CC BY
176
УДК 004.056
ПОДХОД К МОДЕРНИЗАЦИИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЯХ СРЕДНЕГО ОБЩЕГО ПОЛНОГО ОБРАЗОВАНИЯ
© 2017 Д. А. Васильев
канд. пед. наук, доцент кафедры компьютерных технологий и информатизации образования, e-mail: vasilievd@list.ru
Курский государственный университет
Защита персональных данных работников образовательных учреждений, обучающихся и их родителей, является задачей, за выполнение которой несет ответственность администрация образовательных учреждений. Статья посвящена вопросам модернизации систем защиты информации в образовательных учреждениях общего полного образования, вопросам защиты персональных данных в этих учреждениях, а также особенностям внедрения AHD-систем видеонаблюдения.
Ключевые слова: защита информации, персональные данные, AHD-видеонаблюдение, утечка информации, информационные потоки.
Разнообразные информационные системы достаточно давно и эффективно используются в образовательном процессе школы, активизируя познавательную активность учащихся, влияя на их творческие способности, на вовлеченность в образовательный процесс. Однако это только одна из граней внедрения и введения информационных систем в образовательное учреждение. Другой особенностью является использование систем не только в качестве обучающих средств, но и в поддержке организации данного процесса и в управлении образовательным учреждением.
С середины 2000-х годов в образовательных учреждениях общего полного образования активно внедряются информационные системы, осуществляющие обработку персональных данных, программы электронного документооборота, бухгалтерские программы и др. Назначение этих систем заключается в ведении баз данных, содержащих в себе личные дела воспитанников, работников образовательного учреждения, в расширении административных возможностей при управлении образовательным учреждением. Работа с такими массивами информации должна требовать от образовательного учреждения, с одной стороны, соответствующей современным требованиям скорости доступа и обработки этих массивов, с другой же стороны - соблюдения норм, правил и требований законодательной базы в области организации обработки данных. Кроме персональных данных, в образовательных учреждениях общего полного образования циркулирует информация экономического и управленческого характера. Таким образом, любое современное образовательное учреждение общего полного образования испытывает потребность в защите информации, циркулирующей в данной организации.
Вопрос обеспечения правового поля защиты персональных данных в общеобразовательном учреждении в настоящее время особенно актуален, так как, во-первых, такие данные должны храниться в электронном виде, а во-вторых, оператор, обрабатывающий такие данные, в соответствии с ч. 1 ст. 19 закона № 152-ФЗ должен предпринимать все необходимые организационно-технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения,
изменения, блокирования, копирования, распространения, от иных неправомерных действий. Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. Таким образом, вопрос организации защиты информации в образовательном учреждении, на наш взгляд, является в достаточной степени актуальным.
Центральные и местные органы управления
Вышестоящие органы управления образованием (МО, ГУО и ПО, МОО, РОО)
Социум
Внешняя информация
Внутренняя информация
г ч Экономическая ■ Внугришкольная г ч Персональные
информация 1 информация данные j 1 ^
Рис. 1. Схема поступления информации в общеобразовательное учреждение общего полного образования
Информация, циркулирующая в образовательном учреждении, может быть классифицирована по различным признакам:
временным: ежедневная, ежемесячная, четвертная, годичная; функциям управления: аналитическая, оценочная, конструктивная, организационная;
источникам поступления: внутришкольная, ведомственная, вневедомственная (внутренняя, внешняя), внешкольная;
целевому назначению: директивная, ознакомительная, рекомендательная и др. По степени доступа информация, циркулирующая в образовательном учреждении, подразделяется на открытую и информацию ограниченного доступа, распространение которой возможно в условиях конфиденциальности или секретности (см. рис. 1).
Проведенный анализ показывает, что информация в образовательное учреждение поступает из совершенно различных источников. Это внешние и внутренние источники информации. Прежде всего, это руководящие документы, поступающие из центральных и местных органов государственного управления, из вышестоящих органов управления (МО, ГУО и ПО, МОО, РОО), а также из социума -окружающей среды, других образовательных учреждений, и информация, не относящаяся напрямую или косвенно к образовательному процессу. Внутренняя информация в общеобразовательном учреждении содержит в себе руководящие
документы, акты и отчеты, бухгалтерскую информацию, статистическую информацию, описывающую образовательный процесс и персональные данные.
Наибольший интерес с точки зрения обязательной защищенности и ответственности руководства образовательного учреждения представляют собой персональные данные (работников учреждения, обучающихся, родителей), а также коммерческая информация, касающаяся экономических процессов, протекающих в общеобразовательном учреждении.
Рассматривая нормативно-правовую базу, регламентирующую особенности организации системы защиты информации, можем выделить следующие федеральные законы и постановления. Согласно ФЗ №152 «О персональных данных» защита персональных данных представляет собой комплекс мер технического, организационного, организационно-технического и правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу - субъекту персональных данных (работнику). Положения о защите персональных данных работников регламентируются Конституцией Российской Федерации; Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее -Закон № 152-ФЗ); Трудовым кодексом РФ (далее - ТК РФ).
Необходимо отметить, что, кроме того, в целях обеспечения защиты персональных данных работников в соответствии с этими федеральными законами приняты подзаконные нормативные правовые акты (постановления Правительства РФ, ведомственные нормативные правовые акты). В соответствии со ст. 3 Закона № 152-ФЗ персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных): фамилия, имя, отчество; год, месяц, дата и место рождения; адрес; семейное, социальное, имущественное положение; образование, профессия, доходы и другая информация. Согласно ст. 2 Закона № 152-ФЗ его целью является защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну. Персональные данные относятся к категории конфиденциальной информации, которые указаны в Перечне сведений конфиденциального характера, утвержденном указом Президента РФ от 06.03.1997 № 188. Следовательно, оператор, обрабатывающий персональные данные, должен обеспечить их конфиденциальность. Требования закона распространяются на все организации (независимо от формы собственности), в том числе на образовательные учреждения, которые выступают операторами, обрабатывающими в своих информационных системах персональные данные физических лиц (работников, обучающихся и др.).
Информационные потоки, циркулирующие в типовом образовательном учреждении среднего полного образования на объекте защиты, обозначены на рисунке 2. Рассматривая процесс обмена информацией и организации доступа к персональным данным, необходимо отметить, что доступ к такой информации могут получать как директор образовательного учреждения, так и секретарь, работники администрации, бухгалтерии и педагогический состав образовательного учреждения.
Анализ, проведенный в образовательных учреждениях, показал, что основополагающим моментом появления прецедентов утечки информации на объектах являлось прежде всего нарушение правил обращения с техническими средствами, программно-аппаратными средствами защиты данных, некорректная организация хранения и доступа к информации, несовершенство нормативной базы образовательного учреждения в рамках организации защиты информации.
Причины утечки информации в образовательном учреждении, на наш взгляд, кроются в следующих факторах:
• высокая текучесть кадров, в том числе имевших доступ к сведениями конфиденциального характера (сюда относится и высокий отток кадров из-за сравнительно невысокой заработной платы);
• отсутствие соответствующих компетенций работников образовательных учреждений в области обеспечения правил и норм защиты информации и требований выполнения этих норм и правил;
• отсутствие аттестованных средств защиты информации в учреждениях образования или их недостаточное количество;
• недостаточный контроль за соблюдением правил и норм защиты информации в образовательном учреждении, неэффективная организация правовых, организационных и инженерно-техническими мер защиты.
ч
Директор
>- -1
Администрация
Работники ч
Бухгалтерия
4
Секретарь
Рис. 2. Примерная схема информационных потоков в общеобразовательном учреждении
Исходя из вышеперечисленного, отмечаем, что большая часть причин, влияющих на появление предпосылок и возможностей утечки информации в образовательном учреждении, возникает вследствие отсутствия нормативной базы, недостаточной квалификации сотрудников в области защиты информации и в отсутствие средств защиты на объекте.
Проведенный нами анализ позволил отметить, что в качестве возможного нарушителя системы защиты информации в рамках общеобразовательного учреждения могут выступать:
• бывшие сотрудники (педагоги, работники администрации, обслуживающий персонал);
• посторонние лица, пытающиеся получить доступ к информации в инициативном порядке;
• обучающиеся учебного заведения или их родители;
• представители преступных организаций.
Проведенный анализ действующих систем защиты информации образовательных учреждений среднего полного образования г. Курска выявил ряд недостатков.
• На большинстве рассмотренных объектов (35 из 40) положение об обработке персональных данных как таковое отсутствует, что не позволяет регулировать процесс доступа к персональным данным на объектах.
• На большей части объектов эксплуатируется аналоговая система видеонаблюдения (32 из 40), которая не обеспечивает необходимое и достаточное для идентификации злоумышленников качество видеосигнала.
• Кабинеты и помещения, представляющие, на наш взгляд, наибольший интерес для возможных злоумышленников, не оборудованы элементами системы видеонаблюдения.
• Видеорегистраторы на большинстве объектов не защищены от возможного воздействия злоумышленников и располагаются совместно с монитором (возле пульта охраны, вследствие чего записываемая информация может быть утеряна, повреждена или похищена).
• В рамках организационной защиты отсутствуют четкое ведение журналов паролей и учета доступа к рабочим местам, нет программного файервола, сертифицированногго средства контроля доступа к информации.
Рис. 3. Типовое предложение по совершенствованию системы видеонаблюдения и ОПС в общеобразовательном учреждении среднего полного образования
На основе проведенного анализа, были определены примерные основные направления для совершенствования системы защиты информации на объектах системы образования:
• ввод дополнительных мер в политике информационной безопасности школы;
• проведение ряда мероприятий, направленных на соблюдение политик безопасности и инструкций, направленных на защиту информации в учреждении;
• модернизация системы видеонаблюдения, путем внедрения современных AHD-систем видеонаблюдения.
Рис. 4. Типовая модель предложения по совершенствованию системы защиты информации в МБОУ СОШ
Выявленные недостатки позволили вынести типовое предложение по совершенствованию системы защиты. В качестве базовой технологии для реализации задуманной модернизации была выбрана AHD-технология, позволяющая реализовывать систему видеонаблюдения достаточно высокого качества. Безусловным плюсом такой технологии является также ее более низкая по сравнению с цифровыми системами стоимость. При желании мощность системы может быть увеличена за счет установки второго регистратора и подключения еще ряда камер. От видеосервера было
решено отказаться вследствие высоких для образовательного учреждения затрат на его установку и обслуживание. В качестве камер были выбраны:
• телевизионная камера внутренняя купольная LiteTec LDP-AHD-130SH20AHD-M/960H, 1/3" Sony. Предназначена для визуального наблюдения на экране монитора контролируемых зон в составе охранной телевизионной системы и может входить в состав видеосистемы с любой коммутационной аппаратурой, предназначенной для работы с сигналом стандарта AHD (коммутаторы, цифровые видео регистраторы и т.п.).В состав включены: матрица 1.3 Мп, фиксированный объектив (3.6 мм), угол обзора: 100°; ИК-подсветка 30 м. OSD меню, возможность переключения режимов;
• видеокамера Master MR-HPN938BJAHD-M/960H, 1/3" Sony IMX238 CMOS, 1280x960, 0.001 лк, f=3.6 мм, ИК 20 м, предназначена для визуального наблюдения на экране монитора контролируемых зон в составе охранной телевизионной системы и может входить в состав видеосистемы с любой коммутационной аппаратурой, предназначенной для работы с сигналом стандарта AHD (коммутаторы, цифровые видео регистраторы и т.п.).
В качестве видеорегистратора решено использовать 16-канальный видеорегистратор HIWATCH-DSH116G; поддерживает до 4 жёстких дисков, возможность подключения по сети, возможность резервного копирования. На базе такого регистратора возможно построить единую сеть, позволяющую организовать комплексную аналого-цифровую систему видеонаблюдения. При желании мощность системы может быть увеличена за счет установки второго регистратора и подключения еще ряда камер.
В рамках модернизации организационной защиты необходимо четкое ведение журналов паролей и учета доступа к рабочим местам, рекомендуется также использовать программный файервол и установить сертифицированное средство контроля доступа к информации. Также предполагается установка сертифицированного средства защиты информации от несанкционированного доступа, совместимого с новым программно-аппаратным комплексом и дополняющего его.
В качестве одной из дополнительных мер по повышению эффективности системы защиты информации является разработка типового положения о защите персональных данных в образовательном учреждении общего полного образования.
Предложенные меры, на наш взгляд, могут позволить повысить надежность и эффективность системы защиты информации в общеобразовательных учреждениях общего полного образования при соблюдении норм эксплуатации системы, организационных требований и рекомендаций. Предложение по модернизации системы видеонаблюдения, установленной на объекте, может послужить толчком к разработке единой системы мониторинга систем видеонаблюдения общеобразовательных учреждений г. Курска и области. В перспективе возможно создание единого тревожного центра на базе AHD-решений, поддерживающих облачные технологии.
Библиографический список
Боровский А. С. Модели оценки защищенности потенциально - опасных объектов от угроз с использованием экспертной информации в нечеткой форме // Кибернетика и программирование 2013. №4 [Сайт]. URL: http://e-notabene.ru/kp/article_9593.html (дата доступа: 15.01.2017).)
Парфенов А.А. Информационная безопасность школы // Менеджер Образования: Электронный журнал. 2009 [Сайт]. URL http://www.menobr.ru/article/4851-informatsionnaya-bezopasnost-shkoly?ustp=W (дата доступа: 17.02.2017).)
Прокопова Н.С. Особенности формирования информационно-образовательной среды (ИОС) высшего учебного заведения // Вестник МГПУ. Серия «Информатика и информатизация образования». 2008. №6 (16). С. 191-193.
Храмов В.В. Информационная безопасность школы: от защиты информации к безопасности // Х Южно-российская межрегиональная научно-практическая конференция «Информационные технологии в образовании» ("ИТО-РОСТОВ-2010") [Сайт]. URL http://ito.edu.ru/2010/Rostov/IV/IV-0-29.html (дата доступа: 10.12.2016). Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (с изм. и доп.) Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) «Об утверждении Перечня сведений конфиденциального характера»
Постановление Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
