1. Антивирусная защита - Тольяттинский государственный
advertisement
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ государственного образовательного учреждения высшего профессионального образования "Тольяттинский государственный университет" СОДЕРЖАНИЕ Введение ............................................................................................................................................. 4 1 Общие положения .......................................................................................................................... 5 2 Область действия ............................................................................................................................ 7 3 Порядок доступа к конфиденциальной информации.................................................................. 8 4 Сетевая безопасность ..................................................................................................................... 9 5 Локальная безопасность............................................................................................................... 11 6 Физическая безопасность ............................................................................................................ 13 7 Обеспечение защиты персональных данных ............................................................................. 14 8 Дублирование, резервное копирование, хранение информации ............................................. 15 2 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ АВС – антивирусные средства АРМ –-автоматизированное рабочее место ИС – информационная система ИБ – информационная безопасность ОСБ– отдел собственной безопасности ЛВС – локальная вычислительная сеть МЭ – межсетевой экран НСД – несанкционированный доступ ОС – операционная система ПДн – персональные данные ПО – программное обеспечение СЗИ – средства защиты информации Университет – ГОУ ВПО Тольяттинский Государственный Университет 3 ВВЕДЕНИЕ Настоящая «Политика информационной безопасности Университета» (далее – Политика) разработана в соответствии с требованиями законодательства, нормативных актов Российской Федерации : Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 8 августа 2001 г. N 128-ФЗ «О лицензировании отдельных видов деятельности», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 11 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных ; Предметом настоящего документа является: порядок доступа к информационным системам, обрабатывающим конфиденциальную информацию; работа в глобальной сети ИНТЕРНЕТ сетевая безопасность; локальная безопасность; физическая безопасность (доступ в помещения); обеспечение защиты персональных данных; дублирование, резервирование и хранение информации; 4 ОБЩИЕ ПОЛОЖЕНИЯ 1. Цели и задачи Целью настоящей Политики является обеспечение безопасности объектов защиты Университета от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности . Направление информационной безопасности создано в отделе собственной безопасности со следующими задачами и функциями, определяемыми постановлением Правительства 915-12 "О лицензировании отдельных видов деятельности" : - планирование, согласование и организация мероприятий по защите информации непосредственно на объектах информатизации, на которых проводятся работы с использованием конфиденциальной информации; - определение возможностей несанкционированного доступа к информации, ее уничтожения или искажения, определение возможных технических каналов и анализ рисков утечки конфиденциальной информации, разработка соответствующих мер по защите; - организация технической защиты информации, участие в создании систем защиты; - проведение периодического контроля состояния ИБ, учет и анализ результатов с выработкой решений по устранению уязвимостей и нарушений; - контроль за использованием закрытых каналов связи и ключей с цифровыми подписями; - организация плановых проверок режима защиты, и разработка соответствующей документации, анализ результатов, расследование нарушений; - разработка и осуществление мероприятий по защите персональных данных, 5 организация взаимодействия со всеми структурами, участвующими в их обработке, выполнение требований законодательства к информационным системам, обрабатывающим персональные данные, контроль действий операторов, отвечающих за их обработку. 2.Организационно-правовой статус сотрудников по обеспечению информационной безопасности - сотрудники имеют право беспрепятственного доступа во все помещения, где установлены технические средства с Информационными системами (ИС), право требовать от руководства подразделений и администраторов ИС прекращения автоматизированной обработки информации, персональных данных, при наличии непосредственной угрозы защищаемой информации; - имеют право получать от пользователей и администраторов необходимую информацию по вопросам применения информационных технологий, в части касающейся вопросов информационной безопасности; - главный специалист по ИБ имеет право проводить аудит действующих и вновь внедряемых ИС на предмет реализации требований защиты и обработки информации запрещать их эксплуатацию, если не отвечают требованиям или продолжение эксплуатации может привести к серьезным последствиям в случае реализации значимых угроз безопасности; -сотрудники имеют право контролировать исполнение утвержденных нормативных и организационно-распорядительных документов, касающихся вопросов информационной безопасности. Настоящая Политика утверждена ректором Университета и введена в действие приказом № ____ от «__» ____________ 2011 г. 6 ОБЛАСТЬ ДЕЙСТВИЯ Требования настоящей Политики распространяются на всех сотрудников Университета (штатных, временных, работающих по контракту и т.п). 7 ПОРЯДОК ДОСТУПА К ИНФОРМАЦИОННЫМ СИСТЕМАМ, ОБРАБАТЫВАЮЩИМ КОНФИДЕНЦИАЛЬНУЮ ИНФОРМАЦИЮ Система управления доступом к информационным системам реализована с помощью штатных средств (операционных систем (MS Windows Server, Linux), ИС и используемых ими СУБД) и предназначена для реализации следующих функций: идентификации и проверки подлинности субъектов доступа при входе в ИС; идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам; идентификации программ, томов, каталогов, файлов, записей, полей записей по именам; регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее останова; регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам; регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей. Порядок доступа, получения логинов и паролей, определяется Порядком предоставления прав доступа. 8 СЕТЕВАЯ БЕЗОПАСНОСТЬ 1. Доступ из Интернет в сеть университета: - во внутреннюю сеть доступ извне запрещен; - как исключение доступ разрешен только к определяемым объектам по распоряжению директора Цнит, по согласованию с ответственным сотрудником ОСБ (в остальных случаях доступ запрещен); Системный администратор Цнит руководствуется следующими требованиями безопасности при администрировании порядка доступа к корпоративной сети Университета: - анонимный доступ всем разрешен только к 80 порту; - разрешен авторизованный FTP-доступ на 21 порт ; - разрешен доступ к SMTP сервису - 25 порт; - разрешен доступ только из внутренней сети к сервису POP3 - 110 порт; Согласно приказу Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" доступ из корпоративной сети в Интернет разрешен без ограничений через прокси-сервер с аутентификацией пользователей или настроенный межсетевой экран; 2. Маршрутизаторы и межсетевые экраны: Система межсетевого экранирования предназначена для реализации следующих функций: фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике; идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ; контроля целостности своей программной и информационной части; 9 фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств; фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов; блокирования доступа не идентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату; контроля сетевой активности приложений и обнаружения сетевых атак. Для анализа защищенности ИС применяются специализированные программно-аппаратные средства – сканеры безопасности (Nsauditor). Применяются для анализа уязвимостей и несоответствия в настройках ОС, СУБД, сетевого оборудования. Выявленные уязвимости протоколируются и передаются администраторам ИС, сетевым администраторам для устранения в установленные сроки. Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы ИС подключенные к сетям общего пользования и (или) международного обмена. Функционал подсистемы реализуется программными и программноаппаратными средствами, на межсетевых экранах. Администратор сети ведет протоколирование и регулярный мониторинг доступа, контролирует содержание трафика, проводит анализ лог-файлов. На межсетевом экране заводится лог-файл, куда записываются все обращения (попытки создания соединений) в сеть и из сети. Лог файл должен храниться локально и удаленно. Система обнаружения атак сохраняет информацию об атаках и подозрительной активности также в лог-файл. Анализ лог-файлов в виде отчета администратор сети передает сотруд- нику ИБ в случае инцидентов массовых атак, или по его запросу. 10 Маршрутизаторы задают политику безопасности и запрещают доступ из одного сегмента сети в другой. Настройкой маршрутизаторов занимается администратор сети. ЛОКАЛЬНАЯ БЕЗОПАСНОСТЬ 1. Антивирусная защита Антивирусная защита предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей Университета. Средства антивирусной защиты предназначены для реализации следующих функций: резидентный антивирусный мониторинг; антивирусное сканирование; скрипт-блокирование; централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта; автоматизированное обновление антивирусных баз; ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения; автоматический запуск сразу после загрузки операционной системы. Антивирусная защита реализуется путем установки антивирусного программного обеспечения на всех элементах ИС. Анализ эффективности защиты проводится ответственным сотрудником ЦНИТ, с использованием тестовых компьютеров и контролируется сотрудником ИБ. 11 2. Криптографическая защита Криптографическая защита предназначена для исключения НСД к защищаемой информации, при ее передачи по каналам связи сетей общего пользования и (или) международного обмена. Система реализуется путем внедрения криптографических программноаппаратных комплексов КриптоПро . К работе с криптографическими системами допускаются только сотрудни- ки , имеющими соответствующее разрешение, определенные приказом ректора. Ключи электронно-цифровых подписей должны храниться в сейфах под ответственностью лиц на то уполномоченных. Доступ неуполномоченных лиц к носителям ключей должен быть исключен. Все экземпляры криптосистем регистрируются в Журнале СКЗИ. Действия сотрудников при работе с криптосистемами регламентируются документом "Типовые требованияпо организации и обеспечению функционирования шифровальных(криптографических) средств, предназначенных для защиты информации,не содержащей сведений, составляющих государственную тайну" (ФСБ России, от 21.02.2008 N 149/6/6-622). 3. Разграничение прав доступа к информационным системам и системам хранения данных Для входа в компьютерную сеть сотрудник должен ввести логин и пароль. Допускается режим безпарольного (гостевого) доступа к образовательному порталу. В целях защиты информации организационно и технически разделяются подразделения Университета, имеющие доступ и работающие с различной информацией (в разрезе ее конфиденциальности и смысловой направленности). Данная задача решается с использованием возможностей конкретных ИС, где в целях обеспечения защиты данных доступ и права пользователей ограничивается набором прав и ролей. Права назначаются в соответствии с производственной необходимостью, определяемой администратором ИС, согласно Положе- нию о разграничении. 12 Администратором ИС ведется протоколирование доступа к ресурсам ИС, фиксируются попытки НСД, о которых докладывается ответственному работнику ОСБ, согласно требований к ИС класса К3. Все действия пользователей определяются Регламентом по обеспечению информационной безопасности для пользователей, которую они изучают при получении доступа к ИС. ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ Все объекты критичные с точки зрения информационной безопасности (все сервера баз данных) находятся в отдельном помещении, доступ в которое разрешен только сотрудникам, имеющими соответствующее разрешение и определены приказом ректора. Порядок доступа определяется Регламентом доступа в серверное помещения. 13 ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Все сотрудники Университета, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн. При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн. Сотрудник должен быть ознакомлен с Положением о защите персональных данных. Сотрудники Университета должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты. Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию. 14 Сотрудникам запрещается разглашать содержание защищаемой информаци, которая стала им известна при работе с информационными системами Университета, третьим лицам, согласно Положения о защите персональных данных. ДУБЛИРОВАНИЕ, РЕЗЕРВИРОВАНИЕ И ХРАНЕНИЕ ИНФОРМАЦИИ Для обеспечения физической целостности данных, во избежание умышленного или неумышленного уничтожения или искажения защищаемой информации и конфигураций информационных систем организуется резервное копирование баз данных, конфигураций, файлов настроек, конфигурационных файлов. Порядок резервного копирования, дублирования, хранения архивов и восстановления информации определен Регламентом резервного копирования 15 16