Государственное образовательное учреждение
высшего профессионального образования
"Тольяттинский государственный университет"
Учёный совет
Решение №999 от 24 марта 2011 года
Об утверждении
Политики информационной безопасности
Заслушав информацию о Политике информационной безопасности, Учёный совет решил:
1.Утвердить Политику информационной безопасности (Приложение).
Председатель Учёного совета М.М. Криштал
Учёный секретарь Т.И. АдаевскаяПриложение
к решению Ученого совета
№999 от 24.03.2011
Государственное образовательное учреждение
высшего профессионального образования
Тольяттинский государственный университет
ПОЛИТИКА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Тольяттинского государственного университета
Тольятти 2010Оглавление
Решение №999 от 24 марта 2011 года 1
ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
АВС – антивирусные средства
АРМ – автоматизированное рабочее место
ИС – информационная система
ИБ – информационная безопасность
ОСБ – отдел собственной безопасности
ЛВС – локальная вычислительная сеть
МЭ – межсетевой экран
НСД – несанкционированный доступ
ОС – операционная система
ПДн – персональные данные
ПО – программное обеспечение
СЗИ – средства защиты информации
Университет – ГОУ ВПО Тольяттинский Государственный Университет
ВВЕДЕНИЕ
Настоящая «Политика информационной безопасности Университета» (далее – Политика) разработана в соответствии с требованиями законодательства, нормативных актов Российской Федерации: Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 8 августа 2001 г. N 128-ФЗ «О лицензировании отдельных видов деятельности», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 11 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Предметом настоящего документа является:
порядок доступа к информационным системам, обрабатывающим конфиденциальную информацию;
работа в глобальной сети ИНТЕРНЕТ;
сетевая безопасность;
локальная безопасность;
физическая безопасность (доступ в помещения);
обеспечение защиты персональных данных;
дублирование, резервирование и хранение информации.
ОБЩИЕ ПОЛОЖЕНИЯ
1. Цели и задачи
Целью настоящей Политики является обеспечение безопасности объектов защиты Университета от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности.
Направление информационной безопасности создано в отделе собственной безопасности со следующими задачами и функциями, определяемыми постановлением Правительства 915-12 "О лицензировании отдельных видов деятельности":
- планирование, согласование и организация мероприятий по защите информации непосредственно на объектах информатизации, на которых проводятся работы с использованием конфиденциальной информации;
- определение возможностей несанкционированного доступа к информации, ее уничтожения или искажения, определение возможных технических каналов и анализ рисков утечки конфиденциальной информации, разработка соответствующих мер по защите;
- организация технической защиты информации, участие в создании систем защиты;
- проведение периодического контроля состояния ИБ, учет и анализ результатов с выработкой решений по устранению уязвимостей и нарушений;
- контроль за использованием закрытых каналов связи и ключей с цифровыми подписями;
- организация плановых проверок режима защиты, и разработка соответствующей документации, анализ результатов, расследование нарушений;
- разработка и осуществление мероприятий по защите персональных данных;
- организация взаимодействия со всеми структурами, участвующими в их обработке, выполнение требований законодательства к информационным системам, обрабатывающим персональные данные, контроль действий операторов, отвечающих за их обработку.
2.Организационно-правовой статус сотрудников по обеспечению информационной безопасности
Сотрудники имеют право беспрепятственного доступа во все помещения, где установлены технические средства с Информационными системами (ИС), право требовать от руководства подразделений и администраторов ИС прекращения автоматизированной обработки информации, персональных данных, при наличии непосредственной угрозы защищаемой информации;
Имеют право получать от пользователей и администраторов необходимую информацию по вопросам применения информационных технологий, в части касающейся вопросов информационной безопасности;
Главный специалист по ИБ имеет право проводить аудит действующих и вновь внедряемых ИС на предмет реализации требований защиты и обработки информации запрещать их эксплуатацию, если не отвечают требованиям или продолжение эксплуатации может привести к серьезным последствиям в случае реализации значимых угроз безопасности;
Сотрудники имеют право контролировать исполнение утвержденных нормативных и организационно-распорядительных документов, касающихся вопросов информационной безопасности.
Настоящая Политика утверждена ректором Университета и введена в действие приказом № ____ от «__» ____________ 2011 г.
ОБЛАСТЬ ДЕЙСТВИЯ
Требования настоящей Политики распространяются на всех сотрудников Университета (штатных, временных, работающих по контракту и т.п).
ПОРЯДОК ДОСТУПА К ИНФОРМАЦИОННЫМ СИСТЕМАМ, ОБРАБАТЫВАЮЩИМ КОНФИДЕНЦИАЛЬНУЮ ИНФОРМАЦИЮ
Система управления доступом к информационным системам реализована с помощью штатных средств (операционных систем (MS Windows Server, Linux), ИС и используемых ими СУБД) и предназначена для реализации следующих функций:
идентификации и проверки подлинности субъектов доступа при входе в ИС;
идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;
идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;
регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее останова;
регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.
Порядок доступа, получения логинов и паролей, определяется Порядком предоставления прав доступа.
СЕТЕВАЯ БЕЗОПАСНОСТЬ
1. Доступ из Интернет в сеть университета:
- во внутреннюю сеть доступ извне запрещен;
- как исключение доступ разрешен только к определяемым объектам по распоряжению директора ЦНИТ, по согласованию с ответственным сотрудником ОСБ (в остальных случаях доступ запрещен);
Системный администратор ЦНИТ руководствуется следующими требованиями безопасности при администрировании порядка доступа к корпоративной сети Университета:
- анонимный доступ всем разрешен только к 80 порту;
- разрешен авторизованный FTP-доступ на 21 порт;
- разрешен доступ к SMTP сервису - 25 порт;
- разрешен доступ только из внутренней сети к сервису POP3 - 110 порт.
Согласно приказу Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" доступ из корпоративной сети в Интернет разрешен без ограничений через прокси-сервер с аутентификацией пользователей или настроенный межсетевой экран.
2. Маршрутизаторы и межсетевые экраны:
Система межсетевого экранирования предназначена для реализации следующих функций:
фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;
идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ;
контроля целостности своей программной и информационной части;
фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
блокирования доступа не идентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;
контроля сетевой активности приложений и обнаружения сетевых атак.
Для анализа защищенности ИС применяются специализированные программно-аппаратные средства – сканеры безопасности (Nsauditor). Применяются для анализа уязвимостей и несоответствия в настройках ОС, СУБД, сетевого оборудования. Выявленные уязвимости протоколируются и передаются администраторам ИС, сетевым администраторам для устранения в установленные сроки.
Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы ИС подключенные к сетям общего пользования и (или) международного обмена.
Функционал подсистемы реализуется программными и программно-аппаратными средствами, на межсетевых экранах. Администратор сети ведет протоколирование и регулярный мониторинг доступа, контролирует содержание трафика, проводит анализ лог-файлов.
На межсетевом экране заводится лог-файл, куда записываются все обращения (попытки создания соединений) в сеть и из сети. Лог файл должен храниться локально и удаленно.
Система обнаружения атак сохраняет информацию об атаках и подозрительной активности также в лог-файл.
Анализ лог-файлов в виде отчета администратор сети передает сотруднику ИБ в случае инцидентов массовых атак, или по его запросу.
Маршрутизаторы задают политику безопасности и запрещают доступ из одного сегмента сети в другой. Настройкой маршрутизаторов занимается администратор сети.
ЛОКАЛЬНАЯ БЕЗОПАСНОСТЬ
1. Антивирусная защита
Антивирусная защита предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей Университета.
Средства антивирусной защиты предназначены для реализации следующих функций:
резидентный антивирусный мониторинг;
антивирусное сканирование;
скрипт-блокирование;
централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;
автоматизированное обновление антивирусных баз;
ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;
автоматический запуск сразу после загрузки операционной системы.
Антивирусная защита реализуется путем установки антивирусного программного обеспечения на всех элементах ИС. Анализ эффективности защиты проводится ответственным сотрудником ЦНИТ, с использованием тестовых компьютеров и контролируется сотрудником ИБ.
2. Криптографическая защита
Криптографическая защита предназначена для исключения НСД к защищаемой информации, при ее передачи по каналам связи сетей общего пользования и (или) международного обмена.
Система реализуется путем внедрения криптографических программно-аппаратных комплексов КриптоПро.
К работе с криптографическими системами допускаются только сотрудники, имеющими соответствующее разрешение, определенные приказом ректора.
Ключи электронно-цифровых подписей должны храниться в сейфах под ответственностью лиц на то уполномоченных. Доступ неуполномоченных лиц к носителям ключей должен быть исключен.
Все экземпляры криптосистем регистрируются в Журнале СКЗИ.
Действия сотрудников при работе с криптосистемами регламентируются
документом "Типовые требованияпо организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну" (ФСБ России, от 21.02.2008 N 149/6/6-622).
3. Разграничение прав доступа к информационным системам и системам хранения данных
Для входа в компьютерную сеть сотрудник должен ввести логин и пароль. Допускается режим безпарольного (гостевого) доступа к образовательному порталу.
В целях защиты информации организационно и технически разделяются подразделения Университета, имеющие доступ и работающие с различной информацией (в разрезе ее конфиденциальности и смысловой направленности). Данная задача решается с использованием возможностей конкретных ИС, где в целях обеспечения защиты данных доступ и права пользователей ограничивается набором прав и ролей. Права назначаются в соответствии с производственной необходимостью, определяемой администратором ИС, согласно Положению о разграничении.
Администратором ИС ведется протоколирование доступа к ресурсам ИС, фиксируются попытки НСД, о которых докладывается ответственному работнику ОСБ, согласно требований к ИС класса К3.
Все действия пользователей определяются Регламентом по обеспечению информационной безопасности для пользователей, которую они изучают при получении доступа к ИС.
ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ
Все объекты критичные с точки зрения информационной безопасности (все сервера баз данных) находятся в отдельном помещении, доступ в которое разрешен только сотрудникам, имеющими соответствующее разрешение и определены приказом ректора.
Порядок доступа определяется Регламентом доступа в серверное помещения.
ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Все сотрудники Университета, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.
При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
Сотрудник должен быть ознакомлен с Положением о защите персональных данных.
Сотрудники Университета должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.
Сотрудникам запрещается разглашать содержание защищаемой информации, которая стала им известна при работе с информационными системами Университета, третьим лицам, согласно Положения о защите персональных данных.
ДУБЛИРОВАНИЕ, РЕЗЕРВИРОВАНИЕ И ХРАНЕНИЕ ИНФОРМАЦИИ
Для обеспечения физической целостности данных, во избежание умышленного или неумышленного уничтожения или искажения защищаемой информации и конфигураций информационных систем организуется резервное копирование баз данных, конфигураций, файлов настроек, конфигурационных файлов.
Порядок резервного копирования, дублирования, хранения архивов и восстановления информации определен Регламентом резервного копирования. |
