Помощь в подготовке

Подготовка к испытанию объектов информатизации и информационных систем

        Анализ исходных кодов объектов испытаний проводится с целью выявления недостатков программного обеспечения.
        Анализ исходных кодов включает:
        1) выявление недостатков ПО (Программное обеспечение);
        2) фиксацию результатов анализа исходного кода.
        По окончанию анализа исходных кодов, при условии его положительного результата, исходные коды объекта испытаний маркируются и сдаются в опечатанном виде на ответственное хранение в архив поставщика.

        Оценка функций объектов информатизации на соответствие требованиям информационной безопасности осуществляется с целью оценки их соответствия требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности.
        Перечень функций информационной безопасности приведен в приложении 1 к Методике (Перечень функций информационной безопасности).

        Нагрузочное испытание проводится с целью оценки соблюдения доступности, целостности и конфиденциальности объекта испытаний.
        Нагрузочное испытание проводится с использованием специализированного программного средства на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные.
        Параметры нагрузочного испытания предоставляются заявителем. При проведении нагрузочного испытания выявляется параметры фактической нагрузочной способности объекта испытаний.
        Работы по проведению нагрузочного тестирования проводятся для одного объекта испытаний по количеству вариантов точек подключений пользователей и вариантов точек подключения интеграционного взаимодействия объекта испытаний.

        Обследование сетевой инфраструктуры проводится с целью оценки безопасности сетевой инфраструктуры.
        Обследование сетевой инфраструктуры включает:
        1) оценку соответствия функций защиты сетевой инфраструктуры требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности;
        2) обследование сетевой инфраструктуры заявителя, в том числе с применением программных средств;
        3) сканирование программным средством на наличие известных уязвимостей программного обеспечения из базы общих уязвимостей и рисков;
        4) фиксацию полученных результатов испытания в отчете с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий.
        Перечень функций защиты сетевой инфраструктуры приведен в приложении 2 к Методике (Перечень функций защиты сетевой инфраструктуры).
        Работы по обследованию сетевой инфраструктуры, проводятся для каждого сегмента сети (подсети) объекта испытаний.

        Обследование процессов обеспечения информационной безопасности осуществляется с целью определения их соответствия требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности.
        Обследование процессов обеспечения информационной безопасности включает:
        1) оценку соответствия процессов обеспечения информационной безопасности требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности;
        2) фиксацию результатов оценки испытания с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости);
        3) сканирование серверов, виртуальных ресурсов и сетевого оборудования программными средствами на наличие известных уязвимостей;
        4) анализ выявленных уязвимостей на наличие ложного срабатывания и формирование рекомендаций по их устранению (при необходимости).
        Перечень процессов обеспечения информационной безопасности и их содержание приведено в приложении 3 к Методике (Перечень процессов обеспечения информационной безопасности и их содержание).

Подготовка к сертификации программного обеспечения

1. Информационная безопасность. Испытания проводятся в соответствии с требованиями стандарта СТ РК ИСО/МЭК 15408. Целью данных работ является подтверждение соответствия функций безопасности реализованных в программном обеспечении. Сертификация проводится по Оценочным уровням доверия – ОУД, с первого(ОУД1) по седьмой(ОУД7).

2. Проверка показателей качества. Оценка показателей качества программного обеспечения представляет собой совокупность операций, включающих выбор номенклатуры показателей качества оцениваемого программного обеспечения, определение значений этих показателей и сравнение их с базовыми значениями. Целью данных работ является оценка качества программного обеспечения и удобство применения для пользователя в соответствии с требованиями ГОСТ 28195.

3. Проверка средств криптографической защиты. Оценка соответствия требованиям СТ РК 1073. Средства криптографической защиты информации – программные, программно-аппаратные средства защиты информации, реализующие один или несколько криптографических алгоритмов (шифрование, выработка и проверка электронной цифровой подписи, хэширование, имитозащита) и криптографические протоколы, а также функции управления криптографическими ключами.

Использование сертификации программного обеспечения обусловлено тремя обстоятельствами – сертификация является единственным инструментом независимой оценки эффективности реализации механизмов защиты информации, решение с помощью встроенного СПО функциональных задач и обеспечение безопасности работы системы в целом, а также возможность реализации обязательных требований по обеспечению защиты информации различных уровней конфиденциальности.