Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014

2.Строго придерживаться рекомендованного сценария выполнения лабораторной работы.

3.Согласовать с преподавателем возможность отклонения порядка выполнения лабораторной работы от рекомендованного сценария.

4.Обращаться (при появлении потребности) за помощью к преподавателю, проводящему учебные занятия в данной учебной лаборатории.

Подготовка отчетов по лабораторным работам

При подготовке отчета по лабораторной работе необходимо:

1.Придерживаться рекомендаций указанных в практикуме.

2.Использовать рабочие материалы, полученные в процессе проведения работы.

3.Выполнить требования стандартов по оформлению отчетов (ЕСКД, ЕСПД).

4.Показать отчет преподавателю для подтверждения факта выполнения работы.

Контроль знаний

В рамках выполнения лабораторных работ рекомендуются следующие этапы и формы проведения контроля знаний:

1.Входной контроль знаний как допуск к выполнению лабораторных работ на основе тестового задания.

2.Текущий контроль за прохождением отдельных этапов выполнения каждой лабораторной работы.

3.Заключительный контроль на основе защиты отчета по каждой лабораторной работе и ответов на вопросы выходного тестового задания.

21

Работа 1

ОРГАНИЗАЦИЯ АТТЕСТАЦИИ АС ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

В ЧАСТИ ЗАЩИТЫ ОТ НСД. ПРОВЕРКА ДОКУМЕНТАЦИИ

Цель: освоение студентами практических навыков проведения подготовительного этапа контроля, а именно:

1)анализ исходных данных по аттестуемому объекту информатизации;

2)предварительное ознакомление с аттестуемым объектом информатизации;

3)проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации.

ПЛАН ПРОВЕДЕНИЯ РАБОТЫ

1.Формирование исходных данных для заявки на проведение аттестации объекта информатизации.

2.Проверка правильности подачи исходных данных.

3.Экспертное обследование рабочего стенда.

4.Составление отчета.

ФОРМИРОВАНИЕ ИСХОДНЫХ ДАННЫХ ПО ОБЪЕКТУ ИНФОРМАТИЗАЦИИ

Исходные данные (подача заявки) по аттестуемому объекту информатизации готовятся на основе следующего перечня вопросов.

1.Полное и точное наименование объекта информатизации и его назначение.

2.Характер (научно-техническая, экономическая, производственная, финансовая, военная, политическая) и уровень секретности (конфиденциальности) обрабатываемой информации определен (в соответствии с какими перечнями: государственным, отраслевым, ведомственным, предприятия).

22

3.Организационная структура объекта информатизации.

4.Перечень помещений, состав комплекса технических средств (основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация (расположенных в помещениях, где она циркулирует).

5.Особенности и схема расположения объекта информатизации с указанием границ контролируемой зоны.

6.Структура программного обеспечения (общесистемного и прикладного), используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации, используемые протоколы обмена информацией.

7.Общая функциональная схема объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации.

8.Наличие и характер взаимодействия с другими объектами информатизации.

9.Состав и структура системы защиты информации на аттестуемом объекте информатизации.

10.Перечень технических и программных средств в защищенном исполнении, средств защиты и контроля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат, предписание на эксплуатацию.

11.Сведения о разработчиках системы защиты информации, наличие у сторонних разработчиков (по отношению к предприятию, на котором расположен аттестуемый объект информатизации) лицензий на проведение подобных работ.

12.Наличие на объекте информатизации (на предприятии, на котором расположен объект информатизации) службы безопасности информации, службы администратора (автоматизированной системы, сети, баз данных).

13.Наличие и основные характеристики физической защиты объекта информатизации (помещений, где обрабатывается защищаемая информация и хранятся информационные носители).

14.Наличие и готовность проектной и эксплуатационной документации на объект информатизации и другие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность информации.

23

Рассмотрим данный перечень вопросов на примере отдельно стоящей ПЭВМ.

Легенда:

Заказчик: ОАО «ХХХ», г. Энск, Первое шоссе, д. 11. Помещение с объектом информатизации находится на втором этаже трехэтажного здания. Контроль лиц осуществляется на контрольнопропускном пункте при входе на территорию.

Составление исходных данных для формирования заявки.

1.Объект информатизации ‒ автономное автоматизированное рабочее место (АРМ) в составе: процессор Intel(R) Core(TM)2 Duo CPU E6750 2.67 ГГц 1.99 ГБ ОЗУ, монитор Samsung Sync master 740BF), который используется для обработки учебной информации; локальный принтер (HP LaserJet 2100).

2.Объект информатизации ‒ АРМ соответствует классу защищенности 3Б согласно руководящему документу «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Обрабатывается научно-техническая конфиденциальная информация.

3.Объект информатизации размещается на втором этаже трехэтажного здания в помещении 214 (рис. 1.1).

Рис. 1.1. Схема помещения 214

24

В состав комплекса технических средств входят (рис. 1.2):

•автономный ПК;

•локальный принтер.

Рис. 1.2. Автономное автоматизированное рабочее место

4.Границами контролируемой зоны является забор, расположенный по периметру территории ОАО «ХХХ» (см. рис. 1.1).

5.Структура программного обеспечения дана в табл.1.1.

Протоколов обмена информации нет, так как рассматривается автономный ПК.

6. Общая функциональная схема объекта информатизации показана на рис. 1.3.

Рис. 1.3. Общая функциональная схема объекта информатизации

25