Приложение N 22. Программа и методика испытаний системы защиты информации "Наименование информационной системы". Приказ Министерства цифровых технологий и связи Калининградской области от 12.07.2021 N 273 "Об утверждении методических рекомендаций по обеспечению защиты информации в государственных информационных системах"

Приложение N 22
к Методическим рекомендациям

Программа
и методика ________________ испытаний системы защиты информации "Наименование информационной системы"

1. Объект испытаний

Форма Программы и методики испытаний определена для предварительных испытаний, опытной эксплуатации и приемочных испытаний. В документ могут добавляться дополнительные разделы, необходимые для проведения испытаний системы защиты информации.

Методика испытаний по тексту не приведена в связи с разнородностью объектов испытаний и невозможностью определения конкретных требований, подлежащих проверке. В методике испытаний должны быть указаны:

- содержание проверки;

- выполняемые действия, условия выполнения;

- критерии выполнения требований.

1.1. Полное наименование объекта испытаний, обозначение

Объектом испытаний является __________ (необходимо указать полное наименование системы защиты информации "Наименование информационной системы").

Сокращенное (условное) наименование объекта испытаний: ____________________ (указывается краткое наименование системы защиты информации "Наименование информационной системы").

1.2. Комплектность объекта испытаний

На испытания предъявляется ____________________ (указать сокращенное наименование объекта испытаний), в состав которого входят:

- указывается состав объекта испытаний.

Объект испытаний включает в себя компоненты непосредственно самой испытываемой системы защиты информации, а также дополнительные программно-технические средства, требуемые для проведения испытаний.

Комплектность документов, предъявляемых на испытания, приведена в разделе 3.5 настоящего документа.

2. Цель испытаний

Целью проведения испытаний системы защиты информации "Наименование информационной системы" является __________________ (указывается цель испытаний. Это может быть проверка работоспособности в определенных условиях, решение вопроса о возможности перевода системы защиты информации в опытную эксплуатацию или готовности системы защиты информации к приемочным испытаниям, др.).

При проведении испытаний системы защиты информации "Наименование информационной системы" проверяются полнота и комплектность представленной документации, состав программных и технических средств, полнота реализации функций, качество выполнения ее функций во всех режимах функционирования в соответствии с техническим заданием (далее - ТЗ) на создание системы защиты информации "Наименование информационной системы".

3. Общие положения

3.1. Перечень документов, на основании которых проводятся испытания

Испытания системы защиты информации "Наименование информационной системы" проводятся на основании следующих документов:

- приводится перечень документов, на основании которых проводятся испытания.

3.2. Место и продолжительность испытаний

Испытания проводятся на территории ____________________ (указываются адреса площадок, на которых проводятся испытания).

Продолжительность испытаний: с ___.___.20__ по ___.____.20__.

3.3. Организации, участвующие в испытаниях

Перечисляются все организации, задействованные в проведении испытаний.

3.4. Перечень ранее проведенных испытаний

Приводятся сведения о ранее проведенных испытаниях, если такие проводились. В противном случае указывается, что ранее испытания не проводились.

3.5. Перечень предъявляемых на испытания документов

Для проведения испытаний комиссии предоставляются следующие документы:

- приводится перечень документов, которые необходимо предъявить для проведения испытаний.

3.6. Подготовительные мероприятия

Перед проведением испытаний необходимо провести следующие подготовительные мероприятия:

1. Сформировать комиссию для проведения испытаний системы защиты информации "Наименование информационной системы".

2. Провести проверку наличия, пригодности и готовности средств материально-технического обеспечения, гарантирующих создание условий и режимов испытаний.

3. Обеспечить наличие необходимых дополнительных средств для проведения испытаний.

4. Осуществить резервное копирование данных, критичных для нормального функционирования "Наименование информационной системы".

Указать другие мероприятия, которые необходимо провести в качестве подготовительных мероприятий.

4. Объем испытаний

4.1. Этапы испытаний и проверок

Необходимо перечислить этапы проведения испытаний и проверки, проводимые на каждом из этапов.

Как правило, испытания проводятся в следующем порядке:

- анализ и оценка документации на систему защиты информации "Наименование информационной системы";

- фиксация объекта испытаний;

- испытания системы защиты информации "Наименование информационной системы" по согласованной и утвержденной Программе и методике испытаний;

- подготовка отчетной документации с выводами о соответствии (или несоответствии) объекта испытаний заявленным требованиям.

4.2. Последовательность проведения испытаний

Описывается последовательность проведения испытаний. Методики испытаний приводятся в приложениях к данному документу.

4.3. Работы, проводимые после завершения испытаний

После завершения всех предусмотренных проверок:

- оформляются необходимые отчетные документы в соответствии с разделом 6;

- удаляются все временные учетные записи и файлы, созданные для проведения испытаний в рамках подготовительных мероприятий.

Могут быть приведены и иные мероприятия, которые должны быть проведены после завершения испытаний.

5. Условия и порядок проведения испытаний

5.1. Условия проведения испытаний

К началу испытаний должна быть обеспечена готовность программно-аппаратных средств системы защиты информации "Наименование информационной системы" к проведению испытаний.

До начала проведения испытаний необходимо выполнение всех мероприятий по подготовке к испытаниям, предусмотренных п. 4.2 настоящего документа.

Если к началу проведения испытаний необходимые подготовительные мероприятия выполнены не полностью, то комиссия принимает решение о переносе начала испытаний на более поздний срок либо о проведении испытаний без учета выполнения заданных условий, что подлежит обязательному оформлению в протоколе испытаний.

При проведении испытаний результаты проверок записываются в протокол испытаний.

Необходимо описать условия проведения испытаний.

Отклонения от приведенного в настоящей Программе и методике испытаний порядка испытаний допускаются только при условии их предварительного согласования приемочной комиссией с обязательным последующим внесением в текст настоящей Программы и методики испытаний соответствующих изменений и дополнений.

Испытания системы защиты информации "Наименование информационной системы" проводятся в соответствии с настоящей Программой и методикой испытаний до полного их завершения вне зависимости от результатов промежуточных испытаний.

5.2. Требования к техническому обслуживанию системы защиты информации

Условия эксплуатации, а также виды и периодичность обслуживания комплексных технических средств должны соответствовать требованиям по эксплуатации, техническому обслуживанию, ремонту и хранению, изложенным в документации на средства защиты информации.

Необходимо описать требования к техническому обслуживанию системы защиты информации "Наименование информационной системы".

5.3. Требования к персоналу, проводящему испытания, и порядок его допуска к испытаниям

Персонал, участвующий в испытаниях, назначается приказом.

Допуск персонала к проведению испытаний системы защиты информации "Наименование информационной системы" разрешается только после прохождения инструктажа по технике безопасности и ознакомления с проектной и эксплуатационной документацией на систему защиты информации "Наименование информационной системы".

Персонал в ходе испытаний обязан соблюдать меры безопасности при работе с электрооборудованием.

Могут быть указаны иные требования, предъявляемые к персоналу для проведения необходимых испытаний.

5.4. Меры, обеспечивающие безопасность и безаварийность проведения испытаний

В целях обеспечения мер безопасности при проведении испытаний должны соблюдаться правила техники безопасности, предусмотренные при работе с электрооборудованием.

Организационно-технические мероприятия должны обеспечивать безаварийность работы системы защиты информации "Наименование информационной системы", безопасность обслуживающего персонала при монтаже, настройке, испытаниях.

Место расположения средств защиты информации должно быть оборудовано средствами охраны в соответствии с действующими нормативными документами.

6. Отчетность

Результаты испытаний оформляются протоколом испытаний системы защиты информации "Наименование информационной системы".

В протокол должны быть занесены сведения о результатах выполнения всех проверок системы защиты информации "Наименование информационной системы".

В случае, если испытания не были начаты или завершены в установленные сроки, данный факт должен быть зафиксирован в протоколе с указанием причин переноса сроков.

На основании протокола испытаний системы защиты информации "Наименование информационной системы" оформляется акт приемки системы защиты информации "Наименование информационной системы".

При успешном выполнении всех проверок в протоколе испытаний указывается, что система защиты информации "Наименование информационной системы" прошла испытания (указать, какие испытания) и пригодна для (указать цель проведения испытаний).

В случае, если при проведении испытаний не все проверки были выполнены успешно, комиссия принимает решение о критичности выявленных недостатков.

В случае выявления критических недостатков и невозможности приемки системы защиты информации "Наименование информационной системы" в (указать цель проведения испытаний) приемочная комиссия в протоколе испытаний системы защиты информации "Наименование информационной системы" приводит перечень необходимых доработок и рекомендуемые сроки их выполнения.

После устранения недостатков испытания проводятся повторно в порядке, установленном для проведения указанных испытаний.

В случае, если выявленные недостатки не являются критичными и не препятствуют приемке системы защиты информации "Наименование информационной системы" в (указать цель проведения испытаний), комиссия в акте указывает, что система защиты информации "Наименование информационной системы" выдержала испытания условно и принимается в (указать цель проведения испытаний) с условием проведения необходимых доработок.