Обеспечение защиты информации в образовательных организациях

Современные информационные технологии диктуют нам свои требования, которые должны быть интегрированы в образовательный процесс, что подразумевает внедрение в этот процесс информационных технологий, облегчающих и делающих его более понятным, но использование данных технологий может нанести непоправимый вред обществу [1].

В образовательных учреждениях среднего и высшего образования стремительно внедряются информационные системы, обеспечивающие обработку персональных данных сотрудников, перевод существующих документов в электронный вид. Назначение этих систем — создание и ведение баз данных студентов, работников образования, расширение административных возможностей в управлении учебным процессом. Работа с такими массивами информации требует от учебного заведения, с одной стороны, соответствия современным требованиям к скорости доступа и обработки существующих массивов информации в этой организации, с другой стороны, соблюдения необходимых норм и правил законодательной базы в области обработки данных. Помимо функций, обеспечивающих обработку данных, в образовательных учреждениях циркулирует другая информация различного характера, таким образом, любая современная образовательная организация испытывает необходимую потребность в защите информации [2].

Соответственно, обеспечение защиты персональных данных в образовательных организациях в настоящее время является довольно серьезным и актуальным вопросом. В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» «оператор, обрабатывающий такие данные, должен предпринимать все необходимые организационно-технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, от иных неправомерных действий»1.

Постановлением Правительства Российской Федерации 1 ноября 2012 года были утверждены «Требования к защите персональных данных при их обработке в информационных системах персональных данных»2. Таким образом, вопросы обеспечения защиты информации, сведения которой не составляют государственную тайну, являются приоритетной задачей для любого образовательного учреждения — необходимо наличие специальной системы защиты информации, хорошо продуманного управления информационным пространством образовательной организации (рис. 1).

Информация, обрабатываемая в образовательной организации, классифицируется по различным критериям: временная, ежедневная, ежемесячная, годовая.

По степени доступа к информации, обрабатываемой в образовательной организации, она делится на открытую информацию и информацию для служебного пользования, распространение которой возможно только при соблюдении определенных условий конфиденциальности и секретности3.

Различная информация, полученная образовательной организацией из совершенно разных источников, разделяется по источникам ее получения: внешним и внутренним. Прежде всего, обмен информацией предполагает обмен методическими документами с вышестоящими ведомствами и руководящими органами в сфере образования, другими организациями образования, а кроме того, обмен информацией, не имеющей прямого отношения к учебному процессу.

Рис. 1. Схема управления информационным пространством образовательной организации

С точки зрения обеспечения обязательной безопасности и ответственности руководства образовательного учреждения персональные данные всей цепочки организационного и служебного порядка его состава, а также коммерческая информация, относящаяся к экономической сфере, ее компоненты, поступающие в учебное заведение, представляют наибольший интерес [2].

Анализируя нормативно-правовую базу обеспечения защиты информации, необходимо выделить следующие федеральные законы и постановления правительства:

— Конституция Российской Федерации;

— Федеральный закон от 27 июня 2006 г. № 152 «О персональных данных»;

— Федеральный закон от 27 июня 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

— Федеральный закон от 19 мая 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке информации»;

— Постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»;

— Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ — гл. 14 «Защита персональных данных работников».

Информационные потоки, которые сосредоточены в типовом образовательном учреждении, рассмотрены нами на рис. 2.

Рис. 2. Типовая схема информационных потоков в образовательной организации

В образовательных организациях принципиальным моментом для возникновения прецедентов утечки информации является, прежде всего, нарушение правил обращения с техническими средствами, программным и аппаратным обеспечением защиты персональных данных, недостаточно продуманная система хранения и доступа к специальной информации, несовершенство нормативной документации образовательной организации по обеспечению защиты информации [2].

Наиболее частыми причинами утечки информации в образовательных организациях являются:

• —    регулярное обновление персонала, в том числе тех, кто имел или имеет доступ к информации «для служебного пользования»;

• —    отсутствие у персонала сформированных компетенций в области обеспечения норм и правил защиты информации;

• —    недостаточное количество или отсутствие аттестованных рабочих мест в соответствии с требованиями, утвержденными ФСТЭК России;

• —    недостаточный контроль со стороны руководства образовательной организации за соблюдением норм и правил, обеспечивающих защиту информации [3].

Таким образом, большинство причин, влияющих на возможные утечки информации в образовательной организации, связаны с несовершенством нормативной базы, недостаточной квалификацией сотрудников в области защиты информации, а также отсутствием мер, обеспечивающих эту защиту.

Проведенный анализ обзоров по нарушению норм и правил защиты информации показывает, что в качестве возможных причин нарушений в области защиты информации могут выступать:

• —    бывшие сотрудники, уволенные из образовательной организации по различным причинам: при увольнении эти сотрудники могут в качестве «акта мести» передать необходимую информацию заинтересованным лицам;

• —    осуществление непреднамеренных хакерских атак с целью навредить образовательной организации или завладеть необходимой информацией (например, экзаменационными билетами или ответами к ним, внести корректировки в электронные дневники обучающихся и т. д.).

Соответственно, в рамках модернизации организации защиты информации в образовательных учреждениях необходимо ввести так называемые парольные протоколы и учитывать доступ к рабочему месту, использовать встроенный или программный межсетевой экран и установить лицензионные средства контроля доступа сотрудников [4]. Также необходимо организовать установку сертифицированного программного комплекса на базе Secret.Net , что обеспечит контроль над процессом защиты информации.

Дополнительной мерой повышения эффективности защиты информации в образовательной организации является разработка типового плана защиты информационных данных этой организации и назначение лица, ответственного за обеспечение защиты информации.

Рассмотренные в статье положения и предложенные меры помогут повысить надежность и эффективность системы защиты информации образовательного учреждения при соблюдении определенных эксплуатационных и организационных требований и рекомендаций.