Об информационной безопасности в общеобразовательных организациях (В.В. Толмачев, журнал "Охрана и экономика труда", N 4, октябрь-декабрь 2015 г.)

Об информационной безопасности в общеобразовательных организациях

В.В. Толмачев,

доцент кафедры комплексной безопасности

ГБОУ ВПО МО "Академия социального управления",

канд. воен. наук, доцент

Журнал "Охрана и экономика труда", N 4, октябрь-декабрь 2015 г.

Федеральный закон Российской Федерации от 29.12.2012 г. N 273-ФЗ (ред. от 31.12.2014 г.) "Об образовании в Российской Федерации" устанавливает, что права и обязанности руководителя образовательной организации, его компетенция в области управления образовательной организацией определяются в соответствии с законодательством об образовании и уставом образовательной организации [1, ст. 51].

Важное место в образовательной деятельности руководителя занимает реализация образовательных программ, в том числе с применением электронного обучения и дистанционных образовательных технологий [1, ст. 16]. В наборе средств обучения и воспитания широко используются компьютеры, информационно-телекоммуникационные сети, аппаратно-программные и аудиовизуальные средства, печатные и электронные образовательные и информационные ресурсы и иные материальные объекты, необходимые для организации образовательной деятельности [1, ст. 2]. На эффективность использования в образовательной деятельности электронных образовательных и информационных ресурсов влияют многие факторы: их качество и структурированность; разграничение доступа к электронным ресурсам обучающихся и педагогических работников; своевременная актуализация информации; защищенность баз данных от уничтожения и искажения и др. Руководитель образовательной организации оказывается перед необходимостью решения специфической практической задачи - обеспечения информационной безопасности [2, ст. 1]. Руководящие документы Федеральной службы по техническому и экспортному контролю (ФСТЭК России), которая является федеральным органом, уполномоченным в области обеспечения безопасности информации и технической защиты информации, определяют безопасность информации, как состояние информационных ресурсов и информационных систем, при котором, с требуемой вероятностью, обеспечивается защита информации от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования и блокирования [3, п. 2]. Статья 29 федерального закона от 29.12.2012 г. N 273-ФЗ (в ред. от 31.12.2014 г.) "Об образовании в Российской Федерации", определяя информационную открытость образовательных организаций, в части 3 данной статьи устанавливает ограничения на информацию и документы, составляющие государственную и иную охраняемую законом тайну [1]. Закон предусматривает полную информационную открытость и доступность информации только в отношении информации о системе образования Российской Федерации, что и закреплено в ст. 97 федерального закона N 273-ФЗ [1]. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Необходимость обеспечения безопасности информации в образовательных организациях обусловлена несколькими обстоятельствами. Во-первых, федеральный закон от 27.07.2006 г. N 149-ФЗ (ред. от 21.07.2014 г.) "Об информации, информационных технологиях и о защите информации" в ст. 5 определяет, что информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами, и определяет ее как информацию ограниченного доступа, распространение которой в Российской Федерации ограничивается или запрещается [4]. Такая информация, к примеру, содержится в контрольных измерительных материалах, используемых при проведении государственной итоговой аттестации, что и закреплено в ст. 59, ч. 11 273-ФЗ "Об образовании в Российской Федерации" [1]. Наряду с определением "информация ограниченного доступа", в Законе 149-ФЗ, ст. 9, ч. 4 введено понятие служебной тайны. Служебная тайна - несекретная служебная информация ограниченного распространения, касающаяся деятельности организаций, ограничения, на распространение которой диктуются служебной необходимостью. Такого рода информация в образовательных организациях содержится в документах по антитеррористической защищенности образовательной организации, гражданской обороне, по действиям в чрезвычайных ситуациях [4]. Закон 149-ФЗ в ст. 2, ч. 7 устанавливает также понятие конфиденциальности информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Такого рода информация в образовательных организациях содержится в персональных данных педагогических работников и обучающихся, в документах по усыновлению, налоговых, банковских, медицинских и других документах [4]. Во-вторых, образование, как единый целенаправленный процесс воспитания и обучения, неразрывно связано с информацией, используемой в научных, учебных или культурных целях, а также с электронным обучением и дистанционными образовательными технологиями. Неправомерные действия в отношении такой общедоступной информации могут привести к нарушению или даже к временной приостановке образовательной деятельности организации. В-третьих, в образовательных организациях возникает необходимость не только защиты информации, но и защиты детей от информации, причиняющей вред их здоровью и развитию (Федеральный закон от 29.12.2010 г. N 436-ФЗ, в ред. 14.10.2014 г.). Так, статья 2 названного федерального закона определяет, что "информация, причиняющая вред здоровью и (или) развитию детей, - информация (в том числе содержащаяся в информационной продукции для детей), распространение которой среди детей запрещено или ограничено в соответствии с настоящим Федеральным законом". Виды информации, причиняющей вред здоровью и развитию детей, изложены в ст. 5 федерального закона N 436-ФЗ [5]. Закон N 436-ФЗ в ст. 2, ч. 3 дает определение информационной безопасности детей, устанавливая ее как состояние защищенности детей, при котором отсутствует риск, связанный с причинением информацией вреда их здоровью и (или) физическому, психическому, духовному, нравственному развитию [5]. Таким образом, в образовательных организациях, наряду с необходимостью защиты информации, актуальной является задача ограничения доступа обучающихся к информации, причиняющей вред их здоровью и развитию. Последнее, главным образом, относится к информации, поступающей из сети Интернет. Федеральный закон N 149-ФЗ (ред. от 21.07.2014 г.) "Об информации, информационных технологиях и о защите информации" в ст. 6, ч. 4 возлагает обязанности по защите информации и ограничению доступа к ней на обладателя информации, то есть на образовательную организацию [4]. Аналогичные требования содержатся и в ст. 16, ч. 5 федерального закона "Об образовании в Российской Федерации" N 273-ФЗ: "При реализации образовательных программ с применением электронного обучения, дистанционных образовательных технологий организация, осуществляющая образовательную деятельность, обеспечивает защиту сведений, составляющих государственную или иную охраняемую законом тайну" [1]. Каково же состояние дел по защите информации в информационных системах образовательных организаций Центрального федерального округа (ЦФО). Проведенные нами исследования, в части использования в образовательных организациях ЦФО вычислительной техники, информационных систем, а также состояния защиты информации и персональных данных показали, что образовательные организации обеспечены компьютерной техникой достаточно хорошо. Количество персональных компьютеров в школах колеблется в пределах от 20 до 170 ед. Однако их структурирование в локальные вычислительные сети (ЛВС) существенно разнится: от 22% до 100%. В среднем по регионам в ЛВС объединены 65% школьных компьютеров, а 35% используются в качестве персональных рабочих станций (рис. 1).

Необходимо отметить, что объединение персональных компьютеров в ЛВС является не только необходимым условием повышения эффективности их использования, но и в то же время обеспечивает централизацию политики защиты служебной информации.

Немаловажное значение для организации защиты информации имеет и тип локальной сети. В подавляющем большинстве школ (72%) персональные компьютеры (ПК) объединены в простейшие одноранговые локальные сети, в 21% школ локальные сети построены по клиент-серверной архитектуре и лишь 7% сетей имеют доменную структуру сети (рис. 2).

Одноранговая (одноуровневая) локальная сеть - это сеть равноправных компьютеров (рабочих станций), каждый из которых имеет уникальное имя и пароль для входа в компьютер. В одноранговой сети каждая рабочая станция может разделить все ее ресурсы с другими рабочими станциями сети. Рабочая станция может разделить часть ресурсов, а может и вообще не предоставлять никаких ресурсов другим станциям. Каждый пользователь одноранговой сети является администратором на своем ПК. Настроить групповую политику безопасности в такой сети чрезвычайно сложно.

Клиент-серверная архитектура локальной сети представляет собой более совершенную распределенную двухуровневую вычислительную сеть.

Клиент-серверная архитектура состоит в простейшем случае из трех основных компонентов:

сервер баз данных, управляющий хранением данных, доступом и защитой, резервным копированием, отслеживающий целостность данных в соответствии с бизнес-правилами и, самое главное, выполняющий запросы клиента;

клиент, предоставляющий интерфейс пользователя, посылающий запросы к серверу и получающий ответы от него;

сеть и коммуникационное программное обеспечение, осуществляющее взаимодействие между клиентом и сервером посредством сетевых протоколов.

Такую архитектуру сети, к примеру, использует универсальная бухгалтерская программа 1С, а также файловые серверы, серверы печати, почтовые серверы, web-серверы и др. Наиболее совершенной, с точки зрения реализации локальных и групповых политик безопасности, представляется сеть с контроллером домена. Контроллер домена в компьютерных сетях - это сервер, контролирующий область компьютерной сети (домен). Контроллер домена хранит параметры учетных записей и паролей пользователей, параметры безопасности файлового хранилища, параметры групповой и локальной политик безопасности для разграничения прав доступа пользователей в сети к информационным ресурсам. Сервер контроллера домена позволяет не только свести к минимуму риски несанкционированного доступа и хищения информации, но и надежно защитить ее от утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования и блокирования. Это в значительной мере достигается разграничением доступа к файловому массиву образовательной организации и настройкой автоматической архивации данных, а также подключением сервера к сети через источник бесперебойного питания (ИБП). У локальной сети с контроллером домена только один недостаток: необходима специальная подготовка специалистов для настройки и администрирования доменных сетей. К сожалению, подготовке таких специалистов для образовательных организаций пока еще уделяется недостаточное внимание. В общепринятой практике администрирование локальных вычислительных сетей возлагается на администратора, а для надежной защиты конфиденциальной информации и персональных данных вводятся должности администраторов безопасности. Такие должности штатными расписаниями образовательных организаций не предусмотрены. Не содержатся такие требования и в "Типовой должностной инструкции заместителя руководителя организации, осуществляющей образовательную деятельность, по безопасности образовательного процесса" [7]. Содержащееся в п. 3.2 этой Инструкции требование "обеспечивать сохранность служебной информации и персональных данных обучающихся и работников организации" относится к документам на бумажных носителях, а не к данным, обрабатываемым в информационных системах образовательной организации, так как в ст. 1.5 Инструкции не содержатся нормативные правовые документы по защите информации и защите детей от информации, причиняющей вред их здоровью и развитию. Руководители образовательных организаций пытаются найти выход из сложившейся ситуации, давая учителям информатики разовые поручения, например по отправке адресату бухгалтерских документов с использованием электронной цифровой подписи. Но при этом необходимо признать, что предметные области информатики и администрирования сетей соотносятся так же, как литература и математика. Не представляется возможным осуществлять администрирования ЛВС путем фрагментарных обращений к "продвинутым пользователям" из числа других работников образовательных организаций, так как приходится раскрывать систему парольной защиты. Не могут решить проблему информационной безопасности и другие вынужденные "административные уловки" руководителей, когда для администрирования компьютерных сетей образовательных организаций привлекаются родители обучающихся или школьники старших классов. Отдельного рассмотрения требует проблема аутентификации. Аутентификация пользователя - это проверка, действительно ли проверяемый пользователь является тем, за кого он себя выдает. В образовательных организациях, как правило, используется однофакторная аутентификация - задание пользователем паролей. Пароль - это просто набор символов. Чаще всего у системы нет другого способа узнать вас, кроме как по паролю. Следовательно, кто угодно может ввести правильный пароль и получит соответствующие полномочия. Пароль может быть узнан, угадан или подобран. Не будем рассматривать ситуации, когда "пароль" пишется на клавиатуре, либо задается в виде последовательности числового ряда из 3-9 цифр. Многие пользователи при выборе пароля исходят из удобства его произносимости и запоминаемости. Такие пароли не являются преградой не только для хакеров, но и продвинутых пользователей. Две главных характеристики пароля - количество символов (длина) и количество вариантов символа в каждой позиции (алфавит). Так, при использовании латиницы разного регистра с учетом цифр, мы можем использовать для задания пароля 62 символа. Расчеты показывают, что при данном условии стойкость пароля может составить [10]:

- при длине пароля в 10 символов - 2 г. и 8 мес.;

- при длине пароля 8 символов - 252 сут.

- при длине пароля 6 символов - 95 мин.

С учетом изложенного, при задании пароля доступа к компьютеру или серверу, особенно содержащему базу данных или конфиденциальную информацию, необходимо руководствоваться следующими правилами:

- пароль должен содержать не менее 8 символов латиницы и двух цифр;

- латиница должна содержать хотя бы одну букву другого регистра;

- набор букв латиницы не должен составлять слово из любого известного словаря.

Чтобы пароль был надежным и легко запоминаемым, целесообразно использовать при его наборе и другие разрешенные символы (. , - ! ? и т.п.).

Так, например, стойкость пароля Kb-54- kB, при указанных выше условиях, составит не менее 2-х лет.

Необходимо также обеспечить, чтобы все компьютеры образовательной организации имели как минимум 2 учетные записи: администратора и пользователя, причем с отдельным паролем каждая.

В ходе наших исследований установлено: у руководителей образовательных организаций отсутствуют распечатки паролей администраторов компьютерного и сетевого оборудования, ввиду отсутствия работника, которому это вменено в должностные обязанности. Ежедневные резервные копирования информационных ресурсов и системы восстановления работоспособности программного обеспечения реализованы лишь в отдельных образовательных организациях. Для выполнения этой работы необходим администратор сети, в полной мере отвечающий требованиям лояльности и надежности.

Важную роль в защите информации на компьютерах занимают антивирусные программы. В ходе исследования нами установлено, что на всех компьютерах в школах используется антивирусное программное обеспечение Dr. Web или антивирус Касперского. Однако в некоторых школах используется предустановленное производителем компьютеров антивирусное программное обеспечение McAfee (США). От него надо избавляться. В противном случае этот антивирус автоматически оформит вам подписку на обновление и будет снимать деньги за нее с вашего счета без уведомления. К тому же антивирус McAfee склонен удалять некоторые лицензионные программы, очень агрессивен в навязывании рекламы и в размещении на компьютере баннеров [11]. Отдельной проблемой для образовательных организаций является необходимость защиты персональных данных (ПДн). Федеральный закон от N 152-ФЗ от 27.07.2006 г. (ред. от 21.07.2014 г.) "О персональных данных" в ст. 19 определяет обеспечение безопасности персональных данных как комплексную задачу, которая включает [6]:

- определение угроз безопасности ПДн;

- применение как организационных, так и технических мер защиты;

- применение сертифицированных средств защиты информации;

- учет машинных носителей ПДн;

- предотвращение несанкционированного доступа к ПДн и обеспечение регистрации и учета всех действий, совершаемых с ПДн и другие меры.

В ходе экспертного опроса 43% респондентов образовательных организаций утвердительно ответили на вопрос: "Уведомила ли ваша организация регулятора о начале обработки персональных данных в защищенном режиме?". Однако сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора России) не подтверждает этих данных [11]. Поиск организаций на сайте Роскомнадзора (http://rkn.gov.ru/personal-data/regist/) формирует по регионам список только 6,4% образовательных организаций от их общего числа (рис. 3).

Это свидетельствует о том, что большинство образовательных организаций ограничиваются локальными, фрагментарными мерами по защите персональных данных, которые зачастую сводятся к получению письменного согласия субъекта на обработку персональных данных и разработке политики оператора в вопросах обработки персональных данных, что нельзя признать достаточным уровнем их защиты.

Надлежащая защита персональных данных обходится недешево. Стоимость оборудования и работ, по опыту выполняющих их организаций, составляет от 400 тыс. до 1,5 млн. рублей. Такими финансовыми ресурсами образовательные организации в настоящее время не располагают.

На наш взгляд, не обеспечивает требуемый уровень защиты персональных данных и обсуждаемая на различных форумах точка зрения, что эту проблему надо решать с использованием аутсорсинга. Разумеется, специализированная организация справится с защитой персональных данных должным образом. Но их источником и конечным пользователем остается образовательная организация. Это обусловливает необходимость создания защищенных каналов связи, защиты информации в локальной сети и на рабочих станциях должностных лиц образовательной организации, что практически приведет к удвоению стоимости системы защиты информации.

В качестве одного из начальных условий защиты персональных данных (ПДн) в образовательной организации, можно рекомендовать использование на соответствующем рабочем месте оператора ПДн двух системных блоков, один из которых подключен к локальной вычислительной сети и, соответственно, к сети Интернет, а другой - используется как отдельная защищенная персональная рабочая станция. При этом клавиатура, монитор и мышь могут коммутироваться посредством KVM-переключателя, сертифицированного по требованиям информационной безопасности.

Кроме того, один из сотрудников образовательной организации должен пройти обучение в специализированной организации и получить свидетельство администратора безопасности.

Несколько слов об ограничении доступа обучающихся к информации, причиняющей вред их здоровью и развитию.

В ходе исследования установлено, что все образовательные организации области имеют широкополосный доступ к сети Интернет (от 1 до 100 Мбит/сек.). Для ограничения доступа к нежелательному контенту примерно 60% школ используют услуги провайдеров. В остальных образовательных организациях применяются специальные фильтры NetPolice (разработка российской компании "Центр анализа интернет-ресурсов", ЦИАР), либо используют возможности программируемых маршрутизаторов. Все эти меры, там, где они реализованы, позволяют решить поставленную задачу с достаточной надежностью.

Руководителям образовательных организаций следует избегать использования технологии Wi-Fi для беспроводного доступа обучающихся и персонала к сети Интернет.

Таким образом, в вопросах практической реализации требований информационной безопасности в образовательных организациях проделана определенная работа. Тем не менее ее результаты пока еще не в полной мере соответствуют требованиям федеральных законов и других нормативных правовых актов в части обеспечения информационной безопасности.

Учитывая, что решение многих из рассмотренных проблем обеспечения информационной безопасности зависит от компетенции руководителя общеобразовательной организации, целесообразно организовать для них соответствующие курсы повышения квалификации по программе "Информационная безопасность в общеобразовательной организации". Программа должна быть ориентирована на руководителей образовательных организаций и их заместителей по безопасности. При этом в программе должны быть учтены основные положения ФГОС 09900 ("Информационная безопасность") и ФГОС 090103 ("Организация и технология защиты информации"), в которых зачетная единица нормативного срока, общей трудоемкости образовательных программ, соответствует 36 академическим часам.

Целью программы необходимо определить качественное повышение профессиональной компетенции руководящих работников общеобразовательных организаций в вопросах обеспечения информационной безопасности электронных образовательных ресурсов, а также защиты детей и подростков от информации, причиняющей вред их здоровью и развитию.

Актуальность и особенность программы должна быть в ее доступности для усвоения руководителями, которые не являются специалистами в сфере информационных технологий и защиты информации, а имеют лишь навыки пользователя персональным компьютером.

На примере компьютерных сетей общеобразовательных организаций, на занятиях необходимо рассмотреть современные средства и способы защиты информации и персональных данных. Особое внимание целесообразно уделить работе руководителя по планированию, организации и практической реализации требований информационной безопасности, включая разработку необходимых нормативных документов.

Руководитель образовательной организации должен знать и правила размещения на официальном сайте информации об образовательной организации, которые определены Постановлением Правительства Российской Федерации от 10 июля 2013 г. N 582.

Для комплексного решения проблемы информационной безопасности образовательных организаций, необходимо также изыскать дополнительные возможности для кадрового обеспечения решения задач администрирования локальных вычислительных сетей и информационных ресурсов образовательных организаций.

Литература

1. Федеральный закон от 29.12.2012 г. N 273-ФЗ (ред. от 31.12.2014) "Об образовании в Российской Федерации".

2. "Доктрина информационной безопасности Российской Федерации" (утв. Президентом РФ 09.09.2000 N Пр-1895).

3. Приказ от 31.08.2010 ФСБ России N 416 и ФСТЭК России N 489 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования".

4. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 21.07.2014) "Об информации, информационных технологиях и о защите информации".

5. Федеральный закон от 29.12.2010 N 436-ФЗ (ред. от 14.10.2014) "О защите детей от информации, причиняющей вред их здоровью и развитию".

6. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных".

7. Письмо Министерства образования и науки Российской Федерации от 14.02.2014 г. N МК-169/12 "О типовой должностной инструкции заместителя руководителя организации, осуществляющей образовательную деятельность, по безопасности".

Интернет-ресурсы:

8. Реестр организаций, осуществляющих образовательную деятельность по имеющим государственную аккредитацию образовательным программам // URL: http://mo.mosreg.ru/dokumenty/reestr-organiz.

9. Пароли для профессионалов. // URL: http://HYPERLINK "http://bugtraq.ru/library/security/passunleashed.html%23localsys"://HYPE RLINK "http://bugtraq.ru/library/security/passunleashed.html%23localsys"bugtraq HYPERLINK "http://bugtraq.ru/library/security/passunleashed.html%23localsys".HYPERL INK "http://bugtraq.ru/library/security/passunleashed.html%23localsys"ruHYPER LINK "http://bugtraq.ru/library/security/passunleashed.html%23localsys"/HYPERL INK "http://bugtraq.ru/library/security/passunleashed.html%23localsys"library HYPERLINK "http://bugtraq.ru/library/security/passunleashed.html%23localsys"/HYPERL INK "http://bugtraq.ru/library/security/passunleashed.html%23localsys"securit yHYPERLINK "http://bugtraq.ru/library/security/passunleashed.html%23localsys"/HYPERL INK "http://bugtraq.ru/library/security/passunleashed.html%23localsys"passunl eashedHYPERLINK "http://bugtraq.ru/library/security/passunleashed.html%23localsys".HYPERL INK "http://bugtraq.ru/library/security/passunleashed.html%23localsys"htmlHYP ERLINK "http://bugtraq.ru/library/security/passunleashed.html%23localsys"#HYPERL INK "http://bugtraq.ru/library/security/passunleashed.html%23localsys"localsy s.

10. Обеспечение информационной безопасности. ООО "Доктор Веб", 2011. - 28 с. // URL: http://www.drweb.com/.

11. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) // URL: http://HYPERLINK "http://rkn.gov.ru/personal-data/regist/)"://HYPERLINK "http://rkn.gov.ru/personal-data/regist/HknHYPERLINK "http://rkn.gov.ru/personal-data/regist/)".HYPERLINK "http://rkn.gov.ru/personal-data/regist/)"govHYPERLINK "http://rkn.gov.ru/personal-data/regist/HHYPERLINK "http://rkn.gov.ru/personal-data/regist/)"ruHYPERLINK "http://rkn.gov.ru/personal-data/regist/)"/HYPERLINK "http://rkn.gov.ru/personal-data/regist/)"personalHYPERLINK "http://rkn.gov.ru/personal-data/regist/)"-HYPERLINK "http://rkn.gov.ru/personal-data/regist/)"dataHYPERLINK "http://rkn.gov.ru/personal-data/regist/WHYPERLINK "http://rkn.gov.ru/personal-data/ regist/)"registHYPERLINK "http://rkn.gov.ru/personal-data/regist/)"/.