Предварительный анализ технической защищенности системы дистанционного образования (на материале Мордовского государственного университета)

В настоящее время практически однозначно можно констатировать тот факт, что развитие системы профессионального образования немыслимо без использования дистанционного доступа к образовательным ресурсам. Для доступа к образовательным сервисам и базам данных часто используются информационные сети открытого доступа и глобальные ресурсы Интернета. Немаловажным фактором, влияющим на развитие систем дистанционного образования (СДО), является наличие в их составе персональных данных пользователей, которые необходимы для управления процессом образования.

Таким образом, большинство систем дистанционного образования, эксплуатируемых в настоящее время и, конечно, вновь вводимых, попадают под действие Федерального закона Российской Федерации № 152-ФЗ от 27.07.06 «О персональных данных». Он определят общий порядок работы с персональными данными и устанавливает ответственность оператора (в нашем случае образовательного учреждения) за обеспечение их конфиденциальности. При этом необходимо отметить, что защита персональных данных представляет собой комплекс мер технического, организационного, организационно-технического и правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу — субъекту персональных данных [3].

Большинство разработчиков и эксплуатационников СДО основное внимание в плане обеспечения требований закона уделяют криптографической защите и совершенно не учитывают проблемы технической защиты конфиденциальной информации [2]. Между тем оптимальное соотношение двух указанных направлений обеспечения безопасности обработки персональных данных позволит значительно сократить не только затраты на развертывание систем защиты, но и эксплуатационные расходы.

Необходимо отметить, что эффективность функционирования системы защиты в первую очередь определяется корректностью назначения исходных параметров, а также адекватностью построения вероятностной модели актуальности и реализуемости угроз. Регуляторами, нормирующими указанные требования, являются Правительство РФ, Минкомсвязь, ФСТЭК и ФСБ. Исходным материалом для выработки общих параметров защиты и формирования на их основе технического задания служат законодательные акты и нормативные материалы:

— Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (Постановление Правительства от 17.11.07 № 781);

— Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (Постановление Правительства РФ от 15.09.08 № 687);

— Порядок проведения классификации информационных систем персональных данных (приказ от 13.02.08 № 55/86/ 20 ФСТЭК/ФСБ/ МИТС РФ);

• —    «Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14.02.08 заместителем директора ФСТЭК России);

• —    «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15.02.08 заместителем директора ФСТЭК России);

• —    «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15.02.08 заместителем директора ФСТЭК России);

• —    «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждены 15.02.08 заместителем директора ФСТЭК России).

При формулировании требований к информационной системе первоначально определяется класс, к которому она принадлежит [1]. Эта работа осуществляется на основе таких показателей, как категория обрабатываемых в информационной системе персональных данных и объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе).

«Порядком проведения классификации информационных систем персональных данных...» предусмотрены следующие категории обрабатываемых в информационной системе персональных данных:

• —    категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

• —    категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

• —    категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;

• —    категория 4 — обезличенные и (или) общедоступные персональные данные.

Показатель объема обрабатываемых данных может принимать значения:

• 1    — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов или персональные данные субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом;

• 2    — в информационной системе одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных или персональные данные субъектов, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

• 3 — в информационной системе одновременно обрабатываются данные

менее чем 1 000 субъектов или персональные данные субъектов в пределах конкретной организации.

На основании анализа полученной информации определяется класс информационной системы (таблица).

Классификация информационных систем

Категория данных	Объем данных
	3	2	1
категория 4	К4	К4	К4
категория 3	КЗ	КЗ	К2
категория 2	КЗ	К2	К1
категория 1	К1	К1	К1

С точки зрения опасности реализации той или иной угрозы каждый класс характеризуется следующими особенностями:

— класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

— класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

— класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

— класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Сотрудниками кафедры сервиса Мордовского государственного университета было проведено исследование по определению класса действующей в вузе СДО. Отметим, что указанная система не является интегрированной в систему управления университетом. По составу ее можно отнести к категории 2, при этом показатель объема обрабатываемых данных равен 3. На основании вышеизложенного система СДО Мордовского университета относится к классу КЗ, что согласуется с типовыми рекомендациями для образовательных учреждений [4].

Отнесение информационной системы к классу 3 требует выполнения ряда мероприятий, таких как использование парольной и антивирусной защиты; маркировка и учет всех защищаемых носителей информации с регистрацией их выдачи и приема; отсутствие несанкционированного доступа к данным в программном обеспечении защиты информации и средств модификации объектного кода программ в ходе исполнения; проверка целостности программных средств защиты информации по контрольным суммам.

Как видно из приведенного перечня работ, уже на этапе развертывания технической защиты конфиденциальной информации в Мордовском государственном университете выполняются требо вания, предъявляемые ФСТЭК для защиты персональных данных.

СПИСОК

ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

• 1.    Краснов, М. С. Организация защиты служебной информации и персональных данных на примере отдела образования / М. С. Краснов, М. Ю. Козлов, Н. В. Седова // Психолого-педагогический журнал Гаудемус. — 2011. — Т. 2, вып. 18. — С. 104—106.

• 2.    Федосин, С. А. Назначение криптографических ключей, зависящих от времени, для иерархии классов / С. А. Федосин, Д. П. Сидоров // Информационные технологии и системы в образовании, науке, бизнесе : сб. материалов III Междунар. науч.-техн. конф. — Пенза, 2002. — С. 103— 105.

• 3.    Хмельков, С. Б. Особенности защиты персональных данных в образовательных учреждениях / С. Б. Хмельков // Нормативные документы образовательного учреждения. — 2011. — № 3. — С. 74—78.

• 4.    Хованец, В. А. Адаптация информационных систем управления университетом требованиям закона о защите персональных данных / В. А. Хованец, П. В. Смолин // Доклады Томского государственного университета систем управления и радиоэлектроники. — 2010. — № 1 (1). — С. 37—40.

Поступила 04.06.12.