Сьогодні в умовах широкої доступності Інтернету та стрімкого розвитку засобів зв'язку стає дуже помітним розрив між очікуваннями студентів та тим, що можуть їм запропонувати навчальні заклади. Методи роботи в освіті повинні постійно розвиватися, слідуючи за соціальними змінами та технологічним розвитком. При цьому не на останньому місці знаходиться забезпечення захисту як освітніх матеріалів та іншої інформації обмеженого доступу, так і ІТ-інфраструктури від випадкових або спрямованих атак.

Сучасні технології забезпечення інформаційної безпеки (ІБ) допомагають навчальним закладам вирішувати завдання, що стоять у наступних основних напрямках:

Організація захищеного доступу до освітніх матеріалів та систем з будь-якої точки світу;

Захист інформації обмеженого доступу (персональні дані, комерційна таємниця тощо) та захист інтелектуальної власності;

Виконання вимог законодавства у сфері інформаційної безпеки (захист персональних даних, захист прав на інтелектуальну власність, захист дітей від негативної інформації).

Проблема №1: різні групи користувачів

Сучасний університет та його мережа - це різнорідне середовище, в якому стикаються інтереси та дані різних груп користувачів. В університетській мережі можуть зустрічатися такі категорії користувачів з різними вимогами щодо інформаційної безпеки: студенти університету та студенти, які приїхали до університету з обміну; викладачі та адміністрація; школярі, які відвідують підготовчі курси перед вступом до ВНЗ; відвідувачі платних курсів та курсів підвищення кваліфікації, які пропонує ВНЗ з метою отримання додаткових джерел доходів, а також представники організацій, які забезпечують університет комерційними замовленнями, наприклад, в області НДДКР.

Проблема №2: трансформація способів доступу та концепція «Будь-який пристрій»

Оскільки периметр традиційної мережі університетського кампусу продовжує розмиватися і середовище університету поступово втрачає межі, смартфони, планшети, інші кінцеві пристрої та веб-додатки незворотно змінюють освітній процес, надаючи можливість отримувати доступ до навчальних матеріалів з будь-якої точки світу — з вузівської аудиторії, гуртожитку, власного житла, університетського містечка, іншого ВНЗ, куди студенти вирушають для обміну досвідом тощо. Cisco використовує концепцію «Будь-який пристрій», яка передбачає розширення свободи вибору пристроїв користувачами університетського кампуса за умови збереження загальних та передбачуваних умов роботи. Все це підтримує чи навіть збільшує рівень конкурентоспроможності, продуктивності та безпеки навчального закладу.

Разом з тим, при впровадженні концепції «Будь-який пристрій» виникає ціла низка завдань ІБ, які необхідно вирішити. У такому разі потрібно забезпечити:

Запобігання несанкціонованому підключенню мережевих абонентських пристроїв: стаціонарних комп'ютерів (робочих станцій або АРМ), ноутбуків (мобільних АРМ), мобільних пристроїв (планшетних ПК під керуванням ОС Android та iOS), мережевих принтерів та IP-телефонів до університетської мережі;

Виконання вимог та рекомендацій діючих політик інформаційної безпеки, а також забезпечити можливість віддаленого контролю мобільних пристроїв, що підключаються до університетської мережі, на предмет відповідності діючим політикам ІБ;

Крім того, має бути забезпечено організацію логічного поділу університетської мережі на зони безпеки без зміни існуючої інфраструктури (існуючого поділу мережі на сегменти), з метою виділення гостьових зон та зон обмеженого доступу для підключення абонентських пристроїв різних груп користувачів, а також мобільних пристроїв (планшетних ПК). під керуванням ОС Android та iOS) користувачів.

Проблема №3: ​​захист інформаційних систем та інформації обмеженого доступу

Сучасний університет – це джерело різноманітної інформації, яка потребує захисту. Мова йде про:

Персональні дані студентів, викладачів, адміністрації та інших категорій користувачів;

Відомості, що становлять комерційну таємницю університету та дозволяють йому випереджати інші ВНЗ у галузі надання більш якісної освіти та освітніх програм, а також більш прогресивних методів навчання;

Розроблених університетом освітніх матеріалах, доступ яких має бути або обмежений, або контрольованим, т.к. вони є інтелектуальну власність;

Придбаних університетом програмному забезпеченні або ліцензіях, крадіжка яких може погіршити становище навчального закладу в конкурентній боротьбі або спричинити настання кримінальної чи адміністративної відповідальності.

Зрештою, захисту підлягають результати тих НДДКР, які університет може проводити на замовлення комерційних чи державних замовників.

Крім захисту інформації обмеженого доступу, має бути забезпечена безпека інформаційних систем освітнього процесу. Випадкове чи цілеспрямоване виведення цих систем з ладу може зірвати процес навчання та порушити договірні умови (у разі платного навчання або реалізації різних НДДКР).

Проблема №4: законодавчі обмеження

Крім захисту інформаційних систем та інформації, що забезпечують університету конкурентні переваги, система забезпечення інформаційної безпеки має давати можливість виконувати законодавчі ініціативи, спрямовані на захист прав та інтересів різних груп громадян та організацій. До нормативних актів, які ВНЗ зобов'язаний виконувати, насамперед належать:

Федеральний закон від 28 липня 2012 року №139-ФЗ «Про внесення змін до федерального закону „Про захист дітей від інформації, що завдає шкоди їх здоров'ю та розвитку“ та окремі законодавчі акти Російської Федерації з питання обмеження доступу до протиправної інформації в мережі Інтернет»;

Федеральний закон від 2 липня 2013 № 187-ФЗ «Про внесення змін до законодавчих актів Російської Федерації з питань захисту інтелектуальних прав в інформаційно-телекомунікаційних мережах».

Проблема №5: зростання кількості загроз

Середовище загроз мережевої безпеки перебуває у постійному розвитку. Лідируючі позиції в ній займають спеціально написані, приховані загрози, яким все частіше вдається долати традиційні методи та засоби захисту. Ці загрози проникають всередину мережі - на рівень ядра, рівень поширення та рівень доступу користувачів, де захист від загроз та їх видимість знаходяться на мінімальному рівні. Звідти ці погрози легко вибирають свої цілі - конкретні ресурси і навіть конкретних людей в університеті. Мета сучасних кібер-загроз полягає аж ніяк не в отриманні популярності та слави і навіть не у створенні прибуткового ботнету, а в захопленні та крадіжці інтелектуальної власності або комерційних та інших таємниць для досягнення конкурентних переваг.

Рішення Cisco у сфері інформаційної безпеки

Cisco SecureX Architecture™ – це архітектура безпеки нового покоління, що поєднує гнучкі рішення, продукти та сервіси для формування та реалізації узгодженої бізнес-політики у масштабі всієї розподіленої мережі сучасного університету. Архітектура Cisco SecureX об'єднує збирання відомостей про глобальні загрози та облік контексту для вирішення унікальних проблем безпеки, таких як зростання числа високомобільних користувачів, розширення кола мобільних пристроїв з підтримкою мережі або перехід на хмарні інфраструктури та сервіси.

Cisco SecureX відповідає потребам сучасних мереж з розмитим периметром, забезпечуючи ефективний захист для будь-якого користувача, що працює на будь-якому пристрої будь-де і будь-коли. Ця нова архітектура безпеки використовує мову політик вищого рівня, який розуміє повний контекст ситуації - хто, що, де, коли і як. Завдяки розподіленій реалізації політик безпеки процес захисту переміщується ближче до місця роботи кінцевого користувача в будь-якій точці планети, тим самим дозволяючи не тільки убезпечити кожен пристрій або користувача, але і при необхідності локалізувати загрозу якомога ближче до її джерела.

Рішення, що входять до Cisco SecureX, відповідають вимогам російських органів державної влади, уповноважених в галузі інформаційної безпеки, і мають понад 600 різних сертифікатів ФСТЕК і ФСБ з вимог безпеки.

Сьогодні в умовах широкої доступності Інтернету та стрімкого розвитку засобів зв'язку стає дуже помітним розрив між очікуваннями студентів та тим, що можуть їм запропонувати навчальні заклади. Методи роботи в освіті повинні постійно розвиватися, слідуючи за соціальними змінами та технологічним розвитком. При цьому не на останньому місці знаходиться забезпечення захисту як освітніх матеріалів та іншої інформації обмеженого доступу, так і ІТ-інфраструктури від випадкових або спрямованих атак.

Сучасні технології забезпечення інформаційної безпеки (ІБ) допомагають навчальним закладам вирішувати завдання, що стоять у наступних основних напрямках:

Організація захищеного доступу до освітніх матеріалів та систем з будь-якої точки світу; захист інформації обмеженого доступу (персональні дані, комерційна таємниця тощо) та захист інтелектуальної власності; виконання вимог законодавства у сфері інформаційної безпеки (захист персональних даних, захист прав на інтелектуальну власність, захист дітей від негативної інформації).

Проблема №1: різні групи користувачів

Сучасний університет та його мережа - це різнорідне середовище, в якому стикаються інтереси та дані різних груп користувачів. В університетській мережі можуть зустрічатися такі категорії користувачів з різними вимогами щодо інформаційної безпеки: студенти університету та студенти, які приїхали до університету з обміну; викладачі та адміністрація; школярі, які відвідують підготовчі курси перед вступом до ВНЗ; відвідувачі платних курсів та курсів підвищення кваліфікації, які пропонує ВНЗ з метою отримання додаткових джерел доходів, а також представники організацій, які забезпечують університет комерційними замовленнями, наприклад, в області НДДКР.

Проблема №2: трансформація способів доступу та концепція «Будь-який пристрій»

Оскільки периметр традиційної мережі університетського кампусу продовжує розмиватися і середовище університету поступово втрачає межі, смартфони, планшети, інші кінцеві пристрої та веб-додатки незворотно змінюють освітній процес, надаючи можливість отримувати доступ до навчальних матеріалів з будь-якої точки світу — з вузівської аудиторії, гуртожитку, власного житла, університетського містечка, іншого ВНЗ, куди студенти вирушають для обміну досвідом тощо. Cisco використовує концепцію «Будь-який пристрій», яка передбачає розширення свободи вибору пристроїв користувачами університетського кампуса за умови збереження загальних та передбачуваних умов роботи. Все це підтримує чи навіть збільшує рівень конкурентоспроможності, продуктивності та безпеки навчального закладу.

Разом з тим, при впровадженні концепції «Будь-який пристрій» виникає ціла низка завдань ІБ, які необхідно вирішити. У такому разі потрібно забезпечити:

Запобігання несанкціонованому підключенню мережевих абонентських пристроїв: стаціонарних комп'ютерів (робочих станцій або АРМ), ноутбуків (мобільних АРМ), мобільних пристроїв (планшетних ПК під керуванням ОС Android та iOS), мережевих принтерів та IP-телефонів до університетської мережі; виконання вимог та рекомендацій діючих політик інформаційної безпеки, а також забезпечити можливість віддаленого контролю мобільних пристроїв, що підключаються до університетської мережі, на предмет відповідності діючим політикам ІБ; крім того, має бути забезпечено організацію логічного поділу університетської мережі на зони безпеки без зміни існуючої інфраструктури (існуючого поділу мережі на сегменти), з метою виділення гостьових зон та зон обмеженого доступу для підключення абонентських пристроїв різних груп користувачів, а також мобільних пристроїв (планшетних ПК) під керуванням ОС Android та iOS) користувачів.

Проблема №3: ​​захист інформаційних систем та інформації обмеженого доступу

Сучасний університет - це джерело різноманітної інформації, що вимагає захисту. Мова йде про:

Персональні дані студентів, викладачів, адміністрації та інших категорій користувачів; відомості, що становлять комерційну таємницю університету та дозволяють йому випереджати інші ВНЗ у галузі надання більш якісної освіти та освітніх програм, а також більш прогресивних методів навчання; розроблених університетом освітніх матеріалах, доступ яких повинен бути або обмежений, або контрольованим, т.к. вони є інтелектуальну власність; придбаних університетом програмному забезпеченні або ліцензіях, крадіжка яких може погіршити становище навчального закладу в конкурентній боротьбі або спричинити настання кримінальної чи адміністративної відповідальності. Зрештою, захисту підлягають результати тих НДДКР, які університет може проводити на замовлення комерційних чи державних замовників.

Крім захисту інформації обмеженого доступу, має бути забезпечена безпека інформаційних систем освітнього процесу. Випадкове чи цілеспрямоване виведення цих систем з ладу може зірвати процес навчання та порушити договірні умови (у разі платного навчання або реалізації різних НДДКР).

Проблема №4: законодавчі обмеження

Крім захисту інформаційних систем та інформації, що забезпечують університету конкурентні переваги, система забезпечення інформаційної безпеки має давати можливість виконувати законодавчі ініціативи, спрямовані на захист прав та інтересів різних груп громадян та організацій. До нормативних актів, які ВНЗ зобов'язаний виконувати, насамперед належать:

Федеральний закон від 27 липня 2006 року №152-ФЗ "Про персональні дані"; федеральний закон від 28 липня 2012 року №139-ФЗ «Про внесення змін до федерального закону „Про захист дітей від інформації, що завдає шкоди їх здоров'ю та розвитку“ та окремі законодавчі акти Російської Федерації з питання обмеження доступу до протиправної інформації в мережі Інтернет»; федеральний закон від 2 липня 2013 № 187-ФЗ «Про внесення змін до законодавчих актів Російської Федерації з питань захисту інтелектуальних прав в інформаційно-телекомунікаційних мережах».

Проблема №5: зростання кількості загроз

Середовище загроз мережевої безпеки перебуває у постійному розвитку. Лідируючі позиції в ній займають спеціально написані, приховані загрози, яким все частіше вдається долати традиційні методи та засоби захисту. Ці загрози проникають всередину мережі - на рівень ядра, рівень поширення та рівень доступу користувачів, де захист від загроз та їх видимість знаходяться на мінімальному рівні. Звідти ці погрози легко вибирають свої цілі — конкретні ресурси і навіть конкретних людей в університеті. Мета сучасних кібер-загроз полягає аж ніяк не в отриманні популярності та слави і навіть не у створенні прибуткового ботнету, а в захопленні та крадіжці інтелектуальної власності або комерційних та інших таємниць для досягнення конкурентних переваг.

Рішення Cisco у сфері інформаційної безпеки

Cisco SecureX Architecture™ – це архітектура безпеки нового покоління, що поєднує гнучкі рішення, продукти та сервіси для формування та реалізації узгодженої бізнес-політики у масштабі всієї розподіленої мережі сучасного університету. Архітектура Cisco SecureX об'єднує збирання відомостей про глобальні загрози та облік контексту для вирішення унікальних проблем безпеки, таких як зростання числа високомобільних користувачів, розширення кола мобільних пристроїв з підтримкою мережі або перехід на хмарні інфраструктури та сервіси.

Cisco SecureX відповідає потребам сучасних мереж з розмитим периметром, забезпечуючи ефективний захист для будь-якого користувача, що працює на будь-якому пристрої будь-де і будь-коли. Ця нова архітектура безпеки використовує мову політик вищого рівня, який розуміє повний контекст ситуації — хто, що, де, коли і як. Завдяки розподіленій реалізації політик безпеки процес захисту переміщується ближче до місця роботи кінцевого користувача в будь-якій точці планети, тим самим дозволяючи не тільки убезпечити кожен пристрій або користувача, але і при необхідності локалізувати загрозу якомога ближче до її джерела.

Рішення, що входять до Cisco SecureX, відповідають вимогам російських органів державної влади, уповноважених в галузі інформаційної безпеки, і мають понад 600 різних сертифікатів ФСТЕК і ФСБ з вимог безпеки.

Щоб оперативно дізнаватися про матеріали фахівців Cisco, які публікуються у розділі «Блог Cisco. Росія/СНД», необхідно підписатися на сторінці http://gblogs.cisco.com/ua.

Теги: інформаційна безпека, освіта, вуз, архітектура Cisco SecureX, інтелектуальна власність, ІБ.

Надіслати свою гарну роботу до бази знань просто. Використовуйте форму нижче

Студенти, аспіранти, молоді вчені, які використовують базу знань у своєму навчанні та роботі, будуть вам дуже вдячні.

Розміщено на http://www.allbest.ru

• ВСТУП
• АКТУАЛЬНІСТЬ
• 1. ВИВЧЕННЯ ІНФОРМАЦІЙНОЇ СИСТЕМИ ПІДПРИЄМСТВА
• 1.1. Опис підприємства
• 1.2. Склад апаратних та програмних засобів та структура мережі
• 1.3. Аналіз інформаційних потоків
• 1.4. Аналіз інформаційних ресурсів
• 1.5. Фізична безпека об'єктів (охорона)
• 2. АНАЛІЗ І РОЗРОБКА МОДЕЛІ ЗАГРОЗ
• 2.1. Класифікація та аналіз джерел загроз та уразливостей безпеки
• 2.2. Модель порушника
• 2.3. Визначення актуальних загроз інформаційної системи
• 2.4. Визначення класу захищеності інформаційної системи
• 3. РОЗРОБКА МОДЕЛІ СИСТЕМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
• 3.1. Аналіз на відповідність стандартам та існуючим політикам
• 3.2. Розробка політики інформаційної безпеки
• 4. РОЗРОБКА ПОРТАЛУ ПЕРВИННОЇ АВТОРИЗАЦІЇ
• 4.2. Вимоги до функціональності порталу
• 4.3. Розробка порталу
• ВИСНОВОК
• СПИСОК ЛІТЕРАТУРИ
• ДОДАТОК

ВСТУП

Забезпечення безпеки інформаційних ресурсів давно стало предметом обговорення у багатьох установах, разом із розвитком інформаційних технологій це призвело до розвитку автоматизованих систем. Ефективна система інформаційної безпеки дозволяє мінімізувати ризики, пов'язані з інформацією, та сприяє стабільній діяльності інформаційних потоків підприємства.

Безпека державних установ, як-от вищі навчальні заклади, також потребує високого рівня інформаційної захищеності.

Інформаційні активи ВНЗ становлять безліч відомостей про навчальну діяльність, щодо діяльності співробітників з різним рівнем доступу. Працівники та студенти ВНЗ також чудовий приклад осіб з різними правами доступу до інформації. Тому було вирішено розробити ефективний комплекс заходів для забезпечення інформаційної безпеки ВНЗ.

Метою дипломної роботи є розробка комплексу заходів, спрямованих на забезпечення інформаційної безпеки ВНЗ на прикладі Нижегородського Державного Архітектурно – Будівельного Університету. інформаційний загроза безпека

Предметом дослідження у дипломній роботі є система захисту інформаційної безпеки Нижегородського Державного Архітектурно-Будівельного Університету.

Дипломна робота складається із чотирьох розділів. У першому розділі представлено опис інформаційної системи організації, аналіз інформаційних ресурсів та технічних засобів. У другому розділі проаналізовано потенційні загрози системи та визначено модель порушника. У третьому розділі розроблено політику інформаційної безпеки. Четвертий розділ у формі пояснювальної записки містить процес реалізації порталу первинної авторизації.

АКТУАЛЬНІСТЬ

На етапі розвитку суспільства інформаційні технології є невід'ємною його частиною. Інформація стала одним із основних засобів соціального - економічного, технічного та наукового прогресу світової спільноти. Розвиток інформаційних технологій та розширення інформаційного простору призводить до постійно зростаючого рівня атак та порушень у цій галузі, що робить проблеми інформаційної безпеки все більш актуальними. Під інформаційною безпекою розуміється стан захищеності інформації та інфраструктури, що її підтримує, від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати шкоди власникам або користувачам інформації.

Забезпечення інформаційної безпеки одна із ключових чинників стабільного функціонування будь-якого підприємства. На сьогоднішній день конфіденційність, цілісність та доступність інформації є важливим аспектом безперервності бізнесу, тому все більше організацій зосереджено на питанні інформаційної безпеки. Таким чином, існує необхідність ефективної та інтегрованої системи інформаційної безпеки.

Досить часто, при створенні інформаційної системи, організації прагнуть убезпечити свої інформаційні активи лише на апаратному та програмному рівнях захисту. Але такий рівень безпеки є неефективним і має бути підкріплений нормами та правилами у сфері інформаційної безпеки.

Підготовка та реалізація системи безпеки в установі має здійснюватися на підставі чинного законодавства та нормативних вимог у сфері інформаційної безпеки. Основним документом є Конституція РФ, згідно з якою «збір, зберігання, використання та поширення інформації про приватне життя особи без її згоди не допускається».

Іншими базовими документами в галузі інформаційної безпеки є Федеральний закон від 27.07.2006 № 149-ФЗ «Про інформацію, інформаційні технології та захист інформації», відповідно до якого, необхідно забезпечувати захист інформації від несанкціонованого доступу, модифікації, знищення, копіювання та розповсюдження даних . Федеральний закон від 27.07.2006 №152-ФЗ "Про персональні дані" регулює дії, пов'язані з обробкою персональних даних державними установами, з використанням автоматизованих систем.

Також слід брати до уваги закон РФ «Про державну таємницю» та закон РФ «Про комерційну таємницю», який регламентує порядок віднесення інформації до службової таємниці, режим службової таємниці та порядок розголошення службових даних. Також існує низка законів, відповідно до яких формуються рівні конфіденційності інформації («Про затвердження Переліку відомостей конфіденційного характеру»; «Про затвердження Переліку відомостей, віднесених до державної таємниці»; «Про затвердження Переліку відомості, які не можуть становити комерційну таємницю»).

В цілому законодавчі РФ не враховують і регулюють повною мірою зберігання та використання конфіденційних даних.

Основними регламентами забезпечення безпеки з боку процедурного та апаратно-програмного рівнів є стандарти та специфікації. Це документи, що містять випробувані, високоякісні методології та засоби забезпечення безпеки.

Відповідно до стандартів, забезпечення безпеки об'єктів інформаційної системи має складатися з наступних етапів:

– виділення цілей забезпечення інформаційної безпеки;

- Проектування дієвої системи управління;

– аналіз та оцінка відповідності поставленим цілям;

- Аналіз вихідного стану захищеності;

Стандарт ISO 15408: Common Criteria for Information Technology Security Evaluation (Загальні критерії оцінки безпеки інформаційних технологій) містить найповніші критерії безпеки програмно-апаратного рівня. Загальні критерії встановлюють вимоги щодо функціональності безпеки. Крім програмно-апаратного рівня захисту, стандарт описує деякі вимоги методів безпеки організаційного рівня та фізичного захисту. Стандарт складається із трьох частин:

– перша частина включає понятійний апарат, представлення моделі та методологію оцінки безпеки інформаційних технологій;

- Друга частина містить безпосередньо вимоги функціональності апаратно-програмних засобів;

– у третій частині наводяться вимоги гарантій безпеки;

Стандарт ISO 17799: Code of Practice for Information Security Management (Практичні правила управління інформаційною безпекою) містить найповніші критерії організаційного рівня.

Стандарт містить найефективніші правила управління інформаційною безпекою та критерії оцінки методів безпеки організаційного рівня, з урахуванням адміністративних, процедурних та фізичних засобів захисту. Стандарт містить такі розділи:

- політика безпеки;

- Організація інформаційної безпеки;

- Управління ресурсами;

- Безпека людських ресурсів;

– фізична безпека;

- контроль доступу;

– адміністрування інформаційних систем;

– розробка та супровід інформаційних систем;

- Планування безперервної роботи;

- Контроль виконання вимог безпеки;

Керівний документ Держтехкомісії РФ "Критерії оцінки безпеки інформаційних технологій". Цей документ розроблено відповідно до ГОСТ Р ИСО/МЭК 15408-2002 та забезпечує його практичне використання. Основна мета РД - реалізація комплексних методів із забезпечення безпеки інформаційних систем та використання необхідного функціоналу. Він спрямований на проектування систем безпеки, що відповідають можливим загрозам і зберігають баланс між ефективністю та вартістю.

Керівний документ Держтехкомісії РФ «Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем та вимоги щодо захисту інформації». Цей РД визначає класифікацію АС та відповідно до класу визначає вимоги до можливих підсистем.

Керівний документ Держтехкомісії РФ «Кошти обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу до інформації. Показники безпеки від несанкціонованого доступу до інформації». Перший РД, який немає зарубіжних аналогів. Основна ідея цього РД - класифікація міжмережевих екранів відповідно до мережевої моделі OSI, яка фільтрує потоки даних.

Сьогодні у сфері реалізації систем безпеки сформувалося таке поняття як «найкраща практика». «Найкраща практика» – це такі політики безпеки, які відображають найкращі процедури, засоби, посібники та стандарти безпеки та можуть бути застосовні як еталон при розробці системи безпеки. Еталонними вважаються політики таких компаній, як Microsoft, IBM, Symantec та ін.

1. Політика Symantec

Фахівці компанії Symantec стверджують, що основою ефективної системи безпеки є керівні документи, до яких можна віднести: політики безпеки, міжнародні стандарти, опис процедур забезпечення безпеки та метрики. Всі ці керівні документи здатні відповісти на три основні питання:

Чому потрібно захищати інформацію?

Що потрібно зробити для забезпечення безпеки?

Як реалізувати політику відповідно до вимог?

Розробка комплексної системи безпеки повинна включати такі етапи:

– аналіз інформаційних активів;

- Ідентифікація можливих загроз;

– аналіз та оцінка ризиків безпеки;

– призначення осіб, відповідальних за безпеку;

– створення комплексної системи, відповідно до стандартів, посібників та процедур;

- Управління системою безпеки;

2. Політика Microsoft

Стратегія інформаційної політики компанії Microsoft містить чотири основні компоненти:

- Мета забезпечення інформаційної безпеки компанії;

– норми системної безпеки

- Схема прийняття рішень (будується за результатами аналізу ризиків);

- Визначення дій з мінімізації ризиків;

Процес розробки політики безпеки поділено на чотири категорії:

– організаційна (спрямована на підвищення обізнаності та розширення знань співробітників у сфері інформаційної безпеки, а також на підтримку керівництва);

– дані та користувачі (включає такі засоби захисту як: авторизація, захист персональних даних, автентифікація);

- Розробка системи (розробка захищеної системи, скорочення поверхні атаки, забезпечення простоти використання);

- Супровід (регулярний контроль та журналювання системи, реагування на події та інциденти);

Для підтримки рівня захищеності компанія застосовує контроль інформаційних ризиків (ідентифікація, оцінка та мінімізація ризиків). Такий підхід дозволяє досягти балансу між вимогами та методикою захисту.

3. Політика IBM

Фахівці компанії IBM виділяють чотири основні етапи побудови системи безпеки:

– ідентифікація інформаційних ризиків та методів боротьби з ними;

– опис заходів захисту активів відповідно до завдань та цілей компанії;

- Опис дій при подіях;

– аналіз залишкових ризиків та прийняття рішення про додаткове капіталовкладення у методи забезпечення безпеки;

Відповідь на запитання "Що потрібно захищати?" - основний аспект політики інформаційної безпеки відповідно до стратегії IBM. Політика має створюватися з метою мінімальних її змін у майбутньому. Ефективна безпекова політика повинна містити:

– цілі та завдання забезпечення інформаційної безпеки;

– взаємодія зі стандартами безпеки та законодавством;

- Розширення знань з питань інформаційної безпеки;

- Виявлення та ліквідація вірусних атак;

- Забезпечення безперервності діяльності;

– встановлення ролей та обов'язків персоналу;

- Журналування інцидентів порушення безпеки;

Далі йде процес створення документації, яка містить правила аналізу ризиків компанії, опис рекомендованих методів та засобів захисту тощо. Документація може підлягати змінам відповідно до актуальних уразливостей та погроз.

Однак, крім правової основи, система інформаційної безпеки та її функції щодо забезпечення стану захищеності об'єкта мають бути реалізовані відповідно до нижченаведених принципів:

– легітимність (створення системи інформаційної безпеки, а також реалізація заходів щодо захисту, що не суперечать законодавству та нормативам);

– комплексність (розроблювана система захисту передбачає комплексну реалізацію методів, забезпечує захист інформаційних ресурсів на технічному та організаційному рівнях та запобігає можливим шляхам реалізації загроз);

- Постійність (забезпечує безперервний захист об'єктів);

- прогресивність (має на увазі безперервний розвиток засобів і методів захисту, відповідно до розвитку технологій і методів атак);

– раціональність (використання економічно вигідних та ефективних засобів захисту);

– відповідальність (кожен співробітник ручається за забезпечення безпеки у межах своїх повноважень);

– контроль (передбачає постійний контроль за забезпеченням захисту та своєчасне виявлення загроз);

- Використання діючої системи безпеки (проектована система створюється на основі діючої системи, з використанням штатних апаратних та програмних засобів);

- Використання апаратно-програмних компонентів захисту вітчизняного виробництва (проектування системи безпеки передбачає переважання вітчизняних технічних засобів захисту);

– етапність (проектування системи безпеки краще робити поетапно);

Проаналізувавши існуючі політики та стандарти інформаційної безпеки можна стверджувати, що для забезпечення належного рівня інформаційного захисту потрібен комплекс заходів, що включає функції програмного забезпечення, політики безпеки, методи та організаційні структури. Відповідно до цього та з основною метою необхідно виконати такі завдання:

– вивчити вихідну інформаційну та організаційну структуру ФДБОУ ВПО «Нижегородський державний архітектурно-будівельний університет»;

– за результатами аналізу вихідної інформаційної системи визначити конкретні загрози та вразливість інформаційної безпеки;

– визначити рівень та клас вихідної захищеності об'єкта;

- Виявити актуальні загрози;

- Скласти модель порушника;

– зіставити вихідну систему із вимогами стандартів безпеки;

– розробити політику безпеки та визначити дії щодо забезпечення інформаційної безпеки;

Виконання вищевикладених цілей та завдань дозволить створити ефективну систему інформаційної безпеки підприємства, що відповідає вимогам законодавства та стандартам інформаційної безпеки.

1. ВИВЧЕННЯ ІНФОРМАЦІЙНОЇ СИСТЕМИ ПІДПРИЄМСТВА

1.1. Опис підприємства

Повне найменування організації : Федеральний державний бюджетний навчальний заклад вищої професійної освіти «Нижегородський державний архітектурно-будівельний університет».

Скорочені найменування: ННДАСУ, ФДБОУ ВПО «Нижегородський державний архітектурно-будівельний університет».

Повне найменування англійською мовою: Nizhny Novgorod State University of Architecture and Civil Engineering.

Скорочена назва англійською мовою: NNGASU.

Місце знаходження ВУЗу: 603950, Нижегородська область, м. Нижній Новгород, вул. Іллінська, б. 65.

Засновник ВНЗ – Російська Федерація. Функції та повноваження засновника ВНЗ здійснює Міністерство Освіти та Науки Російської Федерації.

Місце знаходження Засновника: 125993, м. Москва, вул. Тверська, 11.

Ректор - Андрій Олександрович Лапшин

ФДБОУ ВПО «Нижегородський державний архітектурно-будівельний університет» є некомерційною організацією, створений з метою розвитку економіки та соціального середовища регіону, галузі та Росії через підвищення рівня освіти студентів на основі досягнень науки, інновацій та технологій.

Основні напрямки діяльності ФДБОУ ВПО «Нижегородський державний архітектурно-будівельний університет»:

· Підготовка конкурентоспроможних, на російському та міжнародному ринку праці, фахівців будівельної та суміжних галузей, на основі сучасних освітніх стандартів та наукових досліджень;

· Забезпечення здатного витримати конкуренцію наукового потенціалу, задіяного у реальних секторах економіки країни;

· Створення та вдосконалення умов необхідних для самореалізації, а також професійного зростання співробітників та студентів;

· Розвиток міжвузівської кооперації на російському та міжнародному рівні та зміцнення становища на міжнародній арені;

Загальне управління ВНЗ здійснює Вчена рада, до складу якої входять: Ректор (голова Вченої ради), проректори, декани факультетів (за рішенням Вченої ради). Також до організаційної структури ВНЗ входять управління, центи, відділи та інші підрозділи. Детальна організаційна структура представлена ​​малюнку 1.

Рисунок 1. Організаційна структура ФДБОУ ВПО «Нижегородський державний архітектурно-будівельний університет»

Нижегородський державний архітектурно - будівельний університет, з структурою, що безперервно розвивається, і модернізованою навчальною і науковою базою, в сучасних умовах є активно прогресуючим комплексом. Університет має велику інформаційну базу, яка міститься у спеціалізованих програмних продуктах. Інформаційний захист установи представлений на досить високому рівні, але в рамках постійно прогресуючих атак і порушень вимагає удосконалення.

1.2 Склад апаратних та програмних засобів та структура мережі

Навчальний процес у ННДАСУ супроводжується значною інформаційною базою, розвитком комп'ютерного парку та впровадженням у освітній процес модернізованих інформаційних систем. Для забезпечення навчального процесу всі кафедри та відділи оснащені персональними комп'ютерами та необхідною технікою. Для вирішення завдань у сфері застосування сучасних інформаційних технологій в університеті обладнано 8 комп'ютерних класів. Усі персональні комп'ютери ВНЗ оснащені ліцензійним програмним забезпеченням Microsoft та антивірусним захистом. Усі апаратні засоби представлені у таблиці 1.

Таблиця 1. Склад апаратних засобів

На сьогоднішній день університет приділяє увагу комп'ютеризації навчального процесу. Для оптимізації навчальної діяльності університет має всі необхідні сучасні програмні пакети. У таблиці 2 наведено перелік програмного забезпечення, що використовується у ННДАСУ.

Таблиця 2. Програмне забезпечення

			Назва програмного продукту
	MS Windows Server
	MS Visual Studio
			Арос - Лідер
			1с Підприємство
	Borland Developer Studio
	Macromedia Dreamviewer
			Панорама ГІС Карта
			СІТІС: Соляріс.
			Держбудкошторис
			Гранд - Кошторис
			СПРАВА - підприємство

Всі ПК університету підключені до локальної мережі та мають доступ до Інтернету через захищене з'єднання. Вузли оптичних ліній обладнані керованими комутаторами. Для надання постійного доступу до Інтернету система обладнана зв'язком із двома провайдерами, які надають канали на швидкості 20 Мбіт/сек та 10 Мбіт/сек. При спробі завантаження інформації, що не пов'язана з навчальним процесом, трафік користувачів стає обмеженим. На програмному рівні захисту використовуються різні для студентів та співробітників домени.

Для передачі пакетів між сегментами мережі використовують маршрутизатор MicroTic, який дозволяє розподілити навантаження без втрати даних. Через нього проходять пакети глобальної мережі, сайти віддаленого користувача та пакети системи NauDoc.

Мережева структура обладнана одинадцятьма фізичними серверами, чотири з яких є станціями віртуальних машин. На цих елементах мережі встановлені інформаційно-довідкові матеріали, сервери бази даних, а також поштові сервери та сайти. В установі організовано 14 віртуальних серверів, які мають вихід у глобальну мережу. Основний сервер, що пропускає всю інформацію – Nginx. Nginx – це веб-сервер, поштовий проксі-сервер та TCP проксі-сервер. Цей сервер отримує вхідні дані по 80 порту, а потім направляє їх по потрібних серверах (Ubuntu, Suse, CentOS, Win2008_IIS, Win7). Структура мережі університету представлена ​​малюнку 2.

Малюнок 2. Структура мережі ФДБОУ ВПО «Нижегородський державний архітектурно-будівельний університет»

Демілітаризована зона, комп'ютерні класи, ViPNet та сам університет кожен із цих елементів включені в окремі віртуальні локальні мережі (VLAN), що дозволяє зменшити навантаження на мережні пристрої (трафік одного домену не проходить в інший домен). Також така технологія дозволяє виключити несанкціонований доступ, т.к. комутатор відсікає пакети інших віртуальних мереж.

Оскільки установа користується послугами двох провайдерів, то є необхідність безвідмовної роботи Інтернету при переході з основного каналу на резервний. Як кешуючий проксі - сервер використовується програмний пакет Squid. Основні завдання Squid у рамках цієї установи:

- При відвідуванні тих самих сайтів, вони кешуються, і частина даних йде безпосередньо з сервера;

- Можливість відстеження системним адміністратором відвідуваних сайтів та завантажуваних файлів;

– блокування певних сайтів;

- розподіл навантаження між каналами;

Як інший брандмауер в установі використовується Microsoft Forefront Threat Management Gateway. У комплексі Microsoft Forefront дає високий рівень захищеності та дозволяє керувати безпекою мережевої структури. Зокрема Microsoft Forefront TMG - це проксі-сервер, який дозволяє захистити від зовнішніх атак, контролювати трафік та приймати та спрямовувати вхідні пакети.

Для взаємодії з Міністерством освіти і науки РФ в установі використовується технологія ViPNet. ViPNet забезпечує захист у великих мережах та створює захищене середовище передачі інформації обмеженого доступу, використовуючи публічні канали зв'язку за допомогою реалізації віртуальної приватної мережі (VPN).

У сучасній корпоративній інфраструктурі є потреба у централізованому управлінні та апаратній віртуалізації локальної мережі. З цією метою в університеті використовується система Microsoft Hyper-V, яка дозволяє системному адміністратору, в рамках корпоративної системи, вирішити кілька завдань:

- Підвищення рівня безпеки;

- Захист інформаційних ресурсів;

– централізоване сховище даних;

- масштабованість;

1.3 Аналіз інформаційних потоків

Інформаційні ресурси університету циркулюють як усередині системи, так і зовнішніми каналами. Для забезпечення захисту та упорядкування інформації університет використовує сучасні інформаційні системи різноманітної спрямованості.

Найбільш значною і масштабною є Tandem e – Learning – комплексна інформаційна система, яка дає можливість моніторингу очної освіти та реалізує дистанційну освіту, як один із модернізованих підходів електронного навчання. Tandem e – Learning – це закритий освітній портал, доступ до якого мають співробітники та студенти університету, пройшовши процедуру реєстрації. Доступ до системи можливий як із внутрішніх комп'ютерів, так і зовнішніх пристроїв.

Інша система дистанційного навчання – Moodle. Цей портал також закритий та вимагає реєстрації. Як і Tandem, до системи Moodle можливий доступ із зовнішніх пристроїв.

Обидва портали побудовані на основі системи управління освітою (LMS). LMS дозволяє керувати та поширювати навчальний матеріал та забезпечувати спільний доступ.

Корпоративна інформаційна система реалізована через систему Tandem University. Цей портал містить інформацію про навчальний процес. Доступ до системи Tandem мають студенти, персонал та найвище керівництво. Захист даної системи забезпечений тим, що він ізольований і не має виходу в локальну мережу. Всі ресурси корпоративної мережі розміщуються на чотирьох серверах, два з яких містять базу даних і головний портал і два тестові сервери.

Документообіг в університеті відбувається через систему NauDoc. Це хмарна система документообігу для реєстрації, обробки та обліку документів усередині установи. Доступ до системи має канцелярія університету, філії та вхідні організації.

Контент інтернет-сайту ВНЗ контролюється професійною системою управління 1С - Бітрікс. Перевага цієї системи в тому, що вона здатна підвищити швидкість відповіді сайту.

Бухгалтерія обслуговується через автоматизовану систему обробки «ПАРУС – Бухгалтерія». Цей програмний пакет дозволяє повністю автоматизувати облік активів, розрахунків та коштів. Як і корпоративна система Tandem University, «ПАРУС – Бухгалтерія» є ізольованою, і доступ до неї мають лише співробітники бухгалтерського відділу.

Бібліотека університету теж автоматизована та контролюється через інформаційно – бібліотечну систему MARK – SQL. Ця система містить велику кількість інформаційних ресурсів, у тому числі інформаційний каталог, який зберігається на окремому сервері Windows.

Також частина ресурсів міститься у таких інформаційних системах:

– Консультант+ (довідково – правова система);

- ТехЕксперт (інформаційно-довідкова система, що містить нормативно-правову та технічну інформацію у сфері «Бізнес для бізнесу»);

– Norma CS (довідкова система пошуку та використання стандартів та нормативних документів у конструкторській діяльності);

- OTRS (система обробки заявок);

- RedMine (внутрішня база даних);

- лелека (кадровий сервіс);

1.4 Аналіз інформаційних ресурсів

Інформаційна система ФДБОУ ВПО «Нижегородський державний архітектурно-будівельний університет» містить безліч інформаційних ресурсів (бази даних, документація, персональні дані, архів, бібліотеки), які, у свою чергу, є основним об'єктом захисту. Доцільно запровадити кілька рівнів конфіденційності інформації:

· Інформація обмеженого доступу:

- Службова таємниця - інформація, що містить відомості про фінанси, виробництво, управління та інші види діяльності суб'єкта, розголошення якої може завдати економічної шкоди;

- Професійна таємниця - відомості, що містять організацію навчальної діяльності та процесів.

- Персональні дані - будь-яка інформація, що містить відомості про конкретну особу (відомості про студентів, викладачів та ін.);

· Інформація загального доступу:

- Постанови, укази, розпорядження;

- інформація, що містить статистичні відомості про освітню діяльність;

– інформація, доступ до якої не обмежений законом та статутом;

1.5 Фізична безпека об'єктів (охорона)

На території установи ведеться цілодобове спостереження через пост охорони. Вхід на територію університету здійснюється за персональними перепустками. Відвідувачі мають право прибувати на території лише у супроводі співробітника установи. В університеті здійснено пожежно-охоронну сигналізацію та встановлено відповідні датчики. Апаратні засоби зберігання інформації (сервера) розміщуються в окремому приміщенні. Моніторинг об'єкта здійснюється через систему відеоспостереження.

До основних об'єктів захисту можна віднести:

- сервери баз даних;

- Станція управління обліковими записами;

- ftp та www - сервери;

- ЛВС бухгалтерії та ін;

– дані архівів, фінансового, статистичного та навчального відділів;

- Зовнішні та внутрішні інформаційні ресурси;

2. АНАЛІЗ І РОЗРОБКА МОДЕЛІ ЗАГРОЗ

2.1 Класифікація та аналіз джерел загроз та уразливостей безпеки

В інформаційній безпеці під загрозою розуміють потенційну подію чи дію, яка може вплинути на роботу комп'ютерної мережі та веде до збою систему безпеки. У разі впливу на ресурси загрози призводять до несанкціонованого доступу, спотворення, поширення захищених даних. Доцільно поділити джерела загроз на такі групи:

- Антропогенні загрози (випадкові помилки розробки та експлуатації складових частин системи безпеки, навмисні дії порушника);

– техногенні загрози (відмови та збої технічного обладнання);

- Стихійні загрози (загрози безпеки природного характеру);

У таблиці 2 подано класифікацію та можливі загрози, характерні для установи.

Таблиця 2. Класифікація джерел загроз

Антропогенні джерела загроз
Внутрішні
Особи, які мають санкціонований доступ до об'єктів безпеки (керівництво, викладачі, студенти)	Потенційні хакери
Представники управління з безпеки та режиму	Постачальники інформаційних послуг (провайдери,
Представники управління інформатизації (адміністратор системи, розробники)	Представники аварійних та інспекційних служб
Технічний та допоміжний персонал (прибиральники, електрики, сантехніки, теслярі)	Несумлінні партнери
Техногенні джерела загроз
Внутрішні
Неякісні апаратні засоби обробки інформації	Засоби зв'язку (канали передачі)
Відмова та збій засобів зберігання інформації	Структура інженерних комунікацій
Незахищені засоби передачі інформації	Шкідливе програмне забезпечення та віруси
Збої у роботі засобів забезпечення безпеки

Стихійні джерела загроз характеризуються непереборною силою і поширюються попри всі об'єкти безпеки. Такі загрози складно спрогнозувати та запобігти. Основними стихійними джерелами загроз є: пожежі, повені, урагани та непередбачені обставини. Захисні заходи щодо стихійних загроз мають виконуватися постійно.

Щодо перерахованих вище загроз найбільш ймовірними і небезпечними є ненавмисні дії внутрішніх користувачів та осіб, які мають безпосереднє відношення до комп'ютерної мережі.

Найчастішими та найнебезпечнішими (з точки зору розміру шкоди) є ненавмисні помилки штатних користувачів, операторів, системних адміністраторів та інших осіб, які обслуговують комп'ютерну мережу. Антропогенні загрози є найімовірнішими, оскільки є можливість спрогнозувати дії людей і прийняти відповідні контрзаходи, які залежать від дій осіб, відповідальних за забезпечення інформаційної безпеки.

Загрози, як правило, є наслідком уразливостей, які призводять до порушення безпеки. Вразливість - це нестача системи, яка дозволяє успішно реалізувати загрозу та порушити цілісність системи. Вразливості можуть виникнути з кількох причин:

- Помилки при створенні програмного забезпечення (ПЗ);

– умисне внесення вразливостей на стадії проектування;

– несанкціоноване використання шкідливих програм і, як наслідок, безпідставне витрачання ресурсів;

- Ненавмисні дії користувачів;

- Порушення в роботі програмно-апаратного забезпечення;

Існують такі вразливості:

· Об'єктивні (уразливості, що залежать від технічного обладнання інформаційної системи):

– Апаратні закладки (закладки на технічному та периферійному обладнанні);

- Програмні закладки (шкідливе ПЗ);

· Суб'єктивні (уразливості, що залежать від дій людей):

– Помилки (неправильна експлуатація програмних та апаратних засобів користувачами, помилкове введення даних);

– Порушення (порушення правил політики інформаційної безпеки, порушення режиму доступу та конфіденційності, порушення експлуатації апаратних засобів);

· Випадкові (уразливості, обумовлені навколишньою інформаційною системою середовища)

– відмови (відмова засобів обробки даних, відмова засобів мережі, відмова системи контролю та охорони, відмова програмного забезпечення);

- збої (перебої електропостачання);

- Пошкодження (поломка інженерних комунікацій);

Послаблення чи ліквідація вразливостей впливає на можливість здійснення загроз інформаційної безпеки.

2.2 Модель порушника

Забезпечення захисту інформаційних активів університету є специфічним, оскільки ця установа з непостійною аудиторією. Через те, що атаки можуть виходити від будь-яких суб'єктів, доцільно поділити на дві категорії: зовнішні порушники та внутрішні порушники. Зовнішнім порушником є ​​особа, яка не є співробітником та не має доступу до інформаційної системи. До цієї категорії входять:

– хакери (суб'єкти, що створюють та реалізують атаки, з метою заподіяння шкоди та оволодіння інформацією обмеженого доступу): за допомогою несанкціонованого доступу до інформаційних систем може знищити або змінити інформацію; впровадження шкідливих програм та вірусів, апаратних та програмних закладок з подальшим здійсненням несанкціонованого доступу);

– провайдери та постачальники технічного та програмного забезпечення (здійснення несанкціонованого доступу через робочі станції до інформаційних ресурсів та до каналів зв'язку);

Всі інші суб'єкти – внутрішні порушники. Відповідно до керівного документа ФСТЕК «Базова модель загроз безпеці персональних даних при їх обробці в інформаційних системах персональних даних» внутрішні порушники поділяються на вісім категорій:

1. Особи, які мають санкціонований доступ до ІСПДн, але не мають доступу до ПДН.

Стосовно цієї установи такими правами володіє керівництво, управління інформатизації. Відповідно до прав ці особи можуть: мати доступ до деяких частин ПДН, які циркулює внутрішніми каналами; знати інформацію про топологію ІСПДн, комунікаційних протоколах та сервісах; виявляти імена та паролі зареєстрованих користувачів; змінювати конфігурацію апаратних та програмних засобів.

2. Зареєстровані користувачі ІСПДН, які здійснюють обмежений доступ до ресурсів ІСПДН з робочого місця.

До цієї категорії можна віднести співробітників управлінь, викладачів та студентів закладу. Особи цієї категорії: мають один ідентифікатор та пароль; мають у своєму розпорядженні конфіденційні дані, до яких мають санкціонований доступ.

3. Зареєстровані користувачі ІСПДН, які здійснюють віддалений доступ до ПДН по локальних та (або) розподілених інформаційних системах.

4. Зареєстровані користувачі ІСПДн із повноваженнями адміністратора безпеки сегменту ІСПДн.

Особи цієї категорії: мають у своєму розпорядженні інформацію про програмне забезпечення, технічні засоби, що використовуються в даному сегменті; має доступ до засобів захисту та протоколювання та до апаратних засобів ІСПДн.

5. Зареєстровані користувачі з повноваженнями системного адміністратора ІСПД.

Особи цієї категорії: знає інформацію про програмне та апаратне забезпечення повної ІСПДн; має фізичний доступ до всіх апаратних засобів; має право конфігурувати апаратне забезпечення.

6. Зареєстровані користувачі з повноваженнями адміністратора безпеки ІСПДн.

7. Програмісти - розробники програмного забезпечення та особи, які супроводжують його на даному об'єкті.

Особи даної категорії: знають інформацію про процедури та програми обробки даних на ІСПДн; може вносити помилки, програмні закладки та шкідливий код на стадії розробки; може знати інформацію про топологію та апаратні засоби ІСПДн.

8. Розробники та особи, які забезпечують постачання, супровід та ремонт апаратних засобів на ІСПДн.

Стосовно цієї установи до внутрішніх порушників можна віднести:

– користувачі інформаційних ресурсів (персонал управлінь, відділів та інших підрозділів, викладачі, студенти) (ненавмисна модифікація або знищення даних; встановлення шкідливого та несертифікованого програмного забезпечення; передача індивідуального пароля стороннім особам);

– особи, які обслуговують та підтримують інформаційну систему (випадкове або навмисне неправильне конфігурування технічних чи мережевих засобів);

– інші особи, які мають доступ до об'єктів обробки інформації (технічний та обслуговуючий персонал) (ненавмисне порушення працездатності засобів електрозабезпечення та інженерних споруд);

Особлива та найбільш значна категорія порушників – студенти. На сьогоднішній день багато хто з них досить добре підготовлений і розуміється на кіберпросторі. Шляхом деяких маніпуляцій студенти можуть зробити ряд порушень безпеки і завдати шкоди.

2.3 Визначення актуальних загроз інформаційної системи

Для визначення актуальних загроз безпеці необхідно враховувати два значення. Перший показник – це рівень вихідної захищеності інформаційної системи. Це узагальнений показник, який залежить від технічних характеристик системи. У таблиці 4 представлений розрахунок вихідної захищеності інформаційної системи, що визначається відсотковим співвідношенням окремого рівня захищеності до всіх наявних показників захищеності.

Таблиця 4. Розрахунок вихідної захищеності установи

Показники захищеності	Рівень захищеності
Технічні та експлуатаційні характеристики ІСПДн
За територіальним розміщенням:
розподілена ІСПДн, яка охоплює кілька областей, країв, округів чи державу загалом;
міська ІСПДн, що охоплює не більше одного населеного пункту (міста, селища);
корпоративна розподілена ІСПДн, що охоплює багато підрозділів однієї організації;
локальна (кампусна) ІСПДн, розгорнута в межах кількох близько розташованих будівель;
локальна ІСПДн, розгорнута в межах однієї будівлі
За наявності з'єднання з мережами загального користування:
ІСПДн, що має багатоточковий вихід у мережу загального користування;
ІСПДн, що має одноточковий вихід у мережу загального користування;
ІСПДн, фізично відокремлена від мережі загального користування
За вбудованими (легальними) операціями із записами баз персональних даних:
читання, пошук;
запис, видалення, сортування;
модифікація, передача
За розмежуванням доступу до персональних даних:
ІСПДн, до якої мають доступ певні переліком співробітники організації, що є власником ІСПДн, або суб'єкт ПДН;
ІСПДн, до якої мають доступ усі співробітники організації, що є власником ІСПДн;
ІСПДн з відкритим доступом
За наявності з'єднань з іншими базами ПДн інших ІСПДн:
інтегрована ИСПДн (організація використовує кілька баз ПДн ІСПДн, у своїй організація перестав бути власником всіх використовуваних баз ПДн);
ІСПДн, в якій використовується одна база ПДН, що належить організації - власнику даної ІСПДн
За рівнем узагальнення (знеособлення) ПДн:
ІСПДн, в якій дані, що надаються користувачеві, є знеособленими (на рівні організації, галузі, області, регіону тощо);
ІСПДн, в якій дані знеособлюються тільки при передачі в інші організації та не знеособлені при наданні користувачеві в організації;
ІСПДн, в якій дані, що надаються користувачеві, не є знеособленими (тобто присутня інформація, що дозволяє ідентифікувати суб'єкта ПДн)
За об'ємом ПДн, що надаються стороннім користувачам ІСПД без попередньої обробки:
ІСПДн, що надає всю базу даних з ПДН;
ІСПДн, що надає частину ПДН;
ІСПДн, яка не надає жодної інформації.
Кількість рішень

За результатами аналізу можна дійти невтішного висновку, що ИСПДн установи має середній рівень захищеності. Відповідно до отриманого результату вводиться коефіцієнт Y 1 = 5. Цей коефіцієнт є першим параметром щодо актуальності загроз.

Наступний параметр - ймовірність здійснення загрози ( Y 2). Цей показник визначається експертним шляхом і має чотири можливі значення:

- Малоймовірно (відсутність об'єктивних передумов реалізації загрози - 0);

- Низька ймовірність (явні передумови здійснення загрози існують, але існуючі засоби захисту ускладнюють її реалізацію - 2);

- Середня ймовірність (існують передумови реалізації загроз, і вихідні методи захисту недостатні - 5);

- Висока ймовірність (існують об'єктивні передумови здійснення загроз і заходів щодо забезпечення безпеки не вжито - 10);

На підставі отриманих параметрів розраховується коефіцієнт реалізації загрози Y, що визначається за формулою Y = ( Y 1 +Y 2)/20. Відповідно до отриманого результату, Y приймає наступні значення:

– 0 < Y < 0,3 - низкая реализуемость угрозы;

– 0,3 < Y < 0,6 - средняя реализуемость угрозы;

– 0,6 < Y < 0,8 - высокая реализуемость угрозы;

- Y> 0,8 - дуже висока реалізованість загрози;

Наступним кроком є ​​оцінка загрози загрози. Ця оцінка дається фахівцем безпеки та має такі значення небезпеки:

- Низька небезпека - здійснення загрози може завдати несуттєвої шкоди;

- Середня небезпека - здійснення загрози може завдати шкоди;

- Висока небезпека - здійснення загрози може завдати значної шкоди;

У таблиці 5 представлена ​​матриця розрахунку актуальності загроз, яка у результаті обліку всіх вищевикладених показників.

– «+» – загроза актуальна;

– «-» - загроза неактуальна;

Таблиця 5. Матриця розрахунку актуальності загроз

Значення реалізованості загрози	Значення небезпеки загрози
Дуже висока

В результаті аналізу вихідної захищеності установи та матриці актуальності загроз були визначені загрози, характерні для цієї установи, та їх актуальність за таким планом: загроза (імовірність здійснення загрози; реалізованість загрози; оцінка небезпеки загрози) – актуальна/неактуальна.

1. Несанкціонований доступ на територію установи, до апаратних об'єктів, документації (низька ймовірність (2); середня реалізованість (0,35); висока небезпека) – актуальна;

2. Викрадення або псування обладнання автоматизованої системи (малоймовірно (0); низька реалізованість (0,25); висока небезпека) - актуальна;

3. Ненавмисне знищення та модифікація інформації (середня ймовірність(5); середня реалізованість(0,5); висока небезпека) - актуальна;

4. Крадіжка паперових інформаційних ресурсів (малоймовірно (0); низька реалізованість (0,25); середня небезпека) – неактуальна;

5. Витік конфіденційних даних через мобільні девайси та ноутбуки (малоймовірно (0); низька реалізованість (0,5); середня небезпека) - неактуальна;

6. Ненавмисне перевищення прав використання обладнання внаслідок відсутності відповідних знань (середня ймовірність (5); середня реалізованість (0,5); середня небезпека) – актуальна;

7. Перехоплення інформації, що передається шляхом сканування мережевого трафіку (низька ймовірність (2); середня реалізованість (0,35); висока небезпека) - актуальна;

8. Встановлення сторонніх шкідливих програм (низька ймовірність (2); середня реалізованість (0,35); середня небезпека) – актуальна;

9. Зміна конфігурації програмних компонентів (середня ймовірність (5); середня реалізованість (0,5); висока небезпека) - актуальна;

10. Знищення або зміна реєстраційних даних користувачів (малоймовірно (0); низька реалізованість (0,25); низька небезпека) - неактуальна;

11. Ненавмисне розкриття конфіденційної інформації співробітниками (висока ймовірність (10); висока реалізованість (0,75); висока небезпека) – актуальна;

12. Різного роду випромінювання, які можуть вплинути на працездатність технічних засобів (малоймовірно (0); низька реалізованість (0,25); середня небезпека) – неактуальна;

13. Відмова та збій мережевого обладнання (середня ймовірність (5); середня реалізованість (0,5); середня небезпека) – актуальна;

14. Знищення даних через помилки або збій апаратного та програмного забезпечення (середня ймовірність (5); середня реалізованість (0,5); висока небезпека) - актуальна;

15. Програмні закладки (низька ймовірність (2); середня реалізованість (0,35); середня небезпека) - актуальна;

16. Використання чужих реєстраційних даних для входу в інформаційні служби (середня ймовірність (2); середня реалізованість (0,35); висока небезпека) – актуальна;

17. Порушення режимних та охоронних заходів (низька ймовірність (2); середня реалізованість (0,35); середня шкода) – актуальна;

Проаналізувавши актуальні загрози, можна дійти невтішного висновку, що вони усуваються у вигляді технічних і організаційних заходів. У таблиці 6 наведено заходи боротьби з актуальними загрозами, які можуть бути використані в університеті для захисту даних.

Таблиця 6. Методи боротьби з актуальними загрозами

Актуальна загроза	Технічні заходи боротьби із загрозою	Організаційні заходи боротьби із загрозою
Несанкціонований доступ до апаратних об'єктів з можливістю розкрадання чи псування обладнання	-охоронна сигналізація та відеоспостереження; - кодовий замок - блокатор на вхід у приміщення з серверами;	- Охоронно-пропускний режим; - Контроль засобів обробки інформації;
Ненавмисне знищення чи модифікація інформації співробітниками	Використання засобів захисту та резервного копіювання даних;	Інструктаж працівників;
Ненавмисне перевищення прав використання обладнання через відсутність відповідних знань	використання засобів захисту від несанкціонованого доступу;	- інструктаж працівників; - Розмежування прав доступу;
Перехоплення мережевого трафіку	- Шифрування даних; - Використання міжмережевого екрану;	- інструктаж адміністратора безпеки; - Облік засобів захисту даних;
Встановлення шкідливого ПЗ та зміна конфігурації ПЗ	використання засобів антивірусного захисту;	- інструктаж працівників;
Ненавмисне розкриття конфіденційної інформації співробітниками		- інструктаж працівників; - Складання акта про нерозголошення;
Відмова та збій мережного обладнання з подальшим знищенням інформації	-Використання джерел безперебійного писання; -використання сертифікованого апаратного та програмного забезпечення; Резервне копіювання даних;	Інструктаж системного адміністратора;
Програмні закладки	- Використання сертифікованого ПЗ; - Використання засобів антивірусного захисту;	- інструктаж працівників; -інструктаж адміністратора;
Використання чужих реєстраційних даних для входу до інформаційних служб		-Інструктаж співробітників; -інструктаж адміністратора безпеки;

Методи боротьби з погрозами, зазначені в таблиці, будуть враховані та використані для розробки політики безпеки університету.

2.4. Визначення класу захищеності інформаційної системи

Для розробки ефективної системи безпеки установ необхідно визначити клас захищеності вихідної системи. Для цього було проведено аналіз інформаційної системи та отримано такі результати:

– Система опрацьовує інформацію різних рівнів конфіденційності;

– У системі обробляються дані із грифом «таємно»;

– Інформаційна система є розрахованою на багато користувачів;

- Права доступ...

Подібні документи

Сутність інформації, її класифікація. Основні проблеми забезпечення та загрози інформаційної безпеки підприємства. Аналіз ризиків та принципи інформаційної безпеки підприємства. Розробка комплексу заходів щодо забезпечення інформаційної безпеки.

курсова робота , доданий 17.05.2016


Аналіз інфраструктури ТОВ магазин "Стиль". Створення системи інформаційної безпеки відділу бухгалтерії підприємства з урахуванням її передпроектного обстеження. Розробка концепції, політики інформаційної безпеки та вибір рішень щодо її забезпечення.

курсова робота , доданий 17.09.2010


Стратегія інформаційної безпеки підприємства у вигляді системи ефективних політик, які б визначали ефективний і достатній набір вимог безпеки. Виявлення загроз інформаційній безпеці. Внутрішній контроль та управління ризиками.

курсова робота , доданий 14.06.2015


Розробка структурної та інфологічної моделей інформаційної системи держустанови. Перелік та аналіз загроз, об'єкти нападу, типи втрат, масштаби збитків, джерела. Охорона бази даних конфіденційної інформації та розробка політики безпеки.

курсова робота , доданий 15.11.2009


Основні поняття, методи та технології управління ризиками інформаційної безпеки. Ідентифікація ризику, активів, загроз, уразливостей, існуючих контролю, наслідків. Оцінка та зниження ризику. Приклади типових загроз для інформаційної безпеки.

презентація , доданий 11.04.2018


Нормативно-правові документи у сфері інформаційної безпеки у Росії. Аналіз погроз інформаційних систем. Характеристика організації системи захисту персональних даних клініки. Використання системи аутентифікації з використанням електронних ключів.

дипломна робота , доданий 31.10.2016


Характеристика інформаційних ресурсів агрохолдингу "Ашатлі". Загрози інформаційної безпеки, характерні підприємствам. Заходи, методи та засоби захисту інформації. Аналіз недоліків існуючої та переваги оновленої системи безпеки.

курсова робота , доданий 03.02.2011


Поняття, значення та напрями інформаційної безпеки. Системний підхід до організації інформаційної безпеки; захист інформації від несанкціонованого доступу. Засоби захисту. Методи та системи інформаційної безпеки.

реферат, доданий 15.11.2011


Аналіз ризиків інформаційної безпеки. Ідентифікація уразливостей активів. Оцінка існуючих та планованих засобів захисту. Комплекс проектованих нормативно-правових та організаційно-адміністративних засобів забезпечення інформаційної безпеки.

дипломна робота , доданий 03.04.2013


Розробка інформаційної системи ВНЗ із використанням методики об'єктно-орієнтованого моделювання UML. Аналіз вимог до системи. Концептуальна (змістовна) модель. Діаграма компонентів та класів. Програмна реалізація програми.

А.В. ВОВКІВ
системний адміністратор Саратовського державного соціально-економічного університету

У розвитку комп'ютерної техніки та програмного забезпечення вузи відіграли ключову роль. Вони розробляються, випробовуються і впроваджуються передові проекти у сфері IT. Зі зростанням кіберзлочинності захист конфіденційної інформації та розробок у навчальних закладах стає особливо актуальним.

Облік специфіки

ВНЗ - інфраструктура, що має величезний банк даних, що містить інформацію різного характеру. Це не лише навчальні методички в електронному вигляді, а й важливі проектно-дослідницькі напрацювання. Зростання злочинів у сфері високих технологій диктує свої вимоги щодо захисту ресурсів обчислювальних мереж навчальних закладів та ставить завдання побудови власної інтегрованої системи безпеки. Її рішення передбачає наявність нормативно-правової бази, формування концепції безпеки, розробку заходів, планів та процедур із безпечної роботи, проектування, реалізацію та супровід технічних засобів захисту інформації (СЗІ) у рамках освітнього закладу. Ці складові визначають єдину політику забезпечення безпеки інформації у виші.

Специфіка захисту інформації в освітній системі полягає в тому, що ВНЗ - публічний заклад з непостійною аудиторією, а також місце підвищеної активності "кібер-злочинців-початківців". Основну групу потенційних порушників тут складають студенти, деякі мають досить високий рівень знання комп'ютерів, мереж. Вік - від 18 до 23 років - і юнацький максималізм спонукає таких людей блиснути знаннями перед однокурсниками: влаштувати вірусну епідемію, отримати адміністративний доступ і покарати викладача, заблокувавши вихід в Інтернет. Досить, що перші комп'ютерні правопорушення народилися саме у вузі (хробак Морріса).

Учні мають доступом лише до комп'ютерних навчальних аудиторій, від них і виходить внутрішня загроза. Робота студентів, викладачів у таких аудиторіях має бути регламентована наказом (актом) ректорату. Щоб запобігти занесенню шкідливої ​​інформації у внутрішню мережу, бажано, щоб у комп'ютерах були відсутні дисководи та були відключені usb-порти.

Аналіз загроз, їх джерел та ризиків

Комп'ютерні мережі освітніх закладів - це сукупність мережевих ресурсів навчальної діяльності, робочих станцій персоналу, пристроїв функціонування мережі загалом.

Джерелами можливих загроз інформації є: комп'ютеризовані навчальні аудиторії, де відбувається навчальний процес;

• Інтернет;
• робочі станції некваліфікованих у сфері ІБ працівників вишу.

Аналіз інформаційних ризиків можна поділити на такі етапи:

• класифікація об'єктів, що підлягають захисту, за важливістю;
• визначення привабливості об'єктів захисту для хакерів;
• визначення можливих загроз та можливих каналів доступу на об'єкти;
• оцінка існуючих заходів безпеки;
• визначення вразливостей в обороні та способів їх ліквідації;
• складання ранжованого списку загроз;
• оцінка шкоди від НСД, атак у відмові обслуговуванні, збоїв у роботі устаткування.

Основні об'єкти, які потребують захисту від НСД:

• бухгалтерські ЛОМ, дані планово-фінансового відділу, а також статистичні та архівні дані;
• сервери баз даних;
• консоль керування обліковими записами;
• www/ftp сервер;
• ЛОМ та сервери дослідницьких проектів.

Регламент роботи

Для аутентифікації користувачів на робочих станціях викладацького персоналу, комп'ютерах у навчальних аудиторіях можна використовувати рольове управління доступом (РУД). Суть технології - у створенні певної ролі, що зв'язує користувача та його привілеї в системі. З її допомогою можна ефективно побудувати гнучку політику розмежування доступу в розрахованій на багато користувачів системі.

РУД помітно полегшує адміністрування розрахованих на багато користувачів систем шляхом встановлення зв'язків між "ролями" і користувачами. Для кожного користувача може бути активізовано одразу кілька "ролей", які одночасно можуть бути приписані одразу кільком користувачам.

Використання мережної операційної системи Novell Netware дозволяє централізовано керувати процесом ідентифікації користувачів у спільній університетській мережі, відстежувати їх дії, обмежувати доступ до ресурсів. Кошти захисту інформації (СЗІ) вже вбудовані в цю ОС на базових рівнях і не є надбудовою у вигляді будь-якої програми.

ОС Novell NetWare містить механізми захисту наступних рівнів:

• захист інформації про користувача;
• захист паролем;
• захист каталогів;
• захист файлів;
• міжмережевий захист.

До кожного зареєстрованого у цій ОС користувача містяться правила із зазначенням переліку ресурсів, яких він має доступ, права працювати з ними. Для допомоги адміністратору служить консоль керування обліковими записами. Є можливість обмеження права користувача на вхід до мережі часом, датою та конкретними робочими станціями. Як система розмежування доступу використовуються ACL і звані контексти. Для кожного контексту визначено перелік доступних ресурсів мережі. Це дозволяє розділяти доступ до ресурсів між адміністрацією, працівниками університету та студентами. Крім того, можна встановлювати додаткові групові політики у межах певного контексту (припустимо, розділити доступ студентського контексту на факультетах, не використовуючи підконтексти). Вбудовані засоби виявлення та запобігання атакам дозволяють швидко виявити порушника.

Нерідко на території університету розгортається бездротова мережа, доступ до якої зазвичай є вільним. Використовувати таку схему варто у тому випадку, коли точки бездротового доступу не підключені до внутрішньої мережі університету. Як правило, зв'язок з Інтернетом здійснюється відразу по кількох лініях зв'язку (оптоволоконна магістраль, супутникові та радіоканали). Окремі канали надаються для зв'язку з іншими університетами або для безпечного обміну даними. Щоб виключити ризики, пов'язані з витоком і псуванням інформації, що передається, такі мережі не варто підключати до глобальних мереж і загальної університетської мережі.

Критично важливі вузли для обміну даними університету (бухгалтерська ЛОМ) також мають існувати окремо.

Рубежі оборони

Перший рубіж оборони від атак ззовні (Інтернет) – роутер (маршрутизатор). Він застосовується для зв'язку ділянок мережі один з одним, а також для більш ефективного поділу трафіку та використання альтернативних шляхів між вузлами мережі. Від його налаштувань залежить функціонування підмереж та зв'язок з глобальними мережами (WAN). Його головне завдання у плані безпеки -захист від розподілених атак у відмові обслуговування (DDOS).

Другим кордоном може бути МСЕ: апаратно-програмний комплекс Cisco PIX Firewall.

Потім слідує DMZ. У цій зоні варто розташувати головний проксі-сервер, dns-сервер, www/ftp, сервер mail. Проксі-сервер обробляє запити від робочих станцій навчального персоналу, серверів, не підключених безпосередньо до роутера, та фільтрує трафік. Політика безпеки на цьому рівні має визначатися блокуванням небажаного трафіку та його економією (фільтрація мультимедіаконтенту, iso-образів, блокування сторінок небажаного/нецензурного змісту за ключовими словами). Щоб не відбувалося завантаження зараженої вірусами інформації, на цьому сервері виправдано розміщення антивіруса (наприклад, ClamAV). Для більш детального аналізу та контролю трафіку слід застосовувати IDS (таку як Snort).

Інформація від проксі-сервера паралельно надсилається на сервер статистики, де можна переглянути та проаналізувати діяльність користувачів в Інтернеті. На поштовому сервері обов'язково має бути поштовий антивірус, наприклад, Kaspersky AntiVirus for Mail servers.

Оскільки ці сервери безпосередньо пов'язані з глобальною мережею, аудит програмного забезпечення, встановленого на них, - першочергове завдання інженера з інформаційної безпеки вузу. Для економії засобів та гнучкості настроювання бажано застосовувати Opensource-ОС та програмне забезпечення. Найпоширеніша ОС - FreeBSD та GNU Linux. Але ніщо не заважає використовувати більш консервативну Open BSD або навіть надстабільну ОС реального часу QNX.

Попит на антивірусні кошти зростає з кожним роком і не оминув інфраструктуру вишів.

Для централізованого управління антивірусною діяльністю необхідний продукт із клієнт-серверною архітектурою, такою як Dr.Web Enterprise Suite. Він дозволяє централізовано керувати налаштуваннями та оновленням антивірусних баз за допомогою графічної консолі та надавати зручну для читання статистику про вірусну діяльність, якщо така присутня.

Для більшої зручності працівників вишу можна організувати доступ до внутрішньої мережі університету за допомогою технології VPN.