Родителям (законным представителям) обучающихся
Безопасные образовательные сайты
Министерство юстиции Российской Федерации (Экстремистские материалы)
Информационная безопасность
В связи с развитием технологий в области виртуального пространства, в том числе с распространением сети Интернет, возникла проблема, связанная с доступом несовершеннолетних к информации сомнительного содержания и противоречащей общепринятой этике. В настоящее время любой человек, в том числе и несовершеннолетний, владеющий знаниями в области компьютерных технологий, может получить доступ к данным, хранящимся в Интернете, или создать свой собственный веб-ресурс. Отсутствие контроля со стороны родителей за использованием детьми сети Интернет - одна из причин доступности негативной информации несовершеннолетним. Поэтому система информационной безопасности образовательного учреждения должна не только обеспечивать сохранность баз данных и содержащихся в них массивов конфиденциальных сведений, но и гарантировать невозможность доступа в стены учреждения любой пропаганды, как незаконного характера, так и безобидной, но предполагающей воздействие на сознание обучающихся.
В понятие информационной безопасности образовательного учреждения входит система мер, направленная на защиту информационного пространства и персональных данных от случайного или намеренного проникновения с целью хищения каких-либо данных или внесения изменений в конфигурацию системы. Вторым аспектом понятия является защита образовательного процесса от любых сведений, носящих характер запрещенной законом пропаганды, или любых видов рекламы.
В составе охраняемой законом информации, находящейся в распоряжении образовательного учреждения, можно выделить три группы:
- персональные сведения, касающиеся обучающихся и преподавателей, оцифрованные архивы;
- ноу-хау образовательного процесса, носящие характер интеллектуальной собственности и защищенные законом;
- структурированная учебная информация, обеспечивающая образовательный процесс (библиотеки, базы данных, обучающие программы).
Все эти сведения не только могут стать объектом хищения. Намеренное проникновение в них может нарушить сохранность данных, уничтожить хранилище знаний, внести изменения в код программ, используемых для обучения.
Обязанностями лиц, ответственных за защиту информации, должно стать сохранение данных в целостности и неприкосновенности и обеспечение их:
- доступности в любое время для любого авторизированного пользователя;
- защиты от любой утраты или внесения несанкционированных изменений;
- конфиденциальности, недоступности для третьих лиц.
Угрозы информационной безопасности
Особенностью угроз становится не только возможность хищения сведений или повреждение массивов какими-либо сознательно действующими хакерскими группировками, но и сама деятельность подростков, намеренно, по злому умыслу или ошибочно способных повредить компьютерное оборудование или внести вирус. Выделяются четыре группы объектов, которые могут подвергнуться намеренному или ненамеренному воздействию:
- компьютерная техника и другие аппаратные средства, которые могут быть повреждены в результате механического воздействия, вирусов, по иным причинам;
- программы, используемые для обеспечения работоспособности системы или в образовательном процессе, которые могут пострадать от вирусов или хакерских атак;
- данные, хранимые как на жестких дисках, так и на отдельных носителях;
- сам персонал, отвечающий за работоспособность IT-систем;
- учащиеся, подверженные внешнему агрессивному информационному влиянию и способные создать в учреждении криминальную ситуацию. В последнее время перечень таких ситуаций существенно расширился, что говорит о возможной целенаправленной психологической атаки на сознание детей и подростков.
Угрозы, направленные на повреждение любого из компонентов системы, могут носить как случайный, так и осознанный преднамеренный характер. Среди угроз, не зависящих от намерения персонала, учащихся или третьих лиц, можно назвать:
- любые аварийные ситуации, например, отключение электроэнергии или затопление;
- ошибки персонала;
- сбои в работе программного обеспечения;
- выход техники из строя;
- проблемы в работе систем связи.
Все эти угрозы информационной безопасности носят временный характер, предсказуемы и легко устраняются действиями сотрудников и специальных служб.
Намеренные угрозы информационной безопасности носят более опасный характер и в большинстве случаев не могут быть предвидены. Их виновниками могут оказаться обучающиеся, служащие, третьи лица с намерением на совершение кибер-преступления. Для подрыва информационной безопасности такое лицо должно иметь высокую квалификацию в отношении принципов работы компьютерных систем и программ. Наибольшей опасности подвергаются компьютерные сети, компоненты которых расположены отдельно друг от друга в пространстве. Нарушение связи между компонентами системы может привести к полному подрыву ее работоспособности. Важной проблемой может стать нарушение авторских прав, намеренное хищение чужих разработок. Компьютерные сети редко подвергаются внешним атакам с целью воздействия на сознание детей, но и это не исключено. И самой серьезной опасностью станет использование школьного оборудования для вовлечения ребенка в криминал и терроризм.
С точки зрения проникновения в периметр информационной безопасности и для совершения хищения информации или создания нарушения в работе систем необходим несанкционированный доступ.
Способы несанкционированного доступа
Можно выделить несколько видов несанкционированного доступа:
- Человеческий. Информация может быть похищена путем копирования на временные носители, переправлена по электронной почте. Кроме того, при наличии доступа к серверу изменения в базы данных могут быть внесены вручную.
- Программный. Для хищений сведений используются специальные программы, которые обеспечивают копирование паролей, копирование и перехват информации, перенаправление трафика, дешифровку, внесение изменений в работу иных программ.
- Аппаратный. Он связан или с использованием специальных технических средств, или с перехватом электромагнитного излучения по различным каналам, включая телефонные.
Меры защиты.
Обеспечение информационной безопасности осуществляется по следующим направлениям:
- правовая защита – это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;
- организационная защита – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба;
- инженерно-техническая защита – это использование различных технических средств, препятствующих нанесению ущерба.
Защита образовательного учреждения в сфере информационной безопасности должна носить комплексный характер, для этого необходимо предусмотреть:
- Нормативно-правовой способ защиты информационной безопасности.
В целях совершенствования государственной политики в сфере защиты детства, учитывая результаты, достигнутые в ходе реализации «Национальной стратегии действий в интересах детей на 2012 - 2017 годы», 2018 - 2027 годы в Российской Федерации объявлены Десятилетием детства.
Цель предпринимаемых мер – откорректировать социальную политику в целом, уделив максимум внимания вопросам материнства и детства.
Важными являются действия по ограничению агрессивного воздействия на сознание ребенка. На втором месте - обеспечение безопасности баз данных.
Защита информации опирается на действующие в этой сфере законы, определяющие отдельные ее массивы как подлежащие защите. Они выделяют те сведения, которые должны быть недоступны третьим лицам по разным причинам (конфиденциальная информация, персональные данные, коммерческая, служебная или профессиональная тайна).
В соответствии со ст.16 Федерального закона РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями) защита информации представляет собой совокупность правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа,
3) реализацию права на доступ к информации.
Система информационной безопасности должна обязательно обеспечивать:
- конфиденциальность (защиту информации от несанкционированного раскрытия или перехвата);
- целостность (точность и полноту информации и компьютерных программ);
- доступность (возможность получения пользователями информации в пределах их компетенции).
Согласно Федеральному закону Российской Федерации от 29 декабря 2010 г. № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию» (с изменениями) содержание и художественное оформление информации, предназначенной для обучения детей в образовательных учреждениях, должно соответствовать содержанию и художественному оформлению информации для детей данного возраста. В соответствии с Федеральным законом от 24.07.1998 г. № 124-ФЗ «Об основных гарантиях прав ребенка в Российской Федерации» (с изменениями) образовательные учреждения обязаны ограничивать доступ учащихся к ресурсам сети Интернет, пропагандирующим насилие и жестокость, порнографию, наркоманию, токсикоманию, антиобщественное поведение.
Участникам образовательного процесса обеспечен доступ к информационным системам и информационно-телекоммуникационным сетям.
Порядок защиты персональных данных определяется, в том числе «Трудовым кодексом РФ», «Гражданским кодексом РФ». Эти документы помогают разработать методику для обеспечения защиты сведений, относящихся к коммерческой тайне. Кроме законов необходимо выделить действующие в этой сфере ГОСТы, определяющие порядок защиты данных, и применяемые в этих целях методики и аппаратные средства.
- Морально-этические средства обеспечения информационной безопасности.
В образовательной сфере большую роль играет система морально-этических ценностей. На ней должна основываться система мер, защищающих подростка от травмирующей, этически некорректной, незаконной информации. В целях защиты от пропаганды необходимо применять нормы Федерального закона от 24.07.1998 г. № 124-ФЗ «Об основных гарантиях прав ребенка в Российской Федерации» (с изменениями), определяющие его права на защиту от сведений, которые могут причинить моральную травму. Необходимо создавать перечни документов, программ и иных источников, которые могут травмировать психику детей, в целях недопущения их проникновения на территорию учебного заведения. Это станет одной из основ информационной безопасности.
- Административно-организационные меры.
Этот комплекс мер целиком построен на создании внутренних правил и регламентов, определяющих порядок работы с информацией и ее носителями. Это внутренние методики, посвященные информационной безопасности, должностные инструкции, перечни сведений, не подлежащих передаче. Дополнительно должен быть разработан регламент, определяющий порядок взаимодействия с компетентными органами по запросам о предоставлении им тех или иных данных и документов.
Кроме того, эти методики должны определять порядок доступа обучающихся к сети Интернет в компьютерных классах, возможность защиты некоторых ресурсов неоднозначного характера от доступа ребенка, запрет на пользование собственными носителями информации. Должно быть предусмотрено использование системы родительского контроля над ресурсами сети Интернет (в домашних условиях).
- Физические меры.
За данную систему мер и ее внедрение должно отвечать руководство образовательного учреждения и сотрудники, ответственные за информационную безопасность в учреждении. Перекладывать организацию мер физической защиты компьютерной сети и носителей на сотрудников наемных охранных подразделений недопустимо. Среди физических мер должна быть предусмотрена пропускная система защиты в помещения, содержащие носители информации, организация контроля доступа посетителей, установления различных степеней допуска. Кроме того, к мерам физической защиты может быть отнесено обязательное копирование значимой информации на диски компьютеров, не имеющих доступа к сети Интернет. Обязательно не только установление паролей, но и их регулярная замена.
- Технические меры.
Комплексную систему защиты всего периметра компьютерной сети должны обеспечивать специализированные программные продукты, например, DLP-системы и SIEM-системы, выявляющие все возможные угрозы безопасности и применяющие меры по борьбе с ними. Для тех образовательных заведений, бюджет которых не позволяет внедрение профессиональных систем, необходимо использование разрешенных и рекомендуемых программных мер защиты, в частности антивирусных программ.
Электронная почта, к которой имеют доступ сотрудники и обучающиеся, должна быть контролируема. Оптимально также ввести полный запрет на копирование любой информации с жестких дисков компьютеров образовательного учреждения.
Кроме того, должно быть предусмотрено программное обеспечение, ограничивающее доступ обучающегося на определенные сайты (контент-фильтры).
Контент-фильтр - устройство или программное обеспечение для фильтрации сайтов по их содержимому, не позволяющее получить доступ к определённым сайтам или услугам сети Интернет. Средствами контент-фильтрации доступа к сети Интернет являются аппаратно-программные или программные комплексы, обеспечивающие ограничение доступа к интернет-ресурсам, не совместимым с задачами образования и воспитания обучающихся.
Все меры должны применяться в комплексе, при этом необходимо определение одного или нескольких лиц, отвечающих за реализацию всех аспектов информационной безопасности. На родителей должны быть возложены обязанности по ограничению информации, которую ребенок может получить дома. Необходимо просматривать страницы, посещаемые ребенком. На основании анализа его поиска можно вносить изменения в перечень сайтов, доступ к которым ограничен с компьютеров, установленных в учебном заведении.
Принятые меры по созданию безопасной информационной системы в Калтанском СУВУ:
• Обеспечена защита компьютеров от внешних несанкционированных воздействий (компьютерные вирусы, логические бомбы, атаки хакеров и др.)
• Установлен строгий контроль за электронной почтой, обеспечен постоянный контроль за входящей и исходящей корреспонденцией.
• Установлены соответствующие пароли на персональные компьютеры.
• В наличии два сервера, которые позволяют протоколировать любые действия работников ОУ в локальной сети.
• Назначен ответственный за обеспечение информационной безопасности
• Разработан план работы по обеспечению информационной безопасности Калтанского СУВУ.