CC BY
22
ПОТЕНЦИАЛ ИНФОРМАЦИОННЫХ СИСТЕМ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБРАЗОВАНИИ
УДК 004.056; 373
АНАЛИЗ СОСТОЯНИЯ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В УЧРЕЖДЕНИЯХ СИСТЕМЫ ОБРАЗОВАНИЯ ЧЕЛЯБИНСКОЙ ОБЛАСТИ В 2016 ГОДУ
А.С. Ильин, Д.С. Ильина
Статья посвящена анализу данных, полученных в ходе проведения плановых ведомственных выездных проверок организации защиты персональных данных при их обработке с использованием средств криптографической защиты информации в учреждениях системы образования Челябинской области в 2016 году.
Ключевые слова: персональные данные, средства криптографической защиты информации, анализ защищенности, типичные нарушения
Анализ состояния защищённости персональных данных в современных условиях является не столько потребностью, сколько необходимостью. Это связано с принятием Федерального закона от 27.07.2006 №152 «О персональных данных», а именно его статьёй 18.1 «Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом». В статье 18.1 говорится о мерах, которые обязан принимать оператор для обеспечения безопасности персональных данных, где одним из пунктов является «осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора»
[4].
Для выполнения требований Федерального закона от 27.07.2006 №152 «О персональных данных» в государственное задание Государственного бюджетного учреждения дополнительного профессионального обра-
зования «Региональный центр оценки качества и информатизации образования» (далее - ГБУ ДПО РЦОКИО) была включена процедура проведения плановых ведомственных выездных проверок организации защиты персональных данных в учреждениях системы образования Челябинской области.
В предыдущем выпуске журнала в статье «Обеспечение безопасности информации в образовательной организации в современных условиях», отмечалось, что «выбор средств защиты информации для системы защиты персональных данных осуществляется образовательной организацией в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных"» [1, с.50]. Продолжая мысль о выборе средств защиты информации, следует отметить, что данные средства должны нейтрализовать актуальные угрозы информационной безопасности. Помимо сбора, систематизации, накопления, обработки информации, в том числе персональных данных, образовательные организации осуществляют передачу этих данных, в том числе по публичным каналам связи, то есть сети Интернет. Передача информации осуществляется в информационную систему «Образование Челябинской области» и региональный сегмент межведомственной системы учета контингента обучающихся по основным образовательным программам и дополнительным общеобразовательным программам. В этом случае для образовательных организаций становится актуальной угроза перехвата передаваемой по публичным каналам связи информа-
ции.
Для нейтрализации данной угрозы и используются средства криптографической защиты информации (далее - СКЗИ).
План проверки организации защиты персональных данных включает в себя выполнение требований, связанных с СКЗИ при обработке персональных данных. План проверки опирается на требования, закрепленные в приказе ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» и приказе Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Выбор в качестве объекта проверки требований, связанных с использованием СКЗИ, обусловлен повсеместным использованием СКЗИ в учреждениях системы образования Челябинской области и наличием права у ГБУ ДПО РЦОКИО осуществлять лицензированную ФСБ России деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техни-
ческое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (кр иптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
Проверки состояния защищенности персональных данных при их обработке с использованием СКЗИ в 2016 году проводилась в органах управления образованием Челябинской области. Сотрудниками отдела обеспечения информационной безопасности ГБУ ДПО РЦОКИО было произведено 1 внеплановая и 16 плановых ведомственных выездных проверок. Типовыми ошибками обеспечения безопасности информации с использованием СКЗИ являются:
1. Журнал учёта СКЗИ не утвержден или ведется с нарушениями;
2. Формуляры на СКЗИ ведутся с нарушениями;
3. Журнал учета ключей от сейфов и помещений отсутствует или разработан с нарушениями;
4. Приказ об утверждении перечня пользователей СКЗИ отсутствует или разработан с нарушениями;
5. Отсутствует приказ о выделении режимных (специализированных) помещений;
6. Журнал учета пользователей СКЗИ отсутствует или разработан с нарушениями;
7. Журнал инструктажа пользователей СКЗИ отсутствует или разработано с ошибками;
8. Заключение об уровне подготовки пользователя СКЗИ отсутствует;
9. Инструкция пользователя СКЗИ отсутствует или разработана с ошибками;
10. Нарушение хранения эксплуатационной и технической документации на СКЗИ;
11. Отсутствие антивирусной защиты или использование нелицензионного ПО;
12. Приказ об утверждении границ контролируемой зоны отсутствует или разработан с нарушениями;
13. Отсутствует приказ о назначении ответственного пользователя СКЗИ;
14. Нарушение хранения парольно-клю-
чевой информации;
15. Двери спецпомещений не гарантирует надежное закрытие в нерабочее время;
16. Приказ об утверждении журнала учета СКЗИ;
17. Отсутствует приказ организационно-распорядительной документации;
18. Заключение о возможности эксплуатации СКЗИ отсутствует;
Таблица 1
Типовые нарушения при обработке персональных данных с применением средств _криптографической защиты информации_
№ Нарушение Количество образовательных организаций в которых встречается данное нарушение Процент образовательных организаций, в которых встречается нарушение от общего числа проверенных учреждений
1. Журнал учёта СКЗИ не ведется или разработан с нарушениями. 13 72,2%
2. Формуляры на СКЗИ ведутся с нарушениями. 11 61,1%
3. Журнал учета ключей от сейфов и помещений отсутствует или разработан с нарушениями. 7 38,8%
4. Отсутствует приказ о выделении режимных (специализированных) помещений. 6 33,3%
5. Приказ об утверждении перечня пользователей СКЗИ отсутствует или разработан с нарушениями. 5 27,7%
6. Журнал учета пользователей СКЗИ отсутствует или разработан с нарушениями. 4 22,2%
7. Журнал инструктажа пользователей СКЗИ отсутствует или разработано с ошибками. 4 22,2%
8. Заключение об уровне подготовки пользователя СКЗИ отсутствует 4 22,2%
9. Инструкция пользователя СКЗИ отсутствует или разработана с ошибками. 3 16,6%
19. Отсутствуют документы подтверждающие функциональные обязанности сотрудников.
В таблице 1 приведены подсчеты количества организаций, в которых выявлено то или иное нарушение, выраженное так же в процентном отношении от общего числа проверенных учреждений.
№ Нарушение Количество образовательных организаций в которых встречается данное нарушение Процент образовательных организаций, в которых встречается нарушение от общего числа проверенных учреждений
10. Нарушение хранения эксплуатационной и технической документации на СКЗИ. 3 16,6%
11. Отсутствие антивирусной защиты или использование нелицензионного ПО. 2 11,1%
12. Приказ об утверждении границ контролируемой зоны отсутствует или разработан с нарушениями. 2 11,1%
13. Отсутствует приказ о назначении ответственного пользователя СКЗИ 2 11,1%
14. Нарушение хранения парольно-ключевой информации. 1 5,5%
15. Двери спецпомещений не гарантируют надежное закрытие в нерабочее время. 1 5,5%
16. Приказ об утверждении журнала учета СКЗИ. 1 5,5%
17. Отсутствует приказ организационно-распорядительной документации. 1 5,5%
18. Заключение о возможности эксплуатации СКЗИ отсутствует. 1 5,5%
19. Отсутствуют документы подтверждающие функциональные обязанности сотрудников. 1 5,5%
Рассмотрев данные, приведенные в Таблице 1, видно, что из 19 выявленных нарушений, 13 встречаются больше, чем в одной организации, из которых: два нарушения встречались более чем в 50% организаций; три нарушения закрепились в диапазоне от 25% до 50%; восемь нарушений набрали от 10% до 25%.
Проанализировав процент организаций системы образования, в которых встречалось то или иное нарушение, и, учитывая тот факт, что во всех проверяемых организациях присутствовали нарушения, делаем вывод, что не соблюдение требований Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ, приказа ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» и приказа Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» носят систематический характер и требуют особого внимания со стороны образовательных организаций Челябинской области.
Список литературы
1. Ильин, А.С. Обеспечение безопасности информации в образовательной организации в современных условиях / А. С. Ильин, Д. С. Ильина. // Научно-методическое обеспечение оценки качества образования - 2016 -№ 1 - 48-51.
2. Приказ ФАПСИ от 13 июня 2001 г. N 1 52 «Об утверждении Инструкции об организации и обеспечении безопасности хране-
ния, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» // ГАРАНТ. Дата обращения к ресурсу: 3.05.2017.
3. Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»: // Российская газета - 2014 - 17 сентября.
4. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) - Режим доступа: http://www.consultant.ru/document/cons_ doc_LAW_213190/
References
1. Il'in A.S. Obespecheniye bezopasnosti in-formatsii v obrazovatel'noy organizatsii v sov-remennykh usloviyakh. Nauchno-metodicheskiy zhurnal «Nauchno-metodicheskoye obespecheniye otsenki kachestva obrazovaniya», 2016, № 1, 48-51.
2. Prikaz FAPSI ot 13 iyunya 2001 g. N 152 «Ob utverzhdenii Instruktsii ob organizatsii i obespechenii bezopasnosti khraneniya, obrabotki i peredachi po kanalam svyazi s ispol'zovaniyem sredstv kriptograficheskoy zashchity informatsii s ogranichennym dostu-pom, ne soderzhashchey svedeniy, sostavlyay-ushchikh gosudarstvennuyu taynu»: Sobraniye zakonodatel'stva Rossiyskoy Federatsii, 1995, N 8, st. 609;
3. Prikaz Federal'noy sluzhby bezopasnosti Rossiyskoy Federatsii ot 10 iyulya 2014 g. N 378 g. Moskva «Ob utverzhdenii Sostava i soderzhaniya organizatsionnykh i tekhnich-eskikh mer po obespecheniyu bezopasnosti per-sonal'nykh dannykh pri ikh obrabotke v infor-matsionnykh sistemakh personal'nykh dannykh
s ispol'zovaniyem sredstv kriptograficheskoy zashchity informatsii, neobkhodimykh dlya vy-polneniya ustanovlennykh Pravitel'stvom Ros-siyskoy Federatsii trebovaniy k zashchite per-sonal'nykh dannykh dlya kazhdogo iz urovney zashchishchennosti»: Rossiyskaya gazeta - Fed-eral'nyy vypusk №6483 (211);
4. Federal'nyj zakon «О personal'nyh dannyh» ot 27.07.2006 N 152^: Rossijskaya gazeta - Federal'nyj vypusk №4131 ot 26 iyulya 2006g.
Сведения об авторах
Ильин Андрей Сергеевич - начальник отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образо-
вания», г. Челябинск
Ильина Диана Сергеевна - методист отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск
Information about authors
Ilyin A.S. - Head of the Department «Ensuring information security», Regional center to assessment quality and informatization in education, Chelyabinsk
Ilyin D.S. - Methodist of the Department «Ensuring information security», Regional center to assessment quality and informatization in education, Chelyabinsk
