АТТЕСТАЦИОННЫЙ ЛИСТ ПО УЧЕБНОЙ ПРАКТИКЕ
________________________ ____Штубис Максим Сергеевич__________________,
ФИО
обучающийся(аяся) на 3 курсе по специальности СПО 100202 Информационная безопасность телекоммуникационных систем
код и наименование
100202 Информационная безопасность телекоммуникационных систем _
успешно прошел(ла) производственную практику по профессиональному модулю ПМ.03
Участие в организации работ по обеспечению информационной безопасности телекоммутационныз систем
наименование профессионального модуля
в объеме 72 часов с «30 »___ марта _____ 2017г. по «12 »_____ апреля ____ 2017г.
в организации Уфимский колледж радиоэлектроники, телекоммуникаций и безопасности_
Виды и качество выполнения работ с целью оценки сформированности общих и профессиональных компетенций
Результаты (освоенные общие компетенции) | Основные показатели оценки результата | Формы и методы контроля и оценки |
Понимать сущность и социальную значимость своей будущей профессии, обладать высокой мотивацией к выполнению профессиональной деятельности в области обеспечения информационной безопасности | - проявляет творческую инициативу, демонстрирует профессиональную подготовку; - выполняет профессиональные задачи | Интерпретация результатов наблюдений за деятельностью обучающегося в процессе освоения образовательной программы |
Организовывать собственную деятельность, выбирать типовые методы и способы выполнения профессиональных задач, оценивать их эффективность и качество | - планирует деятельность, применяя технологию с учетом изменения параметров объекта, к объекту того же класса, сложному объекту (комбинирует несколько алгоритмов последовательно или параллельно); - выбирает способ достижения цели в соответствии с заданными критериями качества и эффективности; | |
Принимать решения в стандартных и нестандартных ситуациях и нести за них ответственность | - проводит анализ причин существования проблемы; - предлагает способ коррекции деятельности на основе результатов оценки продукта; - определяет показатели результативности деятельности в соответствии с поставленной задачей деятельности; - задает критерии для определения способа разрешения проблемы; - прогнозирует последствия принятых решений; - называет риски на основе самостоятельно проведенного анализа ситуации; - предлагает способы предотвращения и способы нейтрализации рисков; | |
Осуществлять поиск и использование информации необходимой для эффективного выполнения профессиональных задач, профессионального и личностного развития | - предлагает источник информации определенного типа / конкретный источник для получения недостающей информации и обосновывает свое предложение; - характеризует произвольно заданный источник информации в соответствии с задачей деятельности; принимает решение о завершении \ продолжении информационного поиска на основе оценки достоверности \ непротиворечивости полученной информации; - извлекает информацию по самостоятельно сформулированным основаниям, исходя из понимания целей выполняемой работы, систематизирует информацию в рамках самостоятельно избранной структуры - делает вывод о причинах событий и явлений на основе причинно-следственного анализа информации о них делает обобщение на основе предоставленных эмпирических или статистических данных | |
Использовать информационно-коммуникационные технологии в профессиональной деятельности | применяет ИКТ при выполнении профессиональных задач | |
Работать в коллективе и в команде, эффективно общаться коллегами, руководством, потребителями | - фиксирует особые мнения; использует приемы выхода из ситуации, когда дискуссия зашла в тупик, или резюмирует причины, по которым группа не смогла добиться результатов обсуждения; - дает сравнительную оценку идей, высказанных участниками группы, относительно цели групповой работы самостоятельно готовит средства наглядности; - самостоятельно выбирает жанр монологического высказывания в зависимости от его цели и целевой аудитории; - работает с вопросами в развитие темы и \ или на дискредитацию позиции; - выделяет и соотносит точки зрения, представленные в диалоге или дискуссии самостоятельно определяет жанр продукта письменной коммуникации в зависимости от цели, содержания и адресата; | |
Брать на себя ответственность за работу членов команды (подчиненных), результат выполнения заданий | - контролирует и отвечает за работу членов команды; - отвечает за результат выполнения заданий; | |
Самостоятельно определять задачи профессионального и личностного развития, заниматься самообразованием, осознанно планировать повышение квалификации | - анализирует собственные мотивы и внешнюю ситуацию при принятии решений, касающихся своего продвижения; | |
Ориентируется в условиях частой смены технологий в профессиональной деятельности | - применяет современные технологии в профессиональной деятельности; | |
Исполняет воинскую обязанность, в том числе с применением полученных профессиональных знаний (для юношей) | - применяет полученные знания при исполнении обязанностей военной службы; | |
Формулировать задачи логического характера и применять средства математической логики для их решения | - применяет полученные знания средств математической логики для решения задач; | |
Понимать физическую сущность задач, возникающих в ходе профессиональной деятельности, и применять соответствующий физический аппарат для их решения | - применяет соответствующие методы для решения задач; | |
Использовать вычислительную технику и прикладные программные пакеты для решения профессиональных задач | - использует средства вычислительной техники для решения профессиональных задач; - использует пакеты прикладных программ для решения профессиональных задач; | |
Ориентироваться в элементной базе устройств телекоммуникационных систем и обеспечения их информационной безопасности | - обеспечивает информационную безопасность устройств телекоммуникационных систем. |
Коды и наименования проверяемых компетенций или их сочетаний | Виды и объем работ, выполненных обучающимся во время практики | Качество выполнения работ |
ПК 1 Руководствоваться законодательными и нормативными документами в области обеспечения информационной безопасности телекоммуникационных систем, защиты государственный тайны и конфиденциальной информации | - составление схемы информационных активов объекта безопасности; - составление схемы движения конфиденциальной информации на объекте; - составление политики информационной безопасности объекта; - составление инструкции пользователя при работе в интернет сети; - составление инструкции администратора сети; - оформление отчета; - участие в зачет-конферении по учебной практике. | |
ПК 2 Участвовать в подготовке и проведении аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации | - проведение инструктажа по технике безопасности. Ознакомление с планом проведения учебной практики. Получение заданий по тематике; - разработка модели угроз объекта; - проведение оценки риска выявленных угроз; - проведение внутреннего аудита объекта; | |
ПК 3 Участвовать во внедрении разработанных технических решений и проектов во взаимодействии с другими специалистами, оказывать техническую помощь исполнителям при изготовлении, монтаже, настройке, испытаниях и эксплуатации технических средств | - выработка процедур для предупреждения нарушений безопасности; - разработка мер безопасности для нейтрализации выявленных угроз; . | |
Итоговая оценка (выводится на основе оценок за каждый вид работы по пятибальной шкале) |
Студентом пройден инструктаж по технике безопасности и охране труда. Студент ознакомлен с правилами распорядка, пожарной и информационной безопасности, безопасностью жизнедеятельности.
Характеристика профессиональной деятельности студента во время производственной практики ( отношение к работе, личные качества и т.д. )
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Дата «___»_________ 2017г.
Подпись руководителя практики от учебного заведения_______________
Подпись руководителя базы практики_________________
I. Общие положения
1.1. Техник по защите информации относится к категории специалистов.
1.2. На должность:
- техника по защите информации назначается лицо, имеющее среднее
профессиональное образование, без предъявления требований к стажу работы;
- техника по защите информации II категории - лицо, имеющее среднее
профессиональное образование и стаж работы в должности техника по защите
информации или других должностях, замещаемых специалистами со средним
профессиональным образованием, не менее 2 лет;
- техника по защите информации I категории - лицо, имеющее среднее
профессиональное образование и стаж работы в должности техника по защите
информации II категории не менее 2 лет.
1.3. Назначение на должность техника по защите информации и
освобождение от нее производится приказом руководителя предприятия по
представлению начальника отдела по защите информации.
1.4. Техник по защите информации должен знать:
- руководящие, методические и нормативные материалы по вопросам,
связанным с обеспечением защиты информации;
- специализацию деятельности предприятия, его подразделений и
особенности их деятельности;
- методы и технические средства, используемые в целях обеспечения
защиты информации;
- требования, предъявляемые к выполняемой работе;
- терминологию, применяемую в специальной литературе по профилю
работы;
- принципы работы и правила эксплуатации технических средств
получения, обработки, передачи, отображения и хранения информации,
аппаратуры контроля, защиты и другого оборудования, используемого при
проведении работ по защите информации, организацию их ремонтного
обслуживания;
- методы измерений, контроля и технических расчетов;
- порядок оформления технической документации по защите информации;
- инструкции по соблюдению режима проведения специальных работ;
- отечественный и зарубежный опыт в области технической разведки и
защиты информации;
- основы организации производства, труда и управления;
- правила и нормы охраны труда, техники безопасности,
производственной санитарии и противопожарной защиты.
1.5. Техник по защите информации подчиняется непосредственно
начальнику отдела по защите информации.
1.6. На время отсутствия техника по защите информации (отпуск,
болезнь, командировка и пр.) его обязанности исполняет лицо, назначенное
в установленном порядке. Данное лицо приобретает соответствующие права и
несет ответственность за надлежащее исполнение возложенных на него
обязанностей.
2. Должностные обязанности
Техник по защите информации:
2.1. Участвует в работе по обеспечению информационной безопасности
научных исследований и технических разработок.
2.2. Осуществляет проверку технического состояния, установку,
наладку и регулировку аппаратуры и приборов, их профилактические осмотры
и текущий ремонт.
2.3. Выполняет работы по эксплуатации средств защиты и контроля
информации, следит за работой аппаратуры и другого оборудования.
2.4. Ведет учет работ и объектов, подлежащих защите, установленных
технических средств, журналы нарушений их работы, справочники.
2.5. Готовит технические средства для проведения всех видов плановых
и внеплановых проверок, аттестации оборудования, а также в случае
необходимости к сдаче в ремонт.
2.6. Проводит наблюдения, выполняет работу по оформлению протоколов
специальных измерений и другой технической документации, в том числе
отчетной, связанной с эксплуатацией средств и контроля информации.
2.7. Выполняет необходимые расчеты, анализирует и обобщает
результаты, составляет технические отчеты и оперативные сведения.
2.8. Определяет причины отказов в работе технических средств,
готовит предложения по их устранению и предупреждению, обеспечению
высокого качества и надежности используемого оборудования, повышению
эффективности мероприятий по контролю и защите информации.
2.9. Участвует во внедрении разработанных технических решений и
проектов, оказания технической помощи при изготовлении, монтаже, наладке,
испытаниях и эксплуатации проектируемой аппаратуры.
2.10. Выполняет отдельные служебные поручения своего
непосредственного руководителя.
3. Права
Техник по защите информации имеет право:
3.1. Знакомиться с проектами решений руководства предприятия,
касающимися его деятельности.
3.2. Вносить на рассмотрение руководства предложения по
совершенствованию работы, связанной с обязанностями, предусмотренными
настоящей инструкцией.
3.3. В пределах своей компетенции сообщать своему непосредственному
руководителю о всех выявленных в процессе осуществления должностных
обязанностей недостатках в деятельности предприятия (его структурных
подразделений) и вносить предложения по их устранению.
3.4. Запрашивать лично или по поручению своего непосредственного
руководителя от специалистов подразделений информацию и документы,
необходимые для выполнения своих должностных обязанностей.
3.5. Привлекать специалистов всех (отдельных) структурных
подразделений к решению возложенных на него задач (если это предусмотрено
положениями о структурных подразделениях, если нет - с разрешения
руководителя предприятия).
3.6. Требовать от своего непосредственного руководителя, руководства
предприятия оказания содействия в исполнении им своих должностных
обязанностей и прав.
4. Ответственность
Техник по защите информации несет ответственность:
4.1. За ненадлежащее исполнение или неисполнение своих должностных
обязанностей, предусмотренных настоящей должностной инструкцией, в
пределах, определенных трудовым законодательством Российской Федерации.
4.2. За правонарушения, совершенные в процессе осуществления своей
деятельности, - в пределах, определенных административным, уголовным и
гражданским законодательством Российской Федерации.
4.3. За причинение материального ущерба - в пределах, определенных
трудовым и гражданским законодательством Российской Федерации.
ПК 1 Руководствоваться законодательными и нормативными документами в области обеспечения информационной безопасности телекоммуникационных систем, защиты государственный тайны и конфиденциальной информации
Политика информационной безопасности – это высокоуровневый документ, который включает в себя принципы и правила, определяющие и ограничивающие определенные виды деятельности объектов и участников системы информационной безопасности, направленные на защиту информационных ресурсов организации.
Как известно, стратегическое планирование позволяет определить основные направления деятельности организации, связав воедино маркетинг, производство и финансы. Долгосрочный стратегический план позволяет компании выстроить все свои бизнес-процессы с учетом микро и макросреды для достижения наилучших финансовых показателей и темпов экономического роста. Важной составляющей в стратегическом планировании является учет требований политики информационной безопасности, которые должны быть краеугольным камнем при определении среднесрочных и долгосрочных целей и задач организации. С ростом компании и пересмотром планов политика также должна пересматриваться. Низкоуровневые документы информационной безопасности необходимо пересматривать в соответствии с реализацией краткосрочных планов.
Политика информационной безопасности неразрывно связана с развитием компании, ее стратегическим планированием, она определяет общие принципы и порядок обеспечения информационной безопасности на предприятии. Политика информационной безопасности тесно интегрируется в работу предприятия на всем этапе его существования. Все решения, предпринимаемые на предприятии, должны учитывать её требования.
Эффективное обеспечение требуемого уровня информационной безопасности организации возможно только при наличии формализованного и системного подхода к выполнению мер по защите информации. Целью разработки политики информационной безопасности организации является создание единой системы взглядов и понимания целей, задач и принципов обеспечения информационной безопасности.
Основные этапы разработки политики информационной безопасности следующие:
-Исследование текущего состояния информационной среды и информационной безопасности организации;
-Анализ полученных сведений по результатам исследования;
-Формирование плана работ по разработке политики информационной безопасности;
-Разработка политика информационной безопасности организации.
Пакет организационно-распорядительных документов по вопросам обеспечения информационной безопасности включает следующие типы документов:
-Политика информационной безопасности организации - высокоуровневый документ, описывающий основные принципы и правила, направленные на защиту информационных ресурсов организации;
-Регламенты информационной безопасности, раскрывающие более подробно процедуры и методы обеспечения информационной безопасности в соответствии с основными принципами и правилами, описанными в политике;
-Инструкции по обеспечению информационной безопасности для должностных лиц организации с учетом требований политики и регламентов;
-Прочие документы, представляющие собой отчеты, регистрационные журналы и прочие низкоуровневые руководящие документы.
ПК 2 Участвовать в подготовке и проведении аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации
Обозначения и сокращения
АВС – антивирусные средства
АРМ – автоматизированное рабочее место
ВТСС – вспомогательные технические средства и системы
ИСПДн – информационная система персональных данных
КЗ – контролируемая зона
ЛВС – локальная вычислительная сеть
МЭ – межсетевой экран
НСД – несанкционированный доступ
ОС – операционная система
ПДн – персональные данные
ПМВ – программно-математическое воздействие
ПО – программное обеспечение
ПЭМИН – побочные электромагнитные излучения и наводки
САЗ – система анализа защищенности
СЗИ – средства защиты информации
СЗПДн – система (подсистема) защиты персональных данных
СОВ – система обнаружения вторжений
ТКУ И – технические каналы утечки информации
УБПДн – угрозы безопасности персональных данных
ФСТЭК России – Федеральная служба по техническому и экспортному контролю
Разработка модели угроз должна базироваться на следующих принципах:
1) Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных (СЗПДн).
2) При формировании модели угроз необходимо учитывать как угрозы, осуществление которых нарушает безопасность персональных данных (далее – прямая угроза), так и угрозы, создающие условия для появления прямых угроз (далее – косвенные угрозы) или косвенных угроз.
3) Персональные данные обрабатываются и хранятся в информационной системе с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации.
4) Система защиты персональных данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, СЗПДн не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации).
Для разработки модели угроз необходимо последовательно осуществить следующие шаги:
1) описать ИСПДн (см. раздел 3 на стр. 19);
2) определить пользователей ИСПДн (см. раздел 4 на стр. 25);
3) определить тип ИСПДн (см. раздел 5 на стр. 28);
4) определить исходный уровень защищенности ИСПДн (см. раздел 6 на стр. 32);
5) определить вероятность реализации угроз в ИСПДн (см. раздел 7 на стр. 36);
6) определить возможность реализации угроз в ИСПДн (см. раздел 8 на стр. 71);
7) оценить опасность угроз (см. раздел 9 на стр. 90);
8) определить актуальность угроз в ИСПДн (см. раздел 10 на стр. 104);
После прохождения всех шагов будет сформирована частная модель угроз. Модель угроз составляется для каждой выявленной ИСПДн и оформляется в виде документа Модель угроз безопасности персональных данных.
ПК 3 Участвовать во внедрении разработанных технических решений и проектов во взаимодействии с другими специалистами, оказывать техническую помощь исполнителям при изготовлении, монтаже, настройке, испытаниях и эксплуатации технических средств
-Формирование и контроль выполнения требований по безопасному проектированию, реализации и использованию программного обеспечения на всех этапах жизненного цикла ПО;
-Анализ среды функционирования ПО, направленный на выявление характеристик, которые считаются опасными или потенциально опасными;
-Анализ программного обеспечения, направленный на выявление функциональных возможностей и характеристик, которые считаются опасными или потенциально опасными;
-Использование методов и средств, направленных на обеспечение устойчивости среды функционирования от негативного воздействия ПО;
-Контроль среды функционирования ПО (динамический контроль поведения, изменения характеристик и т.п.) в процессе функционирования ИС;
-Контроль программного обеспечения в процессе его функционирования