Государственное образовательное учреждение высшего профессионального образования
"Тольяттинский государственный университет"
Учёный совет
Решение №999 от 24 марта 2011 года
Об утверждении Политики информационной безопасности
Заслушав информацию о Политике информационной безопасности, Учёный совет решил:
1.Утвердить Политику информационной безопасности (Приложение).
Председатель Учёного совета М.М. Криштал
Учёный секретарь Т.И. АдаевскаяПриложение к решению Ученого совета №999 от 24.03.2011
Государственное образовательное учреждение высшего профессионального образования
Тольяттинский государственный университет
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Тольяттинского государственного университета
Тольятти 2010Оглавление
Решение №999 от 24 марта 2011 года 1 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
АВС – антивирусные средства АРМ – автоматизированное рабочее место ИС – информационная система ИБ – информационная безопасность ОСБ – отдел собственной безопасности ЛВС – локальная вычислительная сеть МЭ – межсетевой экран НСД – несанкционированный доступ ОС – операционная система ПДн – персональные данные ПО – программное обеспечение СЗИ – средства защиты информации Университет – ГОУ ВПО Тольяттинский Государственный Университет ВВЕДЕНИЕ
Настоящая «Политика информационной безопасности Университета» (далее – Политика) разработана в соответствии с требованиями законодательства, нормативных актов Российской Федерации: Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 8 августа 2001 г. N 128-ФЗ «О лицензировании отдельных видов деятельности», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 11 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Предметом настоящего документа является: порядок доступа к информационным системам, обрабатывающим конфиденциальную информацию; работа в глобальной сети ИНТЕРНЕТ; сетевая безопасность; локальная безопасность; физическая безопасность (доступ в помещения); обеспечение защиты персональных данных; дублирование, резервирование и хранение информации.
ОБЩИЕ ПОЛОЖЕНИЯ
1. Цели и задачи Целью настоящей Политики является обеспечение безопасности объектов защиты Университета от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности. Направление информационной безопасности создано в отделе собственной безопасности со следующими задачами и функциями, определяемыми постановлением Правительства 915-12 "О лицензировании отдельных видов деятельности": - планирование, согласование и организация мероприятий по защите информации непосредственно на объектах информатизации, на которых проводятся работы с использованием конфиденциальной информации; - определение возможностей несанкционированного доступа к информации, ее уничтожения или искажения, определение возможных технических каналов и анализ рисков утечки конфиденциальной информации, разработка соответствующих мер по защите; - организация технической защиты информации, участие в создании систем защиты; - проведение периодического контроля состояния ИБ, учет и анализ результатов с выработкой решений по устранению уязвимостей и нарушений; - контроль за использованием закрытых каналов связи и ключей с цифровыми подписями; - организация плановых проверок режима защиты, и разработка соответствующей документации, анализ результатов, расследование нарушений; - разработка и осуществление мероприятий по защите персональных данных; - организация взаимодействия со всеми структурами, участвующими в их обработке, выполнение требований законодательства к информационным системам, обрабатывающим персональные данные, контроль действий операторов, отвечающих за их обработку.
2.Организационно-правовой статус сотрудников по обеспечению информационной безопасности Сотрудники имеют право беспрепятственного доступа во все помещения, где установлены технические средства с Информационными системами (ИС), право требовать от руководства подразделений и администраторов ИС прекращения автоматизированной обработки информации, персональных данных, при наличии непосредственной угрозы защищаемой информации; Имеют право получать от пользователей и администраторов необходимую информацию по вопросам применения информационных технологий, в части касающейся вопросов информационной безопасности; Главный специалист по ИБ имеет право проводить аудит действующих и вновь внедряемых ИС на предмет реализации требований защиты и обработки информации запрещать их эксплуатацию, если не отвечают требованиям или продолжение эксплуатации может привести к серьезным последствиям в случае реализации значимых угроз безопасности; Сотрудники имеют право контролировать исполнение утвержденных нормативных и организационно-распорядительных документов, касающихся вопросов информационной безопасности.
Настоящая Политика утверждена ректором Университета и введена в действие приказом № ____ от «__» ____________ 2011 г. ОБЛАСТЬ ДЕЙСТВИЯ
Требования настоящей Политики распространяются на всех сотрудников Университета (штатных, временных, работающих по контракту и т.п).
ПОРЯДОК ДОСТУПА К ИНФОРМАЦИОННЫМ СИСТЕМАМ, ОБРАБАТЫВАЮЩИМ КОНФИДЕНЦИАЛЬНУЮ ИНФОРМАЦИЮ
Система управления доступом к информационным системам реализована с помощью штатных средств (операционных систем (MS Windows Server, Linux), ИС и используемых ими СУБД) и предназначена для реализации следующих функций: идентификации и проверки подлинности субъектов доступа при входе в ИС; идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам; идентификации программ, томов, каталогов, файлов, записей, полей записей по именам; регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее останова; регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам; регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.
Порядок доступа, получения логинов и паролей, определяется Порядком предоставления прав доступа.
СЕТЕВАЯ БЕЗОПАСНОСТЬ 1. Доступ из Интернет в сеть университета: - во внутреннюю сеть доступ извне запрещен; - как исключение доступ разрешен только к определяемым объектам по распоряжению директора ЦНИТ, по согласованию с ответственным сотрудником ОСБ (в остальных случаях доступ запрещен); Системный администратор ЦНИТ руководствуется следующими требованиями безопасности при администрировании порядка доступа к корпоративной сети Университета: - анонимный доступ всем разрешен только к 80 порту; - разрешен авторизованный FTP-доступ на 21 порт; - разрешен доступ к SMTP сервису - 25 порт; - разрешен доступ только из внутренней сети к сервису POP3 - 110 порт.
Согласно приказу Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" доступ из корпоративной сети в Интернет разрешен без ограничений через прокси-сервер с аутентификацией пользователей или настроенный межсетевой экран. 2. Маршрутизаторы и межсетевые экраны: Система межсетевого экранирования предназначена для реализации следующих функций: фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике; идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ; контроля целостности своей программной и информационной части; фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств; фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов; блокирования доступа не идентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату; контроля сетевой активности приложений и обнаружения сетевых атак.
Для анализа защищенности ИС применяются специализированные программно-аппаратные средства – сканеры безопасности (Nsauditor). Применяются для анализа уязвимостей и несоответствия в настройках ОС, СУБД, сетевого оборудования. Выявленные уязвимости протоколируются и передаются администраторам ИС, сетевым администраторам для устранения в установленные сроки. Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы ИС подключенные к сетям общего пользования и (или) международного обмена. Функционал подсистемы реализуется программными и программно-аппаратными средствами, на межсетевых экранах. Администратор сети ведет протоколирование и регулярный мониторинг доступа, контролирует содержание трафика, проводит анализ лог-файлов. На межсетевом экране заводится лог-файл, куда записываются все обращения (попытки создания соединений) в сеть и из сети. Лог файл должен храниться локально и удаленно. Система обнаружения атак сохраняет информацию об атаках и подозрительной активности также в лог-файл. Анализ лог-файлов в виде отчета администратор сети передает сотруднику ИБ в случае инцидентов массовых атак, или по его запросу. Маршрутизаторы задают политику безопасности и запрещают доступ из одного сегмента сети в другой. Настройкой маршрутизаторов занимается администратор сети.
ЛОКАЛЬНАЯ БЕЗОПАСНОСТЬ 1. Антивирусная защита Антивирусная защита предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей Университета. Средства антивирусной защиты предназначены для реализации следующих функций: резидентный антивирусный мониторинг; антивирусное сканирование; скрипт-блокирование; централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта; автоматизированное обновление антивирусных баз; ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения; автоматический запуск сразу после загрузки операционной системы. Антивирусная защита реализуется путем установки антивирусного программного обеспечения на всех элементах ИС. Анализ эффективности защиты проводится ответственным сотрудником ЦНИТ, с использованием тестовых компьютеров и контролируется сотрудником ИБ.
2. Криптографическая защита Криптографическая защита предназначена для исключения НСД к защищаемой информации, при ее передачи по каналам связи сетей общего пользования и (или) международного обмена. Система реализуется путем внедрения криптографических программно-аппаратных комплексов КриптоПро. К работе с криптографическими системами допускаются только сотрудники, имеющими соответствующее разрешение, определенные приказом ректора. Ключи электронно-цифровых подписей должны храниться в сейфах под ответственностью лиц на то уполномоченных. Доступ неуполномоченных лиц к носителям ключей должен быть исключен. Все экземпляры криптосистем регистрируются в Журнале СКЗИ. Действия сотрудников при работе с криптосистемами регламентируются документом "Типовые требованияпо организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну" (ФСБ России, от 21.02.2008 N 149/6/6-622).
3. Разграничение прав доступа к информационным системам и системам хранения данных Для входа в компьютерную сеть сотрудник должен ввести логин и пароль. Допускается режим безпарольного (гостевого) доступа к образовательному порталу. В целях защиты информации организационно и технически разделяются подразделения Университета, имеющие доступ и работающие с различной информацией (в разрезе ее конфиденциальности и смысловой направленности). Данная задача решается с использованием возможностей конкретных ИС, где в целях обеспечения защиты данных доступ и права пользователей ограничивается набором прав и ролей. Права назначаются в соответствии с производственной необходимостью, определяемой администратором ИС, согласно Положению о разграничении. Администратором ИС ведется протоколирование доступа к ресурсам ИС, фиксируются попытки НСД, о которых докладывается ответственному работнику ОСБ, согласно требований к ИС класса К3. Все действия пользователей определяются Регламентом по обеспечению информационной безопасности для пользователей, которую они изучают при получении доступа к ИС.
ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ
Все объекты критичные с точки зрения информационной безопасности (все сервера баз данных) находятся в отдельном помещении, доступ в которое разрешен только сотрудникам, имеющими соответствующее разрешение и определены приказом ректора. Порядок доступа определяется Регламентом доступа в серверное помещения.
ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Все сотрудники Университета, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн. При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн. Сотрудник должен быть ознакомлен с Положением о защите персональных данных. Сотрудники Университета должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты. Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию. Сотрудникам запрещается разглашать содержание защищаемой информации, которая стала им известна при работе с информационными системами Университета, третьим лицам, согласно Положения о защите персональных данных.
ДУБЛИРОВАНИЕ, РЕЗЕРВИРОВАНИЕ И ХРАНЕНИЕ ИНФОРМАЦИИ
Для обеспечения физической целостности данных, во избежание умышленного или неумышленного уничтожения или искажения защищаемой информации и конфигураций информационных систем организуется резервное копирование баз данных, конфигураций, файлов настроек, конфигурационных файлов. Порядок резервного копирования, дублирования, хранения архивов и восстановления информации определен Регламентом резервного копирования. |