Проверка и приведение в соответствие требованиям нормативно правовых актов и стандартов РК
Подготовка к ГТС испытаниям
Испытания объектов информатизации на соответствие требованиям информационной безопасности
В каких случаях нужна подготовка к ГТС испытаниям?
• для объектов информатизции подлежащие к обязательным испытаниям согласно статье 49 Закона Республики Казахстан «Об информатизации» от 24 ноября 2015 года № 418-V.
Подготовка к ГТС испытаниям заключается в: Анализ состояния ИБ:
- • Обследование процессов обеспечения информационной безопасности.
- • Испытание функций информационной безопасности.
- • Обследованием сетевой инфраструктуры.
- • Анализа исходных кодов.
- • Нагрузочного испытания.
Получение результатов несоответствия требовании, закрытие несоответвий.
Подготовкой и отправка заявки и требуемой документаций на прохождения.
Преимущества проведения аудита информационной безопасности:
- • полная подготовка к ГТС испытаниям;
- • соблюдение стандартов ИБ для организации и информационных систем;
- • возможность получить оценку состояния ИБ;
- • консультация (получить рекомендации для улучшения ИБ организации и информационных систем);
- • исправление несоответствия;
Подготовка к испытаниям ГТС:
1. Выбор вида работ при испытаниях:
- • Анализа исходных кодов Нагрузочного испытания
- • Обследованием сетевой инфраструктуры
- • Обследование процессов обеспечения информационной безопасности
- • Испытание функций информационной безопасности
2. Изучение объекта испытаний:
- • Техническое задание
- • Перечень программных и технических средств
- • Общая функциональная и локальная схема
- • Политика ТД по ИБ
3. Определение состояния:
- • положений процессов по управлению информационной безопасностью;
- • организации управления активами;
- • обеспечения безопасности, связанной с персоналом;
- • физической защиты оборудования и безопасности окружающей среды;
- • обеспечения надлежащего и безопасного функционирования средств обработки информации;
- • организации управления доступом к информационным ресурсам;
- • процессов разработки, внедрения и обслуживания объектов аттестации;
- • организации управления инцидентами в области информационной безопасности;
- • управления непрерывности бизнеса;
- • степени соответствия правовым требованиям;
- • системы защиты от несанкционированного доступа к информации согласно СТ РК ГОСТ Р 50739-95-2006.
4. Анализ исходного кода
Включает в себя проведение статического и динамического анализа программного обеспечения на наличие «недостатков» с применением программных средств, предназначенных для анализа исходного кода
5. Нагрузочное испытание
Включает в себя оценку соблюдения доступности, целостности и конфиденциальности объекта испытаний, выявляет параметры фактической нагрузочной способности объекта испытаний, проводится с использованием специализированных программных средств на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные
6. Настройка отслеживаний ИБ (SIEM система)
Настройка системы управления информацией о безопасности и событиями информационной безопасности.
7. Устранение несоответствий:
- • технической документации требованиям НПА и стандартов;
- • процессов ИБ функций ИБ исходного кода сетевой инфраструктуры
8. Отправка заявки для прохождения ГТС
- • подготовка 16 документов включая политику информационной безопасности;
- • заполнение анкеты-вопросника о характеристиках объекта испытаний;
- • утвержденные собственником или владельцем техническое задание или техническая спецификация;
- • исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами; копии утвержденной технической документации по информационной безопасности объекта испытаний;
- • документ, уполномочивающий заявителя собственником или владельцем подать заявку на проведение испытаний (при необходимости);
- • oтправка заявки на прохождения ГТС испытаний.
