Файловый архив студентов. Файловый архив студентов.
1264 вуза, 4635 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича
Предмет:
Основы Управления Информационной Безопасностью
Файл:
Лаба 17.docx
Скачиваний:
14
Добавлен:
10.04.2023
Размер:
187.42 Кб
Скачать
►Содержание►

Методика аттестационных испытаний объектов вычислительной техники по требованиям безопасности информации Общие положения

Настоящая методика определяет условия и порядок проведения аттестационных испытаний объектов информатизации МКУ «Администрация города Пскова» на соответствие требованиям по безопасности информации.

Целью аттестационных испытаний объектов информатизации МКУ «Администрация города Пскова» является оценка соответствия данных объектов информатизации требованиям руководящих документов по защите информации.

Условия и порядок проведения аттестационных испытаний

Аттестационные испытания проводятся в эксплуатационных режимах работы объекта ВТ с использованием тестирующих технических и программных средств.

Для проведения испытаний объектов вычислительной техники заявитель представляет аттестационной комиссии следующие исходные данные и документацию:

  • оформленный технический паспорт на объект ВТ;

  • акт категорирования объекта ВТ;

  • акт классификации объекта ВТ по требованиям защиты информации (в соответствии с РД Гостехкомиссии России «Автоматизированные системы Защита от НСД к информации Классификация АС и требования по защите информации»);

  • перечень защищаемых на объекте ВТ ресурсов с документальным подтверждением степени секретности каждого ресурса;

  • организационно-распорядительную документацию разрешительной системы доступа персонала к защищаемым ресурсам объекта ВТ;

  • описание технологического процесса обработки информации на объекте ВТ;

  • технологические инструкции пользователям объекта ВТ;

  • предписания на эксплуатацию технических средств и систем;

  • протоколы специальных исследований технических средств и систем;

  • акты или заключения о специальной проверке технических средств;

  • данные по уровню подготовки кадров, обеспечивающих защиту информации;

  • данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;

  • данные о наличии нормативной и методической документации по защите информации и контролю эффективности защиты.

Приведенный общий перечень исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией.

Аттестационные испытания объекта ВТ проводятся в следующем порядке:

  • изучение технологического процесса автоматизированной обработки информации;

  • проверка на соответствие организационно-техническим требованиям по защите информации;

  • испытания на соответствие требованиям по защите информации от утечки по каналам ПЭМИН;

  • проверка выполнения требований по защите информации от утечки за счет специальных электронных устройств перехвата информации;

  • испытания на соответствие требованиям по защите информации от несанкционированного доступа;

  • подготовка отчетной документации.

Изучение технологического процесса автоматизированной обработки информации

При изучении технологического процесса автоматизированной обработки и хранения информации обращается внимание на такие компоненты объекта ВТ как объекты и субъекты доступа, средства обработки и передачи информации:

  • к объектам доступа относятся средства обработки и передачи информации, информационные носители на магнитной и бумажной основе, накопители и все виды памяти ЭВМ, в которых может находиться информация, отдельные документы и их архивы, используемые в технологическом процессе автоматизированной обработки информации, файлы, записи и другие единицы информационных ресурсов, доступ к которым необходимо регламентировать;

  • к субъектам доступа относятся персонал и все лица, которые имеют возможность доступа к средствам обработки информации, а также программные средства, посредством которых осуществляется доступ к объектам;

  • к средствам обработки и передачи информации относятся технические и программные средства ВТ, средства и линии связи, предоставляющие возможности как для перемещения (копирования) информации между различными областями памяти и информационными носителями, различными средствами обработки, определенными для объекта ВТ, так и по выводу информации из установленной для нее сферы обращения.

Используя исходные данные по технологии обработки и передачи информации, разрешительной системы доступа персонала к защищаемым ресурсам, анализируется обобщенная технологическая схема объекта ВТ с существующими и возможными информационными потоками, возможностями доступа к обрабатываемой и передаваемой информации.

Проверяется соответствие описания технологического процесса обработки, хранения и передачи конфиденциальной информации реальной практике на объекте.

Проверяются паспортные (исходные) данные объекта ВТ и устанавливаются опасные факторы и угрозы, критические места объекта ВТ, снижающие уровень защиты, комплектность и характеристики средств защиты.

Проверяются наличие оформленных разрешений на допуск персонала к информации определенного уровня конфиденциальности, метки конфиденциальности (грифа секретности) на информационных носителях, соответствие технологических инструкций пользователей и администратора безопасности информации установленным требованиям.

По результатам изучения уточняется схема технологического процесса с привязкой к конкретным средствам обработки и передачи информации и штатному персоналу.

Соседние файлы в предмете Основы Управления Информационной Безопасностью
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности