Отчет_Антиплагиат (Разработка рекомендаций по проведению испытаний системы защиты информационной системы), страница 3

Данная форма оценки соответствия, согласно ГОСТ34.603-92 «Информационная технология. Виды испытанийавтоматизированных систем», 35 предполагает проведение предварительныхиспытаний, 35 опытной эксплуатации и приемочных испытаний. Методическиерекомендации разработаны в помощь специалистам, осуществляющимдеятельность по технической защите информации.Задачи:анализ существующей документации в области подтверждениясоответствия;6разработка справочных материалов для документа «Программа иметодика предварительных испытаний»;разработка справочных материалов для документа «Программапроведения опытной эксплуатации»;разработка справочных материалов для документа «Программа иметодика приемочных испытаний»;разработка справочных материалов для документа «Протоколпредварительных испытаний»;разработка справочных материалов для документа «Акт приемки вопытную эксплуатацию»;разработка справочных материалов для документа «Рабочий журналопытной эксплуатации»;разработка справочных материалов для документа «Акт озавершении опытной эксплуатации»;разработка справочных материалов для документа «Протоколприемочных испытаний»;разработка справочных материалов для документа «Акт приемки впостоянную эксплуатацию».Объект исследования: информационные системы.Предмет исследования: Цели, порядок, принципы и формы оценкисоответствия системы защиты информации в информационной системетребованиям безопасности информации.Выпускная квалификационная работа состоит из введения, двух 24 основныхразделов, заключения, списка 115 используемых источников и девятиприложений.В первом разделе рассматриваются цели, порядок принципы и формыоценки и подтверждения соответствия, а так же виды испытаний системызащиты информации информационной системы и требования к их7проведению.Во втором разделе осуществляется разработка «Программы и методикипредварительных испытаний», «Программы опытной эксплуатации»,«Программы и методики приемочных испытаний», «Протоколапредварительных испытаний», « 48 Акта приемки в опытную эксплуатацию»,«Рабочего журнала опытной эксплуатации», «Акта о завершении опытнойэксплуатации», « 24 Протокола приемочных испытаний», «Акта 48 приемки в 48постоянную эксплуатацию» и других методических рекомендаций дляпроведения испытаний системы защиты информации в информационнойсистеме.В списке использованных источников приводятся используемыедокументы, веб-сайты, и другие источники информации, используемые вданной ВКР.81 Оценка соответствия.

Общие положения1.1 Общие положенияИнформационная безопасность – это 47 процесс обеспеченияконфиденциальности, целостности и доступности информации, 47выполняющийся непрерывно на всем протяжении жизненного циклаинформационной системы.конфиденциальность: Обеспечение доступа к информации толькоавторизованным пользователям.целостность: Обеспечение достоверности и полноты информациии методов ее обработки.доступность: Обеспечение доступа к информации и связанным сней активам авторизованных пользователей по меренеобходимости.

110Защита информации – комплекс правовых, организационных итехнических мероприятий и действий по предотвращению угрозинформационной безопасности и устранению их последствий в 55 процессесбора, хранения, обработки и передачи информации в 63 информационныхсистемах.Федеральный закон от 27 декабря 2002 г. 3 No 184- ФЗ «О техническомрегулировании» 3 гласит, что в отношении продукции (работ), используемой(проводимых) в целях защиты информации ограниченного доступа,обязательными требованиями являются:требования технических регламентов;требования, установленные государственными заказчиками; 89 8требования, установленные федеральными органамиисполнительной власти, уполномоченными в области обеспечениябезопасности ( 8 ФСБ России);требования, установленные федеральными органамипротиводействия техническим разведкам и технической защитыинформации (ФСТЭК России).

97Таким образом, процесс защиты информации ограниченного доступадолжен осуществляться на основании требований документов:Федеральный закон от 27 июля 2006 г. 112 No 149- 49 ФЗ «Обинформации, информационных технологиях и о защитеинформации»;Федеральный закон от 27.07.2006 49 No 152- ФЗ «Оперсональных данных»; 58Закон Российской Федерации от 21 июля 1993 г.

84 No 5485-1«О государственной тайне»;Указ Президента Российской от 5 декабря 2016 г. No 646Федерации «Об утверждении Доктрины информационнойбезопасности Российской Федерации»; 52Указ Президента Российской 52 от 17 марта 2008 г. No 351Федерации « 47 О мерах по обеспечению информационнойбезопасности Российской Федерации при использованииинформационно-телекоммуникационных сетей международногоинформационного обмена»; 86Указ Президента Российской Федерации от 6 52 марта 1997 г.

67No 188 « Об утверждении перечня сведений конфиденциальногохарактера»;Указ Президента Российской Федерации от 30 67 ноября 1995 7510г. 75 No 1203 « Об утверждении перечня сведений, отнесенных к 83государственной тайне»;Постановление Правительства Российской Федерации от 25 91августа 2005 г. No 537 « О функциях федеральных органовисполнительной власти, Государственной корпорации по атомнойэнергии "Росатом" и Российской академии наук по реализациидоговора о всеобъемлющем запрещении ядерных испытаний»; 86Постановления Правительства Российской Федерации от01.11.2012 46 No 1119 « Об утверждении требований к защитеперсональных данных при их обработке в информационныхсистемах персональных данных»; 52Приказ ФСТЭК России от 18.02.2013 г.

65 No 21 « Обутверждении Состава и содержания организационных итехнических мер по обеспечению безопасности персональныхданных при их обработке в информационных системахперсональных данных»; 86Приказ ФСТЭК России 65 No 489 от 31.08.2010 «Обутверждении Требований о защите информации, содержащейся винформационных системах общего пользования»; 65Приказ ФСТЭК России от 14.03.2014 г.

46 No 31 « Обутверждении Требований к обеспечению защиты информации вавтоматизированных системах управления производственными итехнологическими процессами на критически важных объектах,потенциально опасных объектах, а также объектах,представляющих повышенную опасность для жизни и здоровьялюдей и для окружающей природной среды»; 86Приказ ФСТЭК России от 11.02.2013 г. 46 No 17 « Обутверждении Требований о защите информации, не составляющей 4611государственную тайну, содержащейся в государственныхинформационных системах». 46Система защиты информации — 46 это комплекс 90 организационных итехнических 46 мероприятий, направленных на обеспечение информационнойбезопасности 90 предприятия.Разработка системы защиты информации производится подразделениеморганизации или специализированными организациями, имеющими лицензииФСТЭК (Гостехкомиссии) России.Существует три стадии создания системы защиты информации:предпроектная стадия, включающая предпроектноеобследование объекта 59 защиты, разработку аналитическогообоснования необходимости создания СЗИ и технического 59 заданияна ее создание;стадия проектирования, 59 включающая разработку СЗИ всоставе объекта информатизации;стадия 59 внедрения, включающая установку и настройку СЗ вИС, разработку организационно-распорядительной документации,оценку соответствия СЗ в ИС требованиям безопасностиинформации, проведение предварительных испытаний, опытнойэксплуатации и приемочных испытаний.Моя работа посвящена мероприятиям, проводимым на стадии внедрения,а именно – оценке соответствия системы защиты информации винформационной системе (далее СЗ ИС) от несанкционированного доступатребованиям безопасности информации.1.2 14 Оценка соответствия 3612Оценка соответствия - прямое или косвенное определение соблюдениятребований, предъявляемых к объекту.

36 Объектом, в нашем случае, служитинформационная система, система защиты которой подлежит оценкесоответствия требованиям безопасности информации.Более подробно остановимся на том виде оценки соответствия, где нетребуется сертификация. Данный вид актуален тем, кто не обрабатываетинформацию ограниченного доступа, и для кого сертификация не являетсяобязательной. Например, это могут быть негосударственныеинформационные системы, информационные системы общего пользованияили информационные системы, предназначенные для учебных целей.Федеральный закон от 27.12.2002 15 No 184- ФЗ «О техническомрегулировании» 15 гласит, что оценка соответствия СЗ ИС может проводиться вформе проведения испытаний СЗ ИС, на стадии ввода в эксплуатацию.Учитывая то, что мы рассматриваем случай, где не требуется сертификация,это дает нам возможность исключить аттестационные испытания, оставивтолько предварительные, опытную эксплуатацию и приемочные испытания, о 54которых говорится в ГОСТ 34.603-92 «Информационная технология.

Видыиспытаний автоматизированных систем».К 42 сожалению, принятые на сегодняшний день стандарты, нормативныедокументы ФСТЭК России и ФСБ России дают методику, но не даютметодических рекомендаций, т.е. нет подробного описания процессапроведения этих испытаний.Своей задачей я поставил разработать варианты документов «Программыи методики предварительных испытаний», «Программы опытнойэксплуатации», «Программы и методики приемочных испытаний»,«Протокола предварительных испытаний», « 48 Акта приемки в опытнуюэксплуатацию», «Рабочего журнала опытной эксплуатации», «Акта озавершении опытной эксплуатации», « 24 Протокола приемочных испытаний»,«Акта 48 приемки в 48 постоянную эксплуатацию», необходимых для проведения13оценки соответствия, где не требуется сертификация.Все же я считаю, что стоит рассмотреть формы и принципыподтверждения соответствия, чтобы убедиться, что выбранный нами метод непротиворечит принятым на сегодняшний день законам, стандартам, приказам,нормативным документам ФСТЭК России и ФСБ России.В этом нам поможет Федеральный закон от 27 декабря 2002 г.