Информационная безопасность

Скачкообразное насыщение компьютерами системы образования, случившееся в начале 2000-ых годов в Кыргызстане породило целый ряд насущных проблем, связанных с внедрением информационных технологий в образовательный процесс. В результате последние 10 лет основной задачей стало выстраивание информационной образовательной среды. Эта чрезвычайно нужная и важная проблема отодвинула все более частные проблемы на второй план. Сейчас, когда уже можно говорить, о существующей информационной среде в образовательных учреждениях (ОУ), начинают всплывать важнейшие проблемы, оставленные ранее до лучших времен.

Один из самых важных вопросов стоящих сейчас перед ОУ с точки зрения информационных технологий – это вопрос информационной безопасности образовательного учреждения. Целью данной работы является определить потенциальные объемы работ по защите информации, стоящие перед образовательным учреждением общего образования.

С нашей точки зрения, информационная безопасность ОУ включает в себя три больших направления:

– информационная безопасность компьютеров, локальной сети, серверов и информационных систем;

– информационная безопасность персональных данных;

– защита учащихся от доступа к не- гативной информации.

Все направления требуют серьезной и кропотливой работы. Рассмотрим каждое из них в отдельности.

Информационная безопасность компьютеров, локальной сети, серверов и информационных систем.

Это направление наиболее близко к привычной деятельности специалистов, занимающихся информационной безопасностью. Здесь речь идет о защите от несанкционированного доступа, разграничении прав доступа, защиты от вирусов, и компьютерных атак.

К сожалению, учебное учреждение долго воспринималась как место, в котором работа по защите информации совершенно не требуется. Однако современные образовательные учреждения, имеют парк более из 100 современных компьютеров, объединенных в локальную сеть, файловые и почтовые сервера и используют от 5 до 10 автоматизированных информационных систем (АИС).

Рассмотрим модельное учреждение. За основу возьмем хорошо оснащенный институт, имеющую одно здание, собственную бухгалтерию и использующую информационные системы характерные для Бишкека. Будем считать, что подобный институт, в настоящее время, оснащена следующим образом.

– Два компьютерных класса по 10 машин (10 ученических + 1 профессорско-преподавательская), связанных во внутреннюю локальную сеть.

– Медиатека, в которой расположены 5-10 компьютеров, где могут работать и преподаватели и учащиеся, плюс компьютер библиотекаря.

– 20-25 компьютеров на кафедрах, оснащенных мультимедийными проекторами и иногда интерактивными досками, и имеющих выход в локальную сеть ОУ и через нее в Интернет.

– 2 компьютера на кафедрах. Эти компьютеры предназначены для подготовки к уроку преподавателей, не имеющих своих постоянных кабинетов.

– «Управленческие» компьютеры

– 2 в бухгалтерии

– 5 у ректора, секретаря и проректоров

– 1 сервера и 2 компьютера у инженерной службы.

Таким образом, общий парк машин может составить 60-70 компьютеров и 1 сервера. Часть компьютеров могут быть мобильными (ноутбуки), в том числе мобильным может быть и один из 2-х компьютерных классов.

Подробнее разберем задачи, решающиеся на тех или иных компьютерах.

Компьютеры в компьютерных классах предназначены для обучения учащихся на уроках «основы ИКТ» или интегрированных уроках по иным предметам. Для ведения обучения на данных компьютерах требуется выход в сеть Интернет и установка, требуемых педагогических программных средств (ППС). Занятия ведутся под контролем преподавателя.

Компьютеры в медиатеке предназначены для самостоятельной работы педагогов и учащихся. Компьютеры должны быть подключены к сети Интернет и к институту файловому серверу.

Компьютеры в учебных кабинетах предназначены для подготовки преподавателей к урокам, ведению электронного классного журнала и к работе на уроке с мультимедийным проектором и интерактивной доской.

Компьютеры в кафедрах предназначены для подготовки преподавателей к урокам, ведению электронного журнала.

Компьютеры в бухгалтерии работают с системой 1С-бухгалтерия и АИС «Госзаказ» (АИС ГЗ)

Компьютер ректора должен быть подключен к Интернету и в нем должен быть настроен официальный электронный адрес учреждения. На компьютере должно стоять специальное ПОдля работы с ЭЦП для АИС ГЗ и АИС «Электронный торги», на нем должен быть доступ к файлам с управленческими документами (приказами, письмами, тарификацией и т.п.) и ко всем основным модулям АИС «Параграф» (Кадры, движение учащихся, журнал, учебный план и т.п.). Компьютер должен быть связан локальной сетью с остальными управленческими компьютерами.

Компьютеры секретаря и проректора тоже должны быть связаны в единую локальную сеть, иметь доступ в Интернет. На них на всех должен быть настроен вход в АИС «Параграф» с соответствующими правами. На компьютере секретаря необходим доступ к БД «Метрополитен» (база студентов, которым положен льготный контракт).

К файловому серверу должен быть доступ у всех компьютеров, правда с возможностью разграничить доступ логически к тем или иным разделам, а на сервере баз данных стоит серверная часть АИС «Параграф».

Компьютеры инженерной службы имеют администраторские права с полным доступом ко всем приложениям.

Все вышеперечисленное говорит о том, что в упрощенном случае локальная сеть учреждения должна быть разбита минимум на 3 сегмента (или домена).

• 1.    Машины, на которых работают студенты (компьютерные классы и медиатека). С данных машин должен быть невозможен доступ к базам данных, к преподавательским и административным компьютерам.

• 2.    Кафедральные компьютеры (в учебных кабинетах и кафедрах). Из данного сегмента сети должен быть невозможен доступ к управленческим компьютерам, но требуется выход к АИС «Параграф».

• 3.    Управленческие компьютеры.

Наиболее закрытая часть локальной сети, доступ, к которой из остальной сети строго воспрещен.

Надо отметить, что к файловому серверу доступ должен быть возможен из всех трех сегментов сети, а к серверу баз данных из двух.

На всех компьютерах должно стоять полноценное антивирусное ПО, защищающее от вирусов, троянов, сетевых атак и т.п.

Еще одной немаловажной проблемой является одновременный доступ с компьютеров к информационной системе управления образовательным учреждением (в Бишкеке это АИС «Параграф») и к сети Интернет. В общем случае это крайне нежелательно, но в Бишкеке у образовательных учреждений выход в Интернет происходит через защищенный канал связи единую мульти-сервисную телекоммуникационная сеть (ЕМТС), что нивелирует данную проблему.

Кроме серьезных технических работ, важнейшей задачей являются организационные меры по защите информации, в том числе большой объем бумажной работы. Так необходимы регламенты о работе с локальной сетью, Интернетом, каждой информационной системой. Причем в регламентах должен быть описан порядок действий, запреты и ответственные должностные лица учреждения (в регламентах указываются должности, а не конкретные люди). Администрация учреждения должна выпустить приказы, в которых назначаются ответственные за работу с информационными системами, а также приказ о назначении ответственного за информационную безопасность учреждения. В этих приказах уже указываются конкретные фамилии.

Если бы речь шла о коммерческом предприятии с таким парком машин и объемами информации, стоимость полноценных работ по защите информации исчислялась бы десятками тысяч долларов или сотнями тысяч сомов. На практике деньги на защиту информации в бюджет ОУ не закладываются вообще, и все работы проводятся силами инже- неров.

Конечно, далеко не все ВУЗы могут похвастаться таким уровнем внедрения информатизации. Но необходимо иметь ввиду, что рассмотренный вариант ВУЗов не является чем-нибудь уникальным, и есть гораздо более сложные случаи:

• – когда ВУЗ имеет два, а то и три здания;

  – когда внедряется система электронного документооборота;

  – когда существует собственная кадровая служба (что не удивительно при более чем 100 сотрудниках);

  – когда ВУЗ оказывает множество дополнительных платных услуг, и в этом случае, одно из ключевых подразделений;

  – бухгалтерия становится отделом, для которого уже необходимо выделять отдельный сегмент сети и т. д.

Информационная безопасность персональных данных

Начиная с 2006 года Закон КР «О защите персональных данных» любое государственное образовательное учреждение является оператором персональных данных. С этим сложно спорить, поскольку любое учебное заведение хранит у себя персональные данные обучающихся и сотрудников и не только хранит, но и ведет автоматизированную обработку этих данных. В Бишкеке во всех общеобразовательных ОУ имеется АИС «Параграф» с помощью, которого и ведется данная обработка. Но на самом деле, автоматизированная обработка персональных данных ведется и в тех регионах, в которых системы управления ОУ еще не внедрены повсеместно. Если же разбирать ситуацию более пристально, то мы увидим, что существует еще и информация о родителях студентов, с паспортными данными, местом проживания, местом работы, контактными телефонами, испо-кон веков, заполнявшаяся на анкетах при поступление ВУЗов, а сейчас без раздумий переносящаяся в автоматизированные системы.

Подводя итог вышесказанного можно посчитать, что в институте на 800

студентов хранятся данные на 800 студентов, примерно 1200 родителей (обычное в институте соотношение - в среднем не меньше чем 1,5 родителя на 1 студента) и около 100 сотрудников учреждения. Итого в институте хранятся текущие персональные данные на более чем две тысячи человек.

Много это или мало? С одной стороны, видно, что такое количество данных требует работы по их защите, с другой с точки зрения нормативных документов (Приказы КР, ГКНБ КР, Мининсвязи КР), значения обрабатываемых персональных данных относятся к категории 3 и объем обрабатываемых персональных данных относятся к категории 2 (от 1000 до 100000 записей). А значит информационную систему персональных данных (ИСПДн) ОУ можно отнести к 3 курсу и ограничить работу по защите персональных данных организационными мерами.

Сразу оговоримся, что существуют случаи, когда нельзя говорить о 3 классе персональных данных.

Например, если образовательное учреждение имеет функции районного или муниципального центра, собирающего персональные данные с разных учреждений. В этом случае, даже если число записей не велико, сам функционал сбора, повышает класс ИСПДн до 2-го. Еще один случай повышения курса, когда информационные системы могут содержать данные о заболеваниях, судимостях, политических предпочтениях и т.п. данные. В этом случае надо говорить о 1 курсе ИСПДн.

Во всех вышеперечисленных случаях учреждение не может ограничиться организационными мерами, а должно заказать технические работы по защите персональных данных. Причем, именно заказать, поскольку такие работы осуществляются только при наличии соответствующих лицензий ГКНБ или КРТЭК и требуют серьезного финансирования.

Видно, что перечисленные документы делятся на несколько групп.

я группа приказы по учреждению. Самый важный из приказов - о назначе- нии ответственных за безопасность ПДн. Одна из типичных ошибок администрации ВУЗов - назначить на эту должность преподавателя информатики или инженера. Но работа по организации безопасности ПДн это работа не столько с техникой, сколько с документами и людьми, а значит разумнее, чтобы отвечал за нее заместитель руководителя. Оптимальным вариантом, нам представляется ситуация, когда над задачей в связке работают заместитель директора и технический специалист (преподаватель информатики). К тому же, именно проректора, а то и только сам ректор, владеют информацией, о том, кто из сотрудников с какими персональными данными и с какими ИСПДн работает.

После выпуска первых приказов, ответственный или, созданная рабочая группа, готовят вышеперечисленный набор документов.

я часть документации это набор перечней, положений и частная модель угроз. Эти документы разрабатываются один раз и надолго. Существенные изменения в них вносятся только в случае добавления ИСПДн или серьезных изменений в организационной структуре ОУ. Эти документы разрабатываются в соответствии с образцами, спускаемыми из органов управления образованием, занимающихся информационными технологиями.

я группа документов состоит всего из двух документов, но зато требует большого объема организационной работы. Это согласие на обработку персональных данных и обязательство о неразглашении персональных данных. После того как эти документы разработаны, согласие необходимо взять у всех субъектов персональных данных - детей, педагогов и родителей. Обязательство о неразглашении подписывается всеми сотрудниками учреждения работающими с персональными данными. Все согласия и обязательства собираются и хранятся в бумажном виде в соответствующих папках и предъявляются проверяющим органам при необходимости.

я группа документов – Журналы, ко- торые должны вестись круглогодично.

Грамотно проведенная работа позволит, не только подготовить необходимый комплект документов для возможной проверки, но и серьезно настроить сотрудников, работающих с персональными данными и ввести персонифицированную ответственность за эти данные.

С каждым годом все больше родителей знают требования к защите персональных данных (и учащихся и своих), а значит, учебное учреждение должна быть готова работать в ситуации жесткого прессинга по поводу автоматизированной обработки персональных данных со стороны родительской общественности.

Системы контентной фильтрации, используемые в ВУЗахКР, делятся на два типа в соответствии с подходом к фильтрации ресурсов.

Системы с белым списком - доступ разрешен только в сайты из белого списка. Это например, Интернет-цензор -разработан в Москве одним из лидеров на рынке интеллектуальных домов – системным интегратором «Интернет-дом» при содействии Фонда поддержки развития общества «Наши дети».

Белые списки составляются экспертами разработчика, с возможностью добавить или удалить сайт из этого списка. Проект предназначен, прежде всего, для родителей, однако сильно пропагандировался в ОУ. Из недостатков можно отметить необходимость устанавливать программу на каждый конкретный компьютер.

Еще один пример, ТЫРНЕТ Прокси -разработан в Санкт-Петербурге, порталом Тырнет. Белый список составляется компанией Тырнет с помощью приглашенных экспертов. Предназначен для родителей, но есть комплексная реализация проекта в школах Приморья. Устанавливается на сервер, через который в ОУ настроен вход в сеть Интернет.

Системы с черным списком-доступ разрешен только во все сайты кроме сайтов из черного спи-ска.Основнымисистемами являются программы разработанные московской компанией ЦАИР (Центранализа Ин-тернет-ресурсов);

NetPolice- более свежий продукт компании ЦАИР.

Вообще ЦАИР наверное единственная компания, чьей основной специализацией является как раз создание систем Интернет-фильтрации различных уровней от домашнего до регионального.

Хуже всего дело обстоит с Обучением учащихся правилам безопасной работы в сети Интернет. По данному направлению нет рекомендованной учебной программы и нет предметов, в рамках которого эту программу можно было бы преподавать. Вести в колледжах с 8 класса в рамках предмета «Основы ИКТ» - поздно, а в предметах ОБЖ (5-6 класс) или «Окружающий мир» (3-4 класс) данные модули не предусмотрены. Стоит надеяться, что подобный модуль может быть введен в данные предметы в ближайшее время.

Альтернативой может быть введение курса с условным названием «Медиабезопасность» как факультативного или как курса из регионального или школьного компонентов. Для работы над подобным курсом можно рекомендовать материалы, разработанные компанией Майкрософт и Лабораторией Касперского. С 2006 года ведутся работы по созданию подобного курса (Основы безопасности жизнедеятельности в Интернете или ОБЖИ) в Санкт- Петербурге на базе Информационнометодического центра Петроградского района. К настоящему моменту разработаны методические рекомендации для учителей и рабочая тетрадь для учащихся 5 классов.

Конечно, некоторые изменения к лучшему есть и в этом направлении. Так 1 сентября 2011 года в большинстве школ России начались с урока Медиабезопасности, что было сделано по рекомендации П. Астахова, являющегося уполномоченным по правам ребенка в РФ. Однако кропотливой повседневной работы в данном направлении практически нигде нет.

Нельзя сказать, что задачи информационной безопасности не решаются в образовательных учреждениях. Наоборот, по каждому из вышеперечисленных направлений проводятся работы, но в большинстве учреждений работы эти носят фрагментарный характер. Связано это с несколькими ключевыми моментами:

– не выделяется финансирование на работы по защите информации;

– нет единой политики информационной безопасности образовательных учреждений ни у региональных органов управления образованием ни у министерств (комитетов), занимающихся информационными технологиями;

– у администрации образовательных учреждений нет представления о том, что именно и как необходимо защи- щать.

При этом необходимо отметить, что только комплексная работа по всем вышеуказанным направлениям может привести к решению проблемы защиты информации и созданию безопасной информационной образовательной среды.

Данная работа и является попыткой объяснить необходимость единого и комплексного подхода к информационной безопасности образовательного учреждения и сформулировать положения, которые могли бы стать основой документа формирующего единую региональную или муниципальную политику в области информационной безопасности в образовании.