CC BY
30
УДК 004.056 :371
АКТУАЛЬНЫЕ АСПЕКТЫ ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В РАМКАХ ПРОЦЕДУР ОЦЕНКИ КАЧЕСТВА ОБРАЗОВАНИЯ
А.В. Гнедков, А.Б. Захаров, А.С. Ильин, Е.С. Мухаметьева, И.В. Худорожков
Статья посвящена анализу данных, полученных в ходе проведения плановых ведомственных выездных проверок организации защиты персональных данных при их обработке с использованием средств криптографической защиты информации в учреждениях системы образования Челябинской области в период с 2016 по 2018 год.
Ключевые слова: безопасность, защита информации, криптографические средства защиты информации, персональные данные, анализ защищенности, аудит информационной безопасности, типичные нарушения.
Развитие современного образования Российской Федерации направлено на создание и совершенствование современной цифровой образовательной среды и повышение качества всех уровней образования. Данное направление определено в государственной программе «Развитие образования» [2], вступившей в силу с 01 января 2018 года. Современная цифровая образовательная среда предполагает не только цифровизацию непосредственно образовательного процесса, но и информатизацию процедур оценки качества образования, связанную с применением информационных систем, компьютерных сетей и цифровых устройств.
Увеличение объема информации, в том числе персональных данных, обрабатываемой с использованием средств автоматизации при проведении процедур оценки качества образования, влечет за собой и увеличение количества потенциальных угроз информационной безопасности. Одним из требований к защите персональных данных при их обработке в информационных системах персональных данных [1] является контроль за обеспечением информационной безопасности конфиденциальной информации, в том числе персональных данных. Указанный контроль проводится не реже 1 раза в 3 года.
Для выполнения требований Федерального закона от 27.07.2006 №152 «О персональных данных» [5] и Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [1] государственное бюджетное учреждения дополнительного профессионального образования «Региональный центр оценки качества и информатизации образования» (далее - ГБУ ДДО РЦОКИО) начиная с 2016 года проводит плановые ведомственные выездные проверки организации защиты персональных данных в учреждениях системы образования Челябинской области. Ведомственные выездные проверки производятся в соответствии с Планом проверки, утверждаемым приказом ГБУ ДПО РЦОКИО ежегодно. План проверки организации защиты персональных данных включает в себя выполнение требований, связанных со средствами криптографической защиты информации (далее - СКЗИ) при обработке персональных данных. План проверки опирается на требования, закрепленные в приказе ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» [3] и приказе Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Фе-
Актуальные аспекты организации защиты персональных данных при их обработке в рамках процедур оценки качества образования_
дерации требований к защите персональных данных для каждого из уровней защищенности» [4].
Сотрудниками отдела обеспечения информационной безопасности ГБУ ДПО РЦОКИО в период с 2016 по 2018 годы было произведено 64 плановые ведомственные выездные проверки, а именно 16 проверок в 2016 году, 21 проверка в 2017 году и 27 проверок в 2018 году. Типовыми ошибками обеспечения безопасности информации с использованием СКЗИ являются:
1. журнал учёта СКЗИ не ведется или разработан с нарушениями;
2. формуляры на СКЗИ ведутся с нарушениями;
3. журнал учета ключей от сейфов и помещений отсутствует или разработан с нарушениями;
4. отсутствует приказ о выделении режимных (специализированных) помещений;
5. приказ об утверждении перечня пользователей СКЗИ отсутствует или разработан с нарушениями;
6. журнал инструктажа пользователей СКЗИ отсутствует или разработан с ошибками;
7. заключение об уровне подготовки пользователя СКЗИ отсутствует;
8. инструкция пользователя СКЗИ отсутствует или разработана с ошибками;
9. приказ об утверждении границ контролируемой зоны отсутствует или разработан с нарушениями;
10. заключение о возможности эксплуатации СКЗИ отсутствует.
В Таблице 1 приведены подсчеты количества организаций, в которых выявлено то или иное нарушение, выраженное так же в процентном отношении от общего числа проверенных в 2018 году учреждений.
Таблица 1
Типовые нарушения при обработке персональных данных с применением средств криптографической защиты информации в 2018 году
Количество образовательных организаций в которых встречается данное нарушение Процент образовательных организаций, в ко-
№ Нарушение торых встречается нарушение от общего числа проверенных
учреждений
1. Журнал учёта СКЗИ не ведется или разработан с нарушениями 17 62,96%
2. Формуляры на СКЗИ ведутся с нарушениями 21 77,78%
3. Журнал учета ключей от сейфов и
помещений отсутствует или разра- 12 44,44%
ботан с нарушениями
4. Отсутствует приказ о выделении режимных (специализированных) помещений 7 25,93%
5. Приказ об утверждении перечня
пользователей СКЗИ отсутствует 1 3,70%
или разработан с нарушениями
6. Журнал инструктажа пользователей СКЗИ отсутствует или разработан с ошибками 17 62,96%
7. Заключение об уровне подготовки пользователя СКЗИ отсутствует 8 29,63%
Количество образовательных организаций в которых встречается данное нарушение Процент образовательных организаций, в ко-
№ Нарушение торых встречается нарушение от общего
числа проверенных
учреждений
8. Инструкция пользователя СКЗИ отсутствует или разработана с ошиб- 3 11,11%
ками
9. Приказ об утверждении границ кон-
тролируемой зоны отсутствует или разработан с нарушениями 9 33,33%
10. Заключение о возможности эксплуа- 3 11,11%
тации СКЗИ отсутствует
Проанализировав данные, представленные в таблице 1 видно, что из 10 типовых нарушений 3 встречаются в более чем в половине образовательных организаций, а самое большое затруднение возникает при работе с эксплуатационной документацией к средствам защиты информации.
На Диаграмме 1 представлено сравнение количества того или иного типового нарушения, выявленного в 2016, 2017 и 2018 году.
Диаграмма 1
Сравнение количества типовых нарушений, выявленных в 2016, 2017 и 2018 годах
Актуальные аспекты организации защиты персональных данных при их обработке в рамках процедур оценки качества образования_
Проанализировав данные диаграммы 1 видно, что 7 из 10 типовых нарушений 2018 года представлены аналогичным или меньшим количеством, чем в 2017 году, 3 нарушения носят положительный характер в части линейного уменьшения на протяжении 2016, 2017 и 2018 года, однако по 3 нарушениям наблюдается деградация показателей в сторону увеличения.
Подсчитав общее количество совершенных нарушений за каждый год и поделив их соответственно на максимальное количество нарушений за каждый год, полученное путем перемножения общего количества типов нарушений на количество организаций системы образования, в которых осуществлялась проверка в соответствующий год, получим следующий результат: 2016 - 3,75 нарушений на организацию, 2017 - 3,95 нарушений на организацию, 2018 - 3,63 нарушений на организацию. Очевидное увеличение среднего количества нарушений в 2017 году можно объяснить развертыванием на территории Челябинской области в ноябре-декабре 2016 года защищенной ViP-Net-сети .№3660, когда в каждую образовательную организацию было передано СКЗИ ViPNet Client, что повлекло за собой увеличение обязательств по исполнению требований законодательства в области обеспечения информационной безопасности.
Проанализировав данные за 3 года, можно сделать вывод, что нарушения носят систематический характер и требуют особого контроля со стороны администраций образовательных организаций.
Подводя итоги стоит отметить, что за 20172018 годы было обучено около 800 работников системы образования Челябинской области по программам повышения квалификации, связанным с обеспечением безопасности информации в организации, а среднего количества нарушений на образовательную организацию уменьшилось на 0,32. Повышение квалификации работников системы образования в области обеспечения информационной безопасности на сегодняшний день является в большей степени не желательным, а обязательным условием.
Список литературы:
1. Ильин А.С. Анализ состояния защищенности персональных данных при их обработке
в учреждениях системы образования Челябинской области в 2016 году [Текст] / А.С. Ильин, Д.С. Ильина // Научно-методическое обеспечение оценки качества образования. - 2017. -№1(2). - С.89 - 94.
2. Постановление Правительства РФ от 26 декабря 2017 г. № 1642 «Об утверждении государственной программы Российской Федерации "Развитие образования"» [Электронный ресурс]. - Режим доступа: http://www.garant.ru/products/ipo/prime/doc/717 48426/ Дата обращения: 28.10.2018.
3. Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» [Электронный ресурс]. - Режим доступа: http://base.garant.ru/183628/ (Дата обращения: 28.10.2018).
4. Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» [Электронный ресурс]. - Режим доступа: https://rg.ru/2014/09/17/zashita-dok.html (Дата обращения: 28.10.2018).
5. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) [Электронный ресурс]. - Режим доступа: http://base.garant.ru/12148567/ (Дата обращения: 28.10.2018).
References
1. Il'in A.S. Analiz sostoyaniya zashchishchen-nosti personal'nykh dannykh pri ikh obrabotke v uchrezhdeniyakh sistemy obrazovaniya CHel-yabinskoy oblasti v 2016 godu [Tekst] / A.S. Il'in, D.S. Il'ina // Nauchno-metodicheskoe obespeche-nie otsenki kachestva obrazovaniya. - 2017. -№1(2). - S.89 - 94.
2. Postanovlenie Pravitel'stva RF ot 26 de-
kabrya 2017 g. № 1642 «Ob utverzhdenii gosu-darstvennoy programmy Rossiyskoy Federatsii "Razvitie obrazovaniya"» [Elektronnyy resurs]. - Rezhim dostupa: http://www.garant.ru/prod-ucts/ipo/prime/doc/71748426/ Data obrash-cheniya: 28.10.2018.
3. Prikaz FAPSI ot 13 iyunya 2001 g. N 152 «Ob utverzhdenii Instruktsii ob organizatsii i obespechenii bezopasnosti khraneniya, obrabotki i peredachi po kanalam svyazi s ispol'zovaniem sredstv kriptograficheskoy zashchity informatsii s ogranichennym dostupom, ne soderzhashchey svedeniy, sostavlyayushchikh gosudarstvennuyu taynu» [Elektronnyy resurs]. - Rezhim dostupa: http://base.garant.ru/183628/ (Data obrashcheniya: 28.10.2018).
4. Prikaz Federal'noy sluzhby bezopasnosti Rossiyskoy Federatsii ot 10 iyulya 2014 g. N 378 g. Moskva «Ob utverzhdenii Sostava i soderzhaniya organizatsionnykh i tekhnicheskikh mer po obespecheniyu bezopasnosti personal'nykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personal'nykh dannykh s ispol'zovaniem sredstv kriptograficheskoy zashchity informatsii, neobkhodimykh dlya vypolneniya ustanovlennykh Pravitel'stvom Rossiyskoy Federatsii trebovaniy k zashchite personal'nykh dannykh dlya kazhdogo iz urovney zashchishchennosti» [Elektronnyy resurs]. -Rezhim dostupa: https://rg.ru/2014/09/17/zash ita-dok.html (Data obrashcheniya: 28.10.2018).
5. Federal'nyy zakon «O personal'nykh dannykh» ot 27.07.2006 N 152-FZ (red. ot 22.02.2017) [Elektronnyy resurs]. - Rezhim dostupa: http://base.garant.ru/12148567/ (Data obrashcheniya: 28.10.2018).
Сведения об авторах Гнедков Андрей Владимирович - инженер по защите информации отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск
Захаров Алексей Борисович - методист отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск
Ильин Андрей Сергеевич - начальник отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск
Мухаметьева Елена Сергеевна - специалист по защите информации отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск
Худорожков Иван Владимирович - специалист по защите информации отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск
Information about authors Gnedkov A.V. - Information security engineer of the Department «Ensuring information security», Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk
Zakharov A.B. - methodist of the Department «Ensuring information security», Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk
Ilyin A.S. - Head of the Department «Ensur-ing information security», Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk
Mukhametyeva E.S. - Information security specialist of the Department «Ensuring information security», Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk
Hudorozhkov I.V. - Information security specialist of the Department «Ensuring information security», Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk
