Лабораторный практикум по НСД 2013

31

ответственность руководителей и сотрудников подразделений, эксплуатирующих

исопровождающих АС, за ненадлежащее выполнение требований инструкции.

∙«Регламент резервного копирования и план восстановления» определяет участников процесса резервного копирования, их роли, содержит список резервируемых ресурсов, описывает порядок создания и хранения резервных копий, ПО и СЗИ, а также порядок восстановления информации, ПО и СЗИ в случае необходимости.

Для формирования исходных данных для локальной сети с выходом в ин-

тернет требуются проверка наличия дополнительной документация, помимо приведенной выше:

1.Инструкция по использованию ресурсов сети Internet.

2.Инструкция пользователю по работе с сетью Internet.

3.Инструкция администратору безопасности информации при работе на выделенном рабочем месте по связи с сетью Internet.

4.Инструкция по наполнению WEB-сервера.

5.Направление работ по наполнению WEB-сервера.

Методика и порядок проведения работы

1. Формирование исходных данных для заявки на проведение аттестации объекта информатизации.

Сформируйте исходные данные для локально-вычислительной сети, используя пример, описанный в ведении данной лабораторной работы и рис. 11.5.

Рис. 11.5. Схема стенда для формирования исходных данных.

2. Проверка правильности подачи исходных данных.

Проверьте правильность формирования исходных данных и наличие документации на данный объект информатизации. Для этого необходимо после вы-

32

полнения пункта 1 обменяться полученными данными с соседней подгруппой, выполняющей аналогичную работу. Сделайте соответствующие отметки о правильности формирования исходных данных.

3. Экспертное обследование рабочего стенда.

Согласно исходным данным другой подгруппы проведите экспертное обследование их объекта информатизации на соответствие исходных данных реальным.

4. Составление отчета.

На основании проделанной работы необходимо составить отчет, в котором указать, соответствуют ли исходные данные и документация соответствующему объекту информатизации.

5. Учебный стенд ЛВС с выходом в интернет.

Выполните пункты 1-4 с той же легендой для локально-вычислительной сети с выходом в интернет (рис. 11.6).

Рис. 11.6. Схема стенда для формирования исходных данных

6. Составление отчета.

Составьте аналогичный отчет (см. пункт 4) для объекта информатизации (локально-вычислительная сеть с выходом в интернет).

33

Тестовые задания к лабораторной работе № 1

Входной контроль

1.Какой основной документ устанавливает основные принципы, организационную структуру системы аттестации объектов информатизации?

a)«Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;

b)«Положение по аттестации объектов информатизации по требованиям безопасности информации»;

c)«Требования к нормативным и методическим документам по аттестации объектов информатизации»;

d)«Алгоритм аттестации объектов информатизации по требованиям безопасности информации».

2.Сколько групп и классов защищенности АС от НСД к информации?

a)2 группы 6 классов;

b)3 группы 4 класса;

c)3 группы 9 классов;

d)4 группы 12 классов.

3.Какие условия включает в себя вторая группа классов защищенности АС от НСД к информации?

a)АС, в которой работает один пользователь, имеющий доступ ко всей информации АС с разными уровнями конфиденциальности;

b)Многопользовательская АС, в которой одновременно обрабатывается и хранится информация разных уровней конфиденциальности;

c)АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности;

d)Нет верного ответа.

4.Какой основной документ необходимо предоставить заявителю для аттестации объекта информатизации?

a)Заявка на проведение аттестации объекта информатизации;

b)Технические паспорта на объект информатизации;

c)Акт обследования объекта информатизации;

d)Заявление на проведение аттестационных мероприятий.

5.Организационную структуру системы аттестации объектов информатизации образуют:

a)ФСТЭК России;

b)ФСБ;

c)НУЦ (национальный удостоверяющий центр);

d)Органы по аттестации объектов информатизации по требованиям безопасности информации;

34

e)Заявители (заказчики).

6.Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:

a)подачу и рассмотрение заявки на аттестацию;

b)анализ исходных данных;

c)заключение договоров на аттестацию;

d)классифицирование АС;

e)рассмотрение апелляций.

7.Посредством какого документа подтверждается, что объект информатизации соответствует требованиям стандартов или иных нормативнотехнических документов по безопасности информации?

a)«Аттестат об аккредитации»;

b)«Аттестат соответствия»;

c)«Сертификат соответствия»;

d)«Паспорт объекта информатизации».

8.Какие объекты информатизации подлежат обязательной аттестации?

a)ОИ, предназначенные для обработки конфиденциальной информации;

b)ОИ, предназначенные для обработки информации, составляющей государственную тайну;

c)ОИ, предназначенные для ведения секретных переговоров;

d)ОИ, обрабатывающие информацию, составляющую коммерческую тайну.

9.Что такое НСД?

a)Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами;

b)Доступ к информации, несоответствующий правилам разграничения доступа, с целью получения конфиденциальной информации всевозможными способами;

c)Доступ к информации, с целью получения конфиденциальной информации, при помощи специализированных средств.

10.На какой срок выдается «Аттестат соответствия»?

a)5 лет;

b)2 года;

c)1 год;

d)3 года.

Выходной контроль

35

1.Согласно какому документу определяется класс защищенности АС?

a)«Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;

b)«Положение по аттестации объектов информатизации по требованиям безопасности информации»;

c)«Автоматизированные системы. Защита от несанкционированного доступа

кинформации. Классификация автоматизированных систем и требования по защите информации»;

d)«Средства вычислительной техники. Защита от несанкционированного доступа к информации. ГОСТ Р 50739-95».

2.Степени секретности информации ограниченного доступа?

a)Особой важности;

b)Особой секретности;

c)Секретно;

d)Особой секретности;

e)Совершенно секретно.

3.К техническим средствам относятся:

a)Розетки с напряжением 220В;

b)Автономный ПК;

c)Принтер (локальный, сетевой);

d)Межсетевой экран;

e)Нет верного ответа.

4.Контролируемая зона:

a)Территория, на которой находится аттестуемый объект информатизации;

b)Территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа;

c)Территория, на которой проводятся аттестационные испытания;

d)Территория объекта, на которой исключено неконтролируемое пребывание лиц, имеющих разовый доступ.

5.Что относится к общесистемному ПО?

a)Офисные программы;

b)Антивирусные программы;

c)Операционные системы;

d)Нет верного ответа.

6.Что должно быть указано в предписании на эксплуатацию технического средства?

a)Наименование технических средств;

b)Схема расположения технических средств;

c)Вид обрабатываемой информации;

d)Заводские номера каждого из технических средств.

36

7.Какие бывают методы испытаний?

a)Визуальные;

b)Экспертный анализ;

c)Опытная эксплуатация;

d)Акустические.

8.К прикладному программному обеспечению относятся:

a)операционные системы;

b)офисные программы;

c)стандартные средства обработки информации;

d)нет верного ответа.

9.Что такое аттестация объекта информатизации?

a)Комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объект отвечает требованиям стандартов или иных нормативнотехнических документов по безопасности информации, утвержденных Гостехкомиссией России;

b)Комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объекту информатизации присвоен класс защищенности;

c)Комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объект информатизации отвечает требованиям безопасности информации от НСД;

d)Нет верного ответа.

10.Какие функции осуществляют органы по аттестации?

a)Подают заявки на проведение аттестации;

b)Организуют обязательную аттестацию объектов информатизации;

c)Аттестуют объекты информатизации;

d)Выдают «Аттестаты соответствия».

37

4.2. ЛАБОРАТОРНАЯ РАБОТА № 2: ИНВЕНТАРИЗАЦИЯ АКТУАЛЬНОГО СОСТАВА ТЕХНИЧЕСКИХ И ПРОГРАММНЫХ СРЕДСТВ ОБЪЕКТА ИНФОРМАТИЗАЦИИ С ИСПОЛЬЗОВАНИЕМ ШТАТНЫХ СРЕДСТВ ОПЕРАЦИОННОЙ СИСТЕМЫ И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Описание программного обеспечения

Назначение программы «Агент инвентаризации».

«Агент инвентаризации» предназначен для автоматизированного сбора информации об аппаратном и программном обеспечении АРМ. При этом выполняются следующие функции:

∙ сбор информации об аппаратных и программных средствах в составе

АРМ;

∙сохранение полученной информации и возможность просмотра ее в бу-

дущем;

∙генерация отчетов на основе полученной информации;

∙взаимодействие с другими программами (за счет открытого и документированного формата входных и выходных данных).

Условия применения

Требования к техническим средствам:

Рекомендуемая конфигурация ПЭВМ:

∙процессор – Intel Pentium и выше;

∙ОЗУ – 64 МБ;

∙на ЖМД не менее 20 Мбайт дискового пространства;

∙видеоадаптер – SVGA.

При улучшении конфигурации «Агент инвентаризации» выполняется быст-

рее.

Требования к программному обеспечению:

«Агент инвентаризации» работает под управлением ОС Windows 95, 98, Me, NT 4, 2000, XP и Server 2003. Дополнительных требований к программному обеспечению не предъявляется. При выполнении программы необходимо находиться в системе с правами администратора.

38

Входные и выходные данные.

Входными данными «Агента инвентаризации» являются:

∙указываемый пользователем требуемый состав получаемой информации;

∙указываемые пользователем параметры выполнения программы.

Выходными данными «Агента инвентаризации» являются:

∙информация об аппаратном и программном обеспечении, полученная в ходе работы программы и сохраненная в файле;

∙отчеты на основе информации, полученной в ходе работы программы (в формате HTML).

Состав и функции программы.

Программа состоит из нескольких модулей, каждый их которых реализован в виде отдельного файла (табл.12.1).

Сбор системной информации выполняется основным исполняемым модулем. Модуль графического интерфейса используется для управления запуском основного исполняемого модуля, отображения результатов работы программы в удобной для пользователя форме и генерации отчетов.

Выполняемые функции:

Сбор информации о программном и аппаратном обеспечении. Во время работы «Агент инвентаризации» получает информацию о программном и аппаратном обеспечении в составе АРМ, а также информацию о настройках аппаратного и программного обеспечения. Полученная информация сохраняется в файле для дальнейшего использования.

39

Генерация отчетов. На основе полученной информации может быть создан отчет в формате HTML. Состав отчета определяется пользователем. Генерация отчетов выполняется с помощью модуля графического интерфейса.

Взаимодействие с другими программами. Работа основного исполняемого модуля управляется с помощью параметров командной строки, что позволяет другим программам автоматически запускать его, используя заранее сформированную строку параметров. Формат выходных результатов оптимизирован для загрузки в базу данных.

Выполнение программы.

Для установки «Агента инвентаризации» нужно скопировать файлы программы в любой каталог на жестком диске. Никаких дополнительных действий по установке не требуется.

Порядок выполнения зависит от поставленной задачи. Для запуска программы из командной строки нужно выполнить файл sysinfo.exe с указанием требуемых параметров работы. Для запуска программы с использованием графического интерфейса используется файл Agent.exe

Выполнение с использованием графического интерфейса.

Модуль графического интерфейса предназначен для упрощения взаимодействия между пользователем и основным исполняемым модулем. Основными функциями модуля графического интерфейса являются: запуск основного исполняемого модуля для сбора информации, просмотр результатов работы и генерация отчетов. Также он может быть использован для формирования командной строки запуска основного исполняемого модуля, если «Агент инвентаризации» применяется как часть программного комплекса.

Главное окно программы имеет следующие элементы:

∙Строка меню

∙Панель инструментов

∙Дерево объектов

∙Список свойств текущего объекта

∙Строка состояния

40

Рис. 12.1. Главное окно программы

Меню дублирует все функции, доступные с панели инструментов. На панели инструментов расположены следующие кнопки (табл.12.2):

Таблица 12.2.

Загрузка и просмотр результатов полученных при предыдущих запусках программы

Сбор системной информации

Создание отчета

Кнопки панели инструментов имеют всплывающие подсказки, появляющиеся при задержке курсора мыши над ними. Если команда, соответствующая кнопке, недоступна, кнопка также недоступна и отображается в сером цвете.

Вся полученная информация отображается в виде набора объектов, каждый из которых имеет собственный набор свойств. Перечень объектов отображается в дереве объектов (с разбиением по классам). Справа, в списке свойств, отображаются свойства текущего (выделенного в дереве) объекта.

Строка состояния отображает информацию о текущей выполняемой опера-

ции.