Тексеру жүргізу шарты мен тәртібі
1 ГОСТ 19.105 стандартына сәйкес, программалық құжат түрлі деректер тасымалдағыштарында ұсынылу керек, мынадай бөлімдерден тұрады: титул парағы, ақпараттық бөлім, негізгі бөлім, өзгерістер тіркеуі. ГОСТ 19.202 стандартына сәйкес спецификация мен бастапқы бөлімдердің болуы тексеріледі. ГОСТ 19.102 стандартына сәйкес, әзірлеу стадиялары, жұмыс кезеңдері мен мазмұны тексеріледі. ГОСТ 19.103 стандартына сәйкес программалар мен программалық құжаттардағы белгілеулер тексеріледі. ГОСТ 19.201 сәйкес техникалық тапсырма тексеріледі. Баспадан шыққан құжаттарға қойылатын талаптар ГОСТ 19.106 стандартымен орнатылады. Бұл стандарт есептеу машиналары, кешендері және жүйелері үшін программалық құжаттарды орындау ережелерін орнатады (олардың қолданылу салаларына тәуелсіз). Программа түрі, программалық және эксплуатациялық құжат түрі ГОСТ 19.101 стандарты бойынша орнатылады. ГОСТ 19.104 стандартына сәйкес программалық құжаттардағы негізгі жазба, оның формасы, өлшемі, толтыру тәртібі, титул парағының толтырылу тәртібі тексеріледі. Өзгерістер енгізудің жалпы тәртібі ГОСТ 19.603 стандартына сәйкес тексеріледі ГОСТ 19.604 стандартына сәйкес программалық құжаттарға (басылып шыққан формасы) өзгерістер енгізу тексеріледі. Программалық құжаттарды тіркеу, сақтау, көшірмесін алу, және т.б. үрдістер ГОСТ 19.601 және 19.602 стандарттарына сай жүзеге асырылады. ГОСТ 19.502 стандарты бойынша «Қолдану сипаттамасы» программалық құжатының құрамы мен мазмұны тексеріледі. ГОСТ 19.501. стандартына сәйкес «Формуляр» программалық құжаты тексеріледі. Программаның баяндалуы ГОСТ 19.402 бойынша тексеріледі. Осылайша, бір программаны жазуда оған қойылатын талаптарды, олардың орындалуын, рәсімделуін, қолданылуын анықтау үшін бірнеше стандарттардың қолданылатынына көз жеткізуге болады. Ақпаратты қорғауда қолданылатын шифрлау алгоритмдерін әзірлеген кезде де, программа қолданысқа жарамды болу үшін оны заңды құжаттандыру өте маңызды. Ал заңды құжаттандыру үшін жазылған программа белгілі бір стандартқа сай болу керек. Оны құжаттандыру, рәсімдеу өз алдына бір үлкен жұмыс. Осы мақсатта көптеген басқа да стандарттарды білген жөн. Олардың қатарында: ҚР СТ ГОСТ Р 51275-2006 - Ақпараттану нысаны. Ақпаратқа әсер ететін факторлар, ҚР СТ ГОСТ Р 50739-2006 - Ақпаратқа рұқсатсыз қол жеткізуден қорғау, ҚР СТ ГОСТ Р 51188-2007 - Бағдарламалық құралдарды компьютерлік вирустардың болуына сынаулар. Жалпы талаптар, ҚР СТ 1695-2007 - Ақпараттандыру нысандарын және есептеу техникасы құралдарын аттестаттау, ҚР СТ 34.023-2006 - Ақпараттық технология. Қауіпсіздік талаптарына ақпарттық жүйелердің сәйкестігін бағалау әдістемесі, ҚР СТ ГОСТ Р ИСО/МЭК 15408-1-2006 - Ақпараттық технология. Қауіпсіздікті қамтамассыз ету әдістері мен құралдары ақпараттық технологиялардың қауіпсіздігін бағалау өлшемдері. 1 бөлім. Кіріспе және жалпы үлгі, ҚР СТ ГОСТ Р ИСО/МЭК 15408-2-2006 - Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары ақпараттық технологиялардың қауіпсіздігін бағалау өлшемдері. 2 бөлім. Қауіпсіздіктің атқарымдық талаптары, ГОСТ Р 52447-2005 – «Защита информации. Техника защиты информации. Номенклатура показателей качества» стандарттары бар.
Негізгі әдебиеттер: 1[75-88], 2[35-90], 3[54-120], 11[311-388], 13[127-150]. Қосымша әдебиеттер: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11. Бақылау сұрақтары: 1. ҚР СТ 34.012-2002 стандартының қолданылу саласы қандай? 2. Бағдарламалық құралдарды сертификаттау не үшін керек? 3. Салымдық элементтердің болмауы дегенді қалай түсінесіз? 4. Ақпараттық жүйенің атқарылатын бағдарламалық кодтары деген не? 5. Бағдарламаны сынақтан өткізу үшін қандай материалдар керек? 6. Программалық құжаттарды қандай мақсатта тексеруден өткізеді? 7. Стандартта қандай басқа стандарттарға сілтеме жасалған? 8. МЕСТ ИСО 9127:94 стандартының қолданылу саласы? 9. Программалық қамтаманы және оған кіретін программалық құжаттарды дайындау үшін қандай бастапқы деректер қажет? 10. ГОСТ 19.202 стандартына сәйкес не тексеріледі? Дәріс 14. ISO 17799 – ақпараттық қауіпіздікті басқарудың халықаралық стандарты. ISO/IEC 17799:2005 стандарты Бірнеше жыл бұрын Британдық стандарттар институты (BSI) келесі Shell, National Westminster Bank, M3dland Bank, Unilever, British Telecommunicatios және тағы басқа коммерциялық ұйымдармен бірігіп ақпараттық қауіпсіздендіру стандартын құрастыруға кірісті. 1995 жылы BS7799 ұйымның қызмет саласынан тәуелсіз ақпарат қауіпсіздігін басқарудың халықаралық стандарты қабылданды. Қауіпсіздендіру қызметі, ақпараттық технологиялар бөлімі, ұйымның басшылары бәрі ортақ регламентке сәйкес жұмыс істейді. Британдық стандартты 27 мемлекетте қолданады. 2000 жылы халықаралық стандарт институты ISO британдық BS7799 стандарты базасында халықаралық менеджмент қауіпсіздігі - ISO/IEC 17799 стандартын құрастырып шығарды. ISO 17799 стандартының негізгі бөлімдері: 1. Қауіпсіздік саясаты. 2. Қауіпсіздікті қамтамасыз етудің ұйымдастыру шаралары - ақпараттық қауіпсіздік туралы форумдарды басқару; - ақпараттық қауіпсіздендірумен байланысты сұрақтарды үйлестіру; - қауіпсіздікті қамтамасыз ету үшін жауапкершілікті бөлу. 3. Ресурстарды басқару мен жіктеу - ресурстарды түгендеу; - ресурстарды жіктеу. 4. Қызметкерлер қауіпсіздігі - қызметкерлерді таңдау мен жұмыс істеу уақытындағы қауіпсіздік; - қауіпсіздік сұрақтарына байланысты қызметкерлерге тренингтер өткізу; 5. Физикалық қауіпсіздік 6. Процесстер мен коммуникацияларды басқару - жұмыс процедуралары мен жауапкершілік; - жүйелік жоспарлау; - арам ниетті программалардан (вирустар, троян аттар) қорғауды қамтамасыз ету; - ішкі ресурстарды басқару; - желілерді басқару; - деректер тасымалдағыштарының қауіпсіздігі; - ақпаратты және программалық қамтаманы жіберу. 7. Қол жеткізуді бақылау 8. Қол жеткізуге бизнес талаптары. 9. Қолданушының қол жеткізуін басқару. 10. Қолданушылардың жауапкершілігі. 11. Қашықтан (желілік) қол жеткізуді басқару және бақылау. 12. Оперциялық жүйеге қол жеткізуді бақылау. 13. Қосымшаларға қол жеткізуді бақылау мен басқару. 14. Жүйелерді қолдану және қолжеткізу мониторингі. 15. Мобильдік қолданушылар. 16. Есептеу жүйелерді құрастыру мен техникалық қамтамасыз ету. - жүйелердің қауіпсіздік талаптары; - қосымшылардың қауіпсіздігі; - криптография; - жүйелік файлдар қауіпсіздігі; - құрастыру процесстерінің қауіпсіздігі. 17. бизнестің үздіксіздігін басқару: - бизнесті үздіксіз жүргізу процесстерін басқару; - істерді талдау мен бизнестің үздіксіздігі; - бизнесті үздіксіз жүргізу жоспарын құру мен енгізу; - бизнесті үздіксіз жүргізу жоспарын тестілеу, қамтамасыз ету және қайта баға беру. 18. Жүйенің негізгі талаптарға сәйкес келуі - заң шығару талаптарына сәйкес келуі; - қауіпсіздік саясатына сәйкестігін талдау; - техникалық талаптарға сәйкестігін талдау; - жүйелік аудит талаптарына сәйкестігін талдау. ISO 17799 стандарты бойынша сәйкес сертификатын алу келесі «формальды емес» артықшылықтарды береді: аудит өткізгеннен кейін ұйымның ақпараттық жүйесі менеджментке айқынды болады, бизнес-процестеріне деген негізгі қауіпсіздікке қауіптер шығады, шыққан қауіптерге қарсы және қауіпсіздік жүйесіндегі мен басқарудағы кемшіліктерден қорғау үшін ағымды қорғау деңгейін көбейіне кепілдемелер құрастырылады. Соның нәтижесінде үйымға ақпараттық қауіпсіздендіруді басқару жүйесіне қорғау деңгейін жоғарылату үшін және стандартқа сәйкес келу үшін өзгерістер енгізуге арналған кешенді жоспар қарастыруға беріледі. ISO 17799 стандарты бойынша сәйкестік сертификатын алу үшін ұйым ақпараттық қауіпсіздікке байланысты аудиттен өту керек, ақпараттық жүйені стандарт сәйкестігіне дайындау жүргізу керек, өзгерістерді енгізу керек, стандартқа сәйкестігіне қорытынды тексеруден өту керек. Ақпараттық қауіпсіздендіру сясатын тексеру және құру тапсырмасын шешу үшін келесі программалық кешендер қолданылады: Ресейдің КОНДОР программасы (Digital Security компаниясы) және британдық Cobra программасы (C&A Systems Security Ltd компаниясы). Ақпараттық қауіпсіздікті басқару жүйесі (СУИБ немесе ISMS) - бұл компанияның құпия ақпаратын қорғау мақсатында құрылған жүйе. Ол IT жүйесін, адамдарды, процестерді қамтиды. Бұндай жүйелер үшін BSI бірнеше ережелер шығарды. Бұл Халықаралық стандарт түрінде ISO\IEC 17799:2005 қабылданды. Сонымен қатар СУИБ ұйымдарының талаптарын қоятын ISO\IEC 27001 (бұрын BS 7799-2) стандарты қабылданды.
|