В качестве результата пришлите ответы на вопросы в личном кабинете студента на сайте netology.ru.
В каждом задании сформулирован один (или несколько вопросов), и вам нужно найти ответы в соответствующем нормативно-правовом акте (далее – НПА).
Обратите внимание:
- там, где требуется указать понятие, необходимо привести это понятие целиком
- там, где необходимо описать иное (например, ответить на вопрос "в течение какого времени", "какая ответственность" и т.д.) достаточно ответа собственными словами (как вы поняли) и указания номера статьи и пункта.
Обратите внимание, что справочная система КонсультантПлюс в бесплатной редакции не даёт копировать текст документа.
Важно: правовые системы предлагают платную подписку на комментарии, аналитические материалы и подборки ссылок. В рамках нашего курса платная подписка не требуется. Все ДЗ рассчитаны на работу исключительно с бесплатной версией. Поэтому, пожалуйста, нигде не вводите данные своих карт и т.д.
Сегодня выполним интересную работу: посмотрим на то, как реальные Заказчики в своих документах формируют различные требования к системам (в том числе к системам защиты информации). Вас не должен пугать размер документов (через какое-то время вы научитесь их просто "пролистывать"). Важно иметь перед глазами пример того, как реально строятся требования.
Подобный опыт позволит вам формулировать требования как на стороне Заказчика (вы увидите, как это делают другие), так и на стороне исполнителя (вы поймёте, что требуют Заказчики).
Единственное, мы сразу оговоримся, не всегда подобные документы составляются корректно, поэтому брать и бездумно копировать - не стоит.
В качестве источника подобного рода документов хорошо подходит портал госзакупок. Именно документы оттуда мы и будем рассматривать.
Важно: не пугайтесь тем и терминов, которых вы пока не знаете. Мы их будем проходить в своё время, пока же вы можете их просто пропускать (например, всё, что связано с криптографией).
Рассмотрим https://zakupki.gov.ru/223/purchase/public/purchase/info/common-info.html?regNumber=32009341450
Документы находятся на вкладке: Документы Извещения.
На всякий случай, мы сохранили копию.
Подсказка: читайте с 32 страницы.
- Что представляет собой объект информатизации?
- Каким требованиям должно удовлетворять поставляемое СЗИ от НСД в части (именно само СЗИ, а не его модули):
- СВТ
- СКН
- НДВ
Важно: нужно указать именно требования в части СВТ, СКН и НСД. Системные требования и иные указывать не нужно.
Рассмотрим https://zakupki.gov.ru/epz/order/notice/ea44/view/documents.html?regNumber=0895100000120000114
Документы находятся на вкладке: Вложения.
На всякий случай, мы сохранили копию.
Подсказка: читайте с 16 страницы.
- Что необходимо сделать (что является предметом закупки)?
- Какие отчётные документы должны быть предоставлены по результатам работ?
- Какой класс защищённости и уровень защищённости указаны Заказчиком для ИС?
- Являются ли указанный Заказчиком класс защищённости и уровень защищённости итоговыми?
Важно: это задача необязательная (документ достаточно большой, поэтому будьте готовы)
В качестве документа мы рассмотрим техническое задание на выполнение работ по созданию информационной системы «Туристический портал Пермского края» с выполнением работ по разработке и внедрению системы защиты информации с поставкой, установкой, настройкой средств защиты информации и аттестацией информационной системы по требованиям защиты информации.
Сам объект закупки находится по адресу https://zakupki.gov.ru/epz/order/notice/ok504/view/documents.html?regNumber=0156200009920000498
Документы (в частности, ТЗ) находятся на вкладке: Вложения.
На всякий случай, мы сохранили копию ТЗ.
- Из каких подсистем состоит система (перечислите их названия)?
- Какие три режима функционирования режима предусмотрены (кратко опишите, для чего каждый режим предназначен и какие функции в каждом режиме доступны)?
- Какие требования доступности предъявляются к системе?
- Какие требования предъявляются к подсистеме регистрации и учёта (а конкретно к журналированию событий)?
- Какие меры должны быть включены в комплекс организационных и технических мер, направленных на нейтрализацию актуальных угроз безопасности?
- Какие документы из состава эксплуатационной документации должны быть разработаны на систему защиты информации?
И самый главный вопрос: кто должен определять класс защищённости этой системы и как?