Требования к проведению экспертизы результатов работ по обеспечению информационной безопасности Системы
При оказании данного вида услуг осуществляется экспертиза следующих результатов Проекта:
- Пояснительная записка к техническому проекту на СЗИ (с описанием настроек средств защиты);
- Структурная схема СЗИ;
- Спецификация СЗИ;
- Руководство администратора безопасности информации;
- Руководство администратора средств защиты информации;
- Программа и методика предварительных испытаний СЗИ;
- Программа опытной эксплуатации СЗИ;
- Программа и методика аттестационных испытаний;
- Акты о классификации Системы;
- Комплект документов для дальнейшей регистрации заказчиком Системы в реестре территориального размещения объектов контроля.
В рамках данного направления выполняются следующие проверки:
- Экспертиза соответствия результатов Проекта количественным и качественным характеристикам, заданным требованиями технического задания на СЗИ.
- Экспертиза соответствия состава и содержания результатов Проекта требованиям нормативных документов Российской Федерации по информационной безопасности, действующих на момент заключения Договора на создание ФГИС ЦС.
В рамках экспертиз выполняются следующие проверки:
- Проверка соответствия (полноты и корректности) полученных результатов Проекта количественным и качественным характеристикам, заданным требованиями технического задания на СЗИ.
- Проверка полноты и корректности формирования требований информационной безопасности в техническом задании на СЗИ, в том числе с учетом разработанной Модели угроз информации, обрабатываемой в Системе и Модели нарушителя информационной безопасности Системы.
|
|
- Проверка выполнения требований нормативно-правовой, методической и иной документации по информационной безопасности, указанной в таблице 6 раздела 9 настоящего технического задания, при формировании требований, разработке проектных решений к СЗИ, разработке и оформлении рабочей (в том числе эксплуатационной) документации на Систему.
Правила взаимодействия при проведении экспертизы
Для проведения экспертизы Исполнителю на территории Заказчика предоставляются отчетные материалы по Проекту, утвержденные Заказчиком в установленном Договором на создание ФГИС ЦС порядке.
В рамках взаимодействия и в целях обеспечения возможности сбора информации для выполнения Исполнителем работ по проведению экспертизы Заказчик обеспечивает:
- предоставление в срок до 3-х рабочих дней запрашиваемых экспертами Исполнителя материалов или информации в полном объеме при их наличии;
- доступность необходимых работников со стороны Заказчика Системы;
- проведение интервью, анкетирования и контрольных проверок с ключевыми респондентами Проекта;
|
|
- реагирование в срок до 3-х рабочих дней на запросы со стороны Исполнителя;
- доступ экспертов Исполнителя на территорию Заказчика для целей экспертизы.
Гарантийные обязательства
Период гарантийных обязательств на качество оказанных услуг по проведению экспертизы и их результата (Гарантийный период) составляет 12 (двенадцать) месяцев с даты подписания Сторонами Акта сдачи-приемки оказанных услуг.
В течение гарантийного периода Исполнитель должен безвозмездно (без каких-либо расходов со стороны Заказчика) вносить необходимый объем изменений в Заключение в целях устранения выявленных недостатков, если такие недостатки будут приняты Исполнителем. Срок внесения указанных изменений и сдачи Заказчику будет составлять не более 15 (пятнадцати) рабочих дней с даты получения Исполнителем соответствующего поручения Заказчика.
Требования к экспертному заключению
По результатам проведения экспертиз Исполнитель готовит Заключение в соответствии с требованиями, отраженными в таблице 4.
Таблица 4. Требования к содержанию Заключения экспертизы результатов Проекта
Наименование раздела/части отчета | Краткое содержание раздела/части отчета |
Оглавление | Наименование всех структурных частей документа с указанием номеров страниц, на которых размещается начало материала каждой части. Перед заголовками нумеруемых частей (разделов, подразделов) записываются их номера |
Термины и сокращения | Перечень терминов и сокращений, используемых в тексте документа, их определения и расшифровки |
Введение | - Назначение документа; - Цель проведения экспертизы; - Сроки проведения экспертизы; - Место проведения экспертизы; - Направления и объем экспертизы |
Основания для экспертизы | Реквизиты договора, на основании которого проводится экспертиза |
Участники экспертизы | - Наименование экспертной организации (Исполнителя); - Наименование организации – Заказчика экспертизы; - Ответственный за взаимодействие с Исполнителем со стороны Заказчика (ФИО, должность); - Ответственный за проведение экспертизы со стороны Исполнителя (ФИО, должность); - Состав экспертной группы Исполнителя, краткие сведения об экспертах |
Предмет экспертизы и общая характеристика объектов исследований | - Предмет экспертизы; - Наименование и краткая характеристика результатов работ по Договору на создание ФГИС ЦС (объектов исследований); - Статус объекта исследований на момент проведения экспертизы (проект, согласован, утвержден) |
Нормативная документация | - Реквизиты стандартов и регулирующих документов, используемых при проведении экспертизы |
Содержание экспертизы | - Проверки, выполненные в рамках экспертизы (номер по порядку, наименование, критерий соответствия); - Выявленные отклонения/несоответствия (по каждой проверке); - Результат экспертизы по каждой проверке (выводы о прохождении проверки) |
Результаты экспертизы | Краткие результаты экспертиз: - общее количество и процент выявленных отклонений по каждому результату (документу) в составе результата; - общие выводы по каждому результату (документу); - информация о подсистемах/системах, характеризуемых значительным количеством отклонений (узких местах) |
Рекомендуемые корректирующие мероприятия | - Рекомендуемые корректирующие мероприятия, необходимые для устранения выявленных отклонений |
Выводы по экспертизе | - Общее количество выявленных отклонений по экспертизе в целом; - Доля проверок с отклонениями в общем количестве проверок (в процентах) по экспертизе в целом; - Общие выводы по итогам экспертизы |
Подписи | Подпись, ФИО ответственного за проведение экспертизы со стороны Исполнителя, подписи экспертов. Подпись указывается при официальной передаче Заключения вместе с актом сдачи-приемки оказанных услуг по договору. В электронном виде Заключение направляется или передается Заказчику без подписи. |
|
|
|
|
Заключение должно быть выполнено на русском языке и представлено Заказчику в электронной форме на оптических носителях информации (CD-R или DVD-R), исключающих возможность изменения данных, в редактируемом виде в форматах, поддерживаемых средствами Microsoft Office 2010 и выше, или иных форматах по согласованию с Заказчиком, а также в бумажном виде в 1 экземпляре.
Дата добавления: 2018-08-06; просмотров: 209; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!