ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ

АННОТАЦИЯ

Проведен анализ особенностей защиты информации в средних образовательных учреждениях (СОУ).

Обоснована возможность использования упрощенной структуры системы информационной безопасности (ИБ).

Предложен состав пакета организационно-правовых документов по защите информации в СОУ.

Ключевые слова: безопасность, образовательное учреждение, информация, защита.

Введение

В настоящее время в связи с расширением использования информационных технологий в образовательном процессе и вынужденном переходе на дистанционное обучение актуальным становится вопрос обеспечения защиты информации во всех образовательных учреждениях.

Средние образовательные учреждения не имеют в своей структуре подразделений информационной безопасности, а специалисты по защите информации отсутствуют в штатном расписании [1].

В связи с этим вопросы защиты информации становятся особо актуальными.

Основные направления обеспечения информационной безопасности

В общем случае информационная безопасность любого предприятия обеспечивается следующими направлениями:

• Правовая защита (законы, действующие на территории всего государства) [4-6];
• Организационная защита (нормативные акты, действующие в пределах отрасли или предприятия) [2-3];
• Техническая защита (комплекс мер по предотвращению проникновения злоумышленника к носителям информации или утечке информации по техническим каналам);
• Программная защита (комплекс мер по защите информации, обрабатываемой на компьютерах, включая антивирусную и криптографическую защиту).

Структура комплекса защиты представлена на рис.1.

Рисунок 1. Основные направления обеспечения информационной безопасности в средних образовательных учреждениях

Защищаемые информационные ресурсы

К информационным ресурсам, требующим защиты в СОУ, относятся следующие:

• персональные данные сотрудников;
• персональные данные учащихся;
• медицинские данные учащихся (для СОУ, имеющих медицинские кабинеты);
• финансовые документы;
• паспорт антитеррористической защиты объекта.

Представленный перечень является приблизительным и может корректироваться в зависимости от размеров и внутренней структуры учреждения. Однако в силу специфики этих учреждений в нем отсутствует информация, содержащая государственную, коммерческую или иные виды тайны, что позволяет упростить систему безопасности. Например, увеличение числа автоматизированных процессов в системах обработки данных не является необходимостью, также снижается важность принимаемых решений на основе предоставляемой обработки. Кроме того, теряют свою важность территориальное распределение компонентов компьютерной системы СОУ и передача информации между этими компонентами.

Рост количества и качества угроз безопасности информации в компьютерных системах образовательных учреждений не всегда приводит к созданию надежной системы защиты и безопасных информационных технологий [1]. В большинстве СОУ в качестве средств защиты используются только антивирусные программы и разграничение прав доступа пользователей на основе паролей.

Антивирусное программное обеспечение является важной частью надежной программы безопасности. При правильной настройке программы значительно уменьшается риск воздействия вирусов. Но никакое антивирусное ПО не способно защитить организацию от злоумышленника, который использует для входа в систему законную программу, или от легального пользователя, пытающегося получить несанкционированный доступ к файлам. Любая компьютерная система в организации ограничивает доступ к файлам, идентифицируя пользователя, входящего в систему. При правильной настройке системы существует ограничение на использование файлов, к которым у них нет доступа. Однако система безопасности не обеспечит защиту, если злоумышленник через слабые места получит доступ к файлам как администратор. Такое нападение будет считаться легальными действиями администратора.

Стоит отметить, что особого внимания требует защита персональных данных сотрудников и учащихся СОУ. Однако чаще всего личные/персональные данные учащегося содержатся в основном в личном деле ребенка, которое записывается на материальный носитель (бумагу). На каждого ребенка, зачисленного в СОУ, заводится личное дело, в котором хранятся все данные учащегося, содержащиеся в предоставленных документах. Таким образом, на начальном этапе обучения личное дело будет состоять из следующих данных: фамилия, имя, отчество, дата и место рождения учащегося, адрес места жительства родителей, контактные телефоны.

В процессе обучения личное дело будет изменяться, пополняясь документами о состоянии здоровья учащегося, данными о результатах промежуточной и итоговой аттестаций, какими-либо персональными данными, документами, подтверждающими достижения в учебе, спорте, иных видах деятельности, а также иными документами.

Универсального шаблона личного дела законодательство не предусматривает. Поэтому СОУ должен самостоятельно выработать структуру личного дела обучающегося (с учетом обязательных элементов) и закрепить положение о личном деле локальным нормативным актом.

В связи с этим следует особое внимание уделить нормативно-правовым направлениям защиты.

Примерная структура пакета нормативно-правовых документов СОУ

При создании системы безопасности любой организации наиболее важным моментом является разработка документов, регулирующих работу этого подразделения. Применительно к СОУ состав пакета документов может быть следующим:

• Политика информационной безопасности;
• Перечень сведений ограниченного доступа;
• Положение о порядке организации и проведения работ по защите информации ограниченного доступа;
• Положение об обработке и защите персональных данных;
• Перечень информационных систем обработки персональных данных (ИСПД);
• Модель угроз безопасности персональных данных;
• Приказ об организации работ по защите информации ограниченного доступа;
• Список пользователей ИСПД;
• Памятка для учащихся об информационной безопасности.

Выводы

1. Широкое внедрение цифровых методов в образовательный процесс и вынужденный переход на дистанционное обучение повышают требования к обеспечению информационной безопасности образовательных учреждений, особенно среднего звена.

2. Особое внимание должно быть уделено защите персональных данных учащихся и педагогического коллектива, а также доступа в ИНТЕРНЕТ несовершеннолетних.

3. Предложенная структура пакета организационно-правовых документов может использоваться в средних образовательных учреждениях.

Список литературы:

1. Куликова Т.Б. Некоторые вопросы реализации государственного надзора в сфере образования в целях защиты детей от информации, причиняющей вред их здоровью и (или) развитию - "Вестник Омской юридической академии", 2017, № 2)
2. Письмо Минобрнауки России от 14.05.2018 № 08-1184 "О направлении информации" (вместе с "Методическими рекомендациями о размещении на информационных стендах, официальных интернет-сайтах и других информационных ресурсах общеобразовательных организаций и органов, осуществляющих управление в сфере образования, информации о безопасном поведении и использовании сети "Интернет").
3. Приказ Минобрнауки России от 22.10.2018 № 51н "Об упорядочении обращения со служебной информацией ограниченного распространения в Министерстве науки и высшего образования Российской Федерации и его территориальных органах".
4. Федеральный закон № 152-ФЗ "О персональных данных" от 27.07.2006
5. Федеральный закон № 124-ФЗ "Об основных гарантиях прав ребенка в Российской Федерации" от 24.07.1998
6. Федеральный закон № 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию" от 29.12.2010