Опубликован: 23.02.2018 | Доступ: свободный | Студентов: 1958 / 619 | Длительность: 13:24:00
Лекция 16:

Разработка заключения и протоколов испытаний по результатам аттестации объектов информатизации

< Лекция 15 || Лекция 16: 123 || Лекция 17 >
Аннотация: Принципы проведения аттестационных испытаний объекта информатизации, содержание документов, выдаваемых по результатам аттестационных испытаний.

Разработка заключения и протоколов испытаний по результатам аттестации объектов информатизации.

Цель: Получение представления о структуре и содержании документов, выдаваемых органом по аттестации по результатам аттестационных испытаний объекта информатизации.

В соответствии с "Положением по аттестации объектов информатизации по требованиям безопасности информации",утвержденным председателем государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г., на этапе аттестационных испытаний объекта информатизации на соответствие требованиям по безопасности информации:

  1. Осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
  2. Определяется правильность классификации автоматизированной системы, выбора и применения сертифицированных и несертифицированных средств и систем защиты информации;
  3. Проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
  4. Проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
  5. Оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

Неотъемлемой частью комплекса аттестационных испытаний является оценка эффективности принятых мер и установленных средств защиты информации.

Контроль эффективности защиты информации от утечки по техническим каналам осуществляется по тем же методикам, по которым проводились испытания средств вычислительной техники, входящих в состав объекта информатизации с учетом внедренных на объекте мер защиты информации, а также установленных средств защиты информации. Контроль эффективности проводится с целью проверки выполнения заданных требований по защите информации, а также проверки достаточности принятых мер по защите информации.

Если по результатам контроля эффективности будет выявлено, что существуют предпосылки к формированию утечки информации, т.е. возможна реализация угроз безопасности информации, то применяются дополнительные меры по защите информации либо устанавливаются дополнительные средства защиты информации. После этого контроль эффективности проводится повторно.

При проведении контроля эффективности средств защиты информации от несанкционированного доступа осуществляется оценка возможностей преодоления нарушителем системы защиты информации объекта информатизации и предотвращения реализации угроз безопасности информации. Оценка возможностей включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения объекта информатизации.

При анализе уязвимостей проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.

При обнаружении уязвимостей, приводящих к возникновению дополнительных угроз безопасности информации, проводится корректировка модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей для реализации угроз безопасности информации.

Исходя из "Положения по аттестации объектов информатизации по требованиям безопасности информации", утвержденного председателем государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г., аттестационные испытания объекта информатизации предусматривают комплексную проверку защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

По результатам проведения аттестационных испытаний выдается "Протокол аттестационных испытаний объекта информатизации на соответствие требованиям по защите информации от несанкционированного доступа", "Протокол аттестационных испытаний объекта информатизации на соответствие требованиям по защите информации" и "Заключение по результатам аттестационных испытаний объекта информатизации".

< Лекция 15 || Лекция 16: 123 || Лекция 17 >
Екатерина Крысанова
Екатерина Крысанова

Уважаемые экзаменаторы, возможно, я ошибаюсь, но вопрос 6 звучал как 
Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1Г

Вместе с тем, в ответах этот вопрос звучит иначе:

Задание 6 (Вы ответили неверно):

Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1В

Я ошибаюсь?

Оксана Беляева
Оксана Беляева

Добрый день!

Подскажите, почему после прохождения теста, не могу увидеть свои варианты ответов. в некоторых случаях возникает спорная ситауция и не понятно  - это неточность вопроса или моя опечатка.