Министерство образования и науки РФ
ФГБОУ ВО «Томский государственный университет
систем управления и радиоэлектроники»
Кафедра комплексной информационной безопасности
электронно-вычислительных систем (КИБЭВС)
разработка и эксплуатация защищенных автоматизированных систем
Методические указания к практическим занятиям и самостоятельной работе
для студентов специальностей и направлений
10.03.01 – «Информационная безопасность»,
10.05.02 – «Информационная безопасность телекоммуникационных систем»,
10.05.03 – «Информационная безопасность автоматизированных систем»,
10.05.04 – «Информационно-аналитические системы безопасности»
В-Спектр
Томск, 2017
УДК 004.056
ББК 32.973.26-018.2
Р 64
Р 64 Якимук и эксплуатация защищенных автоматизированных систем: Методические указания к практическим и самостоятельным работам. – Томск: В-Спектр, 2017. – 6 с.
ISBN 978-5-91191-322-9
Практикум содержит краткие описания практических работ по дисциплине «Разработка и эксплуатация защищенных автоматизированных систем» для специальностей 10.05.02 – «Информационная безопасность телекоммуникационных систем», 10.05.03 – «Информационная безопасность автоматизированных систем», 10.05.04 – «Информационно-аналитические системы безопасности» и направления 10.03.01 – «Информационная безопасность», задания, методические указания по выполнению, требования по представлению отчётности, вопросы для самоконтроля.
УДК 004.056
ББК 32.973.26-018.2
ISBN 978-5-91191-322-9
© , 2017
© ТУСУР, каф. КИБЭВС, 2017
Практическая работа №1
Целью данной работы является получение навыков анализа и сертификации средства защиты информации.
Задание:
1) Зайдите на сайт Федеральной службы по техническому и экспортному контролю (http://fstec. ru/) и в разделе «Реестр сертифицированных средств защиты информации (рисунок 1) выберите СЗИ, анализ которого будет Вам интересен.
Рисунок 1 – Местонахождение ссылки на реестр
2) Для выбранного СЗИ изучить предлагаемый производителем функционал на основе документации или демонстрационной версии данного продукта. По полученной информации подготовить доклад с презентацией.
3) Построить модель типа «черный ящик» для анализируемого СЗИ.
4) Построить декомпозицию полученной модели по технологии IDEF0.
5) Провести оценку общих критериев и определить класс защищенности автоматизированной системы по тем сертификатам, которыми она обладает.
6) Сопоставить полученные результаты и сертификаты, выданные ФСТЭК. Сделать выводы. Составить отчет.
Практическая работа №2
Целью данной работы является формирование профессиональных навыков при работе с нормативно-правовыми актами в области информационной безопасности необходимые при создании автоматизированных систем, обрабатывающими информацию ограниченного доступа.
Задание: в соответствии с вариантом, выполнить задание и подготовить отчет следующего содержания:
Основные законодательные требования к ведению деятельности организации, связанные с обеспечением информационной безопасности. Особое внимание уделить вопросам, связанным с лицензированием и сертификацией. Средства защиты информации (анализ с объяснением причины выбора). Общий список нормативно-правовых актов, применяемых в области деятельности организации.Варианты:
1) Дана информационная система обработки персональных данных, касающихся расовой и национальной принадлежности граждан, в объеме менее 100 тыс. субъектов без учета сотрудников. Для системы актуальны угрозы 3-го типа. Использование СКЗИ не предусмотрено. Определить для ИСПДн уровень защищенности и базовый набор мер защиты информации для выбранного уровня. Составить рекомендацию по использованию средств защиты информации, сертифицированных по требованиям безопасности информации, для обеспечения выбранного уровня защищенности персональных данных.
2) Дана государственная информационная система регионального уровня, обрабатывающая информацию, не составляющую государственную тайну, разглашение которой может привести к умеренным негативным последствиям в социальной или экономической области деятельности. Использование СКЗИ не предусмотрено. На основании заданных параметров определить класс защищенности ГИС, для которого предоставить базовый набор мер защиты информации. Для обеспечения защиты информации, содержащейся в информационной системе, определите необходимые средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.
3) На базе юридического лица, было решено организовать удостоверяющий центр. Определите необходимый набор лицензий и документов, необходимых для начала ведения деятельности данным юридическим лицом. Определите состав средств вычислительной техники и сертифицированных средств защиты информации, необходимых данной организации.
4) Вы участвуете в создании банковской организации. Определите необходимый набор лицензий и документов, необходимых для начала ведения деятельности данным юридическим лицом. Предоставьте базовый набор мер защиты информации, с учетом обрабатываемых в банковской организации персональных данных. Составить рекомендацию по использованию средств защиты информации, сертифицированных по требованиям безопасности информации.
5) Организация решила начать деятельность по разработке и продаже программно-аппаратных средств шифрования и электронной подписи на базе отечественных стандартов. Определите необходимый набор лицензий и документов, необходимых для начала ведения деятельности данным юридическим лицом. Осуществите выбор средств защиты информации, необходимых для обеспечения безопасности автоматизированных систем, с применением которых ведется разработка СКЗИ.
6) Вы участвуете в создании организации Интернет-провайдера. Определите необходимый набор лицензий и документов, необходимых для начала ведения деятельности данным юридическим лицом. Предоставить базовый набор мер защиты информации, с учетом осуществляемых услуг и обрабатываемых данных. Составить рекомендацию по использованию средств защиты информации, сертифицированных по требованиям безопасности информации.
7) В государственной организации требуется аттестовать по требованиям безопасности помещение для проведения секретных переговоров. Определить порядок подготовки объекта аттестации, определить перечень необходимых для проведения аттестации документов. Осуществить выбор средств защиты информации, необходимых для защиты помещения.
8) В государственной организации требуется аттестовать по требованиям безопасности средство вычислительной техники (автономная ЭВМ, предназначенная для обработки секретной информации). Определить порядок подготовки объекта аттестации, определить перечень необходимых для проведения аттестации документов. Осуществить выбор средств защиты информации, необходимых для защиты ЭВМ.
9) Организация решила начать деятельность по аттестации выделенных помещений. Определите необходимый набор лицензий и документов, необходимых для начала ведения деятельности данным юридическим лицом. Осуществите выбор средств защиты информации и технических средств, необходимых для проведения аттестации выделенных помещений.
10) Организация решила начать деятельность по установке систем контроля и управления доступом в помещения и видеонаблюдения. Определите необходимый набор лицензий и документов, необходимых для начала ведения деятельности данным юридическим лицом. Осуществите выбор сертифицированных средств защиты информации с учетом обработки в автоматизированных системах организации сведений, составляющих коммерческую тайну.
