Информационная безопасность

Угрозам намеренного или ненамеренного воздействия могут подвергаться следующие группы объектов:

• компьютерное и другое оборудование образовательной организации, в отношении которого возможны воздействия вредоносного ПО, физические и другие воздействия;
• программное обеспечение, применяемое в учебном процессе или для работы системы;
• данные, которые хранятся на жестких дисках или портативных носителях;
• дети и подростки, которые могут подвергаться стороннему информационному воздействию;
• персонал, поддерживающий работу ИТ-системы.

Угрозы информационной безопасности образовательного учреждения могут носить непреднамеренный и преднамеренный характер.

К угрозам первого типа (непреднамеренного) относятся:

• аварии и чрезвычайные ситуации – затопление, отключение электроэнергии и т. д.;
• программные сбои;
• поломки оборудования;
• сбои систем связи.

Особенностью непреднамеренных угроз является их временное воздействие. В большинстве случаев результаты их реализации предсказуемы, достаточно эффективно и быстро устраняются подготовленным персоналом.

Намного более опасными являются угрозы информационной безопасности второго типа намеренного характера. Обычно результаты их реализации невозможно предвидеть. Намеренные угрозы могут исходить от учащихся, персонала организации, конкуренты, хакеры. Лицо, осуществляющее преднамеренное воздействие на компьютерные системы или программное обеспечение, должно быть достаточно компетентным в их работе. Наиболее уязвимыми являются сети с удаленным в пространстве расположением компонентов. Злоумышленники могут достаточно легко нарушать связи между такими удаленными компонентами, что полностью выводит систему из строя.

Существенную угрозу представляет хищение интеллектуальной собственности и нарушение авторских прав. Также внешние атаки на компьютерные сети образовательной организации могут предприниматься для воздействия на сознание детей. Наиболее серьезная угроза – возможность вовлечения детей в криминальную или террористическую деятельность

Для хищения данных, создания нарушений в работе информационной системы и для других действий требуется несанкционированный доступ. Различают следующие виды несанкционированного доступа:

• Человеческий. Предусматривает хищение сведений методом их отправки по электронной почте или копирования на портативные носители, внесение вручную изменений в базы данных при наличии физического доступа к серверу.
• Аппаратный. Применение специального оборудования для хищения данных или внесения изменений в систему. В том числе может применяться оборудование для перехвата электромагнитных сигналов.
• Программный. Применение специального программного обеспечения для перехвата данных, копирования паролей, дешифровки и перенаправления трафика, внесения изменений в функционирование другого софта и т. д.

Немало важную роль в информационной безопасности играет и цифровая компетенция учащихся и педагогов, которая включает в себя:

• информационную безопасность (защита от клипового мышления, умение проверять достоверность информации, умение избегать лишней информации);
• коммуникативную безопасность (культура сетевого этикета, цифровой имидж, цифровой след);
• техническую безопасность (навык по работе с компьютером, гаджетами, сетью, программами и другими устройствами, от которого зависит сохранность личных данных);
• потребительскую безопасность (умение быть грамотным покупателем и ответственным потребителем контента в сети).

Формировать цифровую компетенцию можно с помощью проведения Единых уроков безопасности в сети интернет, декады безопасности в сети интернет, проведения тематических классных часов, разработка и реализация программ внеурочной деятельности.

Очень важно вести  просветительскую работу не только с детьми, но и с родителями.

Современные технологии информационной безопасности образовательной организации предусматривают обеспечение защиты на 5 уровнях:

• нормативно-правовой;
• морально-этический;
• административно-организационный;
• физический;
• технический.

Нормативно-правовой способ защиты

Основным документом, определяющим степень угроз и меры обеспечения информационной безопасности обучающихся в образовательной организации, является «Национальная стратегия действий в интересах детей». Она предусматривает приоритет мер, направленных на защиту сознания ребенка от информационного воздействия агрессивного характера. Меры по защите информационных систем и баз данных имеют второй уровень приоритетности.

Законодательством определяются данные, которые должны быть защищены от несанкционированного доступа третьих лиц. К числу таких сведений относятся:

• персональные данные;
• конфиденциальные сведения;
• служебная, профессиональная, коммерческая тайна.

Порядок обеспечения безопасности персональных данных регламентируется Трудовым кодексом, Гражданским кодексом, Федеральным законом «Об информации» и другими актами.

Морально-этические средства обеспечения информационной безопасности

Система морально-этических ценностей имеет особое значение в сфере образования. Она служит основой для выработки комплекса мер, направленных на защиту детей и подростков от информации этически некорректного, травмирующего, противозаконного характера. Защита детей от пропаганды основывается на законе «О защите прав ребенка». Этим актом определяются права детей на защиту от информации, которая может стать причиной моральной травмы.

В рамках мер по обеспечению информационной безопасности создаются перечни источников (программ, документов и т. д.) способных травмировать детскую психику. В результате принимаемых мер должен предотвращаться доступ таких источников на территорию образовательного учреждения.

Меры административно-организационного характера

Система административно-организационных мер строится на базе внутренних регламентов и правил организации, которыми регламентируется порядок обращения с информацией и ее носителями. В том числе должны быть разработаны:

• должностные инструкции;
• внутренние методики по информационной безопасности;
• перечни не подлежащих передаче данных;
• регламент взаимодействия с уполномоченными государственными органами по запросам о предоставлении информации и т. д.

Разработанными методиками должен определяться порядок доступа учеников в интернет во время занятий в компьютерных классах, меры по предотвращению доступа детей к определенным ресурсам, предотвращение использования ими своих носителей информации и т. д.

Физические меры

Ответственность за реализацию мер защиты компьютерной сети и носителей информации физического характера несет непосредственно руководитель образовательной организации и ее IT-персонал. Не допускается перекладывание этих мер на наемные охранные структуры.

Для обеспечения компьютерной безопасности образовательной организации рекомендуется.

1. Обеспечить защиту компьютеров от внешних несанкционированных воздействий (компьютерные вирусы, логические бомбы, атаки хакеров и т. д.). Решение данной проблемы возможно только при условии, исключающем вывод локальных сетей ОУ на Интернет, либо размещение своего сайта у удаленного провайдера.
2. Необходимо иметь как минимум два сервера. Наличие хороших серверов позволит протоколировать любые действия работников ОУ в вашей локальной сети.
3. Установить контроль за электронной почтой, обеспечив постоянный контроль за входящей и исходящей корреспонденцией.
4. Установка соответствующих паролей на персональные компьютеры администрации и педагогов, а также определение работы с информацией на съемных носителях;
5. Использование лицензионного программного обеспечения.

Технические меры

Технические, аппаратно-программные меры включают в себя системы контентной фильтрации (СКФ). Способы организации СКФ:

• фильтрующий сервер в интернете;
• услуга фильтрации от провайдера;
• СКФ уровня ОО.

Технологии организации системы контент-фильтрации:

• ограничение доступа к ресурсам. Интернет – черный список (запрещенные сайты).
• предоставление доступа к ресурсам. Интернет – белый список (разрешенные сайты).

В дополнении к вышеперечисленному в ч. 5 ст. 46 Федерального закона от 07.07.2003г. №126-ФЗ «О связи» операторы связи, оказывающие услуги по предоставлению доступа к информационно-телекоммуникационной сети Интернет, также обязаны осуществлять ограничение доступа к информации, распространение которой на территории России запрещено.

В образовательном учреждении могут быть приняты следующие меры по обеспечению информационной безопасности участников образовательного процесса:

- защита компьютеров от внешних несанкционированных воздействий (компьютерные вирусы, атаки хакеров и т. д.) через использование  программно-технических средств антивирусной защиты компьютерной техники в образовательном учреждении и своевременное их обновление;

 - заключен договор с провайдером по осуществлению контентной фильтрации трафика, ежемесячно проводится контроль фильтрации сайтов с содержимым, не соответствующим задачам образования;

 - обучение детей основам информационной безопасности, воспитание информационной культуры через уроки компьютерной грамотности, классные часы, уроки безопасного поведения в сети интернет в рамках программы учебного предмета «Основы безопасности жизнедеятельности»;

 - систематический инструктаж педагогических работников и обучающихся по вопросам информационной безопасности с фиксацией в ведомостях инструктажей;

  - ведение журнала регистрации выхода учащихся и педагогов в Интернет с фиксацией в журнале по использованию цифрового оборудования;

 - ознакомление родителей с нормативно-правовой базой по защите детей от распространения вредной для них информации на родительских собраниях и на странице школьного сайта «Информационная безопасность»;

 - обеспечение доступа обучающихся (в библиотеке, кабинете информатики) и педагогов (в учительской) к электронным образовательным ресурсам сети Интернет.

Процесс информатизации стал неотъемлемой частью нашего общества, тем самым объединив мир в единую общую систему. Информация обладает определенной силой воздействия на каждого из нас. Человек стал зависим от глобального информационного пространства, поэтому в настоящее время обеспечение информационной безопасности является одной из приоритетных задач мирового уровня.