Скачиваний:
28
Добавлен:
10.04.2023
Размер:
187.42 Кб
Скачать

МИНИСТРЕСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ

УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Факультет Инфокоммуникационных сетей и систем

Кафедра Защищенных систем связи

10.03.01 Информационная безопасность

(код и наименование направления/специальности

Предмет Основы управления информационной безопасности

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №17

«Изучение методики составления испытаний системы защиты информации»

(тема отчета)

Выполнил:

(Ф.И.О., № группы) (подпись)

Проверил:

_Бирих Э.В.____________

(уч. степень, уч. звание, Ф.И.О.) (подпись)

Цель работы:

научиться составлять комплексную методику испытаний системы защиты, для выявления недоработок спроектированной системы защиты.

Индивидуальная тема:

№28 Администрация города

Практическое задание:

В соответствии с рассмотренными методиками разработайте план мероприятий по испытанию системы защиты объекта информатизации.

Ход выполнения:

Программа и методики проведения аттестационных испытаний объектов информатизации

Общие положения

«Программа и методики проведения аттестационных испытаний объектов информатизации» определяет порядок, методы, условия и объем проведения аттестационных испытаний объектов информатизации на соответствие требованиям по безопасности информации.

Аттестационные испытания проводятся на соответствие требованиям организационно-распорядительных и нормативных документов по защите информации, в реальных условиях эксплуатации объектов информатизации в соответствии с «Положением по аттестации объектов информатики по требованиям безопасности информации», утвержденном Председателем Гостехкомиссии России от 25. 11.94г.

Аттестационные испытания проводятся в соответствии с порядком, определяемым следующим основным перечнем работ для каждого объекта информатизации:

  • анализ и оценка исходных данных и документации по защите информации на объекте информатизации;

  • проверка соответствия представленных заявителем исходных данных реальным условиям размещения, монтажа и эксплуатации технических средств, изучение технологического процесса обработки, передачи и хранения секретной информации, анализ информационных потоков, определение состава использованных для обработки, передачи и хранения секретной информации технических средств;

  • проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности категорирования выделенных помещений и технических средств и систем объектов информатизации, классификации автоматизированных систем (АС), оценка полноты и уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;

  • испытания инженерного оборудования объекта информатизации, отдельных технических и программных средств АС, средств и систем защиты информации на соответствие требованиям защиты информации по утвержденным или согласованным с заявителем методикам испытаний;

  • комплексные испытания объекта информатизации на соответствие требованиям по защите информации;

  • подготовка отчетной документации - протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии (или несоответствии) объекта информатизации установленным требованиям, которые представляются в орган по аттестации для принятия решения о выдаче «Аттестата соответствия».

При проведении аттестационных испытаний применяются следующие методы проверок и испытаний:

  • экспертно-документальный метод,

  • измерение и оценка уровней защищенности для отдельных технических средств и каналов утечки информации;

  • проверка функций или комплекса функций защиты информации от несанкционированного доступа (НСД) с помощью тестирующих средств, а также путем пробного запуска средств защиты информации от НСД и наблюдения за их выполнением.

Экспертно-документальный метод предусматривает проверку соответствия объекта информатизации установленным требованиям на основании экспертной оценки полноты и достаточности представленных документов по обеспечению необходимых мер защиты информации, а также соответствия реальных условий эксплуатации требованиям по размещению, монтажу и эксплуатации технических средств.

Измерение и оценка уровней защищенности проводятся в соответствии с действующими нормативными и методическими документами по защите информации от ее утечки по техническим каналам с использованием поверенной контрольно-измерительной аппаратуры

Проверка и испытания функций или комплекса функций защиты информации от НСД с помощью тестирующих средств проводятся для отдельных средств АС (технических и программных) или программно-технической среды в целом по выбору аттестационной комиссии.

В процессе испытаний технических и программных средств используются тестирующие средства, принятые в установленном порядке.

Соседние файлы в предмете Основы Управления Информационной Безопасностью