СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ВЫСШЕМ УЧЕБНОМ ЗАВЕДЕНИИ Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056

Е.В. Бурькова, кандидат педагогических наук, доцент кафедры вычислительной техники и защиты информации, ФГБОУ ВО «Оренбургский государственный университет» e-mail: tulpan63@bk.ru

СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ВЫСШЕМ УЧЕБНОМ ЗАВЕДЕНИИ

Актуальность проблемы обеспечения информационной безопасности персональных данных, обрабатываемых в высшем учебном заведении, обоснована высокими темпами процесса информатизации образования, сосредоточением большого объема персональных данных в информационной системе вуза, разнообразием внутренних и внешних информационных связей, высокой востребованностью сетевого доступа к данным. Целью статьи является анализ информационной структуры вуза, выявление основных проблем и наиболее уязвимых мест с точки зрения информационной безопасности, формирование схемы этапов оценки защищенности ПДн. Подходы: в качестве основного подхода к решению проблемы обеспечения информационной безопасности персональных данных вуза предложен комплексный подход, включающий в себя анализ нормативно-правовой базы требований к безопасности ПДн и анализ актуальных угроз безопасности в рамках функционирования информационной системы вуза. Результаты исследования: построена информационная структура вуза, учитывающая информационные потоки персональных данных, функционирующих в представленных подсистемах; разработана схема этапов проведения оценки защищенности персональных данных вуза, последовательное выполнение которых позволит выявить основные каналы утечки информации, актуальные угрозы безопасности и построить эффективную систему защиты ПДн. Предложены технологии защиты с учетом специфики функционирования ПДн в вузе, основными из которых являются мероприятия по управлению доступом и организация защищенных каналов передачи данных. Выводы: разработанная информационная структура вуза позволит сконцентрировать основные мероприятия по защите ПДн на наиболее уязвимых подсистемах информационной структуры; предложенная схема этапов проведения оценки защищенности персональных данных может быть использована при проведении внутреннего аудита системы безопасности ПДн вуза. Реализация предложенных технологий защиты с учетом специфики функционирования ПДн в вузе позволит повысить общий уровень информационной безопасности.

Ключевые слова: персональные данные, информационная структура вуза, модельугроз, информационная безопасность.

Введение

Современное высшее учебное заведение представляет собой сложную систему, для которой характерно сосредоточение большого объема электронных ресурсов, разнообразие внутренних и внешних информационных связей, сетевое взаимодействие компонентов. Высокие темпы информатизации образования приводят к значительным изменениям в системе управления вузом. В рамках образовательного учреждения создаются автоматизированные информационные системы, основанные на централизованном проектировании и хранении данных, отражающих согласованные информационные потребности подразделений вуза. Важным видом информации, обрабатываемой в информационных системах вузов, безопасность которой необходимо обеспечить в соответствии с требованиями законодательства РФ, являются персональные данные (ПДн) [4, 5]. Единая база данных вуза содержит персональные данные сотрудников, абитуриентов, аспирантов, студентов и их родителей, а также субъектов, имеющих договорные отношения с вузом. Персональные данные относятся к информации ограниченного доступа, так как могут содержать различного рода тайны: врачебную, коммерческую, личную и т.д.

При этом ПДн, обрабатываемые в вузе, относятся к различным категориям: специальным (сведения о состоянии здоровья); биометрическим (фотографии); иным (паспортные данные, номера страховых, налоговых, свидетельств, сведения о доходах и другие). В условиях широкого развития сетевых информационных технологий, значительного увеличения числа пользователей, роста киберугроз обеспечение безопасности персональных данных образовательных учреждений при их обработке в информационных системах является актуальной задачей современного вуза [1, 2].

Проблемы информационной безопасности ПДн вуза

Проблемы информационной безопасности персональных данных, обрабатываемых в вузе, обусловлены следующими факторами:

- высокими темпами информатизации образования, ведущими к усложнению структуры информационных систем вуза;

- возрастанием объемов обрабатываемых ПДн, добавлением новых удаленных пользователей ИСПДн за счет таких возможностей, как личные кабинеты преподавателей, обучающихся, родителей;

- изменением состава и содержания внешних и внутренних угроз безопасности ПДн за счет по-

вышения востребованности сетевого доступа к информационных ресурсам вуза;

- отсутствием регулярного аудита защищенности ПДн вуза с последующей модернизацией системы защиты;

- отставанием изменений в технических и организационных аспектах обеспечения защиты ПДн вуза от изменяющихся угроз информационной безопасности [7].

Для выявления наиболее уязвимых мест нами была проанализирована типовая информационная структура вуза, которая состоит из большого числа информационных подсистем, причем, часть функциональных компонентов вынесена в глобальную сеть.

Информационная система управления вузом,

как правило, включает в себя подсистемы: «Приемная комиссия», «Кадры», «Наука», «Деканат», «Электронная библиотека», «Организация учебного процесса» и другие. В каждой из этих подсистем функционируют персональные данные различной категории, требующие защиты. Пользователи могут быть разделены на две укрупненные группы:

- пользователи локальной сети вуза, которыми являются сотрудники и обучающиеся с различными правами доступа к информационным ресурсам;

- удаленные пользователи, которые подключаются к базе данных вуза через сеть Интернет и также имеют различные права доступа.

Информационная структура вуза представлена на рисунке 1.

Внутренние пользователи локальной сети вуза: сотрудники, обучающиеся

Информационные подсистемы вуза

^Приемная комиссия^— ^ Кадры ^— ^ Деканат

Г Электронная Л V библиотека ) С на'ка ) (Организация учебногсЛ V. процеса )

Локальная сеть вуза __— -____ Локальная сеть вуза

Рисунок 1. Информационная структура вуза

Подсистема «Приемная комиссия» содержит информацию о направлениях подготовки, контрольных цифрах приема, стоимости обучения на коммерческой основе и т.п. Во время работы приемной кампании в данной информационной системе на сайте вуза отражаются только общедоступные персональные данные абитуриентов, не требующие специальных мер защиты.

Подсистема «Кадры» доступна только сотрудникам определенных отделов, имеющих права доступа. Данная подсистема содержит персональ-

ные данные как сотрудников, так и обучающихся, причем практически всех категорий: специальные ПДн (включают сведения о состоянии здоровья), биометрические ПДн (фотографии), иные (паспортные данные, сведения об образовании, о доходах, ИНН и т.п.), общедоступные. В соответствии с этим подсистема «Кадры» нуждается в защите ПДн в соответствии с уровнем защищенности ИСПДн.

Подсистема «Деканат» содержит ПДн студентов категорий «специальные» и «иные», это сведения

о здоровье, личные данные, сведения об успеваемости.

Подсистема «Электронная библиотека» содержит ПДн, отраженные в электронном читательском билете, относящиеся к категории «иные». Также данная подсистема предоставляет авторизованный доступ к электронным библиотечным системам, являющимся платным ресурсом, предназначенным для преподавателей и обучающихся вуза. Защита требуется для ПДн и аутентифицирующей информации.

Подсистема «Организация учебного процесса» содержит такие сведения, как расписание учебных занятий, учебные планы, рабочие программы дисциплин и т.д., не содержит ПДн.

Подсистема «Наука» содержит сведения о научной деятельности вуза, о персоналиях, авторских работах сотрудников, планах научной деятельности и т.д., требует разграничения прав доступа.

Все удаленные пользователи могут быть разделены на группы: преподаватели, обучающиеся, абитуриенты, родители обучающихся, эксперты, студенты других вузов. В вузах создана система личных кабинетов: преподавателей, родителей, обучающихся, содержащих сведения конфиденциального характера: фамилия, имя, отчество, номер паспорта, СНИЛС, ИНН, сведения о семье, об образовании, о трудовых договорах, публикации, то есть персональные данные всех категорий, кроме специальной. Предоставляется возможность входа в личный кабинет по сети Интернет, что требует защиты каналов передачи информации.

Анализируя информационную структуру вуза с точки зрения безопасности ПДн, можно сделать вывод о том, что наиболее уязвимыми являются процессы сетевого взаимодействия. Статистика инцидентов информационной безопасности подтверждает, что на долю сетевых ресурсов приходится около 40 % всех нарушений [11].

Опасными с точки зрения угроз для ПДн являются следующие процессы:

- передача идентификационных данных удаленного пользователя;

- обмен информацией между удаленным пользователем и веб-сайтом вуза;

- авторизация пользователя;

- обмен данными между пользователем и сервером информационной системы вуза.

Основные угрозы безопасности ПДн в вузе:

- перехват аутентифицирующей информации;

- несанкционированный доступ к сервисам вуза;

- получение доступа во внутренние информационные подсистемы;

- кража и распространение ПДн сотрудников и студентов;

- получение доступа и возможности модификации учебных ведомостей;

- получение доступа к научным исследованиям и интеллектуальной собственности;

- нарушение доступности веб-сайта.

Для реализации угроз нарушитель использует:

- уязвимости каналов передачи данных;

- слабые пароли;

- непрофессиональное конфигурирование сети;

- вредоносное программное обеспечение;

- уязвимости средств и мер защиты.

Кроме преднамеренных действий нарушителей необходимо учитывать угрозы техногенного и стихийного характера. Стихийные источники угроз включают обстоятельства, составляющие непреодолимую силу, носящие объективный и абсолютный характер. К стихийным источникам относятся:

- природные катаклизмы;

- события социально-политического характера.

Техногенные источники угроз - это технические

средства и технологии, которые могут выйти из-под контроля человека. Техногенные источники угроз могут быть как внешними, так и внутренними.

К техногенным источникам угроз относятся:

- средства связи;

- сети электропитания;

- системы кондиционирования;

- технические средства обработки информации;

- программное обеспечение.

Нормативно-правовая база защиты ПДн

Организация защиты персональных данных

опирается на требования руководящих документов в сфере безопасности. Нормативно-правовая база защиты персональных данных образовательного учреждения и краткие пояснения представлены в таблице 1.

В данных документах содержатся сведения, позволяющие классифицировать информационные системы персональных данных (ИСПДн), а также требования к составу и содержанию мероприятий и средств защиты. Для образовательного учреждения основным является Федеральный закон № 273-Ф3 «Об образовании в РФ». Однако в данном документе нет конкретных требований к системе защиты ПДн, что предполагает обратиться к другим нормативным документам.

В целях информационного обеспечения управления в системе образования и государственной регламентации образовательной деятельности уполномоченными органами государственной власти Российской Федерации и органами государственной власти субъектов Российской Федерации создаются, формируются и ведутся государственные информационные системы. Ведение государственных информационных систем осуществляется в соответствии с едиными организационными, методологическими и программно-техническими принципами, обеспечивающими совместимость и взаимодействие этих информационных систем с иными государственными информационными

Таблица 1. Нормативно-правовая основа защиты ПДн в вузе

Наименование документа Пояснения

Конституция РФ Гарантирует защиту прав и свобод гражданина государством; запрещает сбор, хранение и распространение информации о частной жизни лица без его согласия

№ 152-ФЗ «О персональных данных» Регулирует отношения, связанные с обработкой ПДн, устанавливает обязанности оператора ПДн по обеспечению их защиты, регламентирует права субъектов ПДн

№ 149-ФЗ «Об информации, информационных технологиях и о защите информации» Регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации; обеспечении защиты информации

№ 273-ФЗ «Об образовании в РФ» Отражает требования ведения государственных информационных систем, функционирующих в образовательных учреждениях, с обеспечением конфиденциальности и безопасности содержащихся в них персональных данных и с соблюдением требований законодательства РФ

1111-1119 «Об утверждении требований к защите ПДн при их обработке в ИСПДн» Определяет классификацию информационных систем ПДн, категории ПДн, требования к их защите в зависимости от уровня защищенности и типа угроз безопасности ПДн

Руководящие документы ФСТЭК 1) Приказ № 21 «Об утверждении состава содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн»; 2) «Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн»; 3) «Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн».

системами и информационно-телекоммуникационными сетями, включая информационно-технологическую и коммуникационную инфраструктуры, используемые для предоставления государственных и муниципальных услуг, с обеспечением конфиденциальности и безопасности содержащихся в них персональных данных и с соблюдением требований законодательства РФ о государственной или иной охраняемой законом тайне [9, 10, 12].

Этапы оценки защищенности ПДн вуза

Система защиты персональных данных вуза строится на основе анализа исходной защищенности информационных систем персональных данных (ИСПДн), построении модели угроз безопасности ПДн, выявлении актуальных угроз безопасности, анализе требований руководящих документов к защите ПДн и последующего выбора методов и средств защиты [5, 7, 14]. Схема этапов оценки защищенности ПДн приведена на рисунке 2.

Необходимо учитывать постоянно меняющийся состав угроз безопасности ПДн, изменения в структуре информационной среды вуза, добавление новых ролей пользователей, увеличение объема субъектов Пдн. В связи со всеми этими факторами проведение регулярного внутреннего аудита защищенности ПДн становится актуальной задачей [3, 8, 6].

Основными этапами оценки являются:

- определение категорий ПДн;

- определение уровня исходной защищенности ИСПДн;

- изучение угроз безопасности ПДн;

- построение модели нарушителя;

- анализ вероятности реализации угроз;

- анализ коэффициента опасности угроз;

- определение требований к системе защиты ПДн;

- анализ существующей системы защиты ПДн;

- формирование вывода о соответствии применяемых средств защиты и требований нормативных документов.

Данная схема этапов проведения оценки позволяет скоординировать работу по внутреннему аудиту защищенности ПДн вуза.

Технологии защиты ПДн вуза

В целях предотвращения реализации угроз безопасности ПДн вуза применяется комплекс средств и мероприятий в рамках интегрированной системы защиты информационных ресурсов вуза. Эти мероприятия должны включать механизмы защиты информации организационного, программного и технического плана с учетом выявления актуальных угроз безопасности. При этом необходимо учитывать непрерывный режим работы веб-сайта вуза, с которого нарушитель может осуществить несанкционированный доступ к персональным данным [5, 11, 13].

На основе требований руководящих документов ФСТЭК и с учетом специфики вуза для обеспечения защиты ПДн необходимо сосредоточить внимание на следующих аспектах:

Рисунок 2. Схема этапов оценки защищенности ПДн

- многофакторные системы аутентификации; управление идентификаторами, в том числе создание, присвоение, уничтожение;

- реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети;

- системы обнаружения атак и предотвращения вторжений;

- УР^каналы передачи информации;

- шифрование данных при их передачи по сети;

- средства резервного копирования и восстановления данных;

- антивирусное программное обеспечение;

- проведение регулярного контроля защищенности ПДн вуза.

Для функционирующих ИСПДн модернизация системы защиты ПДн должна проводиться, если изменились состав и структура ИСПДн, изменился состав угроз или изменился класс ИСПДн.

Выводы

1) Специфика защиты персональных данных

вуза заключается в сосредоточении большого объема ПДн различных категорий, включая специальную, в единой информационной системе, разнообразии внутренних и внешних информационных связей, разветвленном сетевом взаимодействии компонентов.

2) Проведенный анализ информационной структуры вуза позволил выявить наиболее уязвимые места системы, которыми являются процессы сетевого взаимодействия пользователей. Основные угрозы безопасности ПДн в вузе: перехват аутенти-фицирующей информации, несанкционированный доступ к сервисам вуза, во внутренние информационные подсистемы, кража и распространение ПДн сотрудников и студентов.

3) Проанализирована нормативно-правовая база защиты ПДн вуза, основными документами которой являются ФЗ № 152 «О персональных данных», ФЗ № 273 «Об образовании в РФ».

4) Построена схема этапов оценки защищенности ПДн вуза, которая позволяет построить план

работы по проведению аудита защищенности ПДн.

5) Предложены технологии защиты с учетом специфики функционирования ПДн в вузе, основ-

ными из которых являются мероприятия по управлению доступом и организация защищенных каналов передачи данных.

Литература

1. Алексашина, М.Н. Защита персональных данных как условие обеспечения безопасности личности / М.Н. Алексашина // Право и безопасность. - 2014. - № 1. - С. 68-73.

2. Астахова, Л.В. Особенности организации защиты персональных данных в образовательной организации / Л.В. Астахова, А.О. Завадский // Вестник УрФО. Безопасность в информационной сфере. -2013. - № 3 (9). - С. 4-10.

3. Бурькова, Е.В. Задача оценки защищенности информационных систем персональных данных / Е.В. Бурькова // Вестник Чувашского университета. - 2016. - № 1. - С. 112-118.

4. Горбачев, Д.В. Общие проблемы информационной безопасности образовательного учреждения / Д.В.Горбачев, А.С.Виноградова // Интеллект. Инновации. Инвестиции. - 2014. - № 1. - С. 160-164.

5. Исаев, А.С. Автоматизация процесса формирования модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных на основе теории построения экспертных систем / А.С. Исаев // Научно-технический вестник Поволжья. - 2014. - № 2. - С. 133-135.

6. Курило, А.П. Моделирование как системообразующий фактор при оценке защищенности информационных процессов в компьютерных системах / А.П. Курило, В.Н. Финько, В.С. Зарубин, А.Я. Фомин // Безопасность информационных технологий. - 2010. - № 2. - С. 19-21.

7. Масалова, К.В. Защита информационных ресурсов и процессов в высших учебных заведениях / К.В. Масалова, Е.В. Шарлаев // Ползуновский вестник. - 2014. - № 2. - С. 235-237.

8. Миронова, В.Г. Анализ этапов предпроектного обследования информационной системы персональных данных / В.Г. Миронова, А.А. Шелупанов // Вестник Сибирского государственного аэрокосмического университета им. академика М.Ф. Решетнева. - 2011. - № 2 (35). - С. 45-48.

9. Нагорный, С.И. О противоречиях в нормативных и правовых документах, регулирующих защиту персональных данных / С.И. Нагорный, В.В. Донцов, А.В. Михайлов // Защита информации. Инсайд. -2010. - № 2 (32). - С. 46-52.

10. Назаров, И.Г. Особенности организации обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных / И.Г. Назаров, Ю.К. Язов, Е.С. Остроухова // Информация и безопасность. - 2009. - Т. 12. - № 1. - С. 71-76.

11. Нестеров, С.А. Анализ и управление рисками в информационных системах на базе операционных систем Microsoft / С.А. Нестеров. - Санкт-Петербург: Издательство Политехнический университет, 2009. -136 с.

12. Ожиганова, М.В. Правовое обеспечение защиты персональных данных в образовательной организации / М.В. Ожиганова // Право и образование. - 2015. - № 8. - С. 18-20.

13. Трещев, И.А. Система защиты конфиденциальной информации для высших учебных заведений «Электронный университет» / И.А. Трещев, Я.Ю. Григорьев, А.А. Воробьев // Науковедение. - 2013. -№ 1 (14). - С. 1-8.

14. Шакирова, Р. А. Разработка алгоритма процесса проектирования частной модели угроз безопасности персональных данных / Р.А. Шакирова, Д.А. Заколдаев // Новый взгляд. Международный научный вестник. - 2015. - № 8. - С. 165-168.