Модель подсистемы информационной безопасности центра обработки данных общеобразовательных учреждений

Развитие существующих и создание новых телекоммуникационных сетей Новосибирской области должно обеспечивать возможность их функционирования в рамках единого информационного пространства. По этой причине любой центр обработки данных должен адекватно удовлетворять потребностям и поставленным задачам, способствовать рациональной организации и обеспечивать эффективное распределение информационных потоков внутриобластного характера. Главная задача ЦОД - обеспечение информационной безопасности, основанной на комплексе организационно-технических мер, средств и способов с помощью физической безопасности, безопасности аппаратных средств, безопасности программно-математического обеспечения и безопасности каналов передачи данных.

Современный центр обработки данных (ЦОД) включает серверный комплекс, систему хранения данных, систему эксплуатации и систему информационной безопасности, которые интегрированы между собой и объединены высокопроизводительной ЛВС (Рисунок 1).

Рисунок 1 - Общая ИТ-инфраструктура современного ЦОД

СЗПДн предназначена для обеспечения защиты персональных данных от действующих на них угроз информационной безопасности. Основными целями обеспечения информационной безопасности является поддержка и сохранение таких свойств информации, как конфиденциальность, целостность и доступность. В этой связи СЗПДн призвана исключить или существенно затруднить (нейтрализовать, отразить) возможные попытки реализации угроз информационной безопасности в результате нарушения одной из характеристик безопасности.

СЗПДн представляет собой комплекс организационно-режимных мероприятий, документированных процедур, технических средств защиты информации, а также технологий их применения, и, исходя из модели угроз и вероятного нарушителя информационной безопасности, структурно СЗПДн включает в себя следующие структурные функциональные компоненты (подсистемы):

подсистему управления доступом;

подсистему регистрации и учета.

подсистему обеспечения целостности;

подсистему межсетевого экранирования;

подсистему антивирусной защиты;

подсистему анализа защищенности;

подсистему обнаружения вторжений ;

подсистему резервного копирования и восстановления.

Внутренний аудит информационной безопасности должен обеспечить обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение принятых в АИС требований в части безопасности информации и привести к возникновению кризисных ситуаций. Результаты регистрации обеспечивают управление информационной безопасностью.

Итак, разрабатываемая модель ЦОД должна предусматривать разграничение доступа для различных групп пользователей. Доступ к информационным ресурсам центра обработки данных имеют:

• •     все школы области;

• •     министерство образования НСО;

• •     удаленные ученики и их родители.

  

Рисунок 2 - Схема пользователей ЦОД

Представленная СЗПДн обеспечивает реализацию единой политики информационной безопасности на всех объектах автоматизации.

Для построения системы защиты информации используется комплексный подход к защите данных. Разработанная СЗПДн обеспечивает защиту вычислительных и информационных ресурсов, в том числе содержащих персональные данные, АИС от НСД со стороны Интернет, защиту от внешних и внутренних угроз, направленных на нарушение целостности, доступности и конфиденциальности информации. Это обеспечит выполнение требований к СЗПДн, определенных нормативными документами.

Данный комплексный подход уточняет и конкретизирует модель защиты, а также представляет системное техническое решение по обеспечению безопасности персональных данных в ИСПДн, с учетом специфики функционирования каждого объекта автоматизации. В решении, наряду с использованием дополнительных сертифицированных средств защиты информации, применяются штатные защитные механизмы ОС и оборудования. Решение позволяет легко масштабировать СЗПДн.

Функции обеспечения безопасности, реализуемые СЗПДн, включают:

• •     определение защищаемого периметра АИС и размещение ПТС

АИС;

• •     обеспечение контроля целостности ПО АРМ пользователей и

• серверов;

• •     обеспечение  взаимодействия  объектов информатизации с

общедоступными сетями только через межсетевой экран;

• •     обеспечение идентификации и аутентификации пользователей

при доступе к информационным ресурсам АИС;

• •     разграничение доступа пользователей к ресурсам ИСПДн;

• •     обеспечение антивирусной защиты;

• •     обеспечение автоматического контроля защищенности;

• •     организацию резервного копирования.

Основной целью создания данной системы является возможность получения безопасного доступа к сервисам, находящимся на едином сервере, используя любую платформу. Исходя из этого, необходимо обеспечить межсетевое экранирование системы от остальной ЛВС, защитить каналы связи между сервером и удаленными пользователями, а также обеспечить защиту на требуемом уровне обрабатываемых персональных данных. При работе пользователя АИС реализуется нижеописанная модель защиты.

Система должна предоставлять централизованно-управляемый доступ к опубликованным приложениям посредством Web-доступа через браузер клиента или в качестве java-приложения. Программно-аппаратный комплекс переносит управление приложениями и рабочими столами с персональных компьютеров пользователей на централизованные сервера, расположенные в контролируемой зоне.

При работе ЦОД периодически должна производиться проверка конфигурации аппаратных средств, а также контроль целостности файлов, хранящихся в СХД. В случае отсутствия нарушений разрешается дальнейшая работа. Это должно быть реализовано с помощью дополнительно установленного на сервере ЦОД СЗИ. Этим же ПО возможна реализация разграничения доступа к ресурсам, хранящимся в центре обработки данных.

Контроль целостности файлов при их передачи от ЦОД удаленным пользователям должен осуществляться по средствам шифрования канала передачи данных. Ограничение сетевого доступа к сегменту, где находятся ИС, обрабатывающие ПДн, из-за пределов сегмента, осуществляется в автоматическом режиме межсетевым экраном. Обнаружение и предотвращение вторжений на сегмент, где находятся ИС, обрабатывающие ПДн, будет осуществляться в автоматическом режиме с помощью системы обнаружения вторжений. Отказоустойчивость системы должна быть реализована с помощью Raid-массивов и кластеризации программноаппаратных компонентов. Администраторы безопасности в свою очередь должны осуществлять анализ информации, собираемой на основе системных журналов и сообщений различных программных датчиков, с целью выявления событий, критически влияющих на защищенность информации, а также проводить периодический аудит журналов событий СЗИ с целью выявления фактов нарушения политики обеспечения безопасности персональных данных.

"Экономика и социум" №2(11)