UDC 004.056

AZ EGYETEM VÁLLALATI HÁLÓZATÁNAK INFORMÁCIÓBIZTONSÁGA

O. M. Protalinsky, I. M. Azhmukhamedov

Feltárulnak az információbiztonság biztosításának sajátosságai egy egyetemen. Elvégeztük a fenyegetések, azok forrásainak és kockázatainak elemzését. Figyelembe veszik az információvédelem határait és az integrált információbiztonsági rendszer felépítését.

Kulcsszavak: információbiztonság, egyetem, biztonsági fenyegetések, információvédelem.

Az általános informatizálás és az információs technológiák fejlesztésének modern körülményei között az Orosz Föderáció nemzetbiztonságát fenyegető veszélyek nőnek az információs szférában.

Az Orosz Föderáció nemzetbiztonságának az információs szférával kapcsolatos koncepcióját az Orosz Föderáció információbiztonsági doktrínája (IS) dolgozza ki.

A doktrína kimondja, hogy az Orosz Föderáció információbiztonságának biztosítása kulcsszerepet játszik az Orosz Föderáció nemzetbiztonságának biztosításában. Ugyanakkor az Orosz Föderáció információbiztonsági területén az állami politika egyik kiemelt iránya a személyzet képzésének javítása és az információbiztonsági oktatás fejlesztése. Az egyetemek kiemelt szerepet játszanak e problémák megoldásában.

Az orosz felsőoktatás nemcsak az információs társadalom objektív folyamataihoz való alkalmazkodás időszakát éli, hanem az új társadalmi-politikai feltételekhez is, amelyek a verseny sokrétű megnyilvánulásával járnak.

A felsőoktatási rendszer információforrásainak hatékony kezelését szolgáló mechanizmusok megteremtése modern körülmények között lehetetlen tudományos indoklás és egy kiegyensúlyozott egyetemi információbiztonsági politika gyakorlati megvalósítása nélkül, amely az alábbi feladatok megoldása alapján alakítható ki:

Az információs interakciós (II) folyamatok elemzése egy orosz műszaki egyetem fő tevékenységének minden területén: információáramlások, mértékük és minőségük, ellentmondások, verseny a tulajdonosok és riválisok azonosításával;

Az IW kvalitatív és egyszerű kvantitatív (matematikai) leírásának kidolgozása;

Az információcsere nyitottságára, biztonságára és méltányosságára vonatkozó mennyiségi mutatók és kritériumok bevezetése;

Szcenáriók kidolgozása az információk nyitottságának és bizalmasságának egyensúlyának szükségességére és fontosságára;

Az információbiztonsági politika szerepének és helyének meghatározása az egyetemi információforrások kezelésében, következetes elvek és megközelítések kialakítása;

A politika fő összetevőinek megfogalmazása: az információbiztonság biztosításának céljai, célkitűzései, alapelvei és kulcsterületei;

Az információbiztonsági politika biztosításának folyamatának irányítására szolgáló alapvető módszerek kidolgozása;

Szabályozási dokumentumok tervezetének elkészítése.

AZ OKTATÁSI INTÉZMÉNYEK SAJÁTOSSÁGA

Egy modern egyetem rengeteg különféle adatot tárol és dolgoz fel nemcsak az oktatási folyamattal, hanem a kutatás-fejlesztéssel is, a hallgatók és alkalmazottak személyes adatait, hivatalos, kereskedelmi és egyéb bizalmas információkat.

A csúcstechnológia területén a bűnözés növekedése megköveteli az oktatási intézmények számítógépes hálózatainak erőforrásainak védelmét, és saját integrált biztonsági rendszer kiépítését jelöli ki. Megoldása feltételezi a szabályozási keretek meglétét, a biztonsági koncepció kialakítását, a biztonságos munkavégzést szolgáló intézkedések, tervek és eljárások kidolgozását, az információbiztonság (IS) technikai eszközeinek tervezését, megvalósítását és karbantartását egy oktatási intézményen belül. Ezek az összetevők határozzák meg az egyetemi információbiztonság egységes politikáját.

Az információvédelem sajátossága az oktatási rendszerben, hogy az egyetem ingatag közönséggel rendelkező közintézmény, valamint a „kezdő kiberbűnözők” fokozott tevékenységének helyszíne.

A potenciális jogsértők fő csoportja itt a diákok, és néhányuk meglehetősen magas képzettséggel rendelkezik.

ki. Az életkor - 18-tól 23 éves korig - és a fiatalos maximalizmus arra ösztönzi az ilyen embereket, hogy „megmutassák” tudásukat diáktársak előtt: vírusjárványt okozzanak, adminisztratív hozzáférést szerezzenek és „büntesse meg” a tanárt, blokkolja az internet elérését stb. Elég csak arra emlékezni, hogy az első számítógépes bűncselekmények az egyetemen születtek (Morris féreg).

Az egyetem mint informatizációs objektum jellemzői összefüggenek tevékenységének multidiszciplináris jellegével, az oktatási munka formáinak és módszereinek bőségével, valamint az infrastruktúra (fiókok, képviseleti irodák) térbeli megoszlásával is. Ide tartozik még a finanszírozási források sokfélesége, a kisegítő részlegek és szolgáltatások fejlett struktúrájának megléte (építőipar, termelés, gazdasági tevékenység), az oktatási szolgáltatások változó piacához való alkalmazkodás, a munkaerőpiac elemzésének szükségessége, az üzleti folyamatok általánosan elfogadott formalizálásának hiánya, a felettes szervezetekkel való elektronikus interakció szükségessége, az alkalmazottak és a gyakornokok státuszának gyakori változásai.

A problémát ugyanakkor némileg enyhíti, hogy az egyetem a vezetési funkciókat tekintve stabil, hierarchikus rendszer, amely az élethez minden feltétellel rendelkezik, és a központosított irányítás elvei alapján működik (ez utóbbi azt jelenti, hogy az adminisztratív a források aktívan felhasználhatók az informatizálási feladatok kezelésében).

A fenti jellemzők a következő követelmények teljesítését teszik szükségessé:

Információbiztonsági feladatok átfogó fejlesztése a koncepciótól a szoftver és hardver megoldások támogatásáig;

Az üzleti folyamatok tartalmát ismerő nagyszámú szakember bevonása;

Vállalati alkalmazások moduláris felépítése, amikor az egyes modulok üzleti eljárások vagy információs szolgáltatások egymással összefüggő csoportját fedik le, miközben egységes biztonsági követelményeket biztosítanak;

A lépések ésszerű sorrendjének alkalmazása az információbiztonsági problémák megoldásában;

A szabványok megfontolt alkalmazásán alapuló fejlesztések dokumentálása a sikeres rendszer létrehozása érdekében;

Megbízható és méretezhető hardver- és szoftverplatformok és technológiák alkalmazása különböző célokra, amelyek biztosítják a szükséges biztonsági szintet.

Építészeti szempontból a vállalati információs környezetben három szint különböztethető meg:

nya, amelynek biztonságos működése érdekében különféle megközelítéseket kell alkalmazni:

Berendezések számítógépes hálózathoz, csatornákhoz és adatvonalakhoz, felhasználói munkaállomásokhoz, adattároló rendszerekhez;

Operációs rendszerek, hálózati szolgáltatások és szolgáltatások az erőforrásokhoz való hozzáférés kezelésére, középső szintű szoftverek;

Alkalmazási szoftverek, információs szolgáltatások és felhasználó-orientált környezetek. Átfogó információ készítésekor

hálózat (CIS), biztosítani kell a biztonsági követelmények többszintű összehangolását a kiválasztott megoldások vagy technológiák esetében. Így a második szinten sok egyetem CIS-architektúrája különböző működési környezettel rendelkező, egymástól elkülönülő és lazán összefüggő alrendszerekből áll, amelyek egymással csak az 1P-címek hozzárendelése vagy az üzenetküldés szintjén koordinálódnak. A CIS rossz rendszerszervezésének oka a jóváhagyott architektúra hiánya és a technológiai fejlesztésért felelős több, koordinálatlanul működő központ jelenléte. A problémák abból indulnak ki, hogy nem szívesen kezelik a részlegek működési környezetének megválasztását, amikor a kulcsfontosságú technológiai döntések teljesen decentralizáltak, ami jelentősen csökkenti a rendszerbiztonság szintjét.

Azokat az egyetemeket, amelyek világos informatikai fejlesztési stratégiával, egységes információs infrastruktúrára vonatkozó követelményekkel, információbiztonsági politikával és a CIS fő összetevőire jóváhagyott szabályozással rendelkeznek, általában erős adminisztratív maggal és magas szintű felhatalmazással különböztethetők meg. az informatikai szolgálat vezetője.

Az ilyen egyetemek természetesen alkalmazhatnak eltérő működési környezetet vagy középszintű rendszereket, de ez szervezési, technikai vagy gazdasági okokból adódik, és nem akadályozza meg az egyetemi CIS kiépítését és az információforrásokhoz való biztonságos hozzáférés egységes elveinek bevezetését. .

A harmadik szintű egyetemek CIS-architektúrájának fejlettségi állapota a következőképpen jellemezhető: átállás a külön üzleti folyamatokat automatizáló, helyi adathalmazra támaszkodó helyi szoftveralkalmazásokról a felhasználóit biztosító vállalati kliens-szerver információs rendszerekre (IS). az operatív adatbázisokhoz való hozzáférés nagyrészt befejezett egyetemi adatok. Ilyen vagy olyan formában megoldódott a különböző információs rendszerek által generált adatok integrálásának problémája, amely lehetővé teszi az üzleti folyamatok javítását, az irányítás és a döntéshozatal minőségének javítását.

4 _ Érzékelők és rendszerek 2009. 5. sz

Ha az 1990-es évek elején. Nagy volt az igény a számviteli szoftverekre és a vezetői számviteli szoftverekre (HR, riporting stb.), de ma már ez az igény többnyire kielégített. Most az a feladat, hogy egy oktatási intézmény tevékenységéről megbízható adatokat szolgáltassunk nemcsak a vezetők, hanem minden oktató és diák számára, vagyis a CIS-ben keringő adatok hatékony kezelése, ami viszont a biztosítását. az információbiztonság az ilyen hálózatokban még sürgetőbb.

EGYETEMI VÁLLALATI HÁLÓZATOK INFORMÁCIÓBIZTONSÁGA

Az internet és az új információs technológiák aktív bevezetése az oktatási folyamatba és az egyetemi irányítási rendszerbe megteremtette a vállalati hálózatok kialakulásának előfeltételeit.

Az egyetem vállalati hálózata olyan információs rendszer, amely számítógépeket, szervereket, hálózati berendezéseket, kommunikációt és telekommunikációt, valamint az egyetem vezetésével és oktatási tevékenységgel kapcsolatos problémák megoldására szolgáló szoftverrendszert foglal magában. A vállalati hálózat általában nemcsak az egyetem strukturális részlegeit, hanem azok regionális irodáit is egyesíti. A korábban az egyetemek számára elérhetetlen hálózatok az internet tömeges elterjedése és elérhetősége miatt manapság elkezdték aktívan bevezetni az oktatási struktúrákba.

Az átfogó egyetemi információbiztonsági rendszer egy olyan rendszer, amely az egyetemek vállalati hálózatainak szerverein, valamint az egyetemek előtt található információk megőrzésére, korlátozására és engedélyezésére szolgál.

Cikküzleti tanácsadó CiscoAlexey Lukatsky információbiztonságról

Napjainkban az internet széles körben elterjedt elérhetősége és a kommunikáció rohamos fejlődése mellett nagyon szembetűnővé válik a szakadék a diákok elvárásai és az oktatási intézmények által számukra kínált lehetőségek között. Az oktatási munkamódszereknek folyamatosan fejlődniük kell, követve a társadalmi változásokat és a technológiai fejlődést. Ugyanakkor nem utolsósorban az oktatási anyagok és egyéb korlátozott információk, valamint magának az informatikai infrastruktúrának a védelme a véletlenszerű vagy célzott támadásokkal szemben.

A modern információbiztonsági (IS) technológiák az alábbi főbb területeken segítik az oktatási intézményeket a meglévő problémák megoldásában:

• az oktatási anyagokhoz és rendszerekhez való biztonságos hozzáférés megszervezése a világ bármely pontjáról;
• a korlátozott hozzáférésű információk (személyes adatok, üzleti titkok stb.) védelme és a szellemi tulajdon védelme;
• a jogszabályi előírások betartása az információbiztonság területén (személyes adatok védelme, szellemi tulajdonjogok védelme, gyermekek védelme a negatív információkkal szemben).

1. probléma: Különböző felhasználói csoportok

A modern egyetem és hálózata egy heterogén környezet, amelyben a különböző felhasználói csoportok érdekei és adatai ütköznek. Az egyetemi hálózat a következő felhasználói kategóriákat tartalmazhatja eltérő információbiztonsági követelményekkel: egyetemi hallgatók és cserediákok; tanárok és adminisztráció; az egyetemre való felvétel előtt felkészítő tanfolyamokon részt vevő iskolások; az egyetem által kínált fizetős kurzusok és továbbképzések látogatói, további bevételi források megszerzése érdekében, valamint olyan szervezetek képviselői, amelyek az egyetemet kereskedelmi megrendelésekkel látják el, például a K+F területén.

2. probléma: A hozzáférési módszerek és a „bármely eszköz” fogalmának átalakítása

Ahogy a hagyományos egyetemi kampuszhálózat körvonala folyamatosan elmosódik, és az egyetemi környezet fokozatosan elveszti határait, az okostelefonok, táblagépek, egyéb végeszközök és webes alkalmazások visszafordíthatatlanul megváltoztatják az oktatási folyamatot, lehetőséget adva az oktatási anyagokhoz a világ bármely pontjáról való hozzáférésre. - az egyetemi tanteremből, kollégiumból, személyes otthonból, egyetemi kampuszból, egy másik egyetemről, ahová a hallgatók tapasztalatcserére járnak stb. A Cisco „Bármilyen eszköz” filozófiája az egyetemi felhasználók eszközválasztási szabadságának bővítésére szolgál, miközben fenntartja a közös és kiszámítható élményt. Mindez fenntartja, sőt növeli az oktatási intézmény versenyképességének, termelékenységének és biztonságának szintjét.

Ugyanakkor az „Any Device” koncepció megvalósítása során számos megoldásra szoruló információbiztonsági probléma merül fel. Ebben az esetben biztosítania kell:

• hálózati előfizetői eszközök: asztali számítógépek (munkaállomások vagy munkaállomások), laptopok (mobil munkaállomások), mobil eszközök (Android és iOS rendszerű táblagépek), hálózati nyomtatók és IP telefonok egyetemi hálózathoz való jogosulatlan csatlakoztatásának megakadályozása;
• az aktuális információbiztonsági szabályzatok követelményeinek és ajánlásainak betartása, valamint az egyetemi hálózatra csatlakoztatott mobil eszközök távfelügyeletének biztosítása az aktuális információbiztonsági szabályzatoknak való megfelelés érdekében;
• Emellett biztosítani kell az egyetemi hálózat logikai biztonsági zónákra való felosztását a meglévő infrastruktúra megváltoztatása nélkül (a hálózat jelenlegi szegmensekre osztása), annak érdekében, hogy vendégzónákat és korlátozott hozzáférésű zónákat lehessen kijelölni az előfizetői eszközök csatlakoztatására. különféle felhasználói csoportok, valamint Android és iOS operációs rendszert futtató mobileszközök (tábla PC-k) felhasználók.

3. probléma: az információs rendszerek és a korlátozott információk védelme

A modern egyetem különféle információk tárháza, amelyek védelmet igényelnek. Ez a következőről szól:

· hallgatók, tanárok, adminisztráció és egyéb felhasználói kategóriák személyes adatai;

· olyan információ, amely az egyetem üzleti titkát képezi, és lehetővé teszi számára, hogy a magasabb színvonalú oktatás és oktatási programok, valamint a progresszívebb oktatási módszerek terén a többi egyetem előtt járjon;

· az egyetem által kidolgozott oktatási anyagok, amelyekhez való hozzáférést korlátozni vagy ellenőrizni kell, mert szellemi tulajdont képeznek;

· az egyetem által beszerzett szoftverek vagy licencek, amelyek ellopása ronthatja az oktatási intézmény versenyhelyzetét, illetve büntetőjogi vagy közigazgatási felelősséget vonhat maga után.

· Végül pedig védelem alá esnek azon K+F projektek eredményei, amelyeket az egyetem kereskedelmi vagy állami megrendelők kérésére végrehajthat.

A korlátozott hozzáférésű információk védelme mellett az oktatási folyamat információs rendszerek biztonságáról is gondoskodni kell. E rendszerek véletlen vagy szándékos letiltása megzavarhatja a tanulási folyamatot és megsértheti a szerződéses feltételeket (fizetett képzés vagy különböző K+F megvalósítása esetén).

4. probléma: jogi korlátozások

Az információbiztonsági rendszernek az információs rendszerek és az egyetemet versenyelőnyt biztosító információk védelmén túlmenően lehetővé kell tennie a különböző állampolgári csoportok és szervezetek jogainak és érdekeinek védelmét célzó jogalkotási kezdeményezések megvalósítását. Azok az előírások, amelyeket az egyetem köteles betartani, elsősorban:

• 2006. július 27-i szövetségi törvény, 152-FZ „A személyes adatokról”;
• 2012. július 28-i 139-FZ szövetségi törvény „A gyermekek egészségükre és fejlődésükre káros információkkal szembeni védelméről” szóló szövetségi törvény módosításáról, valamint az Orosz Föderáció egyes jogalkotási aktusai az illegális hozzáférés korlátozásáról információ az interneten”;
• A 2013. július 2-i szövetségi törvény 187-FZ „Az Orosz Föderáció információs és távközlési hálózatokban való szellemi jogok védelméről szóló jogszabályainak módosításáról”.

5. probléma: növekvő számú fenyegetés

A hálózati biztonsági fenyegetések köre folyamatosan fejlődik. A vezető pozíciókat benne speciálisan megírt, rejtett fenyegetések foglalják el, amelyek egyre inkább képesek felülkerekedni a hagyományos védekezési módszereken, eszközökön. Ezek a fenyegetések behatolnak a hálózatba – az alapszintig, a terjesztési szintig és a felhasználói hozzáférési szintig, ahol a fenyegetésvédelem és a láthatóság minimális szinten van. Innentől kezdve ezek a fenyegetések könnyen kiválasztják a célpontjaikat – konkrét erőforrásokat és akár konkrét személyeket is az egyetemen. A modern kiberfenyegetések célja nem a hírnév és dicsőség megszerzése, vagy akár egy jövedelmező botnet létrehozása, hanem a szellemi tulajdon vagy a kereskedelmi és egyéb titkok elfogása és ellopása a versenyelőnyök elérése érdekében.

Cisco információbiztonsági megoldások

A Cisco SecureX Architecture™ egy új generációs biztonsági architektúra, amely rugalmas megoldásokat, termékeket és szolgáltatásokat ötvöz, hogy egységes üzleti politikákat alakítson ki és valósítson meg egy modern egyetem teljes elosztott hálózatán. A Cisco SecureX architektúra a globális fenyegetésekkel kapcsolatos intelligenciát és kontextust ötvözi, hogy megbirkózzanak az olyan egyedi biztonsági kihívásokkal, mint például a rendkívül mobil felhasználók térnyerése, kiterjesztés hálózatképes mobileszközök széles skálája, vagy felhőalapú infrastruktúrákra és szolgáltatásokra való átállás.

A Cisco SecureX megfelel a mai, határtól szélig tartó hálózatok igényeinek, hatékony biztonságot nyújtva bármely felhasználó számára, bármilyen eszközön, bárhol és bármikor. Ez az új biztonsági architektúra egy magasabb szintű politikai nyelvet használ, amely "megérti" a helyzet teljes kontextusát – ki, mit, hol, mikor és hogyan. A biztonsági házirendek megosztott megvalósításának köszönhetően a védelmi folyamat közelebb kerül a végfelhasználó munkahelyéhez a bolygó bármely pontján, ezáltal lehetővé teszi nemcsak az egyes eszközök vagy felhasználók biztonságát, hanem szükség esetén a fenyegetés lehető legközelebbi lokalizálását is. forrásához lehetséges.

A Cisco SecureX-ben található megoldások megfelelnek az információbiztonság területén felhatalmazott orosz kormányzati hatóságok követelményeinek, és több mint 600 különböző FSTEC és FSB tanúsítvánnyal rendelkeznek a biztonsági követelményekhez.

Az anyagok gyors megismerése a szakemberektől Cisco megjelent a „Blog” rovatban Cisco . Oroszország/FÁK", elő kell iratkoznia az oldalrahttp://gblogs.cisco.com/en.

Címkék: információbiztonság, információbiztonság, oktatás, egyetem, Cisco SecureX architektúra, szellemi tulajdon.

Küldje el a jó munkát a tudásbázis egyszerű. Használja az alábbi űrlapot

Diákok, végzős hallgatók, fiatal tudósok, akik a tudásbázist tanulmányaikban és munkájukban használják, nagyon hálásak lesznek Önnek.

közzétett http://www.allbest.ru

• BEVEZETÉS
• RELEvancia
• 1. A VÁLLALATI INFORMÁCIÓS RENDSZER TANULMÁNYA
• 1.1. A vállalkozás leírása
• 1.2. A hardver és szoftver összetétele és a hálózati struktúra
• 1.3. Az információáramlás elemzése
• 1.4. Információs források elemzése
• 1.5. Tárgyak fizikai biztonsága (biztonság)
• 2. VESZÉLYMODELL ELEMZÉSE ÉS FEJLESZTÉSE
• 2.1. A fenyegetések és biztonsági rések forrásainak osztályozása és elemzése
• 2.2. Betolakodó modell
• 2.3. Az információs rendszert fenyegető aktuális veszélyek azonosítása
• 2.4. Információs rendszer biztonsági osztályának meghatározása
• 3. INFORMÁCIÓBIZTONSÁGI RENDSZER MODELL FEJLESZTÉSE
• 3.1. A szabványoknak és a meglévő irányelveknek való megfelelés elemzése
• 3.2. Információbiztonsági politika kialakítása
• 4. ELSŐDLEGES ENGEDÉLYEZÉSI PORTÁL FEJLESZTÉSE
• 4.2. A portál működési követelményei
• 4.3. Portálfejlesztés
• KÖVETKEZTETÉS
• BIBLIOGRÁFIA
• ALKALMAZÁS

BEVEZETÉS

Az információs erőforrások biztonságának biztosításáról az információs technológia fejlődésével együtt már régóta vita folyik, ez vezetett az automatizált rendszerek kifejlesztéséhez. A hatékony információbiztonsági rendszer lehetővé teszi az információkkal kapcsolatos kockázatok minimalizálását, és hozzájárul a vállalat információáramlásának stabil működéséhez.

A kormányzati intézmények, így a felsőoktatási intézmények biztonsága is magas szintű információbiztonságot igényel.

Az egyetem információs készlete hatalmas mennyiségű információt tartalmaz az oktatási tevékenységről és a különböző hozzáférési szintekkel rendelkező alkalmazottak tevékenységéről. Az egyetemi dolgozók és hallgatók is kiváló példát jelentenek az információhoz való hozzáférés különböző jogaival rendelkező személyekre. Ezért úgy döntöttek, hogy hatékony intézkedéscsomagot dolgoznak ki az egyetem információbiztonságának biztosítására.

A dolgozat célja egy olyan intézkedéscsomag kidolgozása, amely a Nyizsnyij Novgorodi Állami Építészeti és Építőmérnöki Egyetem példáján keresztül biztosítja egy egyetem információbiztonságát. információbiztonsági fenyegetés

A dolgozat kutatásának tárgya a Nyizsnyij Novgorodi Állami Építészeti és Építőmérnöki Egyetem információbiztonsági védelmi rendszere.

A dolgozat négy fejezetből áll. Az első fejezet a szervezet információs rendszerének leírását, az információs források és technikai eszközök elemzését tartalmazza. A második fejezetben a rendszert fenyegető potenciális fenyegetéseket elemezzük, és meghatározzuk a behatoló modellt. A harmadik fejezetben egy információbiztonsági politika kerül kidolgozásra. A negyedik fejezet magyarázó megjegyzés formájában tartalmazza az elsődleges engedélyezési portál megvalósításának folyamatát.

RELEvancia

A társadalom fejlődésének jelenlegi szakaszában az információs technológiák szerves részét képezik. Az információ a világközösség társadalmi-gazdasági, műszaki és tudományos fejlődésének egyik fő eszközévé vált. Az információs technológia fejlődése és az információs tér bővülése ezen a területen a támadások és jogsértések egyre növekvő szintjéhez vezet, ami egyre aktuálisabbá teszi az információbiztonsági problémákat. Az információbiztonság az információ és az azt támogató infrastruktúra biztonságának állapotát jelenti a véletlen vagy szándékos természetes vagy mesterséges hatásoktól, amelyek kárt okozhatnak az információ tulajdonosainak vagy felhasználóinak.

Az információbiztonság biztosítása minden vállalkozás stabil működésének egyik kulcstényezője. Manapság az információk bizalmas kezelése, integritása és elérhetősége az üzletmenet folytonosságának fontos szempontja, ezért egyre több szervezet foglalkozik az információbiztonság kérdésével. Így hatékony és integrált információbiztonsági rendszerre van szükség.

Az információs rendszer létrehozása során a szervezetek gyakran arra törekszenek, hogy információs vagyonukat csak a hardver és a szoftver védelmi szintjén biztosítsák. Ez a biztonsági szint azonban nem hatékony, és az információbiztonság területén szabályokkal és előírásokkal kell alátámasztani.

Az intézményben a biztonsági rendszer előkészítését és bevezetését az információbiztonság területén meglévő jogszabályok és szabályozási követelmények alapján kell elvégezni. A fő dokumentum az Orosz Föderáció alkotmánya, amely szerint "egy személy magánéletére vonatkozó információk gyűjtése, tárolása, felhasználása és terjesztése az engedélye nélkül nem megengedett".

Az információbiztonság területén további alapvető dokumentumok a 2006. július 27-i 149-FZ szövetségi törvény az információról, információs technológiákról és információvédelemről, amely szerint biztosítani kell az információk jogosulatlan hozzáféréssel szembeni védelmét, adatok módosítása, megsemmisítése, másolása és terjesztése . A „Személyes adatokról” szóló, 2006. július 27-i 152-FZ szövetségi törvény szabályozza a személyes adatok kormányzati szervek általi automatizált rendszereket használó feldolgozásával kapcsolatos intézkedéseket.

Figyelembe kell vennie az Orosz Föderáció államtitkokról szóló törvényét és az Orosz Föderáció kereskedelmi titkokról szóló törvényét is, amelyek szabályozzák az információk szolgálati titokká minősítésének eljárását, a szolgálati titok rendszerét és az eljárást. hivatalos adatok nyilvánosságra hozataláért. Számos jogszabály is szabályozza az információk titkosságának mértékét ("A bizalmas információk jegyzékének jóváhagyásáról"; "Az államtitoknak minősülő információk jegyzékének jóváhagyásáról"; "A bizalmas információk jegyzékének jóváhagyásáról"; Azon információk listája, amelyek nem minősülhetnek üzleti titoknak”).

Általánosságban elmondható, hogy az Orosz Föderáció jogszabályi kerete nem veszi figyelembe és nem szabályozza teljes mértékben a bizalmas adatok tárolását és felhasználását.

Az eljárási és hardver-szoftver szintű biztonság biztosításának fő szabályai a szabványok és előírások. Ezek olyan dokumentumok, amelyek bevált, magas színvonalú biztonsági módszereket és eszközöket tartalmaznak.

A szabványoknak megfelelően az információs rendszer objektumok biztonságának biztosítása a következő szakaszokból áll:

– az információbiztonság biztosításának céljainak kiemelése;

– hatékony irányítási rendszer kialakítása;

– a kitűzött céloknak való megfelelés elemzése, értékelése;

– a biztonság kezdeti állapotának elemzése;

Az ISO 15408: Common Criteria for Information Technology Security Evaluation szabvány tartalmazza a szoftver- és hardverszintű biztonság legátfogóbb kritériumait. Az Általános kritériumok rögzítik a biztonsági funkciók követelményeit. A szabvány a szoftveres és hardveres védelmi szint mellett néhány követelményt ír le a szervezeti szintű biztonsági módszerekre és a fizikai védelemre vonatkozóan. A szabvány három részből áll:

– az első rész tartalmazza a fogalmi apparátust, az információs technológiák biztonságának felmérésére szolgáló modell és módszertan bemutatását;

– a második rész közvetlenül tartalmazza a hardver és szoftver működőképességére vonatkozó követelményeket;

– a harmadik rész a biztonsági garanciákra vonatkozó követelményeket tartalmazza;

Az ISO 17799: Az információbiztonsági menedzsment gyakorlati kódexe biztosítja a legátfogóbb szervezeti szintű kritériumokat.

A szabvány tartalmazza a leghatékonyabb információbiztonság-menedzsment szabályokat és kritériumokat a szervezeti szintű biztonsági gyakorlatok értékeléséhez, figyelembe véve az adminisztratív, eljárási és fizikai védelmet. A szabvány a következő részeket tartalmazza:

- Biztonsági politika;

– az információbiztonság megszervezése;

- erőforrás menedzsment;

– az emberi erőforrások biztonsága;

- fizikai biztonság;

- hozzáférés-szabályozás;

– információs rendszerek adminisztrációja;

– információs rendszerek fejlesztése és karbantartása;

– folyamatos munkavégzés tervezése;

– a biztonsági követelmények betartásának ellenőrzése;

Az Orosz Föderáció Állami Műszaki Bizottságának útmutatója „Az információs technológiák biztonságának értékelésének kritériumai”. Ez a dokumentum a GOST R ISO/IEC 15408-2002 szabvány szerint készült, és biztosítja a gyakorlati felhasználást. Az RD fő célja átfogó módszerek bevezetése az információs rendszerek biztonságának és a szükséges funkcionalitás használatának biztosítására. Célja olyan biztonsági rendszerek tervezése, amelyek megfelelnek a lehetséges fenyegetéseknek, miközben megtartják az egyensúlyt a hatékonyság és a költségek között.

Az Orosz Föderáció Állami Műszaki Bizottságának útmutatója „Automatizált rendszerek. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Az automatizált rendszerek osztályozása és az információvédelem követelményei.” Ez az RD meghatározza az AS besorolását, és az osztálynak megfelelően meghatározza a lehetséges alrendszerekre vonatkozó követelményeket.

Az Orosz Föderáció Állami Műszaki Bizottságának útmutatója „Számítógépes létesítmények. Tűzfalak. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Az információkhoz való jogosulatlan hozzáférés elleni biztonság mutatói.” Az első RD, amelynek nincsenek külföldi analógjai. Ennek az RD-nek a fő ötlete a tűzfalak osztályozása az OSI hálózati modell szerint, amely szűri az adatfolyamokat.

Napjainkban a biztonsági rendszerek bevezetése terén megjelent egy olyan fogalom, mint a „legjobb gyakorlat”. A „legjobb gyakorlatok” azok a biztonsági szabályzatok, amelyek a legjobb biztonsági eljárásokat, eszközöket, irányelveket és szabványokat tükrözik, és referenciaként használhatók egy biztonsági rendszer fejlesztése során. Az olyan vállalatok irányelvei, mint a Microsoft, az IBM, a Symantec stb., referenciaszabványnak minősülnek.

1. Symantec Policy

A Symantec szakemberei azzal érvelnek, hogy a hatékony biztonsági rendszer alapját az irányító dokumentumok képezik, amelyek a következőket foglalják magukban: biztonsági szabályzatok, nemzetközi szabványok, biztonsági eljárások leírása és mérőszámok. Mindezek az útmutató dokumentumok három alapvető kérdésre adhatnak választ:

Miért kell védeni az információkat?

Mit kell tenni a biztonság érdekében?

Hogyan kell végrehajtani a politikát szükség szerint?

Az átfogó biztonsági rendszer kialakításának a következő lépéseket kell tartalmaznia:

– információs eszközök elemzése;

– a lehetséges veszélyek azonosítása;

– a biztonsági kockázatok elemzése és értékelése;

– a biztonság biztosításáért felelős személyek kijelölése;

– átfogó rendszer létrehozása a szabványoknak, iránymutatásoknak és eljárásoknak megfelelően;

– biztonsági rendszer menedzsment;

2. Microsoft Policy

A Microsoft információs politikai stratégiája négy fő összetevőt tartalmaz:

– a vállalat információbiztonságának biztosításának célja;

– a rendszer biztonsági szabványai

– döntési séma (kockázatelemzés eredményei alapján);

– a kockázatok minimalizálását célzó intézkedések meghatározása;

A biztonságpolitika fejlesztési folyamata négy kategóriába sorolható:

– szervezeti (célja a dolgozók információbiztonsági ismereteinek növelése, ismereteinek bővítése, valamint a menedzsment támogatása);

– adatok és felhasználók (ideértve az olyan védelmi intézkedéseket, mint: engedélyezés, személyes adatok védelme, hitelesítés);

– rendszerfejlesztés (biztonságos rendszer kialakítása, támadási felület csökkentése, könnyű kezelhetőség biztosítása);

– támogatás (a rendszer rendszeres felügyelete és naplózása, reagálás az eseményekre);

A biztonsági szint fenntartása érdekében a társaság információs kockázatkezelést alkalmaz (a kockázatok azonosítása, értékelése és minimalizálása). Ez a megközelítés lehetővé teszi a követelmények és a védelmi módszerek közötti egyensúly elérését.

3. IBM szabályzat

Az IBM szakemberei a biztonsági rendszer felépítésének négy fő szakaszát azonosítják:

– az információs kockázatok azonosítása és a leküzdésük módszerei;

– a vagyonvédelmi intézkedések ismertetése a társaság feladatainak és céljainak megfelelően;

– események leírása;

– a fennmaradó kockázatok elemzése és döntéshozatal a biztonsági módszerekbe történő további beruházásokról;

A „Mit kell védeni” kérdésre a válasz? - az információbiztonsági politika fő szempontja, az IBM stratégiájának megfelelően. A politikákat úgy kell kialakítani, hogy a jövőben minimális változtatásokat hajtsanak végre. A hatékony biztonsági politikának a következőket kell tartalmaznia:

– az információbiztonság biztosításának céljai és célkitűzései;

– interakció a biztonsági előírásokkal és jogszabályokkal;

– információbiztonsági ismeretek bővítése;

– vírustámadások felderítése és megszüntetése;

– az üzletmenet folytonosságának biztosítása;

– a személyzet szerepének és felelősségének meghatározása;

– biztonsági események naplózása;

Ezután következik a dokumentáció elkészítésének folyamata, amely tartalmazza a vállalat kockázatelemzésének szabályait, az ajánlott védelmi módszerek és eszközök leírását stb. A dokumentáció az aktuális sebezhetőségeknek és fenyegetéseknek megfelelően változhat.

Az információbiztonsági rendszert és az objektum biztonságát biztosító funkcióit azonban a jogalap mellett az alábbi elvek szerint kell megvalósítani:

– legitimitás (információs biztonsági rendszer létrehozása, valamint olyan védelmi intézkedések végrehajtása, amelyek nem mondanak ellent a jogszabályoknak és előírásoknak);

– komplexitás (a kidolgozott védelmi rendszer biztosítja a módszerek átfogó megvalósítását, biztosítja az információs erőforrások védelmét technikai és szervezeti szinten, valamint megakadályozza a veszélyek megvalósításának lehetséges módjait);

– állandóság (a tárgyak folyamatos védelmét biztosítja);

– progresszívség (a védelmi eszközök és módszerek folyamatos fejlesztését jelenti, összhangban a technológiák és támadási módszerek fejlődésével);

– racionalitás (költséghatékony és hatékony védelmi eszközök alkalmazása);

– felelősség (minden munkavállaló saját hatáskörén belül felelős a biztonság biztosításáért);

– ellenőrzés (a védelem biztosítása és a fenyegetések időben történő azonosítása folyamatos ellenőrzését jelenti);

– meglévő biztonsági rendszer használata (a tervezett rendszer egy meglévő rendszer alapján készül, szabványos hardver és szoftver felhasználásával);

– hazai gyártású hardver és szoftver védelmi komponensek alkalmazása (a biztonsági rendszer kialakítása a hazai műszaki védelmi eszközök túlsúlyát biztosítja);

– szakaszosítás (a biztonsági rendszer tervezését célszerű szakaszosan elvégezni);

A meglévő információbiztonsági irányelvek és szabványok elemzése után elmondható, hogy a megfelelő szintű információbiztonság biztosításához intézkedésekre van szükség, beleértve a szoftverfunkciókat, biztonsági szabályzatokat, módszereket és szervezeti struktúrákat. Ennek és a fő célnak megfelelően a következő feladatokat kell elvégezni:

– tanulmányozza a Nyizsnyij Novgorodi Állami Építészeti és Építőmérnöki Egyetem kezdeti információit és szervezeti felépítését;

– a forrásinformációs rendszer elemzésének eredményei alapján azonosítani az információbiztonság konkrét fenyegetéseit és sebezhetőségeit;

– meghatározza az objektum kezdeti biztonsági szintjét és osztályát;

– azonosítani a jelenlegi fenyegetéseket;

– készítsen modellt a behatolóról;

– összehasonlítani az eredeti rendszert a biztonsági szabványok követelményeivel;

– biztonsági politika kidolgozása és intézkedések meghatározása az információbiztonság biztosítására;

A fenti célok és célkitűzések teljesítése lehetővé teszi egy hatékony vállalati információbiztonsági rendszer létrehozását, amely megfelel a jogszabályi követelményeknek és az információbiztonsági szabványoknak.

1. A VÁLLALATI INFORMÁCIÓS RENDSZER TANULMÁNYA

1.1. A vállalkozás leírása

A szervezet teljes neve : Szövetségi Állami Költségvetési Szakmai Felsőoktatási Intézmény "Nizsnyij Novgorod Állami Építészeti és Építőmérnöki Egyetem".

Rövidített nevek: NNGASU, Szövetségi Állami Költségvetési Szakmai Felsőoktatási Intézmény „Nizsnyij Novgorod Állami Építészeti és Építőmérnöki Egyetem”.

Teljes név angolul: Nyizsnyij Novgorod Állami Építészeti és Építőmérnöki Egyetem.

Rövid név angolul: NNGASU.

Az egyetem helye: 603950, Nyizsnyij Novgorod régió, Nyizsnyij Novgorod, st. Iljinszkaja, 65 éves.

Az egyetem alapítója az Orosz Föderáció. Az egyetem alapítójának feladatait és jogköreit az Orosz Föderáció Oktatási és Tudományos Minisztériuma látja el.

Az alapító székhelye: 125993, Moszkva, st. Tverszkaja, 11.

Rektor - Andrej Aleksandrovics Lapsin

Az FSBEI HPE "Nyizsnyij Novgorod Állami Építészeti és Építőmérnöki Egyetem" egy non-profit szervezet, amelyet azzal a céllal hoztak létre, hogy a régió, az ipar és Oroszország gazdaságát és társadalmi környezetét fejlesszék a hallgatók oktatási szintjének emelésével a diákok eredményei alapján. tudomány, innováció és technológia.

A "Nyizsnyij Novgorod Állami Építészeti és Építőmérnöki Egyetem" Szövetségi Állami Költségvetési Szakmai Felsőoktatási Intézmény fő tevékenységei:

· Az orosz és a nemzetközi munkaerőpiacon versenyképes építőipari és kapcsolódó iparágakban dolgozó szakemberek képzése, modern oktatási szabványok és tudományos kutatások alapján;

· Az ország gazdaságának reálágazataiban jelentkező versenyben ellenállni képes tudományos potenciál biztosítása;

· Az önmegvalósításhoz, valamint a dolgozók és hallgatók szakmai fejlődéséhez szükséges feltételek megteremtése, javítása;

· Egyetemek közötti együttműködés fejlesztése orosz és nemzetközi szinten és pozíciójának erősítése a nemzetközi színtéren;

Az egyetem általános irányítását a Tudományos Tanács látja el, melynek tagjai: a rektor (a Tudományos Tanács elnöke), a rektorhelyettesek, a kari dékánok (a Tudományos Tanács határozata alapján). Ezenkívül az egyetem szervezeti felépítése tanszékeket, központokat, tanszékeket és egyéb részlegeket foglal magában. A részletes szervezeti felépítést az 1. ábra mutatja be.

1. ábra A Szövetségi Állami Költségvetési Szakmai Felsőoktatási Intézmény "Nyizsnyij Novgorod Állami Építészeti és Építőmérnöki Egyetem" szervezeti felépítése

Nyizsnyij Novgorod Állami Építészeti és Építőmérnöki Egyetem, folyamatosan fejlődő szerkezettel és korszerűsített oktatási és tudományos bázissal, modern körülmények között egy aktívan fejlődő komplexum. Az egyetem nagy információs bázissal rendelkezik, amelyet speciális szoftvertermékek tartalmaznak. Az intézmény információbiztonsága meglehetősen magas szinten jelenik meg, de a folyamatosan előrehaladó támadások és jogsértések kapcsán fejlesztést igényel.

1.2 A hardver és szoftver összetétele és a hálózati struktúra

Az NNGASU oktatási folyamatát jelentős információs bázis, számítógéppark kialakítása és korszerűsített információs rendszerek bevezetése kíséri az oktatási folyamatba. Az oktatási folyamat biztosítása érdekében minden osztály és osztály személyi számítógépekkel és a szükséges felszerelésekkel rendelkezik. A modern információs technológiák alkalmazásának problémáinak megoldására az egyetem 8 számítógépes osztállyal van felszerelve. Az egyetem minden személyi számítógépe licencelt Microsoft szoftverrel és vírusvédelemmel van felszerelve. Az összes hardvert az 1. táblázat tartalmazza.

1. táblázat: Hardver összetétele

Ma az egyetem figyelmet fordít az oktatási folyamat számítógépesítésére. Az oktatási tevékenységek optimalizálása érdekében az egyetem rendelkezik minden szükséges modern szoftvercsomaggal. A 2. táblázat az NNGASU-ban használt szoftverek listáját mutatja be.

2. táblázat: Szoftver

Minden egyetemi számítógép csatlakozik a helyi hálózathoz, és biztonságos kapcsolaton keresztül hozzáfér az internethez. Az optikai vonal csomópontjai felügyelt kapcsolókkal vannak felszerelve. A folyamatos internetelérés érdekében a rendszer két szolgáltatóval van összekötve, amelyek 20 Mbit/s és 10 Mbit/s sebességű csatornákat biztosítanak. Az oktatási folyamathoz nem kapcsolódó információk letöltésekor a felhasználói forgalom korlátozott lesz. A szoftveres védelem szintjén különböző tartományokat használnak a hallgatók és az alkalmazottak számára.

A hálózati szegmensek közötti csomagok továbbításához MicroTic útválasztót használnak, amely lehetővé teszi a terhelés adatvesztés nélkül történő elosztását. Globális hálózati csomagok, távoli felhasználói helyek és NauDoc rendszercsomagok haladnak át rajta.

A hálózati struktúra tizenegy fizikai szerverrel van felszerelve, amelyek közül négy virtuális gép állomás. Ezekre a hálózati elemekre információs és referenciaanyagok, adatbázis-kiszolgálók, valamint levelezőszerverek és weboldalak vannak telepítve. Az intézmény 14 virtuális szerverrel rendelkezik a globális hálózathoz való hozzáféréssel. A fő szerver, amely az összes információt áthalad, az Nginx. Az Nginx egy webszerver, levelezőproxy és TCP-proxy. Ez a szerver a 80-as porton fogadja a bejövő adatokat, majd továbbítja azokat a szükséges kiszolgálóknak (Ubuntu, Suse, CentOS, Win2008_IIS, Win7). Az egyetemi hálózat felépítését a 2. ábra mutatja.

2. ábra A Szövetségi Állami Költségvetési Szakmai Felsőoktatási Intézmény "Nizsnyij Novgorod Állami Építészeti és Építőmérnöki Egyetem" hálózati struktúrája

A demilitarizált zóna, a számítógépes osztályok, a ViPNet és maga az egyetem külön virtuális helyi hálózatokba (VLAN) tartozik, ami csökkenti a hálózati eszközök terhelését (az egyik tartományból a forgalom nem megy át a másikba). Ez a technológia lehetővé teszi az illetéktelen hozzáférés kizárását is, mert A kapcsoló levágja a csomagokat más virtuális hálózatokból.

Mivel az intézmény két szolgáltató szolgáltatását veszi igénybe, a fő csatornáról a tartalék csatornára való váltáskor az internet problémamentes működésére van szükség. A Squid szoftvercsomag gyorsítótárazó proxyszerverként használatos. A Squid fő feladatai ezen intézményen belül:

– Ha ugyanazokat a webhelyeket látogatja, azok gyorsítótárazásra kerülnek, és az adatok egy része közvetlenül a szerverről érkezik;

– A rendszeradminisztrátor lehetősége nyomon követni a meglátogatott webhelyeket és a letöltött fájlokat;

– bizonyos oldalak blokkolása;

– Terheléselosztás a csatornák között;

A szervezet másik tűzfala a Microsoft Forefront Threat Management Gateway. Összességében a Microsoft Forefront magas szintű biztonságot nyújt, és lehetővé teszi a hálózati struktúra biztonságának kezelését. A Microsoft Forefront TMG egy proxykiszolgáló, amely lehetővé teszi a külső támadások elleni védelmet, a forgalom szabályozását, valamint a bejövő csomagok fogadását és továbbítását.

Az Orosz Föderáció Oktatási és Tudományos Minisztériumával való együttműködéshez az intézmény ViPNet technológiát használ. A ViPNet védelmet nyújt nagy hálózatokban, és biztonságos környezetet teremt a korlátozott hozzáférésű információk nyilvános kommunikációs csatornákon történő továbbításához virtuális magánhálózat (VPN) megvalósításán keresztül.

A modern vállalati infrastruktúrában szükség van a helyi hálózat központosított kezelésére és hardveres virtualizációjára. Erre a célra az egyetem a Microsoft Hyper-V rendszert használja, amely lehetővé teszi a rendszergazdának a vállalati rendszeren belül számos probléma megoldását:

– a biztonsági szint növelése;

– információs források védelme;

– központosított adattárolás;

– méretezhetőség;

1.3 Az információáramlás elemzése

Az egyetemi információforrások a rendszeren belül és külső csatornákon egyaránt keringenek. Az információ védelmének és rendszerezésének biztosítására az egyetem különféle típusú modern információs rendszereket alkalmaz.

A legjelentősebb és legnagyobb léptékű a Tandem e - Learning - egy átfogó információs rendszer, amely lehetővé teszi a nappali tagozatos oktatás nyomon követését és a távoktatást valósítja meg, mint az egyik modernizált e-learning megközelítést. A Tandem e - Learning egy zárt oktatási portál, amelyhez az egyetemi dolgozók és hallgatók a regisztrációs eljárás befejezése után hozzáférhetnek. A rendszerhez való hozzáférés belső számítógépekről és külső eszközökről egyaránt lehetséges.

Egy másik távoktatási rendszer a Moodle. Ez a portál is bezárt, regisztrációhoz kötött. A Tandemhez hasonlóan a Moodle rendszer is elérhető külső eszközökről.

Mindkét portál oktatásirányítási rendszer (LMS) alapján épül fel. Az LMS lehetővé teszi a tananyagok kezelését, terjesztését és megosztását.

A vállalati információs rendszer a Tandem University rendszerén keresztül valósul meg. Ez a portál az oktatási folyamattal kapcsolatos információkat tartalmaz. A Tandem rendszerhez a hallgatók, az alkalmazottak és a felső vezetés hozzáférhet. Ennek a rendszernek a védelmét az biztosítja, hogy elszigetelt, és nem fér hozzá a helyi hálózathoz. A vállalati hálózat összes erőforrása négy szerveren található, amelyek közül kettő tartalmazza az adatbázist és a fő portált, valamint két tesztszervert.

Az egyetemen a dokumentumáramlás a NauDoc rendszeren keresztül történik. Ez egy felhő alapú dokumentumkezelő rendszer a dokumentumok intézményen belüli nyilvántartására, feldolgozására és könyvelésére. A rendszerhez az egyetemi iroda, a kirendeltségek és a beérkező szervezetek is hozzáférhetnek.

Az egyetem weboldalának tartalmát az 1C - Bitrix szakmai menedzsment rendszer vezérli. Ennek a rendszernek az az előnye, hogy növelheti a webhely válaszidejét.

A könyvelés szolgáltatása a „PARUS – Accounting” automatizált feldolgozó rendszeren keresztül történik. Ez a szoftvercsomag lehetővé teszi az eszközök, elszámolások és pénzeszközök könyvelésének teljes automatizálását. A Tandem Egyetem vállalati rendszeréhez hasonlóan a „PARUS - Accounting” is elszigetelt, és csak a számviteli osztály alkalmazottai férhetnek hozzá.

Az egyetemi könyvtár is automatizált és a MARK - SQL információs könyvtári rendszeren keresztül vezérelhető. Ez a rendszer nagyszámú információforrást tartalmaz, beleértve egy információs katalógust is, amelyet egy külön Windows-kiszolgálón tárolnak.

Ezenkívül az erőforrások egy része a következő információs rendszerekben található:

– Tanácsadó+ (hivatkozás - jogrendszer);

– TechExpert (szabályozási, jogi és műszaki információkat tartalmazó információs és referenciarendszer a „Business for Business” témakörben);

– Norma CS (referenciarendszer szabványok és szabályozási dokumentumok kereséséhez és használatához a tervezési tevékenységekben);

– OTRS (rendelésfeldolgozó rendszer);

– RedMine (belső adatbázis);

– AIST (HR szolgáltatás);

1.4 Az információs források elemzése

A Nyizsnyij Novgorod Állami Építészeti és Építőmérnöki Egyetem információs rendszere hatalmas mennyiségű információs forrást tartalmaz (adatbázisok, dokumentációk, személyes adatok, archívumok, könyvtárak), amelyek viszont a védelem fő tárgyát képezik. Az információk bizalmasságának több szintjét célszerű bevezetni:

· Korlátozott tájékoztatás:

– Hivatalos titok - a szervezet pénzügyeivel, termelésével, gazdálkodásával és egyéb tevékenységeivel kapcsolatos információkat tartalmazó információ, amelynek nyilvánosságra hozatala gazdasági kárt okozhat;

– Szakmai titok - oktatási tevékenységek, folyamatok szervezését tartalmazó információ.

– Személyes adat - minden olyan információ, amely egy adott személyről információt tartalmaz (tanulókról, tanárokról stb.);

· Nyilvános információ:

– Határozatok, rendeletek, rendeletek;

– Az oktatási tevékenységekkel kapcsolatos statisztikai információkat tartalmazó információ;

– Olyan információk, amelyek hozzáférését törvény és charta nem korlátozza;

1.5 A létesítmények fizikai biztonsága (biztonság)

A létesítmény 24 órás felügyelet alatt áll egy biztonsági állomáson keresztül. Az egyetem területére a belépés személyes bérletekkel történik. A látogatók a területre csak az intézmény alkalmazottjának kíséretében léphetnek be. Az egyetem tűz- és biztonsági riasztóval rendelkezik, és megfelelő érzékelőket szereltek fel. A hardvertároló eszközök (szerverek) külön helyiségben helyezkednek el. A létesítményt videokamerás megfigyelőrendszer figyeli.

A védelem főbb tárgyai a következők:

– adatbázis szerverek;

– számlavezető állomás;

– ftp és www – szerverek;

– Számviteli LAN stb.;

– Irattári, pénzügyi, statisztikai és oktatási osztályok adatai;

– Külső és belső információs források;

2. VESZÉLYMODELL ELEMZÉSE ÉS FEJLESZTÉSE

2.1 A biztonsági fenyegetések és sérülékenységek forrásainak osztályozása és elemzése

Az információbiztonságban a fenyegetés egy lehetséges esemény vagy cselekvés, amely befolyásolhatja a számítógépes hálózat működését, és a biztonsági rendszer meghibásodásához vezethet. Amikor az erőforrásokat érintik, a fenyegetések a védett adatok jogosulatlan hozzáféréséhez, torzulásához és terjesztéséhez vezetnek. A fenyegetések forrásait célszerű a következő csoportokba sorolni:

– ember által előidézett fenyegetések (véletlen hibák a biztonsági rendszer elemeinek fejlesztésében és működésében, a jogsértő szándékos tevékenysége);

– ember által előidézett fenyegetések (a műszaki berendezések meghibásodása és hibás működése);

– természetes veszélyek (természetes biztonsági fenyegetések);

A 2. táblázat az intézményre jellemző besorolást és lehetséges veszélyeket mutatja be.

2. táblázat A fenyegetésforrások osztályozása

A fenyegetés természetes forrásait vis maior jellemzi, és minden biztonsági létesítményre kiterjed. Az ilyen fenyegetéseket nehéz előre jelezni és megelőzni. A veszélyek fő természetes forrásai a következők: tüzek, árvizek, hurrikánok és előre nem látható körülmények. A természeti veszélyek elleni védekezési intézkedéseket mindig be kell tartani.

A fenti fenyegetések közül a legvalószínűbb és legveszélyesebb a belső felhasználók és a számítógépes hálózathoz közvetlenül kapcsolódó személyek nem szándékos tevékenysége.

A leggyakoribb és legveszélyesebb (a kár mértékét tekintve) a rendszeres felhasználók, üzemeltetők, rendszergazdák és más számítógépes hálózatot üzemeltetők nem szándékos hibái. Az ember okozta fenyegetések a legvalószínűbbek, mivel előre lehet jelezni az emberek cselekedeteit és meg lehet tenni a megfelelő ellenintézkedéseket, amelyek viszont az információbiztonság biztosításáért felelős személyek tevékenységétől függenek.

A fenyegetések általában a sebezhetőségek következményei, amelyek viszont biztonsági résekhez vezetnek. A sérülékenység a rendszer hibája, amely lehetővé teszi a fenyegetés sikeres megvalósítását, és veszélyezteti a rendszer integritását. A sebezhetőségek több okból is előfordulhatnak:

– hibák a szoftver létrehozásakor;

– a sebezhetőségek szándékos bevezetése a szoftver tervezési szakaszában;

– rosszindulatú programok jogosulatlan használata, és ennek következtében szükségtelen erőforrás-ráfordítás;

– nem szándékos felhasználói műveletek;

– a szoftver és a hardver meghibásodása;

A következő sebezhetőségek vannak:

· Cél (az információs rendszer technikai felszereltségétől függően sérülékenységek):

– Hardveres könyvjelzők (műszaki és perifériás berendezések könyvjelzői);

– Szoftverkönyvjelzők (rosszindulatú programok);

· Szubjektív (az emberek cselekedeteitől függő sebezhetőségek):

– Hibák (a szoftver és a hardver hibás működése a felhasználók részéről, hibás adatbevitel);

– Szabálysértések (információs biztonságpolitikai szabályok megsértése, hozzáférés és titoktartás megsértése, hardver működésének megsértése);

· Véletlenszerű (az információs rendszert körülvevő környezet által okozott sebezhetőségek)

– Meghibásodások (adatfeldolgozó berendezések meghibásodása, hálózati létesítmények meghibásodása, vezérlő és biztonsági rendszer meghibásodása, szoftver meghibásodása);

– Meghibásodások (áramkimaradás);

– Kár (közműtörés);

A sérülékenységek mérséklése vagy megszüntetése befolyásolja az információbiztonsági fenyegetések előfordulásának valószínűségét.

2.2 Betolakodó modell

Az egyetemi információs vagyon védelmének biztosítása sajátos, hiszen nem állandó közönséggel rendelkező intézményről van szó. Tekintettel arra, hogy a támadások bármely entitástól származhatnak, célszerű ezeket két kategóriába sorolni: külső támadók és belső támadók. Külső behatoló az a személy, aki nem alkalmazott, és nem fér hozzá az információs rendszerhez. Ez a kategória a következőket tartalmazza:

– hackerek (kár okozása és korlátozott hozzáférésű információk megszerzése céljából támadásokat létrehozó és végrehajtó entitások): az információs rendszerekhez való jogosulatlan hozzáférés révén információkat semmisíthetnek meg vagy módosíthatnak; rosszindulatú programok és vírusok, hardver- és szoftverkönyvjelzők bevezetése az ezt követő jogosulatlan hozzáféréssel);

– hardver- és szoftverszolgáltatók és -szállítók (az információs forrásokhoz és kommunikációs csatornákhoz való jogosulatlan hozzáférés munkaállomásokon keresztül);

Az összes többi alany belső jogsértő. Az FSTEC „A személyes adatok biztonságát fenyegető veszélyek alapmodellje a személyes adatok információs rendszerekben történő feldolgozása során” című útmutatója szerint a belső jogsértők nyolc kategóriába sorolhatók:

1. Azok a személyek, akik jogosultak az ISPD-hez, de nem rendelkeznek hozzáféréssel a PD-hez.

Ezzel az intézménnyel kapcsolatban ilyen jogok a vezetőséget, az informatikai osztályt illetik meg. Ezek a személyek jogaikkal összhangban: hozzáférhetnek a belső csatornákon keringő személyes adatok egyes részeihez; információk ismerete az ISPD topológiájáról, kommunikációs protokolljairól és szolgáltatásairól; azonosítani a regisztrált felhasználók nevét és jelszavát; módosíthatja a hardver és a szoftver konfigurációját.

2. Regisztrált ISPD-felhasználók, akiknek korlátozott hozzáférésük van az ISPD-forrásokhoz a munkahelyükről.

Ebbe a kategóriába tartoznak az intézmény tanszéki dolgozói, tanárai és diákjai. A kategóriába tartozó személyek: egy azonosítóval és jelszóval rendelkeznek; bizalmas adatokkal rendelkeznek, amelyekhez hozzáféréssel rendelkeznek.

3. Regisztrált ISPD felhasználók, akik távoli hozzáférést biztosítanak a PD-hez helyi és (vagy) elosztott információs rendszereken keresztül.

4. Az ISPD regisztrált felhasználói az ISPD szegmens biztonsági adminisztrátorának jogosultságával.

A kategóriába tartozó személyek: információval rendelkeznek az ebben a szegmensben használt szoftverekről és hardverekről; hozzáféréssel rendelkezik a biztonsági és naplózó eszközökhöz és az ISPD hardverhez.

5. ISPD rendszergazdai jogokkal rendelkező regisztrált felhasználók.

Ebbe a kategóriába tartozó személyek: ismeri a teljes ISPD szoftverét és hardverét; fizikai hozzáféréssel rendelkezik az összes hardverhez; jogosult a hardver konfigurálására.

6. ISPD biztonsági rendszergazdai jogokkal rendelkező regisztrált felhasználók.

7. Programozók – szoftverfejlesztők és az azt kísérő személyek ebben a létesítményben.

Ebbe a kategóriába tartozó személyek: ismeri az ISPD-re vonatkozó adatfeldolgozási eljárásokat és programokat; a fejlesztés során hibákat, hibákat és rosszindulatú kódokat vezethet be; információkat tudhat az ISPD topológiájáról és hardveréről.

8. Fejlesztők és az ISPD hardverellátását, karbantartását és javítását biztosító személyek.

Ezzel az intézménnyel kapcsolatban a belső jogsértők közé tartozik:

– információs források felhasználói (tanszékek, tanszékek és egyéb tanszékek dolgozói, oktatók, hallgatók) (adatok nem szándékos módosítása, megsemmisítése; rosszindulatú és nem hitelesített szoftverek telepítése; egyéni jelszó illetéktelen személyeknek történő átadása);

– az információs rendszert kiszolgáló és támogató személyek (műszaki vagy hálózati eszközök véletlen vagy szándékos hibás beállítása);

– az információfeldolgozó létesítményekhez hozzáféréssel rendelkező egyéb személyek (műszaki és karbantartó személyzet) (az elektromos áramellátás és a műtárgyak nem szándékos megszakítása);

A szabálysértők speciális és legjelentősebb kategóriája a diákok. Ma sokan közülük meglehetősen jól képzettek és értik a kiberteret. Bizonyos manipulációk révén a tanulók számos biztonsági megsértést és kárt okozhatnak.

2.3 Az információs rendszert fenyegető aktuális veszélyek azonosítása

A tényleges biztonsági fenyegetések meghatározásához két értéket kell figyelembe venni. Az első mutató az információs rendszer kezdeti biztonságának szintje. Ez egy általános mutató, amely a rendszer műszaki jellemzőitől függ. A 4. táblázat egy információs rendszer kezdeti biztonságának kiszámítását mutatja be, amelyet egy adott biztonsági szintnek az összes rendelkezésre álló biztonsági mutatóhoz viszonyított százalékos aránya határoz meg.

4. táblázat Az intézmény kezdeti biztonságának számítása

Az elemzés eredményei alapján megállapíthatjuk, hogy az intézmény ISPD-je átlagos biztonsági szinttel rendelkezik. A kapott eredménynek megfelelően együtthatót vezetünk be Y 1 = 5. Ez az együttható az első paraméter a fenyegetések relevanciájának meghatározásakor.

A következő paraméter a fenyegetés bekövetkezésének valószínűsége ( Y 2). Ezt a mutatót szakértők határozzák meg, és négy lehetséges értéke van:

– nem valószínű (a fenyegetés megvalósulásának objektív előfeltételeinek hiánya - 0);

– kicsi a valószínűsége (a veszély bekövetkezésének egyértelmű előfeltételei vannak, de a meglévő védelmi eszközök megnehezítik a megvalósítást - 2);

– átlagos valószínűség (a fenyegetések megvalósulásának előfeltételei vannak, és a kezdeti védekezési módszerek nem elegendőek - 5);

– nagy a valószínűsége (objektív előfeltételei vannak a fenyegetések bekövetkezésének, és nem tettek biztonsági intézkedéseket - 10);

A kapott paraméterek alapján kiszámítjuk az Y fenyegetés megvalósítási együtthatót, amelyet az Y = ( Y 1 +Y 2)/20. A kapott eredménynek megfelelően Y a következő értékeket veszi fel:

– 0 < Y < 0,3 - низкая реализуемость угрозы;

– 0,3 < Y < 0,6 - средняя реализуемость угрозы;

– 0,6 < Y < 0,8 - высокая реализуемость угрозы;

– I > 0,8 – nagyon magas fenyegetés realizálhatóság;

A következő lépés a fenyegetés súlyosságának felmérése. Ezt a minősítést egy biztonsági szakember adja meg, és a következő veszélyértékekkel rendelkezik:

– alacsony veszély – a fenyegetés megvalósítása jelentéktelen károkat okozhat;

– közepes veszély – a fenyegetés megvalósítása károkat okozhat;

– nagy veszély – a fenyegetés megvalósítása jelentős károkat okozhat;

Az 5. táblázat egy mátrixot mutat be a fenyegetések relevanciájának kiszámításához, amelyet az összes fenti mutató figyelembevételével kapunk.

– „+” – a fenyegetés sürgős;

– „-” – a fenyegetés irreleváns;

5. táblázat. Mátrix a fenyegetések relevanciájának számításához

Az intézmény kezdeti biztonságának és a fenyegetettségi relevancia mátrixának elemzése eredményeként az intézményre jellemző fenyegetéseket és azok relevanciáját az alábbi terv szerint azonosították: fenyegetés (a veszély valószínűsége; a fenyegetés megvalósíthatósága; a fenyegetés veszélye) - releváns/irreleváns.

1. Az intézmény területére, hardver objektumokhoz, dokumentációkhoz illetéktelen belépés (kis valószínűség (2); átlagos megvalósíthatóság (0,35); nagy veszély) - releváns;

2. Az automatizált rendszer berendezéseinek lopása vagy megrongálása (nem valószínű (0); alacsony megvalósíthatóság (0,25); nagy veszély) - releváns;

3. Az információk nem szándékos megsemmisítése, módosítása (átlagos valószínűség (5); átlagos megvalósíthatóság (0,5); nagy veszély) - releváns;

4. Papír információforrások ellopása (nem valószínű (0); alacsony megvalósíthatóság (0,25); átlagos veszély) - irreleváns;

5. Bizalmas adatok kiszivárgása mobil eszközökön és laptopokon (nem valószínű (0); alacsony megvalósíthatóság (0,5); átlagos veszély) - irreleváns;

6. A berendezések használati jogának nem szándékos túllépése a megfelelő ismeretek hiánya miatt (átlagos valószínűség (5); átlagos megvalósíthatóság (0,5); átlagos veszély) - releváns;

7. Továbbított információ elfogása a hálózati forgalom letapogatásával (alacsony valószínűség (2); átlagos megvalósíthatóság (0,35); nagy veszély) - releváns;

8. Harmadik féltől származó kártevők telepítése (alacsony valószínűség (2); átlagos megvalósíthatóság (0,35); átlagos veszély) - releváns;

9. Változások a szoftverkomponensek konfigurációjában (átlagos valószínűség (5); átlagos megvalósíthatóság (0,5); nagy veszély) - releváns;

10. Felhasználói regisztrációs adatok megsemmisítése vagy módosítása (nem valószínű (0); alacsony megvalósíthatóság (0,25); alacsony veszély) - irreleváns;

11. Bizalmas információk nem szándékos nyilvánosságra hozatala a munkavállalók részéről (nagy valószínűséggel (10); nagy megvalósíthatósággal (0,75); nagy kockázattal) - releváns;

12. Különféle típusú sugárzások, amelyek befolyásolhatják a műszaki berendezések teljesítményét (nem valószínű (0); alacsony megvalósíthatóság (0,25); átlagos veszély) - irreleváns;

13. Hálózati berendezések meghibásodása és meghibásodása (átlagos valószínűség (5); átlagos megvalósíthatóság (0,5); átlagos veszély) - releváns;

14. Az adatok megsemmisülése hardver és szoftver hibái vagy meghibásodása miatt (átlagos valószínűség (5); átlagos megvalósíthatóság (0,5); nagy veszély) - releváns;

15. Szoftveres könyvjelzők (alacsony valószínűség (2); átlagos megvalósíthatóság (0,35); átlagos veszély) - releváns;

16. Valaki más regisztrációs adatainak felhasználása információs szolgáltatásokba való belépéshez (átlagos valószínűség (2); átlagos megvalósíthatóság (0,35); nagy veszély) - releváns;

17. Biztonsági és biztonsági intézkedések megsértése (kis valószínűség (2); átlagos megvalósíthatóság (0,35); átlagos kár) - releváns;

A jelenlegi fenyegetések elemzése után megállapítható, hogy technikai és szervezési intézkedésekkel mindegyik kiküszöbölhető. A 6. táblázat a jelenlegi fenyegetések leküzdésére szolgáló intézkedéseket mutat be, amelyek az egyetemen használhatók az adatok védelmére.

6. táblázat: A jelenlegi fenyegetések elleni küzdelem módszerei

A táblázatban jelzett fenyegetések elleni küzdelem módszereit figyelembe veszik és alkalmazzák az egyetemi biztonsági politika kialakításakor.

2.4. Információs rendszer biztonsági osztályának meghatározása

Egy intézmény hatékony biztonsági rendszerének kialakításához meg kell határozni a forrásrendszer biztonsági osztályát. Ebből a célból elvégeztük az információs rendszer elemzését, és a következő eredményeket kaptuk:

– A rendszer különböző titkosságú információkat dolgoz fel;

– A rendszer „titkos” minősítésű adatokat dolgoz fel;

– Az információs rendszer többfelhasználós;

- Hozzáférési jogok...

Hasonló dokumentumok

Az információ lényege, osztályozása. A vállalati információbiztonság biztosításának fő problémái és veszélyei. Kockázatelemzés és a vállalati információbiztonság elvei. Az információbiztonságot biztosító intézkedéscsomag kidolgozása.

tanfolyami munka, hozzáadva 2016.05.17


A "Style" LLC üzlet infrastruktúrájának elemzése. Vállalkozás számviteli osztályának információbiztonsági rendszerének kialakítása a projekt előtti vizsgálat alapján. Koncepció, információbiztonsági politika kialakítása és az azt biztosító megoldások kiválasztása.

tanfolyami munka, hozzáadva 2010.09.17


Vállalati információbiztonsági stratégia hatékony irányelvek rendszere formájában, amely hatékony és elégséges biztonsági követelményeket határoz meg. Az információbiztonsági fenyegetések azonosítása. Belső ellenőrzés és kockázatkezelés.

tanfolyami munka, hozzáadva 2015.06.14


A kormányhivatal információs rendszerének szerkezeti és infológiai modelljeinek fejlesztése. A fenyegetések listája és elemzése, a támadási célpontok, a veszteségek típusai, a kár mértéke, a források. A bizalmas információs adatbázis védelme és biztonsági szabályzat kialakítása.

tanfolyami munka, hozzáadva 2009.11.15


Az információbiztonsági kockázatkezelés alapfogalmai, módszerei és technológiái. Kockázatok, eszközök, fenyegetések, sebezhetőségek, meglévő kontrollok, következmények azonosítása. Kockázatértékelés és -csökkentés. Példák tipikus információbiztonsági fenyegetésekre.

bemutató, hozzáadva 2018.11.04


Szabályozó dokumentumok az információbiztonság területén Oroszországban. Az információs rendszereket fenyegető veszélyek elemzése. A klinika személyes adatvédelmi rendszerének felépítésének jellemzői. Elektronikus kulcsokat használó hitelesítési rendszer megvalósítása.

szakdolgozat, hozzáadva: 2016.10.31


Az Ashatli mezőgazdasági üzem információs forrásainak jellemzői. A vállalatra jellemző információbiztonsági fenyegetések. Az információvédelem intézkedései, módszerei és eszközei. A meglévő biztonsági rendszer hiányosságainak és a frissített biztonsági rendszer előnyeinek elemzése.

tanfolyami munka, hozzáadva 2011.02.03


Az információbiztonság fogalma, jelentése és irányai. Az információbiztonság megszervezésének szisztematikus megközelítése, az információk illetéktelen hozzáféréstől való védelme. Információbiztonsági eszközök. Információbiztonsági módszerek és rendszerek.

absztrakt, hozzáadva: 2011.11.15


Információbiztonsági kockázatelemzés. Az eszközök sebezhetőségeinek azonosítása. Meglévő és tervezett védelmi eszközök felmérése. Az információbiztonságot biztosító tervezett szabályozási, szervezeti és adminisztratív eszközök összessége.

szakdolgozat, hozzáadva: 2013.04.03


Egyetemi információs rendszer fejlesztése UML objektum-orientált modellezési technikákkal. A rendszerkövetelmények elemzése. Fogalmi (tartalmi) modell. Alkatrész- és osztálydiagram. Az alkalmazás szoftveres megvalósítása.

UDC 004.056

O. M. Protalinsky, I. M. Azhmukhamedov AZ EGYETEM INFORMÁCIÓBIZTONSÁGA

Bevezetés

Az általános informatizálás és az információs technológiák fejlesztésének modern körülményei között az Orosz Föderáció nemzetbiztonságát fenyegető veszélyek nőnek az információs szférában.

Az Orosz Föderáció nemzetbiztonságának az információs szférával kapcsolatos koncepcióját az Orosz Föderáció információbiztonsági doktrínája dolgozza ki.

A doktrína kimondja, hogy az Orosz Föderáció információbiztonságának biztosítása kulcsszerepet játszik az Orosz Föderáció nemzetbiztonságának biztosításában. Ugyanakkor az Orosz Föderáció információbiztonságának biztosítása terén az állami politika egyik kiemelt iránya a személyzet képzésének javítása és az információbiztonsági oktatás fejlesztése. Az egyetemek kiemelt szerepet játszanak e problémák megoldásában.

Az orosz felsőoktatás nemcsak az információs társadalom objektív folyamataihoz való alkalmazkodás időszakát éli, hanem az új társadalmi-politikai feltételekhez is, amelyek a verseny sokrétű megnyilvánulásával járnak.

A felsőoktatási rendszer információforrásainak hatékony kezelését szolgáló mechanizmusok megteremtése modern körülmények között lehetetlen tudományos indoklás és egy kiegyensúlyozott egyetemi információbiztonsági politika gyakorlati megvalósítása nélkül, amely az alábbi feladatok megoldása alapján alakítható ki:

Az információs interakciós folyamatok elemzése az orosz műszaki egyetem fő tevékenységének minden területén: információáramlások, mértékük és minőségük, ellentmondások, verseny a tulajdonosok és riválisok azonosításával;

Az információinterakció minőségi és egyszerű kvantitatív (matematikai) leírásának kidolgozása;

Az információcsere nyitottságára, biztonságára és méltányosságára vonatkozó mennyiségi mutatók és kritériumok bevezetése;

Szcenáriók kidolgozása az információk nyitottságának és bizalmasságának egyensúlyának szükségességére és fontosságára;

Az információbiztonsági politika szerepének és helyének meghatározása az egyetemi információforrások kezelésében, következetes elvek és megközelítések kialakítása;

A politika fő összetevőinek megfogalmazása: az információbiztonság biztosításának céljai, célkitűzései, alapelvei és kiemelt irányai;

Az információbiztonsági politika biztosításának folyamatának irányítására szolgáló alapvető módszerek kidolgozása;

Szabályozási dokumentumok tervezetének elkészítése.

Az oktatási intézmények sajátosságai

Egy modern egyetem hatalmas mennyiségű különféle adatot tárol és dolgoz fel nemcsak az oktatási folyamattal, hanem a kutatás-fejlesztéssel is, a hallgatók és alkalmazottak személyes adatait, hivatalos, kereskedelmi és egyéb bizalmas információkat.

A csúcstechnológia területén elkövetett bűncselekmények számának növekedése megköveteli az oktatási intézmények számítógépes hálózatainak erőforrásainak védelmét, és saját integrált biztonsági rendszer kiépítését jelöli ki. Megoldása feltételezi a szabályozási keretek meglétét, a biztonsági koncepció kialakítását, a biztonságos munkavégzést szolgáló intézkedések, tervek és eljárások kidolgozását, az információbiztonság (ISIS) technikai eszközeinek tervezését, megvalósítását és karbantartását egy oktatási intézményen belül. Ezek az összetevők határozzák meg az egyetemi információbiztonság egységes politikáját.

Az információvédelem sajátossága az oktatási rendszerben, hogy az egyetem ingatag közönséggel rendelkező közintézmény, valamint a „kezdő kiberbűnözők” fokozott tevékenységének helyszíne.

Az egyetemen a potenciális jogsértők fő csoportja a hallgatók, néhányuk meglehetősen magas képzettséggel rendelkezik. Az életkor (18-23 éves korig) és a fiatalos maximalizmus arra ösztönzi az ilyen embereket, hogy megmutassák tudásukat diáktársaik előtt: hozzon létre vírusjárványt, szerezzen adminisztratív hozzáférést és „büntesse meg” a tanárt, blokkolja az internetet stb. Elég arra emlékeznünk, hogy az első számítógépes bűncselekmények pontosan az egyetemen születtek (Morris féreg).

Az egyetem mint informatizációs objektum jellemzői összefüggenek tevékenységének multidiszciplináris jellegével, az oktatási munka formáinak és módszereinek bőségével, valamint az infrastruktúra (fiókok, képviseleti irodák) térbeli megoszlásával is. Ide tartozik még a finanszírozási források sokfélesége, a kisegítő részlegek és szolgáltatások fejlett struktúrájának megléte (építőipar, termelés, gazdasági tevékenység), az oktatási szolgáltatások változó piacához való alkalmazkodás, a munkaerőpiac elemzésének szükségessége, az üzleti folyamatok általánosan elfogadott formalizálásának hiánya, a felettes szervezetekkel való elektronikus interakció szükségessége, az alkalmazottak és a gyakornokok státuszának gyakori változásai.

A problémát némileg enyhíti, hogy az egyetem az irányítási funkciókat tekintve stabil, hierarchikus rendszer, amely az élethez minden feltétellel rendelkezik, és a központosított irányítás elvein működik (ez utóbbi azt jelenti, hogy az adminisztratív erőforrások aktívan felhasználhatók). informatizálási feladatok kezelésében).

A fenti jellemzők a következő követelmények teljesítését teszik szükségessé:

Az információbiztonsági problémák átfogó tanulmányozása a koncepciótól kezdve a szoftver és hardver megoldások támogatásáig;

Az üzleti folyamatok tartalmát ismerő nagyszámú szakember bevonása;

Vállalati alkalmazások moduláris felépítése, amikor az egyes modulok üzleti eljárások vagy információs szolgáltatások egymással összefüggő csoportját fedik le, miközben egységes biztonsági követelményeket biztosítanak;

A lépések ésszerű sorrendjének alkalmazása az információbiztonsági problémák megoldásában;

A szabványok megfontolt alkalmazásán alapuló fejlesztések dokumentálása a sikeres rendszer létrehozása érdekében;

Megbízható és méretezhető hardver- és szoftverplatformok és technológiák alkalmazása különböző célokra, amelyek biztosítják a szükséges biztonsági szintet.

Építészeti szempontból a vállalati információs környezetben három szint különböztethető meg, amelyek biztonságos működéséhez különböző megközelítések alkalmazása szükséges:

Berendezések számítógépes hálózathoz, csatornákhoz és adatvonalakhoz, felhasználói munkaállomásokhoz, adattároló rendszerekhez;

Operációs rendszerek, hálózati szolgáltatások és erőforrás-hozzáférési szolgáltatások, köztes szoftverek;

Alkalmazási szoftverek, információs szolgáltatások és felhasználó-orientált környezetek.

Az integrált információs hálózat (CIS) létrehozásakor biztosítani kell a kiválasztott megoldások vagy technológiák biztonsági követelményeinek többszintű összehangolását. Így a második szinten sok egyetem CIS-architektúrája eltérő működési környezettel, egymással csak az Sh-címek hozzárendelése vagy az üzenetküldés szintjén koordinált, egymástól eltérő és lazán összefüggő alrendszereket képvisel. A CIS rossz rendszerszervezésének oka a jóváhagyott CIS architektúra hiánya és a technológiai fejlesztésért felelős több, koordinálatlanul működő központ jelenléte. A problémák abból indulnak ki, hogy nem szívesen kezelik a részlegek működési környezetének megválasztását, amikor a kulcsfontosságú technológiai döntések teljesen decentralizáltak, ami jelentősen csökkenti a rendszerbiztonság szintjét.

Azokat az egyetemeket, amelyek világos informatikai fejlesztési stratégiával, egységes információs infrastruktúra-követelményekkel, információbiztonsági politikával és a vállalati információs rendszer fő összetevőire jóváhagyott szabályozással rendelkeznek, általában az erős adminisztratív maggal és a magas szintű menedzsmenttel különböztethetők meg. az informatikai szolgálat vezetője.

Az ilyen egyetemek természetesen alkalmazhatnak eltérő működési környezetet vagy középszintű rendszereket, de ez szervezési, technikai vagy gazdasági okokból adódik, és nem akadályozza meg az egyetemi CIS kiépítését és az információforrásokhoz való biztonságos hozzáférés egységes elveinek bevezetését. .

A harmadik szintű egyetemek CIS-architektúrájának fejlettségi állapota a következőképpen jellemezhető: átállás a külön üzleti folyamatot automatizáló, helyi adathalmazra támaszkodó helyi szoftveralkalmazásokról a vállalati kliens-szerver információs rendszerekre, amelyek felhasználói hozzáférést biztosítanak a működési folyamatokhoz. egyetemi adatbázisok nagyrészt elkészültek. Ilyen vagy olyan formában megoldódott a különböző információs rendszerek által generált adatok integrálásának problémája, amely lehetővé teszi az üzleti folyamatok javítását, az irányítás és a döntéshozatal minőségének javítását.

Ha a 90-es évek elején. XX század Jelentős volt az igény a számviteli szoftverekre és a vezetői számviteli szoftverekre (HR, riporting stb.), de jelenleg ez az igény nagyjából kielégített. Jelenleg az a feladat, hogy egy oktatási intézmény tevékenységéről megbízható adatokkal szolgáljanak nemcsak a vezetők, hanem minden oktató és diák számára, vagyis a CIS-ben keringő adatok hatékony kezelése, ami viszont az Az ilyen hálózatok információbiztonságának biztosítása még fontosabb.

Az egyetemek vállalati hálózatainak információbiztonsága

Az internet és az új információs technológiák aktív bevezetése az oktatási folyamatba és az egyetemi irányítási rendszerbe megteremtette a vállalati hálózatok kialakulásának előfeltételeit.

Az egyetem vállalati hálózata olyan információs rendszer, amely számítógépeket, szervereket, hálózati berendezéseket, kommunikációt és telekommunikációt, valamint az egyetem vezetésével és oktatási tevékenységgel kapcsolatos problémák megoldására szolgáló szoftverrendszert foglal magában.

A vállalati hálózat általában nemcsak az egyetem strukturális részlegeit, hanem azok regionális irodáit is egyesíti. Ezeket a hálózatokat, amelyek korábban nem voltak elérhetők az egyetemek számára, az internet tömeges elterjedése és elérhetősége miatt mostanra elkezdték aktívan bevezetni az oktatási struktúrákba.

Az egyetem integrált információbiztonsága az egyetemek vállalati hálózatainak szerverein található, valamint a távoktatási rendszerekben telekommunikációs csatornákon továbbított információk megőrzésére, korlátozására és az azokhoz való hozzáférés engedélyezésére szolgáló rendszer.

Tágabb értelemben az „egyetem átfogó információbiztonsága” két szempontot foglal magában: az egyetem szellemi információs tulajdonát a külső és belső agresszív hatásokkal szemben védő rendszert, valamint az információhoz való hozzáférést kezelő és az agresszív információs terekkel szembeni védelem rendszerét. A közelmúltban az internet ellenőrizetlen hatalmas fejlődése miatt a biztonság utolsó szempontja különösen aktuálissá vált.

Az „információs tér” kifejezés az oktatási intézmények, intézmények, könyvtárak vállalati hálózatainak szerverein és a globális interneten, az elektronikus médián található, valamint a televíziós kommunikációs csatornákon vagy televízión keresztül továbbított információkat jelenti.

Az agresszív információs tér olyan információs tér, amelynek tartalma közvetlenül az információs expozíció után és bizonyos idő elteltével is agresszió megnyilvánulásait okozhatja a felhasználóban (hosszú távú hatás).

A kifejezés azon a hipotézisen alapul, hogy az információ bizonyos formában és tartalommal bizonyos hatásokat válthat ki agresszió és ellenségeskedés megnyilvánulásával.

Az egyetemi vállalati hálózatok komplex információbiztonságának problémái sokkal szélesebbek, szerteágazóbbak és akutabbak, mint más rendszerekben. Ez a következő tulajdonságoknak köszönhető:

Az egyetem vállalati hálózata általában a „szűkös finanszírozás” koncepciójára épül (felszerelés, személyzet, licenc nélküli szoftverek);

A vállalati hálózatoknak általában nincsenek stratégiai fejlesztési céljaik. Ez azt jelenti, hogy a hálózatok topológiáját, azok hardverét és szoftverét az aktuális feladatok szempontjából vizsgáljuk;

Egy egyetem egy vállalati hálózatában két fő feladatot oldanak meg: az oktatási és tudományos tevékenység ellátását, valamint az oktatási és tudományos folyamatok irányításának problémáját. Ez azt jelenti, hogy ebben a hálózatban egyszerre több automatizált rendszer vagy alrendszer működik egy irányítási rendszer keretein belül (ACS „Student”, ACS „Személyzet”, ACS „Oktatási folyamat”, ACS „Könyvtár”, ACS „Kutatás”, ACS „Számvitel” stb.);

A vállalati hálózatok mind hardverben, mind szoftverben heterogének abból a tényből adódóan, hogy hosszú időn keresztül jöttek létre különböző feladatokra;

Átfogó információbiztonsági tervek általában vagy hiányoznak, vagy nem felelnek meg a modern követelményeknek.

Egy ilyen hálózatban mind belső, mind külső fenyegetések lehetségesek az információbiztonságot illetően:

Jogosulatlan adatbázis-adminisztráció kísérletei;

Hálózatkutatás, hálózati audit programok jogosulatlan indítása;

Információk törlése, beleértve a könyvtárakat;

Játékprogramok indítása;

Vírusprogramok és trójai programok telepítése;

Kísérletek a "VUZ" automatizált vezérlőrendszer feltörésére;

Hálózatok szkennelése, beleértve más szervezeteket is, az interneten keresztül;

Licenc nélküli szoftverek illetéktelen letöltése az internetről és telepítése munkaállomásokra;

Kísérletek a számviteli rendszerekbe való behatolásra;

Keressen „lyukakat” az operációs rendszerben, a tűzfalban, a proxyszerverekben;

Az operációs rendszer jogosulatlan távoli adminisztrációjának kísérletei;

Port szkennelés stb.

A fenyegetések, azok forrásainak és kockázatainak elemzése

Az információkat fenyegető lehetséges források a következők:

Számítógépes osztálytermek, amelyekben az oktatási folyamat zajlik;

Internet;

Az információbiztonság területén szakképzetlen egyetemi alkalmazottak munkaállomásai.

Az információs kockázatelemzés a következő szakaszokra osztható:

A védendő objektumok fontossági osztályozása;

A védett objektumok vonzerejének meghatározása a betörők számára;

A lehetséges fenyegetések és az objektumokhoz való lehetséges hozzáférési csatornák azonosítása;

A meglévő biztonsági intézkedések értékelése;

A védelmi sebezhetőségek azonosítása és megszüntetésük módjai;

A fenyegetések rangsorolt ​​listájának összeállítása;

Az illetéktelen hozzáférésből, szolgáltatásmegtagadási támadásokból, berendezéshibákból eredő károk felmérése.

A fő objektumok, amelyek védelmet igényelnek a jogosulatlan hozzáférés ellen:

Számviteli LAN-ok, a tervezési és pénzügyi osztály adatai, valamint statisztikai és archív adatok;

Adatbázis szerverek;

Számlakezelő konzol;

WWW/ftp szerverek;

LAN és szerverek kutatási projektekhez.

Az internettel való kommunikáció általában több kommunikációs vonalon keresztül történik egyszerre (száloptikai gerinchálózat, műholdas és rádiócsatornák). Külön csatornák állnak rendelkezésre a más egyetemekkel való kommunikációhoz vagy a biztonságos adatcseréhez.

A továbbított információ szivárgásával és károsodásával kapcsolatos kockázatok kiküszöbölése érdekében az ilyen hálózatokat nem szabad globális hálózatokhoz és az általános egyetemi hálózathoz csatlakozni.

Az egyetemi adatcsere kritikus csomópontjainak (például a számviteli LAN) szintén külön kell létezniük.

Védelmi vonalak

A külső támadások (Internet) elleni első védelmi vonal a router. A hálózati szakaszok összekapcsolására, valamint a forgalom hatékonyabb elkülönítésére és a hálózati csomópontok közötti alternatív útvonalak használatára szolgál. Az alhálózatok működése és a nagy kiterjedésű hálózatokkal (WAN) való kommunikáció a beállításaitól függ. Fő biztonsági célja az elosztott szolgáltatásmegtagadási (DDOS) támadások elleni védelem.

A második határ a tűzfal (FWE) lehet: a Cisco PIX Firewall hardver- és szoftverkomplexuma.

Ezután következik a demilitarizált zóna (DMZ). Ebben a zónában meg kell találni a fő proxyszervert, DNS-szervert, www/ftp-t, levelezőszervert. A proxyszerver feldolgozza a képzési személyzet munkaállomásaitól, az útválasztóhoz közvetlenül nem kapcsolódó szerverektől érkező kéréseket, és szűri a forgalmat. A biztonsági szabályzatot ezen a szinten a nem kívánt forgalom blokkolásával és mentésével kell meghatározni (multimédiás tartalmak, iso képek szűrése, nem kívánt/obszcén tartalmat tartalmazó oldalak blokkolása kulcsszavak használatával). A vírussal fertőzött információk letöltésének megakadályozása érdekében indokolt vírusirtó eszközök elhelyezése ezen a szerveren.

A proxy szerverről származó információkat párhuzamosan kell elküldeni a statisztikai szerverre, ahol megtekintheti és elemzi a felhasználói tevékenységet az interneten. A levelezőszervernek rendelkeznie kell egy levelezési víruskeresővel, például a Kaspersky Antivirus for Mail szervereivel.

Mivel ezek a szerverek közvetlenül kapcsolódnak a globális hálózathoz, a rájuk telepített szoftverek auditálása az egyetemi információbiztonsági mérnök elsődleges feladata. Pénzmegtakarítás és a rugalmasság testreszabása érdekében tanácsos nyílt forráskódú operációs rendszert és szoftvert használni.

A leggyakoribb operációs rendszerek a FreeBSD és a GNU Linux. De semmi sem akadályozza meg a konzervatívabb Open BSD vagy akár az ultrastabil valós idejű operációs rendszer – QNX – használatát.

A víruskereső tevékenységek központi kezeléséhez szükség van egy kliens-szerver architektúrájú termékre, mint például a Dr.Web Enterprise Suite. Lehetővé teszi a víruskereső adatbázisok beállításainak és frissítéseinek központi kezelését egy grafikus konzol segítségével, és könnyen olvasható statisztikákat biztosít a vírusaktivitásról, ha van ilyen.

Az egyetemi dolgozók nagyobb kényelme érdekében VPN technológia segítségével megszervezheti az egyetem belső hálózatához való hozzáférést.

Egyes egyetemek saját betárcsázós medencével rendelkeznek az internet eléréséhez, és használják az intézmény kommunikációs csatornáit. Annak elkerülése érdekében, hogy illetéktelen személyek ezt a hozzáférést jogellenes célokra használják fel, az oktatási intézmény dolgozói ne fedjék fel a medence telefonszámát, bejelentkezési adatait vagy jelszavát.

A legtöbb orosz egyetem hálózatainak és szervereinek biztonsági foka sok kívánnivalót hagy maga után. Ennek számos oka van, de az egyik fő oka az információbiztonsági politikák kidolgozására és érvényesítésére irányuló intézkedések rossz megszervezése és e tevékenységek jelentőségének alábecsülése. A második probléma a berendezések beszerzésének és az új technológiák bevezetésének elégtelensége az információbiztonság területén.

Az egyetem átfogó információbiztonsági rendszerének felépítése

Egy átfogó információbiztonsági rendszernek tartalmaznia kell a következő irányelvek kidolgozását.

Mindenekelőtt ez az egyetem vállalati hálózatának kiépítésének, fejlesztésének és naprakészen tartásának pénzügyi politikája. Meghatározó, és három területre osztható: szűkös finanszírozás, ésszerű elégséges finanszírozás és kiemelt finanszírozás.

A második politikát az egyetem vállalati hálózatának telepítési és karbantartási szervezeti szintje határozza meg.

A harmadik irányelv az elszámolóház személyzetére vonatkozik. Különösen fontos az egyetemek számára a tapasztalt rendszergazdák iránti megnövekedett kereslet miatt.

A szoftverpolitika jelenleg a vállalati hálózat fejlesztésének egyik költséges tényezője. A megoldás racionális megközelítése az operációs rendszer és a MicroSoft szoftvertermékek monopolpiacának körülményei között külön gondos mérlegelést igénylő kérdés.

Előfordulhat, hogy a technikai támogatási politikák nem teljesen relevánsak az elegendő finanszírozás összefüggésében. De mindig ott van a probléma az elavult berendezések frissítésével.

Végül a legújabb politika az információs rendszerekben a toleráns viselkedés erkölcsi és etikai normáinak kialakításához, valamint az agresszív információs terek látogatásának ésszerű korlátozásához kapcsolódik. E területek alulbecslését kompenzálni fogják az egyetemi vállalati hálózatok fenntartásának megnövekedett pénzügyi költségei.

BIBLIOGRÁFIA

1. Az Orosz Föderáció nemzetbiztonsági koncepciója, amelyet az Orosz Föderáció elnökének 1997. december 17-i 1300. számú rendelete hagyott jóvá (az Orosz Föderáció elnökének 2000. január 10-i 24. számú rendelete módosította). ).

2. Az Orosz Föderáció információbiztonsági doktrínája, amelyet az Orosz Föderáció elnöke 2000. szeptember 9-én hagyott jóvá, Pr-1895.

3. Trufanov A.I. Az egyetem információbiztonsági politikája mint kutatás tárgya // A földi civilizáció problémái. - Vol. 9. - Irkutszk: ISTU, 2004 / library.istu.edu/civ/default.htm.

4. Volkov A.V. Az információbiztonság biztosítása az egyetemeken // Információbiztonság. - 2006. - 3., 4. szám / http://www. itssec.ru/articles2/bepub/insec-3 + 4-2006.

5. Kryukov V.V., Mayorov V.S., Shakhgeldyan K.I. Az Active Directory technológián alapuló egyetemi számítógépes hálózat megvalósítása // Proc. Össz-orosz tudományos konf. "Tudományos szolgáltatás az interneten." -Novorossiysk, 2002. - P. 253-255.

6. Minzov A. S. Az egyetemek vállalati hálózatainak komplex információbiztonságának jellemzői / http: //tolerancia. mubiu. ru/base/Minzov(2).htm#top.

A cikk 2009. január 22-én érkezett a szerkesztőhöz

A FELSŐOKTATÁSI INTÉZET INFORMÁCIÓBIZTONSÁGA

O. M. Protalinskiy, I. M. Azhmukhamedov

Feltárul a Felsőoktatási Intézet információbiztonságának sajátossága. Elemezzük a veszélyeket, azok forrásait és kockázatait. Vizsgálom az információvédelem határait és a komplex információbiztonsági rendszer felépítését.

Kulcsszavak: információbiztonság, felsőoktatási intézmény, biztonsági fenyegetés, információbiztonság.

Egyetemi információbiztonság. Az információvédelemmel kapcsolatos munka megszervezése az egységes információs tér kialakítása során A műszaki tudományok kandidátusa, egyetemi docens Glybovsky Pavel Anatoljevics a műszaki tudományok kandidátusa, egyetemi docens Maznyikov Pavel Viktorovics Az A. F. Mozhaisky Katonai Akadémia Információgyűjtési és Feldolgozó Rendszerek Tanszéke

Az információs rendszer adatbázisokban és információs technológiákban és technikai eszközökben található információk összessége, amelyek biztosítják annak feldolgozását. (2006. évi 149-FZ szövetségi törvény az információról, az információs technológiákról és az információvédelemről). Állami információs rendszerek - Szövetségi információs rendszerek és regionális információs rendszerek, amelyeket a szövetségi törvények, az Orosz Föderációt alkotó jogalanyok törvényei, valamint az állami szervek jogi aktusai alapján hoztak létre. (2006. évi 149-FZ szövetségi törvény az információról, az információs technológiákról és az információvédelemről). Automatizált rendszer. Személyzetből és tevékenységükhöz szükséges automatizálási eszközökből álló rendszer, amely információs technológiát implementál a meghatározott funkciók végrehajtásához (GOST) Kifejezések és meghatározások

Információs rendszerek, informatizálási eszközök, amelyek tartalmazzák: A korlátozott hozzáférésű információ feldolgozásának helyén a nyílt információk feldolgozására szolgáló technikai eszközöket és rendszereket Korlátozott hozzáférésű információk felhasználásával folytatott tárgyalások lefolytatásának helyiségei Az államtitkot nem tartalmazó, korlátozott hozzáférésű információk védelmének főbb tárgyai, ill. nyílt információ Nyílt információ Az államtitkot nem tartalmazó, korlátozott hozzáférésű információ a FIAC kiemelt információs rendszer. infrastruktúra ISPDLVSARM Nyomtatási, másolási eszközök Kommunikáció, kapcsolás stb. Háztartási eszközök Tűz- és biztonsági riasztók Telefonok stb. Kommunikációs eszközök Információs rendszerek. Állam IS Önkormányzat IS Egyéb IS

Információvédelem Az információvédelmi rendszer szervek és (vagy) végrehajtók, az általuk használt információvédelmi technológia, valamint a védelem tárgyai összessége, amely a vonatkozó jogi, szervezeti, adminisztratív és szabályozási dokumentumokban meghatározott szabályok szerint szervezett és működik. az információvédelem területén. (GOST R Információvédelem. Alapfogalmak és meghatározások). Az információvédelmi tevékenység alanyai Kormányzati szervek, felhatalmazott kormányzati szervek, információfeldolgozó szervezetek az informatikai létesítményekben, engedélyes szervezetek Mi tartozik a védelem alá Hogyan védekezzünk Milyen veszélyektől Informatizálási objektumok, IP, incl. olyan szoftverek, amelyekben információkat dolgoznak fel és tárolnak, amelyekhez való hozzáférést szövetségi törvények, információvédelmi eszközök, nyilvánosan elérhető információk a műszaki csatornákon keresztül történő kiszivárgásból, jogosulatlan hozzáférésből, megsemmisítésből, módosításból, blokkolásból, másolásból, szolgáltatásból, terjesztésből, valamint mások jogellenes cselekedeteitől. Jogi, szervezési és technikai intézkedések összessége

Az Oroszországi Műszaki és Exportellenőrzési Szövetségi Szolgálat (FSTEC) 2013. február 11-i rendelete N 17 „Az állami információs rendszerekben található, államtitkot nem minősülő információk védelmére vonatkozó követelmények jóváhagyásáról” IS jogszabályi rendszer

Elektronikus formátumú információ, amely más elektronikus formátumú információhoz (aláírt információ) csatolva van, vagy azokhoz más módon kapcsolódik, és amely az adatot aláíró személy meghatározására szolgál A dokumentum aláírásából eredő jogok és kötelezettségek elfogadásának ténye Információbiztonsági jogszabályok rendszere elektronikus aláírás

Az Orosz Föderáció 2011. április 6-i szövetségi törvénye N 63-FZ „Az elektronikus aláírásról”; Az Orosz Föderáció elnökének 1995. április 3-i N 334 rendelete „A titkosítási eszközök fejlesztése, gyártása, értékesítése és üzemeltetése, valamint az információs szolgáltatások nyújtása terén a törvénynek való megfelelés érdekében tett intézkedésekről Titkosítás"; „Szabályzat a titkosítási (kriptográfiai) információbiztonsági eszközök fejlesztésére, előállítására, megvalósítására és működtetésére” (PKZ-2005 szabályzat) Jóváhagyva az Orosz Föderáció FSB 2005. február 9-i N 66 rendeletével; A FAPSI 2001. június 13-i 152. számú rendelete „Az államtitkot nem tartalmazó, korlátozott hozzáférésű információk titkosítási védelmi eszközzel történő kommunikációs csatornákon történő tárolásának, feldolgozásának és továbbításának megszervezéséről és biztonságának biztosításáról szóló utasítás jóváhagyásáról. ” Információbiztonsági jogszabályok rendszer elektronikus aláírás

A továbbfejlesztett elektronikus aláírások használatakor az elektronikus interakció résztvevői kötelesek: 1) gondoskodni az elektronikus aláírási kulcsok titkosságáról, különösen nem engedélyezik a hozzájuk tartozó elektronikus aláírási kulcsok hozzájárulásuk nélküli használatát (a 63-FZ szövetségi törvény 10. cikke). 2011. április 6.); 2) ne használja az elektronikus aláírási kulcsot, ha okkal feltételezhető, hogy a kulcs titkosságát megsértették (a 2011. április 6-i 63-FZ szövetségi törvény 10. cikke); 3) minősített elektronikus aláírások létrehozásához és ellenőrzéséhez használjon olyan elektronikus aláírási eszközöket, amelyek megerősítették az e szövetségi törvénnyel összhangban megállapított követelményeknek való megfelelést (2011. április 6-i 63-FZ szövetségi törvény 10. cikke), valamint minősített elektronikus aláírások kulcsait aláírások és kulcsok az ellenőrzésükhöz.); 4) példányonkénti nyilvántartást vezetni a CIPF megállapított formái szerint, az ezekre vonatkozó üzemeltetési és műszaki dokumentációt. (2001. június 13-i 152. számú FAPSI-rendelet 26. cikke). Információbiztonsági jogszabályok rendszer elektronikus aláírás

1C: Állami intézmény dokumentumfolyamata Az „1C: Állami intézmény dokumentumfolyamata 8” átfogó megoldást kínál a dokumentumok könyvelésének automatizálásával, az alkalmazottak interakciójával, valamint a teljesítményfegyelem ellenőrzésével és elemzésével kapcsolatos problémák széles körére az állami és önkormányzati intézményekben. . AZ OROSZ FÖDERÁCIÓ KORMÁNYA 2009. október 2-i N 1403-r RENDELETE A tárcaközi elektronikus dokumentumkezelő rendszer és a szövetségi végrehajtó hatóságok elektronikus dokumentumkezelő rendszerei közötti interakció megszervezésének műszaki követelményei; A szövetségi végrehajtó hatóságok elektronikus dokumentumkezelési információs rendszereivel szemben támasztott követelmények, beleértve a korlátozottan terjesztett hivatalos információk e rendszereken keresztül történő feldolgozásának szükségességét (az Orosz Föderáció Kommunikációs és Tömegmédia Minisztériumának keltezésű rendelete hagyta jóvá). 1C: Egy állami intézmény dokumentumfolyamata. Információbiztonsági követelmények

A szövetségi végrehajtó hatóságok elektronikus dokumentumkezelési információs rendszereivel szemben támasztott követelmények, beleértve a korlátozottan terjesztett hivatalos információk e rendszereken keresztül történő feldolgozásának szükségességét (az Orosz Föderáció Kommunikációs és Tömegmédia Minisztériumának keltezésű rendelete hagyta jóvá). 21. A korlátozott terjesztésű védett információk védelme érdekében az információbiztonsági követelményeknek megfelelően tanúsított műszaki és (vagy) szoftveres információvédelmi eszközöket kell használni. 22. A megállapított biztonsági osztálytól függően meg kell határozni és tisztázni kell az információvédelemre vonatkozó követelményeket és a végrehajtásukra vonatkozó intézkedéseket, valamint a konkrét szoftver- és hardvervédelmi eszközöket. 25. Az Orosz Föderáció elnökének 2008. március 17-i N 351 „A az Orosz Föderáció a nemzetközi információcsere információs és távközlési hálózatainak használatakor" (Az Orosz Föderáció összegyűjtött jogszabályai, 2008, 12. sz., 1110. cikk; 2008, 43. sz., 4919. cikk; 2011, 4. sz., Art. 572). 1C: Egy állami intézmény dokumentumfolyamata. Információbiztonsági követelmények

AZ OROSZ FÖDERÁCIÓ KORMÁNYA 2009. október 2-i N 1403-r A tárcaközi elektronikus dokumentumkezelő rendszer és a szövetségi végrehajtó hatóságok elektronikus dokumentumkezelő rendszerei közötti interakció megszervezésének technikai követelményei 17. A tárcaközi elektronikus dokumentumkezelés interakciójának megszervezése során rendszert az elektronikus dokumentumkezelő rendszerrel, vírusvédelmet kell biztosítani. 18. A szolgálati titkot képező információnak minősülő információk védelmére információbiztonsági követelmények szerint hitelesített technikai és (vagy) szoftveres információvédelmi eszközöket kell alkalmazni. Az átjáró automata munkaállomásoknak és az elektronikus dokumentumkezelő rendszer adapterrel rendelkező személyi elektronikus számítógépeknek tanúsítvánnyal kell rendelkezniük a bizalmas információk műszaki védelmére vonatkozó követelményeknek való megfelelésről. 19. Az információvédelem követelményeit és a végrehajtásukra vonatkozó intézkedéseket, valamint a konkrét védelmi eszközöket a megállapított biztonsági osztálytól függően kell meghatározni és tisztázni a behatoló fenyegetéseinek és cselekvéseinek kidolgozott modellje alapján. 1C: Egy állami intézmény dokumentumfolyamata. Információbiztonsági követelmények Köszönjük a figyelmet! Kérdések? A. F. Mozhaisky nevét viselő Felső Tudományos Akadémia Információgyűjtési és Feldolgozó Rendszerek Osztálya