Днес, с широката достъпност на Интернет и бързото развитие на комуникациите, пропастта между очакванията на учениците и това, което образователните институции могат да им предложат, става все по-осезаема. Методите на работа в образованието трябва непрекъснато да се развиват, следвайки социалните промени и технологичното развитие. В същото време не на последно място е защитата както на учебни материали и друга информация с ограничен достъп, така и на самата ИТ инфраструктура от случайни или целеви атаки.

Съвременните технологии за информационна сигурност (ИС) помагат на образователните институции да решават предизвикателствата в следните основни области:

Организиране на защитен достъп до учебни материали и системи от всяка точка на света;

Защита на информация с ограничен достъп (лични данни, търговски тайни и др.) и защита на интелектуалната собственост;

Спазване на изискванията на законодателството в областта на информационната сигурност (защита на личните данни, защита на правата на интелектуална собственост, защита на децата от негативна информация).

Проблем №1: Различни потребителски групи

Модерният университет и неговата мрежа са хетерогенна среда, в която се сблъскват интересите и данните на различни потребителски групи. Университетската мрежа може да съдържа следните категории потребители с различни изисквания за информационна сигурност: студенти и студенти по обмен; учители и администрация; ученици, посещаващи подготвителни курсове преди постъпване в университета; посетители на платени курсове и курсове за напреднали, предлагани от университета, за да получат допълнителни източници на доходи, както и представители на организации, които предоставят на университета търговски поръчки, например в областта на научноизследователската и развойната дейност.

Предизвикателство №2: Трансформация на достъпа и концепцията за всяко устройство

Тъй като периметърът на традиционната мрежа от университетски кампус продължава да се размива и университетската среда постепенно губи своите граници, смартфони, таблети, други терминални устройства и уеб приложения необратимо променят образователния процес, осигурявайки възможност за достъп до образователни материали от всяка точка на света. - от университетската класна стая, хостел, жилище, кампус, друг университет, където студентите отиват за обмен на опит и др. Cisco преследва концепцията Any Device, която има за цел да разшири свободата на избор на устройство за потребителите в университетския кампус, като същевременно поддържа общо и предвидимо изживяване. Всичко това поддържа или дори повишава нивото на конкурентоспособност, производителност и безопасност на образователната институция.

В същото време при въвеждането на понятието „Всяко устройство“ възникват редица проблеми на ИС, които трябва да бъдат решени. В този случай трябва да предоставите:

Предотвратяване на неоторизирано свързване на мрежови абонатни устройства: стационарни компютри (работни станции или работни станции), лаптопи (мобилни работни станции), мобилни устройства (таблети с Android и iOS), мрежови принтери и IP телефони към мрежата на университета;

Спазване на изискванията и препоръките на действащите политики за информационна сигурност, както и осигуряване на възможност за дистанционно управление на мобилни устройства, свързани към университетската мрежа за съответствие с действащите политики за информационна сигурност;

Освен това трябва да се осигури организацията на логическото разделяне на университетската мрежа на зони за сигурност, без да се променя съществуващата инфраструктура (съществуващото разделение на мрежата на сегменти), за да се разпределят зони за гости и зони с ограничен достъп за свързване на абонатни устройства на различни групи потребители, както и потребители на мобилни устройства (таблети), работещи с Android и iOS).

Проблем номер 3: защита на информационните системи и информацията с ограничен достъп

Модерният университет е склад за разнообразна информация, която трябва да бъде защитена. Става въпрос за:

Лични данни на студенти, преподаватели, администрация и други категории потребители;

Информация, представляваща търговска тайна на университета и позволяваща му да изпреварва другите университети в областта на предоставянето на по-добро образование и образователни програми, както и по-прогресивни методи на преподаване;

Учебни материали, разработени от университета, достъпът до които трябва да бъде или ограничен, или контролиран, т.к. те са интелектуална собственост;

Софтуер или лицензи, придобити от университета, чиято кражба може да влоши позицията на учебното заведение в конкурентната борба или да доведе до наказателна или административна отговорност.

И накрая, резултатите от онези научноизследователски и развойни дейности, които университетът може да извърши по искане на търговски или държавни клиенти, подлежат на защита.

В допълнение към защитата на информацията с ограничен достъп трябва да се гарантира и сигурността на информационните системи за образователния процес. Случайното или целенасочено прекъсване на тези системи може да наруши учебния процес и да наруши договорните условия (в случай на платено обучение или изпълнение на различни R&D).

Проблем #4: Законодателни ограничения

В допълнение към защитата на информационните системи и информацията, които предоставят на университета конкурентни предимства, системата за информационна сигурност трябва да позволява провеждането на законодателни инициативи, насочени към защита на правата и интересите на различни групи граждани и организации. Нормативните актове, които университетът е длъжен да спазва, включват преди всичко:

Федерален закон № 139-FZ от 28 юли 2012 г. „За изменение на Федералния закон „За защита на децата от информация, вредна за тяхното здраве и развитие“ и някои законодателни актове на Руската федерация за ограничаване на достъпа до незаконна информация за Интернет";

Федерален закон от 2 юли 2013 г. № 187-FZ „За изменение на законодателните актове на Руската федерация относно защитата на интелектуалните права в информационните и телекомуникационните мрежи“.

Проблем №5: Нарастващ брой заплахи

Средата на заплахите за мрежовата сигурност е в постоянна еволюция. Водещи позиции в него заемат специално написани, скрити заплахи, които все повече успяват да преодоляват традиционните методи и средства за защита. Тези заплахи проникват вътре в мрежата - на ниво ядро, ниво на разпространение и ниво на потребителски достъп, където защитата от заплахи и видимостта са на минимално ниво. Оттам нататък тези заплахи нямат проблем да избират своите цели - конкретни ресурси и дори конкретни хора в университета. Целта на съвременните кибер заплахи не е да спечелят известност и слава или дори да създадат печеливша ботнет мрежа, а да изземат и откраднат интелектуална собственост или търговски и други тайни, за да постигнат конкурентни предимства.

Решения за информационна сигурност на Cisco

Cisco SecureX Architecture™ е архитектура за сигурност от следващо поколение, която интегрира гъвкави решения, продукти и услуги за създаване и прилагане на последователни бизнес политики в разпределената мрежа на модерен университет. Архитектурата на Cisco SecureX интегрира глобално разузнаване на заплахите и контекстуална осведоменост за справяне с уникални предизвикателства пред сигурността, като нарастването на броя на много мобилните потребители, разширяването на мобилните устройства с активирана мрежа или прехода към облачни инфраструктури и услуги.

Cisco SecureX отговаря на нуждите на днешните размити мрежи, като осигурява ефективна сигурност за всеки потребител, на всяко устройство, навсякъде и по всяко време. Тази нова архитектура за сигурност използва език на политиката от по-високо ниво, който „разбира“ пълния контекст на ситуацията – кой, какво, къде, кога и как. Благодарение на разпределеното прилагане на политики за сигурност, процесът на защита се приближава до работното място на крайния потребител навсякъде по света, като по този начин позволява не само да се защити всяко устройство или потребител, но също така, ако е необходимо, да се локализира заплахата като възможно най-близо до източника си.

Решенията, включени в Cisco SecureX, отговарят на изискванията на руските държавни органи, упълномощени в областта на информационната сигурност, и имат над 600 различни FSTEC и FSB сертификати за сигурност.

Днес, с широката достъпност на Интернет и бързото развитие на комуникациите, пропастта между очакванията на учениците и това, което образователните институции могат да им предложат, става все по-осезаема. Методите на работа в образованието трябва непрекъснато да се развиват, следвайки социалните промени и технологичното развитие. В същото време не на последно място е защитата както на учебни материали и друга информация с ограничен достъп, така и на самата ИТ инфраструктура от случайни или целеви атаки.

Съвременните технологии за информационна сигурност (ИС) помагат на образователните институции да решават предизвикателствата в следните основни области:

Организиране на защитен достъп до учебни материали и системи от всяка точка на света; защита на информация с ограничен достъп (лични данни, търговски тайни и др.) и защита на интелектуалната собственост; спазване на изискванията на законодателството в областта на информационната сигурност (защита на личните данни, защита на правата на интелектуална собственост, защита на децата от негативна информация).

Проблем №1: Различни потребителски групи

Модерният университет и неговата мрежа са хетерогенна среда, в която се сблъскват интересите и данните на различни потребителски групи. Университетската мрежа може да съдържа следните категории потребители с различни изисквания за информационна сигурност: студенти и студенти по обмен; учители и администрация; ученици, посещаващи подготвителни курсове преди постъпване в университета; посетители на платени курсове и курсове за напреднали, предлагани от университета, за да получат допълнителни източници на доходи, както и представители на организации, които предоставят на университета търговски поръчки, например в областта на научноизследователската и развойната дейност.

Предизвикателство №2: Трансформация на достъпа и концепцията за всяко устройство

Тъй като периметърът на традиционната мрежа от университетски кампус продължава да се размива и университетската среда постепенно губи своите граници, смартфони, таблети, други терминални устройства и уеб приложения необратимо променят образователния процес, осигурявайки възможност за достъп до образователни материали от всяка точка на света. - от университетската класна стая, хостел, жилище, кампус, друг университет, където студентите отиват за обмен на опит и др. Cisco преследва концепцията Any Device, която има за цел да разшири свободата на избор на устройство за потребителите в университетския кампус, като същевременно поддържа общо и предвидимо изживяване. Всичко това поддържа или дори повишава нивото на конкурентоспособност, производителност и безопасност на образователната институция.

В същото време при въвеждането на понятието „Всяко устройство“ възникват редица проблеми на ИС, които трябва да бъдат решени. В този случай трябва да предоставите:

Предотвратяване на неоторизирано свързване на мрежови абонатни устройства: стационарни компютри (работни станции или работни станции), лаптопи (мобилни работни станции), мобилни устройства (таблети с Android и iOS), мрежови принтери и IP телефони към мрежата на университета; спазване на изискванията и препоръките на действащите политики за информационна сигурност, както и осигуряване на възможност за дистанционно управление на мобилни устройства, свързани към университетската мрежа за съответствие с действащите политики за информационна сигурност; освен това трябва да се осигури организацията на логическото разделяне на университетската мрежа на зони за сигурност, без да се променя съществуващата инфраструктура (съществуващото разделение на мрежата на сегменти), за да се разпределят зони за гости и зони с ограничен достъп за свързване на абонатни устройства на различни потребителски групи, както и потребители на мобилни устройства (таблети с Android и iOS).

Проблем номер 3: защита на информационните системи и информацията с ограничен достъп

Модерният университет е склад за разнообразна информация, която трябва да бъде защитена. Става въпрос за:

Лични данни на студенти, преподаватели, администрация и други категории потребители; информация, която представлява търговска тайна на университета и му позволява да изпреварва другите университети в предоставянето на по-добро образование и образователни програми, както и по-прогресивни методи на преподаване; учебни материали, разработени от университета, достъпът до които трябва да бъде или ограничен, или контролиран, т.к те са интелектуална собственост; софтуер или лицензи, придобити от университета, чиято кражба може да влоши позицията на учебното заведение в конкурентната борба или да доведе до наказателна или административна отговорност. И накрая, резултатите от онези научноизследователски и развойни дейности, които университетът може да извърши по искане на търговски или държавни клиенти, подлежат на защита.

В допълнение към защитата на информацията с ограничен достъп трябва да се гарантира и сигурността на информационните системи за образователния процес. Случайното или целенасочено прекъсване на тези системи може да наруши учебния процес и да наруши договорните условия (в случай на платено обучение или изпълнение на различни R&D).

Проблем #4: Законодателни ограничения

В допълнение към защитата на информационните системи и информацията, които предоставят на университета конкурентни предимства, системата за информационна сигурност трябва да позволява провеждането на законодателни инициативи, насочени към защита на правата и интересите на различни групи граждани и организации. Нормативните актове, които университетът е длъжен да спазва, включват преди всичко:

Федерален закон от 27 юли 2006 г. № 152-FZ „За личните данни“; федерален закон от 28 юли 2012 г. № 139-FZ „За изменение на Федералния закон „За защита на децата от информация, вредна за тяхното здраве и развитие“ и някои законодателни актове на Руската федерация по въпроса за ограничаване на достъпа до незаконни информация в интернет”; федерален закон от 2 юли 2013 г. № 187-FZ „За изменение на законодателните актове на Руската федерация относно защитата на интелектуалните права в информационните и телекомуникационните мрежи“.

Проблем №5: Нарастващ брой заплахи

Средата на заплахите за мрежовата сигурност е в постоянна еволюция. Водещи позиции в него заемат специално написани, скрити заплахи, които все повече успяват да преодоляват традиционните методи и средства за защита. Тези заплахи проникват вътре в мрежата - на ниво ядро, ниво на разпространение и ниво на потребителски достъп, където защитата от заплахи и видимостта са минимални. Оттам нататък тези заплахи нямат затруднения да избират своите цели – конкретни ресурси и дори конкретни хора в университета. Целта на съвременните кибер заплахи не е да спечелят известност и слава или дори да създадат печеливша ботнет мрежа, а да изземат и откраднат интелектуална собственост или търговски и други тайни, за да постигнат конкурентни предимства.

Решения за информационна сигурност на Cisco

Cisco SecureX Architecture™ е архитектура за сигурност от следващо поколение, която съчетава гъвкави решения, продукти и услуги за оформяне и налагане на последователни бизнес политики в разпределената мрежа на съвременен университет. Архитектурата на Cisco SecureX интегрира глобално разузнаване на заплахите и контекстуална осведоменост за справяне с уникални предизвикателства пред сигурността, като нарастването на броя на много мобилните потребители, разширяването на мобилните устройства с активирана мрежа или прехода към облачни инфраструктури и услуги.

Cisco SecureX отговаря на нуждите на днешните размити мрежи, като осигурява ефективна сигурност за всеки потребител, на всяко устройство, навсякъде и по всяко време. Тази нова архитектура за сигурност използва език на политиката от по-високо ниво, който „разбира“ пълния контекст на ситуацията – кой, какво, къде, кога и как. Благодарение на разпределеното прилагане на политики за сигурност, процесът на защита се приближава до работното място на крайния потребител навсякъде по света, като по този начин позволява не само да се защити всяко устройство или потребител, но също така, ако е необходимо, да се локализира заплахата като възможно най-близо до източника си.

Решенията, включени в Cisco SecureX, отговарят на изискванията на руските държавни органи, упълномощени в областта на информационната сигурност, и имат над 600 различни FSTEC и FSB сертификати за сигурност.

За да научите бързо за материалите на специалистите на Cisco, публикувани в блога на Cisco. Russia/CIS”, трябва да се абонирате на http://gblogs.cisco.com/en.

Етикети: информационна сигурност, информационна сигурност, образование, университет, Cisco SecureX архитектура, интелектуална собственост.

Изпратете добрата си работа в базата знания е лесно. Използвайте формата по-долу

Студенти, докторанти, млади учени, които използват базата от знания в обучението и работата си, ще ви бъдат много благодарни.

публикувано на http://www.allbest.ru

• ВЪВЕДЕНИЕ
• РЕЛЕВАНТНОСТ
• 1. ИЗУЧАВАНЕ НА ИНФОРМАЦИОННАТА СИСТЕМА НА ПРЕДПРИЯТИЕТО
• 1.1. Описание на предприятието
• 1.2. Състав на хардуер и софтуер и мрежова структура
• 1.3. Анализ на информационните потоци
• 1.4. Анализ на информационните ресурси
• 1.5. Физическа охрана на обекти (охрана)
• 2. АНАЛИЗ И РАЗРАБОТКА НА МОДЕЛА НА ЗАПЛАХИТЕ
• 2.1. Класификация и анализ на източниците на заплахи и уязвимости в сигурността
• 2.2. Модел на натрапник
• 2.3. Определяне на реални заплахи за информационната система
• 2.4. Определяне на класа на сигурност на информационната система
• 3. РАЗРАБОТВАНЕ НА МОДЕЛА НА СИСТЕМАТА ЗА СИГУРНОСТ НА ИНФОРМАЦИЯТА
• 3.1. Анализ за съответствие със стандартите и съществуващите политики
• 3.2. Разработване на политика за информационна сигурност
• 4. РАЗРАБОТВАНЕ НА ПОРТАЛ ЗА ПЪРВИЧНО РАЗРЕШАВАНЕ
• 4.2. Изисквания за функционалност на портала
• 4.3. Разработка на портал
• ЗАКЛЮЧЕНИЕ
• БИБЛИОГРАФИЯ
• ПРИЛОЖЕНИЕ

ВЪВЕДЕНИЕ

Гарантирането на сигурността на информационните ресурси отдавна е предмет на дискусии в много институции, заедно с развитието на информационните технологии, това доведе до развитието на автоматизирани системи. Ефективната система за информационна сигурност позволява минимизиране на рисковете, свързани с информацията, и допринася за стабилната работа на информационните потоци на предприятието.

Сигурността на публичните институции, като висшите учебни заведения, също изисква високо ниво на информационна сигурност.

Информационните активи на университета представляват огромно количество информация за образователната дейност, дейността на служителите с различни нива на достъп. Университетските служители и студентите също са чудесен пример за хора с различни права на достъп до информация. Затова беше решено да се разработи ефективен набор от мерки за осигуряване на информационната сигурност на университета.

Целта на дисертацията е да се разработи набор от мерки, насочени към осигуряване на информационната сигурност на университета на примера на Държавния университет по архитектура и строителство в Нижни Новгород. сигурност на информационните заплахи

Предмет на изследване в дипломната работа е системата за защита на информационната сигурност на Държавния университет по архитектура и строителство в Нижни Новгород.

Дипломната работа се състои от четири глави. Първата глава представя описание на информационната система на организацията, анализ на информационните ресурси и технически средства. Във втората глава се анализират потенциалните заплахи за системата и се дефинира моделът на нарушителя. В третата глава е разработена политика за информационна сигурност. Четвъртата глава, под формата на обяснителна бележка, съдържа процеса на внедряване на портала за първична авторизация.

РЕЛЕВАНТНОСТ

На съвременния етап от развитието на обществото информационните технологии са неразделна част от него. Информацията се превърна в едно от основните средства за социално-икономически, технически и научен прогрес на световната общност. Развитието на информационните технологии и разширяването на информационното пространство води до непрекъснато нарастващо ниво на атаки и нарушения в тази област, което прави проблемите на информационната сигурност все по-актуални. Информационната сигурност се разбира като състояние на защита на информацията и поддържащата я инфраструктура от случайни или умишлени въздействия от естествен или изкуствен характер, които могат да навредят на собствениците или потребителите на информация.

Осигуряването на информационна сигурност е един от ключовите фактори за стабилното функциониране на всяко предприятие. Днес поверителността, целостта и достъпността на информацията е важен аспект на непрекъснатостта на бизнеса, така че все повече организации се фокусират върху въпроса за информационната сигурност. Следователно има нужда от ефективна и интегрирана система за информационна сигурност.

Много често, когато създават информационна система, организациите се стремят да осигурят своите информационни активи само на хардуерно и софтуерно ниво на защита. Но това ниво на сигурност е неефективно и трябва да бъде подкрепено от правила и разпоредби за информационна сигурност.

Подготовката и внедряването на система за сигурност в институция трябва да се извършва на базата на съществуващото законодателство и нормативните изисквания в областта на информационната сигурност. Основният документ е Конституцията на Руската федерация, според която "събирането, съхраняването, използването и разпространението на информация за личния живот на дадено лице без неговото съгласие не е разрешено".

Други основни документи в областта на информационната сигурност са Федералният закон от 27 юли 2006 г. № 149-FZ „За информацията, информационните технологии и защитата на информацията“, според който е необходимо да се защитава информацията от неоторизиран достъп, промяна, унищожаване , копиране и разпространение на данни . Федерален закон № 152-FZ от 27 юли 2006 г. „За личните данни“ регулира действията, свързани с обработката на лични данни от държавни институции, използващи автоматизирани системи.

Трябва също така да вземете предвид закона на Руската федерация „За държавната тайна“ и закона на Руската федерация „За търговската тайна“, който урежда процедурата за класифициране на информация като официална тайна, режима на служебната тайна и процедурата за разкриване на официални данни. Съществуват и редица закони, в съответствие с които се формират нивата на поверителност на информацията („За одобряване на списъка с информация с поверителен характер“; „За одобряване на списъка с информация, класифицирана като държавна тайна“; „За утвърждаване на списъка с информация, която не може да бъде търговска тайна”).

Като цяло законодателните RF не вземат предвид и не регулират напълно съхранението и използването на поверителни данни.

Стандартите и спецификациите са основните регулации за осигуряване на сигурност от страна на процедурно и хардуерно-софтуерно ниво. Това са документи, съдържащи доказани, висококачествени методологии и инструменти за сигурност.

В съответствие със стандартите, осигуряването на сигурността на обектите на информационната система трябва да се състои от следните стъпки:

- разпределение на целите за осигуряване на информационна сигурност;

– проектиране на ефективна система за управление;

– анализ и оценка на съответствие с поставените цели;

– анализ на първоначалното състояние на сигурността;

ISO 15408: Общи критерии за оценка на сигурността на информационните технологии (Общи критерии за оценка на сигурността на информационните технологии) съдържа най-изчерпателните критерии за сигурност на софтуера и хардуера. Общите критерии установяват изисквания за функционалност за сигурност. В допълнение към хардуерно-софтуерното ниво на защита, стандартът описва някои изисквания за методите за сигурност на организационно ниво и физическа защита. Стандартът се състои от три части:

- първата част включва понятийния апарат, представянето на модела и методиката за оценка на сигурността на информационните технологии;

– втората част съдържа директно изискванията към функционалността на хардуера и софтуера;

– третата част съдържа изискванията за гаранции за сигурност;

ISO 17799: Практическият кодекс за управление на информационната сигурност предоставя най-изчерпателните критерии за организационно ниво.

Стандартът съдържа най-ефективните правила за управление на информационната сигурност и критерии за оценка на практиките за сигурност на организационно ниво, като се вземат предвид административни, процедурни и физически защити. Стандартът съдържа следните раздели:

- Политика за сигурност;

– организация на информационната сигурност;

- управление на ресурси;

– сигурност на човешките ресурси;

- физическа охрана;

- контрол на достъпа;

– администриране на информационни системи;

– разработване и поддръжка на информационни системи;

– планиране на непрекъсната работа;

– контрол на спазването на изискванията за безопасност;

Ръководен документ на Държавната техническа комисия на Руската федерация „Критерии за оценка на сигурността на информационните технологии“. Този документ е разработен в съответствие с GOST R ISO/IEC 15408-2002 и гарантира практическото му използване. Основната цел на РД е внедряването на интегрирани методи за осигуряване сигурността на информационните системи и използването на необходимата функционалност. Тя има за цел да проектира системи за сигурност, подходящи за възможни заплахи и поддържайки баланс между ефективност и цена.

Ръководен документ на Държавната техническа комисия на Руската федерация „Автоматизирани системи. Защита срещу неоторизиран достъп до информация. Класификация на автоматизираните системи и изисквания за защита на информацията”. Този RD определя класификацията на AU и в съответствие с класа определя изискванията към възможните подсистеми.

Ръководен документ на Държавната техническа комисия на Руската федерация „Компютърни съоръжения. Защитни стени. Защита срещу неоторизиран достъп до информация. Индикатори за сигурност от неоторизиран достъп до информация. Първият RD, който няма чужди аналози. Основната идея на този RD е класификацията на защитните стени в съответствие с мрежовия модел OSI, който филтрира потоците от данни.

Към днешна дата в областта на внедряването на системи за сигурност се формира такава концепция като „най-добра практика“. „Най-добрите практики“ са онези политики за сигурност, които отразяват най-добрите процедури за сигурност, инструменти, насоки и стандарти и могат да се използват като еталон за развитие на системи за сигурност. Политиките на компании като Microsoft, IBM, Symantec и др. се считат за референтни.

1. Политика на Symantec

Експертите на Symantec казват, че основата на една ефективна система за сигурност са ръководни документи, които включват: политики за сигурност, международни стандарти, описания на процедури за сигурност и показатели. Всички тези насоки са в състояние да отговорят на три основни въпроса:

Защо е важно да защитаваме информацията?

Какво трябва да се направи, за да се гарантира безопасността?

Как да приложим политиката, както се изисква?

Разработването на интегрирана система за сигурност трябва да включва следните стъпки:

– анализ на информационни активи;

– идентифициране на възможни заплахи;

– анализ и оценка на рисковете за сигурността;

– назначаване на лица, отговорни за осигуряване на сигурността;

– създаване на интегрирана система, в съответствие със стандарти, насоки и процедури;

– управление на системата за сигурност;

2. Правила на Microsoft

Стратегията за информационна политика на Microsoft има четири основни компонента:

- целта за осигуряване на информационната сигурност на компанията;

– стандарти за сигурност на системата

– схема за вземане на решения (въз основа на резултатите от анализ на риска);

– определяне на действия за минимизиране на рисковете;

Процесът на разработване на политика за сигурност е разделен на четири категории:

- организационни (насочени към повишаване на информираността и разширяване на знанията на служителите в областта на информационната сигурност, както и подпомагане на управлението);

– данни и потребители (включва средства за защита като: упълномощаване, защита на лични данни, удостоверяване);

– развитие на системата (проектиране на сигурна система, намаляване на повърхността за атака, осигуряване на лесна употреба);

– поддръжка (редовен мониторинг и логване на системата, реакция при инциденти и инциденти);

За поддържане нивото на сигурност компанията прилага контрол на информационния риск (идентификация, оценка и минимизиране на рисковете). Този подход ви позволява да постигнете баланс между изискванията и начина на защита.

3. Политика на IBM

Специалистите на IBM разграничават четири основни етапа на изграждане на система за сигурност:

– идентифициране на информационни рискове и методи за справяне с тях;

– описание на мерките за защита на активите в съответствие с целите и задачите на компанията;

– описание на действията при инциденти;

– анализ на остатъчни рискове и решение за допълнителна инвестиция в методи за сигурност;

Отговорът на въпроса "Какво трябва да бъде защитено?" - основният аспект на политиката за информационна сигурност, в съответствие със стратегията на IBM. Политиката трябва да бъде създадена с цел минимални промени в бъдеще. Една ефективна политика за сигурност трябва да съдържа:

– цели и задачи за осигуряване на информационна сигурност;

– взаимодействие със стандартите за безопасност и законодателството;

– разширяване на знанията по въпросите на информационната сигурност;

- откриване и елиминиране на вирусни атаки;

– осигуряване на непрекъснатост на бизнеса;

– установяване на ролите и отговорностите на персонала;

– регистриране на инциденти със сигурността;

Следва процесът на създаване на документация, която съдържа правилата за анализ на рисковете на компанията, описание на препоръчителните методи и средства за защита и т.н. Документацията може да подлежи на промяна в съответствие с текущите уязвимости и заплахи.

Въпреки това, в допълнение към правната рамка, системата за информационна сигурност и нейните функции за осигуряване на състоянието на сигурността на обекта трябва да се изпълняват в съответствие със следните принципи:

- легитимност (създаване на система за информационна сигурност, както и прилагане на мерки за защита, които не противоречат на закона и нормативната уредба);

– сложност (разработената система за защита осигурява комплексно прилагане на методи, осигурява защитата на информационните ресурси на техническо и организационно ниво и предотвратява възможни начини за реализиране на заплахи);

– постоянство (осигурява непрекъсната защита на обектите);

- прогресивност (предполага непрекъснато развитие на средствата и методите за защита, в съответствие с развитието на технологиите и методите за атаки);

– рационалност (използване на рентабилни и ефективни средства за защита);

- отговорност (всеки служител гарантира сигурността в рамките на своите правомощия);

– контрол (предполага постоянно наблюдение на защитата и своевременно откриване на заплахи);

– използване на съществуващата система за сигурност (проектираната система се създава на базата на съществуваща система, използвайки стандартен хардуер и софтуер);

- използването на хардуерни и софтуерни компоненти за защита на местното производство (дизайнът на системата за сигурност предвижда преобладаване на домашни технически средства за защита);

- поетапност (за предпочитане е системата за сигурност да се проектира на етапи);

След анализ на съществуващите политики и стандарти за информационна сигурност може да се твърди, че е необходим набор от мерки за осигуряване на подходящо ниво на защита на информацията, включително софтуерни функции, политики за сигурност, методи и организационни структури. В съответствие с това и с основната цел е необходимо да се изпълнят следните задачи:

– да проучи първоначалната информационна и организационна структура на Държавния университет по архитектура и строителство в Нижни Новгород;

- въз основа на резултатите от анализа на първоначалната информационна система, определяне на конкретни заплахи и уязвимости на информационната сигурност;

– определят нивото и класа на първоначалната сигурност на обекта;

– идентифициране на текущи заплахи;

- направи модел на натрапника;

– сравнява изходната система с изискванията на стандартите за сигурност;

– разработване на политика за сигурност и определяне на действия за осигуряване на информационна сигурност;

Изпълнението на горните цели и задачи ще позволи създаването на ефективна система за информационна сигурност на предприятието, която отговаря на изискванията на законодателството и стандартите за информационна сигурност.

1. ИЗУЧАВАНЕ НА ИНФОРМАЦИОННАТА СИСТЕМА НА ПРЕДПРИЯТИЕТО

1.1. Описание на предприятието

Пълно име на организацията : Федерална държавна бюджетна образователна институция за висше професионално образование "Нижегородски държавен университет по архитектура и строителство".

Съкратени имена: NNGASU, Държавен университет по архитектура и строителство в Нижни Новгород.

Пълно име на английски: Нижегородски държавен университет по архитектура и строителство.

Съкратено наименование на английски език: NNGASU.

Местоположение на университета: 603950, област Нижни Новгород, Нижни Новгород, ул. Илинская, 65.

Основател на университета е Руската федерация. Функциите и правомощията на основателя на университета се изпълняват от Министерството на образованието и науката на Руската федерация.

Местоположение на учредителя: 125993, Москва, ул. Тверская, 11.

Ректор - Андрей Александрович Лапшин

FSBEI HPE "Нижегородски държавен университет по архитектура и строителство" е организация с нестопанска цел, създадена за развитие на икономиката и социалната среда на региона, индустрията и Русия чрез подобряване на нивото на образование на студентите въз основа на постиженията на науката, иновациите и технология.

Основните дейности на Федералната държавна бюджетна образователна институция за висше професионално образование "Нижегородски държавен университет по архитектура и строителство":

· Подготовка на конкурентоспособни на руския и международния пазар на труда специалисти в строителството и свързаните с него индустрии, въз основа на съвременни образователни стандарти и научни изследвания;

· Осигуряване на участието на конкурентноспособен научен потенциал в реалните сектори на икономиката на страната;

· Създаване и подобряване на условията, необходими за себереализация, както и професионално израстване на служители и студенти;

· Развитие на междууниверситетското сътрудничество на руско и международно ниво и укрепване на позицията на международната арена;

Общото ръководство на университета се осъществява от Академичния съвет, който включва: ректор (председател на Академичния съвет), заместник-ректори, декани на факултети (по решение на Академичния съвет). Също така организационната структура на университета включва отдели, центрове, отдели и други отдели. Подробната организационна структура е показана на фигура 1.

Фигура 1. Организационна структура на Държавния университет по архитектура и строителство в Нижни Новгород

Държавният университет по архитектура и строителство в Нижни Новгород, с непрекъснато развиваща се структура и модернизирана образователна и научна база, в съвременните условия е активно развиващ се комплекс. Университетът разполага с голяма информационна база, която се съдържа в специализирани програмни продукти. Информационната защита на институцията е представена на доста високо ниво, но в рамките на непрекъснато прогресиращи атаки и нарушения, тя трябва да бъде подобрена.

1.2 Състав на хардуер и софтуер и мрежова структура

Образователният процес в NNGASU е придружен от значителна информационна база, развитието на компютърен парк и въвеждането на модернизирани информационни системи в учебния процес. За осигуряване на учебния процес всички катедри и катедри са оборудвани с персонални компютри и необходимата техника. За решаване на проблеми в областта на приложението на съвременните информационни технологии в университета са оборудвани 8 компютърни класа. Всички персонални компютри на университета са оборудвани с лицензиран софтуер на Microsoft и антивирусна защита. Целият хардуер е представен в таблица 1.

Таблица 1. Състав на хардуера

Днес университетът обръща внимание на компютъризацията на учебния процес. За оптимизиране на учебната дейност университетът притежава всички необходими съвременни софтуерни пакети. Таблица 2 изброява софтуера, използван в NNGASU.

Таблица 2. Софтуер

			Име на софтуерния продукт
	MS Windows сървър
	MS Visual Studio
			Арос - Водач
			1C Enterprise
	Borland Developer Studio
	macromedia dreamviewer
			Панорамна ГИС карта
			СИТИС: Соларис.
			Госстройсмет
			Голяма оценка
			БИЗНЕС - предприятие

Всички компютри на университета са свързани към локалната мрежа и имат достъп до интернет чрез защитена връзка. Оптичните линейни възли са оборудвани с управлявани комутатори. За осигуряване на постоянен достъп до Интернет системата е оборудвана с връзка с два доставчика, които предоставят канали със скорост 20 Mbps и 10 Mbps. При опит за изтегляне на информация, която не е свързана с образователния процес, потребителският трафик се ограничава. На софтуерно ниво на защита се използват различни домейни за студенти и служители.

За прехвърляне на пакети между мрежови сегменти се използва MicroTic рутер, който ви позволява да разпределите натоварването без загуба на данни. През него преминават WAN пакети, отдалечени потребителски сайтове и системни пакети NauDoc.

Мрежовата структура е оборудвана с единадесет физически сървъра, четири от които са виртуални машинни станции. На тези мрежови елементи са инсталирани информационни и справочни материали, сървъри за бази данни, както и пощенски сървъри и сайтове. Институцията разполага с 14 виртуални сървъра с достъп до глобалната мрежа. Основният сървър, който изтича цялата информация, е Nginx. Nginx е уеб сървър, пощенски прокси и TCP прокси. Този сървър получава входящи данни на порт 80 и едва след това ги насочва към необходимите сървъри (Ubuntu, Suse, CentOS, Win2008_IIS, Win7). Структурата на университетската мрежа е показана на фигура 2.

Фигура 2. Мрежовата структура на FSBEI HPE "Нижегородски държавен университет по архитектура и строителство"

Демилитаризираната зона, компютърните лаборатории, ViPNet и самият университет, всеки от тези елементи е включен в отделни виртуални локални мрежи (VLAN), което намалява натоварването на мрежовите устройства (трафикът от един домейн не отива към друг домейн). Освен това тази технология позволява да се изключи неоторизиран достъп, т.к. комутаторът прекъсва пакетите от други виртуални мрежи.

Тъй като институцията използва услугите на два доставчика, има нужда от безпроблемна работа на интернет при превключване от основния канал към резервния. Софтуерният пакет Squid се използва като кеширащ прокси сървър. Основните задачи на Squid в тази институция:

– При посещение на едни и същи сайтове те се кешират, а част от данните идват директно от сървъра;

– Възможност за проследяване на посетени сайтове и изтеглени файлове от системния администратор;

– Блокиране на определени сайтове;

– Разпределение на натоварването между каналите;

Институцията използва Microsoft Forefront Threat Management Gateway като друга защитна стена. В комплекса Microsoft Forefront осигурява високо ниво на сигурност и ви позволява да управлявате сигурността на мрежовата структура. По-специално, Microsoft Forefront TMG е прокси сървър, който ви позволява да се предпазвате от външни атаки, да контролирате трафика и да получавате и препращате входящи пакети.

Институцията използва технологията ViPNet за взаимодействие с Министерството на образованието и науката на Руската федерация. ViPNet осигурява защита в големи мрежи и създава сигурна среда за предаване на информация с ограничен достъп чрез публични комуникационни канали чрез внедряване на виртуална частна мрежа (VPN).

В съвременната корпоративна инфраструктура има необходимост от централизирано управление и хардуерна виртуализация на локалната мрежа. За тази цел университетът използва системата Microsoft Hyper-V, която позволява на системния администратор, в рамките на корпоративната система, да решава няколко проблема:

– повишаване нивото на сигурност;

– защита на информационните ресурси;

– централизирано съхранение на данни;

– мащабируемост;

1.3 Анализ на информационния поток

Информационните ресурси на университета циркулират както вътре в системата, така и по външни канали. За да осигури защитата и подреждането на информацията, университетът използва съвременни информационни системи от различен тип.

Най-значим и мащабен е Tandem e - Learning - цялостна информационна система, която дава възможност за наблюдение на целодневното обучение и прилага дистанционното обучение като един от модернизираните подходи за електронно обучение. Tandem e - Learning е затворен образователен портал, достъпен от университетски служители и студенти чрез регистрация. Достъпът до системата е възможен както от вътрешни компютри, така и от външни устройства.

Друга система за дистанционно обучение е Moodle. Този портал също е частен и изисква регистрация. Също като Tandem, Moodle може да бъде достъпен от външни устройства.

И двата портала са базирани на Системата за управление на образованието (LMS). LMS ви позволява да управлявате и разпространявате образователни материали и да предоставяте споделяне.

Корпоративната информационна система се реализира чрез системата Tandem University.Този портал съдържа информация за учебния процес. Студенти, служители и висше ръководство имат достъп до системата Tandem. Защитата на тази система се осигурява от факта, че тя е изолирана и няма достъп до локалната мрежа. Всички ресурси на корпоративната мрежа са разположени на четири сървъра, два от които съдържат база данни и основен портал и два тестови сървъра.

Документооборотът в университета се осъществява чрез системата NauDoc. Това е облачно базирана система за управление на документи за регистриране, обработка и осчетоводяване на документи в институцията. Достъп до системата имат офисите на университета, филиалите и входящите организации.

Съдържанието на уебсайта на университета се контролира от професионалната система за управление 1C - Bitrix. Предимството на тази система е, че е в състояние да увеличи скоростта на реакция на сайта.

Счетоводният отдел се обслужва чрез автоматизираната система за обработка "ПАРУС - Счетоводство". Този софтуерен пакет ви позволява напълно да автоматизирате счетоводството на активи, сетълменти и средства. Подобно на корпоративната система на Tandem University, "ПАРУС - Счетоводство" е изолирана, като достъп до нея имат само служители от счетоводния отдел.

Университетската библиотека също е автоматизирана и управлявана чрез информационно-библиотечната система МАРК – SQL. Тази система съдържа голям брой информационни ресурси, включително информационен каталог, който се съхранява на отделен Windows сървър.

Също така част от ресурсите се съдържат в следните информационни системи:

– Консултант+ (референтно - правна система);

– TechExpert (информационна и справочна система, съдържаща нормативна, правна и техническа информация в сферата на „Бизнес за бизнеса“);

– Norma CS (справочна система за търсене и използване на стандарти и наредби в проектантската дейност);

– OTRS (система за обработка на заявки);

– RedMine (вътрешна база данни);

– AIST (служба за персонал);

1.4 Анализ на информационните ресурси

Информационната система на Държавния университет по архитектура и строителство в Нижни Новгород съдържа огромно количество информационни ресурси (бази данни, документация, лични данни, архиви, библиотеки), които от своя страна са основният обект на защита. Препоръчително е да се въведат няколко нива на поверителност на информацията:

Ограничена информация:

- Служебна тайна - информация, съдържаща информация за финансите, производството, управлението и други дейности на субекта, чието разкриване може да причини икономически щети;

– Професионална тайна – информация, съдържаща организацията на учебните дейности и процеси.

– Лични данни – всяка информация, съдържаща информация за конкретно лице (информация за студенти, преподаватели и др.);

Споделена информация:

- Укази, постановления, заповеди;

– Информация, съдържаща статистическа информация за образователни дейности;

– Информация, достъпът до която не е ограничен от закона и устава;

1.5 Физическа сигурност на обекти (сигурност)

Обектът е под 24-часово наблюдение чрез охранителен пост. Входът на територията на университета се осъществява с лични пропуски. Посетителите имат право да влизат на територията само ако са придружени от служител на институцията. Университетът внедри противопожарна и противопожарна аларма и постави подходящи датчици. Хардуерът за съхранение на информация (сървъри) се намира в отделно помещение. Съоръжението се наблюдава чрез система за видеонаблюдение.

Основните обекти на защита включват:

– сървъри за бази данни;

– станция за управление на акаунти;

– ftp и www - сървъри;

– LAN счетоводство и др.;

– Данни от архиви, финансови, статистически и учебни отдели;

– Външни и вътрешни информационни ресурси;

2. АНАЛИЗ И РАЗРАБОТКА НА МОДЕЛА НА ЗАПЛАХИТЕ

2.1 Класификация и анализ на източниците на заплахи и уязвимости в сигурността

В информационната сигурност заплахата е потенциално събитие или действие, което може да повлияе на работата на компютърна мрежа и да доведе до повреда на системата за сигурност. Когато са изложени на ресурси, заплахите водят до неоторизиран достъп, изкривяване и разпространение на защитени данни. Препоръчително е източниците на заплахи да се разделят на следните групи:

- антропогенни заплахи (случайни грешки в развитието и работата на компонентите на системата за сигурност, умишлени действия на нарушителя);

– техногенни заплахи (откази и откази на техническо оборудване);

– природни опасности (естествени заплахи за сигурността);

Таблица 2 представя класификацията и възможните заплахи, специфични за институцията.

Таблица 2. Класификация на източниците на заплаха

Антропогенни източници на заплахи
Вътрешен
Лица с оторизиран достъп до охранителни обекти (ръководство, учители, студенти)	Потенциални хакери
Представители на отдел „Охрана и режим“.	Доставчици на информационни услуги (доставчици,
Представители на отдел „Информатизация“ (системен администратор, разработчици)	Представители на аварийни и ревизионни служби
Технически и обслужващ персонал (чистачи, електротехници, водопроводчици, дърводелци)	Безскрупулни партньори
Техногенни източници на заплахи
Вътрешен
Хардуер за обработка на информация с лошо качество	Комуникационни средства (канали за предаване на информация)
Отказ и повреда на съоръженията за съхранение на информация	Структурата на инженерните комуникации
Незащитени средства за предаване на информация	Зловреден софтуер и вируси
Провали в сигурността

Естествените източници на заплахи се характеризират с непреодолима сила и се отнасят за всички съоръжения за сигурност. Такива заплахи са трудни за прогнозиране и предотвратяване. Основните природни източници на заплахи са: пожари, наводнения, урагани и непредвидени обстоятелства. През цялото време трябва да се прилагат защитни мерки срещу природни опасности.

По отношение на горните заплахи, най-вероятните и опасни са неволните действия на вътрешни потребители и лица, пряко свързани с компютърната мрежа.

Най-честите и най-опасни (от гледна точка на размера на щетите) са неволни грешки на обикновени потребители, оператори, системни администратори и други лица, които поддържат компютърна мрежа. Антропогенните заплахи са най-вероятни, тъй като е възможно да се предвидят действията на хората и да се предприемат подходящи мерки за противодействие, които от своя страна зависят от действията на лицата, отговорни за осигуряване на информационната сигурност.

Заплахите обикновено са резултат от уязвимости, които от своя страна водят до пробиви в сигурността. Уязвимостта е недостатък в системата, който позволява заплахата да бъде успешно реализирана и целостта на системата да бъде компрометирана. Уязвимостите могат да възникнат по няколко причини:

- грешки при създаването на софтуер (SW);

– умишлено въвеждане на уязвимости на етапа на проектиране на софтуера;

– неоторизирано използване на зловреден софтуер и в резултат на това загуба на ресурси;

– неволни действия на потребителите;

– нарушение в работата на софтуера и хардуера;

Съществуват следните уязвимости:

Цел (уязвимости, които зависят от техническото оборудване на информационната система):

– Хардуерни отметки (отметки за техническо и периферно оборудване);

– Софтуерни отметки (злонамерен софтуер);

Субективни (уязвимости в зависимост от действията на хората):

– Грешки (неправилно използване на софтуер и хардуер от потребителите, грешно въвеждане на данни);

– Нарушения (нарушаване на правилата за политика за сигурност на информацията, нарушаване на достъпа и поверителността, нарушаване на работата на хардуера);

Случайни (уязвимости, причинени от средата около информационната система)

– Откази (отказ на съоръжения за обработка на данни, отказ на мрежови съоръжения, отказ на системата за контрол и сигурност, отказ на софтуер);

– Неизправности (прекъсвания на електрозахранването);

– Повреда (повреда на комунални услуги);

Отслабването или елиминирането на уязвимостите влияе върху вероятността от прилагане на заплахи за информационната сигурност.

2.2 Модел Intruder

Осигуряването на защита на информационните активи на университета е специфично, тъй като това е институция с непостоянна публика. Поради факта, че атаките могат да идват от всякакви участници, е полезно да ги разделим на две категории: външни нарушители и вътрешни нарушители. Външен нарушител е лице, което не е служител и няма достъп до информационната система. Тази категория включва:

- хакери (субекти, които създават и прилагат атаки с цел причиняване на щети и получаване на информация с ограничен достъп): чрез неоторизиран достъп до информационни системи могат да унищожат или променят информация; въвеждането на злонамерени програми и вируси, хардуерни и софтуерни отметки, последвани от неоторизиран достъп);

– доставчици и доставчици на хардуер и софтуер (осъществяване на неоторизиран достъп чрез работни станции до информационни ресурси и комуникационни канали);

Всички останали субекти са вътрешни нарушители. В съответствие с ръководния документ на FSTEC „Базов модел на заплахи за сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни“, вътрешните нарушители са разделени на осем категории:

1. Лица, които имат разрешен достъп до ИСПД, но нямат достъп до ПД.

По отношение на тази институция ръководството, отделът по информатизация, има такива права. В съответствие с техните права тези лица могат: да имат достъп до определени части от ДП, които се разпространяват по вътрешни канали; познава информация за ISPD топологията, комуникационните протоколи и услуги; идентифицира имената и паролите на регистрираните потребители; промяна на конфигурацията на хардуера и софтуера.

2. Регистрирани потребители на ISPD, които имат ограничен достъп до ресурсите на ISPD от работното място.

Тази категория включва служители на отдели, преподаватели и студенти на институцията. Лицата от тази категория: имат един идентификатор и парола; имат поверителни данни, до които имат разрешен достъп.

3. Регистрирани потребители на ISPD, предоставящи отдалечен достъп до PD чрез локални и (или) разпределени информационни системи.

4. Регистрирани ISPD потребители с права на администратор на сигурността на ISPD сегмент.

Лица в тази категория: имат информация за софтуер, хардуер, използван в този сегмент; има достъп до съоръжения за защита и регистриране и до ISPD хардуер.

5. Регистрирани потребители с права на ISPD системен администратор.

Лица от тази категория: познава информация за софтуера и хардуера на цялостната ИСПД; има физически достъп до целия хардуер; има право да конфигурира хардуера.

6. Регистрирани потребители с администраторски права за сигурност на ISPD.

7. Програмисти - разработчици на софтуер и лица, които го придружават в този обект.

Лицата от тази категория: познават процедурите и програмите за обработка на данни за ISPD; може да въведе грешки, грешки и злонамерен код на етапа на разработка; може да знае информация за топологията и хардуера на ISDN.

8. Разработчици и лица, осигуряващи доставка, поддръжка и ремонт на хардуер на ISPD.

Във връзка с тази институция вътрешните нарушители включват:

– потребители на информационни ресурси (персонал на отдели, катедри и други звена, преподаватели, студенти) (неволно модифициране или унищожаване на данни; инсталиране на зловреден и несертифициран софтуер; прехвърляне на индивидуална парола на неоторизирани лица);

– лица, обслужващи и поддържащи информационната система (случайна или умишлена неправилна конфигурация на технически или мрежови съоръжения);

- други лица, които имат достъп до обекти за обработка на информация (технически и обслужващ персонал) (непреднамерено нарушаване на работоспособността на съоръженията за захранване и инженерните съоръжения);

Особена и най-значима категория нарушители са учениците. Към днешна дата много от тях са доста добре обучени и разбират киберпространството. Чрез известна манипулация учениците са в състояние да произведат серия от пробиви в сигурността и щети.

2.3 Идентифициране на реални заплахи за информационната система

За да се определят действителните заплахи за сигурността, трябва да се вземат предвид две стойности. Първият показател е нивото на първоначална сигурност на информационната система. Това е обобщен показател, който зависи от техническите характеристики на системата. Таблица 4 показва изчисляването на първоначалната сигурност на информационната система, която се определя от процентното съотношение на определено ниво на сигурност към всички налични показатели за сигурност.

Таблица 4. Изчисляване на първоначалната сигурност на институцията

Индикатори за сигурност	Ниво на сигурност
Технически и експлоатационни характеристики на ИСПД
По местоположение:
разпределен ИСПД, който обхваща няколко региона, територии, области или държавата като цяло;
градски ИСПД, обхващащ не повече от едно населено място (градове, селища);
корпоративен разпределен ISPD, обхващащ много подразделения на една организация;
локален (кампусен) ISPD, разположен в няколко тясно разположени сгради;
локален ISPD, разположен в една сграда
По наличие на връзка с обществени мрежи:
ISPDn с многоточков достъп до публичната мрежа;
ISPDn, който има достъп от една точка до публичната мрежа;
ISPD, физически отделена от публичната мрежа
За вградени (легални) операции със записи на бази с лични данни:
четене, търсене;
запис, изтриване, сортиране;
модификация, прехвърляне
За да ограничите достъпа до лични данни:
ISPD, до който имат достъп служители на организацията, която притежава ISPD, посочени в списъка, или субект на PD;
ISPD, до който имат достъп всички служители на организацията, която притежава ISPD;
ISPD с отворен достъп
Чрез наличието на връзки с други PD бази данни на други ISPD:
интегриран ISPD (организацията използва няколко PD ISPD бази данни, докато организацията не е собственик на всички използвани PD бази данни);
ISPD, който използва една PD база данни, собственост на организацията - собственик на този ISPD
По нивото на генерализация (деперсонализация) на PD:
ISPD, в който предоставените на потребителя данни са анонимизирани (на ниво организация, индустрия, регион, регион и т.н.);
ISPD, в който данните се анонимизират само когато се прехвърлят към други организации и не се анонимизират, когато се предоставят на потребител в организация;
ISPD, в който данните, предоставени на потребителя, не са анонимизирани (т.е. има информация, която ви позволява да идентифицирате обекта на PD)
По обем PD, които са предоставени трети страни потребители на ISPD без предварителна обработка:
ISPD, който предоставя цялата база данни с PD;
ИСПД, осигуряваща част от ПД;
ISPD, който не предоставя никаква информация.
Брой решения

Въз основа на резултатите от анализа може да се заключи, че ИСПД на институцията е със средно ниво на сигурност. В съответствие с получения резултат се въвежда коефициентът Y 1 = 5. Този коефициент е първият параметър при определяне на релевантността на заплахите.

Следващият параметър е вероятността от заплахата ( Y 2). Този показател се определя от експерт и има четири възможни стойности:

- малко вероятно (липса на обективни предпоставки за осъществяване на заплахата - 0);

- ниска вероятност (съществуват очевидни предпоставки за осъществяване на заплахата, но съществуващите средства за защита затрудняват изпълнението й - 2);

– средна вероятност (има предпоставки за реализиране на заплахи, а първоначалните методи за защита са недостатъчни - 5);

- висока вероятност (има обективни предпоставки за реализиране на заплахи и не са взети мерки за сигурност - 10);

Въз основа на получените параметри се изчислява коефициентът на реализация на заплахата Y, който се определя по формулата Y = ( Y 1 +Y 2)/20. Според резултата Y приема следните стойности:

– 0 < Y < 0,3 - низкая реализуемость угрозы;

– 0,3 < Y < 0,6 - средняя реализуемость угрозы;

– 0,6 < Y < 0,8 - высокая реализуемость угрозы;

– Y > 0.8 - много висока осъществимост на заплахата;

Следващата стъпка е да се оцени опасността от заплахата. Тази оценка е дадена от специалист по безопасност и има следните стойности на опасност:

- ниска опасност - изпълнението на заплахата може да причини незначителни щети;

- средна опасност - изпълнението на заплахата може да причини щети;

- висока опасност - изпълнението на заплахата може да причини значителни щети;

В таблица 5 е представена матрица за изчисляване на релевантността на заплахите, която се получава, като се вземат предвид всички горепосочени показатели.

– «+» - заплахата е действителна;

– «-» - заплахата е без значение;

Таблица 5. Матрица за изчисляване на релевантността на заплахата

Стойност на осъществимостта на заплахата	Значение на опасност от заплаха
Много високо

В резултат на анализа на първоначалната сигурност на институцията и матрицата на релевантността на заплахите, заплахите, характерни за тази институция и тяхната релевантност, бяха определени съгласно следния план: заплаха (вероятност за заплаха; осъществимост на заплаха ; оценка на риска от заплаха) - релевантно/нерелевантно.

1. Неоторизиран достъп до територията на институцията, до хардуерни обекти, документация (ниска вероятност (2); средна осъществимост (0,35); висока опасност) - действително;

2. Кражба или повреда на оборудването на автоматизираната система (малко вероятно (0); ниска осъществимост (0,25); висока опасност) - релевантно;

3. Неумишлено унищожаване и модифициране на информация (средна вероятност (5); средна осъществимост (0,5); висока опасност) - релевантно;

4. Кражба на хартиени информационни ресурси (малко вероятно (0); ниска осъществимост (0,25); средна опасност) - без значение;

5. Изтичане на поверителни данни през мобилни устройства и лаптопи (малко вероятно (0); ниска осъществимост (0,5); средна опасност) - без значение;

6. Неумишлено превишаване на правата за използване на оборудване поради липса на съответните знания (средна вероятност (5); средна осъществимост (0,5); средна опасност) - релевантно;

7. Прихващане на предавана информация чрез сканиране на мрежовия трафик (ниска вероятност (2); средна осъществимост (0,35); висока опасност) - уместно;

8. Инсталиране на зловреден софтуер на трета страна (ниска вероятност (2); средна осъществимост (0,35); средна опасност) - уместно;

9. Промяна на конфигурацията на софтуерните компоненти (средна вероятност (5); средна осъществимост (0,5); висок риск) - уместно;

10. Унищожаване или модифициране на потребителски регистрационни данни (малко вероятно (0); ниска осъществимост (0,25); нисък риск) - без значение;

11. Неумишлено разкриване на поверителна информация от служители (висока вероятност (10); висока осъществимост (0,75); висока опасност) - релевантно;

12. Различни видове лъчения, които могат да повлияят на работата на технически средства (малко вероятно (0); ниска осъществимост (0,25); средна опасност) - без значение;

13. Отказ и повреда на мрежово оборудване (средна вероятност (5); средна осъществимост (0,5); средна опасност) - реално;

14. Унищожаване на данни поради грешки или отказ на хардуер и софтуер (средна вероятност (5); средна осъществимост (0,5); висока опасност) - релевантно;

15. Програмни отметки (ниска вероятност (2); средна осъществимост (0,35); средна опасност) - реално;

16. Използване на чужди регистрационни данни за въвеждане на информационни услуги (средна вероятност (2); средна осъществимост (0,35); висок риск) - релевантно;

17. Нарушение на режим и защитни мерки (малка вероятност (2); средна осъществимост (0,35); средна щета) - реално;

След като анализираме текущите заплахи, можем да заключим, че всички те са елиминирани чрез технически и организационни мерки. Таблица 6 представя мерки за борба с текущите заплахи, които могат да се използват в университета за защита на данните.

Таблица 6. Методи за борба с текущите заплахи

текуща заплаха	Технически мерки за борба със заплахата	Организационни мерки за борба със заплахата
Неоторизиран достъп до хардуерни обекти с възможност за кражба или повреда на оборудването	- СОТ и видеонаблюдение; - кодова брава - блокер за влизане в помещението със сървъри;	- охранителен режим на достъп; - контрол на съоръженията за обработка на информация;
Неумишлено унищожаване или модифициране на информация от служители	Използване на инструменти за защита на данните и архивиране;	Инструктаж на служителите;
Неволно превишаване на правата за използване на оборудване поради липса на съответните познания	Използване на средства за защита срещу неоторизиран достъп;	- инструктаж на служителите; - разграничаване на правата за достъп;
Прихващане на мрежов трафик	- криптиране на данни; - използване на защитна стена;	- брифинг на администратора по сигурността; - отчитане на средствата за защита на данните;
Инсталиране на зловреден софтуер и промяна на софтуерната конфигурация	Използване на средства за антивирусна защита;	- инструктаж на служителите;
Неволно разкриване на поверителна информация от служители		- инструктаж на служителите; - съставяне на акт за неотклонение;
Отказ и отказ на мрежово оборудване с последващо унищожаване на информация	-използване на източници на непрекъснато писане; -използване на сертифициран хардуер и софтуер; Архивиране на данни;	Инструктаж на системния администратор;
Програмни отметки	- използване на сертифициран софтуер; - използване на антивирусна защита;	- инструктаж на служителите; - брифинг на администратора;
Използване на чужди регистрационни данни за въвеждане на информационни услуги		- инструктаж на служителите; -инструктиране на администратора по сигурността;

Методите за борба със заплахите, посочени в таблицата, ще бъдат взети предвид и използвани при разработването на политиката за сигурност на университета.

2.4. Определяне на класа на сигурност на информационната система

За да се разработи ефективна система за сигурност за институция, е необходимо да се определи класът на сигурност на изходната система. За целта беше извършен анализ на информационната система и бяха получени следните резултати:

– Системата обработва информация с различни нива на поверителност;

– Системата обработва данни с класификация „секретно“;

– Информационната система е многопотребителска;

- Разрешения...

Подобни документи

Същност на информацията, нейната класификация. Основните проблеми на осигуряването и заплахите за информационната сигурност на предприятието. Анализ на риска и принципи на корпоративната информационна сигурност. Разработване на комплекс от мерки за осигуряване на информационна сигурност.

курсова работа, добавена на 17.05.2016 г


Анализ на инфраструктурата на LLC магазин "Стил". Създаване на система за информационна сигурност на счетоводния отдел на предприятие на базата на предпроектно проучване. Разработване на концепция, политика за информационна сигурност и избор на решения за нейното осигуряване.

курсова работа, добавена на 17.09.2010 г


Стратегия за корпоративна информационна сигурност под формата на система от ефективни политики, които биха определили ефективен и достатъчен набор от изисквания за сигурност. Идентифициране на заплахи за информационната сигурност. Вътрешен контрол и управление на риска.

курсова работа, добавена на 14.06.2015 г


Разработване на структурни и инфологични модели на информационната система на държавна институция. Списък и анализ на заплахи, обекти на атака, видове загуби, размер на щетите, източници. Защита на базата данни с поверителна информация и разработване на политика за сигурност.

курсова работа, добавена на 15.11.2009 г


Основни понятия, методи и технологии за управление на риска за информационната сигурност. Идентифициране на риск, активи, заплахи, уязвимости, съществуващ контрол, последствия. Оценка и намаляване на риска. Примери за типични заплахи за информационната сигурност.

презентация, добавена на 04/11/2018


Нормативни документи в областта на информационната сигурност в Русия. Анализ на заплахите на информационните системи. Характеристики на организацията на системата за защита на личните данни на клиниката. Внедряване на система за удостоверяване чрез електронни ключове.

дисертация, добавена на 31.10.2016 г


Характеристика на информационните ресурси на земеделско стопанство "Ашатлъ". Заплахи за информационната сигурност, специфични за предприятието. Мерки, методи и средства за защита на информацията. Анализ на недостатъците на съществуващата и предимствата на актуализираната система за сигурност.

курсова работа, добавена на 03.02.2011 г


Понятието, значението и направленията на информационната сигурност. Систематичен подход за организиране на информационната сигурност, защита на информацията от неоторизиран достъп. Средства за защита на информацията. Методи и системи за информационна сигурност.

резюме, добавено на 15.11.2011 г


Анализ на риска за информационната сигурност. Идентифициране на уязвимостите на активите. Оценка на съществуващи и планирани средства за защита. Набор от проектирани правни, организационни и административни средства за осигуряване на информационна сигурност.

дисертация, добавена на 03.04.2013 г


Разработване на информационна система на университет с помощта на метода на обектно-ориентираното моделиране UML. Анализ на системните изисквания. Концептуален (съдържателен) модел. Диаграма на компоненти и класове. Софтуерна реализация на приложението.

А.В. ВОЛКОВ
системен администратор на Саратовския държавен социално-икономически университет

Университетите изиграха ключова роля в развитието на компютърните технологии и софтуера. Те разработват, тестват и внедряват съвременни ИТ проекти. С нарастването на киберпрестъпността защитата на поверителна информация и разработки в образователните институции става особено актуална.

Отчитане на спецификата

Университетите са инфраструктура, която разполага с огромна база данни, съдържаща информация от различно естество. Това са не само ръководства за обучение в електронен вид, но и важни дизайнерски и изследователски разработки. Ръстът на престъпленията в областта на високите технологии диктува своите изисквания за защита на ресурсите на компютърните мрежи на образователните институции и поставя задачата за изграждане на собствена интегрирана система за сигурност. Неговото решение включва наличието на регулаторна рамка, формирането на концепция за сигурност, разработването на мерки, планове и процедури за безопасна работа, проектирането, внедряването и поддръжката на технически средства за защита на информацията (ISP) в рамките на образователен институция. Тези компоненти определят единна политика за информационна сигурност в университета.

Спецификата на защитата на информацията в образователната система се състои в това, че университетът е публична институция с непостоянна аудитория, както и място на повишена активност на „начинаещи киберпрестъпници“. Основната група потенциални нарушители тук са студентите, някои от които имат доста високо ниво на познания по компютри и мрежи. Възрастта - от 18 до 23 години - и младежкият максимализъм насърчава такива хора да покажат знанията си пред съученици: организират вирусна епидемия, получават административен достъп и "наказват" учителя, като блокират достъпа до интернет. Достатъчно е да припомним, че първите компютърни престъпления са родени в университета (червеят Morris).

Учениците имат достъп само до компютърни кабинети, а вътрешната заплаха идва от тях. Работата на учениците и учителите в такива класни стаи трябва да се регулира със заповед (акт) на администрацията. За да се избегне въвеждането на злонамерена информация във вътрешната мрежа е желателно компютрите да нямат дискови устройства и usb портовете да са забранени.

Анализ на заплахите, техните източници и рискове

Компютърните мрежи на образователните институции са набор от мрежови ресурси за образователни дейности, работни станции на персонала, устройства за функционирането на мрежата като цяло.

Източници на възможни заплахи за информацията са: компютъризирани класни стаи, в които се провежда учебният процес;

• Интернет;
• работни станции на университетски служители, неквалифицирани в областта на информационната сигурност.

Анализът на информационния риск може да бъде разделен на следните етапи:

• класификация на обектите, подлежащи на защита, според тяхната значимост;
• определяне на привлекателността на обектите за защита от кракери;
• идентифициране на възможни заплахи и вероятни канали за достъп до обекти;
• оценка на съществуващите мерки за сигурност;
• идентифициране на уязвимостите на отбраната и начините за отстраняването им;
• съставяне на класиран списък на заплахите;
• оценка на щетите от неоторизиран достъп, атаки за отказ на услуга, повреди на оборудването.

Основните обекти, които се нуждаят от защита от неоторизиран достъп:

• счетоводна локална мрежа, данни на планово-финансовия отдел, както и статистически и архивни данни;
• сървъри за бази данни;
• конзола за управление на акаунти;
• www/ftp сървъри;
• LAN и сървъри за изследователски проекти.

Правила за работа

За удостоверяване на потребителите на работните станции на преподавателския персонал, компютрите в класните стаи може да се използва ролеви контрол на достъпа (RAC). Същността на технологията е да създаде определена "роля, която обвързва потребителя и неговите привилегии в системата. С негова помощ можете ефективно да изградите гъвкава политика за контрол на достъпа в многопотребителска система.

RUD значително улеснява администрирането на многопотребителски системи чрез установяване на връзки между "роли" и потребители. За всеки потребител могат да бъдат активирани няколко "роли" наведнъж, които могат да бъдат присвоени едновременно на няколко потребители наведнъж.

Използването на мрежовата операционна система Novell Netware ви позволява централно да управлявате процеса на идентифициране на потребители в обща университетска мрежа, да проследявате техните действия и да ограничавате достъпа до ресурси. Инструментите за информационна сигурност (ISZ) вече са вградени в тази операционна система на основните нива и не са добавка под формата на каквото и да е приложение.

Novell NetWare OS съдържа следните нива на механизми за сигурност:

• защита на потребителската информация;
• защита с парола;
• защита на директорията;
• защита на файлове;
• защитна стена.

За всеки потребител, регистриран в тази ОС, има правила, указващи списъка с ресурси, до които има достъп, правата за работа с тях. За да помогнете на администратора, използвайте конзолата за управление на акаунти. Възможно е да се ограничи правото на потребителя да влиза в мрежата по време, дата и конкретни работни станции. ACL и така наречените контексти се използват като система за контрол на достъпа. За всеки контекст се дефинира списък с налични мрежови ресурси. Това ви позволява да споделяте достъп до ресурси между администрацията, университетския персонал и студентите. Освен това можете да зададете допълнителни групови правила в конкретен контекст (например да разделите достъпа до контекста на студентите по отдел, без да използвате подконтексти). Вградените инструменти за откриване и предотвратяване на атаки ви позволяват бързо да идентифицирате нарушителя.

Често в кампуса на университета се разполага безжична мрежа, достъпът до която обикновено е безплатен. Струва си да използвате такава схема, когато безжичните точки за достъп не са свързани към вътрешната мрежа на университета. По правило комуникацията с Интернет се осъществява едновременно чрез няколко комуникационни линии (оптична опора, сателит и радио канали). Предвидени са отделни канали за комуникация с други университети или за защитен обмен на данни. За да се елиминират рисковете, свързани с изтичане и повреда на предаваната информация, такива мрежи не трябва да се свързват с глобалните мрежи и общата университетска мрежа.

Критичните възли за обмен на университетски данни (счетоводна LAN) също трябва да съществуват отделно.

отбранителни линии

Първата линия на защита срещу атаки отвън (Интернет) е рутер (рутер). Използва се за свързване на мрежови секции помежду си, както и за по-ефективно разделяне на трафика и използване на алтернативни пътища между мрежовите възли. Функционирането на подмрежите и комуникацията с широкообхватни мрежи (WAN) зависи от неговите настройки. Основната му грижа за сигурността е защитата срещу DDOS (Distributed Denial of Service) атаки.

ITU може да служи като втората граница: хардуерната и софтуерна система Cisco PIX Firewall.

След това идва DMZ. В тази зона си струва да поставите главния прокси сървър, dns сървър, www/ftp, пощенски сървъри. Прокси сървърът обработва заявки от работни станции на образователен персонал, сървъри, които не са директно свързани с рутера, и филтрира трафика. Политиката за сигурност на това ниво трябва да се определя чрез блокиране на нежелан трафик и запазването му (филтриране на мултимедийно съдържание, iso изображения, блокиране на страници с нежелано/нецензурно съдържание по ключови думи). За да предотвратите изтеглянето на информация, заразена с вируси, е оправдано да хоствате антивирусна програма (например ClamAV) на този сървър. За по-подробен анализ и контрол на трафика трябва да се използва IDS (като Snort).

Информацията от прокси сървъра се изпраща паралелно към статистическия сървър, където можете да преглеждате и анализирате потребителската активност в Интернет. Пощенският сървър трябва да има антивирусна програма за поща, например Kaspersky AntiVirus за пощенски сървъри.

Тъй като тези сървъри са свързани директно към глобалната мрежа, одитът на инсталирания на тях софтуер е основна задача на инженера по информационна сигурност на университета. За спестяване на разходи и гъвкавост при персонализиране е желателно да се използва операционна система и софтуер с отворен код. Най-разпространените операционни системи са FreeBSD и GNU Linux. Но нищо не ви пречи да използвате по-консервативната OpenBSD или дори ултрастабилната операционна система в реално време QNX.

Търсенето на антивирусни инструменти нараства всяка година и не заобикаля инфраструктурата на университетите.

За да управлявате централно антивирусните дейности, имате нужда от продукт с архитектура клиент-сървър, като Dr.Web Enterprise Suite. Позволява ви да управлявате централно настройките и да актуализирате антивирусните бази данни с помощта на графична конзола и да предоставяте лесни за четене статистически данни за вирусната активност, ако има такава.

За по-голямо удобство на служителите на университета можете да организирате достъп до вътрешната мрежа на университета с помощта на VPN технология.