Информационная безопасность образовательных учреждений

Защита информации и прав ребенка
с помощью DLP-системы

О бразовательный процесс касается наименее защищенных от пропаганды членов общества – детей и подростков. Поэтому система информационной безопасности образовательного учреждения должна не только обеспечивать сохранность баз данных и содержащихся в них массивов конфиденциальных сведений, но и гарантировать невозможность доступа в стены школы и института любой пропаганды, как незаконного характера, так и безобидной, но предполагающей воздействие на сознание учащихся в заведениях среднего полного общего и высшего образования.

Содержание

Понятие
Угрозы информационной безопасности
Способы несанкционированного доступа
Меры защиты
Нормативно-правовой способ защиты информационной безопасности
Морально-этические средства обеспечения информационной безопасности
Административно-организационные меры
Физические меры
Технические меры
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Защита персональных данных детей в образовательной организации
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЙ
Понятие
Угрозы информационной безопасности
Способы несанкционированного доступа
Меры защиты
Нормативно-правовой способ защиты информационной безопасности
Морально-этические средства обеспечения информационной безопасности
Административно-организационные меры
Физические меры
Технические меры
🌟 Видео

Видео:Защита информации. Основы информационной безопасности.Скачать

Понятие

В понятие информационной безопасности образовательного учреждения входит система мер, направленная на защиту информационного пространства и персональных данных от случайного или намеренного проникновения с целью хищения каких-либо данных или внесения изменений в конфигурацию системы. Вторым аспектом понятия станет защита образовательного процесса от любых сведений, носящих характер запрещенной законом пропаганды, или любых видов рекламы.

В составе массивов охраняемой законом информации, находящейся в распоряжении образовательного учреждения, можно выделить три группы:

персональные сведения, касающиеся учащихся и преподавателей, оцифрованные архивы;
ноу-хау образовательного процесса, носящие характер интеллектуальной собственности и защищенные законом;
структурированная учебная информация, обеспечивающая образовательный процесс (библиотеки, базы данных, обучающие программы).

Все эти сведения не только могут стать объектом хищения. Намеренное проникновение в них может нарушить сохранность оцифрованных книг, уничтожить хранилища знаний, внести изменения в код программ, используемых для обучения.

Обязанностями лиц, ответственных за защиту информации, должно стать сохранение данных в целостности и неприкосновенности и обеспечение их:

доступности в любое время для любого авторизированного пользователя;
защиты от любой утраты или внесения несанкционированных изменений;
конфиденциальности, недоступности для третьих лиц.

Видео:Специалист по информационной безопасности — кто это и как им стать | GeekBrainsСкачать

Угрозы информационной безопасности

Особенностью угроз становится не только возможность хищения сведений или повреждение массивов какими-либо сознательно действующими хакерскими группировками, но и сама деятельность подростков, намеренно, по злому умыслу или ошибочно способных повредить компьютерное оборудование или внести вирус. Выделяются четыре группы объектов, которые могут подвергнуться намеренному или ненамеренному воздействию:

компьютерная техника и другие аппаратные средства, которые могут быть повреждены в результате механического воздействия, вирусов, по иным причинам;
программы, используемые для обеспечения работоспособности системы или в образовательном процессе, которые могут пострадать от вирусов или хакерских атак;
данные, хранимые как на жестких дисках, так и на отдельных носителях;
сам персонал, отвечающий за работоспособность IT-систем;
дети, подверженные внешнему агрессивному информационному влиянию и способные создать в школе криминальную ситуацию. В последнее время перечень таких ситуаций существенно расширился, что говорит о возможной целенаправленной психологической атаке на сознание детей и подростков.

Угрозы, направленные на повреждение любого из компонентов системы, могут носить как случайный, так и осознанный преднамеренный характер. Среди угроз, не зависящих от намерения персонала, учащихся или третьих лиц, можно назвать:

любые аварийные ситуации, например, отключение электроэнергии или затопление;
ошибки персонала;
сбои в работе программного обеспечения;
выход техники из строя;
проблемы в работе систем связи.

Все эти угрозы информационной безопасности носят временный характер, предсказуемы и легко устраняются действиями сотрудников и специальных служб.

Формула расчета степени опасности ИБ-угроз и их подробная классификация. Читать.

Намеренные угрозы информационной безопасности носят более опасный характер и в большинстве случаев не могут быть предвидены. Их виновниками могут оказаться учащиеся, служащие, конкуренты, третьи лица с намерением на совершение кибер-преступления. Для подрыва информационной безопасности такое лицо должно иметь высокую квалификацию в отношении принципов работы компьютерных систем и программ. Наибольшей опасности подвергаются компьютерные сети, компоненты которых расположены отдельно друг от друга в пространстве. Нарушение связи между компонентами системы может привести к полному подрыву ее работоспособности. Важной проблемой может стать нарушение авторских прав, намеренное хищение чужих разработок. Компьютерные сети редко подвергаются внешним атакам с целью воздействия на сознание детей, но и это не исключено. И самой серьезной опасностью станет использование школьного оборудования для вовлечения ребенка в криминал и терроризм.

С точки зрения проникновения в периметр информационной безопасности и для совершения хищения информации или создания нарушения в работе систем необходим несанкционированный доступ.

Способы несанкционированного доступа

Можно выделить несколько видов несанкционированного доступа:

Человеческий. Информация может быть похищена путем копирования на временные носители, переправлена по электронной почте. Кроме того, при наличии доступа к серверу изменения в базы данных могут быть внесены вручную.
Программный. Для хищений сведений используются специальные программы, которые обеспечивают копирование паролей, копирование и перехват информации, перенаправление трафика, дешифровку, внесение изменений в работу иных программ.
Аппаратный. Он связан или с использованием специальных технических средств, или с перехватом электромагнитного излучения по различным каналам, включая телефонные.

Следить за происходящим в ИТ-системе компании помогает «СёрчИнформ SIEM». Программа автоматически собирает и отображает в едином интерфейсе ключевые события безопасности, в том числе попытки вирусных атак и несанкционированного доступа.

Видео:Информационная безопасность. Основы информационной безопасности.Скачать

Меры защиты

Борьба с различными видами атак на информационную безопасность должна вестись на пяти уровнях, причем работа должна носить комплексный характер. Существует ряд методических разработок, которые позволят построить защиту образовательного учреждения на необходимом уровне.

Нормативно-правовой способ защиты информационной безопасности

В России принята «Национальная стратегия действий в интересах детей», определяющая степень угроз и меры защиты их безопасности. Действия по ограничению агрессивного воздействия на сознание ребенка должны стать основными. На втором месте должно оказаться обеспечение безопасности баз данных.

Защита информации опирается на действующие в этой сфере законы, определяющие отдельные ее массивы как подлежащие защите. Они выделяют те сведения, которые должны быть недоступны третьим лицам по разным причинам (конфиденциальная информация, персональные данные, коммерческая, служебная или профессиональная тайна). Порядок защиты персональных данных определяется в том числе федеральным законом «Об информации», Трудовым кодексом. Они и Гражданский кодекс помогают разработать методику для обеспечения защиты сведений, относящихся к коммерческой тайне. Кроме законов необходимо выделить действующие в этой сфере ГОСТы, определяющие порядок защиты данных, и применяемые в этих целях методики и аппаратные средства.

Морально-этические средства обеспечения информационной безопасности

В образовательной сфере большую роль играет система морально-этических ценностей. На ней должна основываться система мер, защищающих подростка от травмирующей, этически некорректной, незаконной информации. В целях защиты от пропаганды необходимо применять нормы закона «О защите прав ребенка», определяющие его права на защиту от сведений, которые могут причинить моральную травму. Необходимо создавать перечни документов, программ и иных источников, которые могут травмировать психику детей, в целях недопущения их проникновения на территорию учебного заведения. Это станет одной из основ информационной безопасности.

Административно-организационные меры

Этот комплекс мер целиком построен на создании внутренних правил и регламентов, определяющих порядок работы с информацией и ее носителями. Это внутренние методики, посвященные информационной безопасности, должностные инструкции, перечни сведений, не подлежащих передаче. Дополнительно должен быть разработан регламент, определяющий порядок взаимодействия с компетентными органами по запросам о предоставлении им тех или иных данных и документов.

Кроме того, эти методики должны определять порядок доступа детей к сети Интернет в компьютерных классах, возможность защиты некоторых ресурсов неоднозначного характера от доступа ребенка, запрет на пользование собственными носителями информации. Должно быть предусмотрено использование системы родительского контроля над ресурсами сети Интернет.

Физические меры

За данную систему мер и ее внедрение должно отвечать руководство образовательного учреждения и сотрудники IT-подразделений. Перекладывать организацию мер физической защиты компьютерной сети и носителей на сотрудников наемных охранных подразделений недопустимо. Среди физических мер должна быть предусмотрена пропускная система защиты в помещения, содержащие носители информации, организация контроля доступа посетителей, установления различных степеней допуска. Кроме того, к мерам физической защиты может быть отнесено обязательное копирование значимой информации на диски компьютеров, не имеющих доступа к сети Интернет. Обязательно не только установление паролей, но и их регулярная замена.

Технические меры

Комплексную систему защиты всего периметра компьютерной сети должны обеспечивать специализированные программные продукты, например, DLP-системы и SIEM-системы, выявляющие все возможные угрозы безопасности и применяющие меры по борьбе с ними. Для тех учебных заведений, бюджет которых не позволяет внедрение профессиональных систем, необходимо использование разрешенных и рекомендуемых программных мер защиты, в частности антивирусов.

Использование «СёрчИнформ КИБ» в сочетании с SIEM-решениями усиливает защиту информационной системы организации и автоматизирует работу ИБ-службы.

Электронная почта, к которой имеют доступ сотрудники и учащиеся, должна быть контролируема. Оптимально также ввести полный запрет на копирование любой информации с жестких дисков компьютеров образовательного учреждения.

Кроме того, должно быть предусмотрено программное обеспечение, ограничивающее доступ ребенка на определенные сайты (контент-фильтры).

Все меры должны применяться в комплексе, при этом необходимо определение одного или нескольких лиц, отвечающих за реализацию всех аспектов информационной безопасности. Желательно привлечение к этой проблеме родителей учеников, в ряде случаев они помогут провести аудит мер безопасности и порекомендовать современные решения. Кроме того, на родителей должны быть возложены обязанности и по ограничению информации, которую ребенок может получить дома. Необходимо просматривать страницы, посещаемые ребенком. На основании анализа его поиска можно вносить изменения в перечень сайтов, доступ к которым ограничен с компьютеров, установленных в учебном заведении.

Видео:Административные меры защиты информации. Организационные меры защиты информацииСкачать

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

Видео:Стеганографические методы ЗИСкачать

Защита персональных данных детей в образовательной организации

Главная > Консультации > Омбудсмен > Защита персональных данных детей в образовательной организации

Развитие различных информационных технологий привело к тому, что личная информация о человеке становится все более доступной. Различные сообщества, многочисленные социальные сети могут содержать целое «досье» на взрослого и ребенка. Каждый взрослый сам для себя решает, какую именно информацию можно выложить в информационные сети «Интернет». Дети часто создают свои аккаунты и там делятся личной информацией.

При поступлении в школу каждый родитель получает соглашение, где дает свое письменное согласие на обработку персональных данных. У многих возникает вопросы и опасения, относительно распространения персональных данных семьи или ребенка. Нередко родители хотят узнать, каким образом, в каких случаях личная информация о ребенке может быть распространена.

Для начала необходимо определиться, что такое персональные данные?

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (Федеральный Закон от 27.07.2006 № 152-ФЗ «О персональных данных»).

Что значит, дать согласие на обработку персональных данных?

«Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных» (Федеральный Закон «О персональных данных» от 27.07.2006 № 152-ФЗ).

Обработка указанных специальных категорий персональных данных допускается в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.

Каждая школа разрабатывает локальный акт, который конкретизирует сведения, относящиеся к персональным данным, кто имеет доступ к персональным данным обучающегося, права и обязанности работников, получивших доступ к персональным данным ученика и т. д.

Например, к персональным данным ученика относятся:

сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность; информация, содержащаяся в личном деле учащегося; информация, содержащаяся в личном деле учащегося, лишенного родительского попечения; информация, содержащаяся в классном журнале; информация, содержащаяся в Карточке здоровья учащегося; информация о состоянии здоровья; документ о месте проживания; фотографии; иные сведения, необходимые для определения отношений обучения и воспитания.

Иные персональные данные учащегося, необходимые в связи с отношениями обучения и воспитания, администрация может получить только с письменного согласия одного из родителей (законного представителя). К таким данным относятся документы, содержащие сведения, необходимые для предоставления учащемуся гарантий и компенсаций, установленных действующим законодательством:

документы о составе семьи;
документы о состоянии здоровья;
документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота, ребенок из многодетной семьи и т. п.).

Персональные данные учащегося являются конфиденциальной информацией и не могут быть использованы администрацией или любым иным лицом в личных целях.

Право доступа к персональным данным обучающегося могут иметь:

работники департамента (управления) образования (при наличии соответствующих полномочий, установленных приказом департамента (управления) образования;
директор образовательного учреждения;
секретарь образовательного учреждения;
заместители директора по УВР;
социальный педагог;
педагоги дополнительного образования
врач/медработник.
учителя-предметники;
классный руководитель.

Не имеет права получать информацию об учащемся родитель (законный представитель), лишенный или ограниченный в родительских правах на основании вступившего в законную силу постановления суда.

Работники, имеющие доступ к персональным данным учащегося, обязаны:

1. Не сообщать персональные данные обучающегося третьей стороне без письменного согласия одного из родителей (законного представителя), кроме случаев, когда в соответствии с федеральными законами такого согласия не требуется.

2. Использовать персональные данные обучающегося, полученные только от него лично или с письменного согласия одного из родителей (законного представителя).

3. Обеспечить защиту персональных данных обучающегося от их неправомерного использования или утраты, в порядке, установленном законодательством Российской Федерации.

4. Ознакомить родителя (родителей) или законного представителя с настоящим Положением и их правами и обязанностями в области защиты персональных данных, под роспись.

5. Соблюдать требование конфиденциальности персональных данных учащегося.

6. Исключать или исправлять по письменному требованию одного из родителей (законного представителя) обучающегося его недостоверные или неполные персональные данные, а также данные, обработанные с нарушением требований законодательства.

7. Ограничивать персональные данные учащегося при передаче уполномоченным работникам правоохранительных органов или работникам департамента (управления) образования только той информацией, которая необходима для выполнения указанными лицами их функций.

8. Запрашивать информацию о состоянии здоровья учащегося только у родителей (законных представителей).

9. Обеспечить учащемуся или одному из его родителей (законному представителю) свободный доступ к персональным данным обучающегося, включая право на получение копий любой записи, содержащей его персональные данные.

10. Предоставить по требованию одного из родителей (законного представителя) учащегося полную информацию о его персональных данных и обработке этих данных.

Данные должны храниться в недоступных местах всеобщего пользования (например, в сейфе) на бумажных носителях и (или) на электронных носителях с ограниченным доступом.

Существуют Приказы Министерства образования, которые также содержат некоторые вопросы, касающиеся личных данных обучающегося.

Приказ Министерства образования и науки РФ от 22 января 2014 г. № 32 «Об утверждении Порядка приема граждан на обучение по образовательным программам начального общего, основного общего и среднего общего образования».

Приказ Министерства образования и науки РФ от 12 марта 2014 г. N 177 «Об утверждении Порядка и условий осуществления перевода обучающихся из одной организации, осуществляющей образовательную деятельность по образовательным программам начального общего, основного общего и среднего общего образования, в другие организации, осуществляющие образовательную деятельность по образовательным программам соответствующих уровня и направленности».

Личные/персональные данные ребенка содержатся в основном в личном деле ребенка. На каждого ребенка, зачисленного в организацию, осуществляющую образовательную деятельность, заводится личное дело, в котором хранятся все сданные документы. Таким образом, на начальном этапе обучения ребенка в общеобразовательной организации его личное дело будет состоять из следующих данных: фамилия, имя, отчество, дата и место рождения ребенка, адрес места жительства родителей, контактные телефоны.

В процессе обучения личное дело будет пополняться документами о состоянии здоровья ребенка, данными о результатах промежуточной и итоговой аттестаций, какими-либо персональными данными, документами, подтверждающими достижения в учебе, спорте, иных видах деятельности, а также иными документами.

Универсального шаблона личного дела законодательство об образовании не предусматривает. Поэтому каждая образовательная организация должна самостоятельно выработать структуру личного дела обучающегося (с учетом обязательных элементов) и закрепить положение о личном деле локальным нормативным актом.

Личное дело обучающегося подлежит выдаче ему или его законным представителям в случае перевода в другую организацию, осуществляющую образовательную.

Если родители отказываются подписывать согласие на обработку персональных данных, то в этом случае школа действует в рамках законодательства и предполагается, что минимум персональных данных для обработки родитель предоставить обязан.

Страхи родителей, связанные с обработкой персональных данных ребенка и семьи чаще всего необоснованны. Ребенок все равно будет находиться школьной базе, и школа будет получать на него финансирование. Но учета его участия в школьной жизни может не быть. Обработка персональных данных нередко подразумевает ведения учета успеваемости в электронном журнале, передача данных ребенка для участия в олимпиадах и конкурсах.

Нарушением закона о защите персональных данных может стать рассылка персональных данных по общедоступным сетям, поскольку такие виды обработки данных не предусмотрены законодательством, в данном случае требуется желание субъектов данных, подкрепленное письменным согласием.

В любом случае образовательная организация, выступая оператором персональных данных, должна понимать, что распространять персональные данные, предоставлять их неограниченному кругу лиц даже с письменного согласия законных представителей обучающихся допустимо лишь только в том случае, если это разрешено законодательством. Любое письменное согласие родителей на обработку персональных данных, которое будет содержать избыточные требования по сравнению с требованием федерального законодательства, будет ничтожно и напрямую вести к нарушению требований ФЗ-152 «О персональных данных»!

Будьте внимательны и осторожны в работе с персональными данными.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЙ

Образовательный процесс касается наименее защищенных от пропаганды членов общества – детей и подростков. Поэтому система информационной безопасности образовательного учреждения должна не только обеспечивать сохранность баз данных и содержащихся в них массивов конфиденциальных сведений, но и гарантировать невозможность доступа в стены школы и института любой пропаганды, как незаконного характера, так и безобидной, но предполагающей воздействие на сознание учащихся в заведениях среднего полного общего и высшего образования.

Видео:Защита информации / НИУ ВШЭСкачать

Понятие

персональные сведения, касающиеся учащихся и преподавателей, оцифрованные архивы;
ноу-хау образовательного процесса, носящие характер интеллектуальной собственности и защищенные законом;
структурированная учебная информация, обеспечивающая образовательный процесс (библиотеки, базы данных, обучающие программы).

доступности в любое время для любого авторизированного пользователя;
защиты от любой утраты или внесения несанкционированных изменений;
конфиденциальности, недоступности для третьих лиц.

Видео:Организационно технические меры защиты информацииСкачать

Угрозы информационной безопасности

компьютерная техника и другие аппаратные средства, которые могут быть повреждены в результате механического воздействия, вирусов, по иным причинам;
программы, используемые для обеспечения работоспособности системы или в образовательном процессе, которые могут пострадать от вирусов или хакерских атак;
данные, хранимые как на жестких дисках, так и на отдельных носителях;
сам персонал, отвечающий за работоспособность IT-систем;
дети, подверженные внешнему агрессивному информационному влиянию и способные создать в школе криминальную ситуацию. В последнее время перечень таких ситуаций существенно расширился, что говорит о возможной целенаправленной психологической атаке на сознание детей и подростков.

любые аварийные ситуации, например, отключение электроэнергии или затопление;
ошибки персонала;
сбои в работе программного обеспечения;
выход техники из строя;
проблемы в работе систем связи.

Способы несанкционированного доступа

Можно выделить несколько видов несанкционированного доступа:

Человеческий. Информация может быть похищена путем копирования на временные носители, переправлена по электронной почте. Кроме того, при наличии доступа к серверу изменения в базы данных могут быть внесены вручную.
Программный. Для хищений сведений используются специальные программы, которые обеспечивают копирование паролей, копирование и перехват информации, перенаправление трафика, дешифровку, внесение изменений в работу иных программ.
Аппаратный. Он связан или с использованием специальных технических средств, или с перехватом электромагнитного излучения по различным каналам, включая телефонные.

Видео:Криптографические методы ЗИСкачать