Научная статья на тему 'Актуальные аспекты организации защиты персональных данных при их обработке в рамках процедур оценки качества образования'

Актуальные аспекты организации защиты персональных данных при их обработке в рамках процедур оценки качества образования Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
133
31
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
БЕЗОПАСНОСТЬ / ЗАЩИТА ИНФОРМАЦИИ / КРИПТОГРАФИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ / ПЕРСОНАЛЬНЫЕ ДАННЫЕ / АНАЛИЗ ЗАЩИЩЕННОСТИ / АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ / ТИПИЧНЫЕ НАРУШЕНИЯ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Гнедков А. В., Захаров А. Б., Ильин А. С., Мухаметьева Е. С., Худорожков И. В.

Статья посвящена анализу данных, полученных в ходе проведения плановых ведомственных выездных проверок организации защиты персональных данных при их обработке с использованием средств криптографической защиты информации в учреждениях системы образования Челябинской области в период с 2016 по 2018 год.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Гнедков А. В., Захаров А. Б., Ильин А. С., Мухаметьева Е. С., Худорожков И. В.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Актуальные аспекты организации защиты персональных данных при их обработке в рамках процедур оценки качества образования»

УДК 004.056 :371

АКТУАЛЬНЫЕ АСПЕКТЫ ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В РАМКАХ ПРОЦЕДУР ОЦЕНКИ КАЧЕСТВА ОБРАЗОВАНИЯ

А.В. Гнедков, А.Б. Захаров, А.С. Ильин, Е.С. Мухаметьева, И.В. Худорожков

Статья посвящена анализу данных, полученных в ходе проведения плановых ведомственных выездных проверок организации защиты персональных данных при их обработке с использованием средств криптографической защиты информации в учреждениях системы образования Челябинской области в период с 2016 по 2018 год.

Ключевые слова: безопасность, защита информации, криптографические средства защиты информации, персональные данные, анализ защищенности, аудит информационной безопасности, типичные нарушения.

Развитие современного образования Российской Федерации направлено на создание и совершенствование современной цифровой образовательной среды и повышение качества всех уровней образования. Данное направление определено в государственной программе «Развитие образования» [2], вступившей в силу с 01 января 2018 года. Современная цифровая образовательная среда предполагает не только цифровизацию непосредственно образовательного процесса, но и информатизацию процедур оценки качества образования, связанную с применением информационных систем, компьютерных сетей и цифровых устройств.

Увеличение объема информации, в том числе персональных данных, обрабатываемой с использованием средств автоматизации при проведении процедур оценки качества образования, влечет за собой и увеличение количества потенциальных угроз информационной безопасности. Одним из требований к защите персональных данных при их обработке в информационных системах персональных данных [1] является контроль за обеспечением информационной безопасности конфиденциальной информации, в том числе персональных данных. Указанный контроль проводится не реже 1 раза в 3 года.

Для выполнения требований Федерального закона от 27.07.2006 №152 «О персональных данных» [5] и Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [1] государственное бюджетное учреждения дополнительного профессионального образования «Региональный центр оценки качества и информатизации образования» (далее - ГБУ ДДО РЦОКИО) начиная с 2016 года проводит плановые ведомственные выездные проверки организации защиты персональных данных в учреждениях системы образования Челябинской области. Ведомственные выездные проверки производятся в соответствии с Планом проверки, утверждаемым приказом ГБУ ДПО РЦОКИО ежегодно. План проверки организации защиты персональных данных включает в себя выполнение требований, связанных со средствами криптографической защиты информации (далее - СКЗИ) при обработке персональных данных. План проверки опирается на требования, закрепленные в приказе ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» [3] и приказе Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Фе-

Актуальные аспекты организации защиты персональных данных при их обработке в рамках процедур оценки качества образования_

дерации требований к защите персональных данных для каждого из уровней защищенности» [4].

Сотрудниками отдела обеспечения информационной безопасности ГБУ ДПО РЦОКИО в период с 2016 по 2018 годы было произведено 64 плановые ведомственные выездные проверки, а именно 16 проверок в 2016 году, 21 проверка в 2017 году и 27 проверок в 2018 году. Типовыми ошибками обеспечения безопасности информации с использованием СКЗИ являются:

1. журнал учёта СКЗИ не ведется или разработан с нарушениями;

2. формуляры на СКЗИ ведутся с нарушениями;

3. журнал учета ключей от сейфов и помещений отсутствует или разработан с нарушениями;

4. отсутствует приказ о выделении режимных (специализированных) помещений;

5. приказ об утверждении перечня пользователей СКЗИ отсутствует или разработан с нарушениями;

6. журнал инструктажа пользователей СКЗИ отсутствует или разработан с ошибками;

7. заключение об уровне подготовки пользователя СКЗИ отсутствует;

8. инструкция пользователя СКЗИ отсутствует или разработана с ошибками;

9. приказ об утверждении границ контролируемой зоны отсутствует или разработан с нарушениями;

10. заключение о возможности эксплуатации СКЗИ отсутствует.

В Таблице 1 приведены подсчеты количества организаций, в которых выявлено то или иное нарушение, выраженное так же в процентном отношении от общего числа проверенных в 2018 году учреждений.

Таблица 1

Типовые нарушения при обработке персональных данных с применением средств криптографической защиты информации в 2018 году

Количество образовательных организаций в которых встречается данное нарушение Процент образовательных организаций, в ко-

№ Нарушение торых встречается нарушение от общего числа проверенных

учреждений

1. Журнал учёта СКЗИ не ведется или разработан с нарушениями 17 62,96%

2. Формуляры на СКЗИ ведутся с нарушениями 21 77,78%

3. Журнал учета ключей от сейфов и

помещений отсутствует или разра- 12 44,44%

ботан с нарушениями

4. Отсутствует приказ о выделении режимных (специализированных) помещений 7 25,93%

5. Приказ об утверждении перечня

пользователей СКЗИ отсутствует 1 3,70%

или разработан с нарушениями

6. Журнал инструктажа пользователей СКЗИ отсутствует или разработан с ошибками 17 62,96%

7. Заключение об уровне подготовки пользователя СКЗИ отсутствует 8 29,63%

Количество образовательных организаций в которых встречается данное нарушение Процент образовательных организаций, в ко-

№ Нарушение торых встречается нарушение от общего

числа проверенных

учреждений

8. Инструкция пользователя СКЗИ отсутствует или разработана с ошиб- 3 11,11%

ками

9. Приказ об утверждении границ кон-

тролируемой зоны отсутствует или разработан с нарушениями 9 33,33%

10. Заключение о возможности эксплуа- 3 11,11%

тации СКЗИ отсутствует

Проанализировав данные, представленные в таблице 1 видно, что из 10 типовых нарушений 3 встречаются в более чем в половине образовательных организаций, а самое большое затруднение возникает при работе с эксплуатационной документацией к средствам защиты информации.

На Диаграмме 1 представлено сравнение количества того или иного типового нарушения, выявленного в 2016, 2017 и 2018 году.

Диаграмма 1

Сравнение количества типовых нарушений, выявленных в 2016, 2017 и 2018 годах

Актуальные аспекты организации защиты персональных данных при их обработке в рамках процедур оценки качества образования_

Проанализировав данные диаграммы 1 видно, что 7 из 10 типовых нарушений 2018 года представлены аналогичным или меньшим количеством, чем в 2017 году, 3 нарушения носят положительный характер в части линейного уменьшения на протяжении 2016, 2017 и 2018 года, однако по 3 нарушениям наблюдается деградация показателей в сторону увеличения.

Подсчитав общее количество совершенных нарушений за каждый год и поделив их соответственно на максимальное количество нарушений за каждый год, полученное путем перемножения общего количества типов нарушений на количество организаций системы образования, в которых осуществлялась проверка в соответствующий год, получим следующий результат: 2016 - 3,75 нарушений на организацию, 2017 - 3,95 нарушений на организацию, 2018 - 3,63 нарушений на организацию. Очевидное увеличение среднего количества нарушений в 2017 году можно объяснить развертыванием на территории Челябинской области в ноябре-декабре 2016 года защищенной ViP-Net-сети .№3660, когда в каждую образовательную организацию было передано СКЗИ ViPNet Client, что повлекло за собой увеличение обязательств по исполнению требований законодательства в области обеспечения информационной безопасности.

Проанализировав данные за 3 года, можно сделать вывод, что нарушения носят систематический характер и требуют особого контроля со стороны администраций образовательных организаций.

Подводя итоги стоит отметить, что за 20172018 годы было обучено около 800 работников системы образования Челябинской области по программам повышения квалификации, связанным с обеспечением безопасности информации в организации, а среднего количества нарушений на образовательную организацию уменьшилось на 0,32. Повышение квалификации работников системы образования в области обеспечения информационной безопасности на сегодняшний день является в большей степени не желательным, а обязательным условием.

Список литературы:

1. Ильин А.С. Анализ состояния защищенности персональных данных при их обработке

в учреждениях системы образования Челябинской области в 2016 году [Текст] / А.С. Ильин, Д.С. Ильина // Научно-методическое обеспечение оценки качества образования. - 2017. -№1(2). - С.89 - 94.

2. Постановление Правительства РФ от 26 декабря 2017 г. № 1642 «Об утверждении государственной программы Российской Федерации "Развитие образования"» [Электронный ресурс]. - Режим доступа: http://www.garant.ru/products/ipo/prime/doc/717 48426/ Дата обращения: 28.10.2018.

3. Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» [Электронный ресурс]. - Режим доступа: http://base.garant.ru/183628/ (Дата обращения: 28.10.2018).

4. Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» [Электронный ресурс]. - Режим доступа: https://rg.ru/2014/09/17/zashita-dok.html (Дата обращения: 28.10.2018).

5. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) [Электронный ресурс]. - Режим доступа: http://base.garant.ru/12148567/ (Дата обращения: 28.10.2018).

References

1. Il'in A.S. Analiz sostoyaniya zashchishchen-nosti personal'nykh dannykh pri ikh obrabotke v uchrezhdeniyakh sistemy obrazovaniya CHel-yabinskoy oblasti v 2016 godu [Tekst] / A.S. Il'in, D.S. Il'ina // Nauchno-metodicheskoe obespeche-nie otsenki kachestva obrazovaniya. - 2017. -№1(2). - S.89 - 94.

2. Postanovlenie Pravitel'stva RF ot 26 de-

kabrya 2017 g. № 1642 «Ob utverzhdenii gosu-darstvennoy programmy Rossiyskoy Federatsii "Razvitie obrazovaniya"» [Elektronnyy resurs]. - Rezhim dostupa: http://www.garant.ru/prod-ucts/ipo/prime/doc/71748426/ Data obrash-cheniya: 28.10.2018.

3. Prikaz FAPSI ot 13 iyunya 2001 g. N 152 «Ob utverzhdenii Instruktsii ob organizatsii i obespechenii bezopasnosti khraneniya, obrabotki i peredachi po kanalam svyazi s ispol'zovaniem sredstv kriptograficheskoy zashchity informatsii s ogranichennym dostupom, ne soderzhashchey svedeniy, sostavlyayushchikh gosudarstvennuyu taynu» [Elektronnyy resurs]. - Rezhim dostupa: http://base.garant.ru/183628/ (Data obrashcheniya: 28.10.2018).

4. Prikaz Federal'noy sluzhby bezopasnosti Rossiyskoy Federatsii ot 10 iyulya 2014 g. N 378 g. Moskva «Ob utverzhdenii Sostava i soderzhaniya organizatsionnykh i tekhnicheskikh mer po obespecheniyu bezopasnosti personal'nykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personal'nykh dannykh s ispol'zovaniem sredstv kriptograficheskoy zashchity informatsii, neobkhodimykh dlya vypolneniya ustanovlennykh Pravitel'stvom Rossiyskoy Federatsii trebovaniy k zashchite personal'nykh dannykh dlya kazhdogo iz urovney zashchishchennosti» [Elektronnyy resurs]. -Rezhim dostupa: https://rg.ru/2014/09/17/zash ita-dok.html (Data obrashcheniya: 28.10.2018).

5. Federal'nyy zakon «O personal'nykh dannykh» ot 27.07.2006 N 152-FZ (red. ot 22.02.2017) [Elektronnyy resurs]. - Rezhim dostupa: http://base.garant.ru/12148567/ (Data obrashcheniya: 28.10.2018).

Сведения об авторах Гнедков Андрей Владимирович - инженер по защите информации отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск

Захаров Алексей Борисович - методист отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск

Ильин Андрей Сергеевич - начальник отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск

Мухаметьева Елена Сергеевна - специалист по защите информации отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск

Худорожков Иван Владимирович - специалист по защите информации отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск

Information about authors Gnedkov A.V. - Information security engineer of the Department «Ensuring information security», Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk

Zakharov A.B. - methodist of the Department «Ensuring information security», Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk

Ilyin A.S. - Head of the Department «Ensur-ing information security», Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk

Mukhametyeva E.S. - Information security specialist of the Department «Ensuring information security», Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk

Hudorozhkov I.V. - Information security specialist of the Department «Ensuring information security», Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk

i Надоели баннеры? Вы всегда можете отключить рекламу.