(1) Опишите проверяемые требования к автоматизированной системе (имеющей акт классификации, на примере класса «2Б») при инструментальном контроле несанкционированного доступа к этой системе

Главная задача направления заключается, в обосновании необходимости применения средств обеспечения и поддерживания ИБ и способов их использования, а также в определении их соответствие применения для конкретной АС. Под АС понимается система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. Кроме того, ИБ, как любая характеристика, должна иметь единицы измерения. Для ИБ оценка должна быть комплексной, комплексность проявляется в том, что она характеризует ЗИ от всей совокупности угроз и на всех этапах жизни АС. Один из главных недостатков проектирование АС в настоящее время это использование стандартных протоколов передачи данных.
Требования к защищенности автоматизированных систем включают класса 2 Б : должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. При этом: целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ; целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации; должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время; должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест – программ, имитирующих попытки НСД; должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.

1.    Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: руководящий документ Гостехкомиссии России, утвержденный решением Председателя Гостехкомиссии от 30 марта 1992 г. / Сайт ФСТЭК России [Электронный ресурс]. – Режим доступа: www.fstec.ru. – Дата доступа: 07.02.2021.
2.    ГОСТ Р ИСО/МЭК ТО 19791-2008 «Информационные технологии. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем». Введен 18 декабря 2008 г. [Электронный ресурс]. – Режим доступа: http://docs.cntd.ru/document/1200076806. – Дата доступа: 08.02.2021.
3.    О персональных данных: федеральный закон от 27 июля 2006 г. № 152-ФЗ / Правовой сервер «Консультант Плюс» / [Электронный ресурс] / Режим доступа: www.consultant.ru. – Дата доступа: 07.02.2021.
4.    Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии: постановление Правительства РФ от 3 ноября 1994 г. № 1233/ Правовой сервер «Консультант Плюс» [Электронный ресурс]. – Режим доступа: www.consultant.ru. – Дата доступа: 07.02.2021.
5.    Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных: постановление Правительства РФ от 1 ноября 2012 г. № 1119/ Правовой сервер «Консультант Плюс» [Электронный ресурс]. – Режим доступа: www.consultant.ru. – Дата доступа: 05.02.2021.
6.    Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления: федеральный закон от 9 февраля 2009 г. № 8-ФЗ / Правовой сервер «Консультант Плюс». [Электронный ресурс]. – Режим доступа: www.consultant.ru. – Дата доступа: 07.02.2021.
7.    Об информации, информационных технологиях и о защите информации: федеральный закон от 27 июля 2006 г. № 149-ФЗ / Правовой сервер «Консультант Плюс» [Электронный ресурс]. – Режим доступа: www.consultant.ru. – Дата доступа: 08.02.2021.
8.    Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования: Приказ ФСБ России и ФСТЭК России от 31 августа 2010 г. № 416/489 / Правовой сервер «Консультант Плюс» [Электронный ресурс]. – Режим доступа: www.consultant.ru. – Дата доступа: 07.02.2021.
9.    Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: Приказ ФСТЭК России от 11 февраля 2013 г. № 17 / Правовой сервер «Консультант Плюс» [Электронный ресурс]. – Режим доступа: www.consultant.ru. – Дата доступа: 07.02.2021.
10.    Модуль 3 Теория. Аттестация объектов информатизации по требованиям безопасности информации.
11.    Специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К) : приказ Гостехкомиссии России от 30 августа 2002 г. № 282/ служебного пользования. [Электронный ресурс]. – Режим доступа: http://www.rfcmd.ru/sphider/docs/InfoSec/RD_FSTEK_requirements.htm. – Дата доступа: 04.02.2021.