Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
– полноте содержащихся в эксплуатационной документации указаний персоналу кредитной организации по выполнению им функций во всех режимах функционирования СЭБ согласно описанию постановки комплекса задач;
– количественным и (или) качественным характеристикам выполнения автоматизированных функций СЭБ в соответствии с описанием постановки комплекса задач;
– другим свойствам СЭБ, которым она должна соответствовать согласно описанию постановки комплекса задач.
Испытания СЭБ следует проводить на стенде, подготовленном и приближенном к условиям работы подразделения-заказчика. По согласованию между подразделением-заказчиком и разработчиком возможны предварительные испытания и приемка программных средств СЭБ без стенда (с использованием технических средств разработчика), если созданы условия для получения достоверных результатов испытаний.
Допускаются последовательное проведение испытаний и последовательная сдача частей СЭБ в опытную и постоянную эксплуатацию при соблюдении установленной в техническом задании очередности ввода автоматизированной системы в действие.
В соответствии с классификацией стадий испытаний СЭБ предварительные испытания могут быть также автономными и комплексными.
Автономные предварительные испытания СЭБАвтономные предварительные испытания СЭБ следует проводить в соответствии с программой и методикой автономных испытаний, разрабатываемыми для каждой части СЭБ.
В программе автономных испытаний могут содержаться:
– перечень функций, подлежащих испытаниям;
– описание взаимосвязей объекта испытаний с другими частями СЭБ и внутрибанковскими автоматизированными системами;
– условия, порядок и методы проведения испытаний и обработки результатов;
– критерии приемки частей СЭБ по результатам испытаний.
К программе автономных предварительных испытаний может быть приложен график проведения испытаний.
Подготовленные и согласованные тесты (контрольные примеры) на этапе автономных предварительных испытаний должны обеспечить:
– полную проверку функций и процедур по перечню, согласованному с заказчиком;
– необходимую точность вычислений, установленную в описании постановки комплекса задач;
– проверку основных временных характеристик функционирования программных средств (в тех случаях, когда такие характеристики являются существенными);
– проверку надежности и устойчивости функционирования программных и технических средств.
В целях обеспечения достоверности в качестве исходной информации для теста может быть использован фрагмент реального информационного массива данных в объеме, достаточном для обеспечения необходимой достоверности испытаний.
Результаты автономных испытаний частей СЭБ следует фиксировать в протоколах испытаний. Протокол должен содержать заключение о возможности (невозможности) допуска части СЭБ к комплексным испытаниям.
В случае если проведенные автономные испытания будут признаны недостаточными либо будет выявлено нарушение требований регламентирующих документов по составу или содержанию документации, испытываемая часть СЭБ может быть возвращена на доработку, при этом назначается новый срок испытаний.
Любые испытания СЭБ должны проводиться соответствующей комиссией, состоящей из руководителей и сотрудников основных подразделений, в чьи функции входит непосредственная работа с СЭБ: подразделений информационных технологий (HT-подразделений), информационной безопасности и т. д. Состав комиссии утверждается приказом или распоряжением, которые могут содержать:
– наименование(я) принимаемой СЭБ в целом или ее частей;
– сведения о составе комиссии;
– основание для организации комиссии;
– наименование подразделения-заказчика;
– наименования организации-разработчика и организации-соисполнителя или соответствующих подразделений кредитной организации;
– описание назначения и целей работы комиссии;
– информацию о сроках начала и завершения работы комиссии;
– указание на форму завершения работы комиссии.
Комплексные предварительные испытания СЭБКомплексные предварительные испытания СЭБ проводят путем выполнения комплексных тестов. Результаты испытаний отражают в протоколе. Работа завершается оформлением акта приемки в опытную эксплуатацию.
В программе комплексных испытаний СЭБ или ее частей могут содержаться:
– перечень объектов испытаний;
– информация о составе предъявляемой документации;
– описание проверяемых взаимосвязей между объектами испытаний;
– сведения об очередности испытаний частей СЭБ;
– описание порядка и методов испытаний, в том числе состава программных средств и оборудования, необходимых для проведения испытаний, включая специальные стенды.
Для проведения комплексных предварительных испытаний должны быть подготовлены:
– программа комплексных предварительных испытаний;
– сводное заключение по автономным испытаниям соответствующих частей СЭБ и устранению ошибок и замечаний, выявленных при автономных испытаниях;
– комплексные тесты;
– программные и технические средства, соответствующая эксплуатационная документация.
В качестве исходной информации в ходе комплексных предварительных испытаний может быть использована информация, полученная на автономных испытаниях частей СЭБ.
Тесты и контрольные примеры, подготовленные для комплексных предварительных испытаний, должны:
– быть логически увязанными между собой;
– обеспечивать проверку выполнения функций частей СЭБ во всех режимах функционирования, установленных в описании постановки комплекса задач, в том числе всех связей между ними;
– обеспечивать проверку реакции СЭБ на некорректную информацию и аварийные ситуации.
Протокол комплексных предварительных испытаний должен содержать заключение о возможности (невозможности) приемки СЭБ в опытную эксплуатацию, а также перечень необходимых доработок и указание на рекомендуемые сроки их выполнения.
После устранения недостатков целесообразно проведение повторных комплексных испытаний в необходимом объеме.
Заканчиваются предварительные испытания подготовкой акта приемки в опытную эксплуатацию, который может содержать:
– наименование СЭБ (или ее части), принимаемой в опытную эксплуатацию;
– наименование документа, на основании которого разработана СЭБ;
– информацию о составе приемочной комиссии и основание для ее работы (наименование, номер и дату утверждения документа, на основании которого создана комиссия);
– указание временного периода, в котором работала комиссия;
– наименования организации-разработчика, организации-соисполнителя и организации-заказчика или соответствующих подразделений кредитной организации;
– сведения о составе функций СЭБ (или ее части), принимаемых в опытную эксплуатацию;
– перечень составляющих технического, программного, информационного и организационного обеспечения, проверяемых в процессе опытной эксплуатации;
– перечень документов, предоставленных комиссии;
– оценку соответствия принимаемой СЭБ техническому заданию или описанию комплекса задач на ее создание;
– основные результаты приемки в опытную эксплуатацию;
– решение комиссии о принятии автоматизированной системы в опытную эксплуатацию.
Опытная эксплуатация СЭБОпытную эксплуатацию СЭБ проводят в соответствии с программой, в которой могут указываться:
– условия и порядок функционирования частей СЭБ и системы в целом;
– продолжительность опытной эксплуатации, достаточная, чтобы проверить правильность функционирования СЭБ при выполнении каждой функции и готовность персонала кредитной организации к работе в условиях функционирования СЭБ;
– порядок устранения недостатков, выявленных в процессе опытной эксплуатации.
В период проведения опытной эксплуатации СЭБ необходимо поддерживать в актуальном состоянии рабочий журнал, в который заносят сведения:
– о продолжительности функционирования СЭБ;
– об отказах, сбоях, аварийных ситуациях;
– об изменениях параметров объекта автоматизации;
– о проводимых корректировках документации и программных средств;
– о наладке технических средств.
Сведения должны фиксироваться в журнале с указанием даты и ответственного лица. В журнал могут быть занесены замечания персонала кредитной организации, касающиеся удобства эксплуатации СЭБ.
По результатам опытной эксплуатации принимают решение о возможности (или невозможности) предъявления частей СЭБ и системы в целом на приемочные испытания.
Опытная эксплуатация СЭБ завершается оформлением акта о завершении опытной эксплуатации и допуске СЭБ к приемочным испытаниям.
Приемочные испытанияПриемочные испытания проводят в соответствии с программой, в которой могут указываться:
– перечень объектов, выделенных в СЭБ для испытаний, и перечень требований, которым должны соответствовать объекты (со ссылкой на пункты технического задания или описания постановки комплекса задач);
– критерии приемки СЭБ и ее частей;
– условия и сроки проведения испытаний СЭБ;
– средства для проведения испытаний;
– лица, ответственные за проведение испытаний;
– методики испытаний и обработки их результатов;
– перечень оформляемой документации.
Для проведения приемочных испытаний должна быть подготовлена следующая документация:
– техническое задание или описание постановки комплекса задач на создание СЭБ;
– акт приемки в опытную эксплуатацию;
– рабочие журналы опытной эксплуатации;
– акт завершения опытной эксплуатации и допуска СЭБ к приемочным испытаниям;
– программа и методика испытаний.
Приемочные испытания следует проводить на функционирующем оборудовании с реальными или идентичными им информационными данными.
В первую очередь приемочные испытания должны включать проверку:
– полноты и качества реализации функций при штатных, предельных, критических значениях параметров объекта автоматизации