Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014

Внимание! Если размещение файла нарушает Ваши авторские права, то обязательно сообщите нам

специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

Аттестация проводится органом по аттестации в установленном законодательством порядке в соответствии с программой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:

•анализ исходных данных по аттестуемому объекту информатизации;

•предварительное ознакомление с аттестуемым объектом информатизации;

•проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;

•определение (уточнение) угроз безопасности информации и модели вероятного нарушителя применительно к конкретным условиям функционирования объекта;

•разработка программы и методик проведения аттестационных испытаний и согласование с Заказчиком;

•проверка объекта информатизации на соответствие органи- зационно-техническим требованиям по защите информации;

•определение технических средств и систем, для которых рекомендуется проведение специальных лабораторных испытаний и специальных проверок (проведение работ осуществляется по решению руководителя организации Заказчика);

•проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;

•проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертифи-

кации средств защиты информации по требованиям безопасности информации;

•проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;

•подготовка отчетной документации по результатам аттестационных испытаний и разработка, при необходимости, предложений по совершенствованию системы защиты информации на объекте информатизации;

•анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации, утверждение заключения по результатам аттестации, оформление «Аттестата соответствия» на объект информатизации.

При проведении аттестационных испытаний ОИ в части защиты от несанкционированного доступа (НСД) помимо общего комплекса работ специалисты-эксперты должны обладать дополнительными углубленными умениями и практическими навыками по целому ряду направлений работ, причем каждое направление работ предполагает решение ряда частных задач, требующих от специа- листа-эксперта определенных умений и практических навыков, в том числе по применению специализированных программных средств.

На рис. В.1 приведена последовательность задач, которые в дальнейшем рассматриваем в качестве основных учебно-методи- ческих задач при подготовке специалиста-эксперта.

В рамках задачи проведения инвентаризации актуального состава технических и программных средств ОИ рассматриваются следующие подзадачи:

•Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера с использованием стандартных средств операционных систем.

•Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера с использованием специализированных средств системного сканирования ПЭВМ.

•Проведение инвентаризации состава технических и программных средств локальной вычислительной сети с использованием стандартных средств операционных систем.

• Проведение инвентаризации состава технических и программных средств локальной вычислительной сети с использованием специализированных средств сетевого и системного сканирования ЛВС.

Рис. В.1. Типовые учебно-методические задачи по аттестации объектов информатизации в части защиты от НСД

•В рамках задачи сверки результатов инвентаризации с представленными исходными данными по составу технических и программных средств ОИ.

•Поиск отличий реально полученной информации от информации, заявленной в исходных данных на ОИ.

В рамках задачи поиска уязвимостей в составе и настройках системного и прикладного программного обеспечения рассматриваются следующие подзадачи:

•Контроль уязвимостей на уровне сети с использованием специализированных сетевых сканеров безопасности.

•Контроль уязвимостей на уровне операционных систем и прикладного ПО с использованием специализированных системных сканеров.

•Контроль уязвимостей на уровне СУБД с использованием специализированных сканеров баз данных.

•Контроль настроек механизмов обновления системного и прикладного ПО.

В рамках задачи контроля механизмов идентификации и аутентификации пользователей рассматриваются следующие подзадачи:

•Контроль состава и параметров учетных записей пользовате-

лей.

•Контроль настроек параметров парольной политики.

•Проверка стойкости паролей.

Врамках задачи контроля прав доступа субъектов к объектам рассматриваются следующие подзадачи:

•Проверка организации контроля доступа к объекту с использованием специализированных средств доверенной загрузки.

•Проверка организации контроля доступа к объекту с использованием стандартных средств из состава операционных систем.

•Проверка настроек разрешительной системы доступа субъектов к объектам файловых систем с использованием стандартных средств из состава операционных систем.

•Проверка настроек разрешительной системы доступа субъектов к объектам файловых систем с использованием специализированных тестирующих средств контроля доступа.

•Проверка организации контроля доступа клиент-серверных приложений к объектам баз данных.

•Проверка возможностей сетевого удаленного доступа к объектам доступа ОИ изнутри ЛВС с использованием специализированных сетевых тестирующих средств.

•Проверка возможностей сетевого удаленного доступа к объектам доступа ОИ из-за периметра ЛВС с использованием специализированных сетевых тестирующих средств.

•Проверка настроек механизмов контроля доступа специализированных средств защиты информации от несанкционированного доступа для автономных ПЭВМ.

•Проверка настроек механизмов контроля доступа специализированных сетевых средств защиты информации от несанкционированного доступа.

•Проверка установленных прав и привилегий пользователей при работе в системе.

•Контроль доступа к съемным носителям информации с использованием специализированных средств.

•Контроль настроек средств межсетевого экранирования.

•Контроль возможности обхода механизмов доверенной загрузки системы.

В рамках задачи контроля подсистем регистрации и учета (аудита) рассматриваются следующие подзадачи:

•Проверка настроек стандартных параметров аудита операционных систем. Анализ работы подсистем аудита на основе записей

всистемных журналах аудита.

•Проверка настроек параметров аудита для коммуникационного оборудования. Анализ работы подсистем аудита коммуникационного оборудования на основе записей в соответствующих LOG-файлах.

•Проверка настроек параметров аудита специализированных средств защиты информации от несанкционированного доступа. Анализ работы подсистем аудита специализированных средств защиты информации от несанкционированного доступа на основе записей в журналах аудита СЗИ от НСД.

•Проверка параметров аудита стандартных средств СУБД.

•Генерация событий, подлежащих аудиту, с применением специализированных программных средств.

•Аудит наличия остаточной информации на магнитных носителях и проверка работоспособности механизмов затирания остаточной информации.

•Контроль настроек и журналов аудита специализированных средств и подсистем обнаружения вторжений.

В рамках задачи контроля подсистемы обеспечения целостности рассматриваются следующие подзадачи:

•Проведение операций контрольного суммирования установленного программного обеспечения и специализированных средств защиты информации от несанкционированного доступа.

•Проверка настроек и работоспособности механизмов контроля целостности компонентов СЗИ от НСД и программной среды при загрузке системы и при внесении в них изменений.

•Контроль настроек и работы антивирусных средств.

•Контроль настроек и работоспособности средств резервного копирования и восстановления информации (стандартные систем-

Смотрите также:

1872
Анализ системы автоматического управления стабилизации напряжения генератора
ИздательствоЮжно-Уральский государственный аграрный университетISBNГод2006Страниц19Уровень образованияБакалавриат. Сельскохозяйственные рынки
Изучение «электротехнических» причин пожаров при расследовании и экспертизе. методические указания к выполнению лабораторных работ по дисциплине «Расследование и экспертиза пожаров». Скляров К.А., Сушко Е.А
Метрики и методы преобразования чертежа. методические указания для студентов направления Строительство. Иващенко Е.И
питание-у-пациентов-на-программном-гемодиализе»
Типы рыночных структур Республики Беларусь
Экономическая деятельность и правовое положение юридических лиц