Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014

7.Защищаемая информация циркулирует внутри данного объекта (автономного ПК) и не взаимодействует с другими объектами информатизации.

8.На автономном АРМ установлен программно-аппаратный комплекс средств защиты информации «Аккорд-NT/2000» v.3.0 с идентификаторами Touch Memory.

9.Программно-аппаратный комплекс средств защиты информации «Аккорд-NT/2000» v.3.0 является сертифицированным ФСТЭК России. Сертификат ФСТЭК России 1161/1 на комплекс СЗИ НСД «Аккорд-NT/2000» v.3.0. Выдан 31 марта 2006 г. Переоформлен 30 октября 2012 г. Действителен до 31 марта 2015 г.

10.Система защиты информации разрабатывается штатным сотрудником кафедры, на которого возлагаются обязанности администрирования и обеспечения безопасности информации данного ОИ. Сторонних разработчиков нет.

11.Служба безопасности информации отсутствует. Обязанности администрирования и обеспечения информационной безопасности возлагаются на штатного сотрудника кафедры, которой принадлежит данное помещение.

12.Задачи обеспечения информационной безопасности решаются организационными мерами. Перечень организационных мер:

• размещение АРМ в помещениях, исключающих доступ посторонних лиц;

• опечатывание системных блоков АРМ для недопущения внесения изменений в их конфигурацию;

• тщательный подбор персонала, осуществляющего эксплуатацию и обеспечение информационной безопасности АС;

• разработка документации по информационной безопасности.

13.Имеется в наличии предписание на эксплуатацию данного объекта информатизации, а также перечень основных организационных документов, обеспечивающих информационную безопасность:

• «Перечень информационных ресурсов, подлежащих защите» классифицирует защищаемую информацию по уровню конфиденциальности и уровню ценности информации (определяемой величиной возможных прямых и косвенных экономических потерь в случае нарушения ее целостности и несвоевременности представления);

26

•«Инструкция по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы». Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно указанной инструкции, которая в свой состав включает также «Список пользователей АС» и «Матрицу доступа сотрудников к ресурсам ПТК»;

•дополнения к функциональным обязанностям и технологическим инструкциям, устанавливающие требования для пользователей защищенных АРМ, по обеспечению информационной безопасности при работе в АС и ответственность сотрудников за реализацию мероприятий по обеспечению установленного режима защиты информации могут быть оформлены в виде отдельного документа или отдельных дополнений, входящих в состав «Должностных инструкций сотрудников организации»;

•«Инструкция администратора безопасности» и «Руководство пользователю АРМ» разрабатываются на основе нормативных документов с учетом принятой политики безопасности;

•«Паспорт объекта автоматизированной системы» разрабатывается на каждый защищенный объект АС, содержит сведения об аппаратных и программных решениях, применяемых на конкретном объекте АС. В состав программного обеспечения АРМ должно входить только ПО, предусмотренное в паспортах на соответствующие объекты системы;

•«Инструкция по организации парольной защиты» призвана регламентировать процессы генерации, смены и прекращения действия паролей пользователей в АС организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями;

•«Инструкция по организации антивирусной защиты» регламентирует организацию защиты АС от воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих АС, за ненадлежащее выполнение требований инструкции;

•«Регламент резервного копирования и план восстановления» определяет участников процесса резервного копирования, их роли, содержит список резервируемых ресурсов, описывает порядок соз-

27

дания и хранения резервных копий, ПО и СЗИ, а также порядок восстановления информации, ПО и СЗИ в случае необходимости.

Для формирования исходных данных для локальной сети с выходом в Internet требуется проверка наличия дополнительной документация, помимо приведенной выше:

1.Инструкция по использованию ресурсов сети Internet.

2.Инструкция пользователю по работе с сетью Internet.

3.Инструкция администратору безопасности информации при работе на выделенном рабочем месте по связи с сетью Internet.

4.Инструкция по наполнению WEB-сервера.

5.Направление работ по наполнению WEB-сервера.

МЕТОДИКА И ПОРЯДОК ПРОВЕДЕНИЯ РАБОТЫ

1. Формирование исходных данных для заявки на проведение аттестации объекта информатизации.

Сформируйте исходные данные для локально-вычислительной сети, используя пример, описанный выше в данной лабораторной работе, и рис. 1.4.

Рис. 1.4. Схема стенда для формирования исходных данных

2. Проверка правильности подачи исходных данных. Проверьте правильность формирования исходных данных и на-

личие документации на данный объект информатизации. Для этого необходимо после выполнения п. 1 обменяться полученными дан-

28

ными с соседней подгруппой, выполняющей аналогичную работу. Сделайте соответствующие отметки о правильности формирования исходных данных.

3. Экспертное обследование рабочего стенда.

Согласно исходным данным другой подгруппы проведите экспертное обследование их объекта информатизации на соответствие исходных данных реальным.

4. Составление отчета.

На основании проделанной работы необходимо составить отчет, в котором указать, соответствуют ли исходные данные и документация соответствующему объекту информатизации.

5. Учебный стенд ЛВС с выходом в Internet.

Выполните пп. 1–4 с той же легендой для локальновычислительной сети с выходом в Internet (рис. 1.5).

Рис. 1.5. Схема стенда для формирования исходных данных

29

6. Составление отчета.

Составьте аналогичный отчет (см. п. 4) для объекта информатизации (локально-вычислительная сеть с выходом в Internet).

Тестовые задания к лабораторной работе 1

Входной контроль

1.Какой основной документ устанавливает основные принципы, организационную структуру системы аттестации объектов информатизации?

a)«Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;

b)«Положение по аттестации объектов информатизации по требованиям безопасности информации»;

c)«Требования к нормативным и методическим документам по аттестации объектов информатизации»;

d)«Алгоритм аттестации объектов информатизации по требованиям безопасности информации».

2.Сколько групп и классов защищенности АС от НСД к информации?

a)2 группы 6 классов;

b)3 группы 4 класса;

c)3 группы 9 классов;

d)4 группы 12 классов.

3.Какие условия включает в себя вторая группа классов защищенности АС от НСД к информации?

a)АС, в которой работает один пользователь, имеющий доступ ко всей информации АС с разными уровнями конфиденциальности;

b)многопользовательская АС, в которой одновременно обрабатывается и хранится информация разных уровней конфиденциальности;

c)АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности;

d)нет верного ответа.

30