В каком регламенте описан порядок использования инструментов тестирования сдо

Обновлено: 01.05.2024

QA, наряду с мейнтейнерами пакетов отвечает за стабильность и функциональность установленного у пользователей дистрибутива при его обновлениях.

До установки обновлений дистрибутив работает. Любое обновление — риск его обрушить. Поэтому политика QA обязана быть консервативной и даже несколько параноидальной — при малейших сомнениях должны назначаться дополнительные проверки, пакеты должны отклоняться, направляться на пересборку.

Политика QA вступает в конфликт с интересами сборщиков пакетов, желающих быстрее увидеть в репозиториях исправленную версию — конфликт этот должен быть конструктивным, приводящим к непрерывному повышению функциональности и стабильности дистрибутива.

Классификация обновлений по степени опасности

Меня не интересуют их намерения, меня интересуют их возможности — © Отто Фон Бисмарк

Классификация исходит из максимально возможного урона (полный отказ функционирования компонента), который может нанести устанавливаемое обновление. Чем выше степень опасности, тем более тщательным должно быть тестирование.

0 Критические обновления. Ядро, файловая система, система прав доступа, скрипты загрузки, systemd, glibc, dracut, grub, bash и прочие основные вещи, если удалить которые система не загрузится даже в консоли. 1 Обновления драйверов устройств, т.е. те же критические обновления, но актуальные не для всех пользователей. 2 Обновления сетевых компонентов: NetworkManager, сетевых скриптов, системы сетевой инициализации и системы обновлений. Они опасны тем, что если сеть упадет, пользователю без сети будет затруднительно получить исправленный пакет, когда мы его выпустим и установить обновление. 3 Обновления графических компонент и скриптов — X-ов, менеджера входа, графических библиотек, драйверов, perl, python — то, без чего невозможен вход в систему в графическом режиме. Т.к. обновление системы, при наличии сети, возможно и не в графике - класс опасности обновлений не самый высокий 4 Обновление пользовательских пакетов, установленных по-умолчанию в системе. Эти пакеты стоят практически у всех и их ошибки будут влиять на максимальное количество пользователей, однако они могут быть оперативно исправлены потому класс опасности не очень высокий. Туда же нужно отнести популярные программы не входящие в поставку — gimp, inkscape, audacity, vlc, kdenive, opera, chromium-browser, skype. 5 Обновление прочих пользовательских пакетов. Они затронут только тех, у кого эти программы стоят. 6 Обновление пакетов, необходимых только для сборки дистрибутива или работы с abf. Почти никому кроме нас они не интересны, потому класс опасности самый низкий.

Задача

  • Главная задача QA — поиск регрессий, то есть таких изменений в дистрибутиве, которые уменьшают его функциональность по сравнению с предыдущим состоянием.
  • Также задачей QA является внесение в багзиллу всех найденных в процессе тестирования ошибок, не относящихся к регрессиям.

Общие положения

Срок тестирования

  • Срок тестирования пакета — одна неделя, за это время служба QA должня проверить пакет и вынести заключение. Срок тестирования может быть увеличен при необходимости тестирования внешними тестерами на отсутствующих у службы QA аппаратно-программных конфигурациях, в этом случае в запросе на обновление задержка должна быть обоснована службой QA.
  • Для пакета, который нужно проверить очень срочно, сборщик должен установить приоритет Highest Critical, чтобы он выделялся красным цветом в списке. Такие пакеты рассматриваются в течение 48 часов (за возможным исключением выходных и праздничных дней).
  • Норма выработки на одного тестера QA - 20 одобренных запросов в неделю, обычно ошибки содержат 10-20% запросов, так что тестер QA в среднем обрабатывает 5 запросов в день.

Процедура тестирования

Требования к запросу на обновление

  1. QA Team тестирует пакеты-кандидаты на добавление в репозитории main/updates, non-free/updates и restricted/updates.
  2. Пакет должен быть собран в общедоступном репозитории на ABF (не _personal).
  3. Для архитектурно-зависимых пакетов должны быть представлены все поддерживаемые платформой архитектуры
  4. Описание обновления должно содержать все изменения, которые нужно протестировать.

При несоответствии запроса на обновление этим требованиям необходимо сообщить об этом инициатору запроса с помощью комментария. В случае, если до пятницы запрос не исправлен согласно требованиям, он отклоняется.

Тестирование установки пакетов

  1. Система перед тестовым обновлением должна соответствовать стандартным репозиториям, с подключенными тестингами. Это можно проверить запуском urpm-reposync из пакета urpm-tools
  2. Пакеты для тестирования устанавливаются и в графическом, и в текстовом режиме.
    1. Репозиторий подключается как репозиторий с обновлениями.
    2. Запускается стандартная процедура обновления.

    При ошибках установки или обновления пакета необходимо сообщить об этом инициатору запроса с помощью комментария. В случае, если до пятницы ошибка установки не исправлена, запрос отклоняется.

    Тестирование на функционирование и устойчивость системы после обновления

    При тестировании системы проверяется:

    При ошибках функционирования или устойчивости системы, связанной с обновлением, необходимо сообщить об этом инициатору запроса с помощью комментария. В случае, если до пятницы ошибка не исправлена, запрос отклоняется.

    Тестирование запуска и работы связанных с обновлением приложений

    1. нахождения регрессии функционала или локализации, о них сообщается инициатору запроса в комментариях к запросу на обновление.
    2. отсутствия до пятницы исправления найденной QA регрессии или обоснования мейнтейнером пакета невозможности исправления - запрос отклоняется.
    3. если пакет не имеет постоянного мейнтейнера и собирается случайным сборщиком, QA отвечает за функциональность пакета и может заблокировать обновление при её регрессии
    4. нахождения ошибок (не регрессий!) - заводится новый баг, его номер указывается в запросе на обновление.

    Тестирование изменений

    • Применяется при тестировании обновлений, изменяющих внешний вид или поведение системы.
    1. Воспроизведение особенностей внешнего вида или поведения системы ДО исправления.
    2. Воспроизведение измененных обновлений особенностей по их описанию.

    В случае если не все описанные изменения действительно присутствуют в тестируемом пакете, пакет принимается и в итоговый отчет (Advisory), вносятся только реально проведенные изменения. В случае значительного отклонения запрошенных и полученных изменений пакет может быть отклонен.


    64023. Можно ли изучать дисциплину, если в карточке дисциплины не указаны ФИО тьютора?

    (!) Полнофункциональная законченная система управления обучением.

    (?) Инструмент для организации видеоконференций.

    (?) Многопользовательская он-лайн игра.

    64024. Какие задачи не решаются системой дистанциого обучения?

    (?) Хранение и распространение учебно-методических материалов.

    (?) Обеспечение взаимодействия преподавателя , студентов и учебной администрации.

    (?) Обеспечение учебного администрирования.

    (!) Обеспечение взаимодействия студентов между собой.

    64025. Какой вид браузера можно использовать при работе с СДО РГСУ?

    (!) Любой из популярных - Internet Explorer, Google Chrome, Opera, Mozilla.

    (?) Только Internet Explorer.

    (?) Только Google Chrome.

    (?) Любой из популярных - Google Chrome, Opera, Mozilla.

    64026. Где на странице располагается кнопка авторизации в СДО?

    64027. Когда студент получает логин и пароль доступа к СДО?

    (!) При поступлении в университет.

    (?) При самостоятельной регистрации в системе.

    (?) При подтверждении куратором.

    64028. Какие информационные блоки размещаются на главной странице СДО (после авторизации)?

    64029. Какие панели используются в интерфейсе СДО?

    (?) Основное меню. Панель авторизации.


    64030. Доступ к редактированию учетной записи студента осуществляется через раздел:

    (!) Имя-Отчество слева на панеле авторизации.

    (?) Основное меню --> Карточка студента.

    (?) Основное меню --> Деканат --> Карточка студента.

    (!) На главной странице СДО.

    (?) В личном кабинете слушателя.

    64032. Может ли измениться набор информационных блоков главной страницы?

    64033. Можно ли скачать инструкцию пользователя СДО до авторизации в системе?

    64035. В каком разделе можно заказать справку?

    64036. В каком разделе можно изучить инструкцию пользователя системы?

    (?) Такой возможности не существует.

    (?) Главное меню --> Сервисы --> Техническая поддержка.

    (?) Нет такого виджета в СДО.


    64040. Доступ к учебным материалам дисциплины осуществляется через раздел:


    64041. Доступ к списку дисциплин осуществляется через раздел:

    64042. На какие списки подразделяются учебные курсы?

    (!) Завершенные.Прошедшие. Текущие. Будущие.

    (?) Неактивные. Активные. Просроченные. Завершенные.

    (?) Прошедшие. Активные. Будущие.


    64043. Карточка дисциплины состоит из следующих разделов:

    (!) Количество набранных баллов.

    (!) Название программы обучения.

    (!) Дата начала и дата окончания обучения.


    64046. Список всех назначений по дисциплине можно увидеть в:

    (!) Мои курсы --> Карточка дисциплины--Занятия.

    (?) Мои курсы --> Карточка дисциплины--Учебные материалы.

    64047. Какие существуют свойства занятий?

    64048. В каком разделе можно узнать величину максимально возможного балла за занятие?

    64049. В каком разделе размещаются дополнительные файлы для изучения?

    (!) Мои курсы --> Название дисциплины --> Материалы курса.

    (?) Мои курсы --> Название дисциплины --> Все занятия --> Дополнительные занятия.

    (?) Мои курсы --> Название дисциплины --> Все занятия --> Альтернативные занятия.

    64051. Можно ли скачать информационные ресурсы из СДО?

    (?) Зависит от настроек браузера.

    (!) Можно, если не запрещено разработчиком контента.

    64052. Файлы каких типов могут быть назначены для изучения?

    (!) *.doc, *.pdf, *.swf, *.html, *.avi, *.mp4

    (?) *.doc, *.pdf, *.sfw, *.html, *.avi, *.mp4

    (?) *.doc, *.ppf, *.swf, *.html, *.avi, *.mp4

    64053. Какие учебники могут быть назначены для изучения в СДО?

    (!) Электронный учебно-методический комплекс (ЭУМК).

    (!) Модуль электронного курса.

    (?) Учебник из читального зала РГСУ.

    (!) Учебник из электронной библиотечной системы.

    64054. Какой материал может быть использован в процессе обучения в СДО в качестве учебного контента?

    (!) Материалы в формате MS Office.

    (?) Книги в бумажном формате.

    64055. Занятие какого типа требует прикрепления файла с ответом?

    (!) Решение на проверку.

    (?) Задание на проверку.

    (?) На проверку тьютору.

    (!) Можно сформулировать вопрос.

    (!) Можно сформулировать вопрос и прикрепить файл.

    (?) Нельзя задать вопрос тьютору.

    64058. Какой тип вопроса может быть в тесте?

    (!) Вопрос с вложенными ответами.

    (?) Вопрос с ответом в виде эссе.

    64059. Возможно ли в СДО при составлении теста задать случайный порядок вопросов?

    64060. Какой результат из нескольких попыток прохождения теста передается в ведомость успеваемости?


    64061. Вебинар – это инструмент для проведения занятий в ____ режиме:

    (!) Да, если преподаватель дал на это разрешение.

    (?) Да, функция доступна всегда.

    64064. В каком разделе размещаются учебные материалы, обязательные для изучения?

    64065. Какой тип занятия отсутствует в СДО?

    64066. За какие типы занятий (обязательные для изучения) оценка выставляется автоматически СДО?

    64067. По какой системе выставляется оценка за занятия в СДО?

    64069. Выберите минимальное значение "отлично" при стобалльной системе оценки?

    64072. Может ли студент создать раздел в форуме?


    64073. Срок доступа к дисциплине ограничивается:

    (!) Датой окончания обучения по дисциплине.

    (?) Фактом выставления оценки преподавателем/тьютором.

    (?) Доступ к дисциплине открыт всегда.


    64074. Срок доступа к занятию ограничивается:

    (!) Датой и временем проведения занятия.

    (?) Фактом выставления оценки преподавателем/тьютором.

    (?) Доступ к занятию открыт всегда.

    64075. Можно ли изучать дисциплину, если в карточке дисциплины не указаны ФИО тьютора?

    (!) Можно приступать к изучению дисциплины.

    (?) Нельзя приступать к изучению дисциплины.

    (?) Дисциплина без тьютора не назначается для изучения.

    64076. После какого события закрывается возможность прикреплять файлы к занятию с типом "задание"?

    (!) С момента выставления оценки за занятие.

    (!) С даты окончания обучения, установленного для занятия.

    (!) С даты окончания обучения по дисциплине.

    (?) С момента получения ответа от тьютора.

    (!) С момента выставления оценки за занятие.

    (!) После даты окончания обучения, установленного для занятия.

    (!) После даты окончания обучения по дисциплине.

    (?) С момента получения ответа от тьютора.

    (!) Размер файла - не более 1 Гб.

    (!) Название файла - не более 100 символов.

    (!) Несколько файлов прикрепить в форме архива.

    (?) Название файла только латинскими буквами.


    64079. Выберите e-mail службы технической поддержки СДО.

    64080. В каком разделе указаны контакты Факультетов РГСУ?

    (?) Основное меню-->Контакты ФДО


    64081. Выберите номера телефонов службы тех.поддержки СДО.


    64082. Преимуществом электронного обучения является …

    (!) снижение финансовых затрат на обучение

    (?) потребность в современном компьютерном оборудовании

    (?) наличие навыков информационной культуры у пользователей

    64083. Преимуществом электронного обучения является …

    (!) обучение в удобное время

    (?) выработка навыков работы в коллективе

    (?) потребность в современном компьютерном оборудовании

    (?) выработка навыков публичного выступления


    64084. Не является преимуществом электронного обучения …

    (!) выработка навыков работы в коллективе

    (?) обучение в удобное время

    (?) обучение в удобном месте

    (?) снижение финансовых затрат на обучение


    64085. К основным принципам болонского процесса относится …

    (!) переход на двухуровневую систему обучения

    (?) обеспечение занятости населения

    (?) доступность обучения для малоимущих

    (?) обучение в удобное время


    64086. К основным принципам болонского процесса относится …

    (?) обучение в удобном месте

    (?) снижение затрат на обучение

    (?) доступность обучения для инвалидов


    64087. К основным принципам болонского процесса относится …

    (!) обеспечение трудоустройства выпускников

    (?) доступность обучения для инвалидов

    (?) обучение в удобном месте

    (?) доступность обучения для малоимущих


    64088. К уровням подготовки по болонской системе относятся …

    (?) техник Какой показатель не входит в состав оценки за практическое задание?


    64089. К уровням подготовки по болонской системе относятся …


    64090. К уровням подготовки по болонской системе относятся …

    64091. В чем заключаются выгоды присоединения к болонской системе для нашей страны?

    (!) повышение конкурентоспособности российской высшей школы на международной арене

    (?) повышение заработной платы выпускника

    64092. В чем заключаются выгоды присоединения к болонской системе для нашей страны?

    (!) рост общего культурного уровня страны

    (?) облегчение смены специальности

    (?) повышение общей компьютерной грамотности

    64093. В чем заключаются выгоды присоединения к болонской системе для нашей страны?

    (!) повышение конкурентоспособности российской высшей школы на международной арене

    (?) облегчение смены специальности

    (?) стимулирование занятия научной деятельностью


    64094. Форма обучения – это …

    (!) организованное взаимодействие преподавателя и студента

    (?) организованное взаимодействие студента и учебной администрации

    (?) способ реализации учебного процесса

    (?) взаимодействие студента и университета


    64095. Какие из перечисленных элементов не относятся к формам обучения …

    64096. Какие из перечисленных элементов не относятся к технологиям обучения?


    64097. Электронное обучение – это …

    (!) обучение с помощью Интернет и мультимедиа

    (?) обучение с помощью телевидения

    (?) обучение с помощью радио

    64098. Какие из учебных действий не являются элементами электронного обучения?

    (!) просмотр телевизионной передачи

    (?) компьютерное тестирование в присутствии преподавателя

    (?) изучение материалов электронной библиотеки

    (?) выполнение виртуальной лабораторной работы

    64099. Какие из учебных действий не являются элементами электронного обучения?

    (!) работа в социальной сети

    (?) компьютерное тестирование в присутствии преподавателя

    (?) сбор информации для доклада через поисковую систему

    (?) изучение дисциплины с помощью электронного учебника


    64100. К задачам Системы дистанционного обучения не относится …

    (!) организация социальной сети для студентов Университета

    (?) обеспечение взаимодействия участников учебного процесса

    (?) обеспечение учебного администрирования

    (?) создание, хранение и распространение учебно-методических материалов


    64101. В состав аппаратной платформы электронного обучения не входит …

    (?) серверы для обеспечения функционирования СДО

    (?) средства телекоммуникации участников учебного процесса

    (?) рабочие станции преподавателей


    64102. В состав инструментов СДО не входит …

    (?) система взаимодействия между участниками учебного процесса (?)


    64103. В состав электронного учебника не входит …


    64104. В состав электронного учебника не входит …

    (!) блок записи видеолекций

    (?) блок формирования компетенций

    64105. В состав электронного учебника не входит …

    64106. Укажите причины использования ИКТ в образовании.

    (!) экономичность образовательного процесса

    (!) быстрота передачи информации


    64107. Укажите причины использования ИКТ в образовании.

    (!) быстрота передачи информации

    (!) высокое качество образования

    64108. Укажите причины использования ИКТ в образовании.

    (!) экономичность образовательного процесса

    (!) высокое качество образования

    64109. Какие из перечисленных инструментов являются синхронными?

    64110. Какие из перечисленных инструментов являются синхронными?

    64111. Какие из перечисленных инструментов являются асинхронными?

    (!) система обмена файлами

    64112. Для широкого применения электронного обучения необходим …

    (!) хороший уровень Интернет-коммуникаций

    (!) достаточный уровень компьютерной грамотности студентов

    64113. C чем связаны основные финансовые потери для государства в процессе внедрения электронного обучения?

    (!) c обучением преподавателей и организаторов обучения

    (!) с оснащением Университета дорогостоящей аппаратурой

    64114. По прогнозам, в будущем электронное обучение будет .

    (!) одним из основных инструментов обучения

    64115. Установочная видео лекция – это …

    (!) лекция, проводимая с помощью видеоконференцсвязи в синхронном режиме

    64116. Установочная слайд-лекция – это …

    (!) предварительно записанная презентация учебного материала с аудио- и видео-сопровождением

    64117. Обратная связь студента с лектором во время установочной видео лекции осуществляется с помощью …

    64118. Дискуссия – это групповое обсуждение заранее заданной преподавателем темы с использованием …

    64119. Семинарские занятия в синхронном режиме проводятся с помощью …

    64120. Семинарские занятия в асинхронном режиме проводятся с помощью …

    64121. Основными критериями оценки реферата являются …

    (!) степень отражения литературных источников

    64122. Основными критериями оценки эссе являются …

    (!) оригинальность подхода к проблеме и аргументации

    64123. Основными критериями оценки кейс-задания являются …

    (!) навыки групповой работы

    64124. Виртуальный лабораторный практикум – это …

    (!) выполнение исследований в информационной среде с использованием математической модели объекта

    64125. Расчетное задание – это …

    (!) выполнение математических расчетов, направленных на достижение заданной цели

    64126. Кейс-задание – это …

    (!) разбор учебной конкретной ситуации
    4127. Какой показатель не ходит в состав рейтинговой оценки по дисциплине?

    (!) выполнение тренирующего тестирования

    64128. Академическая активность – это …

    (!) оценка интереса студента к изучаемой дисциплине

    64129. Какой показатель не входит в состав оценки за практическое задание?

    (!) оценка соблюдения сроков сдачи практического задания

    64130. Основными учебными материалами в электронном обучении являются …

    (!) электронные учебные курсы

    64131. Основой электронного учебного курса является …

    64132. Какой из блоков не относится к основным блокам электронного курса?

    . Что такое веб-браузер?

    (!) программа для просмотра веб-узлов

    Что такое спам?

    Что такое трафик?

    (!) суммарный объём пересылаемой информации

    Что означает расположение по релевантности для результатов поиска в поисковых системах?

    (!) в порядке уменьшения соответствия запросу

    Какой вариант запроса следует использовать в поисковой системе (Yandex, Google, Rambler) для поиска точной фразы?

    В предложенном списке укажите URL

    (?) C :\ Windows \ Web

    (?) www . microsoft . com

    (?) alexey @ chat . ru

    64139. Какое действие с папками и файлами нельзя отменить?

    (?) удаление файла с локального диска

    (?) папка будет недоступна до перезагрузки компьютера

    (?) ярлык нельзя удалить, пока не удалена папка, для которой он создан

    64141. В какую папку помещаются удаленные файлы?

    (?) в любую по выбору пользователя


    64142. Базисный минор – это минор:

    (?) окаймляющий какой-то элемент

    (!) состоящий из базисных строк и столбцов


    64143. Базисом векторного пространства является:

    (?) линейно зависимая система векторов

    (!) линейно независимая система векторов

    (?) система коллинеарных векторов

    (?) три компланарных вектора


    64144. Действия над элементами векторного пространства:

    (?) все четыре арифметические операции

    (!) сложение и умножение на число


    64145. Выберите правильный ответ

    (?) вектора линейно независимы

    (!) вектора линейно зависимы

    64148. Каждому собственному вектору соответствует:

    (!) единственное собственное число

    . Характеристическое уравнение n-ой степени может иметь:

    (!) n различных значений

    (?) n одинаковых корней


    64151. Координаты вектора, заданного в некотором базисе, при переходе к новому базису определяются по:

    (?) матрице обратной к матрице перехода


    64152. Величины, охарактеризованные числовым значением и направлением, называют:

    Новый Порядок организации и проведения работ по аттестации объектов информатизации будет способствовать обеспечению реальной безопасности ИС.

    image

    1. Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну

    2. Порядок применяется для аттестации объектов информатизации с 1 сентября 2021 года.

    Все работы по аттестации, которые будут выполняться начиная с этой даты, должны проходить в соответствии с новым Порядком. Важно, что это касается даже тех работ, которые будут проводиться в рамках уже ранее заключенных контрактов.

    3. Настоящий Порядок определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.

    4. Аттестация объектов информатизации на соответствие требованиям о защите информации (далее – аттестация) осуществляется федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации, а также лицами, заключившими контракт на создание объектов информатизации, или лицами, осуществляющими эксплуатацию объектов информатизации (далее – владельцы объектов информатизации).

    Здесь стоит обратить внимание на то, что аттестовывать объекты информатизации теперь имеют право и эксплуатирующие их организации – их в явном виде включили в состав владельцев объектов информатизации.

    5. Аттестация объекта информатизации проводится на этапе его создания или развития (модернизации) и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний).

    С одной стороны, положение очевидное. Но на практике нам приходилось сталкиваться с ситуацией, когда заказчик заявлял о необходимости аттестационных мероприятий для информационных систем, выведенных из эксплуатации. Теперь явно названы этапы жизненного цикла ИС, на которых эти испытания требуются.

    6. По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации проводится в соответствии с настоящим Порядком структурным подразделением (работниками), ответственными за защиту информации.

    7. Для проведения аттестационных испытаний органом по аттестации из числа своих работников назначается аттестационная комиссия в составе руководителя комиссии и не менее двух экспертов, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации.

    Появился четкий ответ на вопрос о минимальном количестве участников аттестационной комиссии – не менее трех.

    8. При назначении экспертов органа по аттестации должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведенных экспертами органа по аттестации.

    9. Для проведения работ по аттестации владелец объекта информатизации в качестве исходных данных представляет в орган по аттестации копии ряда документов, включая «документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).

    Новый документ однозначно определил ответственного за предоставление результатов инструментального сканирования. Это не орган по аттестации, проводящий испытания, а именно владелец аттестуемого объекта информатизации.

    10. По решению владельца объекта информатизации указанные в настоящем пункте копии документов представляются в орган по аттестации в виде электронных документов.

    Раньше орган по аттестации, как правило, принимал только бумажные варианты утвержденных документов (с подписью и печатью организации). Теперь же допустимо предоставлять их в электронном виде. Пока остался открытым вопрос о форме их заверения: требуется ли она и если да, то в каком виде? Будет ли достаточно пересылки с авторизованного почтового ящика или понадобится электронная подпись того или иного вида?

    11. Аттестационные испытания включают следующие мероприятия и работы:

    б) проверку наличия и согласования с ФСТЭК России … модели угроз безопасности информации, технического задания на создание (развитие, модернизацию) объекта информатизации или частного технического задания на создание (развитие, модернизацию) объекта информатизации (только для государственных информационных систем).

    12. Заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации направляются владельцу объекта информатизации.

    Определен крайний срок, в течение которого необходимо выслать аттестационную документацию владельцу объекта информатизации.

    13. По результатам устранения недостатков орган по аттестации повторно оформляет заключение, в которое наряду со сведениями, указанными в пункте 18 настоящего Порядка, включаются сведения об устранении владельцем объекта информатизации всех выявленных недостатков, а также делается вывод о возможности выдачи аттестата соответствия требованиям по защите информации на объект информатизации.

    В ряде случаев в номенклатуре аттестационных документов в явном виде появляется дополнительный. Как он будет называться – заключение № 2, повторное заключение?

    14. Владелец объекта информатизации в случае несогласия с выявленными органом по аттестации недостатками и выводами, содержащимися в заключении и протоколах, направляет в течение 5 рабочих дней с момента получения заключения и протоколов письменное обращение с обоснованием такого несогласия в ФСТЭК России.

    15. ФСТЭК России (территориальный орган ФСТЭК России) в течение 10 календарных дней с даты получения обращения проводит оценку документов.

    16. Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:

    а) аттестата соответствия объекта информатизации;

    б) технического паспорта на объект информатизации;

    в) акта классификации системы (сети), акта категорирования значимого объекта;

    г) программы и методик аттестационных испытаний объекта информатизации;

    д) заключения и протоколов.

    В договорах и ПМИ нужно аккуратно подходить к определению даты подписания аттестата соответствия. Особенно если есть необходимость иметь запас по времени на обработку, утверждение и отправку документации при наличии бюрократических многоэтапных, требующих различных согласований процедур внутри органа по аттестации.

    Напомним, что максимальная длительность работ по аттестации согласно положениям рассматриваемого Порядка не может превышать четырех месяцев.

    17. ФСТЭК России (территориальный орган ФСТЭК России) в течение 3 рабочих дней со дня получения от органа по аттестации документов, предусмотренных пунктом 27 настоящего Порядка, вносит сведения об аттестованном объекте информатизации в реестр аттестованных объектов информатизации.

    Самое важное новшество: вводится реестровая (централизованная) система учета выданных аттестатов соответствия на ИС. Будет очень хорошо, если этот реестр (выписка из реестра) станет общедоступным, чтобы была возможность проверить наличие и действительность аттестатов соответствия в отношении интересующих объектов информатизации.

    18. ФСТЭК России (территориальный орган ФСТЭК России) после внесения сведений об аттестованном объекте информатизации в реестр аттестованных объектов информатизации проводит экспертно-документальную оценку документов, представленных органом по аттестации в соответствии с пунктом 27 настоящего Порядка.

    Регулятор не только требует предоставлять документы по аттестованной ИС, но и будет анализировать их на предмет корректности. Очевидно, что это вызвано желанием ФСТЭК России улучшить качество проводимых органами по аттестации испытаний, что не может не радовать.

    19. Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации.

    20. Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года предоставляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).

    21. В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичных средств или заменены на аналогичные средства проводятся дополнительные аттестационные испытания.

    В случае развития (модернизации) объекта информатизации, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация…

    В явном виде определены критерии, при выполнении которых проводятся дополнительные аттестационные испытания или повторная аттестация. Остается открытым вопрос: требуется ли при проведении повторной аттестации изменять номер и дату выдачи первоначального аттестата соответствия?

    22. Действие аттестата соответствия приостанавливается ФСТЭК России (территориальным органом ФСТЭК России) в случае…

    Действие аттестата соответствия прекращается ФСТЭК России (территориальным органом ФСТЭК России) в случае…

    23. В случае утраты аттестата соответствия владелец объекта информатизации вправе обратиться в орган по аттестации с заявлением о выдаче дубликата аттестата соответствия.

    Появилась новая возможность – выдача дубликата аттестата соответствия. Из интересного: орган по аттестации не имеет права выдать его копию. По крайней мере, в новом Порядке о таком варианте ничего не говорится. Нужно учитывать, что согласно нормам делопроизводства при выдаче копии документа сохраняются номер и дата выдачи оригинального документа, а вот дубликат документа должен иметь новые реквизиты. Найдет ли этот момент отражение в реестре аттестатов ФСТЭК России – вопрос открытый.

    24. Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных им объектах информатизации, содержащие наименование объекта информатизации, адрес места его размещения, наименование владельца объекта информатизации, реквизиты выданного аттестата соответствия.

    25. Из Приложения № 1 исключена необходимость указания в техническом паспорте границ контролируемой зоны, линий связи и питания, выходящих за границы контролируемой зоны, а также инвентарных (учетных, серийных) номеров ОТСС и ВТСС, номера лицензий ПО.

    Это положение позволяет заменять СВТ на однотипные и обновлять лицензии на ПО без корректировки технического паспорта. Такая норма соотносится с бессрочным сроком действия аттестата соответствия и выполнением необходимых процедур на всех этапах жизненного цикла ИС.

    Это нововведение говорит о том, что ФСТЭК не настаивает на обязательном выполнении требований о защите ИС, не обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, от ПЭМИН, что раньше и обуславливало необходимость отображать границы контролируемых зон и проводные линии.

    26. Приложение № 4, определяющее форму аттестата соответствия объекта информатизации, вводит фиксированный формат номера аттестата соответствия.

    Раньше каждый орган по аттестации сам определял формат номера аттестата соответствия. Текущий формат фиксирует в номере: | | . Это позволит сделать номер аттестата соответствия достаточно информативным.

    Нераскрытой остается неопределенность с – должен он в обязательном порядке быть сквозным (00001, 00002, 00003) или допускается произвольное, но неповторяемое назначение номеров (00024, 01121, 00001)?

    27. Приложение № 4, определяющее форму аттестата соответствия объекта информатизации, при эксплуатации аттестованного объекта информатизации не допускает проводить обработку информации в случае обнаружения инцидента безопасности.

    Пока не очень понятно, как реализовать это на практике – например, если инцидентом является компрометация пароля в ИС непрерывного цикла или даже просто попытка его подбора. Также это положение противоречит принципу PDCA и бессрочности аттестатов соответствия.

    Будем надеяться, что данное Приложение определяет всего лишь форму (как и указано на его титуле), а не строгое указание по содержанию и данный момент возможно будет исключить из перечня ограничений на эксплуатацию ИС.

    Новый Порядок организации и проведения работ по аттестации объектов информатизации, на наш взгляд, будет способствовать обеспечению реальной безопасности ИС. Но при этом в документе есть ряд нераскрытых моментов, а также положений, которые невыполнимы в реальных условиях эксплуатации.

    Главное, чтобы последующие редакции документа учитывали и исправляли недостатки предыдущих, а сам он использовался как инструмент упорядочивания и улучшения ситуации с аттестацией объектов информатизации, а не наказания и запугивания.

    В качестве бонуса расскажем, при каких условиях новый Порядок позволит эксплуатировать ГИС даже без аттестата соответствия (пусть и не на постоянной основе).

    Существует три случая, при которых возможно запретить (временно или постоянно) эксплуатацию ГИС:

    1) вновь созданная ГИС не введена в промышленную эксплуатацию (не проведены успешные аттестационные испытания);

    2) действие аттестата соответствия приостановлено;

    3) действие аттестата соответствия прекращено.

    Первый вариант не рассматриваем – он очевиден и вопросов не вызывает.

    А далее, как говорят фокусники, следите за руками.

    То есть на этапе прекращения действия аттестата соответствия требование о прекращении эксплуатации объекта информатизации не распространяется на случай, если ранее действие аттестата соответствия было приостановлено.

    А есть ли варианты, при которых можно прийти к вышеописанному состоянию – действие аттестата соответствия было приостановлено – и при этом ГИС находилась бы в эксплуатации на законных основаниях? Давайте посмотрим.

    Если на этапе приостановления действия аттестата соответствия ГИС согласовать с ФСТЭК России и принять меры, исключающие возможность возникновения угроз безопасности информации, то даже последующее прекращение действия аттестата соответствия формально не потребует прекращения ее дальнейшей эксплуатации.

    Можно предположить, что озвученная возможность связана с необходимостью в ряде случаев продолжать эксплуатацию критичных ИС (например, ИС непрерывного цикла, обеспечивающих критичные функции, или социально значимых систем), даже если в них в определенный момент не соблюдаются все требования безопасности информации.

    В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

    Новый Порядок организации и проведения работ по аттестации объектов информатизации будет способствовать обеспечению реальной безопасности ИС.

    image

    1. Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну

    2. Порядок применяется для аттестации объектов информатизации с 1 сентября 2021 года.

    Все работы по аттестации, которые будут выполняться начиная с этой даты, должны проходить в соответствии с новым Порядком. Важно, что это касается даже тех работ, которые будут проводиться в рамках уже ранее заключенных контрактов.

    3. Настоящий Порядок определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.

    4. Аттестация объектов информатизации на соответствие требованиям о защите информации (далее – аттестация) осуществляется федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации, а также лицами, заключившими контракт на создание объектов информатизации, или лицами, осуществляющими эксплуатацию объектов информатизации (далее – владельцы объектов информатизации).

    Здесь стоит обратить внимание на то, что аттестовывать объекты информатизации теперь имеют право и эксплуатирующие их организации – их в явном виде включили в состав владельцев объектов информатизации.

    5. Аттестация объекта информатизации проводится на этапе его создания или развития (модернизации) и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний).

    С одной стороны, положение очевидное. Но на практике нам приходилось сталкиваться с ситуацией, когда заказчик заявлял о необходимости аттестационных мероприятий для информационных систем, выведенных из эксплуатации. Теперь явно названы этапы жизненного цикла ИС, на которых эти испытания требуются.

    6. По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации проводится в соответствии с настоящим Порядком структурным подразделением (работниками), ответственными за защиту информации.

    7. Для проведения аттестационных испытаний органом по аттестации из числа своих работников назначается аттестационная комиссия в составе руководителя комиссии и не менее двух экспертов, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации.

    Появился четкий ответ на вопрос о минимальном количестве участников аттестационной комиссии – не менее трех.

    8. При назначении экспертов органа по аттестации должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведенных экспертами органа по аттестации.

    9. Для проведения работ по аттестации владелец объекта информатизации в качестве исходных данных представляет в орган по аттестации копии ряда документов, включая «документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).

    Новый документ однозначно определил ответственного за предоставление результатов инструментального сканирования. Это не орган по аттестации, проводящий испытания, а именно владелец аттестуемого объекта информатизации.

    10. По решению владельца объекта информатизации указанные в настоящем пункте копии документов представляются в орган по аттестации в виде электронных документов.

    Раньше орган по аттестации, как правило, принимал только бумажные варианты утвержденных документов (с подписью и печатью организации). Теперь же допустимо предоставлять их в электронном виде. Пока остался открытым вопрос о форме их заверения: требуется ли она и если да, то в каком виде? Будет ли достаточно пересылки с авторизованного почтового ящика или понадобится электронная подпись того или иного вида?

    11. Аттестационные испытания включают следующие мероприятия и работы:

    б) проверку наличия и согласования с ФСТЭК России … модели угроз безопасности информации, технического задания на создание (развитие, модернизацию) объекта информатизации или частного технического задания на создание (развитие, модернизацию) объекта информатизации (только для государственных информационных систем).

    12. Заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации направляются владельцу объекта информатизации.

    Определен крайний срок, в течение которого необходимо выслать аттестационную документацию владельцу объекта информатизации.

    13. По результатам устранения недостатков орган по аттестации повторно оформляет заключение, в которое наряду со сведениями, указанными в пункте 18 настоящего Порядка, включаются сведения об устранении владельцем объекта информатизации всех выявленных недостатков, а также делается вывод о возможности выдачи аттестата соответствия требованиям по защите информации на объект информатизации.

    В ряде случаев в номенклатуре аттестационных документов в явном виде появляется дополнительный. Как он будет называться – заключение № 2, повторное заключение?

    14. Владелец объекта информатизации в случае несогласия с выявленными органом по аттестации недостатками и выводами, содержащимися в заключении и протоколах, направляет в течение 5 рабочих дней с момента получения заключения и протоколов письменное обращение с обоснованием такого несогласия в ФСТЭК России.

    15. ФСТЭК России (территориальный орган ФСТЭК России) в течение 10 календарных дней с даты получения обращения проводит оценку документов.

    16. Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:

    а) аттестата соответствия объекта информатизации;

    б) технического паспорта на объект информатизации;

    в) акта классификации системы (сети), акта категорирования значимого объекта;

    г) программы и методик аттестационных испытаний объекта информатизации;

    д) заключения и протоколов.

    В договорах и ПМИ нужно аккуратно подходить к определению даты подписания аттестата соответствия. Особенно если есть необходимость иметь запас по времени на обработку, утверждение и отправку документации при наличии бюрократических многоэтапных, требующих различных согласований процедур внутри органа по аттестации.

    Напомним, что максимальная длительность работ по аттестации согласно положениям рассматриваемого Порядка не может превышать четырех месяцев.

    17. ФСТЭК России (территориальный орган ФСТЭК России) в течение 3 рабочих дней со дня получения от органа по аттестации документов, предусмотренных пунктом 27 настоящего Порядка, вносит сведения об аттестованном объекте информатизации в реестр аттестованных объектов информатизации.

    Самое важное новшество: вводится реестровая (централизованная) система учета выданных аттестатов соответствия на ИС. Будет очень хорошо, если этот реестр (выписка из реестра) станет общедоступным, чтобы была возможность проверить наличие и действительность аттестатов соответствия в отношении интересующих объектов информатизации.

    18. ФСТЭК России (территориальный орган ФСТЭК России) после внесения сведений об аттестованном объекте информатизации в реестр аттестованных объектов информатизации проводит экспертно-документальную оценку документов, представленных органом по аттестации в соответствии с пунктом 27 настоящего Порядка.

    Регулятор не только требует предоставлять документы по аттестованной ИС, но и будет анализировать их на предмет корректности. Очевидно, что это вызвано желанием ФСТЭК России улучшить качество проводимых органами по аттестации испытаний, что не может не радовать.

    19. Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации.

    20. Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года предоставляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).

    21. В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичных средств или заменены на аналогичные средства проводятся дополнительные аттестационные испытания.

    В случае развития (модернизации) объекта информатизации, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация…

    В явном виде определены критерии, при выполнении которых проводятся дополнительные аттестационные испытания или повторная аттестация. Остается открытым вопрос: требуется ли при проведении повторной аттестации изменять номер и дату выдачи первоначального аттестата соответствия?

    22. Действие аттестата соответствия приостанавливается ФСТЭК России (территориальным органом ФСТЭК России) в случае…

    Действие аттестата соответствия прекращается ФСТЭК России (территориальным органом ФСТЭК России) в случае…

    23. В случае утраты аттестата соответствия владелец объекта информатизации вправе обратиться в орган по аттестации с заявлением о выдаче дубликата аттестата соответствия.

    Появилась новая возможность – выдача дубликата аттестата соответствия. Из интересного: орган по аттестации не имеет права выдать его копию. По крайней мере, в новом Порядке о таком варианте ничего не говорится. Нужно учитывать, что согласно нормам делопроизводства при выдаче копии документа сохраняются номер и дата выдачи оригинального документа, а вот дубликат документа должен иметь новые реквизиты. Найдет ли этот момент отражение в реестре аттестатов ФСТЭК России – вопрос открытый.

    24. Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных им объектах информатизации, содержащие наименование объекта информатизации, адрес места его размещения, наименование владельца объекта информатизации, реквизиты выданного аттестата соответствия.

    25. Из Приложения № 1 исключена необходимость указания в техническом паспорте границ контролируемой зоны, линий связи и питания, выходящих за границы контролируемой зоны, а также инвентарных (учетных, серийных) номеров ОТСС и ВТСС, номера лицензий ПО.

    Это положение позволяет заменять СВТ на однотипные и обновлять лицензии на ПО без корректировки технического паспорта. Такая норма соотносится с бессрочным сроком действия аттестата соответствия и выполнением необходимых процедур на всех этапах жизненного цикла ИС.

    Это нововведение говорит о том, что ФСТЭК не настаивает на обязательном выполнении требований о защите ИС, не обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, от ПЭМИН, что раньше и обуславливало необходимость отображать границы контролируемых зон и проводные линии.

    26. Приложение № 4, определяющее форму аттестата соответствия объекта информатизации, вводит фиксированный формат номера аттестата соответствия.

    Раньше каждый орган по аттестации сам определял формат номера аттестата соответствия. Текущий формат фиксирует в номере: | | . Это позволит сделать номер аттестата соответствия достаточно информативным.

    Нераскрытой остается неопределенность с – должен он в обязательном порядке быть сквозным (00001, 00002, 00003) или допускается произвольное, но неповторяемое назначение номеров (00024, 01121, 00001)?

    27. Приложение № 4, определяющее форму аттестата соответствия объекта информатизации, при эксплуатации аттестованного объекта информатизации не допускает проводить обработку информации в случае обнаружения инцидента безопасности.

    Пока не очень понятно, как реализовать это на практике – например, если инцидентом является компрометация пароля в ИС непрерывного цикла или даже просто попытка его подбора. Также это положение противоречит принципу PDCA и бессрочности аттестатов соответствия.

    Будем надеяться, что данное Приложение определяет всего лишь форму (как и указано на его титуле), а не строгое указание по содержанию и данный момент возможно будет исключить из перечня ограничений на эксплуатацию ИС.

    Новый Порядок организации и проведения работ по аттестации объектов информатизации, на наш взгляд, будет способствовать обеспечению реальной безопасности ИС. Но при этом в документе есть ряд нераскрытых моментов, а также положений, которые невыполнимы в реальных условиях эксплуатации.

    Главное, чтобы последующие редакции документа учитывали и исправляли недостатки предыдущих, а сам он использовался как инструмент упорядочивания и улучшения ситуации с аттестацией объектов информатизации, а не наказания и запугивания.

    В качестве бонуса расскажем, при каких условиях новый Порядок позволит эксплуатировать ГИС даже без аттестата соответствия (пусть и не на постоянной основе).

    Существует три случая, при которых возможно запретить (временно или постоянно) эксплуатацию ГИС:

    1) вновь созданная ГИС не введена в промышленную эксплуатацию (не проведены успешные аттестационные испытания);

    2) действие аттестата соответствия приостановлено;

    3) действие аттестата соответствия прекращено.

    Первый вариант не рассматриваем – он очевиден и вопросов не вызывает.

    А далее, как говорят фокусники, следите за руками.

    То есть на этапе прекращения действия аттестата соответствия требование о прекращении эксплуатации объекта информатизации не распространяется на случай, если ранее действие аттестата соответствия было приостановлено.

    А есть ли варианты, при которых можно прийти к вышеописанному состоянию – действие аттестата соответствия было приостановлено – и при этом ГИС находилась бы в эксплуатации на законных основаниях? Давайте посмотрим.

    Если на этапе приостановления действия аттестата соответствия ГИС согласовать с ФСТЭК России и принять меры, исключающие возможность возникновения угроз безопасности информации, то даже последующее прекращение действия аттестата соответствия формально не потребует прекращения ее дальнейшей эксплуатации.

    Можно предположить, что озвученная возможность связана с необходимостью в ряде случаев продолжать эксплуатацию критичных ИС (например, ИС непрерывного цикла, обеспечивающих критичные функции, или социально значимых систем), даже если в них в определенный момент не соблюдаются все требования безопасности информации.

    В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

    Читайте также: