UDC 004.056

INFORMATIEBEVEILIGING VAN HET BEDRIJFSNETWERK VAN DE UNIVERSITEIT

OM Protalinsky, I.M. Azhmukhamedov

De details van het garanderen van informatiebeveiliging op een universiteit worden onthuld. Er is een analyse uitgevoerd van de dreigingen, hun bronnen en risico's. Er wordt gekeken naar de grenzen van informatiebescherming en de structuur van een geïntegreerd informatiebeveiligingssysteem.

Trefwoorden: informatiebeveiliging, universiteit, veiligheidsbedreigingen, informatiebescherming.

In de moderne omstandigheden van algemene informatisering en ontwikkeling van informatietechnologieën nemen de bedreigingen voor de nationale veiligheid van de Russische Federatie op informatiegebied toe.

Het concept van de nationale veiligheid van de Russische Federatie in relatie tot de informatiesfeer is ontwikkeld door de Doctrine van Informatiebeveiliging (IS) van de Russische Federatie.

De Doctrine stelt dat het waarborgen van de informatiebeveiliging van de Russische Federatie een sleutelrol speelt bij het waarborgen van de nationale veiligheid van de Russische Federatie. Tegelijkertijd is een van de prioritaire richtingen van het staatsbeleid op het gebied van informatiebeveiliging in de Russische Federatie de verbetering van de personeelsopleiding en de ontwikkeling van onderwijs op het gebied van informatiebeveiliging. Universiteiten spelen een bijzondere rol bij het oplossen van deze problemen.

Het Russische hoger onderwijs maakt een periode van aanpassing door, niet alleen aan de objectieve processen van de informatiemaatschappij, maar ook aan nieuwe sociaal-politieke omstandigheden met diverse uitingen van concurrentie.

Het creëren van effectieve mechanismen voor het beheer van informatiebronnen van het hoger onderwijssysteem in moderne omstandigheden is onmogelijk zonder wetenschappelijke rechtvaardiging en praktische implementatie van een evenwichtig universitair informatiebeveiligingsbeleid, dat kan worden gevormd op basis van het oplossen van de volgende taken:

Analyse van informatie-interactie (II) processen op alle gebieden van de hoofdactiviteit van een Russische technische universiteit: informatiestromen, hun schaal en kwaliteit, tegenstrijdigheden, concurrentie met de identificatie van eigenaren en rivalen;

Ontwikkeling van een kwalitatieve en eenvoudige kwantitatieve (wiskundige) beschrijving van IW;

Introductie van kwantitatieve indicatoren en criteria voor openheid, veiligheid en eerlijkheid van informatie-uitwisseling;

Ontwikkeling van scenario's voor de noodzaak en het belang van evenwicht in openheid en vertrouwelijkheid van informatie;

Het bepalen van de rol en plaats van informatiebeveiligingsbeleid in het beheer van universitaire informatiebronnen en het ontwikkelen van consistente principes en benaderingen;

Formulering van de belangrijkste componenten van het beleid: doelen, doelstellingen, principes en sleutelgebieden voor het waarborgen van informatiebeveiliging;

Ontwikkeling van basismethoden voor het beheer van het proces van het garanderen van informatiebeveiligingsbeleid;

Opstellen van ontwerpen van regelgevingsdocumenten.

SPECIFICITEIT VAN ONDERWIJSINSTELLINGEN

Een moderne universiteit bewaart en verwerkt een groot aantal verschillende gegevens die niet alleen betrekking hebben op het onderwijsproces, maar ook op onderzoek en ontwikkeling, persoonlijke gegevens van studenten en werknemers, officiële, commerciële en andere vertrouwelijke informatie.

De groei van misdaden op het gebied van geavanceerde technologie dicteert de vereisten voor de bescherming van de bronnen van computernetwerken van onderwijsinstellingen en stelt de taak voor om een ​​eigen geïntegreerd beveiligingssysteem op te bouwen. De oplossing ervan veronderstelt het bestaan ​​van een regelgevingskader, de vorming van een beveiligingsconcept, de ontwikkeling van maatregelen, plannen en procedures voor veilig werken, het ontwerp, de implementatie en het onderhoud van technische middelen voor informatiebeveiliging (IS) binnen een onderwijsinstelling. Deze componenten bepalen een uniform beleid voor het waarborgen van de informatiebeveiliging op de universiteit.

Het specifieke van informatiebescherming in het onderwijssysteem is dat een universiteit een openbare instelling is met een wispelturig publiek, maar ook een plek waar ‘beginnende cybercriminelen’ steeds vaker actief zijn.

De belangrijkste groep potentiële overtreders hier zijn studenten, en sommigen van hen hebben een vrij hoog opleidingsniveau.

ki. Leeftijd - van 18 tot 23 jaar - en jeugdig maximalisme moedigt zulke mensen aan om met hun kennis te 'pronken' in het bijzijn van medestudenten: een virusepidemie te creëren, administratieve toegang te krijgen en de leraar te 'straffen', de toegang tot internet te blokkeren, enz. Het volstaat te bedenken dat de eerste computercriminaliteit op de universiteit ontstond (Morris-worm).

De kenmerken van een universiteit als object van informatisering houden ook verband met het multidisciplinaire karakter van haar activiteiten, de overvloed aan vormen en methoden van educatief werk, en de ruimtelijke verdeling van de infrastructuur (filialen, representatieve kantoren). Dit omvat ook de verscheidenheid aan financieringsbronnen, de aanwezigheid van een ontwikkelde structuur van ondersteunende afdelingen en diensten (bouw, productie, economische activiteiten), de noodzaak om zich aan te passen aan de veranderende markt van onderwijsdiensten, de noodzaak om de arbeidsmarkt te analyseren, het gebrek aan algemeen aanvaarde formalisering van bedrijfsprocessen, de behoefte aan elektronische interactie met hogere organisaties, frequente veranderingen in de status van werknemers en stagiairs.

Tegelijkertijd wordt het probleem enigszins verlicht door het feit dat de universiteit een stabiel, hiërarchisch systeem is in termen van managementfuncties, dat over alle noodzakelijke levensvoorwaarden beschikt en opereert volgens de principes van gecentraliseerd management (dit laatste betekent dat administratieve hulpbronnen kunnen actief worden gebruikt bij het beheren van informatiseringstaken).

De bovenstaande kenmerken vereisen naleving van de volgende vereisten:

Uitgebreide ontwikkeling van informatiebeveiligingstaken, van concept tot ondersteuning van software- en hardwareoplossingen;

Het aantrekken van een groot aantal specialisten die de inhoud van bedrijfsprocessen kennen;

Gebruikmakend van een modulaire structuur van bedrijfsapplicaties, waarbij elke module een onderling verbonden groep bedrijfsprocedures of informatiediensten bestrijkt en tegelijkertijd uniforme beveiligingsvereisten waarborgt;

Toepassing van een redelijke opeenvolging van fasen bij het oplossen van informatiebeveiligingsproblemen;

Het documenteren van ontwikkelingen op basis van de oordeelkundige toepassing van standaarden om ervoor te zorgen dat een succesvol systeem ontstaat;

Het gebruik van betrouwbare en schaalbare hardware- en softwareplatforms en -technologieën voor verschillende doeleinden die het vereiste beveiligingsniveau bieden.

Vanuit architectonisch oogpunt zijn er in de bedrijfsinformatieomgeving drie niveaus te onderscheiden:

nya, om de veilige werking te garanderen waarvan het noodzakelijk is om verschillende benaderingen te gebruiken:

Apparatuur voor een computernetwerk, kanalen en datalijnen, gebruikerswerkstations, systemen voor gegevensopslag;

Besturingssystemen, netwerkdiensten en diensten voor het beheren van toegang tot bronnen, middenlaagsoftware;

Applicatiesoftware, informatiediensten en gebruikersgerichte omgevingen. Bij het creëren van een uitgebreide informatie

netwerk (CIS), is het noodzakelijk om te zorgen voor coördinatie op meerdere niveaus van de beveiligingsvereisten voor de geselecteerde oplossingen of technologieën. Op het tweede niveau bestaat de CIS-architectuur van veel universiteiten dus uit ongelijksoortige en losjes verbonden subsystemen met verschillende besturingsomgevingen, die alleen met elkaar worden gecoördineerd op het niveau van het toewijzen van 1P-adressen of berichtenuitwisseling. De redenen voor de slechte systeemorganisatie van CIS zijn het ontbreken van een goedgekeurde architectuur en de aanwezigheid van verschillende verantwoordelijkheden voor technologieontwikkeling die ongecoördineerd optreden. De problemen beginnen met een onwil om de keuze van de besturingsomgevingen op afdelingen te beheren, terwijl belangrijke technologische beslissingen volledig gedecentraliseerd zijn, wat het niveau van systeembeveiliging sterk verlaagt.

Universiteiten die een duidelijke strategie hebben voor de ontwikkeling van informatietechnologie (IT), uniforme vereisten voor de informatie-infrastructuur, een informatiebeveiligingsbeleid en goedgekeurde regelgeving voor de belangrijkste componenten van het CIS onderscheiden zich doorgaans door een sterke administratieve kern in management en een hoge autoriteit van het hoofd van de IT-dienst.

Dergelijke universiteiten kunnen uiteraard verschillende besturingsomgevingen of middenlaagsystemen gebruiken, maar dit is te wijten aan organisatorische, technische of economische redenen en staat de inzet van het CIS van de universiteit en de introductie van uniforme principes van veilige toegang tot informatiebronnen niet in de weg. .

De stand van de ontwikkeling van de CIS-architectuur in universiteiten op het derde niveau kan als volgt worden gekarakteriseerd: de overgang van lokale softwareapplicaties die een afzonderlijk bedrijfsproces automatiseren en afhankelijk zijn van een lokale dataset, naar zakelijke client-server informatiesystemen (IS) die gebruikers toegang tot operationele databases is grotendeels voltooid universitaire gegevens. Op de een of andere manier is het probleem van de integratie van gegevens gegenereerd door verschillende informatiesystemen opgelost, wat het mogelijk maakt bedrijfsprocessen te verbeteren en de kwaliteit van het management en de besluitvorming te verbeteren.

4 _ Sensoren en systemen nr. 5.2009

Als begin jaren negentig. Er was een grote vraag naar boekhoudsoftware en management accounting software (HR, rapportage, etc.), maar vandaag wordt aan deze vraag grotendeels voldaan. Nu is het de taak om betrouwbare gegevens over de activiteiten van een onderwijsinstelling te verstrekken, niet alleen aan het managementpersoneel, maar ook aan iedere leraar en leerling. informatiebeveiliging in dergelijke netwerken nog urgenter.

INFORMATIEBEVEILIGING VAN BEDRIJFSNETWERKEN VAN UNIVERSITEITEN

De actieve introductie van internet en nieuwe informatietechnologieën in het onderwijsproces en het universitaire managementsysteem creëerden de voorwaarden voor de opkomst van bedrijfsnetwerken.

Het bedrijfsnetwerk van een universiteit is een informatiesysteem dat computers, servers, netwerkapparatuur, communicatie en telecommunicatie omvat, en een softwaresysteem dat is ontworpen om problemen op te lossen bij het beheren van een universiteit en het uitvoeren van onderwijsactiviteiten. Een bedrijfsnetwerk verenigt doorgaans niet alleen de structurele afdelingen van een universiteit, maar ook hun regionale kantoren. Deze netwerken waren voorheen ontoegankelijk voor universiteiten, maar worden tegenwoordig actief geïntroduceerd in onderwijsstructuren als gevolg van de enorme verspreiding van het internet en de toegankelijkheid ervan.

Een alomvattend universitair informatiebeveiligingssysteem is een systeem voor het bewaren, beperken en geautoriseerde toegang tot informatie op servers in bedrijfsnetwerken van universiteiten, maar ook voor

Artikelbedrijfsadviseur Ciscoover informatiebeveiliging Alexey Lukatsky

Tegenwoordig, met de wijdverspreide beschikbaarheid van internet en de snelle ontwikkeling van communicatie, wordt de kloof tussen de verwachtingen van studenten en wat onderwijsinstellingen hen kunnen bieden zeer merkbaar. Werkmethoden in het onderwijs moeten voortdurend evolueren, als gevolg van sociale veranderingen en technologische ontwikkelingen. Tegelijkertijd is de bescherming van zowel educatief materiaal als andere beperkte informatie, en van de IT-infrastructuur zelf, niet in de laatste plaats belangrijk tegen willekeurige of gerichte aanvallen.

Moderneeën (IS) helpen onderwijsinstellingen bij het oplossen van bestaande problemen op de volgende hoofdgebieden:

• het organiseren van veilige toegang tot onderwijsmateriaal en -systemen, waar ook ter wereld;
• bescherming van informatie met beperkte toegang (persoonlijke gegevens, bedrijfsgeheimen, enz.) en bescherming van intellectuele eigendom;
• naleving van wettelijke eisen op het gebied van informatiebeveiliging (bescherming van persoonsgegevens, bescherming van intellectuele eigendomsrechten, bescherming van kinderen tegen negatieve informatie).

Probleem #1: Verschillende gebruikersgroepen

Een moderne universiteit en haar netwerk is een heterogene omgeving waarin de belangen en gegevens van verschillende gebruikersgroepen samenkomen. Het universitaire netwerk kan de volgende categorieën gebruikers bevatten met verschillende eisen op het gebied van informatiebeveiliging: universiteitsstudenten en uitwisselingsstudenten; docenten en administratie; schoolkinderen die voorbereidende cursussen volgen voordat ze naar een universiteit gaan; bezoekers van betaalde cursussen en vervolgopleidingen die de universiteit aanbiedt om aanvullende inkomstenbronnen te verwerven, evenals vertegenwoordigers van organisaties die de universiteit commerciële opdrachten verstrekken, bijvoorbeeld op het gebied van R&D.

Probleem #2: Transformatie van toegangsmethoden en het concept van “Any Device”

Terwijl de grenzen van het traditionele universiteitscampusnetwerk blijven vervagen en de universitaire omgeving geleidelijk haar grenzen verliest, veranderen smartphones, tablets, andere eindapparaten en webapplicaties het onderwijsproces onomkeerbaar en bieden ze de mogelijkheid om overal ter wereld toegang te krijgen tot onderwijsmateriaal. - vanuit het klaslokaal van de universiteit, de slaapzaal, de persoonlijke woning, de universiteitscampus, een andere universiteit waar studenten ervaringen uitwisselen, enz. Cisco's 'Any Device'-filosofie is ontworpen om de vrijheid van apparaatkeuze voor campusgebruikers uit te breiden en tegelijkertijd een gemeenschappelijke en voorspelbare ervaring te behouden. Dit alles handhaaft of verhoogt zelfs het niveau van concurrentievermogen, productiviteit en veiligheid van de onderwijsinstelling.

Tegelijkertijd ontstaan ​​er bij de implementatie van het ‘Any Device’-concept een aantal informatiebeveiligingsproblemen die moeten worden opgelost. In dit geval moet u ervoor zorgen:

• het voorkomen van ongeautoriseerde verbinding van apparaten van netwerkabonnees: desktopcomputers (werkstations of werkstations), laptops (mobiele werkstations), mobiele apparaten (tablet-pc's met Android en iOS), netwerkprinters en IP-telefoons met het universitaire netwerk;
• naleving van de vereisten en aanbevelingen van het huidige informatiebeveiligingsbeleid, en zorgen voor de mogelijkheid om op afstand mobiele apparaten die zijn aangesloten op het universitaire netwerk te monitoren op naleving van het huidige informatiebeveiligingsbeleid;
• Bovendien moet de organisatie van een logische verdeling van het universitaire netwerk in beveiligingszones worden gewaarborgd zonder de bestaande infrastructuur (de bestaande verdeling van het netwerk in segmenten) te veranderen, om gastzones en zones met beperkte toegang toe te wijzen voor het aansluiten van abonneeapparaten van verschillende gebruikersgroepen, evenals mobiele apparaten (tablet-pc's) met Android- en iOS OS-gebruikers.

Probleem nr. 3: bescherming van informatiesystemen en beperkte informatie

Een moderne universiteit is een opslagplaats van verschillende informatie die bescherming vereist. Dit gaat over:

· persoonsgegevens van studenten, docenten, administratie en andere categorieën gebruikers;

· informatie die een bedrijfsgeheim van de universiteit vormt en haar in staat stelt een voorsprong te nemen op andere universiteiten op het gebied van het aanbieden van onderwijs en onderwijsprogramma's van hogere kwaliteit, evenals meer vooruitstrevende onderwijsmethoden;

· door de universiteit ontwikkeld onderwijsmateriaal, waarvan de toegang beperkt of gecontroleerd moet worden ze vormen intellectueel eigendom;

· door de universiteit aangeschafte software of licenties, waarvan de diefstal de concurrentiepositie van de onderwijsinstelling kan verslechteren of strafrechtelijke of administratieve aansprakelijkheid met zich mee kan brengen.

· Ten slotte vallen de resultaten van de R&D-projecten die de universiteit op verzoek van commerciële of overheidsklanten kan uitvoeren onder bescherming.

Naast het beschermen van beperkt toegankelijke informatie moet ook de veiligheid van oworden gewaarborgd. Het per ongeluk of opzettelijk uitschakelen van deze systemen kan het leerproces verstoren en contractuele voorwaarden schenden (in het geval van betaalde training of de implementatie van verschillende R&D).

Probleem #4: wettelijke beperkingen

Naast het beschermen van informatiesystemen en informatie die de universiteit een concurrentievoordeel opleveren, moet het informatiebeveiligingssysteem het mogelijk maken wetgevende initiatieven te implementeren die gericht zijn op het beschermen van de rechten en belangen van verschillende groepen burgers en organisaties. De regels waar de universiteit aan moet voldoen zijn met name:

• Federale wet van 27 juli 2006 nr. 152-FZ “Betreffende persoonlijke gegevens”;
• Federale wet van 28 juli 2012 nr. 139-FZ “Betreffende wijzigingen van de federale wet “Betreffende de bescherming van kinderen tegen informatie die schadelijk is voor hun gezondheid en ontwikkeling” en bepaalde wetgevingshandelingen van de Russische Federatie over de kwestie van het beperken van de toegang tot illegale informatie op internet”;
• Federale wet van 2 juli 2013 nr. 187-FZ “Betreffende wijzigingen van wetgevingshandelingen van de Russische Federatie inzake de bescherming van intellectuele rechten op informatie- en telecommunicatienetwerken.”

Probleem #5: groeiend aantal bedreigingen

Het landschap van netwerkbeveiligingsbedreigingen evolueert voortdurend. De leidende posities daarin worden ingenomen door speciaal geschreven, verborgen dreigingen, die steeds beter in staat zijn traditionele methoden en beschermingsmiddelen te overwinnen. Deze bedreigingen dringen het netwerk binnen - tot op het kernniveau, het distributieniveau en het gebruikerstoegangsniveau, waar de bescherming en zichtbaarheid van bedreigingen op een minimaal niveau liggen. Van daaruit selecteren deze bedreigingen gemakkelijk hun doelwitten: specifieke middelen en zelfs specifieke mensen op de universiteit. Het doel van moderne cyberdreigingen is niet om roem en glorie te verwerven of zelfs maar een winstgevend botnet te creëren, maar om intellectueel eigendom of handels- en andere geheimen te veroveren en te stelen om concurrentievoordelen te behalen.

Cisco-oplossingen voor informatiebeveiliging

Cisco SecureX Architecture™ is een beveiligingsarchitectuur van de volgende generatie die flexibele oplossingen, producten en diensten combineert om consistent bedrijfsbeleid te formuleren en te implementeren in het gehele gedistribueerde netwerk van een moderne universiteit. De Cisco SecureX-architectuur combineert mondiale dreigingsinformatie en context om unieke beveiligingsuitdagingen aan te pakken, zoals de opkomst van zeer mobiele gebruikers, verlenging bereik van mobiele apparaten met netwerkfunctionaliteit of de overgang naar cloudinfrastructuren en -diensten.

Cisco SecureX voldoet aan de behoeften van de hedendaagse edge-to-edge-netwerken en biedt krachtige beveiliging voor elke gebruiker, op elk apparaat, overal en altijd. Deze nieuwe beveiligingsarchitectuur maakt gebruik van een beleidstaal op een hoger niveau die de volledige context van de situatie ‘begrijpt’: wie, wat, waar, wanneer en hoe. Dankzij de gedistribueerde implementatie van beveiligingsbeleid komt het beschermingsproces dichter bij de werkplek van de eindgebruiker, waar dan ook ter wereld, waardoor niet alleen elk apparaat of elke gebruiker kan worden beveiligd, maar ook, indien nodig, de dreiging zo dichtbij kan worden gelokaliseerd als mogelijk is. mogelijk naar de bron.

De oplossingen in Cisco SecureX voldoen aan de eisen van de Russische overheidsinstanties die geautoriseerd zijn op het gebied van informatiebeveiliging en beschikken over ruim 600 verschillende FSTEC- en FSB-certificaten voor beveiligingseisen.

Om snel materialen te leren kennen van specialisten Cisco gepubliceerd in de rubriek “Blog”. Cisco . Rusland/GOS", moet u zich op de pagina abonnerenhttp://gblogs.cisco.com/en.

Tags: informatiebeveiliging, informatiebeveiliging, onderwijs, universiteit, Cisco SecureX-architectuur, intellectueel eigendom.

Stuur uw goede werk naar de kennisbank is eenvoudig. Gebruik onderstaand formulier

Studenten, promovendi en jonge wetenschappers die de kennisbasis gebruiken in hun studie en werk zullen je zeer dankbaar zijn.

geplaatst op http://www.allbest.ru

• INVOERING
• RELEVANTIE
• 1. BESTUDEREN VAN HET BEDRIJFSINFORMATIESYSTEEM
• 1.1. Beschrijving van de onderneming
• 1.2. Samenstelling van hardware en software en netwerkstructuur
• 1.3. Analyse van informatiestromen
• 1.4. Analyse van informatiebronnen
• 1.5. Fysieke beveiliging van objecten (security)
• 2. ANALYSE EN ONTWIKKELING VAN EEN BEDREIGINGSMODEL
• 2.1. Classificatie en analyse van bronnen van bedreigingen en beveiligingskwetsbaarheden
• 2.2. Indringer-model
• 2.3. Identificatie van huidige bedreigingen voor het informatiesysteem
• 2.4. Bepalen van de beveiligingsklasse van een informatiesysteem
• 3. ONTWIKKELING VAN EEN INFORMATIEBEVEILIGINGSSYSTEEMMODEL
• 3.1. Analyse voor naleving van normen en bestaand beleid
• 3.2. Ontwikkeling van een informatiebeveiligingsbeleid
• 4. ONTWIKKELING VAN EEN PRIMAIRE AUTORISATIEPORTAAL
• 4.2. Vereisten voor portalfunctionaliteit
• 4.3. Portal ontwikkeling
• CONCLUSIE
• BIBLIOGRAFIE
• SOLLICITATIE

INVOERING

Het waarborgen van de veiligheid van informatiebronnen is in veel instellingen lange tijd een onderwerp van discussie geweest. Samen met de ontwikkeling van de informatietechnologie heeft dit geleid tot de ontwikkeling van geautomatiseerde systemen. Met een effectief informatiebeveiligingssysteem kunt u de risico’s die aan informatie verbonden zijn minimaliseren en draagt ​​het bij aan de stabiele werking van de informatiestromen van de onderneming.

Ook de veiligheid van overheidsinstellingen, zoals instellingen voor hoger onderwijs, vereist een hoog niveau van informatiebeveiliging.

De informatiemiddelen van de universiteit omvatten een enorme hoeveelheid informatie over onderwijsactiviteiten en de activiteiten van medewerkers met verschillende toegangsniveaus. Medewerkers en studenten van universiteiten zijn ook een uitstekend voorbeeld van personen met verschillende rechten op toegang tot informatie. Daarom is besloten een effectief pakket aan maatregelen te ontwikkelen om de informatiebeveiliging van de universiteit te waarborgen.

Het doel van het proefschrift is het ontwikkelen van een reeks maatregelen gericht op het waarborgen van de informatiebeveiliging van een universiteit, naar het voorbeeld van de Nizjni Novgorod Staatsuniversiteit voor Architectuur en Civiele Techniek. bedreiging voor de informatiebeveiliging

Het onderwerp van onderzoek in het proefschrift is het informatiebeveiligingssysteem van de Nizjni Novgorod Staatsuniversiteit voor Architectuur en Civiele Techniek.

Het proefschrift bestaat uit vier hoofdstukken. Het eerste hoofdstuk geeft een beschrijving van het informatiesysteem van de organisatie, analyse van informatiebronnen en technische middelen. In het tweede hoofdstuk worden potentiële bedreigingen voor het systeem geanalyseerd en wordt het indringermodel bepaald. In het derde hoofdstuk wordt een informatiebeveiligingsbeleid ontwikkeld. Het vierde hoofdstuk bevat, in de vorm van een toelichting, het proces van de implementatie van het primaire autorisatieportaal.

RELEVANTIE

In het huidige ontwikkelingsstadium van de samenleving maken informatietechnologieën er integraal deel van uit. Informatie is een van de belangrijkste middelen voor sociaal-economische, technische en wetenschappelijke vooruitgang van de wereldgemeenschap geworden. De ontwikkeling van de informatietechnologie en de uitbreiding van de informatieruimte leidt tot een steeds groter aantal aanvallen en schendingen op dit gebied, waardoor informatiebeveiligingsproblemen steeds relevanter worden. Informatiebeveiliging verwijst naar de staat van beveiliging van informatie en de ondersteunende infrastructuur tegen toevallige of opzettelijke gevolgen van natuurlijke of kunstmatige aard die schade kunnen veroorzaken aan eigenaren of gebruikers van informatie.

Het garanderen van informatiebeveiliging is een van de sleutelfactoren voor het stabiel functioneren van elke onderneming. Tegenwoordig zijn vertrouwelijkheid, integriteit en beschikbaarheid van informatie een belangrijk aspect van de bedrijfscontinuïteit. Daarom richten steeds meer organisaties zich op het onderwerp informatiebeveiliging. Er is dus behoefte aan een effectief en geïntegreerd informatiebeveiligingssysteem.

Vaak streven organisaties er bij het creëren van een informatiesysteem naar om hun informatiemiddelen alleen op het hardware- en softwareniveau te beveiligen. Maar dit beveiligingsniveau is ineffectief en moet ondersteund worden door wet- en regelgeving op het gebied van informatiebeveiliging.

Het opstellen en implementeren van een beveiligingssysteem in een instelling moet worden uitgevoerd op basis van bestaande wet- en regelgevingseisen op het gebied van informatiebeveiliging. Het belangrijkste document is de grondwet van de Russische Federatie, volgens welke “het verzamelen, opslaan, gebruiken en verspreiden van informatie over het privéleven van een persoon zonder zijn toestemming niet is toegestaan.”

Andere basisdocumenten op het gebied van informatiebeveiliging zijn de federale wet van 27 juli 2006 nr. 149-FZ "Over informatie, informatietechnologieën en informatiebescherming", volgens welke het noodzakelijk is om de bescherming van informatie tegen ongeoorloofde toegang te garanderen, wijziging, vernietiging, kopiëren en verspreiden van gegevens. Federale wet nr. 152-FZ van 27 juli 2006 “Betreffende persoonlijke gegevens” reguleert acties met betrekking tot de verwerking van persoonlijke gegevens door overheidsinstanties die geautomatiseerde systemen gebruiken.

U moet ook rekening houden met de wet van de Russische Federatie “over staatsgeheimen” en de wet van de Russische Federatie “over handelsgeheimen”, die de procedure regelt voor het classificeren van informatie als officieel geheim, het regime van staatsgeheimen en de procedure voor het vrijgeven van officiële gegevens. Er zijn ook een aantal wetten op basis waarvan de niveaus van vertrouwelijkheid van informatie worden bepaald (“Over goedkeuring van de Lijst met vertrouwelijke informatie”; “Over goedkeuring van de Lijst met als staatsgeheim geclassificeerde informatie”; “Over goedkeuring van de Lijst met informatie die geen bedrijfsgeheim kan vormen”).

Over het algemeen houdt het wetgevingskader van de Russische Federatie geen rekening met de opslag en het gebruik van vertrouwelijke gegevens en regelt deze niet volledig.

De belangrijkste voorschriften voor het garanderen van de veiligheid op procedureel en hardware-softwareniveau zijn standaarden en specificaties. Dit zijn documenten die bewezen, hoogwaardige beveiligingsmethodieken en -tools bevatten.

In overeenstemming met de normen moet het waarborgen van de veiligheid van informatiesysteemobjecten uit de volgende fasen bestaan:

– het benadrukken van de doelstellingen van het waarborgen van informatiebeveiliging;

– het ontwerpen van een effectief managementsysteem;

– analyse en beoordeling van de naleving van de gestelde doelen;

– analyse van de initiële veiligheidssituatie;

De ISO 15408: Common Criteria for Information Technology Security Evaluation-standaard bevat de meest uitgebreide criteria voor beveiliging op software- en hardwareniveau. De Algemene Criteria stellen de eisen aan de veiligheidsfunctionaliteit vast. Naast het software- en hardwareniveau van bescherming beschrijft de standaard enkele vereisten voor beveiligingsmethoden en fysieke bescherming op organisatieniveau. De standaard bestaat uit drie delen:

– het eerste deel omvat het conceptuele apparaat, de presentatie van het model en de methodologie voor het beoordelen van de veiligheid van informatietechnologieën;

– het tweede deel bevat direct de eisen aan de functionaliteit van hardware en software;

– het derde deel bevat de vereisten voor veiligheidsgaranties;

ISO 17799: Praktijkcode voor informatiebeveiligingsbeheer biedt de meest uitgebreide criteria op organisatieniveau.

De standaard bevat de meest effectieve regels en criteria voor informatiebeveiligingsbeheer voor het beoordelen van beveiligingspraktijken op organisatieniveau, waarbij rekening wordt gehouden met administratieve, procedurele en fysieke beveiliging. De standaard bevat de volgende onderdelen:

- Veiligheidsbeleid;

– organisatie van informatiebeveiliging;

- hulpbronnenbeheer;

– veiligheid van menselijke hulpbronnen;

- fysieke bewaking;

- toegangscontrole;

– beheer van informatiesystemen;

– ontwikkeling en onderhoud van informatiesystemen;

– planning van continuwerk;

– toezicht houden op de naleving van veiligheidseisen;

Leidraad van de Technische Staatscommissie van de Russische Federatie “Criteria voor het beoordelen van de veiligheid van informatietechnologieën.” Dit document is ontwikkeld in overeenstemming met GOST R ISO/IEC 15408-2002 en garandeert het praktische gebruik ervan. Het hoofddoel van het KB is de implementatie van alomvattende methoden om de veiligheid van informatiesystemen en het gebruik van de noodzakelijke functionaliteit te garanderen. Het heeft tot doel beveiligingssystemen te ontwerpen die mogelijke bedreigingen het hoofd bieden en tegelijkertijd een evenwicht bewaren tussen effectiviteit en kosten.

Leidraad van de Technische Staatscommissie van de Russische Federatie “Geautomatiseerde systemen. Bescherming tegen ongeoorloofde toegang tot informatie. Classificatie van geautomatiseerde systemen en vereisten voor informatiebescherming.” Dit KB definieert de classificatie van de AS en bepaalt, in overeenstemming met de klasse, de eisen voor eventuele subsystemen.

Leidraad van de Technische Staatscommissie van de Russische Federatie “Computerfaciliteiten. Firewalls. Bescherming tegen ongeoorloofde toegang tot informatie. Indicatoren van beveiliging tegen ongeoorloofde toegang tot informatie.” De eerste RD die geen buitenlandse analogen heeft. Het hoofdidee van deze RD is de classificatie van firewalls volgens het OSI-netwerkmodel, dat gegevensstromen filtert.

Tegenwoordig is er op het gebied van de implementatie van beveiligingssystemen een concept als ‘best practice’ ontstaan. “Best practices” zijn die beveiligingsbeleidslijnen die de beste beveiligingsprocedures, -instrumenten, -richtlijnen en -standaarden weerspiegelen en die als referentie kunnen worden gebruikt bij de ontwikkeling van een beveiligingssysteem. Het beleid van bedrijven als Microsoft, IBM, Symantec, enz. wordt beschouwd als referentiestandaarden.

1. Symantec-beleid

Specialisten van Symantec beweren dat de basis van een effectief beveiligingssysteem wordt gevormd door documenten, waaronder: beveiligingsbeleid, internationale normen, beschrijvingen van beveiligingsprocedures en meetgegevens. Al deze begeleidingsdocumenten kunnen drie basisvragen beantwoorden:

Waarom moet u informatie beschermen?

Wat moet er gebeuren om de veiligheid te garanderen?

Hoe voer je het beleid naar wens uit?

De ontwikkeling van een alomvattend beveiligingssysteem moet de volgende stappen omvatten:

– analyse van informatiemiddelen;

– identificatie van mogelijke bedreigingen;

– analyse en beoordeling van veiligheidsrisico's;

– benoeming van personen die verantwoordelijk zijn voor het waarborgen van de veiligheid;

– creatie van een alomvattend systeem in overeenstemming met normen, richtlijnen en procedures;

– beheer van beveiligingssystemen;

2. Microsoft-beleid

De informatiebeleidsstrategie van Microsoft omvat vier hoofdcomponenten:

– het doel om de informatiebeveiliging van het bedrijf te waarborgen;

– systeemveiligheidsnormen

– besluitvormingsschema (gebaseerd op de resultaten van risicoanalyse);

– identificatie van acties om risico's te minimaliseren;

Het ontwikkelingsproces van het veiligheidsbeleid is onderverdeeld in vier categorieën:

– organisatorisch (gericht op het vergroten van het bewustzijn en het vergroten van de kennis van medewerkers op het gebied van informatiebeveiliging, alsmede het ondersteunen van het management);

– gegevens en gebruikers (inclusief beschermingsmaatregelen zoals: autorisatie, bescherming van persoonsgegevens, authenticatie);

– systeemontwikkeling (ontwikkelen van een veilig systeem, verkleinen van het aanvalsoppervlak, zorgen voor gebruiksgemak);

– ondersteuning (regelmatig monitoren en loggen van het systeem, reageren op incidenten);

Om het beveiligingsniveau te handhaven past het bedrijf informatierisicobeheersing toe (identificatie, beoordeling en minimalisering van risico's). Met deze aanpak kunt u een evenwicht bereiken tussen vereisten en beveiligingsmethoden.

3. IBM-beleid

IBM-specialisten identificeren vier hoofdfasen bij het bouwen van een beveiligingssysteem:

– identificatie van informatierisico's en methoden om deze te bestrijden;

– beschrijving van maatregelen ter bescherming van activa in overeenstemming met de taken en doelstellingen van de onderneming;

– beschrijving van acties bij incidenten;

– analyse van restrisico's en besluitvorming over extra investeringen in veiligheidsmethoden;

Het antwoord op de vraag “Wat moet beschermd worden?” - het hoofdaspect van het informatiebeveiligingsbeleid, in overeenstemming met de IBM-strategie. Beleid moet worden gecreëerd met als doel minimale veranderingen in de toekomst. Een effectief veiligheidsbeleid moet het volgende omvatten:

– doelen en doelstellingen van het waarborgen van informatiebeveiliging;

– interactie met veiligheidsnormen en wetgeving;

– het vergroten van de kennis overen;

– detectie en eliminatie van virusaanvallen;

– het waarborgen van de bedrijfscontinuïteit;

– het vaststellen van de rollen en verantwoordelijkheden van het personeel;

– het registreren van beveiligingsincidenten;

Vervolgens komt het proces van het creëren van documentatie die de regels bevat voor het analyseren van de risico's van het bedrijf, een beschrijving van aanbevolen methoden en beschermingsmiddelen, enzovoort. Documentatie kan onderhevig zijn aan wijzigingen in overeenstemming met de huidige kwetsbaarheden en bedreigingen.

Naast de wettelijke basis moeten het informatiebeveiligingssysteem en de functies ervan om de veiligheid van het object te garanderen echter worden geïmplementeerd in overeenstemming met de onderstaande principes:

– legitimiteit (het opzetten van een informatiebeveiligingssysteem, alsmede het implementeren van beschermingsmaatregelen die niet in strijd zijn met wet- en regelgeving);

– complexiteit (het ontwikkelde beveiligingssysteem zorgt voor de alomvattende implementatie van methoden, zorgt voor de bescherming van informatiebronnen op technisch en organisatorisch niveau en voorkomt mogelijke manieren om bedreigingen te implementeren);

– duurzaamheid (biedt continue bescherming van objecten);

– progressiviteit (impliceert de voortdurende ontwikkeling van beschermingsmiddelen en -methoden, in overeenstemming met de ontwikkeling van technologieën en aanvalsmethoden);

– rationaliteit (gebruik van kosteneffectieve en effectieve beschermingsmiddelen);

– verantwoordelijkheid (elke medewerker is binnen zijn bevoegdheden verantwoordelijk voor het waarborgen van de veiligheid);

– controle (behelst constante controle over het bieden van bescherming en tijdige identificatie van dreigingen);

– gebruik van een bestaand beveiligingssysteem (het ontworpen systeem wordt gecreëerd op basis van een bestaand systeem, waarbij gebruik wordt gemaakt van standaard hardware en software);

– gebruik van in het binnenland geproduceerde hardware- en softwarebeschermingscomponenten (het ontwerp van een beveiligingssysteem voorziet in het overwicht van binnenlandse technische beschermingsmiddelen);

– fasering (het ontwerp van een beveiligingssysteem wordt bij voorkeur gefaseerd uitgevoerd);

Na analyse van het bestaande informatiebeveiligingsbeleid en de bestaande standaarden kan worden beargumenteerd dat om een ​​adequaat niveau van informatiebeveiliging te garanderen een reeks maatregelen nodig is, waaronder softwarefuncties, beveiligingsbeleid, methoden en organisatiestructuren. In overeenstemming hiermee en met het hoofddoel moeten de volgende taken worden voltooid:

– de initiële informatie- en organisatiestructuur van de Nizjni Novgorod Staatsuniversiteit voor Architectuur en Civiele Techniek bestuderen;

– op basis van de resultaten van de analyse van het broninformatiesysteem specifieke bedreigingen en kwetsbaarheden van de informatiebeveiliging identificeren;

– het niveau en de klasse van de initiële beveiliging van het object bepalen;

– huidige bedreigingen identificeren;

– maak een model van de indringer;

– vergelijk het oorspronkelijke systeem met de eisen van veiligheidsnormen;

– een beveiligingsbeleid ontwikkelen en acties bepalen om de informatiebeveiliging te waarborgen;

Het verwezenlijken van de bovenstaande doelen en doelstellingen zal het creëren van een effectief bedrimogelijk maken dat voldoet aan wettelijke vereisten en informatiebeveiligingsnormen.

1. BESTUDEREN VAN HET BEDRIJFSINFORMATIESYSTEEM

1.1. Beschrijving van de onderneming

Volledige naam van de organisatie : Federale stavoor hoger beroepsonderwijs "Nizjni Novgorod Staatsuniversiteit voor Architectuur en Civiele Techniek".

Afgekorte namen: NNGASU, federale stavoor hoger beroepsonderwijs "Nizjni Novgorod Staatsuniversiteit voor Architectuur en Civiele Techniek".

Volledige naam in het Engels: Nizjni Novgorod State University of Architecture and Civil Engineering.

Korte naam in het Engels: NNGASU.

Locatie van de universiteit: 603950, regio Nizjni Novgorod, Nizjni Novgorod, st. Iljinskaja, 65.

De grondlegger van de universiteit is de Russische Federatie. De functies en bevoegdheden van de oprichter van de universiteit worden uitgeoefend door het Ministerie van Onderwijs en Wetenschappen van de Russische Federatie.

Locatie van de oprichter: 125993, Moskou, st. Tverskaja, 11.

Rector - Andrej Aleksandrovitsj Lapshin

FSBEI HPE "Nizhny Novgorod State University of Architecture and Civil Engineering" is een non-profitorganisatie opgericht met als doel de economie en sociale omgeving van de regio, de industrie en Rusland te ontwikkelen door het opleidingsniveau van studenten te verhogen op basis van de prestaties van wetenschap, innovatie en technologie.

De belangrijkste activiteiten van de federale stavoor hoger beroepsonderwijs "Nizhny Novgorod State University of Architecture and Civil Engineering":

· Opleiding van specialisten in de bouw en aanverwante industrieën die concurrerend zijn op de Russische en internationale arbeidsmarkten, gebaseerd op moderne onderwijsnormen en wetenschappelijk onderzoek;

· Zorgen voor wetenschappelijk potentieel dat bestand is tegen de concurrentie in reële sectoren van de economie van het land;

· Creëren en verbeteren van de voorwaarden die nodig zijn voor zelfrealisatie, evenals professionele groei van medewerkers en studenten;

· Ontwikkeling van interuniversitaire samenwerking op Russisch en internationaal niveau en versterking van de positie in de internationale arena;

Het algemeen bestuur van de universiteit wordt uitgeoefend door de Academische Raad, waarin zitting heeft: de rector (voorzitter van de Academische Raad), vice-rectoren, decanen van faculteiten (bij besluit van de Academische Raad). Ook omvat de organisatiestructuur van de universiteit afdelingen, centra, afdelingen en andere divisies. De gedetailleerde organisatiestructuur wordt weergegeven in figuur 1.

Figuur 1. Organisatiestructuur van de federale stavoor hoger beroepsonderwijs "Nizjni Novgorod State University of Architecture and Civil Engineering"

Nizjni Novgorod Staatsuniversiteit voor Architectuur en Civiele Techniek, met een zich voortdurend ontwikkelende structuur en een gemoderniseerde educatieve en wetenschappelijke basis, is in moderne omstandigheden een actief voortschrijdend complex. De universiteit beschikt over een grote informatiebasis, die is vervat in gespecialiseerde softwareproducten. De informatiebeveiliging van de instelling wordt op een redelijk hoog niveau gepresenteerd, maar vereist in de context van voortdurend voortschrijdende aanvallen en schendingen verbetering.

1.2 Samenstelling van hardware en software en netwerkstructuur

Het onderwijsproces bij NNGASU gaat gepaard met een aanzienlijke informatiebasis, de ontwikkeling van een computerpark en de introductie van gemoderniseerde informatiesystemen in het onderwijsproces. Om het onderwijsproces te garanderen, zijn alle afdelingen en afdelingen uitgerust met personal computers en de benodigde apparatuur. Om problemen op het gebied van de toepassing van moderne informatietechnologieën op te lossen, is de universiteit uitgerust met 8 computerlessen. Alle personal computers van de universiteit zijn uitgerust met gelicentieerde Microsoft-software en antivirusbescherming. Alle hardware wordt weergegeven in Tabel 1.

Tabel 1. Hardwaresamenstelling

Tegenwoordig besteedt de universiteit aandacht aan de automatisering van het onderwijsproces. Om de onderwijsactiviteiten te optimaliseren beschikt de universiteit over alle benodigde moderne softwarepakketten. Tabel 2 toont een lijst met software die in NNGASU wordt gebruikt.

Tabel 2. Software

Alle universiteitspc's zijn aangesloten op het lokale netwerk en hebben via een beveiligde verbinding toegang tot internet. Optische lijnknooppunten zijn uitgerust met beheerde schakelaars. Om constante toegang tot internet te bieden, is het systeem uitgerust met een verbinding met twee providers die kanalen aanbieden met snelheden van 20 Mbit/s en 10 Mbit/s. Wanneer u informatie probeert te downloaden die geen verband houdt met het onderwijsproces, wordt het gebruikersverkeer beperkt. Op softwareniveau van beveiliging worden verschillende domeinen gebruikt voor studenten en medewerkers.

Om pakketten tussen netwerksegmenten te verzenden, wordt een MicroTic-router gebruikt, waarmee u de belasting kunt verdelen zonder gegevens te verliezen. Wereldwijde netwerkpakketten, externe gebruikerslocaties en NauDoc-systeempakketten gaan er doorheen.

De netwerkstructuur is uitgerust met elf fysieke servers, waarvan vier virtuele machinestations. Op deze netwerkelementen zijn informatie- en referentiematerialen, databaseservers, maar ook mailservers en websites geïnstalleerd. De instelling beschikt over 14 virtuele servers met toegang tot het wereldwijde netwerk. De hoofdserver die alle informatie doorgeeft is Nginx. Nginx is een webserver, mailproxy en TCP-proxy. Deze server ontvangt binnenkomende gegevens op poort 80 en stuurt deze vervolgens door naar de benodigde servers (Ubuntu, Suse, CentOS, Win2008_IIS, Win7). De structuur van het universitaire netwerk wordt weergegeven in Figuur 2.

Figuur 2. Netwerkstructuur van de federale stavoor hoger beroepsonderwijs "Nizjni Novgorod State University of Architecture and Civil Engineering"

De gedemilitariseerde zone, computerklassen, ViPNet en de universiteit zelf zijn elk opgenomen in afzonderlijke virtuele lokale netwerken (VLAN's), waardoor de belasting van netwerkapparaten wordt verminderd (verkeer van het ene domein gaat niet naar een ander domein). Deze technologie maakt het ook mogelijk om ongeautoriseerde toegang uit te sluiten, omdat De switch onderbreekt pakketten van andere virtuele netwerken.

Omdat de instelling gebruik maakt van de diensten van twee providers, is er behoefte aan een probleemloze werking van internet bij het overschakelen van het hoofdkanaal naar het back-upkanaal. Het Squid-softwarepakket wordt gebruikt als caching-proxyserver. De belangrijkste taken van Squid binnen deze instelling:

– Wanneer u dezelfde sites bezoekt, worden ze in de cache opgeslagen en komen sommige gegevens rechtstreeks van de server;

– De mogelijkheid voor de systeembeheerder om bezochte sites en gedownloade bestanden bij te houden;

– Het blokkeren van bepaalde sites;

– Belastingverdeling tussen kanalen;

De andere firewall van de organisatie is Microsoft Forefront Threat Management Gateway. Alles bij elkaar biedt Microsoft Forefront een hoog beveiligingsniveau en kunt u de beveiliging van uw netwerkstructuur beheren. Microsoft Forefront TMG is met name een proxyserver waarmee u zich kunt beschermen tegen aanvallen van buitenaf, het verkeer kunt controleren en inkomende pakketten kunt ontvangen en doorsturen.

Voor interactie met het Ministerie van Onderwijs en Wetenschappen van de Russische Federatie maakt de instelling gebruik van ViPNet-technologie. ViPNet biedt bescherming in grote netwerken en creëert een veilige omgeving voor de overdracht van informatie met beperkte toegang via openbare communicatiekanalen door de implementatie van een virtueel particulier netwerk (VPN).

In de moderne bedrijfsinfrastructuur is er behoefte aan gecentraliseerd beheer en hardwarevirtualisatie van het lokale netwerk. Hiervoor maakt de universiteit gebruik van het Microsoft Hyper-V systeem, waarmee de systeembeheerder, binnen het bedrijfssysteem, een aantal problemen kan oplossen:

– het verhogen van het veiligheidsniveau;

– bescherming van informatiebronnen;

– gecentraliseerde gegevensopslag;

– schaalbaarheid;

1.3 Analyse van informatiestromen

Universitaire informatiebronnen circuleren zowel binnen het systeem als via externe kanalen. Om de bescherming en organisatie van informatie te garanderen, maakt de universiteit gebruik van moderne informatiesystemen van verschillende typen.

Het meest significante en grootschalige is Tandem e-Learning – een alomvattend informatiesysteem dat het mogelijk maakt om voltijds onderwijs te monitoren en afstandsonderwijs implementeert als een van de gemoderniseerde e-learningbenaderingen. Tandem e - Learning is een gesloten onderwijsportaal waartoe universiteitsmedewerkers en studenten toegang hebben na voltooiing van de registratieprocedure. Toegang tot het systeem is zowel mogelijk vanaf interne computers als vanaf externe apparaten.

Een ander afstandsonderwijssysteem is Moodle. Dit portaal is ook gesloten en vereist registratie. Net als Tandem is het Moodle-systeem toegankelijk vanaf externe apparaten.

Beide portalen zijn gebouwd op basis van een onderwijsmanagementsysteem (LMS). Met een LMS kunt u leermateriaal beheren, distribueren en delen.

Het bedrijfsinformatiesysteem wordt geïmplementeerd via het Tandem University-systeem. Dit portaal bevat informatie over het onderwijsproces. Studenten, medewerkers en hoger management hebben toegang tot het Tandemsysteem. De bescherming van dit systeem wordt gewaarborgd doordat het geïsoleerd is en geen toegang heeft tot het lokale netwerk. Alle bronnen van het bedrijfsnetwerk bevinden zich op vier servers, waarvan er twee de database en het hoofdportaal bevatten en twee testservers.

De documentenstroom op de universiteit verloopt via het NauDoc-systeem. Dit is een cloudgebaseerd documentmanagementsysteem voor de registratie, verwerking en boekhouding van documenten binnen een instelling. Het universiteitsbureau, vestigingen en inkomende organisaties hebben toegang tot het systeem.

De inhoud van de universitaire website wordt beheerd door het professionele managementsysteem 1C - Bitrix. Het voordeel van dit systeem is dat het de reactiesnelheid van de site kan verhogen.

De boekhouding wordt verzorgd via het geautomatiseerde verwerkingssysteem "PARUS - Accounting". Met dit softwarepakket kunt u de boekhouding van bezittingen, afrekeningen en gelden volledig automatiseren. Net als het bedrijfssysteem van Tandem University is "PARUS - Accounting" geïsoleerd en hebben alleen medewerkers van de boekhoudafdeling er toegang toe.

Ook de universiteitsbibliotheek is geautomatiseerd en wordt aangestuurd via het MARK – SQL informatiebibliotheeksysteem. Dit systeem bevat een groot aantal informatiebronnen, waaronder een informatiecatalogus, die op een aparte Windows-server is opgeslagen.

Sommige bronnen zijn ook opgenomen in de volgende informatiesystemen:

– Consultant+ (referentie - rechtssysteem);

– TechExpert (informatie- en referentiesysteem met regelgevende, juridische en technische informatie op het gebied van “Business for Business”);

– Norma CS (referentiesysteem voor het zoeken en gebruiken van normen en regelgevingsdocumenten bij ontwerpactiviteiten);

– OTRS (orderverwerkingssysteem);

– RedMine (interne database);

– AIST (HR-dienst);

1.4 Analyse van informatiebronnen

Het informatiesysteem van de Nizjni Novgorod Staatsuniversiteit voor Architectuur en Civiele Techniek bevat een enorme hoeveelheid informatiebronnen (databases, documentatie, persoonlijke gegevens, archieven, bibliotheken), die op hun beurt het belangrijkste voorwerp van bescherming zijn. Het is raadzaam om verschillende niveaus van vertrouwelijkheid van informatie in te voeren:

· Beperkte informatie:

– Staatsgeheim - informatie die informatie bevat over de financiën, de productie, het management en andere activiteiten van de entiteit, waarvan de openbaarmaking economische schade zou kunnen veroorzaken;

– Beroepsgeheim - informatie die de organisatie van educatieve activiteiten en processen bevat.

– Persoonlijke gegevens - alle informatie die informatie bevat over een specifieke persoon (informatie over studenten, docenten, enz.);

· Publieke informatie:

– Resoluties, decreten, besluiten;

– Informatie die statistische informatie bevat over onderwijsactiviteiten;

– Informatie waartoe de toegang niet beperkt is door wet en charter;

1.5 Fysieke beveiliging van voorzieningen (security)

De faciliteit wordt 24 uur per dag bewaakt door een beveiligingspost. Toegang tot het universiteitsgebouw gebeurt met behulp van persoonlijke passen. Bezoekers hebben alleen het recht om het grondgebied te betreden onder begeleiding van een medewerker van de instelling. De universiteit beschikt over een brand- en beveiligingsalarm en heeft geschikte sensoren geïnstalleerd. Hardware-opslagapparaten (servers) bevinden zich in een aparte ruimte. De faciliteit wordt bewaakt via een videobewakingssysteem.

De belangrijkste beschermingsobjecten zijn onder meer:

– databaseservers;

– accountbeheerstation;

– ftp- en www-servers;

– Accounting-LAN, enz.;

– Gegevens uit archieven, financiële, statistische en educatieve afdelingen;

– Externe en interne informatiebronnen;

2. ANALYSE EN ONTWIKKELING VAN EEN BEDREIGINGSMODEL

2.1 Classificatie en analyse van bronnen van veiligheidsbedreigingen en kwetsbaarheden

Bij informatiebeveiliging is een bedreiging een potentiële gebeurtenis of actie die de werking van een computernetwerk kan beïnvloeden en tot een storing van het beveiligingssysteem kan leiden. Bij het aantasten van hulpbronnen leiden bedreigingen tot ongeoorloofde toegang, vervorming en distributie van beschermde gegevens. Het is raadzaam om de bronnen van dreigingen in de volgende groepen te verdelen:

– door de mens veroorzaakte bedreigingen (toevallige fouten in de ontwikkeling en werking van de componenten van het beveiligingssysteem, opzettelijke acties van de overtreder);

– door de mens veroorzaakte bedreigingen (storingen en defecten aan technische apparatuur);

– natuurlijke bedreigingen (natuurlijke veiligheidsdreigingen);

Tabel 2 geeft de classificatie en mogelijke bedreigingen weer die specifiek zijn voor de instelling.

Tabel 2. Classificatie van bedreigingsbronnen

Natuurlijke bronnen van bedreigingen worden gekenmerkt door overmacht en strekken zich uit tot alle veiligheidsvoorzieningen. Dergelijke bedreigingen zijn moeilijk te voorspellen en te voorkomen. De belangrijkste natuurlijke bronnen van bedreigingen zijn: branden, overstromingen, orkanen en onvoorziene omstandigheden. Beschermende maatregelen tegen natuurlijke gevaren moeten te allen tijde worden gehandhaafd.

Wat de bovengenoemde bedreigingen betreft, zijn de meest waarschijnlijke en gevaarlijke de onbedoelde acties van interne gebruikers en personen die rechtstreeks verband houden met het computernetwerk.

De meest voorkomende en gevaarlijkste (in termen van de omvang van de schade) zijn onbedoelde fouten van gewone gebruikers, operators, systeembeheerders en andere personen die een computernetwerk onderhouden. Door de mens veroorzaakte bedreigingen zijn het meest waarschijnlijk, omdat het mogelijk is de acties van mensen te voorspellen en passende tegenmaatregelen te nemen, die op hun beurt afhangen van de acties van degenen die verantwoordelijk zijn voor het waarborgen van de informatiebeveiliging.

Bedreigingen zijn meestal het gevolg van kwetsbaarheden, die op hun beurt leiden tot inbreuken op de beveiliging. Een kwetsbaarheid is een fout in een systeem waardoor een bedreiging met succes kan worden geïmplementeerd en de integriteit van het systeem in gevaar kan worden gebracht. Kwetsbaarheden kunnen om verschillende redenen ontstaan:

– fouten bij het maken van software;

– doelbewuste introductie van kwetsbaarheden in de softwareontwerpfase;

– ongeoorloofd gebruik van kwaadaardige programma's en, als gevolg daarvan, onnodige uitgaven aan middelen;

– onbedoelde gebruikersacties;

– storing van de software en hardware;

De volgende kwetsbaarheden bestaan:

· Doelstelling (kwetsbaarheden afhankelijk van de technische uitrusting van het informatiesysteem):

– Hardware-bladwijzers (bladwijzers voor technische en randapparatuur);

– Softwarebladwijzers (malware);

· Subjectief (kwetsbaarheden afhankelijk van de acties van mensen):

– Fouten (onjuiste bediening van software en hardware door gebruikers, foutieve gegevensinvoer);

– Schendingen (schending van de regels van het informatiebeveiligingsbeleid, schending van toegang en vertrouwelijkheid, schending van de werking van de hardware);

· Willekeurig (kwetsbaarheden veroorzaakt door de omgeving rondom het informatiesysteem)

– Storingen (falen van gegevensverwerkingsfaciliteiten, falen van netwerkfaciliteiten, falen van het controle- en beveiligingssysteem, falen van software);

– Storingen (stroomuitval);

– Schade (breuk van nutsvoorzieningen);

Het beperken of elimineren van kwetsbaarheden heeft invloed op de waarschijnlijkheid dat er bedreigingen voor de informatiebeveiliging optreden.

2.2 Indringermodel

Het waarborgen van de bescherming van universitaire informatiemiddelen is specifiek, aangezien dit een instelling is met een niet-permanent publiek. Omdat aanvallen van elke entiteit kunnen komen, is het nuttig om ze in twee categorieën te verdelen: externe aanvallers en interne aanvallers. Een externe indringer is een persoon die geen werknemer is en geen toegang heeft tot het informatiesysteem. Deze categorie omvat:

– hackers (entiteiten die aanvallen bedenken en uitvoeren met als doel schade te veroorzaken en beperkte toegang tot informatie te verkrijgen): door ongeautoriseerde toegang tot informatiesystemen kunnen zij informatie vernietigen of wijzigen; introductie van malware en virussen, hardware- en softwarebladwijzers met daaropvolgende ongeoorloofde toegang);

– aanbieders en leveranciers van hardware en software (ongeoorloofde toegang via werkstations tot informatiebronnen en communicatiekanalen);

Alle overige subjecten zijn interne overtreders. In overeenstemming met het FSTEC-richtlijnendocument “Basismodel van bedreigingen voor de veiligheid van persoonlijke gegevens tijdens hun verwerking in persoonlijke gegevensinformatiesystemen” worden interne overtreders onderverdeeld in acht categorieën:

1. Personen die geautoriseerde toegang hebben tot ISPD, maar geen toegang hebben tot PD.

Met betrekking tot deze instelling behoren dergelijke rechten toe aan het management, de afdeling informatietechnologie. In overeenstemming met hun rechten kunnen deze personen: toegang hebben tot bepaalde delen van de persoonsgegevens die via interne kanalen circuleren; informatie kennen over ISPD-topologie, communicatieprotocollen en diensten; namen en wachtwoorden van geregistreerde gebruikers identificeren; de configuratie van hardware en software wijzigen.

2. Geregistreerde ISPD-gebruikers die vanaf hun werkplek beperkte toegang hebben tot ISPD-bronnen.

Deze categorie omvat afdelingsmedewerkers, docenten en studenten van de instelling. Personen in deze categorie: hebben één identificatiecode en wachtwoord; beschikken over vertrouwelijke gegevens waartoe zij geautoriseerde toegang hebben.

3. Geregistreerde ISPD-gebruikers die op afstand toegang bieden tot PD via lokale en (of) gedistribueerde informatiesystemen.

4. Geregistreerde gebruikers van de ISPD met de bevoegdheid van de beveiligingsbeheerder van het ISPD-segment.

Personen in deze categorie: hebben informatie over software en hardware die in dit segment wordt gebruikt; heeft toegang tot beveiligings- en logtools en ISPD-hardware.

5. Geregistreerde gebruikers met ISPD-systeembeheerdersrechten.

Personen in deze categorie: kent informatie over de software en hardware van een volledige ISPD; fysieke toegang heeft tot alle hardware; heeft het recht om de hardware te configureren.

6. Geregistreerde gebruikers met ISPD-beveiligingsbeheerdersrechten.

7. Programmeurs - softwareontwikkelaars en begeleidende personen in deze faciliteit.

Personen in deze categorie: weten informatie over procedures en programma's voor het verwerken van gegevens op ISPD; kan tijdens de ontwikkeling bugs, bugs en kwaadaardige code introduceren; kan informatie hebben over de topologie en hardware van de ISPD.

8. Ontwikkelaars en personen die zorgen voor levering, onderhoud en reparatie van hardware op ISPD.

Met betrekking tot deze instelling omvatten interne overtreders:

– gebruikers van informatiebronnen (personeel van afdelingen, afdelingen en andere afdelingen, docenten, studenten) (onbedoelde wijziging of vernietiging van gegevens; installatie van kwaadaardige en niet-gecertificeerde software; overdracht van een individueel wachtwoord aan onbevoegden);

– personen die het informatiesysteem onderhouden en ondersteunen (per ongeluk of opzettelijk verkeerde configuratie van technische of netwerkfaciliteiten);

– andere personen met toegang tot informatieverwerkende faciliteiten (technisch en onderhoudspersoneel) (onbedoelde verstoring van elektrische voedingen en kunstwerken);

Een bijzondere en belangrijkste categorie overtreders zijn studenten. Tegenwoordig zijn velen van hen behoorlijk goed opgeleid en begrijpen ze cyberspace. Door middel van bepaalde manipulaties kunnen leerlingen een aantal veiligheidsovertredingen veroorzaken en schade veroorzaken.

2.3 Identificatie van actuele bedreigingen voor het informatiesysteem

Om de werkelijke veiligheidsbedreigingen te bepalen, moet rekening worden gehouden met twee waarden. De eerste indicator is het niveau van initiële beveiliging van het informatiesysteem. Dit is een algemene indicator die afhangt van de technische kenmerken van het systeem. Tabel 4 geeft de berekening weer van de initiële beveiliging van een informatiesysteem, die wordt bepaald door het percentage van een bepaald beveiligingsniveau ten opzichte van alle beschikbare beveiligingsindicatoren.

Tabel 4. Berekening van de initiële zekerheid van de instelling

Op basis van de resultaten van de analyse kunnen we concluderen dat de ISPD van de instelling een gemiddeld beveiligingsniveau kent. In overeenstemming met het verkregen resultaat wordt een coëfficiënt geïntroduceerd Y 1 = 5. Deze coëfficiënt is de eerste parameter bij het bepalen van de relevantie van dreigingen.

De volgende parameter is de waarschijnlijkheid dat de dreiging optreedt ( Y 2). Deze indicator wordt bepaald door experts en heeft vier mogelijke waarden:

– onwaarschijnlijk (ontbreken van objectieve voorwaarden voor het verwezenlijken van de dreiging - 0);

– lage waarschijnlijkheid (er bestaan ​​duidelijke voorwaarden voor het optreden van de dreiging, maar de bestaande beschermingsmiddelen maken het moeilijk deze te implementeren - 2);

– gemiddelde waarschijnlijkheid (er zijn voorwaarden voor het verwezenlijken van bedreigingen en de initiële beschermingsmethoden zijn onvoldoende - 5);

– hoge waarschijnlijkheid (er zijn objectieve voorwaarden voor het optreden van dreigingen en er zijn geen veiligheidsmaatregelen genomen - 10);

Op basis van de verkregen parameters wordt de dreigingsimplementatiecoëfficiënt Y berekend, die wordt bepaald door de formule Y = ( Y 1 +Y 2)/20. In overeenstemming met het verkregen resultaat neemt Y de volgende waarden aan:

– 0 < Y < 0,3 - низкая реализуемость угрозы;

– 0,3 < Y < 0,6 - средняя реализуемость угрозы;

– 0,6 < Y < 0,8 - высокая реализуемость угрозы;

– Y > 0,8 - zeer hoge realiseerbaarheid van bedreigingen;

De volgende stap is het beoordelen van de ernst van de dreiging. Deze beoordeling wordt gegeven door een veiligheidsspecialist en heeft de volgende gevaarswaarden:

– laag gevaar - de implementatie van de dreiging kan onbeduidende schade veroorzaken;

– middelmatig gevaar - de uitvoering van de dreiging kan schade veroorzaken;

– groot gevaar – de implementatie van de dreiging kan aanzienlijke schade veroorzaken;

Tabel 5 presenteert een matrix voor het berekenen van de relevantie van dreigingen, die wordt verkregen door rekening te houden met alle bovengenoemde indicatoren.

– “+” - de dreiging is urgent;

– “-” - de dreiging is niet relevant;

Tabel 5. Matrix voor het berekenen van de relevantie van dreigingen

Als resultaat van de analyse van de initiële veiligheid van de instelling en de dreigingsrelevantiematrix zijn de dreigingen die kenmerkend zijn voor deze instelling geïdentificeerd en hun relevantie volgens het volgende plan: dreiging (waarschijnlijkheid van de dreiging; haalbaarheid van de dreiging; beoordeling van de gevaar van de dreiging) - relevant/irrelevant.

1. Ongeautoriseerde toegang tot het grondgebied van de instelling, tot hardwareobjecten, documentatie (lage waarschijnlijkheid (2); gemiddelde haalbaarheid (0,35); hoog gevaar) - relevant;

2. Diefstal of schade aan geautomatiseerde systeemapparatuur (onwaarschijnlijk (0); lage haalbaarheid (0,25); groot gevaar) - relevant;

3. Onopzettelijke vernietiging en wijziging van informatie (gemiddelde waarschijnlijkheid (5); gemiddelde haalbaarheid (0,5); groot gevaar) - relevant;

4. Diefstal van papieren informatiebronnen (onwaarschijnlijk (0); lage haalbaarheid (0,25); gemiddeld gevaar) - niet relevant;

5. Lekken van vertrouwelijke gegevens via mobiele apparaten en laptops (onwaarschijnlijk (0); lage haalbaarheid (0,5); gemiddeld gevaar) - niet relevant;

6. Onbedoelde overschrijding van rechten om apparatuur te gebruiken door gebrek aan passende kennis (gemiddelde waarschijnlijkheid (5); gemiddelde haalbaarheid (0,5); gemiddeld gevaar) - relevant;

7. Onderschepping van verzonden informatie door netwerkverkeer te scannen (lage waarschijnlijkheid (2); gemiddelde haalbaarheid (0,35); groot gevaar) - relevant;

8. Installatie van malware van derden (lage waarschijnlijkheid (2); gemiddelde haalbaarheid (0,35); gemiddeld gevaar) - relevant;

9. Veranderingen in de configuratie van softwarecomponenten (gemiddelde waarschijnlijkheid (5); gemiddelde haalbaarheid (0,5); hoog gevaar) - relevant;

10. Vernietiging of wijziging van gebruikersregistratiegegevens (onwaarschijnlijk (0); lage haalbaarheid (0,25); laag gevaar) - niet relevant;

11. Onbedoelde openbaarmaking van vertrouwelijke informatie door medewerkers (grote waarschijnlijkheid (10); hoge haalbaarheid (0,75); groot gevaar) - relevant;

12. Verschillende soorten straling die de prestaties van technische apparatuur kunnen beïnvloeden (onwaarschijnlijk (0); lage haalbaarheid (0,25); gemiddeld gevaar) - niet relevant;

13. Falen en falen van netwerkapparatuur (gemiddelde waarschijnlijkheid (5); gemiddelde haalbaarheid (0,5); gemiddeld gevaar) - relevant;

14. Vernietiging van gegevens door fouten of falen van hardware en software (gemiddelde waarschijnlijkheid (5); gemiddelde haalbaarheid (0,5); groot gevaar) - relevant;

15. Softwarebladwijzers (lage waarschijnlijkheid (2); gemiddelde haalbaarheid (0,35); gemiddeld gevaar) - relevant;

16. Registratiegegevens van iemand anders gebruiken om informatiediensten te betreden (gemiddelde waarschijnlijkheid (2); gemiddelde haalbaarheid (0,35); hoog gevaar) - relevant;

17. Overtreding van beveiligings- en beveiligingsmaatregelen (lage waarschijnlijkheid (2); gemiddelde haalbaarheid (0,35); gemiddelde schade) - relevant;

Na analyse van de huidige bedreigingen kunnen we concluderen dat ze allemaal kunnen worden geëlimineerd door middel van technische en organisatorische maatregelen. Tabel 6 presenteert maatregelen ter bestrijding van actuele dreigingen die op de universiteit ingezet kunnen worden om data te beschermen.

Tabel 6. Methoden voor het bestrijden van huidige dreigingen

Bij de ontwikkeling van het universitaire veiligheidsbeleid zullen de in de tabel aangegeven methoden voor het bestrijden van dreigingen worden meegenomen en gebruikt.

2.4. Bepalen van de beveiligingsklasse van een informatiesysteem

Om een ​​effectief beveiligingssysteem voor een instelling te ontwikkelen, is het noodzakelijk om de beveiligingsklasse van het bronsysteem te bepalen. Voor dit doel werd een analyse van het informatiesysteem uitgevoerd en werden de volgende resultaten verkregen:

– Het systeem verwerkt informatie met verschillende niveaus van vertrouwelijkheid;

– Het systeem verwerkt gegevens die als “geheim” zijn geclassificeerd;

– Het informatiesysteem is multi-user;

- Toegangsrechten...

Soortgelijke documenten

De essentie van informatie, de classificatie ervan. De belangrijkste problemen bij het waarborgen van en bedreigingen voor de informatiebeveiliging van ondernemingen. Risicoanalyse en principes van bedrijfsinformatiebeveiliging. Ontwikkeling van een reeks maatregelen om de informatiebeveiliging te waarborgen.

cursuswerk, toegevoegd op 17-05-2016


Analyse van de infrastructuur van LLC-winkel "Style". Creatie van een informatiebeveiligingssysteem voor de boekhoudafdeling van een onderneming op basis van het onderzoek voorafgaand aan het project. Ontwikkeling van een concept, informatiebeveiligingsbeleid en selectie van oplossingen om dit te waarborgen.

cursuswerk, toegevoegd op 17-09-2010


Een bedrijfin de vorm van een systeem van effectief beleid dat een effectieve en voldoende reeks beveiligingsvereisten definieert. Identificatie van bedreigingen voor de informatiebeveiliging. Interne controle en risicobeheer.

cursuswerk, toegevoegd op 14-06-2015


Ontwikkeling van structurele en infologische modellen van het informatiesysteem van een overheidsinstantie. Lijst en analyse van bedreigingen, aanvalsdoelen, soorten verliezen, omvang van de schade, bronnen. Het beschermen van de database met vertrouwelijke informatie en het ontwikkelen van een beveiligingsbeleid.

cursuswerk, toegevoegd op 15-11-2009


Basisconcepten, methoden en technologieën voor risicobeheer op het gebied van informatiebeveiliging. Identificatie van risico's, activa, bedreigingen, kwetsbaarheden, bestaande controles, gevolgen. Risicobeoordeling en -reductie. Voorbeelden van typische bedreigingen voor de informatiebeveiliging.

presentatie, toegevoegd 04/11/2018


Regelgevingsdocumenten op het gebied van informatiebeveiliging in Rusland. Analyse van bedreigingen voor informatiesystemen. Kenmerken van de organisatie van het systeem voor de bescherming van persoonsgegevens van de kliniek. Implementatie van een authenticatiesysteem met behulp van elektronische sleutels.

proefschrift, toegevoegd op 31-10-2016


Kenmerken van de informatiebronnen van het landbouwbedrijf Ashatli. Indie specifiek zijn voor de onderneming. Maatregelen, methoden en middelen voor informatiebescherming. Analyse van de tekortkomingen van het bestaande en de voordelen van het bijgewerkte beveiligingssysteem.

cursuswerk, toegevoegd op 02/03/2011


Concept, betekenis en richtingen van informatiebeveiliging. Een systematische aanpak voor het organiseren van informatiebeveiliging, waarbij informatie wordt beschermd tegen ongeoorloofde toegang. Hulpmiddelen voor informatiebeveiliging. Methoden en systemen voor informatiebeveiliging.

samenvatting, toegevoegd op 15-11-2011


Risicoanalyse van informatiebeveiliging. Identificatie van kwetsbaarheden in activa. Beoordeling van bestaande en geplande beschermingsmiddelen. Een reeks ontworpen regelgevende, organisatorische en administratieve middelen om informatiebeveiliging te garanderen.

proefschrift, toegevoegd 04/03/2013


Ontwikkeling van een universitair informatiesysteem met behulp van UML-objectgeoriënteerde modelleringstechnieken. Analyse van systeemvereisten. Conceptueel (inhouds)model. Component- en klassendiagram. Software-implementatie van de applicatie.

UDC 004.056

O. M. Protalinsky, I. M. Azhmukhamedov INFORMATIEBEVEILIGING VAN DE UNIVERSITEIT

Invoering

In de moderne omstandigheden van algemene informatisering en ontwikkeling van informatietechnologieën nemen de bedreigingen voor de nationale veiligheid van de Russische Federatie op informatiegebied toe.

Het concept van de nationale veiligheid van de Russische Federatie in relatie tot de informatiesfeer is ontwikkeld door de Doctrine van Informatiebeveiliging van de Russische Federatie.

De Doctrine stelt dat het waarborgen van de informatiebeveiliging van de Russische Federatie een sleutelrol speelt bij het waarborgen van de nationale veiligheid van de Russische Federatie. Tegelijkertijd is een van de prioritaire richtingen van het staatsbeleid op het gebied van het waarborgen van informatiebeveiliging van de Russische Federatie de verbetering van de personeelsopleiding en de ontwikkeling van onderwijs op het gebied van informatiebeveiliging. Universiteiten spelen een bijzondere rol bij het oplossen van deze problemen.

Het Russische hoger onderwijs maakt een periode van aanpassing door, niet alleen aan de objectieve processen van de informatiemaatschappij, maar ook aan nieuwe sociaal-politieke omstandigheden met diverse uitingen van concurrentie.

Het creëren van effectieve mechanismen voor het beheer van informatiebronnen van het hoger onderwijssysteem in moderne omstandigheden is onmogelijk zonder wetenschappelijke rechtvaardiging en praktische implementatie van een evenwichtig universitair informatiebeveiligingsbeleid, dat kan worden gevormd op basis van het oplossen van de volgende taken:

Analyse van informatie-interactieprocessen op alle gebieden van de hoofdactiviteit van een Russische technische universiteit: informatiestromen, hun schaal en kwaliteit, tegenstrijdigheden, concurrentie met de identificatie van eigenaren en rivalen;

Ontwikkeling van een kwalitatieve en eenvoudige kwantitatieve (wiskundige) beschrijving van informatie-interactie;

Introductie van kwantitatieve indicatoren en criteria voor openheid, veiligheid en eerlijkheid van informatie-uitwisseling;

Ontwikkeling van scenario's voor de noodzaak en het belang van evenwicht in openheid en vertrouwelijkheid van informatie;

Het bepalen van de rol en plaats van informatiebeveiligingsbeleid in het beheer van universitaire informatiebronnen en het ontwikkelen van consistente principes en benaderingen;

Formulering van de belangrijkste componenten van het beleid: doelstellingen, doelstellingen, principes en sleutelrichtingen voor het waarborgen van informatiebeveiliging;

Ontwikkeling van basismethoden voor het beheer van het proces van het garanderen van informatiebeveiligingsbeleid;

Opstellen van ontwerpen van regelgevingsdocumenten.

Bijzonderheden van onderwijsinstellingen

Een moderne universiteit bewaart en verwerkt een enorme hoeveelheid verschillende gegevens die niet alleen betrekking hebben op het onderwijsproces, maar ook op onderzoek en ontwikkeling, persoonlijke gegevens van studenten en werknemers, officiële, commerciële en andere vertrouwelijke informatie.

De toename van het aantal misdaden op het gebied van geavanceerde technologie dicteert de vereisten voor de bescherming van de bronnen van computernetwerken van onderwijsinstellingen en stelt de taak voor om een ​​eigen geïntegreerd beveiligingssysteem op te bouwen. De oplossing ervan veronderstelt het bestaan ​​van een regelgevingskader, de vorming van een veiligheidsconcept, de ontwikkeling van maatregelen, plannen en procedures voor veilig werken, het ontwerp, de implementatie en het onderhoud van technische middelen voor informatiebeveiliging (ISIS) binnen een onderwijsinstelling. Deze componenten bepalen een uniform beleid voor het waarborgen van de informatiebeveiliging op de universiteit.

Het specifieke van informatiebescherming in het onderwijssysteem is dat een universiteit een openbare instelling is met een wispelturig publiek, maar ook een plek waar ‘beginnende cybercriminelen’ steeds vaker actief zijn.

De belangrijkste groep potentiële overtreders aan de universiteit zijn studenten, sommigen van hen hebben een vrij hoog opleidingsniveau. Leeftijd (van 18 tot 23 jaar oud) en jeugdig maximalisme moedigen zulke mensen aan om met hun kennis te pronken in het bijzijn van hun medestudenten: een virusepidemie creëren, administratieve toegang krijgen en de leraar ‘straffen’, de toegang tot internet blokkeren, enz. Het volstaat te bedenken dat de eerste computercriminaliteit precies op de universiteit ontstond (Morris-worm).

De kenmerken van een universiteit als object van informatisering houden ook verband met het multidisciplinaire karakter van haar activiteiten, de overvloed aan vormen en methoden van educatief werk, en de ruimtelijke verdeling van de infrastructuur (filialen, representatieve kantoren). Dit omvat ook de verscheidenheid aan financieringsbronnen, de aanwezigheid van een ontwikkelde structuur van ondersteunende afdelingen en diensten (bouw, productie, economische activiteiten), de noodzaak om zich aan te passen aan de veranderende markt van onderwijsdiensten, de noodzaak om de arbeidsmarkt te analyseren, het gebrek aan algemeen aanvaarde formalisering van bedrijfsprocessen, de behoefte aan elektronische interactie met hogere organisaties, frequente veranderingen in de status van werknemers en stagiairs.

Het probleem wordt enigszins verlicht door het feit dat de universiteit een stabiel, hiërarchisch systeem is in termen van managementfuncties, dat over alle noodzakelijke levensvoorwaarden beschikt en opereert volgens de principes van gecentraliseerd management (dit laatste betekent dat administratieve middelen actief kunnen worden gebruikt bij het beheren van informatiseringstaken).

De bovenstaande kenmerken vereisen naleving van de volgende vereisten:

Uitgebreide studie van informatiebeveiligingsproblemen, beginnend bij het concept en eindigend met de ondersteuning van software- en hardwareoplossingen;

Het aantrekken van een groot aantal specialisten die de inhoud van bedrijfsprocessen kennen;

Gebruikmakend van een modulaire structuur van bedrijfsapplicaties, waarbij elke module een onderling verbonden groep bedrijfsprocedures of informatiediensten bestrijkt en tegelijkertijd uniforme beveiligingsvereisten waarborgt;

Toepassing van een redelijke opeenvolging van fasen bij het oplossen van informatiebeveiligingsproblemen;

Het documenteren van ontwikkelingen op basis van de oordeelkundige toepassing van standaarden om ervoor te zorgen dat een succesvol systeem ontstaat;

Het gebruik van betrouwbare en schaalbare hardware- en softwareplatforms en -technologieën voor verschillende doeleinden die het vereiste beveiligingsniveau bieden.

Vanuit architectonisch oogpunt kunnen er in de bedrijfsinformatieomgeving drie niveaus worden onderscheiden, om de veilige werking ervan te garanderen, waarbij verschillende benaderingen moeten worden toegepast:

Apparatuur voor een computernetwerk, kanalen en datalijnen, gebruikerswerkstations, systemen voor gegevensopslag;

Besturingssystemen, netwerkdiensten en diensten voor toegangscontrole van bronnen, middleware;

Applicatiesoftware, informatiediensten en gebruikersgerichte omgevingen.

Bij het creëren van een geïntegreerd informatienetwerk (CIS) is het noodzakelijk om te zorgen voor coördinatie op meerdere niveaus van beveiligingsvereisten voor de geselecteerde oplossingen of technologieën. Op het tweede niveau vertegenwoordigt de CIS-architectuur van veel universiteiten dus ongelijksoortige en losjes verbonden subsystemen met verschillende besturingsomgevingen, die alleen met elkaar worden gecoördineerd op het niveau van het toewijzen van Sh-adressen of berichtenuitwisseling. De redenen voor de slechte systeemorganisatie van het CIS zijn het ontbreken van een goedgekeurde CIS-architectuur en de aanwezigheid van verschillende centra van verantwoordelijkheid voor technologieontwikkeling die ongecoördineerd optreden. De problemen beginnen met een onwil om de keuze van de besturingsomgevingen op afdelingen te beheren, terwijl belangrijke technologische beslissingen volledig gedecentraliseerd zijn, wat het niveau van systeembeveiliging sterk verlaagt.

Universiteiten die een duidelijke strategie hebben voor de ontwikkeling van informatietechnologie, uniforme eisen aan de informatie-infrastructuur, een informatiebeveiligingsbeleid en goedgekeurde regelgeving voor de belangrijkste componenten van het bedrijfsinformatiesysteem onderscheiden zich doorgaans door een sterke administratieve kern in management en de hoge autoriteit van het hoofd van de IT-dienst.

Dergelijke universiteiten kunnen uiteraard verschillende besturingsomgevingen of middenlaagsystemen gebruiken, maar dit is te wijten aan organisatorische, technische of economische redenen en staat de inzet van het CIS van de universiteit en de introductie van uniforme principes van veilige toegang tot informatiebronnen niet in de weg. .

De stand van de ontwikkeling van de CIS-architectuur op universiteiten op het derde niveau kan als volgt worden gekarakteriseerd: de overgang van lokale softwareapplicaties die een afzonderlijk bedrijfsproces automatiseren en afhankelijk zijn van een lokale dataset, naar client-serverinformatiesystemen van bedrijven die gebruikers toegang bieden tot operationele systemen. universitaire databases zijn grotendeels voltooid. Op de een of andere manier is het probleem van de integratie van gegevens gegenereerd door verschillende informatiesystemen opgelost, wat het mogelijk maakt bedrijfsprocessen te verbeteren en de kwaliteit van het management en de besluitvorming te verbeteren.

Als begin jaren negentig. XX eeuw Er was een grote vraag naar boekhoudsoftware en management accounting software (HR, rapportage, etc.), maar momenteel wordt aan deze vraag grotendeels voldaan. Momenteel is het de taak om betrouwbare gegevens over de activiteiten van een onderwijsinstelling te verstrekken, niet alleen aan het managementpersoneel, maar ook aan iedere leraar en leerling. taak om de informatiebeveiliging in dergelijke netwerken te garanderen, zijn zelfs nog relevanter.

Informatiebeveiliging van bedrijfsnetwerken van universiteiten

De actieve introductie van internet en nieuwe informatietechnologieën in het onderwijsproces en het universitaire managementsysteem heeft de voorwaarden geschapen voor de opkomst van bedrijfsnetwerken.

Het bedrijfsnetwerk van een universiteit is een informatiesysteem dat computers, servers, netwerkapparatuur, communicatie en telecommunicatie omvat, en een softwaresysteem dat is ontworpen om problemen op te lossen bij het beheren van een universiteit en het uitvoeren van onderwijsactiviteiten.

Een bedrijfsnetwerk verenigt doorgaans niet alleen de structurele afdelingen van een universiteit, maar ook hun regionale kantoren. Deze netwerken waren voorheen ontoegankelijk voor universiteiten, maar worden nu actief geïntroduceerd in onderwijsstructuren als gevolg van de enorme verspreiding van internet en de toegankelijkheid ervan.

Geïntegreerde informatiebeveiliging van een universiteit is een systeem voor het bewaren, beperken en geautoriseerde toegang tot informatie die zich bevindt op servers in bedrijfsnetwerken van universiteiten, en wordt verzonden via telecommunicatiekanalen in systemen voor afstandsonderwijs.

In bredere zin omvat de term ‘alomvattende informatiebeveiliging van een universiteit’ twee aspecten: een systeem voor het beschermen van de intellectuele informatie-eigendom van de universiteit tegen externe en interne agressieve invloeden en een systeem voor het beheren van de toegang tot informatie en bescherming tegen agressieve informatieruimten. Als gevolg van de ongecontroleerde massale ontwikkeling van het internet is onlangs het laatste aspect van veiligheid bijzonder relevant geworden.

De term ‘informatieruimte’ verwijst naar informatie die zich bevindt op servers in bedrijfsnetwerken van onderwijsinstellingen, instellingen, bibliotheken en op het mondiale internet, op elektronische media, maar ook wordt verzonden via televisiecommunicatiekanalen of televisie.

Agressieve informatieruimte is een informatieruimte waarvan de inhoud zowel onmiddellijk na blootstelling aan informatie als na enige tijd uitingen van agressie bij de gebruiker kan veroorzaken (langetermijneffect).

De term is gebaseerd op de hypothese dat informatie in bepaalde vormen en inhoud bepaalde effecten kan veroorzaken met de uiting van agressie en vijandigheid.

De problemen van complexe informatiebeveiliging van bedrijfsnetwerken van universiteiten zijn veel breder, diverser en acuter dan in andere systemen. Dit komt door de volgende kenmerken:

Het bedrijfsnetwerk van een universiteit is doorgaans gebouwd op het concept van ‘magere financiering’ (apparatuur, personeel, software zonder licentie);

Bedrijfsnetwerken hebben in de regel geen strategische ontwikkelingsdoelen. Dit betekent dat de topologie van netwerken, hun hardware en software worden bekeken vanuit het perspectief van de huidige taken;

In één bedrijfsnetwerk van een universiteit worden twee hoofdtaken opgelost: het aanbieden van educatieve en wetenschappelijke activiteiten en het oplossen van het probleem van het beheren van educatieve en wetenschappelijke processen. Dit betekent dat er tegelijkertijd meerdere geautomatiseerde systemen of subsystemen in dit netwerk opereren binnen het raamwerk van één managementsysteem (ACS “Student”, ACS “Personeel”, ACS “Onderwijsproces”, ACS “Bibliotheek”, ACS “Onderzoek”, ACS “Boekhouding” enz.);

Bedrijfsnetwerken zijn heterogeen, zowel qua hardware als qua software, vanwege het feit dat ze gedurende een lange periode zijn gemaakt voor verschillende taken;

Uitgebreide informatiebeveiligingsplannen ontbreken in de regel of voldoen niet aan de moderne eisen.

In een dergelijk netwerk zijn zowel interne als externe bedreigingen voor de informatiebeveiliging mogelijk:

Pogingen tot ongeautoriseerd databasebeheer;

Netwerkonderzoek, ongeoorloofde lancering van netwerkauditprogramma's;

Informatie verwijderen, inclusief bibliotheken;

Spelprogramma's lanceren;

Installatie van virusprogramma's en Trojaanse paarden;

Pogingen om het geautomatiseerde controlesysteem "VUZ" te hacken;

Het scannen van netwerken, inclusief andere organisaties, via internet;

Het ongeautoriseerd downloaden van software zonder licentie van internet en de installatie ervan op werkstations;

Pogingen om boekhoudsystemen binnen te dringen;

Zoeken naar “gaten” in besturingssysteem, firewall, proxyservers;

Pogingen tot ongeoorloofd beheer op afstand van het besturingssysteem;

Poortscannen, enz.

Analyse van bedreigingen, hun bronnen en risico's

Bronnen van mogelijke bedreigingen voor informatie zijn:

Geautomatiseerde klaslokalen waarin het onderwijsproces plaatsvindt;

Internet;

Werkplekken van universiteitsmedewerkers die niet gekwalificeerd zijn op het gebied van informatiebeveiliging.

Informatierisicoanalyse kan worden onderverdeeld in de volgende fasen:

Classificatie van te beschermen objecten op basis van belangrijkheid;

Het bepalen van de aantrekkelijkheid van beschermde objecten voor inbrekers;

Identificatie van mogelijke bedreigingen en waarschijnlijke toegangskanalen tot objecten;

Beoordeling van bestaande beveiligingsmaatregelen;

Identificatie van kwetsbaarheden in de verdediging en manieren om deze te elimineren;

Het samenstellen van een gerangschikte lijst met bedreigingen;

Beoordeling van schade als gevolg van ongeoorloofde toegang, denial-of-service-aanvallen, apparatuurstoringen.

De belangrijkste objecten die bescherming nodig hebben tegen ongeautoriseerde toegang:

Boekhoudkundige LAN's, gegevens van de plannings- en financiële afdeling, evenals statistische en archiefgegevens;

Databaseservers;

Accountbeheerconsole;

WWW/ftp-servers;

LAN en servers voor onderzoeksprojecten.

In de regel wordt de communicatie met internet via meerdere communicatielijnen tegelijk uitgevoerd (glasvezelbackbone, satelliet- en radiokanalen). Er zijn aparte kanalen voorzien voor communicatie met andere universiteiten of voor veilige gegevensuitwisseling.

Om de risico's die gepaard gaan met lekkage en schade aan overgedragen informatie te elimineren, mogen dergelijke netwerken niet worden verbonden met mondiale netwerken en het algemene universitaire netwerk.

Kritische knooppunten voor universitaire gegevensuitwisseling (bijvoorbeeld het boekhoud-LAN) moeten ook afzonderlijk bestaan.

Lijnen van bescherming

De eerste verdedigingslinie tegen externe aanvallen (internet) is een router. Het wordt gebruikt om netwerksecties met elkaar te verbinden, maar ook om verkeer effectiever te scheiden en alternatieve paden tussen netwerkknooppunten te gebruiken. De werking van subnetten en communicatie met Wide Area Networks (WAN) zijn afhankelijk van de instellingen ervan. Het belangrijkste beveiligingsdoel is bescherming tegen gedistribueerde denial-of-service-aanvallen (DDOS).

De tweede grens kan een firewall (FWE) zijn: het hardware- en softwarecomplex Cisco PIX Firewall.

Vervolgens komt de gedemilitariseerde zone (DMZ). In deze zone is het noodzakelijk om de belangrijkste proxyserver, DNS-server, www/ftp, mailservers te lokaliseren. De proxyserver verwerkt verzoeken van werkstations van trainingspersoneel en servers die niet rechtstreeks met de router zijn verbonden, en filtert het verkeer. Het beveiligingsbeleid op dit niveau moet worden bepaald door ongewenst verkeer te blokkeren en op te slaan (filteren van multimedia-inhoud, ISO-afbeeldingen, blokkeren van pagina's met ongewenste/obscene inhoud met behulp van trefwoorden). Om het downloaden van met virussen geïnfecteerde informatie te voorkomen, is het gerechtvaardigd om antivirusprogramma's op deze server te plaatsen.

Informatie van de proxyserver moet parallel naar de statistische server worden verzonden, waar u de gebruikersactiviteit op internet kunt bekijken en analyseren. De mailserver moet beschikken over een mail-antivirus, bijvoorbeeld Kaspersky Antivirus for Mail-servers.

Omdat deze servers rechtstreeks zijn verbonden met het wereldwijde netwerk, is het controleren van de software die erop is geïnstalleerd de primaire taak van een informatiebeveiligingsingenieur van een universiteit. Om geld te besparen en de flexibiliteit aan te passen, is het raadzaam om opensource besturingssystemen en software te gebruiken.

Enkele van de meest voorkomende besturingssystemen zijn FreeBSD en GNU Linux. Maar niets belet u om de meer conservatieve Open BSD of zelfs het ultrastabiele realtime besturingssysteem QNX te gebruiken.

Om antivirusactiviteiten centraal te beheren, heeft u een product met een client-server-architectuur nodig, zoals Dr.Web Enterprise Suite. Hiermee kunt u instellingen en updates van antivirusdatabases centraal beheren met behulp van een grafische console en gemakkelijk leesbare statistieken over eventuele virusactiviteit verstrekken.

Voor meer gemak voor universiteitsmedewerkers kunt u de toegang tot het interne netwerk van de universiteit regelen met behulp van VPN-technologie.

Sommige universiteiten hebben hun eigen inbelpool voor internettoegang en maken gebruik van de communicatiekanalen van de instelling. Om te voorkomen dat onbevoegden deze toegang voor illegale doeleinden gebruiken, mogen medewerkers van de onderwijsinstelling het telefoonnummer, de login of het wachtwoord van het zwembad niet openbaar maken.

De mate van beveiliging van netwerken en servers van de meeste Russische universiteiten laat veel te wensen over. Daar zijn veel redenen voor, maar een van de belangrijkste is de slechte organisatie van maatregelen om informatiebeveiligingsbeleid te ontwikkelen en af ​​te dwingen, en de onderschatting van het belang van deze activiteiten. Het tweede probleem is onvoldoende financiering voor de aanschaf van apparatuur en de introductie van nieuwe technologieën op het gebied van informatiebeveiliging.

Structuur van het uitgebreide informatiebeveiligingssysteem van de universiteit

Een alomvattend informatiebeveiligingssysteem zou de ontwikkeling van het volgende beleid moeten omvatten.

In de eerste plaats betreft dit het financiële beleid om het bedrijfsnetwerk van de universiteit in te zetten, te ontwikkelen en up-to-date te houden. Het is dominant en kan worden onderverdeeld in drie gebieden: schaarse financiering, redelijke toereikendheidsfinanciering en prioritaire financiering.

Het tweede beleid wordt bepaald door het organisatieniveau van de inzet en het onderhoud van het bedrijfsnetwerk van de universiteit.

Het derde beleid heeft betrekking op de personeelsbezetting van het clearinghouse. Het is vooral relevant voor universiteiten vanwege de toegenomen vraag naar ervaren systeembeheerders.

Softwarebeleid is momenteel een van de kostbare factoren bij de ontwikkeling van een bedrijfsnetwerk. Rationele benaderingen om dit probleem op te lossen in de omstandigheden van de monopoliemarkt voor OS- en MicroSoft-softwareproducten zijn een aparte kwestie die zorgvuldige overweging vereist.

Het beleid inzake technische ondersteuning is wellicht niet geheel relevant in de context van voldoende financiering. Maar er is altijd het probleem van het updaten van verouderde apparatuur.

Ten slotte heeft het nieuwste beleid betrekking op de vorming van morele en ethische normen voor tolerant gedrag in informatiesystemen en redelijke beperkingen op het bezoeken van agressieve informatieruimten. De onderschatting van deze gebieden zal worden gecompenseerd door hogere financiële kosten voor het onderhouden van bedrijfsnetwerken van universiteiten.

BIBLIOGRAFIE

1. Het concept van de nationale veiligheid van de Russische Federatie, goedgekeurd bij decreet van de president van de Russische Federatie van 17 december 1997 nr. 1300 (zoals gewijzigd bij decreet van de president van de Russische Federatie van 10 januari 2000 nr. 24 ).

2. De Doctrine van Informatiebeveiliging van de Russische Federatie, goedgekeurd door de president van de Russische Federatie op 9 september 2000, Pr-1895.

3. Trufanov A.I. Universitair informatiebeveiligingsbeleid als onderzoeksonderwerp // Problemen van de aardse beschaving. - Vol. 9. - Irkoetsk: ISTU, 2004 / bibliotheek.istu.edu/civ/default.htm.

4. Volkov A.V. Zorgen voor informatiebeveiliging op universiteiten // Informatiebeveiliging. - 2006. - Nr. 3, 4 / http://www. itssec.ru/articles2/bepub/insec-3 + 4-2006.

5. Kryukov V.V., Mayorov V.S., Shakhgeldyan K.I. Implementatie van een bedrijfscomputernetwerk van een universiteit gebaseerd op Active Directory-technologie // Proc. Volledig Russisch wetenschappelijk conf. "Wetenschappelijke dienst op internet." -Novorossiejsk, 2002. - P. 253-255.

6. Minzov A. S. Kenmerken van complexe informatiebeveiliging van bedrijfsnetwerken van universiteiten / http: //tolerantie. mubiu. ru/base/Minzov(2).htm#top.

Het artikel is op 22 januari 2009 door de redactie ontvangen

INFORMATIEBEVEILIGING VAN HET INSTITUUT VOOR HOGER ONDERWIJS

OM Protalinskiy, I.M. Azhmukhamedov

Het specifieke karakter van het bieden van informatiebeveiliging binnen het Hoger Onderwijs wordt zichtbaar. Bedreigingen, hun bronnen en risico's worden geanalyseerd. De grenzen van de informatiebescherming en de structuur van complexe informatiebeveiligingssystemen worden onderzocht.

Trefwoorden: informatiebeveiliging, instelling voor hoger onderwijs, de veiligheidsdreiging, informatiebeveiliging.

Universitaire informatiebeveiliging. Organisatie van het werk op het gebied van informatiebescherming tijdens de constructie van een uniforme informatieruimte Kandidaat Technische Wetenschappen, universitair hoofddocent Glybovsky Pavel Anatolyevich Kandidaat Technische Wetenschappen, universitair hoofddocent Mazhnikov Pavel Viktorovich Afdeling Informatieverzamelings- en verwerkingssystemen van de A.F. Mozhaisky Militaire Academie

Informatiesysteem is een geheel van informatie in databases en informatietechnologieën en technische middelen die de verwerking ervan garanderen. (Federale wet 2006 149-FZ “Betreffende informatie, informatietechnologieën en informatiebescherming”). Staatsinformatiesystemen - Federale informatiesystemen en regionale informatiesystemen gecreëerd op basis van respectievelijk federale wetten, wetten van samenstellende entiteiten van de Russische Federatie, op basis van rechtshandelingen van staatsorganen. (Federale wet 2006 149-FZ “Betreffende informatie, informatietechnologieën en informatiebescherming”). Geautomatiseerd systeem. Een systeem bestaande uit personeel en een reeks automatiseringshulpmiddelen voor hun activiteiten, waarbij informatietechnologie wordt geïmplementeerd voor het uitvoeren van gevestigde functies (GOST). Termen en definities

Informatiesystemen, informatiseringsinstrumenten, bevattende: Technische middelen en systemen voor het verwerken van open informatie in gebouwen waar beperkt toegankelijke informatie wordt verwerkt Locaties voor het voeren van onderhandelingen met behulp van beperkt toegankelijke informatie Belangrijkste objecten voor de bescherming van beperkt toegankelijke informatie die geen informatie bevat die staatsgeheimen vormt en open informatie Open informatie Beperkt toegankelijke informatie die geen staatsgeheime informatie bevat FIAC is een sleutelinformatiesysteem. infrastructuur ISPDLVSARM Afdrukken, kopiëren betekent Communicatie, schakelen, enz. Huishoudelijke apparaten Brand- en beveiligingsalarmen Telefoons, enz. Communicatiemiddelen Informatiesystemen. Staat IS Gemeentelijke IS Andere IS

Informatiebescherming Een informatiebeschermingssysteem is een geheel van instanties en (of) uitvoerders, de idie zij gebruiken, evenals objecten van bescherming, georganiseerd en functionerend volgens de regels die zijn vastgelegd in de relevante juridische, organisatorische, administratieve en regelgevende documenten. op het gebied van informatiebescherming. (GOST R Informatiebescherming. Basistermen en definities). Onderwerpen van inOverheidsinstanties, geautoriseerde overheidsinstanties, organisaties die informatie verwerken in informatiseringsfaciliteiten, licentiehoudende organisaties Wat valt onder bescherming Hoe te beschermen Tegen welke bedreigingen Informatisering heeft bezwaar tegen informatisering, IP, incl. software waarin informatie wordt verwerkt en opgeslagen, waarvan de toegang beperkt is door federale wetten, hulpmiddelen voor informatiebescherming, openbaar beschikbare informatie tegen lekken via technische kanalen, ongeoorloofde toegang, vernietiging, wijziging, blokkering, kopiëren, verstrekking, distributie, evenals van andere illegale acties. Een geheel van juridische, organisatorische en technische maatregelen

Besluit van de Federale Dienst voor Technische en Exportcontrole (FSTEC van Rusland) van 11 februari 2013 N 17 "Over goedkeuring van de vereisten voor de bescherming van informatie die geen staatsgeheim vormt in staatsinformatiesystemen" IS-wetgevingssysteem

Informatie in elektronische vorm die is toegevoegd aan andere informatie in elektronische vorm (ondertekende informatie) of anderszins met dergelijke informatie is geassocieerd en die wordt gebruikt om te bepalen wie de informatie ondertekent. Het feit van aanvaarding van rechten en plichten als gevolg van de ondertekening van een document Systeem van informatiebeveiligingswetgeving elektronische handtekening

Federale wet van de Russische Federatie van 6 april 2011 N 63-FZ “Over elektronische handtekeningen”; Decreet van de president van de Russische Federatie van 3 april 1995 N 334 “Betreffende maatregelen om te voldoen aan de wet op het gebied van de ontwikkeling, productie, verkoop en exploitatie van encryptietools, evenals het verlenen van diensten op het gebied van informatie encryptie”; “Regelgeving voor de ontwikkeling, productie, implementatie en werking van encryptie (cryptografische) informatiebeveiligingsmiddelen” (Regelgeving PKZ-2005) Goedgekeurd bij besluit van de FSB van de Russische Federatie van 9 februari 2005 N 66; FAPSI Order nr. 152 van 13 juni 2001 “Over goedkeuring van de instructies voor het organiseren en garanderen van de veiligheid van opslag, verwerking en verzending via communicatiekanalen met behulp van cryptografische beschermingsmiddelen voor informatie met beperkte toegang die geen informatie bevat die een staatsgeheim vormt. ” Informatiebeveiliging wetgevingssysteem elektronische handtekening

Bij het gebruik van verbeterde elektronische handtekeningen zijn deelnemers aan elektronische interactie verplicht om: 1) de vertrouwelijkheid van elektronische handtekeningsleutels te waarborgen, en in het bijzonder het gebruik van elektronische handtekeningsleutels die hen toebehoren niet toe te staan ​​zonder hun toestemming (artikel 10 van federale wet 63-FZ van 6 april 2011); 2) om de elektronische handtekeningsleutel niet te gebruiken als er reden is om aan te nemen dat de vertrouwelijkheid van deze sleutel is geschonden (artikel 10 van federale wet 63-FZ van 6 april 2011); 3) hulpmiddelen voor elektronische handtekeningen gebruiken die bevestiging hebben gekregen van naleving van de vereisten die zijn vastgelegd in overeenstemming met deze federale wet (artikel 10 van federale wet 63-FZ van 6 april 2011) om gekwalificeerde elektronische handtekeningen te maken en te verifiëren, sleutels van gekwalificeerde elektronische handtekeningen te creëren handtekeningen en sleutels voor hun verificatie.); 4) kopie-voor-kopie bijhouden volgens de gevestigde vormen van CIPF, operationele en technische documentatie daarvoor). (Artikel 26 van FAPSI-bevel 152 van 13 juni 2001). Informatiebeveiliging wetgevingssysteem elektronische handtekening

1C: Documentstroom van een staatsinstelling "1C: Documentstroom van een staatsinstelling 8" is bedoeld voor een alomvattende oplossing voor een breed scala aan problemen met betrekking tot het automatiseren van documentboekhouding, werknemersinteractie, controle en analyse van prestatiediscipline in staats- en gemeentelijke instellingen . REGERING VAN DE RUSSISCHE FEDERATIE ORDER van 2 oktober 2009 N 1403-r Technische vereisten voor het organiseren van de interactie van het interdepartementale elektronische documentbeheersysteem met de elektronische documentbeheersystemen van federale uitvoerende autoriteiten; Vereisten voor elektronische van federale uitvoerende autoriteiten, inclusief de noodzaak om officiële informatie met beperkte verspreiding via deze systemen te verwerken (goedgekeurd in opdracht van het Ministerie van Communicatie en Massamedia van de Russische Federatie gedateerd). 1C: Documentenstroom van een staatsinstelling. Vereisten voor informatiebeveiliging

Vereisten voor elektronische van federale uitvoerende autoriteiten, inclusief de noodzaak om officiële informatie met beperkte verspreiding via deze systemen te verwerken (goedgekeurd in opdracht van het Ministerie van Communicatie en Massamedia van de Russische Federatie gedateerd). 21. Om bedrijfseigen informatie met een beperkte verspreiding te beschermen, moeten technische en (of) software-inworden gebruikt die zijn gecertificeerd in overeenstemming met informatiebeveiligingsvereisten. 22. Vereisten voor informatiebescherming en maatregelen voor de implementatie ervan, evenals specifieke software- en moeten worden bepaald en verduidelijkt, afhankelijk van de vastgestelde beveiligingsklasse. 25. EDMS van de federale uitvoerende macht mag geen directe (onbeschermde) verbinding hebben met het informatie- en telecommunicatienetwerk internet in overeenstemming met het decreet van de president van de Russische Federatie van 17 maart 2008 N 351 “Over maatregelen om de informatiebeveiliging van de Russische Federatie bij het gebruik van informatie- en telecommunicatienetwerken voor de internationale informatie-uitwisseling" (Verzamelde wetgeving van de Russische Federatie, 2008, nr. 12, art. 1110; 2008, nr. 43, art. 4919; 2011, nr. 4, art. 572). 1C: Documentenstroom van een staatsinstelling. Vereisten voor informatiebeveiliging

REGERING VAN DE RUSSISCHE FEDERATIE ORDER van 2 oktober 2009 N 1403-r Technische vereisten voor het organiseren van de interactie van het interdepartementale elektronische documentbeheersysteem met de elektronische documentbeheersystemen van federale uitvoerende autoriteiten 17. Bij het organiseren van de interactie van het interdepartementale elektronische documentbeheer systeem met het elektronische documentbeheersysteem moet worden gezorgd voor antivirusbescherming. 18. Om informatie te beschermen die is geclassificeerd als informatie die een officieel geheim vormt, moeten technische en (of) softwarematige inworden gebruikt die zijn gecertificeerd volgens de informatiebeveiligingsvereisten. Geautomatiseerde gateway-werkstations en speciale persoonlijke elektronische computers met een elektronische documentbeheersysteemadapter moeten worden gecertificeerd voor naleving van de vereisten voor technische bescherming van vertrouwelijke informatie. 19. Vereisten voor informatiebescherming en maatregelen voor de implementatie ervan, evenals specifieke beschermingsmiddelen moeten worden bepaald en verduidelijkt, afhankelijk van de vastgestelde beveiligingsklasse op basis van het ontwikkelde model van bedreigingen en acties van de indringer. 1C: Documentenstroom van een staatsinstelling. Informatiebeveiligingseisen Bedankt voor uw aandacht! Vragen? Afdeling Informatieverzameling en -verwerkingssystemen van de Hogere Academie van Wetenschappen, vernoemd naar A.F. Mozhaisky