Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014

Для проведения аттестации Заказчик должен предъявить органу по аттестации ряд исходных данных по объекту информатизации. Для принятия решения об аттестации объекта информатизации, органу по аттестации должны быть представлены исходные данные, не отличающиеся от реально полученной информации по аттестуемому объекту информатизации в ходе специальных проверок.

1.Изучение содержания отчета работы 1 «Организация аттестации автоматизированных систем по требованиям безопасности информации в части защиты от НСД. Проверка документа-

ции». Для выполнения этого пункта вам понадобится отчет о выполнении лабораторной работы «Организация аттестации автоматизированных систем по требованиям безопасности информации в части защиты от НСД. Проверка документации». Изучите перечень исходных данных содержащихся в этом отчете.

2.Изучение содержания отчетов работы 2 «Инвентаризация актуального состава технических и программных средств объекта информатизации с использованием штатных средств операционной системы и программного обеспечения». Для выпол-

нения этого пункта понадобятся отчеты о выполнении лабораторной работы «Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера и ЛВС с использованием стандартных и специализированных средств операционной системы». Изучите результаты инвентаризации, содержащиеся в этом отчете, а именно:

•результаты инвентаризации с помощью специализированных средств;

•результаты инвентаризации с помощью стандартных средств.

3. Поиск отличий результатов инвентаризации и информации, заявленной в исходных данных. Для выполнения этого пункта вам необходимо сверить данные отчетов, которые были изучены в пп. 1 и 2 данной работы.

4. Составление отчета с указанием отличий реально полученной информации от информации, заявленной в исходных данных на объекте информатизации. Составьте общий отчет, в

котором укажите отличия (если таковые имеются) результатов инвентаризации и представленных исходных данных на объект информатизации.

81

Тестовые задания к лабораторной работе 3

Входной контроль

1. Что такое аттестация объекта информатизации?

a)комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объект отвечает требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России;

b)комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объекту информатизации присвоен класс защищенности;

c)комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объект информатизации отвечает требованиям безопасности информации от НСД;

d)нет верного ответа.

2.Сколько групп и классов защищенности АС от НСД к информации?

a) 2 группы 6 классов; b) 3 группы 4 класса; c) 3 группы 9 классов; d) 4 группы 12 классов.

3.Что такое НСД?

a)доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами;

b)доступ к информации, не соответствующий правилам разграничения доступа, с целью получения конфиденциальной информации всевозможными способами;

c)доступ к информации, с целью получения конфиденциальной информации, при помощи специализированных средств.

4. Какие условия включает в себя третья группа классов защищенности АС от НСД к информации?

82

a)АС, в которой работает один пользователь, имеющий доступ ко всей информации АС с разными уровнями конфиденциальности;

b)многопользовательская АС, в которой одновременно обрабатывается и хранится информация разных уровней конфиденциальности;

c)АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности;

d)нет верного ответа.

5. Какие бывают методы испытаний?

a)визуальные;

b)экспертный анализ;

c)опытная эксплуатация;

d)акустические.

Выходной контроль

1.Степени секретности информации ограниченного досту-

па?

a) особой важности; b) особого доступа; c) секретно;

d) особой секретности; e) совершенно секретно.

2.К техническим средствам относятся:

a)розетки с напряжением 220 В;

b)автономный ПК;

c)принтер (локальный, сетевой);

d)межсетевой экран.

3.Что относится к общесистемному ПО? a) офисные программы;

b) антивирусные программы; c) операционные системы; d) нет верного ответа.

4.К прикладному программному обеспечению относятся: a) операционные системы;

b) офисные программы;

83

c)стандартные средства обработки информации;

d)нет верного ответа.

5. Какие данные должны содержаться в отчете об инвентаризации технических средств с использованием стандартных средств?

a)наименование ТС;

b)номер версии;

c)производитель;

d)серийный номер.

84

ПОИСК УЯЗВИМОСТЕЙ В СОСТАВЕ И НАСТРОЙКАХ СИСТЕМНОГО И ПРИКЛАДНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

В состав тематики входят четыре лабораторные работы (4–7).

Используемое учебно-лабораторное обеспечение

Лабораторное помещение на учебную группу, оснащенное компьютерным оборудованием с возможностью выхода в сеть

Internet.

Примерный состав оборудования представлен на рис. 4.1.

Рис. 4.1. Состав оборудования для исследования сканеров безопасности

Работа 4

КОНТРОЛЬ УЯЗВИМОСТЕЙ НА УРОВНЕ СЕТИ

Цель: изучение основ обеспечения защиты сетей от несанкционированного доступа и принципов работы с сетевыми сканерами безопасности.

ВВЕДЕНИЕ

Данная работа позволяет расширить практические навыки студентов в области информационной безопасности.

85