ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ Текст научной статьи по специальности «Компьютерные и информационные науки»

Степанова Т. Ю. Обеспечение информационной безопасности в образовательной организации // Электронный научно-методический журнал Омского ГАУ. - 2020. - № 4 (23) октябрь- декабрь. - URL http://e-journal.omgau.ru/images/issues/2020/4/00873.pdf. - ISSN 2413-4066

УДК 004.056.5:37.091.2

Степанова Татьяна Юрьевна

Канд. экон. наук, доцент ФГБОУВО Омский ГАУ, г. Омск tyu. stepanova@omgau.org

Обеспечение информационной безопасности в образовательной организации

Аннотация: В данной статье представлены результаты исследования по актуальному и значимому для современной педагогической науки вопросу - обеспечение информационной безопасности в образовательной организации. Объектом исследования являлся процесс информационного воздействия на обучающихся. Методы исследования включали: изучение литературных источников, законодательных нормативно-правовых актов; систематизацию, сравнение факторов риска, способов защиты и методов предотвращения угроз от воздействия информационной среды. На основе проведенного исследования сделаны соответствующие выводы и предложены меры по обеспечению информационной безопасности в образовательной организации.

Ключевые слова: информатизация, образовательная организация, угрозы информационной безопасности, способы и методы защиты.

Высокий уровень информатизации современного общества, обусловленный развитием инновационных технологий, в котором доминируют автоматизация, искусственный интеллект и цифровые платформы, предъявляет особые требования к организации образовательного процесса подготовки будущего специалиста.

Одним из актуальных направлений реформирования современной системы высшего образования является системная интеграция информационных технологий в образовательный процесс вуза. Указанное направление регламентируется рядом нормативных документов, в частности федеральными законами и постановлениями, а также федеральными государственными образовательными стандартами высшего профессионального образования. В соответствии с 16 статьей Федерального закона № 273-ФЗ (ред. от 21.07.2014) «Об образовании в Российской Федерации» (с изменениями и дополнениями, вступ. в силу с 21.10.2014), при реализации образовательных программ с применением исключительно электронного обучения, дистанционных образовательных технологий в организации, осуществляющей образовательную деятельность, должны быть созданы условия для функционирования электронной информационно-образовательной среды (ЭИОС), включающей в себя электронные информационные ресурсы, электронные образовательные ресурсы, совокупность информационных технологий, телекоммуникационных технологий, соответствующих технологических средств [1].

При осуществлении образовательного процесса одним из главных требований обеспечения деятельности образовательной организации является гарантия высокого уровня

информационной безопасности. Специфика защиты состоит в необходимости обеспечения не только защиты баз данных и предотвращения кибератак, но и в защите обучающихся от любых проявлений пропаганды и манипуляций. Информационное воздействие - это свойство информации оказывать влияние на адресатов информации. Наиболее широко информационное воздействие осуществляется в социально-экономической сфере информационного пространства.

Информационная безопасность в современной образовательной среде в соответствии с действующим законодательством предусматривает защиту сведений и данных, относящихся к следующим трем группам:

- персональные данные и сведения, которые имеют отношения к обучающимся,

преподавательскому составу, персоналу организации, оцифрованные архивные

документы;

- обучающие программы, базы данных, библиотеки, другая структурированная

информация, применяемая для обеспечения образовательного процесса;

- защищенная законом интеллектуальная собственность.

Действия злоумышленников могут привести к хищению указанных данных. Также при несанкционированном вмешательстве возможны внесения изменений и уничтожение хранилищ знаний, программных кодов, оцифрованных книг и пособий, используемых в образовательном процессе[4].

Спецификой обеспечения информационной безопасности в образовательных организациях является обеспечение защиты от характерных угроз, которые могут иметь преднамеренный или случайный характер. Это могут быть не только хищения или повреждения целостности данных киберпреступниками, но так же деятельность обучающихся, которые могут сознательно или ненамеренно повредить аппаратное и программное обеспечение, например, путем заражения системы вредоносными программами. В качестве угроз информационной безопасности образовательного учреждения могут выступать: аварии и чрезвычайные ситуации (затопление, отключение электроэнергии и т.д.); сбой программного обеспечения; ошибки сотрудников; неисправность оборудования; отказ систем связи. Особый вид угроз - это хищение интеллектуальной собственности и нарушение авторских прав. Наиболее серьезной угрозой являются внешние атаки на компьютерные сети образовательной организации для воздействия на сознание обучающихся с целью последующего вовлечения в криминальную или террористическую деятельность.

Разработка ресурсного обеспечения электронной информационно-образовательной среды учреждения, оказывающего образовательные услуги, обязательно должна включать в себя вопросы кадровой подготовки педагогического персонала.

Для осуществления вышеперечисленных действий, как правило, требуется несанкционированный доступ. Различают следующие виды несанкционированного доступа:

- человеческий, предусматривает хищение сведений методом их отправки по электронной почте или копирования на портативные носители, внесение вручную изменений в базы данных при наличии физического доступа к серверу.

- аппаратный, применение специального оборудования для хищения данных или внесения изменений в систему. В том числе может применяться оборудование для перехвата электромагнитных сигналов.

- программный, применение специального программного обеспечения для перехвата данных, копирования паролей, дешифровки и перенаправления трафика, внесения изменений в функционирование другого софта и т. д.

Для защиты информационных ресурсов современные технологии обеспечения информационной безопасности образовательной организации предусматривают защиту на пяти уровнях: нормативно-правовой; морально-этический; административно-организационный; физический и технический.

Законодательством определяются данные, которые должны быть защищены от несанкционированного доступа третьих лиц. К числу таких сведений относятся: персональные данные; конфиденциальные сведения; служебная, профессиональная, коммерческая тайна. Порядок обеспечения безопасности персональных данных регламентируется Трудовым кодексом, Гражданским кодексом, Федеральным законами: «О защите персональных данных», «Об информации» и другими нормативно-правовыми актами. Согласно Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы, утверждённой указом Президента РФ от 9 мая 2017 г. № 203, в цели настоящей Стратегии и стратегические национальные приоритеты Российской Федерации при развитии информационного общества входит цель обеспечения безопасной информационной среды для детей. На данный момент федеральными органами исполнительной власти реализуется план реализации данной Концепции: приказ № 88 Минкомсвязи России 27 февраля 2018 года «Об утверждении плана мероприятий по реализации Концепции информационной безопасности детей на 2018-2020 годы»[2].

Кроме того, модели предусматривают ГОСТ «Защита информации», который содержит нормативно-правовые акты и морально-этические меры защиты информации, и противодействие атакам извне. ГОСТ «Защита информации» нормирует определение защиты информации рядом комплексных мер защиты информации, которые исходят из комплексных действий злоумышленников [3].

Для защиты системы морально-этических ценностей должен предотвращаться доступ источников информации этически некорректного, травмирующего, противозаконного характера в информационно-образовательную среду организации.

В качестве воздействия на личность могут выступать:

- целенаправленное информационное давление с целью изменения мировоззрения, политических взглядов и морально-психологического состояния людей;

- распространение недостоверной, искаженной, не полной информации;

- использование неадекватного восприятия людьми достоверной информации[6].

Система административно-организационных мер строится на базе внутренних

регламентов и правил организации, которыми регламентируется порядок обращения с информацией и ее носителями. В том числе должны быть разработаны: должностные инструкции; внутренние методики по обеспече7ию информационной безопасности; перечни не подлежащих передаче данных; регламент взаимодействия с уполномоченными государственными органами по запросам о предоставлении информации и т. д.

Немаловажно и соблюдение физических мер. К ним относится: реализация пропускной системы для доступа в помещение, где находятся носители данных; создание системы контроля и управления доступом; определение уровней допуска; создание правил обязательного регулярного копирования критически важных данных на жесткие диски ПК, не подключенных к интернету; создание паролей и их периодическая замена.

Технические меры защиты предусматривают использование специализированного программного обеспечения, рекомендуется использовать DLP и SIEM-системы, антивирусы и другие виды специального софта.

Применяемое для технической защиты программное обеспечение должно: обеспечивать контроль электронной почты; устанавливать ограничения на копирование данных с жестких дисков компьютеров; ограничивать доступ к определенным ресурсам в Интернете. Немаловажно обеспечить решение проблем, возникающие при обеспечении безопасности хранения информации в облачных хранилищах[5].

Функционирование системы обеспечения информационной безопасности в образовательной организации должны обеспечивать специалисты, которые имеют высокий уровень квалификации и опыт.

Как правило, в должностные обязанности лиц, отвечающих за систему информационной безопасности, входит:

- обеспечение сохранности защищаемых данных;

- поддержание информации в состоянии постоянной доступности для авторизованных

лиц;

- обеспечение конфиденциальности подлежащих защите сведений, предотвращение доступа к ним со стороны третьих лиц.

- своевременную блокировку несанкционированных изменений данных и их утрату. Для успешного функционирования системы безопасности образовательной

организации необходимо проводить аудит информационной безопасности, это процесс оценки уровня защищенности ИТ-инфраструктуры, проводимый на основании целевых показателей информационной безопасности. В ходе аудита обычно проверяют организационно-распорядительные документы (приказы, распоряжения и т.п.), относящиеся к обеспечению информационной безопасности, настройки межсетевых экранов и систем защиты периметра сети, журналы безопасности сетевых серверов и сетевого оборудования и многое другое в зависимости от поставленных перед аудиторами целей. Аудит позволяет понять, насколько ИТ-инфраструктура компании защищена от внешних угроз и несанкционированного доступа, а также при необходимости - насколько её уровень информационной безопасности соответствует требованиям регуляторов, отраслевых или международных стандартов[3].

Информационная безопасность образовательного учреждения представляет собой комплекс мер различного характера, направленных на реализацию двух основных целей. Первой целью является защита персональных данных и информационного пространства от несанкционированных вмешательств, хищения информации и изменения конфигурации системы со стороны третьих лиц, Вторая цель - защита обучающихся от любых видов пропаганды, рекламы и другой запрещенной законом информации.

Ссылки на источники:

1. Аудит информационной безопасности/ URL https://www.smart-soft.ru/blog/audit_ib/

2. Бояркина Л.А. Аспекты и угрозы информационной безопасности личности в информационном обществе/ Л.А. Бояркина, В.В.Бояркин//Проблемы и перспективы развития образования в России. г. Иошкар-Ола. 2017. С. 293-299. URL https://cyberleninka.ru/article/n/aspekty-i-ugrozy-informatsionnoy-bezopasnosti-lichnosti-v-informatsionnom-obschestve/viewer

3. Информационная безопасность в образовательной организации/ URL https://www.smart-soft.ru/blog/informatsionnaia_bezopasnost_v_obrazovatelinoi_organizatsii/

4. Наумова Е.Г. Методы и средства защиты информации при работе с облачными сервисами//Е.Г. Наумова, Т.Ю. Степанова/ В сборнике: Роль аграрной науки в устойчивом развитии сельских территорий. Сборник II Всероссийской (национальной) научной конференции. Новосибирский государственный аграрный университет. 2017. С. 827-829.

5. Степанова Т.Ю. Формирование познавательной активности в условиях электронной информационно-образовательной среды вуза/ Т.Ю. Степанова, Н.А. Мамаева// Вестник Омского государственного аграрного университета. 2015. № 3 (19). С. 90-95.

6. Степанова Т.Ю. Обеспечение безопасности облачных хранилищ/ Т.Ю. Степанова, Л.В. Ламонина, О.Б. Смирнова// В сборнике: Инновационные технологии в АПК, как фактор развития науки в современных условиях. сборник всероссийской (национальной) научно-практической конференции. 2019. С. 613-617.

Tatiyana Stepanova

Candidate of economy science, associate professor FSBEI HE Omsk SA U, Omsk tyu. stepanova@om gau.org

Ensuring of Information Security in Educational Organizations

Annotation. The article presents the results of the research on the actual topic devoted to ensuring of information security in educational organizations. The object of the study is the process of information influence upon the students. The methods include literature and legislature review, systematization and comparison of risk factors, methods of security and preventing threats from the influence of information environment. Due to the research results relevant conclusions were drawn. The measures of ensuring information security in an educational organization were proposed.

Keywords: informatization, educational organization, threats of information security, methods of security.