Горбатов Аттестационные испытания автоматизированных систем от 2014
.pdf2.Строго придерживаться рекомендованного сценария выполнения лабораторной работы.
3.Согласовать с преподавателем возможность отклонения порядка выполнения лабораторной работы от рекомендованного сценария.
4.Обращаться (при появлении потребности) за помощью к преподавателю, проводящему учебные занятия в данной учебной лаборатории.
Подготовка отчетов по лабораторным работам
При подготовке отчета по лабораторной работе необходимо:
1.Придерживаться рекомендаций указанных в практикуме.
2.Использовать рабочие материалы, полученные в процессе проведения работы.
3.Выполнить требования стандартов по оформлению отчетов (ЕСКД, ЕСПД).
4.Показать отчет преподавателю для подтверждения факта выполнения работы.
Контроль знаний
В рамках выполнения лабораторных работ рекомендуются следующие этапы и формы проведения контроля знаний:
1.Входной контроль знаний как допуск к выполнению лабораторных работ на основе тестового задания.
2.Текущий контроль за прохождением отдельных этапов выполнения каждой лабораторной работы.
3.Заключительный контроль на основе защиты отчета по каждой лабораторной работе и ответов на вопросы выходного тестового задания.
21
Работа 1
ОРГАНИЗАЦИЯ АТТЕСТАЦИИ АС ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В ЧАСТИ ЗАЩИТЫ ОТ НСД. ПРОВЕРКА ДОКУМЕНТАЦИИ
Цель: освоение студентами практических навыков проведения подготовительного этапа контроля, а именно:
1)анализ исходных данных по аттестуемому объекту информатизации;
2)предварительное ознакомление с аттестуемым объектом информатизации;
3)проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации.
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1.Формирование исходных данных для заявки на проведение аттестации объекта информатизации.
2.Проверка правильности подачи исходных данных.
3.Экспертное обследование рабочего стенда.
4.Составление отчета.
ФОРМИРОВАНИЕ ИСХОДНЫХ ДАННЫХ ПО ОБЪЕКТУ ИНФОРМАТИЗАЦИИ
Исходные данные (подача заявки) по аттестуемому объекту информатизации готовятся на основе следующего перечня вопросов.
1.Полное и точное наименование объекта информатизации и его назначение.
2.Характер (научно-техническая, экономическая, производственная, финансовая, военная, политическая) и уровень секретности (конфиденциальности) обрабатываемой информации определен (в соответствии с какими перечнями: государственным, отраслевым, ведомственным, предприятия).
22
3.Организационная структура объекта информатизации.
4.Перечень помещений, состав комплекса технических средств (основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация (расположенных в помещениях, где она циркулирует).
5.Особенности и схема расположения объекта информатизации с указанием границ контролируемой зоны.
6.Структура программного обеспечения (общесистемного и прикладного), используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации, используемые протоколы обмена информацией.
7.Общая функциональная схема объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации.
8.Наличие и характер взаимодействия с другими объектами информатизации.
9.Состав и структура системы защиты информации на аттестуемом объекте информатизации.
10.Перечень технических и программных средств в защищенном исполнении, средств защиты и контроля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат, предписание на эксплуатацию.
11.Сведения о разработчиках системы защиты информации, наличие у сторонних разработчиков (по отношению к предприятию, на котором расположен аттестуемый объект информатизации) лицензий на проведение подобных работ.
12.Наличие на объекте информатизации (на предприятии, на котором расположен объект информатизации) службы безопасности информации, службы администратора (автоматизированной системы, сети, баз данных).
13.Наличие и основные характеристики физической защиты объекта информатизации (помещений, где обрабатывается защищаемая информация и хранятся информационные носители).
14.Наличие и готовность проектной и эксплуатационной документации на объект информатизации и другие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность информации.
23
Рассмотрим данный перечень вопросов на примере отдельно стоящей ПЭВМ.
Легенда:
Заказчик: ОАО «ХХХ», г. Энск, Первое шоссе, д. 11. Помещение с объектом информатизации находится на втором этаже трехэтажного здания. Контроль лиц осуществляется на контрольнопропускном пункте при входе на территорию.
Составление исходных данных для формирования заявки.
1.Объект информатизации ‒ автономное автоматизированное рабочее место (АРМ) в составе: процессор Intel(R) Core(TM)2 Duo CPU E6750 2.67 ГГц 1.99 ГБ ОЗУ, монитор Samsung Sync master 740BF), который используется для обработки учебной информации; локальный принтер (HP LaserJet 2100).
2.Объект информатизации ‒ АРМ соответствует классу защищенности 3Б согласно руководящему документу «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Обрабатывается научно-техническая конфиденциальная информация.
3.Объект информатизации размещается на втором этаже трехэтажного здания в помещении 214 (рис. 1.1).
Рис. 1.1. Схема помещения 214
24
В состав комплекса технических средств входят (рис. 1.2):
•автономный ПК;
•локальный принтер.
Рис. 1.2. Автономное автоматизированное рабочее место
4.Границами контролируемой зоны является забор, расположенный по периметру территории ОАО «ХХХ» (см. рис. 1.1).
5.Структура программного обеспечения дана в табл.1.1.
|
|
|
Таблица 1.1 |
|
|
|
|
ПК |
ПО |
Общесистемное |
Прикладное |
|
|||
|
|
|
|
Автономный |
|
Windows XP SP3 |
Microsoft Office 2007 |
|
|
|
Oracle 10g |
|
|
|
Антивирус Касперского |
|
|
|
Стандартные средства |
|
|
|
обработки информации |
|
|
|
ПО Аккорд NT/2000 |
|
|
|
V3.0 |
Протоколов обмена информации нет, так как рассматривается автономный ПК.
6. Общая функциональная схема объекта информатизации показана на рис. 1.3.
Рис. 1.3. Общая функциональная схема объекта информатизации
25
7.Защищаемая информация циркулирует внутри данного объекта (автономного ПК) и не взаимодействует с другими объектами информатизации.
8.На автономном АРМ установлен программно-аппаратный комплекс средств защиты информации «Аккорд-NT/2000» v.3.0 с идентификаторами Touch Memory.
9.Программно-аппаратный комплекс средств защиты информации «Аккорд-NT/2000» v.3.0 является сертифицированным ФСТЭК России. Сертификат ФСТЭК России 1161/1 на комплекс СЗИ НСД «Аккорд-NT/2000» v.3.0. Выдан 31 марта 2006 г. Переоформлен 30 октября 2012 г. Действителен до 31 марта 2015 г.
10.Система защиты информации разрабатывается штатным сотрудником кафедры, на которого возлагаются обязанности администрирования и обеспечения безопасности информации данного ОИ. Сторонних разработчиков нет.
11.Служба безопасности информации отсутствует. Обязанности администрирования и обеспечения информационной безопасности возлагаются на штатного сотрудника кафедры, которой принадлежит данное помещение.
12.Задачи обеспечения информационной безопасности решаются организационными мерами. Перечень организационных мер:
• размещение АРМ в помещениях, исключающих доступ посторонних лиц;
• опечатывание системных блоков АРМ для недопущения внесения изменений в их конфигурацию;
• тщательный подбор персонала, осуществляющего эксплуатацию и обеспечение информационной безопасности АС;
• разработка документации по информационной безопасности.
13.Имеется в наличии предписание на эксплуатацию данного объекта информатизации, а также перечень основных организационных документов, обеспечивающих информационную безопасность:
• «Перечень информационных ресурсов, подлежащих защите» классифицирует защищаемую информацию по уровню конфиденциальности и уровню ценности информации (определяемой величиной возможных прямых и косвенных экономических потерь в случае нарушения ее целостности и несвоевременности представления);
26
•«Инструкция по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы». Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно указанной инструкции, которая в свой состав включает также «Список пользователей АС» и «Матрицу доступа сотрудников к ресурсам ПТК»;
•дополнения к функциональным обязанностям и технологическим инструкциям, устанавливающие требования для пользователей защищенных АРМ, по обеспечению информационной безопасности при работе в АС и ответственность сотрудников за реализацию мероприятий по обеспечению установленного режима защиты информации могут быть оформлены в виде отдельного документа или отдельных дополнений, входящих в состав «Должностных инструкций сотрудников организации»;
•«Инструкция администратора безопасности» и «Руководство пользователю АРМ» разрабатываются на основе нормативных документов с учетом принятой политики безопасности;
•«Паспорт объекта автоматизированной системы» разрабатывается на каждый защищенный объект АС, содержит сведения об аппаратных и программных решениях, применяемых на конкретном объекте АС. В состав программного обеспечения АРМ должно входить только ПО, предусмотренное в паспортах на соответствующие объекты системы;
•«Инструкция по организации парольной защиты» призвана регламентировать процессы генерации, смены и прекращения действия паролей пользователей в АС организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями;
•«Инструкция по организации антивирусной защиты» регламентирует организацию защиты АС от воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих АС, за ненадлежащее выполнение требований инструкции;
•«Регламент резервного копирования и план восстановления» определяет участников процесса резервного копирования, их роли, содержит список резервируемых ресурсов, описывает порядок соз-
27
дания и хранения резервных копий, ПО и СЗИ, а также порядок восстановления информации, ПО и СЗИ в случае необходимости.
Для формирования исходных данных для локальной сети с выходом в Internet требуется проверка наличия дополнительной документация, помимо приведенной выше:
1.Инструкция по использованию ресурсов сети Internet.
2.Инструкция пользователю по работе с сетью Internet.
3.Инструкция администратору безопасности информации при работе на выделенном рабочем месте по связи с сетью Internet.
4.Инструкция по наполнению WEB-сервера.
5.Направление работ по наполнению WEB-сервера.
МЕТОДИКА И ПОРЯДОК ПРОВЕДЕНИЯ РАБОТЫ
1. Формирование исходных данных для заявки на проведение аттестации объекта информатизации.
Сформируйте исходные данные для локально-вычислительной сети, используя пример, описанный выше в данной лабораторной работе, и рис. 1.4.
Рис. 1.4. Схема стенда для формирования исходных данных
2. Проверка правильности подачи исходных данных. Проверьте правильность формирования исходных данных и на-
личие документации на данный объект информатизации. Для этого необходимо после выполнения п. 1 обменяться полученными дан-
28
ными с соседней подгруппой, выполняющей аналогичную работу. Сделайте соответствующие отметки о правильности формирования исходных данных.
3. Экспертное обследование рабочего стенда.
Согласно исходным данным другой подгруппы проведите экспертное обследование их объекта информатизации на соответствие исходных данных реальным.
4. Составление отчета.
На основании проделанной работы необходимо составить отчет, в котором указать, соответствуют ли исходные данные и документация соответствующему объекту информатизации.
5. Учебный стенд ЛВС с выходом в Internet.
Выполните пп. 1–4 с той же легендой для локальновычислительной сети с выходом в Internet (рис. 1.5).
Рис. 1.5. Схема стенда для формирования исходных данных
29
6. Составление отчета.
Составьте аналогичный отчет (см. п. 4) для объекта информатизации (локально-вычислительная сеть с выходом в Internet).
Тестовые задания к лабораторной работе 1
Входной контроль
1.Какой основной документ устанавливает основные принципы, организационную структуру системы аттестации объектов информатизации?
a)«Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
b)«Положение по аттестации объектов информатизации по требованиям безопасности информации»;
c)«Требования к нормативным и методическим документам по аттестации объектов информатизации»;
d)«Алгоритм аттестации объектов информатизации по требованиям безопасности информации».
2.Сколько групп и классов защищенности АС от НСД к информации?
a)2 группы 6 классов;
b)3 группы 4 класса;
c)3 группы 9 классов;
d)4 группы 12 классов.
3.Какие условия включает в себя вторая группа классов защищенности АС от НСД к информации?
a)АС, в которой работает один пользователь, имеющий доступ ко всей информации АС с разными уровнями конфиденциальности;
b)многопользовательская АС, в которой одновременно обрабатывается и хранится информация разных уровней конфиденциальности;
c)АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности;
d)нет верного ответа.
30