Информационная безопасность образовательных учреждений
Второй аспект понятия это защита образовательного процесса от любых сведений, носящих характер запрещенной законом пропаганды, или любых видов рекламы. Каким образом должна быть налажена система информационной безопасности в учебном заведении?
Образовательный процесс затрагивает наименее защищенных от пропаганды членов общества — детей и подростков. Поэтому система информационной безопасности образовательного учреждения должна не только обеспечивать сохранность баз данных и содержащихся в них массивов конфиденциальных сведений, но и гарантировать невозможность доступа в стены школы и института любой пропаганды, как незаконного характера, так и безобидной, но подразумевающее воздействие на сознание учащихся в учреждениях среднего, полного общего и высшего образования.
В составе массивов охраняемой законом информации, находящейся в распоряжении образовательного учреждения, можно выделить три группы:
• персональные сведения, касающиеся учащихся и преподавателей, оцифрованные архивы;
• ноу-хау образовательного процесса, которые носят характер интеллектуальной собственности и защищены законом;
• структурированная учебная информация, которая обеспечивает образовательный процесс (библиотеки, базы данных, учебные программы).
Все эти данные не только могут стать объектом кражи. Умышленное проникновение в них может нарушить сохранность оцифрованных книг, уничтожить хранилища знаний, внести изменения в код программ, которые используются для обучения.
Обязанностями лиц, ответственных за защиту информации, должно стать сохранение данных в целостности и неприкосновенности и обеспечение их:
• доступности в любое время для любого авторизованным пользователя;
• защиты от любой потери или внесения несанкционированных изменений;
• частности, недоступности для третьих лиц;
• угрозы информационной безопасности.
Особенностью угроз становится не только возможность кражи данных или повреждение массивов какими-либо сознательно действующими хакерскими группировками, но и сама деятельность подростков, способных повредить компьютерное оборудование или внести вирус.
Выделяются четыре группы объектов, которые могут подвергнуться умышленно или неумышленно воздействия:
• компьютерная техника и другие аппаратные средства, которые могут быть повреждены в результате механического воздействия, вирусов, по другим причинам;
• программы, которые используются для обеспечения работоспособности системы или в образовательном процессе.
• данные, хранящиеся как на жестких дисках, так и на отдельных носителях;
• сам персонал, отвечающий за работоспособность IT-систем;
Дети, склонны к внешнему агрессивного информационного влиянию и способны создать в школе криминальную ситуацию. В последнее время перечень таких ситуаций существенно расширился, что говорит о возможности целенаправленной психологической атаки на сознание детей и подростков. Угрозы, направленные на повреждение любого из компонентов системы, могут носить как случайный, так и осознанное умышленный характер.
Среди угроз, которые не зависят от намерения персонала, учащихся или третьих лиц, можно назвать:
• любые аварийные ситуации, например, отключение электроэнергии или затопление;
• ошибки персонала;
• сбои в работе программного обеспечения;
• выход техники из строя;
• проблемы в работе систем связи.
Все эти угрозы информационной безопасности носят временный характер, предсказуемы и легко устраняются действиями сотрудников и специальных служб. Умышленные угрозы информационной безопасности носят более опасный характер и в большинстве случаев не могут быть предотвращены.
Виновными могут оказаться учащиеся, служащие, конкуренты, третьи лица с намерением на совершение киберпреступления. Для подрыва информационной безопасности преступник должны иметь высокую квалификацию в отношении принципов работы компьютерных систем и программ. Наибольшей опасности подвергаются компьютерные сети, компоненты которых расположены отдельно друг от друга в пространстве.
Нарушение связи между компонентами системы может привести к полному подрыву ее работоспособности. Важной проблемой может стать нарушение авторских прав, умышленное хищение чужих разработок. Компьютерные сети редко подвергаются внешним атакам с целью воздействия на сознание детей, но и это не исключено. И самой серьезной опасностью станет использование школьного оборудования для включения ребенка в криминал и терроризм.
С точки зрения проникновения в периметр информационной безопасности и для совершения кражи информации или создания нарушения в работе систем необходим несанкционированный доступ.
Способы несанкционированного доступа:
1. Человеческий. Информация может быть похищено путем копирования на временные носители, переправлено по электронной почте. Кроме того, при наличии доступа к серверу изменения в базы данных могут быть внесены вручную. Программный. Для краж данных используются специальные программы, которые обеспечивают копирование паролей, копирование и перехват информации, перенаправление трафика, дешифровки, внесение изменений в работу других программ.
2. Аппаратный. Он связан или с использованием специальных технических средств, или с перехватом электромагнитного излучения по различным каналам, включая телефон. Борьба с различными видами атак на информационную безопасность должна вестись на пяти уровнях, причем работа должна носить комплексный характер.
Существует ряд методических разработок, которые позволят построить защиту образовательного учреждения на необходимом уровне. Не так давно в России была принята «Национальная стратегия действий в интересах детей», которая определяет степень угроз и меры защиты их безопасности. Действия по ограничению агрессивного воздействия на сознание ребенка должны стать основными. на втором месте должна оказаться обеспечение безопасности баз данных.
Защита информации опирается на законы, действующие в этой сфере, определяют отдельные ее массивы как подлежащие защите. Они выделяют те сведения, которые должны быть недоступны третьим лицам по разным причинам (конфиденциальная информация, персональные данные, коммерческая, служебная или профессиональная тайна).
Морально-этические средства обеспечения информационной безопасности образовательной сфере. Большую роль играет система морально-этических ценностей. на ней должно основываться система мер, которые защищают подростка от травмирующей, этично некорректной, незаконной информации.
В целях защиты от пропаганды необходимо применять нормы закона «О защите прав ребенка », определяющие его права на защиту от сведений, которые могут причинить моральную травму. Необходимо создавать перечни документов, программ и других источников, которые могут травмировать психику детей, в целях недопущения их проникновения на территорию учебного заведения.
Это станет одной из основ информационной безопасности. Административно-организационные меры. Этот комплекс мер полностью построен на создании внутренних правил и регламентов, определяющих порядок работы с информацией и ее носителями. Это внутренние методики, посвященные информационной безопасности, должностные инструкции, перечни сведений, которые не подлежат передаче.
Дополнительно должен быть разработан регламент, определяющий порядок взаимодействия с компетентными органами по запросам о предоставлении им тех или иных данных и документов. Кроме того, эти методики должны определять порядок доступа детей к сети Интернет в компьютерных классах, возможность защиты некоторых ресурсов неоднозначного характера от доступа ребенка, запрет на пользование собственными носителями информации.
Должно быть предусмотрено использование системы родительского контроля над ресурсами Интернету. За данную систему мер и ее внедрение должно отвечать руководство образовательного учреждения и сотрудники IT-подразделений. Переводить организацию мер физической защиты компьютерной сети и носителей на сотрудников наемных охранных подразделений недопустимо.
Среди физических мер должно быть предусмотрено пропускная система защиты в помещении, содержащие носители информации, организация контроля доступа посетителей, установления различных степеней допуска. Кроме того, к мерам физической защиты может быть отнесена обязательное копирование значимой информации на диски компьютеров, которые не имеют доступа к сети Интернет.
Обязательно не только установление паролей, но и их регулярная замена. Комплексную систему защиты всего периметра компьютерной сети должны обеспечивать специализированные программные продукты, например, DLP-системы и SIEM-системы, выявляющие все возможные угрозы безопасности и применяют меры по борьбе с ними.
Для тех учебных заведений, бюджет которых не позволяет внедрение профессиональных систем, необходимо использование разрешенных и рекомендуемых программных мер защиты, в частности антивирусов. Электронная почта, к которой имеют доступ сотрудники и учащиеся, должна быть контролируема.
Оптимально также ввести полный запрет на копирование любой информации с жестких дисков компьютеров образовательного учреждениям. Кроме того, должно быть предусмотрено программное обеспечение, ограничивающее доступ ребенка на определенные сайты (контент-фильтры).
Все меры должны применяться в комплексе, при этом необходимо определение одной или нескольких лиц, которые отвечают за реализацию всех аспектов информационной безопасности. Желательно привлечение к этой проблеме родителей учеников, в ряде случаев они помогут провести аудит мер безопасности и порекомендовать современные решения.
Кроме того, на родителей должны быть возложены обязанности и по ограничению информации, которую ребенок может получить дома. Необходимо просматривать страницы, посещаемые ребенком. На основании анализа его поиска можно вносить изменения в перечень сайтов, доступ к которым ограничен с компьютеров, установленных в учебном заведении.