CC BY
64
УДК 004.056 :371
ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЩЕОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ В ПЕРИОД ПРОВЕДЕНИЯ ГОСУДАРСТВЕННОЙ ИТОГОВОЙ АТТЕСТАЦИИ
АА. Зубаиров, А.С. Ильин, Е.С. Мухаметьева
Статья посвящена особенностям обеспечения информационной безопасности при проведении мероприятий государственной итоговой аттестации в общеобразовательной организации.
Ключевые слова: безопасность, защита информации, криптографические средства защиты информации, государственная итоговая аттестация, региональная информационная система, персональные данные.
Государственная итоговая аттестация (далее - ГИА) представляет собой форму государственного контроля (оценки) освоения выпускниками IX (X) и XI (XII) классов основных образовательных программ основного общего и среднего общего образования в соответствии с требованиями федерального государственного образовательного стандарта основного и среднего общего образования.
Порядок проведения государственной итоговой аттестации по образовательным программам основного общего образования (далее - Порядок) определяет формы проведения ГИА по основным образовательным программам основного общего образования, участников, сроки и продолжительность проведения ГИА, требования к использованию средств обучения и воспитания, средств связи при проведении ГИА, требования, предъявляемые к лицам, привлекаемым к проведению ГИА, порядок проверки экзаменационных работ, порядок подачи и рассмотрения апелляций, изменения и (или) аннулирования результатов ГИА.
При проведении ГИА по программам основного общего и среднего общего образования образовательные организации осуществляют обработку персональных данных (далее - ПДн), в связи с чем необходимо обеспе-
чить соблюдение законодательства Российской Федерации в области персональных данных [5].
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) [10].
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными [10].
Согласия на обработку персональных данных согласно Федеральному закону №152-ФЗ [10] является обязательной и неотъемлемой частью обеспечения прав и свобод субъектов персональных данных. Согласия на обработку персональных данных должны быть получены у всех участников ГИА и работников, привлекаемых к проведению ГИА.
В случае нарушения требований по защите персональных данных при их обработке в периоды подготовки и проведения ГИА оператор или физическое лицо, осуществляющие обработку персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
В соответствии со статьей 22 Федерального закона от 27.07.2006 № 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку персональных данных. В связи с этим до начала
обработки ПДн в «РИС обеспечения проведения ГИА обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования на территории Челябинской области», необходимо направить в территориальный орган Роскомнадзора уведомление о начале обработки ПДн. Если уведомление было направлено ранее, то - информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных. Существует подача такого уведомления в электронном виде с последующим направлением в информационную систему Уполномоченного органа по защите прав субъектов персональных данных.
Начало обработки персональных данных в «РИС обеспечения проведения ГИА обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования на территории Челябинской области» требует внесения следующих изменений в реестре операторов:
- в пункте «Правовое основание обработки» добавить: п. 22 Порядка проведения государственной итоговой аттестации по образовательным программам основного общего образования, утвержденного Приказом Министерства образования и науки РФ от 25 декабря 2013 г. № 1394 г. Москва «Об утверждении Порядка проведения государственной итоговой аттестации по образовательным программам основного общего образования», п. 25 Порядка проведения государственной итоговой аттестации по образовательным программам среднего общего образования, утвержденного Приказом Министерства образования и науки РФ от 26 декабря 2013 г. № 1400 г. Москва «Об утверждении Порядка проведения государственной итоговой аттестации по образовательным программам среднего общего образования»;
- в пункте «Цель обработки персональных данных» добавить: содействия проведению ГИА;
- в пункте «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» добавить все меры, описанные в данном материале, при-
менимые к обработке данных в «РИС обеспечения проведения ГИА ...»;
- в пункте «Средства обеспечения безопасности» добавить все материальные средства и программное обеспечение, применяемое для защиты персональных данных в «РИС обеспечения проведения ГИА ...» (шкафы, сейфы, антивирусное ПО и т.д.);
- в пункте «Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ» добавить меры, направленные на выполнение пункта 13 и 14 требований, утвержденные Постановлением Правительства РФ № 1119.
Далее заполняются сведения, относящиеся только к «РИС обеспечения проведения ГИА обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования на территории Челябинской области»:
- категории персональных данных: фамилия, имя, отчество (при наличии), реквизиты документа, удостоверяющего личность (в случае отсутствия у обучающегося документа, удостоверяющего личность, в РИС вносятся реквизиты документа, которым образовательная организация, реализующая общеобразовательные программы, подтверждает личные данные обучающегося), наименование образовательной организации, в которой освоена общеобразовательная программа, номер класса (группы) обучающегося, форма обучения, уровень общего образования (основное общее или среднее общее образование), форма ГИА, перечень учебных предметов, выбранных для сдачи государственной итоговой аттестации, отнесение обучающегося к категории лиц с ограниченными возможностями здоровья, детей-инвалидов или инвалидов, отнесение обучающегося к категории лиц, обучающихся по образовательным программам среднего общего образования в специальных учебно-воспитательных учреждениях закрытого типа, в учреждениях, исполняющих наказание в виде лишения свободы, лиц, получающих среднее общее образование в рамках том числе образовательных программ среднего профессионального образования, интег-
рированных с основными образовательными программами основного общего и среднего общего образования, отнесение
обучающегося к категории лиц, обучающихся по образовательным программам среднего общего образования, изучавших родной язык из числа языков народов Российской Федерации и литературу народов России на родном языке из числа языков народов Российской Федерации и выбравших экзамен по родному языку из числа языков народов Российской Федерации и литературе народов России на родном языке из числа языков народов Российской Федерации для прохождения государственной итоговой аттестации, наличие допуска у обучающегося к ГИА, место работы, должность, образование и квалификация, виды работ, к которым привлекается работник во время проведения ГИА;
- категории субъектов, персональные данные которых обрабатываются: участники ГИА, лица, привлекаемые к проведению ГИА;
- перечень действий с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, обработка смешанная, без передачи по внутренней сети юридического лица, без передачи по сети Интернет;
- осуществление трансграничной передачи персональных данных: не осуществляется;
- использование шифровальных (криптографических) средств: используются;
- сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ: адрес образовательной организации.
В соответствии с п. 5 правил ведения федеральной информационной системы (далее - ФИС) ГИА и региональной инфор мационной системы (далее - РИС) ГИА внесение сведений в РИС ГИА осуществляется поставщиками информации
региональных информационных систем -образовательными организациями,
реализующими образовательные программы основного общего и (или) среднего общего образования и (или) среднего профессионального образования на базе основного общего образования с одновременным получением среднего общего образования. При этом поставщики информации региональных
информационных систем вправе
предоставлять операторам региональных информационных систем (в Региональный центр обработки информации Челябинской области) сведения для внесения в региональные информационные системы. В этом случае сведения в региональные информационные системы вносятся операторами региональных
информационных систем.
Именно такой порядок взаимодействия установлен при внесении сведений в РИС ГИА в Челябинской области: общеобразовательные организации
формируют сведения, подлежащие внесению в РИС ГИА, и предоставляют их в Региональный центр обработки информации Челябинской области непосредственно либо через муниципальные органы управления образованием [4, 6].
Состав сведений, подлежащих внесению в РИС ГИА, установлен в Требованиях к составу и формату сведений, вносимых и передаваемых в процессе репликации в федеральную информационную систему обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приема граждан в образовательные организации для получения среднего профессионального и высшего образования (далее - требования к составу информации для РИС ГИА), утвержденных Приказом Рособрнадзора от 28.12.2015 № 2427 «Об утверждении требований к составу и формату сведений, вносимых и передаваемых в процессе репликации в федеральную информационную систему обеспечения проведения государст-
венной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приема граждан в образовательные организации для получения среднего профессионального и высшего образования» [3].
Таким образом, определены основания обработки персональных данных и состав персональных данных, которые
обрабатываются в целях содействия проведению ГИА:
1) обработка персональных данных производится на основании:
- п. 22 Порядка проведения государственной итоговой аттестации по образовательным программам основного общего образования, утвержденного приказом о ГИА-9;
- п. 25 Порядка проведения государственной итоговой аттестации по образовательным программам среднего общего образования, утвержденного приказом о ГИА-11.
2) целью обработки персональных данных является содействие проведению ГИА;
3) субъектами персональных данных являются участники ГИА и работники, привлекаемые к проведению ГИА;
4) перечень персональных данных субъектов, которые обрабатываются с указанной целью, установлен Федеральной службой по надзору в сфере образования и науки.
Концептуальная система средств защиты информации, организационных
мероприятий и правовых норм регламентирует отношения в вопросах обеспечения информационной безопасности при проведении государственной итоговой аттестации в общеобразовательной организации, минимизирующие риски угроз безопасности информации.
Дифференциальный подход к защите информации предполагает определение уровня защищенности персональных данных в информационной системе, обеспечение которого необходимо, установление типа угроз, актуального для этой информационной системы [1, 2]. Как правило, в ходе подготовки модели угроз
для «РИС обеспечения проведения ГИА обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования на территории Челябинской области» выявляется, что для неё актуальны угрозы, не связанные с наличием недокументированных (недеклариро-ванных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. В соответствии с абзацем 4 пункта 6 требований, утвержденных Постановлением Правительства РФ № 1119, если для информационной системы актуальны угрозы, не связанные с наличием недокументированных (недекла-рированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе, то для такой информационной системы актуальны угрозы 3-го типа.
С учетом вышеизложенного, для «РИС обеспечения проведения ГИА обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования на территории Челябинской области» необходимо обеспечения 3-го уровня защищенности персональных данных, так как на основании части «в» пункта 11 требований, утвержденных Постановлением Правительства РФ № 1119, необходимо обеспечение 3-го уровня защищенности персональных данных при их обработке в информационной системе, если для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Как правило, результат определения уровень защищенности персональных данных, который необходимо обеспечить в информационной системе, фиксируется в Акте определения уровня защищённости информационной системы персональных данных.
Пункты 13 и 14 требований, утвержденные Постановлением Правительства РФ № 1119 устанавливают требования, выполнение которых необходимо для обеспечения 3-го
уровня защищенности персональных данных при их обработке в информационной системе:
- часть «а» пункта 13: организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- часть «б» пункта 13: обеспечение сохранности носителей персональных данных;
- часть «в» пункта 13: утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- часть «г» пункта 13: использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
- пункт 14: назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
Ещё одним организационным механизмом является определение актуальных угроз информационной безопасности, на основании которых разрабатывается модель угроз информационной системы
персональных данных (далее - ИСПДн). Актуальными угрозами для «РИС обеспечения проведения ГИА обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования на территории Челябинской области» являются
компьютерные вирусы и
несанкционированный доступ к
информационной системе. Таким образом, целесообразно использовать антивирусное программное обеспечение и средство защиты информации от несанкционирован-
ного доступа, имеющее сертификат ФСТЭК России.
Для организации взаимодействия с Государственными информационными системами образовательные организации обязаны производить процедуру аттестации по требованиям информационной безопасности автоматизированного рабочего места, непосредственно осуществляющего передачу данных в ГИС.
В случае, если общеобразовательной организацией, органом местного
самоуправления, региональным центром обработки информации принято решение о передаче общеобразовательной
организацией или органом местного самоуправления сведений для внесения в РИС ГИА посредством сети Интернет, должны применяться средства
криптографической защиты информации (далее - СКЗИ) [8, 9].
В соответствии с частью «а» пункта 13 требований, утвержденных Постановлением Правительства РФ № 1119, для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе должен быть организован режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
[7].
Для выполнения данного требования необходимо дополнить утвержденный перечень помещений, в которых обрабатываются персональные данные, помещением, в котором обеспечивается работа «РИС обеспечения проведения ГИА обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования на территории Челябинской области». При этом должен быть утвержден перечень лиц, которые имеют право доступа в это помещение.
Целесообразно принять Положение, устанавливающее режим обеспечения безопасности помещений, препятствующий
возможности неконтролируемого
проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения, в котором, в частности, предусмотреть порядок определения лиц, имеющих право доступа в помещения, требования к оборудованию помещений дверями, замками, правила учета и выдачи ключей, порядок проведения уборки в помещении, порядок действий при обнаружении проникновения посторонних лиц в помещения.
Таким образом, важно отметить, что обеспечение информационной безопасности общеобразовательной организации в период проведения ГИА связано с соблюдением ряда нормативных, организационных и технических мер. Выполнение мер в области обеспечения безопасности информации должно носить комплексный характер и требовать, как со стороны администрации, так и со стороны работников образовательной организации, соблюдения установленных правил и регламентов.
Список литературы
1. Ильин А.С. Анализ состояния защищенности персональных данных при их обработке в учреждениях системы образования Челябинской области в 2016 году [Текст] / А.С. Ильин, Д.С. Ильина // Научно-методическое обеспечение оценки качества образования. - 2017. - № 1(2). -С. 89-94.
2. Ильин А.С. Обеспечение безопасности информации в образовательной организации в современных условиях [Текст] /А.С. Ильин, Д.С. Ильина // Научно-методическое обеспечение оценки качества образования. - 2016. - № 1. - С. 48-51.
3. Ильин А.С. Роль образовательной организации в обеспечении информационной безопасности учащихся [Текст] / А. С. Ильин, А. В. Гнедков, И. В. Худорожков // Научно-методическое обеспечение оценки качества образования -2017 - №2(3). - С.77 - 79.
4. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных сис-
темах персональных данных" [Электронный ресурс]. - Режим доступа:
http://base.garant.ru/70252506/ (Дата
обращения: 26.10.2018).
5. Приказ Министерства образования и науки РФ от 25 декабря 2013 г. № 1394 "Об утверждении Порядка проведения государственной итоговой аттестации по образовательным программам основного общего образования" [Электронный ресурс]. - Режим доступа: http://base.garant.ru/705844 18/ (Дата обращения: 26.10.2018).
6. Приказ Рособрнадзора (Федеральная служба по надзору в сфере образования и науки) от 27 июля 2017 г. №1283 [Электронный ресурс]. - Режим доступа: http://www.garant.ru/products/ipo/prime/doc/ 71634610/ (Дата обращения: 26.10.2018).
7. Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» [Электронный ресурс]. - Режим доступа: http://base.garant.ru/183628/ (Дата обращения: 26.10.2018).
8. Применение средств криптографической защиты информации при проведении процедур оценки качества образования [Текст] / А. В. Гнедков, А. Б. Захаров, А. С. Ильин и [др.] // Научно-методическое обеспечение оценки качества образования. -2018. - № 1(4). - С. 114-117. 10
9. Распоряжение Правительства Российской Федерации от 29 декабря 2014 г. № 2765-р, утверждающее Концепцию федеральной целевой программы развития образования на 2016-2020 годы [Электронный ресурс]. - Режим доступа: http://base.garant.ru/70836882/ (Дата обращения: 26.10.2018).
10.Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ [Электронный ресурс]. - Режим доступа: http://base.garant.ru/12148567/ (Дата обращения: 26.10.2018).
References
1. Il'in A.S. Analiz sostoyaniya zashchishchennosti personal'nykh dannykh pri ikh obrabotke v uchrezhdeniyakh sistemy obrazovaniya CHelyabinskoy oblasti v 2016 godu [Tekst] / A.S. Il'in, D.S. Il'ina // Nauchno-metodicheskoe obespechenie otsenki kachestva obrazovaniya. - 2017. - № 1(2). - S. 89-94.
2. Il'in A.S. Obespechenie bezopasnosti informatsii v obrazovatel'noy organizatsii v sovremennykh usloviyakh [Tekst] /A.S. Il'in, D.S. Il'ina // Nauchno-metodicheskoe obespechenie otsenki kachestva obrazovaniya. - 2016. - № 1. -S. 48-51.
3. Il'in A.S. Rol' obrazovatel'noy organizatsii v obespechenii informatsionnoy bezopasnosti uchashchikhsya [Tekst] / A. S. Il'in, A. V. Gnedkov, I. V. KHudorozhkov // Nauchno-metodicheskoe obespechenie otsenki kachestva obrazovaniya - 2017 - №2(3). - S.77 - 79.
4. Postanovlenie Pravitel'stva RF ot 01.11.2012 N 1119 "Ob utverzhdenii trebovaniy k zashchite personal'nykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personal'nykh dannykh" [Elektronnyy resurs]. - Rezhim dostupa: http://base.garant.ru/70252506 (Data obrashcheniya: 26.10.2018).
5. Prikaz Ministerstva obrazovaniya i nauki RF ot 25 dekabrya 2013 g. № 1394 "Ob utverzhdenii Poryadka provedeniya gosudarstvennoy itogovoy attestatsii po obrazovatel'nym programmam osnovnogo obshchego obrazovaniya" [Elektronnyy resurs]. - Rezhim dostupa: http://base.garant.ru/70584418/ (Data obrashcheniya: 26.10.2018).
6. Prikaz Rosobrnadzora (Federal'naya sluzhba po nadzoru v sfere obrazovaniya i nauki) ot 27 iyulya 2017 g. №1283 [Elektronnyy resurs]. -Rezhim dostupa: http://www.garant.ru/products/ ipo/prime/doc/71634610/ (Data obrashcheniya k: 26.10.2018).
7. Prikaz FAPSI ot 13 iyunya 2001 g. N 152 «Ob utverzhdenii Instruktsii ob organizatsii i obespechenii bezopasnosti khraneniya, obrabotki i peredachi po kanalam svyazi s ispol'zovaniem sredstv kriptograficheskoy zashchity informatsii s ogranichennym dostupom, ne soderzhashchey svedeniy, sostav lyayushchikh gosudarstvennuyu taynu» [Elektronnyy resurs]. - Rezhim dostupa: http://base.garant.ru/183628/ (Data obrashcheniya: 26.10.2018).
8. Primenenie sredstv kriptograficheskoy
zashchity informatsii pri provedenii protsedur otsenki kachestva obrazovaniya [Tekst] / A. V. Gnedkov, A. B. Zakharov, A. S. Il'in i [dr.] // Nauchno-metodicheskoe obespechenie otsenki kachestva obrazovaniya. - 2018. - № 1(4). - S. 114-117. 10
9. Rasporyazhenie Pravitel'stva Rossiyskoy Federatsii ot 29 dekabrya 2014 g. № 2765-r, utverzhdayushchee Kontseptsiyu federal'noy tselevoy programmy razvitiya obrazovaniya na 2016-2020 gody [Elektronnyy resurs]. - Rezhim dostupa: http://base.garant.ru/70836882/ (Data obrashcheniya: 26.10.2018).
10. Federal'nyy zakon "O personal'nykh dannykh" ot 27.07.2006 N 152-FZ [Elektronnyy resurs]. - Rezhim dostupa: http://base.garant.ru/ 12148567/ (Data obrashcheniya: 26.10.2018).
Сведения об авторах Зубаиров Александр Фларитович -
начальник отдела информатизации Управления по делам образования администрации Кыштымского городского округа, г. Кыштым
Ильин Андрей Сергеевич - начальник отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск
Мухаметьева Елена Сергеевна -специалист по защите информации отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск
Information about authors
Zubairov A.F. - Head of the Department of Informatization Department of Education of the Kyshtym City Administration, Chelyabinsk Region, Kyshtym
Ilyin A.S. - Head of the Department «Ensuring information security», Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk
Mukhametyeva E.S. - Information security specialist of the Department «Ensuring information security», Regional Center for Q uality Assessment and Informatization of Education, Chelyabinsk
