UDC 004.056

SEGURIDAD DE LA INFORMACIÓN DE LA RED CORPORATIVA DE LA UNIVERSIDAD

O. M. Protalinsky, I. M. Azhmukhamedov

Se revelan los detalles de garantizar la seguridad de la información en una universidad. Se realizó un análisis de las amenazas, sus fuentes y riesgos. Se consideran los límites de la protección de la información y la estructura de un sistema integrado de seguridad de la información.

Palabras clave: seguridad de la información, universidad, amenazas a la seguridad, protección de la información.

En las condiciones modernas de informatización general y desarrollo de las tecnologías de la información, las amenazas a la seguridad nacional de la Federación de Rusia en la esfera de la información están aumentando.

El concepto de seguridad nacional de la Federación de Rusia en relación con la esfera de la información está desarrollado por la Doctrina de Seguridad de la Información (SI) de la Federación de Rusia.

La Doctrina establece que garantizar la seguridad de la información de la Federación de Rusia desempeña un papel clave para garantizar la seguridad nacional de la Federación de Rusia. Al mismo tiempo, una de las direcciones prioritarias de la política estatal en el campo de la seguridad de la información en la Federación de Rusia es la mejora de la formación del personal y el desarrollo de la educación en el campo de la seguridad de la información. Las universidades desempeñan un papel especial en la solución de estos problemas.

La educación superior rusa atraviesa un período de adaptación no sólo a los procesos objetivos de la sociedad de la información, sino también a las nuevas condiciones sociopolíticas con diversas manifestaciones de competencia.

Crear mecanismos efectivos para gestionar los recursos de información del sistema de educación superior en las condiciones modernas es imposible sin una justificación científica y la implementación práctica de una política universitaria equilibrada de seguridad de la información, que puede formarse a partir de la resolución de las siguientes tareas:

Análisis de los procesos de interacción de la información (II) en todas las áreas de la actividad principal de una universidad técnica rusa: flujos de información, su escala y calidad, contradicciones, competencia con la identificación de propietarios y rivales;

Desarrollo de una descripción cuantitativa (matemática) cualitativa y simple de IW;

Introducción de indicadores cuantitativos y criterios de apertura, seguridad y equidad del intercambio de información;

Desarrollo de escenarios sobre la necesidad e importancia del equilibrio en la apertura y confidencialidad de la información;

Determinar el papel y el lugar de la política de seguridad de la información en la gestión de los recursos de información universitarios y desarrollar principios y enfoques coherentes;

Formulación de los principales componentes de la política: metas, objetivos, principios y áreas clave para garantizar la seguridad de la información;

Desarrollo de métodos básicos para gestionar el proceso de garantizar la política de seguridad de la información;

Elaboración de proyectos de documentos reglamentarios.

ESPECIFICIDAD DE LAS INSTITUCIONES EDUCATIVAS

Una universidad moderna almacena y procesa una gran cantidad de datos diferentes relacionados no solo con el proceso educativo, sino también con la investigación y el desarrollo, datos personales de estudiantes y empleados, información oficial, comercial y otra información confidencial.

El crecimiento de los delitos en el campo de la alta tecnología dicta sus necesidades para la protección de los recursos de las redes informáticas de las instituciones educativas y plantea la tarea de construir su propio sistema de seguridad integrado. Su solución presupone la existencia de un marco regulatorio, la formación de un concepto de seguridad, el desarrollo de medidas, planes y procedimientos para un trabajo seguro, el diseño, implementación y mantenimiento de medios técnicos de seguridad de la información (SI) dentro de una institución educativa. Estos componentes determinan una política unificada para garantizar la seguridad de la información en la universidad.

La especificidad de la protección de la información en el sistema educativo es que una universidad es una institución pública con una audiencia voluble, así como un lugar de mayor actividad para los "ciberdelincuentes novatos".

El grupo principal de posibles infractores aquí son los estudiantes, y algunos de ellos tienen un nivel de formación bastante alto.

ki. La edad (de 18 a 23 años) y el maximalismo juvenil alientan a estas personas a "mostrar" sus conocimientos frente a sus compañeros: crear una epidemia de virus, obtener acceso administrativo y "castigar" al profesor, bloquear el acceso a Internet, etc. Baste recordar que los primeros delitos informáticos nacieron en la universidad (el gusano Morris).

Las características de una universidad como objeto de informatización también están relacionadas con el carácter multidisciplinario de sus actividades, la abundancia de formas y métodos de trabajo educativo y la distribución espacial de la infraestructura (sucursales, oficinas de representación). Esto también incluye la variedad de fuentes de financiamiento, la presencia de una estructura desarrollada de departamentos y servicios auxiliares (construcción, producción, actividades económicas), la necesidad de adaptarse al mercado cambiante de servicios educativos, la necesidad de un análisis del mercado laboral. , la falta de formalización generalmente aceptada de los procesos comerciales, la necesidad de interacción electrónica con las organizaciones superiores, cambios frecuentes en el estado de los empleados y aprendices.

Al mismo tiempo, el problema se ve algo aliviado por el hecho de que la universidad es un sistema estable y jerárquico en términos de funciones de gestión, que tiene todas las condiciones necesarias para la vida y opera según los principios de la gestión centralizada (esto último significa que la administración los recursos se pueden utilizar activamente en la gestión de tareas de informatización).

Las características anteriores requieren el cumplimiento de los siguientes requisitos:

Desarrollo integral de tareas de seguridad de la información, desde el concepto hasta el soporte de soluciones de software y hardware;

Atraer una gran cantidad de especialistas que conozcan el contenido de los procesos comerciales;

Utilizar una estructura modular de aplicaciones corporativas, cuando cada módulo cubre un grupo interconectado de procedimientos comerciales o servicios de información garantizando requisitos de seguridad uniformes;

Aplicación de una secuencia razonable de etapas para la resolución de problemas de seguridad de la información;

Documentar los desarrollos basados ​​en la aplicación juiciosa de estándares para garantizar la creación de un sistema exitoso;

El uso de plataformas y tecnologías de hardware y software confiables y escalables para diversos fines que proporcionen el nivel de seguridad requerido.

Desde un punto de vista arquitectónico, se pueden distinguir tres niveles en el entorno de la información corporativa:

nya, para garantizar el funcionamiento seguro del cual es necesario utilizar varios enfoques:

Equipos para redes informáticas, canales y líneas de datos, estaciones de trabajo de usuarios, sistemas de almacenamiento de datos;

Sistemas operativos, servicios de red y servicios para gestionar el acceso a recursos, software de capa intermedia;

Software de aplicaciones, servicios de información y entornos orientados al usuario. Al crear una información completa.

red (CIS), es necesario garantizar la coordinación entre niveles de los requisitos de seguridad para las soluciones o tecnologías seleccionadas. Por lo tanto, en el segundo nivel, la arquitectura CIS de muchas universidades consta de subsistemas dispares y poco conectados con diferentes entornos operativos, coordinados entre sí solo en el nivel de asignación de direcciones o mensajería 1P. Las razones de la mala organización del sistema de la CEI son la falta de una arquitectura aprobada y la presencia de varios centros de responsabilidad para el desarrollo tecnológico que actúan de manera descoordinada. Los problemas comienzan con la renuencia a gestionar la elección de entornos operativos en los departamentos, cuando las decisiones tecnológicas clave están completamente descentralizadas, lo que reduce drásticamente el nivel de seguridad del sistema.

Las universidades que tienen una estrategia clara para el desarrollo de la tecnología de la información (TI), requisitos uniformes para la infraestructura de la información, una política de seguridad de la información y regulaciones aprobadas para los principales componentes del CIS, generalmente se distinguen por un fuerte núcleo administrativo en la gestión y una alta autoridad de el jefe del servicio de TI.

Por supuesto, dichas universidades pueden utilizar diferentes entornos operativos o sistemas de capa intermedia, pero esto se debe a razones organizativas, técnicas o económicas y no impide el despliegue del CIS de la universidad y la introducción de principios unificados de acceso seguro a los recursos de información. .

El estado de desarrollo de la arquitectura CIS en las universidades de tercer nivel se puede caracterizar de la siguiente manera: la transición de aplicaciones de software locales que automatizan un proceso comercial separado y dependen de un conjunto de datos local a sistemas de información (IS) cliente-servidor corporativos que brindan al usuario El acceso a las bases de datos operativas se ha completado en gran medida con datos universitarios. De una forma u otra se ha solucionado el problema de la integración de datos generados por diversos sistemas de información, lo que permite mejorar los procesos de negocio, mejorar la calidad de la gestión y la toma de decisiones.

4 _ Sensores y Sistemas No. 5.2009

Si a principios de la década de 1990. Había una gran demanda de software de contabilidad y de contabilidad de gestión (RRHH, informes, etc.), pero hoy en día esta demanda está mayoritariamente satisfecha. Ahora la tarea es proporcionar datos fiables sobre las actividades de una institución educativa no sólo al personal directivo, sino también a todos los profesores y estudiantes, es decir, la tarea de gestionar eficazmente los datos que circulan en el CIS, lo que a su vez hace que la tarea de garantizar hacer aún más urgente la seguridad de la información en dichas redes.

SEGURIDAD DE LA INFORMACIÓN DE REDES CORPORATIVAS DE UNIVERSIDADES

La introducción activa de Internet y las nuevas tecnologías de la información en el proceso educativo y en el sistema de gestión universitaria creó las condiciones previas para el surgimiento de redes corporativas.

La red corporativa de una universidad es un sistema de información que incluye computadoras, servidores, equipos de red, comunicaciones y telecomunicaciones, y un sistema de software diseñado para resolver problemas de gestión de una universidad y realización de actividades educativas. Una red corporativa suele unir no sólo las divisiones estructurales de una universidad, sino también sus oficinas regionales. Anteriormente inaccesibles para las universidades, hoy estas redes han comenzado a introducirse activamente en las estructuras educativas debido a la difusión masiva de Internet y su accesibilidad.

Un sistema integral de seguridad de la información universitaria es un sistema para preservar, limitar y autorizar el acceso a la información contenida en los servidores de las redes corporativas de las universidades, así como frente a

Artículoconsultor de negocios ciscosobre seguridad de la información Alexey Lukatsky

Hoy en día, con la disponibilidad generalizada de Internet y el rápido desarrollo de las comunicaciones, la brecha entre las expectativas de los estudiantes y lo que las instituciones educativas pueden ofrecerles se está volviendo muy notable. Los métodos de trabajo en educación deben evolucionar constantemente, siguiendo los cambios sociales y los avances tecnológicos. Al mismo tiempo, no menos importante es la protección tanto del material educativo como de otra información restringida, así como de la propia infraestructura de TI frente a ataques aleatorios o dirigidos.

Las tecnologías modernas de seguridad de la información (SI) ayudan a las instituciones educativas a resolver los problemas existentes en las siguientes áreas principales:

• organizar el acceso seguro a materiales y sistemas educativos desde cualquier parte del mundo;
• protección de información de acceso restringido (datos personales, secretos comerciales, etc.) y protección de la propiedad intelectual;
• Cumplimiento de los requisitos legales en el campo de la seguridad de la información (protección de datos personales, protección de los derechos de propiedad intelectual, protección de los niños contra información negativa).

Problema número 1: diferentes grupos de usuarios

Una universidad moderna y su red es un entorno heterogéneo en el que chocan los intereses y los datos de diferentes grupos de usuarios. La red universitaria puede contener las siguientes categorías de usuarios con diferentes requisitos de seguridad de la información: estudiantes universitarios y estudiantes de intercambio; profesores y administración; escolares que asisten a cursos preparatorios antes de ingresar a la universidad; visitantes de cursos remunerados y cursos de formación avanzada ofrecidos por la universidad con el fin de obtener fuentes adicionales de ingresos, así como representantes de organizaciones que proporcionan a la universidad pedidos comerciales, por ejemplo, en el campo de la I + D.

Problema #2: Transformación de los métodos de acceso y el concepto de “Cualquier Dispositivo”

A medida que el perímetro de la red tradicional de campus universitarios continúa desdibujándose y el entorno universitario pierde gradualmente sus límites, los teléfonos inteligentes, tabletas, otros dispositivos finales y aplicaciones web están cambiando irreversiblemente el proceso educativo, brindando la oportunidad de acceder a materiales educativos desde cualquier parte del mundo. - desde el aula universitaria, dormitorio, domicilio personal, campus universitario, otra universidad donde los estudiantes van a intercambiar experiencias, etc. La filosofía "Cualquier dispositivo" de Cisco está diseñada para ampliar la libertad de elección de dispositivos para los usuarios del campus manteniendo al mismo tiempo una experiencia común y predecible. Todo ello mantiene o incluso aumenta el nivel de competitividad, productividad y seguridad de la institución educativa.

Al mismo tiempo, al implementar el concepto "Cualquier dispositivo", surgen una serie de problemas de seguridad de la información que es necesario resolver. En este caso, debe asegurarse:

• prevenir la conexión no autorizada de dispositivos de suscriptores de red: computadoras de escritorio (estaciones de trabajo o estaciones de trabajo), computadoras portátiles (estaciones de trabajo móviles), dispositivos móviles (tabletas con Android e iOS), impresoras de red y teléfonos IP a la red universitaria;
• cumplimiento de los requisitos y recomendaciones de las políticas vigentes de seguridad de la información, así como garantizar la capacidad de monitorear de forma remota los dispositivos móviles conectados a la red universitaria para el cumplimiento de las políticas vigentes de seguridad de la información;
• Además, se debe garantizar la organización de una división lógica de la red universitaria en zonas de seguridad sin cambiar la infraestructura existente (la división existente de la red en segmentos), con el fin de asignar zonas de invitados y zonas de acceso restringido para conectar dispositivos de abonado de varios grupos de usuarios, así como usuarios de dispositivos móviles (tabletas) con sistema operativo Android e iOS.

Problema número 3: proteger los sistemas de información y la información restringida

Una universidad moderna es un almacén de información diversa que requiere protección. Esto es sobre:

· datos personales de estudiantes, profesores, administración y otras categorías de usuarios;

· información que constituye un secreto comercial de la universidad y le permite estar por delante de otras universidades en el campo de brindar educación y programas educativos de mayor calidad, así como métodos de enseñanza más progresivos;

· materiales educativos desarrollados por la universidad, cuyo acceso debe ser limitado o controlado, porque constituyen propiedad intelectual;

· software o licencias adquiridas por la universidad, cuyo robo pueda empeorar la posición de la institución educativa en competencia o conllevar responsabilidad penal o administrativa.

· Finalmente, están sujetos a protección los resultados de aquellos proyectos de I+D que la universidad pueda realizar a petición de clientes comerciales o gubernamentales.

Además de proteger la información de acceso restringido, también se debe garantizar la seguridad de los sistemas de información del proceso educativo. La desactivación accidental o deliberada de estos sistemas puede interrumpir el proceso de aprendizaje y violar los términos contractuales (en el caso de capacitación remunerada o la implementación de diversas actividades de I+D).

Problema #4: restricciones legales

Además de proteger los sistemas de información y la información que brindan a la universidad una ventaja competitiva, el sistema de seguridad de la información debe permitir implementar iniciativas legislativas destinadas a proteger los derechos e intereses de diversos grupos de ciudadanos y organizaciones. Las normas que la universidad está obligada a cumplir incluyen principalmente:

• Ley Federal de 27 de julio de 2006 No. 152-FZ “Sobre Datos Personales”;
• Ley federal de 28 de julio de 2012 No. 139-FZ "Sobre enmiendas a la Ley federal" sobre la protección de los niños contra información nociva para su salud y desarrollo" y ciertos actos legislativos de la Federación de Rusia sobre la cuestión de la restricción del acceso a información ilegal información en Internet”;
• Ley Federal de 2 de julio de 2013 No. 187-FZ "Sobre enmiendas a los actos legislativos de la Federación de Rusia sobre la protección de los derechos intelectuales en las redes de información y telecomunicaciones".

Problema número 5: el aumento del número de amenazas

El panorama de amenazas a la seguridad de la red está en constante evolución. Las posiciones de liderazgo en él las ocupan amenazas ocultas especialmente escritas, que son cada vez más capaces de superar los métodos y medios de protección tradicionales. Estas amenazas penetran en la red, hasta el nivel central, el nivel de distribución y el nivel de acceso de los usuarios, donde la protección y visibilidad de las amenazas se encuentran en un nivel mínimo. A partir de ahí, estas amenazas seleccionan fácilmente sus objetivos: recursos específicos e incluso personas específicas en la universidad. El objetivo de las amenazas cibernéticas modernas no es ganar fama y gloria o incluso crear una botnet rentable, sino capturar y robar propiedad intelectual o secretos comerciales y de otro tipo para lograr ventajas competitivas.

Soluciones de seguridad de la información de Cisco

Cisco SecureX Architecture™ es una arquitectura de seguridad de próxima generación que combina soluciones, productos y servicios flexibles para formular e implementar políticas comerciales consistentes en toda la red distribuida de una universidad moderna. La arquitectura Cisco SecureX combina inteligencia de amenazas globales y contexto para abordar desafíos de seguridad únicos, como el aumento de usuarios con alta movilidad, extensión gama de dispositivos móviles habilitados para red o transición a infraestructuras y servicios en la nube.

Cisco SecureX satisface las necesidades de las redes de extremo a extremo actuales, brindando seguridad poderosa para cualquier usuario, en cualquier dispositivo, en cualquier lugar y en cualquier momento. Esta nueva arquitectura de seguridad utiliza un lenguaje de políticas de alto nivel que "comprende" el contexto completo de la situación: quién, qué, dónde, cuándo y cómo. Gracias a la implementación distribuida de políticas de seguridad, el proceso de protección se acerca al lugar de trabajo del usuario final en cualquier lugar del planeta, permitiendo así no sólo proteger cada dispositivo o usuario, sino también, si es necesario, localizar la amenaza lo más cerca posible. posible a su fuente.

Las soluciones incluidas en Cisco SecureX cumplen con los requisitos de las autoridades gubernamentales rusas autorizadas en el campo de la seguridad de la información y cuentan con más de 600 certificados diferentes FSTEC y FSB para requisitos de seguridad.

Para aprender rápidamente sobre materiales de la mano de especialistas. cisco publicado en la sección “Blog” cisco . Rusia/CIS", debes suscribirte a la páginahttp://gblogs.cisco.com/en.

Etiquetas: seguridad de la información, seguridad de la información, educación, universidad, arquitectura Cisco SecureX, propiedad intelectual.

Enviar su buen trabajo en la base de conocimientos es sencillo. Utilice el siguiente formulario

Los estudiantes, estudiantes de posgrado y jóvenes científicos que utilicen la base de conocimientos en sus estudios y trabajos le estarán muy agradecidos.

Publicado en http://www.allbest.ru

• INTRODUCCIÓN
• RELEVANCIA
• 1. ESTUDIO DEL SISTEMA DE INFORMACIÓN EMPRESARIAL
• 1.1. Descripción de la empresa
• 1.2. Composición de hardware y software y estructura de red.
• 1.3. Análisis de flujos de información.
• 1.4. Análisis de recursos de información.
• 1.5. Seguridad física de los objetos (seguridad)
• 2. ANÁLISIS Y DESARROLLO DE UN MODELO DE AMENAZA
• 2.1. Clasificación y análisis de fuentes de amenazas y vulnerabilidades de seguridad.
• 2.2. modelo intruso
• 2.3. Identificación de amenazas actuales al sistema de información.
• 2.4. Determinar la clase de seguridad de un sistema de información
• 3. DESARROLLO DE UN MODELO DE SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
• 3.1. Análisis para el cumplimiento de estándares y políticas existentes.
• 3.2. Desarrollo de una política de seguridad de la información.
• 4. DESARROLLO DE UN PORTAL DE AUTORIZACIÓN PRIMARIA
• 4.2. Requisitos de funcionalidad del portal
• 4.3. Desarrollo de portales
• CONCLUSIÓN
• BIBLIOGRAFÍA
• SOLICITUD

INTRODUCCIÓN

Garantizar la seguridad de los recursos de información ha sido durante mucho tiempo un tema de discusión en muchas instituciones; junto con el desarrollo de la tecnología de la información, esto ha llevado al desarrollo de sistemas automatizados. Un sistema de seguridad de la información eficaz le permite minimizar los riesgos asociados con la información y contribuye al funcionamiento estable de los flujos de información de la empresa.

La seguridad de las instituciones gubernamentales, como las instituciones de educación superior, también requiere un alto nivel de seguridad de la información.

Los activos de información de la universidad comprenden una gran cantidad de información sobre las actividades educativas y las actividades de los empleados con diferentes niveles de acceso. Los empleados y estudiantes universitarios también son un excelente ejemplo de personas con diferentes derechos de acceso a la información. Por lo tanto, se decidió desarrollar un conjunto efectivo de medidas para garantizar la seguridad de la información de la universidad.

El objetivo de la tesis es desarrollar un conjunto de medidas destinadas a garantizar la seguridad de la información de una universidad utilizando el ejemplo de la Universidad Estatal de Arquitectura e Ingeniería Civil de Nizhny Novgorod. amenaza a la seguridad de la información

El tema de investigación de la tesis es el sistema de protección de la seguridad de la información de la Universidad Estatal de Arquitectura e Ingeniería Civil de Nizhny Novgorod.

La tesis consta de cuatro capítulos. El primer capítulo proporciona una descripción del sistema de información de la organización, análisis de los recursos de información y medios técnicos. En el segundo capítulo se analizan las amenazas potenciales al sistema y se determina el modelo de intruso. En el tercer capítulo se desarrolla una política de seguridad de la información. El cuarto capítulo, en forma de nota explicativa, contiene el proceso de implementación del portal de autorización primaria.

RELEVANCIA

En la etapa actual de desarrollo de la sociedad, las tecnologías de la información son una parte integral de ella. La información se ha convertido en uno de los principales medios de progreso social, económico, técnico y científico de la comunidad mundial. El desarrollo de las tecnologías de la información y la expansión del espacio de la información conduce a un nivel cada vez mayor de ataques y violaciones en esta área, lo que hace que los problemas de seguridad de la información sean cada vez más relevantes. La seguridad de la información se refiere al estado de seguridad de la información y su infraestructura de soporte frente a impactos accidentales o intencionales de naturaleza natural o artificial que podrían causar daños a los propietarios o usuarios de la información.

Garantizar la seguridad de la información es uno de los factores clave para el funcionamiento estable de cualquier empresa. Hoy en día, la confidencialidad, integridad y disponibilidad de la información es un aspecto importante de la continuidad del negocio, por lo que un número cada vez mayor de organizaciones se centran en el tema de la seguridad de la información. Por tanto, existe la necesidad de un sistema de seguridad de la información eficaz e integrado.

Muy a menudo, al crear un sistema de información, las organizaciones se esfuerzan por proteger sus activos de información sólo en los niveles de protección de hardware y software. Pero este nivel de seguridad es ineficaz y debe estar respaldado por normas y reglamentos en el ámbito de la seguridad de la información.

La preparación e implementación de un sistema de seguridad en una institución debe realizarse sobre la base de la legislación vigente y los requisitos reglamentarios en el campo de la seguridad de la información. El documento principal es la Constitución de la Federación de Rusia, según la cual "no se permite la recopilación, el almacenamiento, el uso y la difusión de información sobre la vida privada de una persona sin su consentimiento".

Otros documentos básicos en el campo de la seguridad de la información son la Ley Federal de 27 de julio de 2006 No. 149-FZ “Sobre Información, Tecnologías de la Información y Protección de la Información”, según la cual es necesario garantizar la protección de la información contra el acceso no autorizado. modificación, destrucción, copia y distribución de datos. La Ley Federal N ° 152-FZ de 27 de julio de 2006 “Sobre Datos Personales” regula las acciones relacionadas con el procesamiento de datos personales por parte de agencias gubernamentales que utilizan sistemas automatizados.

También debe tener en cuenta la Ley de la Federación de Rusia "Sobre secretos de Estado" y la Ley de la Federación de Rusia "Sobre secretos comerciales", que regula el procedimiento para clasificar la información como secreto oficial, el régimen de secretos oficiales y el procedimiento. por revelar datos oficiales. También hay una serie de leyes según las cuales se forman los niveles de confidencialidad de la información (“Tras la aprobación de la Lista de información confidencial”; “Tras la aprobación de la Lista de información clasificada como secreto de estado”; “Tras la aprobación de la Relación de informaciones que no pueden constituir secreto comercial”).

En general, el marco legislativo de la Federación de Rusia no tiene en cuenta ni regula completamente el almacenamiento y uso de datos confidenciales.

Las principales regulaciones para garantizar la seguridad desde los niveles de procedimiento y hardware-software son las normas y especificaciones. Se trata de documentos que contienen metodologías y herramientas de seguridad probadas y de alta calidad.

De acuerdo con las normas, garantizar la seguridad de los objetos del sistema de información debe consistir en las siguientes etapas:

– resaltar los objetivos de garantizar la seguridad de la información;

– diseñar un sistema de gestión eficaz;

– análisis y evaluación del cumplimiento de los objetivos establecidos;

– análisis del estado inicial de seguridad;

La norma ISO 15408: Criterios comunes para la evaluación de la seguridad de la tecnología de la información contiene los criterios más completos para la seguridad a nivel de software y hardware. Los Criterios Generales establecen los requisitos para la funcionalidad de seguridad. Además del nivel de protección de software y hardware, el estándar describe algunos requisitos para los métodos de seguridad y protección física a nivel organizacional. La norma consta de tres partes:

– la primera parte incluye el aparato conceptual, la presentación del modelo y la metodología para evaluar la seguridad de las tecnologías de la información;

– la segunda parte contiene directamente los requisitos para la funcionalidad del hardware y el software;

– la tercera parte contiene los requisitos para las garantías de seguridad;

ISO 17799: Código de prácticas para la gestión de la seguridad de la información proporciona los criterios más completos a nivel organizacional.

El estándar contiene las reglas y criterios de gestión de seguridad de la información más eficaces para evaluar las prácticas de seguridad a nivel organizacional, teniendo en cuenta las protecciones administrativas, de procedimiento y físicas. La norma contiene las siguientes secciones:

- Politica de seguridad;

– organización de la seguridad de la información;

- Administracion de recursos;

– seguridad de los recursos humanos;

- seguridad física;

- control de acceso;

– administración de sistemas de información;

– desarrollo y mantenimiento de sistemas de información;

– planificación del trabajo continuo;

– controlar el cumplimiento de los requisitos de seguridad;

Documento rector de la Comisión Técnica Estatal de la Federación de Rusia "Criterios para evaluar la seguridad de las tecnologías de la información". Este documento fue desarrollado de acuerdo con GOST R ISO/IEC 15408-2002 y garantiza su uso práctico. El objetivo principal del RD es la implementación de métodos integrales para garantizar la seguridad de los sistemas de información y el uso de la funcionalidad necesaria. Su objetivo es diseñar sistemas de seguridad que hagan frente a posibles amenazas manteniendo un equilibrio entre eficacia y coste.

Documento rector de la Comisión Técnica Estatal de la Federación de Rusia “Sistemas automatizados. Protección contra el acceso no autorizado a la información. Clasificación de sistemas automatizados y requisitos para la protección de la información.” Este RD define la clasificación de los AS y, de acuerdo con la clase, determina los requisitos para posibles subsistemas.

Documento rector de la Comisión Técnica Estatal de la Federación de Rusia “Instalaciones informáticas. Cortafuegos. Protección contra el acceso no autorizado a la información. Indicadores de seguridad contra el acceso no autorizado a la información.” El primer RD que no tiene análogos extranjeros. La idea principal de este RD es la clasificación de los firewalls según el modelo de red OSI, que filtra los flujos de datos.

Hoy en día, en el campo de la implementación de sistemas de seguridad, ha surgido el concepto de "mejores prácticas". Las “mejores prácticas” son aquellas políticas de seguridad que reflejan los mejores procedimientos, herramientas, directrices y estándares de seguridad y pueden utilizarse como referencia en el desarrollo de un sistema de seguridad. Se consideran estándares de referencia las políticas de empresas como Microsoft, IBM, Symantec, etc.

1. Política de Symantec

Los especialistas de Symantec sostienen que la base de un sistema de seguridad eficaz son los documentos rectores, que incluyen: políticas de seguridad, estándares internacionales, descripciones de procedimientos y métricas de seguridad. Todos estos documentos de orientación pueden responder tres preguntas básicas:

¿Por qué es necesario proteger la información?

¿Qué hay que hacer para garantizar la seguridad?

¿Cómo implementar la política según sea necesario?

El desarrollo de un sistema de seguridad integral debe incluir los siguientes pasos:

– análisis de activos de información;

– identificación de posibles amenazas;

– análisis y evaluación de riesgos de seguridad;

– nombramiento de personas responsables de garantizar la seguridad;

– creación de un sistema integral de acuerdo con normas, directrices y procedimientos;

– gestión del sistema de seguridad;

2. Política de Microsoft

La estrategia de política de información de Microsoft contiene cuatro componentes principales:

– el objetivo de garantizar la seguridad de la información de la empresa;

– normas de seguridad del sistema

– esquema de toma de decisiones (basado en los resultados del análisis de riesgos);

– identificación de acciones para minimizar los riesgos;

El proceso de desarrollo de políticas de seguridad se divide en cuatro categorías:

– organizacional (destinado a aumentar la conciencia y ampliar el conocimiento de los empleados en el campo de la seguridad de la información, así como apoyar a la gestión);

– datos y usuarios (incluye medidas de protección tales como: autorización, protección de datos personales, autenticación);

– desarrollo del sistema (desarrollar un sistema seguro, reducir la superficie de ataque, garantizar la facilidad de uso);

– soporte (seguimiento y registro periódicos del sistema, respuesta a incidentes);

Para mantener el nivel de seguridad, la empresa aplica el control de riesgos de la información (identificación, evaluación y minimización de riesgos). Este enfoque le permite lograr un equilibrio entre requisitos y métodos de protección.

3. Política de IBM

Los especialistas de IBM identifican cuatro etapas principales en la construcción de un sistema de seguridad:

– identificación de riesgos de información y métodos para combatirlos;

– descripción de las medidas de protección de activos de acuerdo con las tareas y objetivos de la empresa;

– descripción de acciones en caso de incidentes;

– análisis de riesgos residuales y toma de decisiones sobre inversiones adicionales en métodos de seguridad;

La respuesta a la pregunta “¿Qué es necesario proteger?” - el aspecto principal de la política de seguridad de la información, de acuerdo con la estrategia de IBM. Las políticas deben crearse con el objetivo de lograr cambios mínimos en el futuro. Una política de seguridad eficaz debe contener:

– metas y objetivos para garantizar la seguridad de la información;

– interacción con las normas y la legislación de seguridad;

– ampliar los conocimientos sobre cuestiones de seguridad de la información;

– detección y eliminación de ataques de virus;

– garantizar la continuidad del negocio;

– establecer las funciones y responsabilidades del personal;

– registrar incidentes de seguridad;

Luego viene el proceso de creación de documentación que contiene las reglas para analizar los riesgos de la empresa, una descripción de los métodos y medios de protección recomendados, etc. La documentación puede estar sujeta a cambios de acuerdo con las vulnerabilidades y amenazas actuales.

Sin embargo, además de la base legal, el sistema de seguridad de la información y sus funciones para garantizar la seguridad del objeto deben implementarse de acuerdo con los siguientes principios:

– legitimidad (creación de un sistema de seguridad de la información, así como implementación de medidas de protección que no contradigan la legislación y los reglamentos);

– complejidad (el sistema de protección desarrollado prevé la implementación integral de métodos, garantiza la protección de los recursos de información a nivel técnico y organizativo y previene posibles formas de implementar amenazas);

– permanencia (proporciona protección continua de los objetos);

– progresividad (implica el desarrollo continuo de medios y métodos de protección, de acuerdo con el desarrollo de tecnologías y métodos de ataque);

– racionalidad (uso de medios de protección rentables y eficaces);

– responsabilidad (cada empleado es responsable de garantizar la seguridad dentro del alcance de su autoridad);

– control (implica un control constante sobre la prestación de protección y la identificación oportuna de amenazas);

– uso de un sistema de seguridad existente (el sistema diseñado se crea sobre la base de un sistema existente, utilizando hardware y software estándar);

– uso de componentes de protección de hardware y software de producción nacional (el diseño de un sistema de seguridad prevé el predominio de medios técnicos de protección nacionales);

– fases (es preferible hacer el diseño de un sistema de seguridad por etapas);

Habiendo analizado las políticas y estándares de seguridad de la información existentes, se puede argumentar que para garantizar un nivel adecuado de seguridad de la información, se requiere un conjunto de medidas, incluidas funciones de software, políticas de seguridad, métodos y estructuras organizativas. De acuerdo con esto y con el objetivo principal, se deben realizar las siguientes tareas:

– estudiar la información inicial y la estructura organizativa de la Universidad Estatal de Arquitectura e Ingeniería Civil de Nizhny Novgorod;

– basándose en los resultados del análisis del sistema de información fuente, identificar amenazas y vulnerabilidades específicas de la seguridad de la información;

– determinar el nivel y la clase de seguridad inicial del objeto;

– identificar las amenazas actuales;

– crear un modelo del intruso;

– comparar el sistema original con los requisitos de las normas de seguridad;

– desarrollar una política de seguridad y determinar acciones para garantizar la seguridad de la información;

El cumplimiento de las metas y objetivos anteriores permitirá crear un sistema de seguridad de la información empresarial eficaz que cumpla con los requisitos legales y los estándares de seguridad de la información.

1. ESTUDIO DEL SISTEMA DE INFORMACIÓN EMPRESARIAL

1.1. Descripción de la empresa

Nombre completo de la organización. : Institución Educativa Presupuestaria del Estado Federal de Educación Profesional Superior "Universidad Estatal de Arquitectura e Ingeniería Civil de Nizhny Novgorod".

Nombres abreviados: NNGASU, Institución Educativa Presupuestaria del Estado Federal de Educación Profesional Superior "Universidad Estatal de Arquitectura e Ingeniería Civil de Nizhny Novgorod".

Nombre completo en inglés: Universidad Estatal de Arquitectura e Ingeniería Civil de Nizhny Novgorod.

Nombre corto en inglés: NNGASU.

Ubicación de la universidad: 603950, región de Nizhny Novgorod, Nizhny Novgorod, st. Ilyinskaya, 65 años.

El fundador de la universidad es la Federación de Rusia. Las funciones y poderes del fundador de la universidad las desempeña el Ministerio de Educación y Ciencia de la Federación de Rusia.

Ubicación del Fundador: 125993, Moscú, st. Tverskaya, 11.

Rector: Andrey Aleksandrovich Lapshin

FSBEI HPE "Universidad Estatal de Arquitectura e Ingeniería Civil de Nizhny Novgorod" es una organización sin fines de lucro creada con el objetivo de desarrollar la economía y el entorno social de la región, la industria y Rusia aumentando el nivel de educación de los estudiantes en función de los logros de ciencia, innovación y tecnología.

Las principales actividades de la Institución Educativa Presupuestaria del Estado Federal de Educación Profesional Superior "Universidad Estatal de Arquitectura e Ingeniería Civil de Nizhny Novgorod":

· Formación de especialistas en la construcción y sectores afines que sean competitivos en el mercado laboral ruso e internacional, sobre la base de estándares educativos modernos y de investigaciones científicas;

· Garantizar el potencial científico capaz de resistir la competencia involucrada en sectores reales de la economía del país;

· Creación y mejora de las condiciones necesarias para la autorrealización, así como el crecimiento profesional de empleados y estudiantes;

· Desarrollo de la cooperación interuniversitaria a nivel ruso e internacional y fortalecimiento de la posición en el ámbito internacional;

La dirección general de la universidad la lleva a cabo el Consejo Académico, que incluye: el Rector (presidente del Consejo Académico), vicerrectores, decanos de facultades (por decisión del Consejo Académico). Además, la estructura organizativa de la universidad incluye departamentos, centros, departamentos y otras divisiones. La estructura organizativa detallada se presenta en la Figura 1.

Figura 1. Estructura organizativa de la Institución Educativa Presupuestaria del Estado Federal de Educación Profesional Superior "Universidad Estatal de Arquitectura e Ingeniería Civil de Nizhny Novgorod"

La Universidad Estatal de Arquitectura e Ingeniería Civil de Nizhny Novgorod, con una estructura en continuo desarrollo y una base educativa y científica modernizada, en las condiciones modernas es un complejo que progresa activamente. La universidad tiene una gran base de información, que está contenida en productos de software especializados. La seguridad de la información de la institución se presenta en un nivel bastante alto, pero en el contexto de ataques y violaciones en constante progreso, requiere mejoras.

1.2 Composición de hardware y software y estructura de red

El proceso educativo en NNGASU va acompañado de una importante base de información, el desarrollo de un parque informático y la introducción de sistemas de información modernizados en el proceso educativo. Para asegurar el proceso educativo, todos los departamentos y departamentos están equipados con computadoras personales y el equipamiento necesario. Para resolver problemas en el campo de la aplicación de las tecnologías de la información modernas, la universidad cuenta con 8 clases de informática. Todas las computadoras personales de la universidad están equipadas con software con licencia de Microsoft y protección antivirus. Todo el hardware se presenta en la Tabla 1.

Tabla 1. Composición del hardware

Hoy la universidad presta atención a la informatización del proceso educativo. Para optimizar las actividades educativas, la universidad posee todos los paquetes de software modernos necesarios. La Tabla 2 muestra una lista del software utilizado en NNGASU.

Tabla 2. Software

Todos los ordenadores de la universidad están conectados a la red local y tienen acceso a Internet a través de una conexión segura. Los nodos de línea óptica están equipados con conmutadores gestionados. Para garantizar un acceso constante a Internet, el sistema está equipado con una conexión con dos proveedores, que ofrecen canales a velocidades de 20 Mbit/s y 10 Mbit/s. Al intentar descargar información no relacionada con el proceso educativo, el tráfico de usuarios se vuelve limitado. A nivel de protección del software, se utilizan diferentes dominios para estudiantes y empleados.

Para transmitir paquetes entre segmentos de red se utiliza un enrutador MicroTic, que permite distribuir la carga sin perder datos. A través de él pasan paquetes de red global, sitios de usuarios remotos y paquetes del sistema NauDoc.

La estructura de la red está equipada con once servidores físicos, cuatro de los cuales son estaciones de máquinas virtuales. En estos elementos de la red se instalan materiales de información y referencia, servidores de bases de datos, así como servidores de correo y sitios web. La institución cuenta con 14 servidores virtuales con acceso a la red global. El servidor principal por el que pasa toda la información es Nginx. Nginx es un servidor web, proxy de correo y proxy TCP. Este servidor recibe datos entrantes en el puerto 80 y luego los reenvía a los servidores requeridos (Ubuntu, Suse, CentOS, Win2008_IIS, Win7). La estructura de la red universitaria se muestra en la Figura 2.

Figura 2. Estructura de la red de la Institución Educativa Presupuestaria del Estado Federal de Educación Profesional Superior "Universidad Estatal de Arquitectura e Ingeniería Civil de Nizhny Novgorod"

La zona desmilitarizada, las clases de informática, ViPNet y la propia universidad están incluidas en redes locales virtuales (VLAN) separadas, lo que reduce la carga en los dispositivos de red (el tráfico de un dominio no pasa a otro dominio). Esta tecnología también permite excluir el acceso no autorizado, porque El conmutador corta los paquetes de otras redes virtuales.

Dado que la institución utiliza los servicios de dos proveedores, existe la necesidad de que Internet funcione sin problemas al cambiar del canal principal al de respaldo. El paquete de software Squid se utiliza como servidor proxy de almacenamiento en caché. Las principales tareas de Squid dentro de esta institución:

– Al visitar los mismos sitios, se almacenan en caché y algunos de los datos provienen directamente del servidor;

– La capacidad del administrador del sistema para rastrear los sitios visitados y los archivos descargados;

– Bloquear ciertos sitios;

– Distribución de carga entre canales;

El otro firewall de la organización es Microsoft Forefront Threat Management Gateway. En conjunto, Microsoft Forefront proporciona un alto nivel de seguridad y le permite administrar la seguridad de su estructura de red. En particular, Microsoft Forefront TMG es un servidor proxy que le permite protegerse contra ataques externos, controlar el tráfico y recibir y reenviar paquetes entrantes.

Para interactuar con el Ministerio de Educación y Ciencia de la Federación de Rusia, la institución utiliza la tecnología ViPNet. ViPNet brinda protección en grandes redes y crea un entorno seguro para la transmisión de información de acceso limitado utilizando canales de comunicación públicos mediante la implementación de una red privada virtual (VPN).

En la infraestructura corporativa moderna existe la necesidad de una gestión centralizada y virtualización de hardware de la red local. Para ello, la universidad utiliza el sistema Microsoft Hyper-V, que permite al administrador del sistema, dentro del sistema corporativo, resolver varios problemas:

– aumentar el nivel de seguridad;

– protección de los recursos de información;

– almacenamiento de datos centralizado;

– escalabilidad;

1.3 Análisis de flujos de información

Los recursos de información de la universidad circulan tanto dentro del sistema como a través de canales externos. Para garantizar la protección y organización de la información, la universidad utiliza modernos sistemas de información de diversos tipos.

El más importante y de mayor escala es Tandem e - Learning, un sistema de información integral que permite monitorear la educación a tiempo completo e implementa la educación a distancia como uno de los enfoques modernizados del aprendizaje electrónico. Tandem e - Learning es un portal educativo cerrado, cuyo acceso está disponible para los empleados y estudiantes de la universidad después de completar el procedimiento de registro. El acceso al sistema es posible tanto desde ordenadores internos como desde dispositivos externos.

Otro sistema de educación a distancia es Moodle. Este portal también está cerrado y requiere registro. Al igual que Tandem, se puede acceder al sistema Moodle desde dispositivos externos.

Ambos portales están construidos sobre la base de un sistema de gestión educativa (LMS). Un LMS le permite gestionar, distribuir y compartir material de aprendizaje.

El sistema de información corporativo se implementa a través del sistema Tandem University, este portal contiene información sobre el proceso educativo. Los estudiantes, el personal y la alta dirección tienen acceso al sistema Tandem. La protección de este sistema está garantizada por el hecho de que está aislado y no tiene acceso a la red local. Todos los recursos de la red corporativa están ubicados en cuatro servidores, dos de los cuales contienen la base de datos y el portal principal y dos servidores de prueba.

El flujo de documentos en la universidad se produce a través del sistema NauDoc. Este es un sistema de gestión de documentos basado en la nube para el registro, procesamiento y contabilidad de documentos dentro de una institución. La oficina de la universidad, las sucursales y las organizaciones entrantes tienen acceso al sistema.

El contenido del sitio web de la universidad está controlado por el sistema de gestión profesional 1C - Bitrix. La ventaja de este sistema es que puede aumentar la velocidad de respuesta del sitio.

La contabilidad se realiza a través del sistema de procesamiento automatizado "PARUS - Contabilidad". Este paquete de software le permite automatizar completamente la contabilidad de activos, liquidaciones y fondos. Al igual que el sistema corporativo de Tandem University, "PARUS - Contabilidad" está aislado y sólo los empleados del departamento de contabilidad tienen acceso a él.

La biblioteca universitaria también está automatizada y controlada a través del sistema de biblioteca de información MARK - SQL. Este sistema contiene una gran cantidad de recursos de información, incluido un catálogo de información, que se almacena en un servidor de Windows independiente.

Asimismo, algunos de los recursos están contenidos en los siguientes sistemas de información:

– Consultor+ (referencia - sistema legal);

– TechExpert (sistema de información y referencia que contiene información regulatoria, legal y técnica en el campo de “Business for Business”);

– Norma CS (sistema de referencia para la búsqueda y utilización de normas y documentos reglamentarios en actividades de diseño);

– OTRS (sistema de procesamiento de pedidos);

– RedMine (base de datos interna);

– AIST (servicio de recursos humanos);

1.4 Análisis de recursos de información

El sistema de información de la Universidad Estatal de Arquitectura e Ingeniería Civil de Nizhny Novgorod contiene una gran cantidad de recursos de información (bases de datos, documentación, datos personales, archivos, bibliotecas), que, a su vez, son el principal objeto de protección. Es recomendable introducir varios niveles de confidencialidad de la información:

· Información restringida:

– Secreto oficial: información que contiene información sobre las finanzas, la producción, la gestión y otras actividades de la entidad, cuya divulgación podría causar daños económicos;

– Secreto profesional: información que contiene la organización de actividades y procesos educativos.

– Datos personales: cualquier información que contenga información sobre una persona específica (información sobre estudiantes, profesores, etc.);

· Información pública:

– Resoluciones, decretos, órdenes;

– Información que contenga información estadística sobre actividades educativas;

– Información cuyo acceso no está limitado por la ley y los estatutos;

1.5 Seguridad física de las instalaciones (seguridad)

La instalación se encuentra vigilada las 24 horas a través de un puesto de seguridad. El acceso a las instalaciones de la universidad se realiza mediante pases personales. Los visitantes tienen derecho a ingresar al territorio sólo si están acompañados por un empleado de la institución. La universidad cuenta con alarma contra incendios y de seguridad y ha instalado sensores adecuados. Los dispositivos de almacenamiento de hardware (servidores) se encuentran en una habitación separada. La instalación está monitorizada a través de un sistema de videovigilancia.

Los principales objetos de protección incluyen:

– servidores de bases de datos;

– estación de gestión de cuentas;

– ftp y www - servidores;

– LAN de contabilidad, etc.;

– Datos de archivos, departamentos financieros, estadísticos y educativos;

– Recursos de información externos e internos;

2. ANÁLISIS Y DESARROLLO DE UN MODELO DE AMENAZA

2.1 Clasificación y análisis de fuentes de amenazas y vulnerabilidades a la seguridad

En seguridad de la información, una amenaza es un evento o acción potencial que podría afectar el funcionamiento de una red informática y provocar una falla del sistema de seguridad. Cuando afectan los recursos, las amenazas conducen al acceso no autorizado, la distorsión y la distribución de datos protegidos. Es recomendable dividir las fuentes de amenazas en los siguientes grupos:

– amenazas provocadas por el hombre (errores accidentales en el desarrollo y funcionamiento de los componentes del sistema de seguridad, acciones deliberadas del infractor);

– amenazas provocadas por el hombre (fallos y mal funcionamiento del equipo técnico);

– amenazas naturales (amenazas naturales a la seguridad);

La Tabla 2 presenta la clasificación y posibles amenazas específicas de la institución.

Tabla 2. Clasificación de fuentes de amenazas

Las fuentes naturales de amenazas se caracterizan por la fuerza mayor y se extienden a todas las instalaciones de seguridad. Estas amenazas son difíciles de predecir y prevenir. Las principales fuentes naturales de amenazas son: incendios, inundaciones, huracanes y circunstancias imprevistas. Se deben mantener en todo momento medidas de protección contra peligros naturales.

Respecto a las amenazas anteriores, las más probables y peligrosas son las acciones involuntarias de usuarios internos y personas directamente relacionadas con la red informática.

Los más comunes y peligrosos (en términos de la magnitud del daño) son los errores involuntarios de usuarios habituales, operadores, administradores de sistemas y otras personas que mantienen una red informática. Las amenazas provocadas por el hombre son las más probables, ya que es posible predecir las acciones de las personas y tomar las contramedidas adecuadas, que a su vez dependen de las acciones de los responsables de garantizar la seguridad de la información.

Las amenazas suelen ser el resultado de vulnerabilidades, que a su vez provocan violaciones de seguridad. Una vulnerabilidad es una falla en un sistema que permite que una amenaza se implemente con éxito y comprometa la integridad del sistema. Las vulnerabilidades pueden surgir por varias razones:

– errores al crear software;

– introducción deliberada de vulnerabilidades en la etapa de diseño del software;

– uso no autorizado de programas maliciosos y, como resultado, gasto innecesario de recursos;

– acciones involuntarias del usuario;

– mal funcionamiento del software y del hardware;

Existen las siguientes vulnerabilidades:

· Objetivo (vulnerabilidades en función del equipamiento técnico del sistema de información):

– Marcadores de hardware (marcadores para equipos técnicos y periféricos);

– Marcadores de software (malware);

· Subjetivo (vulnerabilidades en función de las acciones de las personas):

– Errores (operación incorrecta del software y hardware por parte de los usuarios, entrada de datos errónea);

– Violaciones (violación de las reglas de la política de seguridad de la información, violación del acceso y confidencialidad, violación del funcionamiento del hardware);

· Aleatorio (vulnerabilidades causadas por el entorno que rodea al sistema de información)

– Fallos (fallo de las instalaciones de procesamiento de datos, fallo de las instalaciones de la red, fallo del sistema de control y seguridad, fallo del software);

– Fallas (cortes de energía);

– Daños (rotura de servicios públicos);

La mitigación o eliminación de vulnerabilidades afecta la probabilidad de que ocurran amenazas a la seguridad de la información.

2.2 Modelo de intruso

Garantizar la protección de los activos de información de la universidad es específico, ya que se trata de una institución con una audiencia no permanente. Debido a que los ataques pueden provenir de cualquier entidad, resulta útil dividirlos en dos categorías: atacantes externos y atacantes internos. Un intruso externo es una persona que no es empleado y no tiene acceso al sistema de información. Esta categoría incluye:

– piratas informáticos (entidades que crean e implementan ataques con el objetivo de causar daños y adquirir información de acceso restringido): a través del acceso no autorizado a los sistemas de información, pueden destruir o cambiar información; introducción de malware y virus, marcadores de hardware y software con posterior acceso no autorizado);

– proveedores y proveedores de hardware y software (acceso no autorizado a través de estaciones de trabajo a recursos de información y canales de comunicación);

Todos los demás sujetos son infractores internos. De acuerdo con el documento de orientación de FSTEC "Modelo básico de amenazas a la seguridad de los datos personales durante su procesamiento en sistemas de información de datos personales", los infractores internos se dividen en ocho categorías:

1. Personas que tienen acceso autorizado a ISPD, pero no tienen acceso a PD.

En relación con esta institución, dichos derechos pertenecen a la dirección, el departamento de tecnología de la información. De acuerdo con los derechos, estas personas podrán: tener acceso a algunas partes de datos personales que circulan por canales internos; conocer información sobre topología, protocolos y servicios de comunicación de ISPD; identificar nombres y contraseñas de usuarios registrados; cambiar la configuración de hardware y software.

2. Usuarios registrados de ISPD que tienen acceso limitado a los recursos de ISPD desde su lugar de trabajo.

Esta categoría incluye empleados del departamento, profesores y estudiantes de la institución. Personas de esta categoría: disponer de un identificador y contraseña; disponer de datos confidenciales a los que haya autorizado el acceso.

3. Usuarios registrados de ISPD que brindan acceso remoto a PD a través de sistemas de información locales y (o) distribuidos.

4. Usuarios registrados del ISPD con autoridad del administrador de seguridad del segmento ISPD.

Personas de esta categoría: tienen información sobre software y hardware utilizados en este segmento; tiene acceso a herramientas de seguridad y registro y hardware ISPD.

5. Usuarios registrados con derechos de administrador del sistema ISPD.

Personas en esta categoría: conoce información sobre el software y hardware de un ISPD completo; tiene acceso físico a todo el hardware; tiene derecho a configurar el hardware.

6. Usuarios registrados con derechos de administrador de seguridad ISPD.

7. Programadores: desarrolladores de software y personas que lo acompañen en esta instalación.

Personas de esta categoría: conocer información sobre procedimientos y programas para el procesamiento de datos en ISPD; puede introducir errores, fallos y código malicioso durante el desarrollo; Puede conocer información sobre la topología y el hardware del ISPD.

8. Desarrolladores y personas que suministran, mantienen y reparan hardware en ISPD.

En relación con esta institución, los infractores internos incluyen:

– usuarios de recursos de información (personal de departamentos, departamentos y otros departamentos, profesores, estudiantes) (modificación o destrucción involuntaria de datos; instalación de software malicioso y no certificado; transferencia de una contraseña individual a personas no autorizadas);

– personas que dan servicio y dan soporte al sistema de información (configuración errónea accidental o intencionada de las instalaciones técnicas o de la red);

– otras personas con acceso a las instalaciones de procesamiento de información (personal técnico y de mantenimiento) (interrupción involuntaria del suministro eléctrico y de las estructuras de ingeniería);

Una categoría especial y más importante de infractores son los estudiantes. Hoy en día, muchos de ellos están bastante bien formados y entienden el ciberespacio. A través de algunas manipulaciones, los estudiantes pueden cometer una serie de violaciones de seguridad y causar daños.

2.3 Identificación de amenazas actuales al sistema de información

Para determinar las amenazas reales a la seguridad se deben tener en cuenta dos valores. El primer indicador es el nivel de seguridad inicial del sistema de información. Este es un indicador general que depende de las características técnicas del sistema. La Tabla 4 presenta el cálculo de la seguridad inicial de un sistema de información, que está determinada por el porcentaje de un nivel de seguridad particular sobre todos los indicadores de seguridad disponibles.

Cuadro 4. Cálculo de la garantía inicial de la institución.

Con base en los resultados del análisis, podemos concluir que el ISPD de la institución tiene un nivel de seguridad promedio. De acuerdo con el resultado obtenido, se introduce un coeficiente. Y 1 = 5. Este coeficiente es el primer parámetro a la hora de determinar la relevancia de las amenazas.

El siguiente parámetro es la probabilidad de que ocurra la amenaza ( Y 2). Este indicador lo determinan expertos y tiene cuatro valores posibles:

– improbable (ausencia de requisitos previos objetivos para que la amenaza se materialice - 0);

– baja probabilidad (existen condiciones previas claras para que se produzca la amenaza, pero los medios de protección existentes dificultan su implementación - 2);

– probabilidad media (existen requisitos previos para que las amenazas se materialicen y los métodos iniciales de protección son insuficientes - 5);

– alta probabilidad (existen condiciones previas objetivas para que se produzcan amenazas y no se han tomado medidas de seguridad - 10);

Con base en los parámetros obtenidos, se calcula el coeficiente de implementación de amenaza Y, que está determinado por la fórmula Y = ( Y 1 +Y 2)/20. De acuerdo con el resultado obtenido, Y toma los siguientes valores:

– 0 < Y < 0,3 - низкая реализуемость угрозы;

– 0,3 < Y < 0,6 - средняя реализуемость угрозы;

– 0,6 < Y < 0,8 - высокая реализуемость угрозы;

– Y > 0,8: realizabilidad de amenaza muy alta;

El siguiente paso es evaluar la gravedad de la amenaza. Esta calificación la otorga un especialista en seguridad y tiene los siguientes valores de peligro:

– peligro bajo: la implementación de la amenaza puede causar daños insignificantes;

– peligro medio: la implementación de la amenaza puede causar daños;

– alto peligro: la implementación de la amenaza puede causar daños importantes;

La Tabla 5 presenta una matriz para calcular la relevancia de las amenazas, que se obtiene teniendo en cuenta todos los indicadores anteriores.

– “+” - la amenaza es urgente;

– “-” - la amenaza es irrelevante;

Tabla 5. Matriz para calcular la relevancia de las amenazas

Como resultado del análisis de la seguridad inicial de la institución y la matriz de relevancia de las amenazas, se identificaron las amenazas características de esta institución y su relevancia de acuerdo al siguiente plan: amenaza (probabilidad de la amenaza; factibilidad de la amenaza; evaluación de la peligro de la amenaza) - relevante/irrelevante.

1. Acceso no autorizado al territorio de la institución, a objetos de hardware, documentación (probabilidad baja (2); viabilidad media (0,35); peligro alto) - relevante;

2. Robo o daño al equipo del sistema automatizado (improbable (0); baja viabilidad (0,25); alto peligro) - relevante;

3. Destrucción y modificación involuntaria de información (probabilidad promedio (5); viabilidad promedio (0,5); peligro alto) - relevante;

4. Robo de recursos de información en papel (improbable (0); baja viabilidad (0,25); peligro medio) - irrelevante;

5. Fuga de datos confidenciales a través de dispositivos móviles y portátiles (improbable (0); baja viabilidad (0,5); peligro medio) - irrelevante;

6. Exceso involuntario de derechos de uso de equipos debido a la falta de conocimientos adecuados (probabilidad promedio (5); viabilidad promedio (0,5); peligro promedio) - relevante;

7. Interceptación de la información transmitida mediante el escaneo del tráfico de la red (probabilidad baja (2); viabilidad media (0,35); peligro alto) - relevante;

8. Instalación de malware de terceros (baja probabilidad (2); viabilidad media (0,35); peligro medio) - relevante;

9. Cambios en la configuración de los componentes del software (probabilidad promedio (5); viabilidad promedio (0,5); alto peligro) - relevante;

10. Destrucción o modificación de los datos de registro del usuario (improbable (0); baja viabilidad (0,25); bajo peligro) - irrelevante;

11. Divulgación involuntaria de información confidencial por parte de los empleados (alta probabilidad (10); alta viabilidad (0,75); alto peligro) - relevante;

12. Varios tipos de radiación que pueden afectar el rendimiento de los equipos técnicos (improbable (0); baja viabilidad (0,25); peligro medio) - irrelevante;

13. Fallo y falla del equipo de red (probabilidad promedio (5); viabilidad promedio (0,5); peligro promedio) - relevante;

14. Destrucción de datos debido a errores o fallas de hardware y software (probabilidad promedio (5); viabilidad promedio (0,5); peligro alto) - relevante;

15. Marcadores de software (probabilidad baja (2); viabilidad promedio (0,35); peligro promedio) - relevante;

16. Usar los datos de registro de otra persona para ingresar a servicios de información (probabilidad promedio (2); viabilidad promedio (0,35); alto peligro) - relevante;

17. Violación de las medidas de seguridad y protección (probabilidad baja (2); viabilidad promedio (0,35); daño promedio) - relevante;

Habiendo analizado las amenazas actuales, podemos concluir que todas ellas pueden eliminarse mediante medidas técnicas y organizativas. La Tabla 6 presenta medidas para combatir las amenazas actuales que se pueden utilizar en la universidad para proteger los datos.

Cuadro 6. Métodos para combatir las amenazas actuales.

Los métodos de lucha contra las amenazas indicados en la tabla se tendrán en cuenta y utilizarán a la hora de desarrollar la política de seguridad universitaria.

2.4. Determinar la clase de seguridad de un sistema de información

Para desarrollar un sistema de seguridad eficaz para una institución, es necesario determinar la clase de seguridad del sistema fuente. Para ello se realizó un análisis del sistema de información y se obtuvieron los siguientes resultados:

– El sistema procesa información de diferentes niveles de confidencialidad;

– El sistema procesa datos clasificados como “secretos”;

– El sistema de información es multiusuario;

- Derechos de acceso...

Documentos similares

La esencia de la información, su clasificación. Los principales problemas de garantizar y amenazas a la seguridad de la información empresarial. Análisis de riesgos y principios de seguridad de la información empresarial. Desarrollo de un conjunto de medidas para garantizar la seguridad de la información.

trabajo del curso, añadido el 17/05/2016


Análisis de la infraestructura de la tienda LLC "Style". Creación de un sistema de seguridad de la información para el departamento de contabilidad de una empresa a partir de su examen previo al proyecto. Desarrollo de un concepto, política de seguridad de la información y selección de soluciones para garantizarla.

trabajo del curso, añadido el 17/09/2010


Una estrategia de seguridad de la información empresarial en forma de un sistema de políticas efectivas que definiría un conjunto efectivo y suficiente de requisitos de seguridad. Identificación de amenazas a la seguridad de la información. Control interno y gestión de riesgos.

trabajo del curso, agregado 14/06/2015


Desarrollo de modelos estructurales e infológicos del sistema de información de una agencia gubernamental. Lista y análisis de amenazas, objetivos de ataque, tipos de pérdidas, magnitud de los daños, fuentes. Proteger la base de datos de información confidencial y desarrollar una política de seguridad.

trabajo del curso, añadido el 15/11/2009


Conceptos, métodos y tecnologías básicos para la gestión de riesgos de seguridad de la información. Identificación de riesgos, activos, amenazas, vulnerabilidades, controles existentes, consecuencias. Evaluación y reducción de riesgos. Ejemplos de amenazas típicas a la seguridad de la información.

presentación, añadido el 11/04/2018


Documentos reglamentarios en el campo de la seguridad de la información en Rusia. Análisis de amenazas a los sistemas de información. Características de la organización del sistema de protección de datos personales de la clínica. Implantación de un sistema de autenticación mediante claves electrónicas.

tesis, agregada el 31/10/2016


Características de los recursos de información de la explotación agrícola Ashatli. Amenazas a la seguridad de la información específicas de la empresa. Medidas, métodos y medios de protección de la información. Análisis de las carencias del sistema de seguridad existente y las ventajas del actualizado.

trabajo del curso, añadido el 03/02/2011


Concepto, significado y direcciones de la seguridad de la información. Un enfoque sistemático para organizar la seguridad de la información, protegiendo la información del acceso no autorizado. Herramientas de seguridad de la información. Métodos y sistemas de seguridad de la información.

resumen, añadido el 15/11/2011


Análisis de riesgos de seguridad de la información. Identificación de vulnerabilidades de activos. Evaluación de los medios de protección existentes y previstos. Un conjunto de medios regulatorios, organizativos y administrativos diseñados para garantizar la seguridad de la información.

tesis, agregada el 03/04/2013


Desarrollo de un sistema de información universitario utilizando técnicas de modelado orientado a objetos UML. Análisis de requisitos del sistema. Modelo conceptual (contenido). Diagrama de componentes y clases. Implementación software de la aplicación.

UDC 004.056

O. M. Protalinsky, I. M. Azhmukhamedov SEGURIDAD DE LA INFORMACIÓN DE LA UNIVERSIDAD

Introducción

En las condiciones modernas de informatización general y desarrollo de las tecnologías de la información, las amenazas a la seguridad nacional de la Federación de Rusia en la esfera de la información están aumentando.

El concepto de seguridad nacional de la Federación de Rusia en relación con la esfera de la información está desarrollado por la Doctrina de Seguridad de la Información de la Federación de Rusia.

La Doctrina establece que garantizar la seguridad de la información de la Federación de Rusia desempeña un papel clave para garantizar la seguridad nacional de la Federación de Rusia. Al mismo tiempo, una de las direcciones prioritarias de la política estatal en el campo de garantizar la seguridad de la información en la Federación de Rusia es mejorar la formación del personal y desarrollar la educación en el campo de la seguridad de la información. Las universidades desempeñan un papel especial en la solución de estos problemas.

La educación superior rusa atraviesa un período de adaptación no sólo a los procesos objetivos de la sociedad de la información, sino también a las nuevas condiciones sociopolíticas con diversas manifestaciones de competencia.

Crear mecanismos efectivos para gestionar los recursos de información del sistema de educación superior en las condiciones modernas es imposible sin una justificación científica y la implementación práctica de una política universitaria equilibrada de seguridad de la información, que puede formarse a partir de la resolución de las siguientes tareas:

Análisis de los procesos de interacción de la información en todas las áreas de la actividad principal de una universidad técnica rusa: flujos de información, su escala y calidad, contradicciones, competencia con la identificación de propietarios y rivales;

Desarrollo de una descripción cuantitativa (matemática) cualitativa y simple de la interacción de la información;

Introducción de indicadores cuantitativos y criterios de apertura, seguridad y equidad del intercambio de información;

Desarrollo de escenarios sobre la necesidad e importancia del equilibrio en la apertura y confidencialidad de la información;

Determinar el papel y el lugar de la política de seguridad de la información en la gestión de los recursos de información universitarios y desarrollar principios y enfoques coherentes;

Formulación de los principales componentes de la política: metas, objetivos, principios y direcciones clave para garantizar la seguridad de la información;

Desarrollo de métodos básicos para gestionar el proceso de garantizar la política de seguridad de la información;

Elaboración de proyectos de documentos reglamentarios.

Detalles de las instituciones educativas.

Una universidad moderna almacena y procesa una gran cantidad de datos diversos relacionados no solo con el proceso educativo, sino también con la investigación y el desarrollo, datos personales de estudiantes y empleados, información oficial, comercial y otra información confidencial.

El aumento del número de delitos en el campo de la alta tecnología dicta sus necesidades para proteger los recursos de las redes informáticas de las instituciones educativas y plantea la tarea de construir su propio sistema de seguridad integrado. Su solución presupone la existencia de un marco regulatorio, la formación de un concepto de seguridad, el desarrollo de medidas, planes y procedimientos para un trabajo seguro, el diseño, implementación y mantenimiento de medios técnicos de seguridad de la información (ISIS) dentro de una institución educativa. Estos componentes determinan una política unificada para garantizar la seguridad de la información en la universidad.

La especificidad de la protección de la información en el sistema educativo es que una universidad es una institución pública con una audiencia voluble, así como un lugar de mayor actividad para los "ciberdelincuentes novatos".

El principal grupo de posibles infractores en la universidad son los estudiantes, algunos de ellos tienen un nivel de formación bastante alto. La edad (de 18 a 23 años) y el maximalismo juvenil alientan a estas personas a mostrar sus conocimientos frente a sus compañeros: crear una epidemia de virus, obtener acceso administrativo y "castigar" al profesor, bloquear el acceso a Internet, etc. Baste recordar que los primeros delitos informáticos nacieron precisamente en la universidad (gusano Morris).

Las características de una universidad como objeto de informatización también están relacionadas con el carácter multidisciplinario de sus actividades, la abundancia de formas y métodos de trabajo educativo y la distribución espacial de la infraestructura (sucursales, oficinas de representación). Esto también incluye la variedad de fuentes de financiamiento, la presencia de una estructura desarrollada de departamentos y servicios auxiliares (construcción, producción, actividades económicas), la necesidad de adaptarse al mercado cambiante de servicios educativos, la necesidad de un análisis del mercado laboral. , la falta de formalización generalmente aceptada de los procesos comerciales, la necesidad de interacción electrónica con las organizaciones superiores, cambios frecuentes en el estado de los empleados y aprendices.

El problema se alivia un poco por el hecho de que la universidad es un sistema estable y jerárquico en términos de funciones de gestión, que tiene todas las condiciones necesarias para la vida y opera según los principios de la gestión centralizada (esto último significa que los recursos administrativos se pueden utilizar activamente). en la gestión de tareas de informatización).

Las características anteriores requieren el cumplimiento de los siguientes requisitos:

Estudio integral de los problemas de seguridad de la información, desde el concepto hasta el soporte de soluciones de software y hardware;

Atraer una gran cantidad de especialistas que conozcan el contenido de los procesos comerciales;

Utilizar una estructura modular de aplicaciones corporativas, cuando cada módulo cubre un grupo interconectado de procedimientos comerciales o servicios de información garantizando requisitos de seguridad uniformes;

Aplicación de una secuencia razonable de etapas para la resolución de problemas de seguridad de la información;

Documentar los desarrollos basados ​​en la aplicación juiciosa de estándares para garantizar la creación de un sistema exitoso;

El uso de plataformas y tecnologías de hardware y software confiables y escalables para diversos fines que proporcionen el nivel de seguridad requerido.

Desde un punto de vista arquitectónico, se pueden distinguir tres niveles en el entorno de la información corporativa, para garantizar cuyo funcionamiento seguro es necesario aplicar diferentes enfoques:

Equipos para redes informáticas, canales y líneas de datos, estaciones de trabajo de usuarios, sistemas de almacenamiento de datos;

Sistemas operativos, servicios de red y servicios de control de acceso a recursos, middleware;

Software de aplicaciones, servicios de información y entornos orientados al usuario.

Al crear una red de información integrada (CIS), es necesario garantizar la coordinación entre niveles de los requisitos de seguridad para las soluciones o tecnologías seleccionadas. Por lo tanto, en el segundo nivel, la arquitectura CIS de muchas universidades representa subsistemas dispares y poco conectados con diferentes entornos operativos, coordinados entre sí solo en el nivel de asignación de direcciones Sh o mensajería. Las razones de la mala organización del sistema del CIS son la falta de una arquitectura del CIS aprobada y la presencia de varios centros de responsabilidad para el desarrollo tecnológico que actúan de manera descoordinada. Los problemas comienzan con la renuencia a gestionar la elección de entornos operativos en los departamentos, cuando las decisiones tecnológicas clave están completamente descentralizadas, lo que reduce drásticamente el nivel de seguridad del sistema.

Las universidades que tienen una estrategia clara para el desarrollo de la tecnología de la información, requisitos uniformes para la infraestructura de la información, una política de seguridad de la información y regulaciones aprobadas para los componentes principales del sistema de información corporativo generalmente se distinguen por un fuerte núcleo administrativo en la gestión y una alta autoridad de el jefe del servicio de TI.

Por supuesto, dichas universidades pueden utilizar diferentes entornos operativos o sistemas de capa intermedia, pero esto se debe a razones organizativas, técnicas o económicas y no impide el despliegue del CIS de la universidad y la introducción de principios unificados de acceso seguro a los recursos de información. .

El estado de desarrollo de la arquitectura CIS en las universidades de tercer nivel se puede caracterizar de la siguiente manera: la transición de aplicaciones de software locales que automatizan un proceso comercial separado y se basan en un conjunto de datos local a sistemas de información corporativos cliente-servidor que brindan acceso a los usuarios a las operaciones. bases de datos universitarias se ha completado en gran medida. De una forma u otra se ha solucionado el problema de la integración de datos generados por diversos sistemas de información, lo que permite mejorar los procesos de negocio, mejorar la calidad de la gestión y la toma de decisiones.

Si a principios de los 90. Siglo XX Había una gran demanda de software de contabilidad y de contabilidad de gestión (RRHH, informes, etc.), pero en la actualidad esta demanda se ha satisfecho en gran medida. Actualmente, la tarea consiste en proporcionar datos fiables sobre las actividades de una institución educativa no sólo al personal directivo, sino también a todos los profesores y estudiantes, es decir, la tarea de gestionar eficazmente los datos que circulan en el CIS, lo que, a su vez, facilita la La tarea de garantizar la seguridad de la información en dichas redes es aún más relevante.

Seguridad de la información de las redes corporativas de las universidades.

La introducción activa de Internet y las nuevas tecnologías de la información en el proceso educativo y en el sistema de gestión universitaria ha creado las condiciones previas para el surgimiento de redes corporativas.

La red corporativa de una universidad es un sistema de información que incluye computadoras, servidores, equipos de red, comunicaciones y telecomunicaciones, y un sistema de software diseñado para resolver problemas de gestión de una universidad y realización de actividades educativas.

Una red corporativa suele unir no sólo las divisiones estructurales de una universidad, sino también sus oficinas regionales. Estas redes, que antes eran inaccesibles para las universidades, ahora han comenzado a introducirse activamente en las estructuras educativas debido a la difusión masiva de Internet y su accesibilidad.

La seguridad integrada de la información de una universidad es un sistema para preservar, limitar y autorizar el acceso a la información contenida en los servidores de las redes corporativas de las universidades, así como la transmitida a través de canales de telecomunicaciones en los sistemas de educación a distancia.

En un sentido más amplio, el término "seguridad integral de la información de una universidad" incluye dos aspectos: un sistema para proteger la propiedad de la información intelectual de la universidad de influencias agresivas externas e internas y un sistema para gestionar el acceso a la información y proteger contra espacios de información agresivos. Recientemente, debido al desarrollo masivo y descontrolado de Internet, este último aspecto de la seguridad ha adquirido especial relevancia.

El término "espacio de información" se refiere a la información contenida en servidores en redes corporativas de instituciones educativas, instituciones, bibliotecas y en Internet global, en medios electrónicos, así como transmitida a través de canales de comunicación televisiva o televisión.

El espacio de información agresivo es un espacio de información cuyo contenido puede provocar manifestaciones de agresión en el usuario inmediatamente después de la exposición a la información y después de un tiempo (efecto a largo plazo).

El término se basa en la hipótesis de que la información, en determinadas formas y contenidos, puede provocar determinados efectos con la manifestación de agresión y hostilidad.

Los problemas de seguridad de la información compleja de las redes corporativas de las universidades son mucho más amplios, diversos y agudos que en otros sistemas. Esto se debe a las siguientes características:

La red corporativa de una universidad suele basarse en el concepto de “financiación escasa” (equipo, personal, software sin licencia);

Por regla general, las redes corporativas no tienen objetivos estratégicos de desarrollo. Esto significa que la topología de las redes, su hardware y software se consideran desde la perspectiva de las tareas actuales;

En una red corporativa de una universidad se resuelven dos tareas principales: garantizar actividades educativas y científicas y resolver el problema de gestionar los procesos educativos y científicos. Esto significa que en esta red operan simultáneamente varios sistemas o subsistemas automatizados en el marco de un sistema de gestión (ACS “Estudiante”, ACS “Personal”, ACS “Proceso Educativo”, ACS “Biblioteca”, ACS “Investigación”, ACS “Contabilidad” etc.);

Las redes corporativas son heterogéneas tanto en hardware como en software debido a que fueron creadas durante un largo período de tiempo para diferentes tareas;

Los planes integrales de seguridad de la información, por regla general, no existen o no cumplen con los requisitos modernos.

En una red de este tipo, son posibles amenazas tanto internas como externas a la seguridad de la información:

Intentos de administración no autorizada de bases de datos;

Investigación de redes, lanzamiento no autorizado de programas de auditoría de redes;

Eliminar información, incluidas bibliotecas;

Lanzamiento de programas de juegos;

Instalación de programas de virus y caballos de Troya;

Intentos de piratear el sistema de control automatizado "VUZ";

Escaneo de redes, incluidas otras organizaciones, a través de Internet;

Descarga no autorizada de software sin licencia de Internet e instalación del mismo en estaciones de trabajo;

Intentos de penetrar los sistemas contables;

Busque "agujeros" en el sistema operativo, el firewall y los servidores proxy;

Intentos de administración remota no autorizada del sistema operativo;

Escaneo de puertos, etc.

Análisis de amenazas, sus fuentes y riesgos.

Las fuentes de posibles amenazas a la información son:

Aulas informatizadas en las que se desarrolla el proceso educativo;

Internet;

Estaciones de trabajo de empleados universitarios no cualificados en el campo de la seguridad de la información.

El análisis de riesgos de la información se puede dividir en las siguientes etapas:

Clasificación de los objetos a proteger por importancia;

Determinar el atractivo de los objetos protegidos para los ladrones;

Identificación de posibles amenazas y probables canales de acceso a los objetos;

Evaluación de las medidas de seguridad existentes;

Identificación de vulnerabilidades de defensa y formas de eliminarlas;

Compilar una lista clasificada de amenazas;

Evaluación de daños por acceso no autorizado, ataques de denegación de servicio, fallas de equipos.

Los principales objetos que necesitan protección contra el acceso no autorizado:

LAN contables, datos del departamento de planificación y finanzas, así como datos estadísticos y de archivo;

Servidores de bases de datos;

Consola de gestión de cuentas;

servidores WWW/ftp;

LAN y servidores para proyectos de investigación.

Como regla general, la comunicación con Internet se realiza a través de varias líneas de comunicación a la vez (troncal de fibra óptica, canales satelitales y de radio). Se proporcionan canales separados para la comunicación con otras universidades o para el intercambio seguro de datos.

Para eliminar los riesgos asociados con fugas y daños a la información transmitida, dichas redes no deben estar conectadas a redes globales ni a la red universitaria general.

Los nodos críticos para el intercambio de datos universitarios (por ejemplo, la LAN contable) también deben existir por separado.

Líneas de protección

La primera línea de defensa contra ataques externos (Internet) es un enrutador. Se utiliza para conectar secciones de la red entre sí, así como para separar el tráfico de manera más efectiva y utilizar rutas alternativas entre los nodos de la red. El funcionamiento de las subredes y la comunicación con redes de área amplia (WAN) dependen de su configuración. Su principal objetivo de seguridad es la protección contra ataques distribuidos de denegación de servicio (DDOS).

La segunda frontera puede ser un firewall (FWE): el complejo de hardware y software Cisco PIX Firewall.

Luego viene la zona desmilitarizada (DMZ). En esta zona es necesario ubicar el servidor proxy principal, servidor DNS, www/ftp, servidores de correo. El servidor proxy procesa solicitudes de estaciones de trabajo del personal de capacitación, servidores que no están conectados directamente al enrutador y filtra el tráfico. La política de seguridad a este nivel debe determinarse bloqueando el tráfico no deseado y guardándolo (filtrando contenido multimedia, imágenes iso, bloqueando páginas de contenido no deseado/obsceno usando palabras clave). Para evitar la descarga de información infectada con virus, está justificado colocar herramientas antivirus en este servidor.

La información del servidor proxy debe enviarse en paralelo al servidor de estadísticas, donde se puede ver y analizar la actividad del usuario en Internet. El servidor de correo debe tener un antivirus de correo, por ejemplo Kaspersky Antivirus para servidores de correo.

Dado que estos servidores están conectados directamente a la red global, auditar el software instalado en ellos es la tarea principal de un ingeniero de seguridad de la información de una universidad. Para ahorrar dinero y personalizar la flexibilidad, es recomendable utilizar software y sistema operativo de código abierto.

Algunos de los sistemas operativos más comunes son FreeBSD y GNU Linux. Pero nada le impide utilizar el Open BSD más conservador o incluso el sistema operativo ultraestable en tiempo real: QNX.

Para gestionar de forma centralizada las actividades antivirus, se necesita un producto con arquitectura cliente-servidor, como Dr.Web Enterprise Suite. Le permite administrar de forma centralizada la configuración y las actualizaciones de las bases de datos antivirus mediante una consola gráfica y proporcionar estadísticas fáciles de leer sobre la actividad de los virus, si corresponde.

Para mayor comodidad de los empleados de la universidad, puede organizar el acceso a la red interna de la universidad mediante tecnología VPN.

Algunas universidades tienen su propio grupo de acceso telefónico a Internet y utilizan los canales de comunicación de la institución. Para evitar que personas no autorizadas utilicen este acceso con fines ilegales, los empleados de la institución educativa no deben revelar el número de teléfono, el nombre de usuario o la contraseña del grupo.

El grado de seguridad de las redes y servidores de la mayoría de las universidades rusas deja mucho que desear. Hay muchas razones para esto, pero una de las principales es la mala organización de las medidas para desarrollar y hacer cumplir políticas de seguridad de la información y la subestimación de la importancia de estas actividades. El segundo problema es la financiación insuficiente para la compra de equipos y la introducción de nuevas tecnologías en el campo de la seguridad de la información.

Estructura del sistema integral de seguridad de la información de la universidad.

Un sistema integral de seguridad de la información debe incluir el desarrollo de las siguientes políticas.

En primer lugar, se trata de la política financiera de desplegar, desarrollar y mantener actualizada la red corporativa de la universidad. Es dominante y se puede dividir en tres áreas: financiación escasa, financiación de suficiencia razonable y financiación prioritaria.

La segunda política está determinada por el nivel de organización del despliegue y mantenimiento de la red corporativa de la universidad.

La tercera política se relaciona con la dotación de personal de la cámara de compensación. Es especialmente relevante para las universidades debido a la creciente demanda de administradores de sistemas con experiencia.

La política de software es actualmente uno de los factores costosos en el desarrollo de una red corporativa. Los enfoques racionales para resolverlo en las condiciones del mercado monopolista de productos de software OS y MicroSoft son un tema aparte que requiere una consideración cuidadosa.

Las políticas de apoyo técnico pueden no ser del todo pertinentes en el contexto de una financiación suficiente. Pero siempre existe el problema de actualizar equipos obsoletos.

Finalmente, la última política está relacionada con la formación de estándares morales y éticos de comportamiento tolerante en los sistemas de información y restricciones razonables para visitar espacios de información agresivos. La subestimación de estas áreas se verá compensada por mayores costos financieros para mantener las redes corporativas de las universidades.

BIBLIOGRAFÍA

1. El concepto de seguridad nacional de la Federación de Rusia, aprobado por Decreto del Presidente de la Federación de Rusia de 17 de diciembre de 1997 No. 1300 (modificado por el Decreto del Presidente de la Federación de Rusia de 10 de enero de 2000 No. 24 ).

2. La Doctrina de Seguridad de la Información de la Federación de Rusia, aprobada por el Presidente de la Federación de Rusia el 9 de septiembre de 2000, Pr-1895.

3. La política de seguridad de la información de la Universidad Trufanov A. I. como tema de investigación // Problemas de la civilización terrestre. - Vol. 9. - Irkutsk: ISTU, 2004 /library.istu.edu/civ/default.htm.

4. Volkov A. V. Garantizar la seguridad de la información en las universidades // Seguridad de la información. - 2006. - No. 3, 4 / http://www. itssec.ru/articles2/bepub/insec-3 + 4-2006.

5. Kryukov V.V., Mayorov V.S., Shakhgeldyan K.I. Implementación de una red informática corporativa de una universidad basada en tecnología Active Directory // Proc. Todo ruso científico conf. "Servicio científico en Internet". -Novorossiysk, 2002. - P. 253-255.

6. Minzov A. S. Características de la seguridad de la información compleja de las redes corporativas de las universidades / http: //tolerancia. mubiú. ru/base/Minzov(2).htm#top.

El artículo fue recibido por el editor el 22 de enero de 2009.

SEGURIDAD DE LA INFORMACIÓN DEL INSTITUTO DE EDUCACIÓN SUPERIOR

O. M. Protalinskiy, I. M. Azhmukhamedov

Se revela el carácter específico de brindar seguridad de la información en el Instituto de Educación Superior. Se analizan las amenazas, sus fuentes y riesgos. Se examinan los límites de la protección de la información y la estructura de un sistema complejo de seguridad de la información.

Palabras clave: seguridad de la información, instituto de educación superior, amenaza a la seguridad, seguridad de la información.

Seguridad de la información universitaria. Organización del trabajo sobre protección de la información durante la construcción de un espacio de información unificado Candidato de Ciencias Técnicas, Profesor Asociado Glybovsky Pavel Anatolyevich Candidato de Ciencias Técnicas, Profesor Asociado Mazhnikov Pavel Viktorovich Departamento de Sistemas de Recopilación y Procesamiento de Información de la Academia Militar A.F. Mozhaisky

Un sistema de información es un conjunto de información contenida en bases de datos y tecnologías de la información y medios técnicos que aseguran su procesamiento. (Ley Federal de 2006 149-FZ “Sobre la información, las tecnologías de la información y la protección de la información”). Sistemas de información estatales: sistemas de información federales y sistemas de información regionales creados sobre la base, respectivamente, de leyes federales, leyes de las entidades constitutivas de la Federación de Rusia, sobre la base de actos jurídicos de órganos estatales. (Ley Federal de 2006 149-FZ “Sobre la información, las tecnologías de la información y la protección de la información”). Sistema automático. Un sistema formado por personal y un conjunto de herramientas de automatización de sus actividades, que implementa tecnología de la información para el desempeño de funciones establecidas (GOST) Términos y definiciones.

Sistemas de información, herramientas de informatización, que contienen: Medios técnicos y sistemas para procesar información abierta en locales donde se procesa información de acceso restringido Locales para realizar negociaciones utilizando información de acceso restringido Objetos principales para la protección de información de acceso restringido que no contiene información que constituya secretos de estado y información abierta Información abierta Información de acceso limitado que no contiene información constitutiva de secreto de estado La FIAC es un sistema de información clave. infraestructura ISPDLVSARM Medios de impresión, copia Comunicación, conmutación, etc. Aparatos domésticos Alarmas contra incendios y de seguridad Teléfonos, etc. Medios de comunicación Sistemas de información. Estatal IS Municipal IS Otros IS

Protección de la información Un sistema de protección de la información es un conjunto de órganos y (o) ejecutores, la tecnología de protección de la información que utilizan, así como los objetos de protección, organizados y funcionando de acuerdo con las reglas establecidas por los documentos legales, organizativos, administrativos y reglamentarios pertinentes. en el ámbito de la protección de la información. (GOST R Protección de la información. Términos y definiciones básicos). Temas de las actividades de protección de la información Organismos gubernamentales, organismos gubernamentales autorizados, organizaciones que procesan información en instalaciones de informatización, organizaciones licenciatarias Qué está sujeto a protección Cómo proteger De qué amenazas Objetos de informatización, propiedad intelectual, incl. software en el que se procesa y almacena información, cuyo acceso está restringido por leyes federales, herramientas de protección de información, información disponible públicamente por filtración a través de canales técnicos, acceso no autorizado, destrucción, modificación, bloqueo, copia, suministro, distribución, así como de otras acciones ilegales. Un conjunto de medidas legales, organizativas y técnicas.

Orden del Servicio Federal de Control Técnico y de Exportaciones (FSTEC de Rusia) de 11 de febrero de 2013 N 17 "Sobre la aprobación de los Requisitos para la protección de la información que no constituye un secreto de estado contenida en los sistemas de información estatales" Sistema de legislación IS

Información en formato electrónico que se adjunta a otra información en formato electrónico (información firmada) o está asociada de otro modo con dicha información y que se utiliza para determinar la persona que firma la información El hecho de la aceptación de derechos y obligaciones como resultado de la firma de un documento Sistema de firma electrónica de la legislación de seguridad de la información.

Ley Federal de la Federación de Rusia del 6 de abril de 2011 N 63-FZ "Sobre Firma Electrónica"; Decreto del Presidente de la Federación de Rusia de 3 de abril de 1995 N 334 “Sobre medidas para cumplir con la ley en el campo del desarrollo, producción, venta y operación de herramientas de cifrado, así como la prestación de servicios en el campo de la información. cifrado”; “Reglamento sobre el desarrollo, producción, implementación y operación de medios de seguridad de la información cifrada (criptográfica)” (Reglamento PKZ-2005) Aprobado por Orden del FSB de la Federación de Rusia del 9 de febrero de 2005 N 66; Orden FAPSI No. 152 de 13 de junio de 2001 “Sobre la aprobación del Instructivo para organizar y garantizar la seguridad del almacenamiento, procesamiento y transmisión a través de canales de comunicación utilizando medios de protección criptográfica para información de acceso limitado que no contenga información que constituya un secreto de estado. " Sistema de firma electrónica de la legislación de seguridad de la información.

Al utilizar firmas electrónicas mejoradas, los participantes en la interacción electrónica están obligados a: 1) garantizar la confidencialidad de las claves de firma electrónica, en particular, no permitir el uso de claves de firma electrónica que les pertenezcan sin su consentimiento (artículo 10 de la Ley Federal 63-FZ de 6 de abril de 2011); 2) no utilizar la clave de firma electrónica si hay motivos para creer que se ha violado la confidencialidad de esta clave (artículo 10 de la Ley Federal 63-FZ del 6 de abril de 2011); 3) utilizar herramientas de firma electrónica que hayan recibido confirmación del cumplimiento de los requisitos establecidos de conformidad con esta Ley Federal (Artículo 10 de la Ley Federal 63-FZ del 6 de abril de 2011) para crear y verificar firmas electrónicas calificadas, crear claves de electrónica calificada firmas y claves para su verificación. .); 4) llevar registros copia por copia según los formularios establecidos por el CIPF, documentación operativa y técnica de los mismos). (Artículo 26 de la orden FAPSI 152 de 13 de junio de 2001). Sistema de firma electrónica de la legislación de seguridad de la información.

1C: Flujo de documentos de una institución estatal "1C: Flujo de documentos de una institución estatal 8" está destinado a una solución integral a una amplia gama de problemas de automatización de la contabilidad de documentos, la interacción de los empleados, el control y el análisis de la disciplina de desempeño en las instituciones estatales y municipales. . ORDEN DEL GOBIERNO DE LA FEDERACIÓN DE RUSIA de 2 de octubre de 2009 N 1403-r Requisitos técnicos para organizar la interacción del sistema interdepartamental de gestión de documentos electrónicos con los sistemas de gestión de documentos electrónicos de las autoridades ejecutivas federales; Requisitos para los sistemas de información de gestión de documentos electrónicos de las autoridades ejecutivas federales, incluida la necesidad de procesar información oficial de distribución limitada a través de estos sistemas (aprobados por orden del Ministerio de Comunicaciones y Medios de Comunicación de la Federación de Rusia con fecha). 1C: Flujo documental de una institución del Estado. Requisitos de seguridad de la información

Requisitos para los sistemas de información de gestión de documentos electrónicos de las autoridades ejecutivas federales, incluida la necesidad de procesar información oficial de distribución limitada a través de estos sistemas (aprobados por orden del Ministerio de Comunicaciones y Medios de Comunicación de la Federación de Rusia con fecha). 21. Para proteger la información patentada de distribución limitada, se deben utilizar herramientas de protección de información técnicas y (o) de software certificadas de acuerdo con los requisitos de seguridad de la información. 22. Los requisitos para la protección de la información y las medidas para su implementación, así como las herramientas específicas de protección de software y hardware, deben determinarse y aclararse en función de la clase de seguridad establecida. 25. EDMS del poder ejecutivo federal no debe tener una conexión directa (desprotegida) a la red de información y telecomunicaciones Internet de conformidad con el Decreto del Presidente de la Federación de Rusia del 17 de marzo de 2008 N 351 "Sobre medidas para garantizar la seguridad de la información de Federación Rusa al utilizar redes de información y telecomunicaciones del intercambio internacional de información" (Legislación recopilada de la Federación Rusa, 2008, No. 12, Art. 1110; 2008, No. 43, Art. 4919; 2011, No. 4, Art. .572). 1C: Flujo documental de una institución del Estado. Requisitos de seguridad de la información

ORDEN DEL GOBIERNO DE LA FEDERACIÓN DE RUSIA de 2 de octubre de 2009 N 1403-r Requisitos técnicos para organizar la interacción del sistema de gestión de documentos electrónicos interdepartamental con los sistemas de gestión de documentos electrónicos de las autoridades ejecutivas federales 17. Al organizar la interacción del sistema de gestión de documentos electrónicos interdepartamental sistema con el sistema de gestión documental electrónica, deberá preverse protección antivirus. 18. Para proteger la información clasificada como información que constituye un secreto oficial, se deben utilizar herramientas técnicas y (o) de software de protección de la información certificadas de acuerdo con los requisitos de seguridad de la información. Las estaciones de trabajo automatizadas Gateway y las computadoras electrónicas personales dedicadas con un adaptador de sistema de gestión de documentos electrónicos deben estar certificadas para cumplir con los requisitos de protección técnica de información confidencial. 19. Los requisitos para la protección de la información y las medidas para su implementación, así como los medios específicos de protección, deben determinarse y aclararse dependiendo de la clase de seguridad establecida con base en el modelo desarrollado de amenazas y acciones del intruso. 1C: Flujo documental de una institución del Estado. Requisitos de seguridad de la información ¡Gracias por su atención! ¿Preguntas? Departamento de Sistemas de Recopilación y Procesamiento de Información de la Academia Superior de Ciencias que lleva el nombre de A.F. Mozhaisky