- •10.03.01 Информационная безопасность
- •Цели и задачи аттестационных испытаний
- •Условия проведения аттестационных испытаний
- •Работы выполняемые в ходе аттестационных испытаний ас
- •Методика аттестационных испытаний объектов вычислительной техники по требованиям безопасности информации Общие положения
- •Условия и порядок проведения аттестационных испытаний
- •Изучение технологического процесса автоматизированной обработки информации
- •Подготовка отчетной документации
- •Санкт-Петербург
МИНИСТРЕСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
10.03.01 Информационная безопасность
(код и наименование направления/специальности
Предмет Основы управления информационной безопасности
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №17
«Изучение методики составления испытаний системы защиты информации»
(тема отчета)
Выполнил:
(Ф.И.О., № группы) (подпись)
Проверил:
_Бирих Э.В.____________
(уч. степень, уч. звание, Ф.И.О.) (подпись)
Цель работы:
научиться составлять комплексную методику испытаний системы защиты, для выявления недоработок спроектированной системы защиты.
Индивидуальная тема:
№28 Администрация города
Практическое задание:
В соответствии с рассмотренными методиками разработайте план мероприятий по испытанию системы защиты объекта информатизации.
Ход выполнения:
Программа и методики проведения аттестационных испытаний объектов информатизации
Общие положения
«Программа и методики проведения аттестационных испытаний объектов информатизации» определяет порядок, методы, условия и объем проведения аттестационных испытаний объектов информатизации на соответствие требованиям по безопасности информации.
Аттестационные испытания проводятся на соответствие требованиям организационно-распорядительных и нормативных документов по защите информации, в реальных условиях эксплуатации объектов информатизации в соответствии с «Положением по аттестации объектов информатики по требованиям безопасности информации», утвержденном Председателем Гостехкомиссии России от 25. 11.94г.
Аттестационные испытания проводятся в соответствии с порядком, определяемым следующим основным перечнем работ для каждого объекта информатизации:
анализ и оценка исходных данных и документации по защите информации на объекте информатизации;
проверка соответствия представленных заявителем исходных данных реальным условиям размещения, монтажа и эксплуатации технических средств, изучение технологического процесса обработки, передачи и хранения секретной информации, анализ информационных потоков, определение состава использованных для обработки, передачи и хранения секретной информации технических средств;
проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности категорирования выделенных помещений и технических средств и систем объектов информатизации, классификации автоматизированных систем (АС), оценка полноты и уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;
испытания инженерного оборудования объекта информатизации, отдельных технических и программных средств АС, средств и систем защиты информации на соответствие требованиям защиты информации по утвержденным или согласованным с заявителем методикам испытаний;
комплексные испытания объекта информатизации на соответствие требованиям по защите информации;
подготовка отчетной документации - протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии (или несоответствии) объекта информатизации установленным требованиям, которые представляются в орган по аттестации для принятия решения о выдаче «Аттестата соответствия».
При проведении аттестационных испытаний применяются следующие методы проверок и испытаний:
экспертно-документальный метод,
измерение и оценка уровней защищенности для отдельных технических средств и каналов утечки информации;
проверка функций или комплекса функций защиты информации от несанкционированного доступа (НСД) с помощью тестирующих средств, а также путем пробного запуска средств защиты информации от НСД и наблюдения за их выполнением.
Экспертно-документальный метод предусматривает проверку соответствия объекта информатизации установленным требованиям на основании экспертной оценки полноты и достаточности представленных документов по обеспечению необходимых мер защиты информации, а также соответствия реальных условий эксплуатации требованиям по размещению, монтажу и эксплуатации технических средств.
Измерение и оценка уровней защищенности проводятся в соответствии с действующими нормативными и методическими документами по защите информации от ее утечки по техническим каналам с использованием поверенной контрольно-измерительной аппаратуры
Проверка и испытания функций или комплекса функций защиты информации от НСД с помощью тестирующих средств проводятся для отдельных средств АС (технических и программных) или программно-технической среды в целом по выбору аттестационной комиссии.
В процессе испытаний технических и программных средств используются тестирующие средства, принятые в установленном порядке.