная документация на объект информатизации (приказы о назначении ответственных, инструкции администратору и пользователям, инструкции по организации парольной и антивирусной защите и прочее);
• акт классификации объекта информатизации (для автоматизированной или информационной системы);
• приказ об определении границ контролируемой зоны;
• технический паспорт объекта информатизации;
• разрешительная система доступа (матрица разграничения доступа);
• схемы заземления и электропитания объекта информатизации;
• лицензию на общесистемное и на прикладное (при наличии) программное обеспечение;
• сертификаты соответствия (при наличии) на средства вычислительной техники по требованиям стандартов Российской Федерации (по электромагнитной совместимости, по безопасности, по санитарным нормам);
• сведения о квалификации сотрудников заявителя, эксплуатирующих и обеспечивающих защиту информации на объекте информатизации и в организации;
• сертификаты соответствия требованиям по безопасности информации на средства защиты информации;
• протоколы специальных исследований технических средств, входящих в состав объекта информатизации.
• эксплуатационная документация на объект информатизации и средства защиты информации.

Также в рамках экспертно-документальной проверки производится оценка соответствия реальных условий эксплуатации объекта информатизации требованиям по размещению, монтажу, установке и настройке, а также эксплуатации технических средств, входящих в состав объекта информатизации.