Главная страница
Навигация по странице:

  • Требования к безопасности информационных

  • Выполнение работы: 1.

  • 3. Функции

  • 4. Функции испытательных лабораторий (центров)

  • 6. Порядок

  • 7. Перечень

  • Контрольные

  • 2. Организационная структура системы сертификации средств защиты информации по

  • 3. Виды средств защиты информации

  • Пр. 4. Павлова Анна 05-20 (1). Отчет по практической работе 4 Требования к безопасности информационных систем


    Скачать 86 Kb.
    НазваниеОтчет по практической работе 4 Требования к безопасности информационных систем
    Дата14.03.2023
    Размер86 Kb.
    Формат файлаdoc
    Имя файлаПр. 4. Павлова Анна 05-20 (1).doc
    ТипОтчет
    #988843

    МИНОБРНАУКИ РОССИИ
    Федеральное государственное бюджетное образовательное учреждение

    высшего образования

    «Чувашский государственный университет имени И.Н. Ульянова»

    (ФГБОУ ВО «ЧГУ им. И.Н. Ульянова»)
    Экономический факультет

    Отчет по практической работе №4
    «Требования к безопасности информационных систем»

    Студент гр. ЭК-05-20


    Павлова Анна Васильевна

    Проверил преподаватель

    к.э.н., доцент

    Бакаева Ж.Ю.




    Чебоксары 2022

    Оглавление


    Виды СЗИ 4

    Система сертификации ФСТЭК 4

    Применяемые схемы 4



    Цель работы: закрепление теоретических знаний по вопросам сертификации средств защиты информации по требованиям безопасности информации.



    Задание

    Пользуясь учебником, опишите:

    1. Виды и схемы сертификации средств защиты информации.

    2. Функции ФСТЭК в области сертификации средств защиты информации.

    3. Функции органов сертификации средств защиты информации.

    4. Функции испытательных лабораторий (центров).

    5. Функции заявителей.

    6. Порядок проведения сертификации и контроля.

    7. Перечень средств защиты информации, подлежащих сертификации.

    Выполнение работы:

    1. Виды и схемы сертификации средств защиты информации

    Виды СЗИ


    Выделяют несколько категорий IT-продуктов:

    • технические — маскируют и перекрывают каналы утечки данных;

    • программные — способны зашифровывать информацию, идентифицировать пользователя, уничтожать файлы, вести контроль доступа;

    • смешанные — объединяют в себе характеристики вышеперечисленных категорий;

    • организационные — заключаются в правильной прокладке кабельной системы, создании свода правил выполнения работы.

    Система сертификации ФСТЭК


    Основными участниками оценки соответствия средств защиты данных выступают:

    • уполномоченные органы и испытательные лаборатории, имеющие соответствующую аккредитацию;

    • компании-изготовители СЗИ;

    • Росаккредитация.

    Для каждого участника предусмотрены определенные функции. Например, производители средств защиты данных обязаны руководствоваться установленными правилами изготовления программных продуктов. Предприятия, выпускающие СЗИ для сведений, составляющих государственную тайну или имеющих ограниченный доступ, должны получить лицензию ФСТЭК на ведение деятельности.

    Заявителями могут быть как предприятия-изготовители, так и органы управления всех уровней.

    Применяемые схемы


    Выбор определенной схемы зависит от формы выпуска СЗИ:

    • для единичного экземпляра – осуществление экспертизы образца и проверки организации технической поддержки;

    • для поставки партии – проведение испытаний выборки образцов и оценка техподдержки;

    • для серийного изготовления – контроль выборки образцов, анализ производства и технической поддержки.

    Срок действия выданного сертификата не может превышать пять лет. Далее законом предусмотрена возможность подачи заявки на продление срока законной силы документа.

    2. Функции ФСТЭК в области сертификации средств защиты информации

    ФСТЭК выполняет следующие функции:

    - Создает сертификационную систему средств информационной защиты по требованиям безопасности данных.

    - Устанавливает требования к проведению сертификации средств информационной защиты.

    - Осуществляет аккредитацию органов по проведению проверки защитных информационных средств и лабораторий испытательного типа.

    - Выбирает способы подтверждения соответствия проверяемого объекта нормативным требованиям различных документов.

    - Определяет правила аккредитации различных сертификационных органов по информационной защите или осуществляет указанные функции самостоятельно.

    - Осуществляет выдачу сертификатов и лицензий на использование знаков соответствия.

    - Ведет федеральный реестр субъектов сертификации и соответствующих защитных средств.

    - Осуществляет федеральный надзор и контроль над соблюдением всеми сертифицируемыми субъектами правил проведения проверки.

    - Определяет порядок проведения инспекционных проверок использования сертифицированных средств информационной защиты.

    - Проводит рассмотрение апелляций по указанным вопросам.

    - Представляет на регистрацию в государственный российский Комитет по метрологии, стандартизации и сертификации соответствующую проверяющую систему и знаки соответствия.

    - Утверждает документы нормативного характера, которые являются базовыми для проведения сертификации защитных информационных средств, а также документы методического типа по проведению испытаний.

    - Отменяет или приостанавливает действие выданных заявителям сертификатов.

    3. Функции органов сертификации средств защиты информации.

    Органы, подведомственные ФСТЭК, осуществляют следующие функции:

    - Сертифицируют защитные информационные средства, выдают лицензии и сертификаты на использование знаков соответствия, предоставляют их копии в руководящий орган (ФСТЭК), ведут учет.

    - Отменяют или приостанавливают действие выданных заявителям сертификатов или лицензий на использование знаков соответствия.

    - Проводят при необходимости повторную сертификацию, если в технологии изготовления или в составе средств защиты данных появились серьезные изменения.

    - Составляют перечень документов нормативного характера, которые необходимы для осуществления проверки.

    - Предоставляют по требованию изготовителей необходимые данные в рамках предоставленной им компетенции.

    - Проводят контроль инспекционного типа за защитными сертифицированными информационными средствами.

    4. Функции испытательных лабораторий (центров)

    Испытательная лаборатория осуществляет следующие функции:

    - осуществляют испытания конкретных средств защиты информации, оформляют заключения и протоколы сертификационных испытаний;

    - осуществляют отбор образцов средств защиты информации для проведения сертификационных испытаний;

    - участвуют в предварительной проверке (аттестации) производства сертифицируемых средств защиты информации;

    - анализирует причины несоответствия представленных на испытания средств защиты информации требованиям безопасности информации;

    - разрабатывает и совершенствует методики и программы испытаний, методы и средства испытаний, нормативные и технологические документы по проведению испытаний;

    - участвует в проведении проверок с целью контроля стабильности качества изготовления испытываемых средств защиты информации (по поручению Гостехкомиссии России и органов по сертификации);

    - участвует в предварительной проверке условий производства видов сертифицируемых средств защиты информации, закрепленных за испытательной лабораторией;

    - участвует в рассмотрении апелляций по вопросам сертификации средств защиты информации;

    - оказывает методическую и консультационную помощь испытательным подразделениям предприятий, выпускающих закрепленные за испытательной лабораторией средства защиты информации;

    - осуществляет сбор, хранение, систематизацию и представление органу по сертификации информации о средствах защиты информации (изделиях), проходивших испытания в испытательной лаборатории. 

    6. Порядок проведения сертификации и контроля:

    • Подача заявки на сертификацию;

    • Принятие решения о проведении сертификации средства защиты информации;

    • Сертификационные испытания средства защиты информации;

    • Оформление экспертного заключения по результатам сертификации средства защиты информации и проекта сертификата соответствия;

    • Выдача (отказ в выдаче) сертификата соответствия;

    • Предоставление дубликата сертификата соответствия;

    • Маркирование средств защиты информации;

    • Внесение изменений в сертифицированное средство защиты информации;

    • Переоформление сертификата соответствия;

    • Продление срока действия сертификата соответствия;

    • Приостановление действия сертификата соответствия;

    • Прекращение действия сертификата соответствия

    7. Перечень средств защиты информации, подлежащих сертификации:

    • Средства защиты информации от перехвата оптических сигналов в видимом инфракрасном и ультрафиолетовом диапазонах, осуществляемого оптическими, оптико-электронными, тепловизионными, телевизионными, лазерными, фото- и др. визуальными средствами съема информации

    • Средства защиты информации от перехвата акустических сигналов, распространяемых в воздушной, водной и твердой средах, осуществляемых акустическими, гидроакустическими, виброакустическими, лазерными и сейсмическими средствами.

    • Средства защиты информации от перехвата электромагнитных сигналов, возникающих при функционировании объектов защиты, в т.ч. от перехвата побочных электромагнитных излучений и наводок, возникающих при работе ТСОИ, осуществляемого магнитными, метрическими, радио- и радиотехническими, радиолокационными средствами

    • Средства защиты информации от перехвата электрических сигналов, распространяемых в токопроводящих коммуникациях и являющихся причиной электромагнитных наводок за счет побочных электромагнитных излучений, вследствие эффекта электроакустических преобразований, а также ВЧ-облучения и навязывания.

    • Основные технические средства обработки информации с нормированным уровнем электромагнитных излучений и наводок

    • Вспомогательные технические средства в защищенном исполнении


    Контрольные вопросы

    1. Цели системы сертификации средств защиты информации по требованиям безопасности информации:

    • обеспечение реализации требований государственной системы защиты информации

    • создание условий для качественного и эффективного обеспечения потребителей сертифицированными средствами защиты информации

    • обеспечение национальной безопасности в сфере информатизации

    • содействие формированию рынка защищенных информационных технологий и средств их обеспечения

    • формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современных требований по защите информации

    • поддержка проектов и программ информатизации

    2. Организационная структура системы сертификации средств защиты информации по требованиям безопасности информации:

    Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — федеральный орган исполнительной власти, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам

    3. Виды средств защиты информации:

    • технические — маскируют и перекрывают каналы утечки данных;

    • программные — способны зашифровывать информацию, идентифицировать пользователя, уничтожать файлы, вести контроль доступа;

    • смешанные — объединяют в себе характеристики вышеперечисленных категорий;

    • организационные — заключаются в правильной прокладке кабельной системы, создании свода правил выполнения работы.

    Выбор определенной схемы зависит от формы выпуска СЗИ:

    • для единичного экземпляра – осуществление экспертизы образца и проверки организации технической поддержки;

    • для поставки партии – проведение испытаний выборки образцов и оценка техподдержки;

    • для серийного изготовления – контроль выборки образцов, анализ производства и технической поддержки.


    Заключение

    В ходе работы были закреплены теоретические знания по вопросам сертификации средств защиты информации по требованиям безопасности информации.







    написать администратору сайта