9. Стадия приемки и ввода в действие

9.1. Основными задачами на стадии приемки и ввода в действие в части обеспечения ИБ являются:

- контроль развертывания компонентов АБС в информационной инфраструктуре организации БС РФ, используемой для реализации банковских технологических процессов (далее - промышленная или производственная среда);

- проведение опытной эксплуатации;

- устранение недостатков в реализации требований ЧТЗ на подсистему ИБ АБС;

- проведение приемочных испытаний.

9.2. Для контроля развертывания компонентов АБС в промышленной среде рекомендуется:

- обеспечить контроль корректности версий и целостности специализированных банковских приложений при передаче из среды разработки и тестирования в промышленную среду;

- обеспечить контроль выполнения требований проектной и эксплуатационной документации в части размещения и установления параметров настройки технических защитных мер, реализации организационных защитных мер, определения и назначения ролей.

9.3. Опытную эксплуатацию АБС рекомендуется проводить с учетом положений ГОСТ 34.603-92.

9.4. В рамках проведения опытной эксплуатации в части обеспечения ИБ рекомендуется проведение проверки корректности функционирования подсистемы ИБ АБС в промышленной среде, а также проверки возможности реализации на этапе эксплуатации положений проектной и эксплуатационной документации в части:

- контроля эксплуатации технических защитных мер, включая правила их обновления, управления и контроля параметров их настройки;

- контроля реализации организационных защитных мер;

- требований к кадровому обеспечению подсистемы ИБ АБС.

9.5. Дополнительно в рамках проведения опытной эксплуатации рекомендуется проведение комплексной оценки защищенности, включающей проведение:

- тестирования на проникновение;

- выявления известных уязвимостей компонентов АБС.

Комплексную оценку защищенности рекомендуется проводить без уведомления персонала, задействованного в опытной эксплуатации АБС, что среди прочего позволит оценить готовность персонала к выполнению требований документов организации БС РФ в части реагирования на инциденты ИБ.

Рекомендации к проведению оценки защищенности приведены в приложении 3 к настоящему документу.

9.6. По результатам опытной эксплуатации рекомендуется:

- документально зафиксировать состав выявленных недостатков в реализации подсистемы ИБ АБС;

- по каждому недостатку провести оценку рисков и принять решение о возможности их устранения на стадии эксплуатации;

- составить планы устранения недостатков в реализации подсистемы ИБ АБС;

- провести мероприятия по устранению критичных с точки зрения обеспечения ИБ недостатков в реализации подсистемы ИБ АБС.

9.7. После устранения недостатков в реализации подсистемы ИБ АБС рекомендуется принятие решения о составе и необходимости проведения мероприятий по повторному тестированию и опытной эксплуатации АБС и (или) ее компонентов с учетом выполненных доработок и уровня критичности устраняемых недостатков.

9.8. По результатам опытной эксплуатации рекомендуется рассмотреть необходимость доработки проектной и (или) эксплуатационной документации и в случае необходимости выполнить такую доработку.

9.9. После устранения критичных недостатков в реализации подсистемы ИБ АБС, выявленных в ходе опытной эксплуатации, проводятся приемочные испытания. Определение состава и порядка проведения приемочных испытаний рекомендуется осуществлять с учетом положений ГОСТ 34.603-92.

9.10. Приемочные испытания проводятся на основе результатов предварительных испытаний, опытной эксплуатации и результатов устранения критических недостатков, выявленных на стадии опытной эксплуатации. Кроме того, в рамках приемочных испытаний могут проводиться выборочные мероприятия по тестированию функций обеспечения ИБ, предусмотренные к проведению в рамках предварительных испытаний.