УДК 004.03+373.1
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ В СОВРЕМЕННЫХ УСЛОВИЯХ
А.С. Ильин, Д.С. Ильина
Статья посвящена анализу современного законодательства Российской Федерации в области обеспечения информационной безопасности в рамках деятельности образовательной организации.
Ключевые слова: информация, информационные технологии, персональные данные, оператор персональных данных, обеспечение безопасности персональных данных.
Отличительной особенностью современности является переход от индустриального общества к информационному, в котором главным ресурсом становится информация. В этой связи информационная сфера представляет собой специфическую составляющую деятельности образовательной организации, связанную с созданием, хранением, распространением, передачей, обработкой и использованием информации.
С учетом усиления роли информации на современном этапе, правовое регулирование общественных отношений, возникающих в информационной сфере, является приоритетным направлением в Российской Федерации, целью которого является обеспечение информационной безопасности.
Конституция РФ является основным источником права в области обеспечения информационной безопасности в России. Согласно статьи 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Статья 24 говорит о том, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. В 29 статье же говорится, что каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. В современной интерпретации эти положения включают обеспечение информационной безопасности данных, в том числе, в
процессе передачи их по компьютерным сетям и публичным каналам связи. В 24 статье Конституции РФ говорится, что органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Законодательство в области обеспечения информационной безопасности представлено различными нормативно-правовыми актами, включая Федеральные Законы, Постановления Правительства, Указы Президента, ведомственные приказы Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России), Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роском-надзор) и Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).
Федеральный закон (ФЗ) «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации. В силу того, что образовательные организации в своей деятельности неизбежно сталкиваются с информацией в различных формах её представления, действие данного ФЗ распространяется и на них. ФЗ вводит основные понятия в области информационной безопасности, такие как: информация - сведения (сообщения, данные) независимо от формы их представления; информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы
осуществления таких процессов и методов; информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств; оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. Проанализировав данные определения, можно прийти к выводу, что все образовательные организации являются операторами информационных систем, которые образуются на их базе.
Оператор информационной системы обязан обеспечить предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; своевременное обнаружение фактов несанкционированного доступа к информации; предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; постоянный контроль за обеспечением уровня защищенности информации; нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации. Проанализировав обязанности оператора информационной системы, приходим к выводу, что официальный сайт образовательной организации в сети «Интернет» должен находиться на территории РФ, в противном случае работа сайта противоречит законодательству в области обеспечения информационной безопасности.
В статье 5 ФЗ «Об информации, информационных технологиях и о защите информации» говорится о том, что информация, в зависимости от категории доступа к ней, под-
разделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами. К информации ограниченного доступа относятся персональные данные. Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, регламентируются Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ. К основным понятиям, которые вводит данный ФЗ, относятся: персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); оператор -государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; обработка персональных данных -любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Проведя анализ сферы деятельности и
Обеспечение безопасности информации в образовательной организации в современных условиях
основных понятий ФЗ «О персональных данных», можно сделать вывод, что все образовательные организации являются операторами персональных данных, так как совершают обработку персональных данных в рамках собственных ИСПДн. Глава 4 данного ФЗ рассказывает об обязанностях оператора персональных данных, то есть в рамках системы образования об обязанностях каждой образовательной организации. Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных, которым является Роскомнадзор. Касательно обеспечения информационной безопасности в 4 главе ФЗ «О персональных данных» есть статья 19, которая раскрывает меры по обеспечению безопасности персональных данных при их обработке в ИСПДн. Оператор, то есть образовательная организация, обязана принимать меры, описанные в статье 19.
Меры по обеспечению безопасности информации можно разделить на правовые, организационные и технические. К правовым относятся меры, связанные с исполнением Федеральных законов и соблюдением Конституции РФ. К организационным относятся меры, связанные с разработкой, введением в эксплуатацию и соблюдением локальных организационных распорядительных документов организации. Техническими мерами обеспечения информационной безопасности являются программные, программно-аппаратные, аппаратные и технические средства защиты информации (СЗИ).
Согласно статье 19 ФЗ «О персональных данных», Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных, устанавливает: уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных; требования к защите персональных данных при их обработке в
информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных. Уровни защищенности и требования к защите персональных данных закреплены в Постановлении Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных: 1-й, 2-й, 3-й и 4-й. Выбор уровня защищённости обуславливается актуальными угрозами информационной безопасности для определенной ИСПДн. Определение актуальных угроз является обязанностью оператора и производится самостоятельно, либо с привлечением специалистов или компаний, занимающихся информационной безопасностью. После определения актуальных угроз и установления уровня защищенности производится выбор средств защиты информации в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».
Вышеизложенное позволяет заключить, что все образовательные организации являются операторами персональных данных, так как при организации образовательного процесса сталкиваются с обработкой информации, в том числе персональных данных, с применением информационных технологий. Согласно нормативно-правовым актам в области обеспечения информационной безопасности, в обязанности оператора персональных данных входит обеспечение безопасности персональных данных, которое достигается путем определения актуальных угроз информационной безопасности, классификация ИСПДн, применение правовых, организационных и технических мер по защите информации.
Выбор средств защиты информации для системы защиты персональных данных осу-
ществляется образовательной организацией в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».
Список литературы
1. Конституция РФ. Принята всенародным голосованием 12.12.1993 (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ) //Собрание законодательства РФ. - 03.03.2014. - N 9. - Ст. 851.
2. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»: Российская газета - Федеральный выпуск №5929 (256) от 07 ноября 2012г.
3.Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ: Российская газета - Федеральный выпуск №4131 от 26 июля 2006г.
4. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ: Российская газета - Федеральный выпуск №4131 от 26 июля 2006г.
References
1. Konstituciya RF. Prinyata vsenarodnym golosovaniem 12.12.1993 (s uchetom popravok, vnesennyh Zakonami RF o poprav-kah k Konstitucii RF ot 30.12.2008 N 6-FKZ, ot 30.12.2008 N 7-FKZ, ot 05.02.2014 N 2-FKZ, ot 21.07.2014 N 11-FKZ) //Sobranie za-konodatel'stva RF. - 03.03.2014. - N 9. - St. 851.
2. Postanovlenie Pravitel'stva RF ot 01.11.2012 N 1119 «Ob utverzhdenii trebovanij k zashchite personal'nyh dannyh pri ih obrabotke v informacionnyh sistemah person-al'nyh dannyh»: Rossijskaya gazeta - Feder-al'nyj vypusk №5929 (256) ot 07 noyabrya 2012g.
3.Federal'nyj zakon «Ob informacii, informacionnyh tekhnologiyah i o zashchite informacii» ot 27.07.2006 N 149-FZ: Rossijskaya gazeta - Federal'nyj vypusk №4131 ot 26 iyulya 2006g.
4. Federal'nyj zakon «O personal'nyh dannyh» ot 27.07.2006 N 152-FZ: Rossijskaya gazeta - Federal'nyj vypusk №4131 ot 26 iyulya 2006g.
Сведения об авторах Ильин Андрей Сергеевич - начальник отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск
Ильина Диана Сергеевна - методист отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск
Information about authors Ilyin A.S. - Head of the Department «Ensuring information security», Regional center to assessment quality and informatization in education, Chelyabinsk
Ilyin D.S. - Methodist of the Department «Ensuring information security», Regional center to assessment quality and informatization in education, Chelyabinsk