Рекомендации по улучшению системы защиты информации

В развитии компьютерной техники и программного обеспечения вузы сыграли ключевую роль. В них разрабатываются, испытываются и внедряются передовые проекты в сфере IT. С ростом киберпреступности защита конфиденциальной информации и разработок в учебных учреждениях становится особенно актуальной [29].

Вузы — инфраструктура, обладающая огромным банком данных, содержащим информацию разного характера. Это не только учебные методички в электронном виде, но и важные проектно-исследовательские наработки. Рост преступлений в сфере высоких технологий диктует свои требования к защите ресурсов вычислительных сетей учебных заведений и ставит задачу построения собственной интегрированной системы безопасности. Ее решение предполагает наличие нормативно-правовой базы, формирование концепции безопасности, разработку мероприятий, планов и процедур по безопасной работе, проектирование, реализацию и сопровождение технических средств защиты информации (СЗИ) в рамках образовательного учреждения. Эти составляющие определяют единую политику обеспечения безопасности информации в вузе.

Специфика защиты информации в образовательной системе заключается в том, что вуз — публичное заведение с непостоянной аудиторией, а также место повышенной активности «начинающих кибер-преступников». Основную группу потенциальных нарушителей здесь составляют студенты, некоторые из них имеют достаточно высокий уровень знания компьютеров, сетей. Возраст — от 18 до 23 лет — и юношеский максимализм побуждает таких людей блеснуть знаниями перед сокурсниками: устроить вирусную эпидемию, получить административный доступ и «наказать» преподавателя, заблокировав выход в Интернет. Достаточно вспомнить, что первые компьютерные правонарушения родились именно в вузе (червь Морриса).

Учащиеся имеют доступ только в компьютерные учебные аудитории, от них и исходит внутренняя угроза. Работа студентов, преподавателей в таких аудиториях должна быть регламентирована приказом (актом) ректората. Во избежание занесения вредоносной информации во внутреннюю сеть желательно, чтобы в компьютерах отсутствовали дисководы и были отключены usb-порты.

Анализ угроз, их источников и рисков Компьютерные сети образовательных заведений — это совокупность сетевых ресурсов для учебной деятельности, рабочих станций персонала, устройств функционирования сети в целом.

Источниками возможных угроз информации являются: компьютеризированные учебные аудитории, в которых происходит учебный процесс; Интернет; рабочие станции неквалифицированных в сфере ИБ работников вуза.

Анализ информационных рисков можно разделить на следующие этапы:

классификация объектов, подлежащих защите, по важности;

определение привлекательности объектов защиты для взломщиков;

определение возможных угроз и вероятных каналов доступа на объекты;

оценка существующих мер безопасности;

определение уязвимостей в обороне и способов их ликвидации;

составление ранжированного списка угроз;

оценка ущерба от НСД, атак в отказе обслуживании, сбоев в работе оборудования.

Основные объекты, нуждающиеся в защите от НСД:

бухгалтерские ЛВС, данные планово-финансового отдела, а также статистические и архивные данные;

серверы баз данных;

консоль управления учетными записями;

www/ftp сервера;

ЛВС и серверы исследовательских проектов.

Регламент работы Для аутентификации пользователей на рабочих станциях преподавательского персонала, компьютерах в учебных аудиториях можно применять ролевое управление доступом (РУД). Суть технологии — в создании некой «роли, связывающей пользователя и его привилегии в системе. С ее помощью можно эффективно построить гибкую политику разграничения доступа в многопользовательской системе.

РУД заметно облегчает администрирование многопользовательских систем путем установления связей между «ролями» и пользователями. Для каждого пользователя может быть активизировано сразу несколько «ролей», которые одновременно могут быть приписаны сразу нескольким пользователям.

Использование сетевой операционной системы Novell Netware позволяет централизованно управлять процессом идентификации пользователей в общей университетской сети, отслеживать их действия, ограничивать доступ к ресурсам. Средства защиты информации (СЗИ) уже встроены в эту ОС на базовых уровнях и не являются надстройкой в виде какого-либо приложения.

ОС Novell NetWare содержит механизмы защиты следующих уровней:

защита информации о пользователе;

защита паролем;

защита каталогов;

защита файлов;

межсетевая защита.

Для каждого зарегистрированного в этой ОС пользователя содержатся правила с указанием перечня ресурсов, к которым он имеет доступ, права на работу с ними. Для помощи администратору служит консоль управления учетными записями. Есть возможность ограничения права пользователя на вход в сеть временем, датой и конкретными рабочими станциями. В качестве системы разграничения доступа используются ACL и так называемые контексты. Для каждого контекста определен список доступных ресурсов сети. Это позволяет разделять доступ к ресурсам между администрацией, работниками университета и студентами. Кроме того, можно устанавливать дополнительные групповые политики в рамках определенного контекста (допустим, разделить доступ студенческого контекста по факультетам, не используя подконтексты). Встроенные средства обнаружения и предотвращения атак позволяют быстро выявить нарушителя.

Нередко на территории университета разворачивается беспроводная сеть, доступ в которую обычно является свободным. Использовать такую схему стоит в том случае, когда точки беспроводного доступа не подключены к внутренней сети университета. Как правило, связь с Интернетом осуществляется сразу по нескольким линиям связи (оптоволоконная магистраль, спутниковые и радиоканалы). Отдельные каналы предоставляются для связи с другими университетами или для безопасного обмена данными. Чтобы исключить риски, связанные с утечкой и порчей передаваемой информации, такие сети не стоит подключать к глобальным сетям и общей университетской сети.

Критически важные узлы для обмена данными университета (бухгалтерская ЛВС) также должны существовать отдельно.

Рубежи обороны Первый рубеж обороны от атак извне (Интернет) — роутер (маршрутизатор). Он применяется для связи участков сети друг с другом, а также для более эффективного разделения трафика и использования альтернативных путей между узлами сети. От его настроек зависит функционирование подсетей и связь с глобальными сетями (WAN). Его главная задача в плане безопасностизащита от распределенных атак в отказе обслуживания (DDOS).

Вторым рубежом может служить МСЭ: аппаратно-программный комплекс Cisco PIX Firewall.

Затем следует DMZ. В этой зоне стоит расположить главный прокси-сервер, dns-сервер, www/ftp, mail сервера. Прокси-сервер обрабатывает запросы от рабочих станций учебного персонала, серверов, не подключенных напрямую к роутеру, и фильтрует трафик. Политика безопасности на этом уровне должна определяться блокированием нежелательного трафика и его экономией (фильтрация мультимедиаконтента, iso-образов, блокировка страниц нежелательного/нецензурного содержания по ключевым словам). Чтобы не происходило скачивания зараженной вирусами информации, на этом сервере оправдано размещение антивируса (например, ClamAV). Для более детального анализа и контроля трафика следует применять IDS (такую, как Snort).

Информация от прокси-сервера параллельно отсылается на сервер статистики, где можно посмотреть и проанализировать деятельность пользователей в Интернете. На почтовом сервере обязательно должен присутствовать почтовый антивирус, к примеру, Kaspersky AntiVirus for Mail servers.

Так как эти серверы связаны непосредственно напрямую с глобальной сетью, аудит программного обеспечения, установленного на них, — первоочередная задача инженера по информационной безопасности вуза. Для экономии средств и гибкости настраивания желательно применять opensource-ОС и программное обеспечение. Самая распространенная ОС — FreeBSD и GNU Linux. Но ничто не мешает использовать и более консервативную Open BSD или даже сверхстабильную ОС реального времени QNX.

Спрос на антивирусные средства растет с каждым годом и не обошел инфраструктуру вузов.

Для централизованного управления антивирусной деятельностью необходим продукт с клиент-серверной архитектурой, такой как Dr. Web Enterprise Suite. Он позволяет централизованно управлять настройками и обновлением антивирусных баз с помощью графической консоли и предоставлять удобочитаемую статистику о вирусной деятельности, если такая присутствует.

Для большего удобства работников вуза можно организовать доступ к внутренней сети университета с помощью технологии VPN.

Некоторые университеты имеют свой пул дозвона для выхода в Интернет и используют каналы связи учреждения. Во избежание использования этого доступа посторонними лицами в незаконных целях работники учебного заведения не должны разглашать телефон пула, логин, пароль.

Степень защищенности сетей и серверов большинства вузов оставляет желать лучшего. Причин тому много, но одна из главных — плохая организация мер по разработке и обеспечению политики информационной безопасности. Руководство просто недооценивает важности этих мероприятий. Вторая проблема заключается в том, что ни государство, ни администрация вуза не заинтересованы в выделении средств на закупку оборудования и внедрение новых технологий в сфере ИБ.

Предлагается утвердить политику информационной безопасности.

Предметом политики информационной безопасности является:

порядок доступа к информационным системам, обрабатывающим конфиденциальную информацию;

работа в глобальной сети ИНТЕРНЕТ;

сетевая безопасность;

локальная безопасность;

физическая безопасность (доступ в помещения);

обеспечение защиты персональных данных;

дублирование, резервирование и хранение информации.

Общие положения.

1. Цели и задачи Целью настоящей Политики является обеспечение безопасности объектов защиты Университета от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности.

Направление информационной безопасности создано в отделе собственной безопасности со следующими задачами и функциями:

планирование, согласование и организация мероприятий по защите информации непосредственно на объектах информатизации, на которых проводятся работы с использованием конфиденциальной информации;

определение возможностей несанкционированного доступа к информации, ее уничтожения или искажения, определение возможных технических каналов и анализ рисков утечки конфиденциальной информации, разработка соответствующих мер по защите;

организация технической защиты информации, участие в создании систем защиты;

проведение периодического контроля состояния ИБ, учет и анализ результатов с выработкой решений по устранению уязвимостей и нарушений;

контроль за использованием закрытых каналов связи и ключей с цифровыми подписями;

организация плановых проверок режима защиты, и разработка соответствующей документации, анализ результатов, расследование нарушений;

разработка и осуществление мероприятий по защите персональных данных;

организация взаимодействия со всеми структурами, участвующими в их обработке, выполнение требований законодательства к информационным системам, обрабатывающим персональные данные, контроль действий операторов, отвечающих за их обработку.

2. Организационно-правовой статус сотрудников по обеспечению информационной безопасности Сотрудники имеют право беспрепятственного доступа во все помещения, где установлены технические средства с Информационными системами (ИС), право требовать от руководства подразделений и администраторов ИС прекращения автоматизированной обработки информации, персональных данных, при наличии непосредственной угрозы защищаемой информации;

Имеют право получать от пользователей и администраторов необходимую информацию по вопросам применения информационных технологий, в части касающейся вопросов информационной безопасности;

Главный специалист по ИБ имеет право проводить аудит действующих и вновь внедряемых ИС на предмет реализации требований защиты и обработки информации запрещать их эксплуатацию, если не отвечают требованиям или продолжение эксплуатации может привести к серьезным последствиям в случае реализации значимых угроз безопасности;

Сотрудники имеют право контролировать исполнение утвержденных нормативных и организационно-распорядительных документов, касающихся вопросов информационной безопасности.

Область действия Требования настоящей Политики распространяются на всех сотрудников Университета (штатных, временных, работающих по контракту и т. п).

Порядок доступа к информационным системам, обрабатывающим конфиденциальную информацию Система управления доступом к информационным системам реализована с помощью штатных средств (операционных систем (MS Windows Server, Linux), ИС и используемых ими СУБД) и предназначена для реализации следующих функций:

идентификации и проверки подлинности субъектов доступа при входе в ИС;

идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;

идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;

регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее останова;

регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.

Порядок доступа, получения логинов и паролей, определяется Порядком предоставления прав доступа.

Сетевая безопасность.

1. Доступ из Интернет в сеть университета:

во внутреннюю сеть доступ извне запрещен;

как исключение доступ разрешен только к определяемым объектам по распоряжению директора ЦИТ.

2. Маршрутизаторы и межсетевые экраны:

Система межсетевого экранирования предназначена для реализации следующих функций:

фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;

идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ;

контроля целостности своей программной и информационной части;

фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

блокирования доступа не идентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;

контроля сетевой активности приложений и обнаружения сетевых атак.

Для анализа защищенности ИС применяются специализированные программно-аппаратные средства — сканеры безопасности. Применяются для анализа уязвимостей и несоответствия в настройках ОС, СУБД, сетевого оборудования. Выявленные уязвимости протоколируются и передаются администраторам ИС, сетевым администраторам для устранения в установленные сроки.

Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы ИС подключенные к сетям общего пользования и (или) международного обмена.

Функционал подсистемы реализуется программными и программно-аппаратными средствами, на межсетевых экранах. Администратор сети ведет протоколирование и регулярный мониторинг доступа, контролирует содержание трафика, проводит анализ лог-файлов.

На межсетевом экране заводится лог-файл, куда записываются все обращения (попытки создания соединений) в сеть и из сети. Лог файл должен храниться локально и удаленно.

Система обнаружения атак сохраняет информацию об атаках и подозрительной активности также в лог-файл.

Анализ лог-файлов в виде отчета администратор сети передает сотруднику ИБ в случае инцидентов массовых атак, или по его запросу.

Маршрутизаторы задают политику безопасности и запрещают доступ из одного сегмента сети в другой. Настройкой маршрутизаторов занимается администратор сети.

Локальная безопасность.

1. Антивирусная защита Антивирусная защита предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей Университета.

Средства антивирусной защиты предназначены для реализации следующих функций:

резидентный антивирусный мониторинг;

антивирусное сканирование;

скрипт-блокирование;

централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;

автоматизированное обновление антивирусных баз;

ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;

автоматический запуск сразу после загрузки операционной системы.

Антивирусная защита реализуется путем установки антивирусного программного обеспечения на всех элементах ИС. Анализ эффективности защиты проводится ответственным сотрудником ЦНТ, с использованием тестовых компьютеров и контролируется сотрудником ИБ.

2. Разграничение прав доступа к информационным системам и системам хранения данных Для входа в компьютерную сеть сотрудник должен ввести логин и пароль. Допускается режим безпарольного (гостевого) доступа к образовательному порталу.

В целях защиты информации организационно и технически разделяются подразделения Университета, имеющие доступ и работающие с различной информацией (в разрезе ее конфиденциальности и смысловой направленности). Данная задача решается с использованием возможностей конкретных ИС, где в целях обеспечения защиты данных доступ и права пользователей ограничивается набором прав и ролей. Права назначаются в соответствии с производственной необходимостью, определяемой администратором ИС.

Все действия пользователей определяются Регламентом по обеспечению информационной безопасности для пользователей, которую они изучают при получении доступа к ИС.

Физическая безопасность Все объекты критичные с точки зрения информационной безопасности (все сервера баз данных) находятся в отдельном помещении, доступ в которое разрешен только сотрудникам, имеющими соответствующее разрешение и определены приказом ректора.

Порядок доступа определяется Регламентом доступа в серверное помещения.

Обеспечение защиты персональных данных Все сотрудники Университета, являющиеся пользователями ЕМОС, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности персональных данных.

При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите персональных данных, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ЕМОС.

Сотрудники Университета должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

Сотрудникам запрещается разглашать содержание защищаемой информации, которая стала им известна при работе с информационными системами Университета, третьим лицам.

Дублирование, резервирование и хранение информации Для обеспечения физической целостности данных, во избежание умышленного или неумышленного уничтожения или искажения защищаемой информации и конфигураций информационных систем организуется резервное копирование баз данных, конфигураций, файлов настроек, конфигурационных файлов.