1. Антивирусная защита - Тольяттинский государственный

реклама
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
государственного образовательного учреждения
высшего профессионального образования
"Тольяттинский государственный университет"
СОДЕРЖАНИЕ
Введение ............................................................................................................................................. 4
1 Общие положения .......................................................................................................................... 5
2 Область действия ............................................................................................................................ 7
3 Порядок доступа к конфиденциальной информации.................................................................. 8
4 Сетевая безопасность ..................................................................................................................... 9
5 Локальная безопасность............................................................................................................... 11
6 Физическая безопасность ............................................................................................................ 13
7 Обеспечение защиты персональных данных ............................................................................. 14
8 Дублирование, резервное копирование, хранение информации ............................................. 15
2
ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
АВС – антивирусные средства
АРМ –-автоматизированное рабочее место
ИС – информационная система
ИБ – информационная безопасность
ОСБ– отдел собственной безопасности
ЛВС – локальная вычислительная сеть
МЭ – межсетевой экран
НСД – несанкционированный доступ
ОС – операционная система
ПДн – персональные данные
ПО – программное обеспечение
СЗИ – средства защиты информации
Университет – ГОУ ВПО Тольяттинский Государственный Университет
3
ВВЕДЕНИЕ
Настоящая «Политика информационной безопасности Университета»
(далее – Политика) разработана в соответствии с требованиями законодательства, нормативных актов Российской Федерации : Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона
от 8 августа 2001 г. N 128-ФЗ «О лицензировании отдельных видов деятельности», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О
персональных данных» и постановления Правительства Российской
Федерации от 11 ноября 2007 г. № 781 «Об утверждении Положения об
обеспечении безопасности персональных данных при их обработке в
информационных системах персональных данных ;
Предметом настоящего документа является:
порядок доступа к информационным системам, обрабатывающим
конфиденциальную информацию;
работа в глобальной сети ИНТЕРНЕТ
сетевая безопасность;
локальная безопасность;
физическая безопасность (доступ в помещения);
обеспечение защиты персональных данных;
дублирование, резервирование и хранение информации;
4
ОБЩИЕ ПОЛОЖЕНИЯ
1. Цели и задачи
Целью настоящей Политики является обеспечение безопасности объектов
защиты Университета от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации
угроз безопасности .
Направление информационной безопасности создано в отделе собственной безопасности со следующими задачами и функциями, определяемыми постановлением Правительства 915-12 "О лицензировании отдельных видов деятельности" :
- планирование, согласование и организация мероприятий по защите информации непосредственно на объектах информатизации, на которых проводятся работы с использованием конфиденциальной информации;
- определение возможностей несанкционированного доступа к информации, ее уничтожения или искажения, определение возможных технических каналов и анализ рисков утечки конфиденциальной информации, разработка соответствующих мер по защите;
- организация технической защиты информации, участие в создании систем защиты;
- проведение периодического контроля состояния ИБ, учет и анализ результатов с выработкой решений по устранению уязвимостей и нарушений;
- контроль за использованием закрытых каналов связи и ключей с
цифровыми подписями;
- организация плановых проверок режима защиты, и разработка соответствующей документации, анализ результатов, расследование нарушений;
- разработка и осуществление мероприятий по защите персональных
данных,
5
организация взаимодействия со всеми структурами, участвующими в
их обработке, выполнение требований законодательства к информационным
системам, обрабатывающим персональные данные, контроль действий операторов, отвечающих за их обработку.
2.Организационно-правовой статус сотрудников по обеспечению информационной безопасности
- сотрудники имеют право беспрепятственного доступа во все помещения, где установлены технические средства с Информационными системами
(ИС), право требовать от руководства подразделений и администраторов ИС
прекращения автоматизированной обработки информации, персональных данных, при наличии непосредственной угрозы защищаемой информации;
- имеют право получать от пользователей и администраторов необходимую информацию по вопросам применения информационных технологий, в части касающейся вопросов информационной безопасности;
- главный специалист по ИБ имеет право проводить аудит действующих
и вновь внедряемых ИС на предмет реализации требований защиты и обработки информации запрещать их эксплуатацию, если не отвечают требованиям
или продолжение эксплуатации может привести к серьезным последствиям в
случае реализации значимых угроз безопасности;
-сотрудники имеют право контролировать исполнение утвержденных
нормативных и организационно-распорядительных документов, касающихся
вопросов информационной безопасности.
Настоящая Политика утверждена ректором Университета и введена в
действие приказом № ____ от «__» ____________ 2011 г.
6
ОБЛАСТЬ ДЕЙСТВИЯ
Требования настоящей Политики распространяются на всех сотрудников
Университета (штатных, временных, работающих по контракту и т.п).
7
ПОРЯДОК ДОСТУПА К ИНФОРМАЦИОННЫМ СИСТЕМАМ,
ОБРАБАТЫВАЮЩИМ КОНФИДЕНЦИАЛЬНУЮ
ИНФОРМАЦИЮ
Система управления доступом к информационным системам реализована
с помощью штатных средств
(операционных систем (MS Windows Server,
Linux), ИС и используемых ими СУБД) и предназначена для реализации следующих функций:
идентификации и проверки подлинности субъектов доступа при входе
в ИС;
идентификации терминалов, узлов сети, каналов связи, внешних
устройств по логическим именам;
идентификации программ, томов, каталогов, файлов, записей, полей
записей по именам;
регистрации входа (выхода) субъектов доступа в систему (из системы),
либо регистрация загрузки и инициализации операционной системы и
ее останова;
регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
регистрации попыток доступа программных средств к терминалам,
каналам связи, программам, томам, каталогам, файлам, записям, полям записей.
Порядок доступа, получения логинов и паролей, определяется Порядком предоставления прав доступа.
8
СЕТЕВАЯ БЕЗОПАСНОСТЬ
1. Доступ из Интернет в сеть университета:
- во внутреннюю сеть доступ извне запрещен;
- как исключение доступ разрешен только к определяемым объектам по
распоряжению директора Цнит, по согласованию с ответственным сотрудником ОСБ (в остальных случаях доступ запрещен);
Системный администратор Цнит руководствуется следующими требованиями безопасности при администрировании порядка доступа к корпоративной
сети Университета:
- анонимный доступ всем разрешен только к 80 порту;
- разрешен авторизованный FTP-доступ на 21 порт ;
- разрешен доступ к SMTP сервису - 25 порт;
- разрешен доступ только из внутренней сети к сервису POP3 - 110 порт;
Согласно приказу Федеральной службы по техническому и экспортному
контролю от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и
способах
защиты информации в информационных системах персональных
данных" доступ из корпоративной сети в Интернет разрешен без ограничений
через прокси-сервер с аутентификацией пользователей или настроенный межсетевой экран;
2. Маршрутизаторы и межсетевые экраны:
Система межсетевого экранирования предназначена для реализации следующих функций:
фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;
идентификации и аутентификацию администратора межсетевого
экрана при его локальных запросах на доступ;
контроля целостности своей программной и информационной части;
9
фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
фильтрации с учетом входного и выходного сетевого интерфейса как
средство проверки подлинности сетевых адресов;
блокирования доступа не идентифицированного объекта или субъекта,
подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;
контроля сетевой активности приложений и обнаружения сетевых
атак.
Для анализа защищенности ИС применяются специализированные программно-аппаратные средства – сканеры безопасности (Nsauditor). Применяются для анализа уязвимостей и несоответствия в настройках ОС, СУБД, сетевого
оборудования. Выявленные уязвимости протоколируются и передаются администраторам ИС, сетевым администраторам для устранения в установленные
сроки.
Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы ИС подключенные к сетям общего пользования и (или)
международного обмена.
Функционал подсистемы реализуется программными и программноаппаратными средствами, на межсетевых экранах. Администратор сети ведет
протоколирование и регулярный мониторинг доступа, контролирует содержание трафика, проводит анализ лог-файлов.
На межсетевом экране заводится лог-файл, куда записываются все обращения (попытки создания соединений) в сеть и из сети. Лог файл должен храниться локально и удаленно.
Система обнаружения атак сохраняет информацию об атаках и подозрительной активности также в лог-файл.
Анализ лог-файлов в виде отчета администратор сети
передает сотруд-
нику ИБ в случае инцидентов массовых атак, или по его запросу.
10
Маршрутизаторы задают политику безопасности и запрещают доступ из
одного сегмента сети в другой. Настройкой маршрутизаторов занимается администратор сети.
ЛОКАЛЬНАЯ БЕЗОПАСНОСТЬ
1. Антивирусная защита
Антивирусная защита предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей Университета.
Средства антивирусной защиты предназначены для реализации следующих функций:
резидентный антивирусный мониторинг;
антивирусное сканирование;
скрипт-блокирование;
централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и
статистической информации по работе продукта;
автоматизированное обновление антивирусных баз;
ограничение прав пользователя на остановку исполняемых задач и
изменения настроек антивирусного программного обеспечения;
автоматический запуск сразу после загрузки операционной системы.
Антивирусная защита реализуется путем установки антивирусного программного обеспечения на всех элементах ИС. Анализ эффективности защиты
проводится ответственным сотрудником ЦНИТ, с использованием тестовых
компьютеров и контролируется сотрудником ИБ.
11
2. Криптографическая защита
Криптографическая защита предназначена для исключения НСД к защищаемой информации, при ее передачи по каналам связи сетей общего пользования и (или) международного обмена.
Система реализуется путем внедрения криптографических программноаппаратных комплексов КриптоПро .
К
работе с криптографическими системами допускаются только сотрудни-
ки , имеющими соответствующее разрешение, определенные приказом ректора.
Ключи электронно-цифровых подписей должны храниться в сейфах под
ответственностью лиц на то уполномоченных. Доступ неуполномоченных лиц к
носителям ключей должен быть исключен.
Все экземпляры криптосистем регистрируются в Журнале СКЗИ.
Действия сотрудников при работе с криптосистемами регламентируются
документом "Типовые требованияпо организации и обеспечению функционирования шифровальных(криптографических) средств, предназначенных
для защиты информации,не содержащей сведений, составляющих государственную тайну" (ФСБ России, от 21.02.2008 N 149/6/6-622).
3. Разграничение прав доступа к информационным системам и системам
хранения данных
Для входа в компьютерную сеть сотрудник должен ввести логин и
пароль. Допускается режим безпарольного (гостевого) доступа к образовательному порталу.
В целях защиты информации организационно и технически разделяются
подразделения Университета, имеющие доступ и работающие с различной информацией (в разрезе ее конфиденциальности и смысловой направленности).
Данная задача решается с использованием возможностей конкретных ИС, где в
целях обеспечения защиты данных доступ и права пользователей ограничивается набором прав и ролей. Права назначаются в соответствии с производственной необходимостью,
определяемой администратором ИС, согласно Положе-
нию о разграничении.
12
Администратором ИС ведется протоколирование доступа к ресурсам ИС,
фиксируются попытки НСД, о которых докладывается ответственному работнику ОСБ, согласно требований к ИС класса К3.
Все действия пользователей определяются Регламентом по обеспечению
информационной безопасности для пользователей, которую они изучают при
получении доступа к ИС.
ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ
Все объекты критичные с точки зрения информационной безопасности (все сервера баз данных) находятся в отдельном помещении, доступ в которое разрешен только сотрудникам, имеющими соответствующее разрешение и определены приказом ректора.
Порядок доступа определяется Регламентом доступа в серверное
помещения.
13
ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Все сотрудники Университета, являющиеся пользователями ИСПДн,
должны четко знать и строго выполнять установленные правила и обязанности
по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.
При вступлении в должность нового сотрудника непосредственный
начальник подразделения, в которое он поступает, обязан организовать его
ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования
ИСПДн.
Сотрудник должен быть ознакомлен с Положением о защите персональных данных.
Сотрудники Университета должны обеспечивать надлежащую защиту
оборудования, оставляемого без присмотра, особенно в тех случаях, когда в
помещение имеют доступ посторонние лица. Все пользователи должны знать
требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
Сотрудникам запрещается устанавливать постороннее программное
обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.
14
Сотрудникам запрещается разглашать содержание защищаемой информаци, которая стала им известна при работе с информационными системами
Университета, третьим лицам, согласно Положения о защите персональных
данных.
ДУБЛИРОВАНИЕ, РЕЗЕРВИРОВАНИЕ И ХРАНЕНИЕ
ИНФОРМАЦИИ
Для обеспечения физической целостности данных, во избежание умышленного
или неумышленного уничтожения или искажения защищаемой информации и
конфигураций информационных систем организуется резервное копирование
баз данных, конфигураций, файлов настроек, конфигурационных файлов.
Порядок резервного копирования, дублирования, хранения архивов и восстановления информации определен Регламентом резервного копирования
15
16
Скачать