Защита конфедициальной информации в системах дистанционного обучения на основе Модус (на примере ДСО Сибади)

Содержание
Введение 5
1. Анализ объекта проектирования 7
1.1 Описание портала 7
1.2 Описание информационных активов 9
1.3 Оценка уязвимостей 11
1.4 Программно-аппаратная архитектура 14
1.5 Построение модели угроз информационной безопасности СДО 15
1.6 Построение модели нарушителя 23
1.7 Определение методов защиты 31
1.7.1Криптографические средства защиты 35
1.7.2 ЭЦП 35
1.7.3 Аутентификация и верификация пользователей в ЛВС. 36
1.7.4 Организация защиты информации в ЛВС 41
Глава 2. Система дистанционного обучения Moodle 45
2.1 Система дистанционного образования Moodle 45
2.2 Возможности системы Moodle 47
2.3 Установки и настройка Moodle 51
2.4 Выбор СУБД для организации СДО 54
2.5 Политика безопасности сайта 62
ГЛАВА 3. ЗАЩИТА ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ДИСТАНЦИОННОГО ОБУЧЕНИЯ 66
3.2 Постановка задачи защиты системы дистанционного обучения 68
3.3 Разработка мер по защите вычислительной сети 70
3.4 Определение комплекса аппаратных средств 81
3.5 Выбор программных средств для организации защиты СДО 85
3.5.1 Мониторинг и реагирование 85
3.5.2 Архивирование 86
3.5.3 Антивирусная защита 88
3.5.4 Система защиты информации он НСД 97
ЗАКЛЮЧЕНИЕ 102
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 104

eToken служит для строгой двухфакторной аутентификации, защиты электронной переписки, установления защищенных соединений (VPN, SSL), проведения финансовых транзакций и криптографической защиты информации. Идентификатор etoken RF можно одновременно использовать для доступа в помещения и к ресурсам информационных систем.USB-токеныeToken широко применяются в системах защищенного документооборота, электронных платежей, в системах предоставления отчетности в государственные органы и в системах клиент-банк. Они выступают как единое устройство для доступа ко всем ресурсам корпоративной сети и легко интегрируются с системами и приложениями, поддерживающими технологии смарт-карт и PKI. Электронные USB-ключи eToken в сравнение с аналогичными продуктами имеют наиболее удобный интерфейс использования, подключаются с использованием USB-порта, что значительно облегчает установку и перенос ключа. Также данное устройство полностью совместимо с системой SecretNet.В системах, использующих PKI, возможности eToken позволяют получать безопасный доступ к корпоративной сети, защищать свои персональные файлы и данные, осуществлять электронные сделки, подписывать и шифровать электронные письма и много другое - все это без ограничения мобильности и под надежной защитой.eToken позволяет с легкостью внедрить строгую аутентификацию пользователей и криптографические решения на основе PKI, приспособив их к конкретным условиям и требованиям организации. Ключевые пары генерируются в доверенной среде - защищенной памяти eToken. При этом закрытые ключи никогда не покидают память устройства, а сертификаты открытого ключа доступны для внешних приложений после ввода пароля eToken.Аутентификация с использованием одноразовых паролей (One-TimePassword - OTP)Аутентификация с использованием одноразовых паролей подразумевает использование нового пароля для каждого нового сеанса доступа. Такой способ особенно актуален при доступе из ненадежной среды, например, из интернет-кафе. Рисунок 3.3 – Процедура идентификацииАрхитектура eToken ОТР предполагает наличие сервера аутентификации RADIUS, что делает возможным интеграцию с любыми VPN-шлюзами и приложениями, поддерживающими этот протокол. Сервер RADIUS использует для получения информации о пользователе инфраструктуру ActiveDirectory (с использованием TMS - системы централизованного управления устройствами линейки eToken).Внедрение Token Management System (TMS)eTokenTMS- это решение, предназначенное для построения инфраструктуры безопасного доступа к информационным ресурсам предприятия с централизованным управлением.НазначениеЦентрализованное управление средствами аутентификации в течение всего жизненного цикла (инициализация/выпуск сертификата, ввод в эксплуатацию/выдача, обслуживание, вывод из эксплуатации/блокирование).Учет средств аутентификации, аудит их использования.Автоматизация типовых операций и сценариев администрирования в соответствии с политиками безопасности, принятыми в организации.Быстрое и самостоятельное решение проблем пользователей без обращения к администраторам.eToken TMS является связующим звеном между пользователями, средствами аутентификации, приложениями информационной безопасности - основанных как на PKI, так и на традиционной аутентификации с применением регистрационных имен и паролей - и политикой безопасности.Для расширения возможностей TMS доступен комплект разработчика eToken TMS Connector SDK, позволяющий добавить возможность работы со сторонними приложениями в процессе стандартных операций с устройствами eToken (добавление, назначение, отзыв и т.д.).Рисунок3.4 – СтруктураTokenManagementSystem3.5 Выбор программных средств для организации защиты СДОДля обеспечения информационной безопасности требуется соблюдение ряда требований по управлению сетью, к ним относятся:мониторинг сетевых устройств;обеспечение антивирусной защиты;внедрение системы контроля за несанкционированным доступомсвоевременная и регулярная архивация данных.3.5.1 Мониторинг и реагированиеВ качестве программного обеспечения мониторинга сетевого оборудования выбран программный комплекс NateksFlexGainView, построены на базе CastleRockSNMPc. Общая архитектура системы строится по системе "клиент/сервер" (различные "клиенты" могут быть установлены на нескольких физических машинах, подключенных к одному и тому же серверу) и по принципу "агент/менеджер" на основе протокола SNMP. Этот комплекс обеспечивает такие важные функции, как:картография сети;сигнализация аварийных сообщений на карте устройств;конфигурирование сетевых элементов;ведение журналов текущих и прошедших событий.Ее основными преимуществами перед конкурентами стали: относительно невысокая цена, русскоязычная техническая поддержка, невысокие аппаратные требования, установка на Windows платформу.В качестве серверных операционных системы выбрана Windows 2012 Server, предустановленная на сервера поставщиком. Эта операционная система стабильна и за годы ее существования были выявлены и устранены основные недостатки. Операционными системами на рабочих местах остаются существующие системы семейства Windows. На указанных операционных системах также включается агент SNMP, что позволяет вести мониторинг состояния не только сетевого оборудования, но и рабочих станций и серверов.В качестве дополнительного ПО для мониторинга работы серверов будет использоваться «10-Страйк: Мониторинг Сети». Это легкое удобное программное обеспечение позволяет предлагает следующее:Мониторинг служб, баз данных, портов TCP;Мониторинг температуры, напряжения, места на дисках и прочих параметров по SNMP и WMI;Информирование с помощью e-mail, SMS, звука или сообщения на экране;Анализ статистики мониторинга, графики и отчеты.3.5.2 АрхивированиеНе смотря на все меры по предотвращению аварийных ситуаций и предупреждению выхода из строя оборудования, полностью исключать такую возможность нельзя. А раз такое может произойти, то задача ИТ специалистов быть к ней готовым. Основной проблемой, которая возникнет после выход из строя сервера будет не поиск нового «железа», а восстановление данных, потому что информация зачастую стоит гораздо дороже оборудования, а ее отсутствие каждую минуту приводит к финансовым потерям. Поэтому важно регулярно и систематически создавать архивные копии важной инормации.Выбор средств резервного копирования производился из четырех самых популярных пропиретарных программных продуктов. Программное обеспечение с GPL лицензией не принималось во внимание в виду отсутствия технической поддержки. Сводные характеристики этих продуктов приведены в таблице 3.2.Таблица 3.2 – Сводные характеристики средств резервного копирования.AcronisBackup & RecoveryParagonDriveBackupHandyBackupServerGFI BackupBusinessИнкрементное и дифференциальное копирование++++ДедупликацияДополнительный модуль---Работа с образами разделов+++-Универсальное восстановлениеДополнительный модульДополнительный модуль--Виртуализация++--Хранилище на локальных дисках рабочих станций++--Централизованное развертывание и управление+Дополнительный модуль++Дублирование архивов+---На основании этих данных в качестве средства резервного копирования в сетиСибАДИ был выбран AcronisBackup. В проектируемой сети все сервера должны быть обеспечены программным обеспечением, которое позволит в кротчайшие сроки восстановить данные и возобновить работу сервера после повреждения. Также компьютеры дирекции, начальников отделов оборудуются средствами резервного копирования.3.5.3 Антивирусная защитаВажным компонентом информационной инфраструктуры является антивирусное программное обеспечение. Вред, которой могут нанести вирусы может быть значительным и иметь очень неприятные последствия, что в конечном итоге ведет к простоям, потере информации и пр. Поэтому внедрение программного обеспечения защищающего от вирусных программ – является необходимым. На сегодняшний день на рынке ПО представлено огромное количество средств антивирусной защиты. В проектируемой сети помимообщий требований (поиск вирусов, лечение, надежность) требуется:централизованное обновление;настройка по сети;невозможность отключить антивирус пользователем;не требовательность к ресурсам.Для выбора антиврусного ПО был проведен анализ, на основании тестирования, которое регулярно проводят организации занимающиеся информационной безопасностью, такие как:AV Comparatives http://www.av-comparatives.org/AV-Test http://www.av-test.org/Virus Bulletin http://www.virusbtn.com/Dennis Technology Labs http://www.dennistechnologylabs.com/Оценка программного обеспечения, с точки зрения пользователя и разработчика может осуществляться с использованием различных показателей качества. Под моделью качества АОС понимается совокупность наиболее существенных качественных показателей в достаточной степени характеризующих АОС, таких как:Простота и легкость установки. Данный показатель характеризует способность быть установленным или развернутым в определенном окружении.Поддержка стандартов.Надёжность.Включает в себя два основных аспекта:отсутствие в готовой программе ошибок проектирования и программирования;защищённость программы от деструктивного вмешательства в ход процесса и формируемый результат.Функциональная ёмкость.Характеризует степень удовлетворения потребностей пользователя в смысле возможности решения конкретных задач, стоящих перед ним.Техническая эффективность.характеризует объёмы требующихся ресурсов вычислительной системы:объёма оперативной памяти;объёма внешней памяти;времени работы процессора;привлекаемых компонент операционной системы.Данные показатели могут получить числовую оценку. При этом из двух программ с одинаковыми функциональными свойствами лучше та, которая потребляет меньше ресурсов.Стоимость.Свойство программы, которое в денежном выражении определяется ценой.Наглядность и удобство интерфейса.Данное качество отражает простоту понимания, простоту использования, возможность дальнейших улучшений без существенных переделок так, чтобы применение программы или системы осуществлялось с минимальными затратами.Устойчивость к сбоям.Данный показатель характеризует способность поддерживать заданный уровень работоспособности при сбоях.Адаптивность.Это возможность модификации в случае изменения параметров решаемых задач, операционного окружения, аппаратного состава или типа ПЭВМ.Экспертное оцениваниеВсе системы создаются для удовлетворения возникших у общества потребностей. Целью системы является стремление к более полному удовлетворению этих потребностей. Степень соответствия системы поставленным целям называют её эффективностью. Сложность и многообразие функций, выполняемых современными системами, требует учета определения количества целей, каждая из которых описывается своим критерием. Поэтому многокритериальность есть естественное свойство любой системы и вопросы повышения эффективности не могут быть разрешены кардинальным образом, без решения проблемы многокритериальности.Существует несколько форм представления ОПЭ (обобщенный показатель эффективности): векторная, скалярная, эвристическая. У каждой из этих форм существуют весомые недостатки, так при векторном представлении снижается наглядность по мере увеличения размерности пространства, происходит одновременно резкое возрастание объема вычислительных операций и усложнение процедур учета значимости отдельных составляющих вектора ОПЭ. Скалярная форма имеет ряд преимуществ: наглядность практически не зависит от размерности ОПЭ, учет значимости частных показателей упрощается, но одновременно, скаляризация требует приведения показателей к безразмерному виду. Эвристические приемы формирования оценок систем основываются на интуиции.Наличие интегрального критерия решает проблемы многокритериальности наиболее радикальным образом – за счет «свертки» набора критериев в один критерий. Форм интегрального критерия существует также несколько: нормальная форма, мультиаддитивная форма, аддитивная форма. В рамках данной дипломной работы наиболее приемлема аддитивная форма.Формирование группы экспертовДля правильного и качественного проектирования создаваемой системы и определения ее эффективности, сформируем группу экспертов из высококвалифицированных специалистов:После формирования группы экспертов, необходимо оценить их компетентность, которая будет учитываться при ранжировании характеристик.Экспертная оценка сред разработки по частным критериямВыбор показателей реализует систему ценностей, скрытую в целях построения, функционирования и управления системой. Необходимо найти способ измерения соответствующих целей. Разные цели могут иметь различную степень измеримости. Для оценки, необходимой для разработки обучающей мультимедийной системы, по пяти наиболее важным показателям применим бальную шкалу. Понятие цели вводится исключительно для того, чтобы получить возможность сравнивать системы между собой по степени предпочтительности. Считается, что одна система лучше другой только тогда, когда она в большей степени соответствует поставленным целям.Выберем пять наиболее значимых показателей и опишем предельные оценки n) и для каждого из них:Удобство проведения проверки (D1):«5» - стандарт совместимости со стандартами LOM, IMS, SCORM.«1» - продукт имеет собственный стандарт и не совместим с другими.Техническая эффективность (D2):«5» - продукту требуется минимальный объем ресурсов вычислительной системы.«1» - продукту требуется достаточно большой объем ресурсов вычислительной системы.Функциональная ёмкость (D3):«5» - в системе есть все необходимые функции для пользователя.«1» - отсутствие необходимых функций для пользователя более 50 %. Наглядность и удобство интерфейса (D4):«5» - интерфейс понятен пользователю, логически обоснован, создан с учетом современных технических новшеств.«1» - интерфейс не понятен пользователю, логически не обоснован, современные технические новшества не задействованы.Стоимость продукта (D5): «5» - продукт поставляется бесплатно.«1» - продукт имеет завышенную стоимость.Определим компетентность экспертов по взаимному оцениванию следующим способом:Составим списки экспертов в количестве экземпляров равных числу экспертов .Выбираем требуемые значения характеристик по оценкам экспертов. Средняя оценка для характеристик находится по формуле:, (3.1)Произведем нормирование характеристик путем отнесения критерия к его интервалу изменений.Нормирование по диапазону изменений частного критерия осуществляется по формуле: (3.2)Результаты экспертного оценивания приведены в таблицах 3.3 – 3.6.Таблица 3.3 Экспертная оценка антивирусParagonDriveBackupПоказатели minmaxЭксперты Значение iСр. оценка12345iD115543540,104,20,8D215544540,054,40,85D315545450,104,60,9D415443440,243,80,7D515434440,243,80,7Таблица 3.4 Экспертная оценка антивирусDr.WebSecuritySpaceПоказатели minmaxЭксперты Значение iСр. оценка12345iD115344340,103,60,65D215555550,0551D315443330,103,40,6D415455540,244.60,9D515555550,2451Таблица 3.5 Экспертная оценка антивирусESET SecureEnterpriseПоказатели minmaxЭксперты Значение iСр. оценка12345iD115545540,104,60,9D215554550,054,80,95D315455540,104,60,9D415555450,244,80,95D515555550,2451Таблица 3.6 Экспертная оценка антивирусKasperskySecureEnterpriseПоказатели minmaxЭксперты Значение iСр. оценка12345iD115544450,104,40,85D215444440,0540,75D315455440,104,40,85D415343430,243,40,6D515455440,244,40,85Расчет обобщенного показателя эффективностиРасчет производим по формуле: (3.3)АнтивирусParagonDriveBackupАнтивирусDr.WebSecuritySpaceАнтивирусESET SecureEnterpriseАнтивирусKasperskySecure EnterpriseПроанализируем полученные результаты. Среди рассмотренных систем, наиболее высокий ОПЭ имеет программный продукт ESET SecureEnterprise(ОПЭ = 0,7). Этот программный продукт, по оценкам экспертов, наиболее удовлетворяет потребностям организации защиты вычислительной сети СДО. Это вполне оправдано, так как ESET SecureEnterpriseявляется очень удобным и многофункциональным средством.В качестве антивирусной защиты в данном проекте выбрана система от ESET – ESET SecureEnterprise, представляющая собой комплексную защиту от вирусов и вредоносных программ для рабочих станций и файловых серверов небольших корпоративных сетей. Данная система обеспечивает оптимальный уровень безопасности компьютера и высокую производительность работы при минимальных системных требованиях.[19]Компоненты:ESET SecureEnterprise,ESET File Security для Microsoft Windows Server,ESET File Security для Linux/BSD/Solaris,ESET Mobile Security Business Edition,ESET RemoteAdministratorЗащита от неизвестных угроздетектирование угроз на основе облачного сервиса ESET LiveGridраспознавание ранее неизвестных угроз по принципу технологии эвристического анализа ThreatSense®поведенческий анализ потенциально опасного ПОблокирование вредоносных ссылок в сети интернетограничение доступа пользователей к веб-сайтам по категориямуправление списками адресовЭффективное средство защиты файлового сервера ESET FileSecurityСпециализированное решение обеспечивает эффективную и надежную защиту файловых серверов от всех типов вредоносных программ для MicrosoftWindowsServer.[19]Защита от внешних вторжений и фильтрация трафиканастраиваемая система обнаружения внешних вторжений HIPS (Host-basedIntrusionPreventionSystem)Проверка корпоративной почтыфильтрация почты и вложений на наличие вредоносного кодаподдержка большинства почтовых клиентов: MicrosoftOutlook , OutlookExpress, MozillaThunderbird, WindowsMail, WindowsLiveMail и другие потовые клиенты, поддерживающие протокол РОР3 и POP3S, IMAP и IMAPSРегулярное обновлениеобновление сигнатурных баз - 4 раза в суткиСистемные требованияПоддерживаемые ОС:Microsoft Windows® 7/Vista/XP/2000 (32-bit и 64-bit версии)Microsoft Windows® Server 2008 R2/ 2008/ 2003 /2000 (32-bit и 64-bit версии)Microsoft Windows Small Business Server 2003/ 2003 R2/ 2008/2011Microsoft® Windows® 2000, XP, Server 2003Microsoft® Windows® 7, Vista, Home Server, Server 2008Linux (RedHat, Mandrake, SuSE, Debian, FreeBSD 4.X, 5.X и 6.Х, NetBSD 4)SunSolaris 10 Mac OS X 10.5.x (Leopard), Mac OS X 10.6.x (Snow Leopard), Mac OS X 10.7.x (Lion)Требования к оперативной памяти 512 MB Необходимое свободное место на жестком диске 60 MB (для установки 320 MB)Данное программное обеспечение призвано эффективно выявлять и обезвреживать любые вредоносные программные объекты, которые попадают в область действия данного комплекса. При этом SecureEnterprise, позволяет выявлять ранее не известные виды вредоносного ПОна основе анализа действия конкретной программы в момент запуска. Для этого существует режим первоначального запуска.Установку ESET SecureEnterprise можно осуществить одним из четырех способов:удаленнаяустановкаспомощью ESET Remote Administrator Server 5 и ESET Remote Administrator Console 5;установка при помощи групповых политик безопасности и при помощи специально написанных скриптов (Logon-script);установка по электронной почте. В этом случае пользователю нужно только запустить установку агента, полученного по электронной почте;локальная установка. К защите сети относится персональныйфаервол, который занимается фильтрацией сетевого трафика по заданным правилам. Фаервол может работать в одном из пяти режимов:автоматический режим. Разрешается весь исходящий трафик и блокируются новые соединения;автоматический режим с исключениями. То же, что и автоматический режим, только с возможностью задавать правила пользователям или администратору;интерактивный режим. Фильтрация трафика осуществляется на основе правил пользователей. Если было обнаружено соединение, не попадающее под правило, то будет выведено предупреждение о неизвестном подключении;режим на основе политик. Блокируются все соединения, для которых нет правил их работы;режим обучения. Создание правил в процессе работы на основе диалога с пользователем. Назначение ESET SecureEnterprise 5 состоит в защите компьютеров в локальной сети. При разворачивании защиты на компьютеры в сети, администратор может задавать настройки всех компонентов защиты ESET SecureEnterprise 5 и задачи, которые он будет выполнять.3.5.4 Система защиты информации он НСДSecretNetпредназначен для защиты конфиденциальной информации, составляющей коммерческую, государственную тайну или относящейся к персональным данным. Система SecretNet 7 дополняет стандартные механизмы защиты операционных систем функциями защиты от НСД к информационным ресурсам компьютеров.Система контроля доступа SecretNet, в отличие от своих аналогов, поддерживает усиленную аутентификацию пользователей в том числе и с использованием аппаратной поддержки. В качестве индивидуальных идентификаторов могут быть использованы:– iButton (серия DS199x)– eToken PRO, eToken PRO Java (USB, смарт-карта)– RutokenSecretNet является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие с требованиями регулирующих документов: №98-ФЗ ("о коммерческой тайне") №152-ФЗ ("о персональных данных") №5485-1-ФЗ ("о государственной тайне") СТО БР (Стандарт Банка России[40]В SecretNet 7 поддерживается применение электронных СИА на базе идентификаторов iButton и USB-ключей eToken PRO, iKey 2032, Rutoken v.1, Rutoken S, Rutoken RF S.Обладает сертификатами ФСТЭК России и может использоваться в автоматизированных системах до класса 1Б включительно и для защиты персональных данных в ИСПДн до класса К1 включительно.[40]Рисунок 3.4 – Основные возможности SecretNet 7Ключевые возможности СЗИ от НСД SecretNet:Аутентификация пользователей.Разграничение доступа пользователей к информации и ресурсам автоматизированной системы.Доверенная информационная среда.Контроль утечек и каналов распространения конфиденциальной информации.Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.Централизованное управление системой защиты, оперативный мониторинг, аудит безопасности.Масштабируемая система защиты, возможность применения SecretNet (сетевой вариант) в организации с большим количеством филиалов.[40]На стадии ввода в действие СЗИ SecretNet осуществляются:предварительные испытания средств защиты;опытная эксплуатация средств защиты и функциональных задач АС в условиях их работы;приемочные испытания средств защиты;приемочные испытания СЗСИ в составе автоматизированной системы комиссией соответствующего ранга.Предварительные испытания средств защиты SecretNet проводит разработчик этих средств совместно с уполномоченными лицами отдела ИТ-администрирования и с привлечением специалистов отраслевых органов безопасности информации в целях проверки отдельных средств по ГОСТ 21552-84, ГОСТ 16325-88 и ГОСТ 23773-88, соответствия технической документации требованиям ТЗ, выработки рекомендаций по их доработке и определения порядка и сроков проведения опытной эксплуатации.Приемочные испытания СЗИ SecretNet проводятся в составе автоматизированной системы, предъявляемой комиссии заказчика.       Ответственность за организацию работ при вводе в действие СЗСИ, за функционирование средств защиты после приемочных испытаний несет заказчик.Сетевой режим (с централизованным управлением) – предназначен для развертывания в доменной сети c ActiveDirectory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант SecretNetможет быть успешно развернут в сложной доменной сети (domaintree/forest).Система позволяет эффективно контролировать и разграничивать доступ пользователей к защищенной информации.Рисунок 3.5 – Разграничение прав пользователейСтруктура ПО ЛВС после внедрения программных средств защиты информации представлена на рисунке 3.6Рисунок 3.6 – Структура ПО в модернизированной вычислительной сетиЗАКЛЮЧЕНИЕДля дальнейшего развития и становления системы дистанционного электронного обучения ДСО СибАДИ необходимо обеспечить наиболее полную защиту электронных документов частных лиц от несанкционированного доступа.Особенностью распределенной СДО является передача персональных данных граждан по неконтролируемому каналу, чаще всего представляющему из себя сеть связи общего пользования или Интернет. Эта особенность влияет на все основные характеристики безопасности СДО, в том числе на необходимость криптографической защиты передаваемых данных. Ввиду распределенной и разнородности средств информатизации и защиты, остро становится вопрос выбора СЗИ, вопрос централизации механизмов мониторинга и управления.В выпускной квалификационной работе использованы углубленные знания из теории и практики построения и использовании информационных систем на корпоративных предприятиях и изучения архитектуры современных систем электронного документооборота. Проведен анализ объекта защиты системы дистанционного электронного обучения ДСО СибАДИ, охарактеризованы его виды деятельности, проведен анализ основных задач всех отделов. Рассмотрены основные виды документооборота в организации и схема корпоративной системы защиты документооборота.Результатом работы стала разработка предложений, содержащих в себе перечень прорабатываемых задач:Обеспечена защиту ЛВС от возможности заражения вредоносным ПО. Данная задача решена в полном объеме. Для решения этой задачи на рабочие станции и серверы учебного заведения было установлено антивирусное ПО компании ESET. Данная мера позволяет надежно контролировать и своевременно выявлять появившиеся в сети вредоносное ПО.Обеспечен требуемый уровень безопасности конфиденциальных документов и информации. Для сотрудников были приобретены электронные ключи-устройства аппаратного шифрования данных, позволяющие повысить уровень надежности авторизации и идентификации сотрудника учебного заведения, а также надежно защитить конфиденциальные данные.Предложены меры по модернизации вычислительной сети для обеспечения требуемого уровня безопасности: Внедрение аппаратного межсетевого экрана, модернизация сетевого оборудования, настройка и разграничение прав доступа, деление сети на виртуальные сети.Таким образом, можно считать, что система ИБ организации системы дистанционного обучения, в результате модернизации теперь соответствует предъявленным требованиям. Нововведения обеспечат защиту электронного документооборота и стабильной работы с информацией, что позволит повысить эффективность работы ДСО СибАДИСПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВБазовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: утв. Федеральной службой по техническому и экспортному контролю 15 февраля 2008 г // СПС Консультант Плюс.Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 г // СПС Консультант Плюс.В. А. Тихонов, В. В. РайхИнформационная безопасность. Концептуальные, правовые, организационные и технические аспекты. М: 2006 с. 235.Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли ФСТЭК России от 04.06.2010 г. № 240/2/2271.Баймакова И.А., Новиков А.В., Рогачев А.И. Обеспечение защиты персональных данных. Методическое пособие / И.А. Баймакова. – М.: 1С-Паблишинг, 2010. – 214 с.Безопасность и управление доступом в информационных системах. А.В. Васильков, И.А. Васильков. Учебное пособие. М. : ФОРУМ, 2010. 368 с.Комплексная система защиты информации на предприятии, Н.В. Гришина. Учебное пособие. М. : ФОРУМ, 2011. - 240 с.Андреев, А.А. Учебно-методическое обеспечение для Интернет-обучения / А.А. Андреев, В.Н. Фокина // Всероссийская научно-практическая конференция «Информационные технологии в образовании и науке». ИТОН, 2007.Мельников П. П. Защита информации в автоматизированных системах финансовых и коммерческих организаций, М.: ФА, 2011. –76с.Каменева Е. ЭЦП и электронное согласование проектов документов с использованием ИС / Екатерина Каменева // Делопр-во и документооборот на предприятии. - 2011. - № 9. - C. 48-56.Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2011. - 288 с.: ил. Домарев В.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2012. –992 с.Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. - СПб.: СПбГУ ИТМО, 2011. - 161 с.Андреев, А.В. Практика электронного обучения с использованием Moodle / А.В. Андреев, С.В. Андреева, И.Б. Доценко. - Таганрог: Изд-во ТТИ ЮФУ, 2008. - 146 с.Анисимов, А.М. Работа в системе дистанционного обучения Moodle: учебное пособие / А.М. Анисимов. - Харьков, ХНАГХ, 2009. - 292 с.Белозубов, А.В. Система дистанционного обучения Moodle: учебно-методическое пособие / А.В. Белозубов, Д.Г. Николаев. - СПб., 2007. - 108 с.Гильмутдинов, А.Х. Электронное образование на платформе Moodle [Текст] / А.Х. Гильмутдинов, Р.А. Ибрагимов, И.В. Цивильский. - Казань, КГУ, 2008. - 169 с.Белов, Е.Б. Основы информационной безопасности [Текст]. Учебное пособие для вузов / Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. – М.: Горячая линия – Телеком, 2006. – 544 с.Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации [Текст]. Учеб.пособие для вузов / А.А. Малюк. – М.: Горячая линия-Телеком, 2004. – 280 с.Чипига, А.Ф. Информационная безопасность автоматизированных систем: учеб.пособие для студентов вузов, обучающихся по специальностям в обл. информ. безопасности [Текст]/ А.Ф. Чипига. – М.: Гелиос АРМ, 2010. – 336 с.Ярочкин, В.И. Информационная безопасность [Текст]: Учебник для вузов / В.И. Ярочкин. – М.: Академический Проект, 2004. – 544 с.Скрипкин, К.Г. Экономическая эффективность информационных систем. – М.: ДМК Пресс, 2002. – 256 с.SafeNetEthernetEncryptor [Электронный документ] URL: http://www.datasec.ru/products/kanalnoe_shifrovanie/safenet_ethernet_encryptor/ESET SecureEnterprise [Электронный документ] URL: http://www.esetnod32.ru/business/products/СЗИ от НСД SecretNet [Электронный документ] URL: http://www.securitycode.ru/products/secret_net/Калыгин, В.Г. Безопасность жизнедеятельности. Промышленная и экологическая безопасность, безопасность в техногенных чрезвычайных ситуациях [Текст] / В.А. Бондарь. – М.: КолосС, 2006. – 520 с.Кукин, П.П. Безопасность жизнедеятельности. Безопасность технологических процессов производств. Охрана труда [Текст] / В.Л. Лапин. – М.: Высшая школа, 2007. – 336 с.Приложение 1. Оценка информационных активов предприятияВид деятельностиНаименование активаФорма представленияВладелец активаКритерии определения стоимостиРазмерность оценкиКоличественная оценкаКачественнаяИнформационные активыКадровое обеспечениеПерсональные данные сотрудниковЭлектронная/БумажнаяСпециалист по кадрамСтоимость воссоздания170 тыс. руб.СредняяОбучающая деятельностьПерсональные данные клиентовЭлектронная/БумажнаяСпециалист по кадрамСтоимость воссоздания300 тыс. руб.СредняяРеализация Данные по оплатеЭлектроннаяБухгалтерСтоимость воссоздания500 тыс. руб.КритическаяАктивы аппаратного обеспеченияОбработка информацииСервераМатериальнаяСистемный администраторПервоначальная стоимость300 тыс. руб.КритическаяОбработка информацииКомпьютерыМатериальнаяСистемный администраторПервоначальная стоимость100 тыс. руб.СредняяОбработка информацииПринтерыМатериальнаяСистемный администраторПервоначальная стоимость25 тыс. руб.МалаяОбработка информацииСканераМатериальнаяСистемный администраторПервоначальная стоимость15 тыс. руб.МалаяАктивы программного обеспеченияОбработка информацииMicrosoftWindowsЭлектроннаяСистемный администраторСтоимость воссоздания15 тыс. руб.МалаяОбработка информацииMicrosoftOfficeЭлектроннаяСистемный администраторСтоимость воссоздания17 тыс. руб.МалаяОбработка информацииПО MoodleЭлектроннаяСистемный администраторСтоимость воссоздания120 тыс. руб.ВысокаяФизические активыПроцесс обученияДоговора с клиентамиБумажнаяЗам. деканаСтоимость воссоздания55 тыс. руб.МалаяБухгалтерияБухгалтерская отчетностьБумажнаяБухгалтерСтоимость воссоздания75 тыс. руб.МалаяПриложение 2 Результаты оценки уязвимости активовГруппа уязвимостейСодержание уязвимостиПерсональные данные клиентовПерсональные данные сотрудниковФинансовые и прочие документы учебного заведенияДоговора с клиентамиПрограммно-аппаратные средстваБезопасность кадровых ресурсов (ISO/IEC 27002:2005, раздел 8)Недостаточное обучение безопасностиВысокаяВысокаяСредняяНизкаяСредняяОтсутствие политик в области корректного использования средств телекоммуникаций и передачи сообщенийСредняяСредняяСредняяНизкаяСредняяНе отменяются права доступа при увольненииВысокаяВысокаяНизкаяНизкаяВысокаяНе существует процедуры, гарантирующей возврат ресурсов при увольненииСредняяСредняяСредняяВысокаяСредняяНемотивированный или недовольный персоналВысокаяВысокаяСредняяВысокаяВысокаяБезнадзорная работа внешнего персонала или персонала, работающего в нерабочее времяСредняяСредняяНизкаяСредняяСредняяФизическая безопасность и безопасность окружающей среды (ISO/IEC 27002:2005, раздел 9)Отсутствие физической защиты здания, дверей и оконСредняяСредняяНизкаяВысокаяСредняяРазмещение в зоне, подверженной затоплениюВысокаяВысокаяНизкаяСредняяВысокаяНезащищенное хранениеВысокаяВысокаяСредняяВысокаяСредняяНедостаточное сопровождение/неудачная установка средств хранения информацииСредняяСредняяСредняяСредняяСредняяОтсутствие схемы периодической замены оборудованияСредняяСредняяНизкаяНизкаяСредняяПодверженность оборудования перепадам температурНизкаяНизкаяНизкаяСредняяНизкаяНестабильное электропитаниеСредняяСредняяСредняяВысокаяСредняяУправление коммуникациями и операциями (ISO/IEC 27002:2005, раздел 10)Передача или повторное использование средств хранения информации без надлежащей очисткиСредняяСредняяНизкаяНизкаяСредняяНеадекватный контроль измененийВысокаяВысокаяВысокаяНизкаяНизкаяОтсутствие процедур резервного копированияВысокаяВысокаяСредняяНизкаяСредняяОтсутствие обновления программного обеспечения, используемого для защиты от вредоносного кодаСредняяСредняяСредняяНизкаяСредняяНет разделения тестового и рабочего оборудованияНизкаяНизкаяСредняяСредняяНизкаяНезащищенные соединения с сетями общего пользованияСредняяСредняяНизкаяНизкаяСредняяКонтроль доступа (ISO/IEC 27002:2005, раздел 11)Неправильное разграничение доступа в сетяхВысокаяВысокаяНизкаяНизкаяСредняяОтсутствие механизмов идентификации и аутентификации, таких как аутентификация пользователейВысокаяВысокаяНизкаяНизкаяСредняяОтсутствующая или некорректная политика контроля доступаВысокаяВысокаяСредняяНизкаяСредняяОтсутствие «выхода из системы», когда покидается рабочая станцияВысокаяВысокаяНизкаяНизкаяСредняяОтсутствие или проведение в недостаточном объеме тестирования программного обеспеченияСредняяСредняяСредняяНизкаяНизкаяПлохое управление паролями (легко угадываемые пароли, хранение паролей, недостаточно частая смена)СредняяСредняяНизкаяНизкаяСредняяНеконтролируемое использование системных утилитСредняяСредняяНизкаяНизкаяНизкаяПриобретение, разработка и сопровождение информационных систем (ISO/IEC 27002:2005, раздел 12)Недостаточная защита криптографических ключейВысокаяВысокаяНизкаяНизкаяСредняяНесовершенная политика в области использования криптографииВысокаяВысокаяНизкаяНизкаяСредняяОтсутствие контроля входных или выходных данныхСредняяСредняяВысокаяНизкаяНизкаяОтсутствие проверки обрабатываемых данныхСредняяСредняяВысокаяСредняяНизкаяНевыполнение или выполнение в недостаточном объеме тестирования программного обеспеченияСредняяСредняяСредняяНизкаяСредняяНеконтролируемая загрузка и использование программного обеспеченияСредняяСредняяНизкаяНизкаяНизкаяНеконтролируемое использование условно бесплатного или бесплатного программного обеспечения в корпоративных приложенияхСредняяСредняяСредняяНизкаяНизкаяНеправильный выбор тестовых данныхНизкаяНизкаяВысокаяНизкаяНизкаяПриложение 3 Результаты оценки угроз активамГруппа угрозСодержание угрозПерсональные данные клиентовПерсональные данные сотрудниковФинансовые и прочие документы учебного заведенияДоговора с клиентамиПрограммно-аппаратные средстваУгрозы утечки информации по техническим каналам:Угрозы утечки акустической информации:Использование направленных (ненаправленных) микрофонов воздушной проводимости для съема акустического излучения информативного речевого сигнала.НизкаяНизкийНизкийНизкийНизкийИспользование «контактных микрофонов» для съема виброакустических сигналов.НизкаяНизкийНизкийНизкийНизкийИспользование «лазерных микрофонов» для съема виброакустических сигналов.НизкаяНизкийНизкийНизкийНизкийИспользование средств ВЧ-навязывания для съема электрических сигналов, возникающих за счет микрофонного эффекта в ТС обрабо