Директор ГОУ НМЦ Выборгского района, к.п.н.
Шапиро К. В.
Сегодня, когда первые восторги по поводу создания единого информационного пространства в образовательном учреждении уже окончательно улеглись, пришла пора задуматься о состоянии этого самого пространства и реалиях его функционирования. Одной из актуальных проблем функционирования информационного пространства школы является проблема информационной безопасности.
Какие опасности угрожают школьной информации?
Что же мы храним в школьной сети? Условно всю информацию, наполняющую школьную сеть можно разделить на несколько категорий: образовательные электронные ресурсы (ОЭР), персональная информация о сотрудниках и обучающихся, документация.
Кому отдаем? Кто же является потребителем информации, накапливаемой в учреждении? Очевидно, что это: сами сотрудники школы, учащиеся (в части ОЭР), внешние организации, общественность. Соответственно, если потребители разделены на несколько целевых групп, то возникает вопрос регламентации доступа к информации. Для того чтобы его осуществить необходимо ответить предварительно на другой вопрос.
От кого прячем? Нуждается ли школьная информация в защите? Что и от кого мы прячем? Может ли утечка информации из школьной сети навредить кому-либо, нанести реальный ущерб? Ответ на этот вопрос следует искать в законодательных актах и в первую очередь в Федеральном законе Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (http://www.rg.ru/2006/07/29/informacia-dok.html). Если внимательно проанализировать данный федеральный закон, то станет очевидно, что основной задачей образовательного учреждения является сохранение конфиденциальной информации к которой относятся персональная информация о сотрудниках и обучающихся. В ходе чтения данного ФЗ выяснилась еще одна любопытная деталь: требования многочисленных сторонних организаций на предоставление им информации о сотрудниках и детях являются попросту не законными. Приведу такой пример: детская поликлиника затребовала у школы списки детей с указанием адреса, паспортных данных и данных страхового полиса. Однако, согласно положениям ФЗ, такие данные могут предоставляться либо самим гражданином, либо с его письменного согласия.
Еще одна опасность подстерегающая хранителей школьной информации – это нарушение авторского и смежных с ним прав. Очевидно, что ОЭР, создаваемые учителями в ходе своей деятельности могут быть признаны объектами интеллектуальной собственности. Но вопросы авторского права в нашей стране сложны и запутаны. Поэтому мы советуем руководствоваться в деятельности школы в этом направлении двумя постулатами:
Добровольность передачи создаваемых учителями ресурсов в общее пользование.
Ресурсы, создаваемые на рабочем месте, в рабочее время с использованием оборудования организации являются собственностью организации.
Хочу обратить ваше внимание также и на тот факт, что третья из наших условных категорий – документация, напротив требует от организации максимальной степени свободы распространения.
Помимо требования к безопасности содержания школьной информации, необходимо обеспечить целостность данных и защиту от утраты и умышленного повреждения информации.
Требования к организации хранения информации.
Организация хранения информации в школьной компьютерной сети должна соответствовать ряду требований вне зависимости от размеров сети и объемов хранимой информации:
· централизация хранения;
· разграничение прав доступа;
· доступность информационных ресурсов с различных рабочих мест;
· регламент актуализации информации;
· защита от повреждений (вирусная безопасность, потеря данных, аппаратные повреждения)
· резервное копирование.
Конечно сети различного масштаба образовательных учреждений, работающих в различных условиях, требует дифференцированного подхода к реализации на практике перечисленных требований. О некоторых из этих требований ниже мы поговорим подробнее.
Безопасность на входе
Поскольку информационная система школы является открытой, то поступление в нее внешней информации является действием неизбежным. При этом школу подстерегают три опасности: вирусы, спам, взлом.
Начнем с наименьшей - взлом. Взлом возможен в двух случаях: локальный и через внешние сети. В случае, если у школы отсутствует сайт, являющийся составляющей локальной сети, то опасность внешнего взлома сводится к нерассматриваемому минимуму. Проблема взлома локальных сетей решается на уровне регламентации доступа сотрудников и учащихся к ресурсам и сервисам локальной сети. Несомненно важным представляется контроль за способами подключений локальной сети к глобальным сетям. Вторая проблема – вирусы. Все способы борьбы с этой опасностью уже много лет известны: использование антивирусных программ и разумное ограничение внешнего доступа. От себя можем посоветовать следующее: сохраняйтесь и предохраняйтесь! Предохраняйтесь антивирусами и создавайте резервные копии особо актуальной информации на внешних носителях. Эффективным методом является также ограничение подключений к локальной сети внешних носителей. Целесообразно иметь в учреждении несколько хорошо контролируемых и оснащенных надежными антивирусными средствами точек ввода.
Спам. Это проблема решается лишь частично. И только одним способом – установкой фильтров. Единственное что можно посоветовать – это установка спам-фильтров с двух концов: и у провайдера Интернет-услуг, и в учреждении.
В связи с подключением всех образовательных учреждений к сети Интернет, осубую актуальность также приобретает проблема организации мониторинга предпочтений пользователей Интернет-ресурсов. Правильная организация такого мониторинга позволит решить две важных задачи: определить наиболее востребованные ресурсы и исключить из пользования ресурсы не соответствующие целям и задачам ОУ.
Контроль на выходе
В начале статьи мы уже обозначили необходимость соблюдения конфиденциальности при работе с персональными данными сотрудников и учащихся, теперь же рассмотрим практическую сторону данного вопроса.
Аппаратные препятствия утечке информации. При организации обработки персональных данных, требующих защиты, необходимо организовать обработку этих данных на машинах не имеющих общедоступных устройств вывода информации. Также необходимо исключить возможность доступа к конфиденциальным данным во время подключения компьютера к сети. Самым простым решением с организационной точки зрения представляется выделение отдельного компьютера. Однако на практике это трудно достижимо.
Регламентация доступа к обработке. Доступ к конфиденциальным данным и их обработке должен регламентироваться приказом директора школы с указанием конкретных лиц, их прав и меры ответственности. Вообще в сегодняшних условиях представляется целесообразным создание локального акта школы подробно регламентирующего вопросы пользования локальной сетью и доступа к конфедициальной информации. Не лишним также будет и уточнение должностных инструкций сотрудников занятых в этой сфере.
Внимательно изучая вопросы информационной безопасности школы нельзя не заметить серьёзного противоречия между необходимостью централизации хранения информации для повышения удобства обработки и децентрализации процессов хранения с целью ограничения доступа к конфиденциальной информации. На практике такой подход нам демонстрирует система обработки ЕГЭ. Совокупность данных об объекте обезличена через механизм шифрования. Такой подход к хранению конфиденциальной информации в целом позволит, на наш взгляд всесторонне обрабатывать информацию об учащихся и сотрудниках без риска причинения ущерба. Действительно, большинство отчетов не требуют указания персоналий, а лишь количественных и качественных характеристик.
Еще одной, не решенной проблемой в области информационной безопасности школы, является проблема достоверности электронной информации. Да, в стране действует законодательство в сфере электронной цифровой подписи, но ни одной системы её использующей для образования создано не было.
Нам кажется, что эти два направления являются наиболее перспективными при построении информационных систем для нужд образовательных учреждений.
Поделиться: