Аудит информационной безопасности. АиБ_ЛБ1-5_Артюхова_БЭИС-20. Отчет по лабораторным работам 15 по дисциплине Аудит информационной безопасности

Название	Отчет по лабораторным работам 15 по дисциплине Аудит информационной безопасности
Анкор	Аудит информационной безопасности
Дата	29.11.2022
Размер	6.46 Mb.
Формат файла
Имя файла	АиБ_ЛБ1-5_Артюхова_БЭИС-20.docx
Тип	Отчет #819087
страница	3 из 6

1 2 3 4 5 6

ПРИЛОЖЕНИЕ А. Форма заявки на аттестацию

Кому: Руководителю управления Федеральной службы по техническому экспортному контролю России по Смоленской области Титовой Е.В.

563123, г. Смоленск, ул. Матросова, дом 31

ЗАЯВКА

на проведение аттестации объекта информатизации

1. Смоленская городская администрация просит провести аттестацию автоматизированная система предприятия АС на соответствие требованиям по безопасности информации.

2. Необходимые исходные данные по аттестуемому объекту информатизации прилагаются (см. приложение Б).

3. Заявитель готов предоставить необходимые документы и условия для проведения аттестации.

4. Заявитель согласен на договорной основе оплатить расходы по всем видам работ и услуг по аттестации указанного в данной заявке объекта информатизации.

5. Дополнительные условия или сведения для договора:

5.1. Предварительное ознакомление с аттестуемым объектом предлагаю

провести в период с 21.10.2022 по 30.11.2022

5.2. Аттестационные испытания объекта информатики предлагаю провести в

период с 01.12.2022 по 30.12.2022 органом по аттестации ООО «ЯТРЕО».

5.3. Испытания несертифицированных средств и систем информатизации автоматизированная система предприятия АС предлагается провести непосредственно на аттестуемом объекте в период с 01.12.2022 по 24.12.2022.

Печать Руководитель (органа заявителя)

(подпись, дата) (Артюхова П.А.)

ПРИЛОЖЕНИЕ Б. Исходные данные по аттестуемому объекту информатизации

Исходные данные по аттестуемому объекту информатизации готовятся на основе следующего перечня вопросов:

1. Полное и точное наименование объекта информатизации и его назначение.

2. Характер (научно-техническая, экономическая, производственная, финансовая, военная, политическая) и уровень секретности (конфиденциальности) обрабатываемой информации определен (в соответствии с какими перечнями (государственным, отраслевым, ведомственным, предприятия)).

3. Организационная структура объекта информатизации.

4. Перечень помещений, состав комплекса технических средств (основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация (расположенных в помещениях, где она циркулирует).

5. Особенности и схема расположения объекта информатизации с указанием границ контролируемой зоны.

6. Структура программного обеспечения (общесистемного и прикладного), используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации, используемые протоколы обмена информацией.

7. Общая функциональная схема объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации.

8. Наличие и характер взаимодействия с другими объектами информатизации.

9. Состав и структура системы защиты информации на аттестуемом объекте информатизации.

10. Перечень технических и программных средств в защищенном исполнении, средств защиты и контроля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат, предписание на эксплуатацию.

11. Сведения о разработчиках системы защиты информации, наличие у сторонних разработчиков (по отношению к предприятию, на котором расположен аттестуемый объект информатизации) лицензий на проведение подобных работ.

12. Наличие на объекте информатизации (на предприятии, на котором расположен объект информатизации) службы безопасности информации, службы администратора (автоматизированной системы, сети, баз данных).

13. Наличие и основные характеристики физической защиты объекта информатизации (помещений, где обрабатывается защищаемая информация и хранятся информационные носители).

14. Наличие и готовность проектной и эксплуатационной документации на объект информатизации и другие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность информации.

Задание 3. Заполненный аттестат соответствия для выбранного объекта информатизации приведен в приложении В.

ПРИЛОЖЕНИЕ В. Форма аттестата соответствия

"УТВЕРЖДАЮ"

Руководитель аттестационной комиссии

м.п. Щукова Н.С.

"03" октября 2022г.

АТТЕСТАТ СООТВЕТСТВИЯ

АВТОМАТИЗИРОВАННАЯ СИСТЕМА ПРЕДПРИЯТИЯ АС

ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

N 1/178 ФЗ-1563-23

Действителен до "30" ноября 2026 г.

1. Настоящим АТТЕСТАТОМ удостоверяется, что: автоматизированная система предприятия АС соответствует требованиям нормативной и методической документации по безопасности информации.

Состав комплекса технических средств объекта информатизации (с указанием заводских номеров, модели, изготовителя, номеров сертификатов), схема размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств, а также средств защиты (с указанием изготовителя и номеров сертификатов) прилагаются.

2. Организационная структура, уровень подготовки специалистов, нормативное, методическое обеспечение и техническая оснащенность службы безопасности информации обеспечивают контроль эффективности мер и средств защиты и поддержание уровня защищенности объекта информатизации в процессе эксплуатации в соответствии с установленными требованиями.

3. Аттестация объекта информатизации выполнена в соответствии с программой и методиками аттестационных испытаний, утвержденными "17" августа 2022 г. N 5/145 ФЗ-1678-78/Н.

4. С учетом результатов аттестационных испытаний на объекте информатизации разрешается обработка персональных данных.

5. При эксплуатации объекта информатизации запрещается:

- вносить изменения в комплектность, которые могут снизить уровень защищенности персональных данных;

- проводить обработку персональных данных без выполнения всех мероприятий по защите персональных данных;

- подключать к основным техническим средствам нештатные блоки и устройства;

- работать при отключенном заземлении;

- обрабатывать персональные данные при обнаружении каких-либо неисправностей;

- вносить изменения в системе антивирусной защиты;

- вносить изменения в состав, конструкцию, конфигурацию, размещение средств вычислительной техники;

- допускать к обработке защищаемых персональных данных лиц, не оформленных в установленном порядке;

- изменять установленный порядок доступа персонала к циркулирующим в ИС персональных данных;

- подключать к ИС новые автоматизированные рабочие места и каналы связи с удаленными территориями и внешними организациями;

- осуществлять другие технические и организационные мероприятия, которые могут создать предпосылки для утечки персональных данных за счет несанкционированного доступа к персональным данным.

6. Контроль за эффективностью реализованных мер и средств защиты возлагается на службу безопасности информации.

7. Подробные результаты аттестационных испытаний приведены в заключении аттестационной комиссии (N 1/178 ФЗ-1563-23 "30" ноября 2022 г.) и протоколах испытаний.

8. "Аттестат соответствия" выдан на 4 года, в течение которых должна быть обеспечена неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, указанные в п. 9.

Руководитель аттестационной комиссии

Щукова Н.С.

"30"ноября 2022 г.

Примечание. Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.
Вывод: в ходе выполнения лабораторной работы №2 были изучены формы документации, заполняемой при проведении аттестации объектов информатизации по требованиям безопасности, а также получены навыки их заполнения для заданной организации.

1 2 3 4 5 6