Модель оценки защищенности систем дистанционного образования вузов
Download 250.75 Kb.
|
1. model-otsenki-zaschischennosti-sistem-distantsionnogo-obrazovaniya-vuzov
Технологии защиты СДОДля противодействия актуальным для СДО вуза угрозам и удержания рисков в пределах допустимого, используются различные механизмы и средства защиты информации, организационно-правового, технического и программного характера, которые должны необходимо учитывать ряд особенностей связанных с процессом их функционирования СДО вуза: СДО вуза должна быть доступна для пользователей 24 часа 7 дней в неделю; межсетевые экраны и применение SSL не всегда обеспечивают защиту от взлома СДО поскольку, доступ к веб-сайту СДО из внешних сетей должен быть всегда открыт; СДО часто имеет прямой доступ к данным, обрабатываемым в ИС вуза: базы данных, ERP-системы, информация об инновационных разработках и научной деятельности вуза, учебные ведомости, персональные данные и др.; узконаправленные СДО, собственной разработки вуза, более восприимчивы к атакам, так как они не подвергаются такому длительному тестированию и эксплуатации, как общедоступные известные коммерческие СДО; традиционные сетевые средства защиты не предназначены для отражения специализированных атак на веб-приложения СДО, поэтому злоумышленники при помощи браузеров легко проходят через периметр ИС вуза и получают доступ к внутренним системам и серверам; ручное обнаружение и устранение уязвимостей в СДО часто не дает положительных результатов - разработчики могут находить и исправлять сотни уязвимостей в коде, но злоумышленнику для проведения результативной атаки достаточно обнаружить всего одну. Следовательно, обеспечение защиты СДО должно осуществляться как на этапе проектирования и разработке самого СДО путем создания безопасного кода, так и в процессе его эксплуатации с внесением в случае необходимости своевременных корректировок. Поскольку даже если в программном коде СДО уязвимостей нет, необходима комплексная защита, учитывающая наличие базы данных, веб - приложения СДО, сервера СДО и прочих элементов ИТ-платформы вуза. Таким образом, в соответствии с требованиями стандартов (ГОСТ Р 50922—96 «Защита информации. Основные термины и определения», ГОСТ Р 50739—95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования», ГОСТ 28147—89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования», ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения», ГОСТ Р ИСО/МЭК 17799–2005 «Информационные технологии. Практические правила управления информационной безопасностью» и др.) и регуляторов в области информационной безопасности (Федеральный закон «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ (статья 10); Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (статьи 5, 8, 20, 28); Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ; руководящие документы ФСТЭК «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»), защита должна строиться по трем основным направлениям: контроль над безопасностью кода и наличием уязвимостей в СДО; использование специализированных средств защиты информации: прямые и обратные прокси-сервера; классические межсетевые экраны и межсетевые экраны уровня приложений; многофакторные системы аутентификации (сертификаты, временные дополнительные паролей и ключевые слов в дополнение к паре логин+пароль пользователя, методы статической и динамической биометрической аутентификации и др.); системы обнаружения атак и предотвращения вторжений; антивирусное программное обеспечение; системы регистрации и анализа событий; VPN и защищенные протоколы передачи данных; шифрование данных; средства резервирования и восстановления данных. проведение периодического контроля защищенности СДО и выработка корректирующих действий в случае необходимости. Download 250.75 Kb. Do'stlaringiz bilan baham: 
|