CC BY
34
Усанин С. С., Богданов Д. А. Обеспечение защиты информации в образовательных учреждениях // Вестник Прикамского социального института. 2021. № 1 (88). С. 100-104.
Usanin S. S., Bogdanov D. A. Ensuring the protection of information in educational institutions. Bulletin of Prikamsky Social Institute. 2021. No. 1 (88). Pp. 100-104. (In Russ.)
УДК 004.056.53
С. С. Усанин, Д. А. Богданов
Пермский военный институт войск национальной гвардии Российской Федерации,
Пермь, Россия
ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ В ОБРАЗОВАТЕЛЬНЫХ ОРГАНИЗАЦИЯХ
Усанин Сергей Сергеевич — адъюнкт адъюнктуры Пермского военного института войск национальной гвардии Российской Федерации.
E-mail: usanin-sergei@mail.ru
Богданов Денис Александрович — адъюнкт адъюнктуры Пермского военного института войск национальной гвардии Российской Федерации.
E-mail: svki. bogdanov@yandex. ru
Статья посвящена вопросам обеспечения защиты информации в образовательных организациях. Подчеркивается, что защита персональных данных сотрудников образовательных организаций является прямой задачей руководства этих организаций. Рассматриваются вопросы модернизации системы защиты информации в образовательных организациях, а также вопросы защиты персональных данных профессорско-преподавательского состава, руководства и обучающихся.
Ключевые слова: информационные технологии, защита информации, сотрудник, руководство, образовательные организации, процесс обучения, персональные данные.
S. S. Usanin, D. A. Bogdanov
Perm Military Institute of the National Guard Troops of the Russian Federation,
Perm, Russia
ENSURING THE PROTECTION OF INFORMATION IN EDUCATIONAL ORGANIZATIONS
Usanin Sergey S. — Adjunct at the Perm Military Institute of the National Guard Troops of the Russian Federation.
Bogdanov Denis A. — Adjunct at the Perm Military Institute of the National Guard Troops of the Russian Federation.
The protection of personal data of employees of educational organizations involved in the educational process is the direct task of the leadership of the educational organizations. The article is devoted to the issues of ensuring the protection of information in educational institutions and discusses the issues of modernizing the information protection system in these organizations, as well as issues of protecting the personal data of the teaching staff, management and students.
Keywords: information technology, information security, employee, management, educational organizations, learning process, personal data.
Современные информационные технологии диктуют нам свои требования, которые должны быть интегрированы в образовательный процесс, что подразумевает внедрение в этот
процесс информационных технологий, облегчающих и делающих его более понятным, но использование данных технологий может нанести непоправимый вред обществу [1].
В образовательных учреждениях среднего и высшего образования стремительно внедряются информационные системы, обеспечивающие обработку персональных данных сотрудников, перевод существующих документов в электронный вид. Назначение этих систем — создание и ведение баз данных студентов, работников образования, расширение административных возможностей в управлении учебным процессом. Работа с такими массивами информации требует от учебного заведения, с одной стороны, соответствия современным требованиям к скорости доступа и обработки существующих массивов информации в этой организации, с другой стороны, соблюдения необходимых норм и правил законодательной базы в области обработки данных. Помимо функций, обеспечивающих обработку данных, в образовательных учреждениях циркулирует другая информация различного характера, таким образом, любая современная образовательная организация испытывает необходимую потребность в защите информации [2].
Соответственно, обеспечение защиты персональных данных в образовательных организациях в настоящее время является довольно серьезным и актуальным вопросом. В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» «оператор, обрабатывающий такие данные, должен предпринимать все необходимые организационно-технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, от иных неправомерных действий»1.
Постановлением Правительства Российской Федерации 1 ноября 2012 года были утверждены «Требования к защите персональных данных при их обработке в информационных системах персональных данных»2. Таким образом, вопросы обеспечения защиты информации, сведения которой не составляют государственную тайну, являются приоритетной задачей для любого образовательного учреждения — необходимо наличие специальной системы защиты информации, хорошо продуманного управления информационным пространством образовательной организации (рис. 1).
Информация, обрабатываемая в образовательной организации, классифицируется по различным критериям: временная, ежедневная, ежемесячная, годовая.
По степени доступа к информации, обрабатываемой в образовательной организации, она делится на открытую информацию и информацию для служебного пользования, распространение которой возможно только при соблюдении определенных условий конфиденциальности и секретности3.
Различная информация, полученная образовательной организацией из совершенно разных источников, разделяется по источникам ее получения: внешним и внутренним. Прежде всего, обмен информацией предполагает обмен методическими документами с вышестоящими ведомствами и руководящими органами в сфере образования, другими организациями образования, а кроме того, обмен информацией, не имеющей прямого отношения к учебному процессу.
1 О персональных данных: федер. закон от 27.07.2006 № 152-ФЗ (ред. от 30.12.2020, с изм. и доп., вступ. в силу с 01.03.2021) // Рос. газета. 29.07.2006. № 165.
2 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных: постановление Правительства Рос. Федерации от 01.11.2012 № 1119 // Рос. газета. 07.11.2012. № 256.
3 Об информации, информационных технологиях и о защите информации: федер. закон от 27.07.2006 № 149-ФЗ (ред. от 09.03.2021, с изм. и доп., вступ. в силу с 20.03.2021) // Рос. газета. 29.07.2006. № 165; Об утверждении Инструкции о порядке обращения со служебной информацией ограниченного распространения в Министерстве образования и науки Российской Федерации: приказ Министерства образования и науки РФ от 30.12.2010 № 2233. Доступ из справ.-правовой системы «Гарант».
Внеобразовательные организации
Учет успеваемости
Учет кадров
Связь с другими образовательными организациями
Официальные сайты образовательных организаций
ОБЩЕЕ ХРАНИЛИЩЕ
Официальные сайты управления образованием
Н Н В Рч
Н
н в в
нО
н
н и
н
н
и
Рч
н н
и в
в н
н и
в
ч
н
н
^
п о
м нО
ч о в
Рис. 1. Схема управления информационным пространством образовательной организации
С точки зрения обеспечения обязательной безопасности и ответственности руководства образовательного учреждения персональные данные всей цепочки организационного и служебного порядка его состава, а также коммерческая информация, относящаяся к экономической сфере, ее компоненты, поступающие в учебное заведение, представляют наибольший интерес [2].
Анализируя нормативно-правовую базу обеспечения защиты информации, необходимо выделить следующие федеральные законы и постановления правительства:
— Конституция Российской Федерации;
— Федеральный закон от 27 июня 2006 г. № 152 «О персональных данных»;
— Федеральный закон от 27 июня 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральный закон от 19 мая 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке информации»;
— Постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»;
— Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ — гл. 14 «Защита персональных данных работников».
Информационные потоки, которые сосредоточены в типовом образовательном учреждении, рассмотрены нами на рис. 2.
В образовательных организациях принципиальным моментом для возникновения прецедентов утечки информации является, прежде всего, нарушение правил обращения с техническими средствами, программным и аппаратным обеспечением защиты персональных данных, недостаточно продуманная система хранения и доступа к специальной информации, несовершенство нормативной документации образовательной организации по обеспечению защиты информации [2].
Наиболее частыми причинами утечки информации в образовательных организациях являются:
— регулярное обновление персонала, в том числе тех, кто имел или имеет доступ к информации «для служебного пользования»;
— отсутствие у персонала сформированных компетенций в области обеспечения норм и правил защиты информации;
— недостаточное количество или отсутствие аттестованных рабочих мест в соответствии с требованиями, утвержденными ФСТЭК России;
— недостаточный контроль со стороны руководства образовательной организации за соблюдением норм и правил, обеспечивающих защиту информации [3].
Таким образом, большинство причин, влияющих на возможные утечки информации в образовательной организации, связаны с несовершенством нормативной базы, недостаточной квалификацией сотрудников в области защиты информации, а также отсутствием мер, обеспечивающих эту защиту.
Проведенный анализ обзоров по нарушению норм и правил защиты информации показывает, что в качестве возможных причин нарушений в области защиты информации могут выступать:
— бывшие сотрудники, уволенные из образовательной организации по различным причинам: при увольнении эти сотрудники могут в качестве «акта мести» передать необходимую информацию заинтересованным лицам;
— осуществление непреднамеренных хакерских атак с целью навредить образовательной организации или завладеть необходимой информацией (например, экзаменационными билетами или ответами к ним, внести корректировки в электронные дневники обучающихся и т. д.).
Соответственно, в рамках модернизации организации защиты информации в образовательных учреждениях необходимо ввести так называемые парольные протоколы и учитывать доступ к рабочему месту, использовать встроенный или программный межсетевой экран и установить лицензионные средства контроля доступа сотрудников [4]. Также необходимо организовать установку сертифицированного программного комплекса на базе Secret.Net, что обеспечит контроль над процессом защиты информации.
Дополнительной мерой повышения эффективности защиты информации в образовательной организации является разработка типового плана защиты информационных данных этой организации и назначение лица, ответственного за обеспечение защиты информации.
Рассмотренные в статье положения и предложенные меры помогут повысить надежность и эффективность системы защиты информации образовательного учреждения при соблюдении определенных эксплуатационных и организационных требований и рекомендаций.
Библиографический список
1. Бариев А. А. Внедрение современных информационных технологий в образовательный процесс // Актуальные вопросы современной педагогики: материалы VI Междунар. науч. конф. (г. Уфа, март 2015 г.). Уфа: Лето, 2015. С. 228-230.
2. Васильев Д. А. Подход к модернизации системы защиты информации в образовательных учреждениях среднего общего полного образования // Auditorium. 2017. № 1 (13). С. 85-92.
3. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных: утв. заместителем директора ФСТЭК России 14 февр. 2008 г. Доступ из справ.-правовой системы «Гарант».
4. Методические рекомендации по ограничению в образовательных организациях доступа обучающихся к видам информации, распространяемой посредством сети Интернет, причиняющей вред здоровью и (или) развитию детей, а также не соответствующей задачам образования: утв. Мин-вом просвещения РФ, Мин-вом цифрового развития, связи и массовых коммуникаций РФ, Федер. службой по надзору в сфере связи, информ. технологий и массовых коммуникаций 16 мая 2019 г. Доступ из справ.-правовой системы «Гарант».
