📚 Hub Books: Онлайн-чтение книгРазная литератураКибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов

Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов

Шрифт:

-
+

Интервал:

-
+
1 ... 51 52 53 54 55 56 57 58 59 ... 113
Перейти на страницу:
в части сопровождения программного и аппаратного обеспечения СЭБ. Данный документ, как правило, содержит:

– общие сведения о программном обеспечении или модуле: могут быть указаны назначение и функции программного обеспечения и сведения о рекомендуемых технических и программных средствах, необходимых для функционирования данного программного обеспечения, а также минимальный состав технических средств для работы программного обеспечения;

– описание структуры программного обеспечения: могут быть приведены сведения о структуре программного обеспечения, его составных частях, связях между составными частями и связях с другим программным обеспечением;

– правила действий ответственных специалистов кредитной организации при установке модулей обновления программного обеспечения;

– описание дополнительных разделов функциональных возможностей программного обеспечения и способов их выбора;

– тексты сообщений, выдаваемых в ходе выполнения настройки, проверки программного обеспечения, а также в ходе его функционирования, описание их содержания и действий, которые необходимо предпринять в соответствии с этими сообщениями;

– описание способов детальной проверки, позволяющих дать общее заключение о работоспособности программного обеспечения (контрольные примеры, методы прогона, результаты);

– правила действий ответственных специалистов кредитной организации для устранения наиболее типичных сбоев программного и аппаратного обеспечения СЭБ;

– правила действий ответственных специалистов кредитной организации при совершении других операций, связанных с обслуживанием программного и аппаратного обеспечения информационного контура СЭБ.

Руководство пользователей программных компонентов СЭБ представляет собой документ, предназначенный непосредственно для пользователей СЭБ как вне кредитной организации (клиентов кредитной организации – физических и юридических лиц), так и внутри ее (сотрудников, в функциональные обязанности которых входит совершение определенных операций и бизнес-процедур с использованием компонентов СЭБ).

Для соответствующего программного обеспечения в составе информационного контура СЭБ такой документ может содержать следующую информацию, сгруппированную по разделам[128]:

1) в разделе «Введение»:

– область применения программного обеспечения;

– краткое описание возможностей программного обеспечения;

– требуемый уровень подготовки пользователя программного обеспечения;

– перечень эксплуатационной документации, с которой необходимо ознакомиться пользователю программного обеспечения;

2) в разделе «Назначение и условия применения»:

– виды операций, функции, для автоматизации которых предназначено данное программное обеспечение;

– условия, при соблюдении (выполнении, наступлении) которых обеспечивается применение средства автоматизации в соответствии с назначением (например, вид ЭВМ и конфигурация технических средств, операционная система и общесистемные программные средства, входная информация, носители данных, база данных);

3) в разделе «Подготовка к работе»:

– состав и содержание дистрибутивного носителя данных;

– порядок загрузки данных в программное обеспечение;

– порядок проверки работоспособности программного обеспечения пользователем;

4) в разделе «Описание операций»:

– детальное описание всех выполняемых функций, задач, комплексов задач и процедур;

– описание операций технологического процесса обработки данных, необходимых для выполнения функций и процедур.

При этом для каждой операции обработки данных могут указываться:

✓ наименование;

✓ условия, при соблюдении которых возможно выполнение операции;

✓ подготовительные действия;

✓ основные действия в требуемой последовательности;

✓ заключительные действия;

✓ ссылки на файлы подсказок, размещенные на магнитных носителях;

5) в разделе «Аварийные ситуации» – действия:

– в случае несоблюдения условий выполнения технологического процесса, в том числе при длительных отказах технических средств;

– в целях восстановления программного обеспечения или данных при отказе магнитных носителей или обнаружении ошибок в данных;

– в случаях обнаружения несанкционированного вмешательства в данные;

– в других аварийных ситуациях;

6) в разделе «Рекомендации по освоению» – рекомендации по освоению и эксплуатации, включая описание контрольного примера, правила его запуска и выполнения.

Все отмеченные выше аспекты являются основой для оценки качества организации этапа разработки СЭБ. При этом основными и минимально необходимыми являются следующие вопросы:

1. Производится ли разработка СЭБ в сроки, определенные планом на проект?

2. Имеются ли в наличии отчеты о выполнении работ, определенных планом по проекту?

3. Предусмотрен ли комплексный анализ специалистами СВК положений договора (контракта) на поставку программного обеспечения СЭБ или его части, а также иных технических средств?

4. Предусмотрен ли комплексный анализ специалистами СВК положений договора (контракта) с организацией-провайдером на предоставление услуг связи?

5. Разработаны ли проекты типовых договоров с клиентами на обслуживание посредством СЭБ?

6. Разработана ли необходимая внутренняя документация, регламентирующая обеспечение информационной безопасности и непрерывности функционирования СЭБ?

7. Внесены ли в разработочную документацию изменения, которые (при необходимости) принимались на этапе разработки?

8. Санкционированы ли куратором по ИТ или комитетом по технологиям изменения в технико-разработочную документацию на этапе разработки?

9. Разработан ли ответственными за документацию перечень необходимой эксплуатационной документации?

10. Разработаны ли следующие или подобные документы:

– инструкция по эксплуатации комплекса технических средств?

– спецификация программных средств и модулей СЭБ?

– руководство по сопровождению программного обеспечения СЭБ?

– руководство по установке и настройке?

– руководства пользователей?

11. Разработаны ли ответственными за документацию иные документы, предусмотренные перечнем эксплуатационной документации?

7.2.6. Организация (адаптация) процедур внутреннего аудита и контроля на этапе испытаний, сдачи и приемки в эксплуатацию системы электронного банкинга

Этап проведения испытаний и приемки в эксплуатацию является неотъемлемым с точки зрения организации корпоративного управления звеном в жизненном цикле любой автоматизированной системы, в том числе СЭБ.

Основной задачей данного этапа является установление соответствия разработанной СЭБ предъявляемым к ней требованиям функциональности, удобства пользовательского интерфейса, надежности, совместимости с другими банковскими автоматизированными системами, информационной безопасности и т. д., отраженным в проектной документации, в частности в описании постановки комплекса задач на СЭБ.

В зависимости от индивидуальных особенностей организации корпоративного управления в кредитной организации и от особенностей реализации СЭБ могут предусматриваться различные стадии испытаний СЭБ, такие как:

– предварительные испытания;

– опытная эксплуатация;

– приемочные испытания.

Предварительные испытания автоматизированной системы проводят для определения ее работоспособности и решения вопроса о возможности приемки в опытную эксплуатацию. Предварительные испытания следует выполнять после проведения разработчиком отладки и тестирования поставляемых программных и технических средств системы и представления им соответствующих документов об их готовности к испытаниям, а также после ознакомления персонала автоматизированной системы с эксплуатационной документацией.

Цель опытной эксплуатации автоматизированной системы – определить фактические значения ее количественных и качественных характеристик, готовность персонала к работе в условиях функционирования автоматизированной системы, фактическую эффективность системы, при необходимости внести корректировки в документацию.

Приемочные испытания автоматизированной системы проводят для определения соответствия автоматизированной системы техническому заданию, оценки качества опытной эксплуатации и решения вопроса о возможности приемки автоматизированной системы в постоянную эксплуатацию. Приемочным испытаниям автоматизированной системы, как правило, предшествует ее опытная эксплуатация в кредитной организации.

Положительной практикой является уже отмеченная многоуровневая организация испытаний СЭБ. При этом допускается дополнительное проведение других видов испытаний СЭБ или ее отдельных модулей, например на этапе разработки по соответствующим контрольным точкам плана реализации СЭБ.

Вместе с тем, учитывая индивидуальные особенности внутренней структуры и деятельности кредитной организации, отдельные виды испытаний СЭБ можно объединить в единый процесс приемочных испытаний.

Испытания могут быть автономными или комплексными. Автономные испытания охватывают части автоматизированной системы. Их проводят по мере готовности частей к сдаче в опытную эксплуатацию. Комплексные испытания проводят для групп взаимосвязанных частей автоматизированной системы или для автоматизированной системы в целом.

Вне зависимости от стадии испытаний СЭБ проверке или аттестации в ней подвергают:

– отдельный модуль СЭБ;

– СЭБ в целом;

– персонал кредитной организации, функциональные обязанности которого предполагают работу с СЭБ;

– эксплуатационную документацию, регламентирующую деятельность персонала при функционировании СЭБ.

При испытаниях СЭБ в целом рекомендуется уделять внимание:

– качеству выполнения комплексом программных и технических средств автоматических функций во всех режимах функционирования СЭБ согласно техническому заданию (описанию постановки комплекса задач) на создание СЭБ;

– знанию персоналом кредитной организации эксплуатационной документации и наличию у

1 ... 51 52 53 54 55 56 57 58 59 ... 113
Перейти на страницу:

Комментарии

Обратите внимание, что комментарий должен быть не короче 20 символов. Покажите уважение к себе и другим пользователям!

Никто еще не прокомментировал. Хотите быть первым, кто выскажется?