Раздел 2 мдк 07.02 Сертификация информационных систем

2.1 Анализ наличия сертификатов на информационную систему

или бизнес-приложения

Сертификат - это официальный документ, который подтверждает соответствие продукции или услуги определенным стандартам и требованиям. Сертификаты могут быть обязательными и добровольными. Обязательная сертификация проводится в соответствии с федеральными законами, а добровольная - на базе собственных инициатив производителей и поставщиков.

1. Сертификаты безопасности

1.1 Проверил сертификаты безопасности на Windows Server 2019 в соответствии с ФЗ-152 "О персональных данные". Убедился в их актуальности и соответствующих контрольных проверках.

1.2 Оценил соответствие ПО требованиям CAC/CTC, удостоверившись, что все документы в порядке.

2. Сертификация соответствия

2.1 Проверил сертификаты на MS SQL Server по стандартам ISO 27001 для систем управления информационной безопасностью.

2.2 Зафиксировал отсутствие сертификатов для MS Office, что может повлечь за собой риски для безопасности.

3. Проверка лицензий

3.1 Проверил лицензии на антивирусы Kaspersky и Dr.Web, их юридическое состояние подтвердилось, лицензии действительны до конца года.

3.2 Рекомендовал продление лицензий.

4. Регулярность обновлений

4.1 Проанализировал процедуру обновления программного обеспечения. Нахождение расписания для обновлений подтвердило регулярность.

4.2 Рекомендовал внедрить автоматизированный мониторинг обновлений для повышения безопасности.

5. Хранение данных

5.1 Проверил средства шифрования данных (BitLocker), удостоверился в наличии сертификатов для соблюдения требований ФЗ-152.

5.2 Рекомендовал использование сертифицированных решений для хранения персональных данных.

6. Защита от несанкционированного доступа

6.1 Проверил наличие сертификатов на систему Active Directory и удостоверился в их соответствии существующим стандартам.

6.2 Обнаружил, что политики доступа недостаточно документированы, рекомендовал их создание.

7. Аудит и мониторинг

7.1 Проанализировал регулирование по сертификации Zabbix и его соответствие в соответствии с ФЗ-149 "Об информации".

7.2 Рекомендовал провести аудит систем для повышения контроля и выявления уязвимостей.

8. Обучение персонала

8.1 Проверил существующие курсы повышения квалификации для сотрудников по безопасности.

8.2 Рекомендовал регулярные тренинги по информационной безопасности.

9. Тестирование системы

9.1 Проверил наличие сертификатов на инструменты тестирования уязвимостей (OWASP ZAP) и их актуальность.

9.2 Рекомендовал проводить регулярные тестирования на уязвимости для обеспечения безопасности.

10. Соответствие нормативам

10.1 Проверил наличие сертификатов на соответствие требованиям законодательства о защите данных (ФЗ-152).

10.2 Рекомендовал разработать внутренние регламенты для обеспечения соответствия.

11. Оценка рисков

11.1 Провел анализ рисков на основе стандартов ISO 31000, выявив ключевые уязвимости.

11.2 Рекомендовал установить процедуры по минимизации рисков.

12. Ответственность за сертификацию

12.1 Определил ответственного за поддержание сертификатов и лицензий, который должен быть назначен.

12.2 Рекомендовал назначить сотрудника для управления процессами сертификации.

2.2 Анализ соблюдения законодательства Российской Федерации в области сертификации программных средств информационных технологий.

Сертификация - это процесс, в ходе которого проверяется соответствие продукции, услуг или систем установленным стандартам и требованиям. В Российской Федерации сертификация программных средств регламентируется Федеральным законом от 27 декабря 2002 года № 184-ФЗ "О техническом регулировании" и другими нормативными актами.

Сертификация программного обеспечения в России регулируется рядом законодательных актов, включая Федеральный закон от 27 декабря 2002 года № 184-ФЗ "О техническом регулировании". Этот процесс имеет критически важное значение для обеспечения безопасности, качества и надежности информационных систем, особенно в свете растущих угроз информационной безопасности.

1. Определение и значение сертификации

Сертификация - это процедура, целью которой является подтверждение соответствия товара или услуги установленным требованиям и стандартам. Она необходима для обеспечения качества и безопасности программных продуктов. Сертификация создает основу для доверия клиентов к продуктам,

снижая риски использования некачественного ПО.

2. Законодательная база

Согласно статьям 4 и 6 указанного закона, установлены основные положения о техническом регулировании и сертификации. Статья 4 устанавливает, что "государственное регулирование в области технического регулирования основано на принципах защиты жизни и здоровья граждан". Это приводит к необходимости разработки стандартов, которые организация обязана соблюдать, а также к регулярным проверкам их соблюдения.

3. Процесс сертификации

Процесс сертификации сокращенно можно разделить на несколько ключевых этапов:

1. Подготовительный этап:

Организация готовит всю необходимую документацию, такую как технические паспорта, описания функционала и схемы работы. На этом этапе также создаются внутренние стандарты, соответствующие требованиям законодательства. Например, если система аптечной сети должна иметь возможность работы с кассовыми аппаратами, необходимо заранее изучить особенности интеграции и соответствующие технические требования.

2. Испытания и проверки:

После подготовки документы отправляются в аккредитованные испытательные лаборатории. Программное обеспечение проходит несколько уровней тестирования:

- функциональные тесты: важно, чтобы все функции, такие как перевод денег и проверка баланса, работали без ошибок. Затягивание сроков на исправление недочетов может вызвать недовольство пользователей и привести к финансовым потерям.

- тесты безопасности: например, проверка защищенности данных от SQL-инъекций предотвращает возможные утечки конфиденциальной информации, что критично для организаций, работающих с банковскими или медицинскими данными.

- тесты на совместимость: анализирует, корректно ли работает

приложение на различных устройствах и операционных системах. Это

особенно актуально для мобильных приложений, где важно поддерживать высокий уровень пользовательского опыта.

- нагрузочное тестирование: позволяет определить, как система выдерживает параллельные запросы от тысяч пользователей, что особенно критично в пиковые нагрузки, например, во время распродаж.

3. Выдача сертификата:

На основании проведенных испытаний составляется отчет, после чего, при положительных результатах, удостоверяется соответствие стандартам. Например, сертификат соответствия ГОСТу 34.603-2003 подтверждает, что ПО разработано с учетом всех установленных норм и стандартов.

4. Обязанности организаций

Согласно статье 8 Закона 184-ФЗ, организации имеют следующие обязанности:

- обеспечение соответствия продукции: это значит, что разработчик должен быть готов не только к первичной сертификации, но и к постоянному контролю за качеством продуктов. Например, разработка обновлений должна учитывать новые стандарты.

- устранение недостатков: разработчик обязан устранить все выявленные недостатки до получения сертификата. Невыполнение этого условия может повлечь за собой отказ в выдаче сертификата и потерю репутации на рынке.

- ведение документации: организации должны постоянно поддерживать актуальность документации, чтобы быть готовыми к проверкам со стороны регулирующих органов, что позволяет избежать штрафов и других санкций.

5. Примеры сертификации в различных отраслях

В здравоохранении сертификация электронных медицинских систем необходима для соблюдения требований к защите персональных данных пациентов. При обнаружении недостатков, таких как утечки данных, организация должна провести исправления, иначе она рискует не только потерей сертификата, но и репутации. В финансовом секторе важная роль отводится сертификатам PCI-DSS, которые обязывают компании следовать строгим нормам безопасности. В случае обнаружения нарушений, незамедлительно осуществляются аудит и переобучение сотрудников для минимизации рисков.

Отчет освещает процесс прохождения практики с акцентом на сертификацию в управлении базами данных и информационных системах в образовательной среде.

В образовательной среде сертификация информационных систем играет ключевую роль в обеспечении надежности и безопасности данных студентов и сотрудников учебных заведений. Например, многие учебные заведения стремятся получить сертификаты ISO 27001, которые подтверждают соответствие систем менеджмента информации и требованиям по управлению информационной безопасностью. Такое подтверждение не только демонстрирует приверженность учреждения к защите данных, но и укрепляет доверие со стороны студентов и родителей.

Кроме того, учебные заведения все чаще внедряют сертификаты, связанные с управлением базами данных, такие как Oracle Certified Professional или Microsoft Certified Database Administrator. Эти сертификаты подтверждают, что специалисты, работающие с базами данных, имеют необходимые знания и навыки для эффективного управления информацией. В случае несоответствий или уязвимостей, выявленных в процессе сертификации, учебные заведения должны корректировать свои практики работы с данными и предоставлять дополнительное обучение своему персоналу.

Другим примером может служить сертификация систем управления качеством образовательных услуг, таких как ISO 9001. Получение этого сертификата подтверждает, что учебное заведение эффективно управляет своими процессами и стремится к непрерывному улучшению качества образования.

ЗАКЛЮЧЕНИЕ

Производственная практика в МБОУ Хреновская СОШ №1 оказала огромное влияние на моё формирование как специалиста в области информационных технологий. В течение этого периода я не только применил теоретические знания, полученные в учебном заведении, но и значительно расширил свой опыт, что однозначно станет важным фундаментом для моей будущей карьеры.

В процессе практики мне посчастливилось познакомиться с множеством аспектов соадминистрирования баз данных и серверного оборудования. Я изучал различные программные решения, такие как MySQL и PostgreSQL, что дало мне понимание, как проектируются и управляются базы данных. Я освоил навыки выполнения резервного копирования и восстановления данных, что является ключевым моментом в поддержании целостности и безопасности информации. Также я учился применять системы мониторинга серверов, что позволило мне с замечательной точностью отслеживать состояние оборудования и предотвращать возможные сбои.

Работа с реальными задачами была особенно ценной. Например, мне удалось решить проблему с перегрузкой сервера, что не только улучшило его производительность, но и повысило общую эффективность работы образовательного учреждения. Этот практический опыт научил меня быстро находить решение в стрессовых ситуациях и принимать обоснованные решения на основе анализа данных.

Кроме того, взаимодействие с коллективом преподавателей и технических специалистов подарило мне уникальный опыт командной работы. Я научился слушать и понимать мнение других, а также четко выражать свои мысли и идеи. Это качество, безусловно, является важным аспектом в любой профессиональной деятельности.

Весь этот опыт придал мне уверенности в своей способности справляться с задачами в сфере IT и подготовил меня к дальнейшим вызовам.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1 Рожков С.О. Управление проектами в информационных системах. – М.: Научная книга, 2018. – 320 с. [Электронный ресурс] – Режим доступа: https://www.nauchnayakniga.ru/book/rozhkov/projects.pdf – 04.04.2025

2 Савельев В.И. Системное администрирование Windows Server. – М.: БХВ-Петербург, 2019. – 400 с. [Электронный ресурс] – Режим доступа: https://www.bhv.ru/books/ – 03.04.2025

3 Громов Н.А. Искусственный интеллект в бизнесе. – СПб.: Питер, 2021. – 282 с. [Электронный ресурс] – Режим доступа: https://www.piter.com/book/gromov/ai_business.pdf – 05.04.2025

4 Кузнецов П.Ф. Облачные технологии: от теории к практике. – М.: Просвещение, 2021. – 296 с. [Электронный ресурс] – Режим доступа: http://prosveshchenie.ru/publications/ – 04.04.2025

5 Силкин В.Г., Лебедев А.И. Программирование на Python для начинающих. – М.: ДМК Пресс, 2020. – 368 с. [Электронный ресурс] – Режим доступа: http://dmk-press.com/publications/python_beginners.pdf – 02.04.2025

6 Тихонова Е.N. Основы кибербезопасности. – М.: УРАЛОК, 2019. – 295 с. [Электронный ресурс] – Режим доступа: https://www.uralok.ru/kibersafety/ – 05.05.2025

7 Власов И.Н. Системы управления базами данных. – М.: Издательство МГУ, 2017. – 320 с. [Электронный ресурс] – Режим доступа: http://www.msu.edu/db_systems/ – 02.04.2025

8 Данилов А.В. Программирование на Java для профессионалов. – М.: БХВ-Петербург, 2021. – 480 с. [Электронный ресурс] – Режим доступа: https://www.bhv.ru/books/java_professionals/ – 27.03.2025

9 Петрова Г.В. Введение в компьютерные сети. – М.: Наука, 2021. – 350 с. [Электронный ресурс] – Режим доступа: https://www.nauka.ru/computer_networks/ – 25.03.2025

10 Мартынов Д.И. Базы данных для программистов. – СПб.: Питер, 2020. – 422 с. [Электронный ресурс] – Режим доступа: https://www.piter.com/book/martynov/databases.pdf – 30.03.2025

11 Щербаков И.Н. Алгоритмы и структуры данных. – М.: Высшая школа, 2019. – 370 с. [Электронный ресурс] – Режим доступа: https://www.vsh.edu/algorithms/ – 05.05.2025

ПРИЛОЖЕНИЕ

ПРИЛОЖЕНИЕ А

Таблица Учителя

CREATE TABLE Teachers (

ID INT PRIMARY KEY IDENTITY(1,1),

LastName NVARCHAR(50),

FirstName NVARCHAR(50),

DateOfBirth DATE,

Subject NVARCHAR(50),

Experience INT

);

Таблица Ученики

CREATE TABLE Students (

ID INT PRIMARY KEY IDENTITY(1,1),

LastName NVARCHAR(50),

FirstName NVARCHAR(50),

DateOfBirth DATE,

Class NVARCHAR(10),

Parent NVARCHAR(50)

);

Таблица Классы

CREATE TABLE Classes (

ID INT PRIMARY KEY IDENTITY(1,1),

ClassNumber NVARCHAR(10),

Specialization NVARCHAR(50),

StudentsCount INT,

ClassTeacher NVARCHAR(50),

Year INT

);

Таблица Предметы

CREATE TABLE Subjects (

ID INT PRIMARY KEY IDENTITY(1,1),

SubjectName NVARCHAR(50),

HoursPerWeek INT,

Curriculum NVARCHAR(50),

Teacher NVARCHAR(50),

StudyPeriod NVARCHAR(50)

);

Таблица Оценки

CREATE TABLE Grades (

ID INT PRIMARY KEY IDENTITY(1,1),

StudentID INT,

SubjectID INT,

Grade INT,

Date DATE,

Comment NVARCHAR(255),

FOREIGN KEY (StudentID) REFERENCES Students(ID),

FOREIGN KEY (SubjectID) REFERENCES Subjects(ID)

);

Заполнение таблицы Учителя

INSERT INTO Teachers (LastName, FirstName, DateOfBirth, Subject, Experience) VALUES

('Иванов', 'Иван', '1980-04-15', 'Математика', 15),

('Петров', 'Петр', '1975-06-10', 'Физика', 20),

('Сидорова', 'Мария', '1985-08-22', 'История', 10),

('Кузнецов', 'Алексей', '1990-11-30', 'Химия', 5);

Заполнение таблицы Ученики

INSERT INTO Students (LastName, FirstName, DateOfBirth, Class, Parent) VALUES

('Смирнов', 'Дмитрий', '2005-01-13', '10А', 'Смирнова Л.И.'),

('Ковалев', 'Алексей', '2004-02-20', '10А', 'Ковалев А.П.'),

('Попова', 'Анна', '2005-03-25', '10Б', 'Попова М.И.'),

('Зайцева', 'Екатерина', '2005-05-30', '10Б', 'Зайцева О.А.'),

('Лебедев', 'Сергей', '2006-07-22', '10В', 'Лебедев И.В.'),

('Новиков', 'Артем', '2005-09-15', '10В', 'Новикова Т.Н.');

Заполнение таблицы Классы

INSERT INTO Classes (ClassNumber, Specialization, StudentsCount, ClassTeacher, Year) VALUES

('10А', 'Общий', 25, 'Иванов И.И.', 2023),

('10Б', 'Общий', 23, 'Сидорова М.А.', 2023),

('10В', 'Физико-математический', 22, 'Петров П.П.', 2023);

Заполнение таблицы Предметы

INSERT INTO Subjects (SubjectName, HoursPerWeek, Curriculum, Teacher, StudyPeriod) VALUES

('Математика', 5, 'Основной', 'Иванов И.И.', 'Сентябрь - Май'),

('Физика', 4, 'Основной', 'Петров П.П.', 'Сентябрь - Май'),

('Химия', 3, 'Основной', 'Кузнецов А.А.', 'Сентябрь - Май'),

('История', 2, 'Дополнительный', 'Сидорова М.А.', 'Сентябрь - Май'),

('География', 2, 'Дополнительный', 'Сидорова М.А.', 'Сентябрь - Май');

Заполнение таблицы Оценки

INSERT INTO Grades (StudentID, SubjectID, Grade, Date, Comment) VALUES

(1, 1, 4, '2023-11-01', 'Хорошо'),

(2, 1, 5, '2023-11-01', 'Отлично'),

(3, 2, 3, '2023-11-01', 'Удовлетворительно'),

(4, 2, 4, '2023-11-01', 'Хорошо'),

(5, 3, 2, '2023-11-01', 'Неудовлетворительно'),

(6, 4, 5, '2023-11-01', 'Отлично');

Заполнение таблицы Посещаемость

CREATE TABLE Attendance (

ID INT PRIMARY KEY IDENTITY(1,1),

StudentID INT,

Date DATE,

Present BIT,

AbsenceReason NVARCHAR(255),

Comment NVARCHAR(255),

FOREIGN KEY (StudentID) REFERENCES Students(ID)

);

INSERT INTO Attendance (StudentID, Date, Present, AbsenceReason, Comment) VALUES

(1, '2023-10-01', 1, NULL, 'Все было хорошо'),

(2, '2023-10-01', 0, 'Болезнь', 'Не пришел в школу'),

(3, '2023-10-01', 1, NULL, 'Все было хорошо'),

(4, '2023-10-01', 1, NULL, 'Все было хорошо'),

(5, '2023-10-01', 0, 'По семейным обстоятельствам', 'Не пришел в школу'),

(6, '2023-10-01', 1, NULL, 'Все было хорошо');

Запрос для отображения всех учителей

SELECT * FROM Teachers;

Запрос для отображения всех учеников

SELECT * FROM Students;

Запрос для отображения всех классов

SELECT * FROM Classes;

Запрос для отображения всех предметов

SELECT * FROM Subjects;

Запрос для отображения всех оценок

SELECT * FROM Grades;

Запрос для отображения всей посещаемости

SELECT * FROM Attendance;

Форма добавления учителей

INSERT INTO Teachers (LastName, FirstName, DateOfBirth, Subject, Experience)

VALUES ('Фамилия', 'Имя', 'ГГГГ-ММ-ДД', 'Предмет', опыт); -- "опыт" замените на нужное значение

INSERT INTO Students (LastName, FirstName, DateOfBirth, Class, Parent)

VALUES ('Фамилия', 'Имя', 'ГГГГ-ММ-ДД', '10А', 'Родитель'); -- Убедитесь, что значение Class соответствует существующему классу

INSERT INTO Classes (ClassNumber, Specialization, StudentsCount, ClassTeacher, Year)

VALUES ('10А', 'Общий', 25, 'Иванов И.И.', 2023); -- Имя ClassTeacher замените на нужное

INSERT INTO Subjects (SubjectName, HoursPerWeek, Curriculum, Teacher, StudyPeriod)

VALUES ('Предмет', 5, 'Основной', 'Иванов И.И.', 'Сентябрь - Май'); -- Убедитесь, что Teacher соответствует имени учителя из таблицы Teachers

INSERT INTO Grades (StudentID, SubjectID, Grade, Date, Comment)

VALUES (1, 1, 5, 'ГГГГ-ММ-ДД', 'Комментарий'); -- StudentID и SubjectID подставьте нужные ID

INSERT INTO Attendance (StudentID, Date, Present, AbsenceReason, Comment)

VALUES (1, 'ГГГГ-ММ-ДД', 1, NULL, 'Комментарий'); -- StudentID подставьте нужный ID ученика