Данная статья посвящена вопросам обеспечения защиты информации в образовательных учреждениях. Подчеркивается, что защита персональных данных работников образовательных учреждений является прямой задачей руководства этих организаций. Учтен вопрос модернизации систем информационной безопасности в образовательных учреждениях и защиты персональных данных преподавателей, администраторов и студентов.
Ключевые слова: информационные технологии, информационная безопасность, сотрудники, руководство, образовательные учреждения, процессы обучения, персональные данные.
Современные информационные технологии диктуют нам свои требования, которые необходимо интегрировать в образовательный процесс. Несмотря на то, что внедрение информационных технологий в этот процесс облегчает его и делает его более понятным, использование этих технологий может нанести непоправимый вред обществу [1].
Образовательные учреждения среднего и высшего образования стремительно внедряют информационные системы, обеспечивающие обработку персональных данных сотрудников, перевод имеющихся документов в электронный вид. Целью этих систем является создание и ведение базы данных студентов, преподавателей, а также расширение административных возможностей в управлении учебным процессом. Работа с таким набором информации требует от учреждения, с одной стороны, соблюдения новейших требований, касающихся скорости доступа и обработки существующего набора информации внутри данной организации, а с другой стороны, нужно соблюдать нормы и правила нормативно-правовой базы в области обработки данных. Современные образовательные учреждения испытывают потребность в защите информации, так как помимо возможности обеспечения обработки данных в образовательных учреждениях присутствует другая информация различного характера [2].
Соответственно, обеспечение защиты персональных данных в образовательных учреждениях сегодня имеет большую серьезность и актуальность. В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» «оператор, осуществляющий обработку таких данных, обязан обеспечить защиту персональных данных от неправомерного или случайного доступа, уничтожения или изменения. При этом необходимо принять все необходимые организационные и технические меры для защиты от блокировки, копирования, распространения и других незаконных действий.
Постановлением Правительства Российской Федерации 1 ноября 2012 г. утверждены «Требования к защите персональных данных при обработке в информационных системах персональных данных». Поэтому вопрос обеспечения защиты сведений, не составляющих государственную тайну, является приоритетным для любого образовательного учреждения. Информационное пространство образовательных учреждений (рис. 1).
Рис. 1. Схема управления информационным пространством образовательной организации
Информация, обрабатываемая образовательным учреждением, классифицируется по различным критериям (временная, ежедневная, ежемесячная, годовая).
В зависимости от степени доступа к информации, обрабатываемой образовательными учреждениями, она подразделяется на общедоступную информацию и информацию для всеобщего пользования, которая может распространяться только при соблюдении определенных условий конфиденциальности и конфиденциальности.
Поэтому различные сведения, поступающие в образовательные учреждения из разрозненных источников, классифицируются по происхождению. внешний и внутренний. В первую очередь информационный обмен включает в себя высшие ведомства и органы управления в сфере образования, обмен методическими документами с другими учебными заведениями и даже обмен информацией, не связанный непосредственно с образовательным процессом.
С точки зрения обеспечения обязательной безопасности и ответственности руководства образовательного учреждения персональные данные всей цепочки организационного и служебного порядка его состава, а также коммерческая информация, относящаяся к экономической сфере, ее компоненты, поступающие в учебное заведение, представляют наибольший интерес [2].
Анализируя нормативно-правовую базу обеспечения защиты информации, необходимо выделить следующие федеральные законы и постановления правительства:
— — Конституция Российской Федерации;
— Федеральный закон от 27 июня 2006 г. № 152 «О персональных данных»;
— Федеральный закон от 27 июня 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральный закон от 19 мая 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке информации»;
— Постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»;
— Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ — гл. 14 «Защита персональных данных работников».
Информационные потоки, которые сосредоточены в типовом образовательном учреждении, рассмотрены нами на рис. 2.
Рис. 2. Типовая схема информационных потоков в образовательной организации
В образовательных организациях принципиальным моментом для возникновения прецедентов утечки информации является, прежде всего, нарушение правил обращения с техническими средствами, программным и аппаратным обеспечением защиты персональных данных, недостаточно продуманная система хранения и доступа к специальной информации, несовершенство нормативной документации образовательной организации по обеспечению защиты информации [2].
Наиболее частыми причинами утечки информации в образовательных организациях являются:
— регулярное обновление персонала, в том числе тех, кто имел или имеет доступ к информации «для служебного пользования»;
— отсутствие у персонала сформированных компетенций в области обеспечения норм и правил защиты информации;
— недостаточное количество или отсутствие аттестованных рабочих мест в соответствии с требованиями, утвержденными ФСТЭК России;
— недостаточный контроль со стороны руководства образовательной организации за соблюдением норм и правил, обеспечивающих защиту информации [3].
Таким образом, большинство причин, влияющих на возможные утечки информации в образовательной организации, связаны с несовершенством нормативной базы, недостаточной квалификацией сотрудников в области защиты информации, а также отсутствием мер, обеспечивающих эту защиту.
Проведенный анализ обзоров по нарушению норм и правил защиты информации показывает, что в качестве возможных причин нарушений в области защиты информации могут выступать:
— бывшие сотрудники, уволенные из образовательной организации по различным причинам: при увольнении эти сотрудники могут передать необходимую информацию заинтересованным лицам;
— осуществление непреднамеренных хакерских атак с целью навредить образовательной организации или завладеть необходимой информацией (например, экзаменационными билетами или ответами к ним, внести корректировки в электронные дневники обучающихся и т. д.).
Соответственно, в рамках модернизации организации защиты информации в образовательных учреждениях необходимо ввести так называемые парольные протоколы и учитывать доступ к рабочему месту, использовать встроенный или программный межсетевой экран и установить лицензионные средства контроля доступа сотрудников [4]. Также необходимо организовать установку сертифицированного программного комплекса, что обеспечит контроль над процессом защиты информации.
Дополнительной мерой по повышению эффективности защиты информации в образовательных учреждениях является разработка типового плана защиты информационных данных в этой организации и назначение лица, ответственного за обеспечение защиты информации.
Рассмотренные в статье положения и предлагаемые меры помогут повысить надежность и эффективность систем информационной безопасности образовательных учреждений в соответствии с их конкретными эксплуатационными и организационными требованиями и рекомендациями.
Литература:
- Бариев А. А. Внедрение современных информационных технологий в образовательный процесс // Актуальные вопросы современной педагогики: материалы VI Междунар. науч. конф. (г. Уфа, март 2015 г.). Уфа: Лето, 2015. С. 228–230.
- Васильев Д. А. Подход к модернизации системы защиты информации в образовательных учреждениях среднего общего полного образования // Auditorium. 2017. № 1 (13). С. 85–92.
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных: утв. заместителем директора ФСТЭК России 14 февр. 2008 г. Доступ из справ.-правовой системы «Гарант».
- Методические рекомендации по ограничению в образовательных организациях доступа обучающихся к видам информации, распространяемой посредством сети Интернет, причиняющей вред здоровью и (или) развитию детей, а также не соответствующей задачам образования: утв. Министерством просвещения РФ, Министерством цифрового развития, связи и массовых коммуникаций РФ, Федер. службой по надзору в сфере связи, информ. технологий и массовых коммуникаций 16 мая 2019 г. Доступ из справ. правовой системы «Гарант».
