Решение №999 от 24 марта 2011 года




Скачать 122.29 Kb.
НазваниеРешение №999 от 24 марта 2011 года
Дата15.10.2012
Размер122.29 Kb.
ТипРешение
Государственное образовательное учреждение

высшего профессионального образования


"Тольяттинский государственный университет"


Учёный совет


Решение №999 от 24 марта 2011 года




Об утверждении

Политики информационной безопасности


Заслушав информацию о Политике информационной безопасности, Учёный совет решил:


1.Утвердить Политику информационной безопасности (Приложение).


Председатель Учёного совета М.М. Криштал


Учёный секретарь Т.И. АдаевскаяПриложение

к решению Ученого совета

№999 от 24.03.2011


Государственное образовательное учреждение

высшего профессионального образования


Тольяттинский государственный университет


ПОЛИТИКА

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Тольяттинского государственного университета


Тольятти 2010Оглавление


Решение №999 от 24 марта 2011 года 1

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ


АВС – антивирусные средства

АРМ – автоматизированное рабочее место

ИС – информационная система

ИБ – информационная безопасность

ОСБ – отдел собственной безопасности

ЛВС – локальная вычислительная сеть

МЭ – межсетевой экран

НСД – несанкционированный доступ

ОС – операционная система

ПДн – персональные данные

ПО – программное обеспечение

СЗИ – средства защиты информации

Университет – ГОУ ВПО Тольяттинский Государственный Университет

ВВЕДЕНИЕ


Настоящая «Политика информационной безопасности Университета» (далее – Политика) разработана в соответствии с требованиями законодательства, нормативных актов Российской Федерации: Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 8 августа 2001 г. N 128-ФЗ «О лицензировании отдельных видов деятельности», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 11 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Предметом настоящего документа является:

порядок доступа к информационным системам, обрабатывающим конфиденциальную информацию;

работа в глобальной сети ИНТЕРНЕТ;

сетевая безопасность;

локальная безопасность;

физическая безопасность (доступ в помещения);

обеспечение защиты персональных данных;

дублирование, резервирование и хранение информации.


  1. ОБЩИЕ ПОЛОЖЕНИЯ


1. Цели и задачи

Целью настоящей Политики является обеспечение безопасности объектов защиты Университета от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности.

Направление информационной безопасности создано в отделе собственной безопасности со следующими задачами и функциями, определяемыми постановлением Правительства 915-12 "О лицензировании отдельных видов деятельности":

- планирование, согласование и организация мероприятий по защите информации непосредственно на объектах информатизации, на которых проводятся работы с использованием конфиденциальной информации;

- определение возможностей несанкционированного доступа к информации, ее уничтожения или искажения, определение возможных технических каналов и анализ рисков утечки конфиденциальной информации, разработка соответствующих мер по защите;

- организация технической защиты информации, участие в создании систем защиты;

- проведение периодического контроля состояния ИБ, учет и анализ результатов с выработкой решений по устранению уязвимостей и нарушений;

- контроль за использованием закрытых каналов связи и ключей с цифровыми подписями;

- организация плановых проверок режима защиты, и разработка соответствующей документации, анализ результатов, расследование нарушений;

- разработка и осуществление мероприятий по защите персональных данных;

- организация взаимодействия со всеми структурами, участвующими в их обработке, выполнение требований законодательства к информационным системам, обрабатывающим персональные данные, контроль действий операторов, отвечающих за их обработку.


2.Организационно-правовой статус сотрудников по обеспечению информационной безопасности

Сотрудники имеют право беспрепятственного доступа во все помещения, где установлены технические средства с Информационными системами (ИС), право требовать от руководства подразделений и администраторов ИС прекращения автоматизированной обработки информации, персональных данных, при наличии непосредственной угрозы защищаемой информации;

Имеют право получать от пользователей и администраторов необходимую информацию по вопросам применения информационных технологий, в части касающейся вопросов информационной безопасности;

Главный специалист по ИБ имеет право проводить аудит действующих и вновь внедряемых ИС на предмет реализации требований защиты и обработки информации запрещать их эксплуатацию, если не отвечают требованиям или продолжение эксплуатации может привести к серьезным последствиям в случае реализации значимых угроз безопасности;

Сотрудники имеют право контролировать исполнение утвержденных нормативных и организационно-распорядительных документов, касающихся вопросов информационной безопасности.


Настоящая Политика утверждена ректором Университета и введена в действие приказом № ____ от «__» ____________ 2011 г.




  1. ОБЛАСТЬ ДЕЙСТВИЯ


Требования настоящей Политики распространяются на всех сотрудников Университета (штатных, временных, работающих по контракту и т.п).


  1. ПОРЯДОК ДОСТУПА К ИНФОРМАЦИОННЫМ СИСТЕМАМ, ОБРАБАТЫВАЮЩИМ КОНФИДЕНЦИАЛЬНУЮ ИНФОРМАЦИЮ


Система управления доступом к информационным системам реализована с помощью штатных средств (операционных систем (MS Windows Server, Linux), ИС и используемых ими СУБД) и предназначена для реализации следующих функций:

идентификации и проверки подлинности субъектов доступа при входе в ИС;

идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;

идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;

регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее останова;

регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.


Порядок доступа, получения логинов и паролей, определяется Порядком предоставления прав доступа.


  1. СЕТЕВАЯ БЕЗОПАСНОСТЬ




1. Доступ из Интернет в сеть университета:

- во внутреннюю сеть доступ извне запрещен;

- как исключение доступ разрешен только к определяемым объектам по распоряжению директора ЦНИТ, по согласованию с ответственным сотрудником ОСБ (в остальных случаях доступ запрещен);

Системный администратор ЦНИТ руководствуется следующими требованиями безопасности при администрировании порядка доступа к корпоративной сети Университета:

- анонимный доступ всем разрешен только к 80 порту;

- разрешен авторизованный FTP-доступ на 21 порт;

- разрешен доступ к SMTP сервису - 25 порт;

- разрешен доступ только из внутренней сети к сервису POP3 - 110 порт.


Согласно приказу Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" доступ из корпоративной сети в Интернет разрешен без ограничений через прокси-сервер с аутентификацией пользователей или настроенный межсетевой экран.

2. Маршрутизаторы и межсетевые экраны:

Система межсетевого экранирования предназначена для реализации следующих функций:

фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;

идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ;

контроля целостности своей программной и информационной части;

фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

блокирования доступа не идентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;

контроля сетевой активности приложений и обнаружения сетевых атак.


Для анализа защищенности ИС применяются специализированные программно-аппаратные средства – сканеры безопасности (Nsauditor). Применяются для анализа уязвимостей и несоответствия в настройках ОС, СУБД, сетевого оборудования. Выявленные уязвимости протоколируются и передаются администраторам ИС, сетевым администраторам для устранения в установленные сроки.

Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы ИС подключенные к сетям общего пользования и (или) международного обмена.

Функционал подсистемы реализуется программными и программно-аппаратными средствами, на межсетевых экранах. Администратор сети ведет протоколирование и регулярный мониторинг доступа, контролирует содержание трафика, проводит анализ лог-файлов.

На межсетевом экране заводится лог-файл, куда записываются все обращения (попытки создания соединений) в сеть и из сети. Лог файл должен храниться локально и удаленно.

Система обнаружения атак сохраняет информацию об атаках и подозрительной активности также в лог-файл.

Анализ лог-файлов в виде отчета администратор сети передает сотруднику ИБ в случае инцидентов массовых атак, или по его запросу.

Маршрутизаторы задают политику безопасности и запрещают доступ из одного сегмента сети в другой. Настройкой маршрутизаторов занимается администратор сети.



  1. ЛОКАЛЬНАЯ БЕЗОПАСНОСТЬ




1. Антивирусная защита

Антивирусная защита предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей Университета.

Средства антивирусной защиты предназначены для реализации следующих функций:

резидентный антивирусный мониторинг;

антивирусное сканирование;

скрипт-блокирование;

централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;

автоматизированное обновление антивирусных баз;

ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;

автоматический запуск сразу после загрузки операционной системы.

Антивирусная защита реализуется путем установки антивирусного программного обеспечения на всех элементах ИС. Анализ эффективности защиты проводится ответственным сотрудником ЦНИТ, с использованием тестовых компьютеров и контролируется сотрудником ИБ.


2. Криптографическая защита

Криптографическая защита предназначена для исключения НСД к защищаемой информации, при ее передачи по каналам связи сетей общего пользования и (или) международного обмена.

Система реализуется путем внедрения криптографических программно-аппаратных комплексов КриптоПро.

К работе с криптографическими системами допускаются только сотрудники, имеющими соответствующее разрешение, определенные приказом ректора.

Ключи электронно-цифровых подписей должны храниться в сейфах под ответственностью лиц на то уполномоченных. Доступ неуполномоченных лиц к носителям ключей должен быть исключен.

Все экземпляры криптосистем регистрируются в Журнале СКЗИ.

Действия сотрудников при работе с криптосистемами регламентируются

документом "Типовые требованияпо организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну" (ФСБ России, от 21.02.2008 N 149/6/6-622).


3. Разграничение прав доступа к информационным системам и системам хранения данных

Для входа в компьютерную сеть сотрудник должен ввести логин и пароль. Допускается режим безпарольного (гостевого) доступа к образовательному порталу.

В целях защиты информации организационно и технически разделяются подразделения Университета, имеющие доступ и работающие с различной информацией (в разрезе ее конфиденциальности и смысловой направленности). Данная задача решается с использованием возможностей конкретных ИС, где в целях обеспечения защиты данных доступ и права пользователей ограничивается набором прав и ролей. Права назначаются в соответствии с производственной необходимостью, определяемой администратором ИС, согласно Положению о разграничении.

Администратором ИС ведется протоколирование доступа к ресурсам ИС, фиксируются попытки НСД, о которых докладывается ответственному работнику ОСБ, согласно требований к ИС класса К3.

Все действия пользователей определяются Регламентом по обеспечению информационной безопасности для пользователей, которую они изучают при получении доступа к ИС.


  1. ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ


Все объекты критичные с точки зрения информационной безопасности (все сервера баз данных) находятся в отдельном помещении, доступ в которое разрешен только сотрудникам, имеющими соответствующее разрешение и определены приказом ректора.

Порядок доступа определяется Регламентом доступа в серверное помещения.


  1. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ


Все сотрудники Университета, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.

Сотрудник должен быть ознакомлен с Положением о защите персональных данных.

Сотрудники Университета должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

Сотрудникам запрещается разглашать содержание защищаемой информации, которая стала им известна при работе с информационными системами Университета, третьим лицам, согласно Положения о защите персональных данных.



  1. ДУБЛИРОВАНИЕ, РЕЗЕРВИРОВАНИЕ И ХРАНЕНИЕ ИНФОРМАЦИИ


Для обеспечения физической целостности данных, во избежание умышленного или неумышленного уничтожения или искажения защищаемой информации и конфигураций информационных систем организуется резервное копирование баз данных, конфигураций, файлов настроек, конфигурационных файлов.

Порядок резервного копирования, дублирования, хранения архивов и восстановления информации определен Регламентом резервного копирования.

Похожие:

Решение №999 от 24 марта 2011 года iconРешение 01 марта 2011 г. №3/10 г. Красноуфимск Об итогах муниципального этапа областного конкурса «Мы выбираем будущее!»
Мо красноуфимский округ на 2011 год, утвержденной решением Красноуфимской районной территориальной избирательной комиссии 31 января...
Решение №999 от 24 марта 2011 года iconРешение №995 от 24 марта 2011 года
Заслушав и обсудив сообщение заведующего кафедрой технологического образования, Учёный совет решил
Решение №999 от 24 марта 2011 года iconРешение №995 от 24 марта 2011 года
Заслушав и обсудив сообщение заведующего кафедрой технологического образования, Учёный совет решил
Решение №999 от 24 марта 2011 года iconКалендарный план работы гбоу сош №999 на декабрь 2011 года №
Приём документов на обязательную аттестацию с целью подтверждения соответствия занимаемой должности
Решение №999 от 24 марта 2011 года iconУрок (мастер-класс) по алгебре в 8 классе по теме
Экспресс – решение полных квадратных уравнений, проведенного 10 марта 2011 года учителем 1 категории Галиевым А. К
Решение №999 от 24 марта 2011 года icon«30» марта 2011 г. «30» марта 2011 г. Календарный план гоу сош №1173 на апрель 2011 года
Посещение индивидуальной консультации для главных бухгалтеров, бухгалтеров образовательных учреждений по рабочим вопросам
Решение №999 от 24 марта 2011 года iconРешение №996 от 24 марта 2011 года
Заслушав отчет начальника управления экономики нич абрамова П. П. о научно-исследовательской деятельности тгу за 2010 год, Ученый...
Решение №999 от 24 марта 2011 года iconРешение №169 «16» марта 2012г г. Иркутск Резолютивная часть решения оглашена 01 марта 2012 года
Комиссия Иркутского уфас россии по рассмотрению дела о нарушении антимонопольного законодательства в составе
Решение №999 от 24 марта 2011 года iconПермский краевой суд решение от 3 марта 2010 г по делу n 7-118-2010
Судья Пермского краевого суда Бузмаков С. С., рассмотрев 3 марта 2010 года жалобу В. на
Решение №999 от 24 марта 2011 года iconМеждународная Научная Конференция 9-13 сентября 2011 года
Заявки на участие принимаются до 1 марта 2011 года. В заявке должно быть указано
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница