Информационная безопасность в образовательной организации

Особенности обеспечения информационной безопасности в образовательной организации

Основная отличительная особенность таких мер будет заключаться в их природе, так как защита требуется не только для личной информации, но и для образовательного процесса в целом.

Информацию, которую необходимо защищать, условно можно разделить на несколько классов:

• персональные данные студентов, профессоров и персонала;
• исследования, научные работы и интеллектуальная собственность организации;
• информация образовательного учреждения, обеспечивающая образовательный процесс.

Эти данные могут попасть в поле зрения злоумышленников и стать целью атак. Статистика показывает, что мошеннические действия направлены не только на хищение личной информации, но и на вмешательство в финансовую сферу организации. Последствия таких проникновений могут варьироваться от хищения научных исследований до изменения работы всей структуры.

Однако не все угрозы могут исходить извне. Сами студенты также могут стать источником ряда проблем. Случайно или намеренно от действий учащихся могут быть повреждены компьютерные системы или целые массивы данных.

Основные угрозы

Считается, что впервые атаки на системы информационной безопасности образовательных организаций были реализованы в начале 2000-х годов. Статистика показывает, что мотивы злоумышленников варьируются от кражи личных данных до финансовых махинаций. Ежегодно хакеры придумывают сотни новых способов и методов кражи данных, однако, следующие пять угроз являются постоянной проблемой для средних и высших образовательных учреждений.

1. Облачная безопасность

Сегодня многие школы и ВУЗы используют облачные платформы для связи со студентами, чтобы упростить распространение учебных ресурсов. В этом случае значительная часть персональных, финансовых и операционных данных хранятся не на сервере организации, а на стороннем ресурсе. Кроме того, все устройства «Интернета вещей», используемые в сочетании с облачными технологиями, еще больше расширяют карту угроз.

2. Распределенный отказ в обслуживании (DDoS)

DDoS-атаки наносят вред сети, отправляя в систему драматический поток запросов. Использование брандмауэров, антивирусного и другого специализированного программного обеспечения может помочь свести к минимуму вероятность DDoS-атаки. Тестирование на проникновение поможет выявить пробелы в этом направлении.

3. Вредоносное ПО

Программы-вымогатели, вирусы, троянцы и рекламное ПО относятся к категории вредоносных программ. Целесообразно потребовать (и проверить), чтобы студенты установили на свои устройства новейшее антивирусное программное обеспечение до подключения к университетской сети. Вредоносное ПО может привести к остановке операций, а также к вымогательству или мошенничеству со стороны злоумышленников.

4. Фишинг

Фишинговые электронные письма печально известны из-за своей способности преодолевать эшелонированную систему защиты. Сложность борьбы с ними в учебных заведениях возникает, когда злоумышленники подделывают реальные адреса электронной почты. Студенты переходят по вредоносным ссылкам и позволяют злоумышленнику получить доступ для всей системы. Повышение осведомленности сотрудников и учащихся служит одним из лучших способов защиты от фишинга наряду с использованием специального программного обеспечения, которое может идентифицировать мошеннические электронные письма или предупреждать пользователей о том, что письмо подозрительное.

Меры защиты

Проверка информационной безопасности включает проверку взаимодействия с облачными платформами, анализ методов хранения информации, данные электронной почты сотрудников и учащихся, аудит информационных порталов для обучение сотрудников, а также других систем, которые причастны к образовательному учреждению. Если в университете или школе нет надежной системы обеспечения кибербезопасности, современной ИТ-инфраструктуры или обученного персонала, образовательной организации следует рассмотреть возможность привлечения стороннего аудитора.

В процессе аудита университеты должны проанализировать все прошлые нарушения и инциденты и ранжировать возможные угрозы по вероятности их возникновения и возможному ущербу. Ниже приведены профильные наработки, которые позволяют обеспечить систему защиты данных.

Нормативно-правовой способ обеспечения информационной безопасности

Учебное заведение должно предотвращать агрессивное воздействие сторонней информации на разум подростка. Ключевым инструментом для обеспечения такого рода защиты будет «Национальная стратегия действий в интересах детей».

• конфиденциальная информация;
• персональные данные;
• коммерческая и служебная тайна.

Для обеспечения всех вышеупомянутых интересов студентов и преподавателей необходимо разработать методику, обеспечивающую защиту данных. При составлении такого рода документа необходимо руководствоваться основными законодательными актами Российской Федерации, а именно Трудовым кодексом, Гражданским кодексом, Федеральным законом от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации” и действующими стандартами.

Морально-этические средства обеспечения информационной безопасности

В сфере обеспечения информационной безопасности в школах и университетах важны вопросы морали и этики. Центральным документом является Федеральный закон от 24 июля 1998 г. № 124-ФЗ «Об основных гарантиях прав ребенка в Российской Федерации», который позволяет оградить несовершеннолетних от пропаганды, незаконной, нетактичной и аморальной информации. Такая система мер предусматривает тщательный контроль посещений определенного рода интернет-страниц, площадок и ресурсов.

Для создания нравственного микроклимата в образовательном учреждении необходимо создать ряд правил и внедрить специализированные программы, которые будут собирать опасные источники и сайты. С помощью подобного списка учебное заведение сможет предотвратить распространение травмирующих материалов на территории школы или ВУЗа.

Административно-организационные меры

Административно-организационные меры включают в себя политику информационной безопасности. Эта политика включает в себя ряд правил, методических пособий и инструкций, которые регламентируют работу с данными. Стоит отметить, что политика информационной безопасности образовательного учреждения носит исключительно внутренний характер и не должна распространяться за пределы учреждения.

Кроме пособий и инструкций этот документ должен включать дополнения в должностные инструкции преподавателей и всего административного персонала. С помощью определенного свода правил руководство организации сможет контролировать весь процесс работы с информацией.

Дополнительным разделом в политике информационной безопасности должен являться порядок доступа к сети Интернет. Раздел должен регламентировать работу учащихся на сторонних сайтах и доступ к внутренним программам. В дополнение, Политика должна содержать раздел «Родительский контроль», который поможет не допускать учащихся к сомнительным сайтам дома.

Физические меры

К физическим мерам относятся мероприятия по проверке физических лиц на предмет наличия запрещенных предметов:

• организованная пропускная система;
• проверка данных на USB-накопителях;
• организация доступа к тем или иным информационным ресурсам;
• система видеонаблюдения;
• организация резервного копирования важных информационных ресурсов.

Ответственность за соблюдение физических мер защиты должна распределяться между руководством учебного заведения и специалистами информационного подразделения. Некоторая часть защитных мер может перекладываться на подразделение охраны учебного заведения (например, установка системы видеонаблюдения). Кроме того, университет или школа должны обеспечить доступ к информации путем установления паролей.

Технические меры

Существуют специализированные программные продукты, цель которых заключается в выявлении и борьбе со всевозможными угрозами безопасности. К таким программам можно отнести DLP-системы и SIEM-системы. С помощью этих инструментов образовательное учреждение сможет обеспечить комплексную защиту данных от преднамеренного вмешательства. Однако, некоторые учебные заведения, в связи с недостаточным финансированием, не способны обеспечить себя дорогостоящим программным обеспечением. В этом случае общая рекомендация заключается в использовании, как минимум, лицензированных антивирусов. Но необходимо помнить, что этого недостаточно.

Необходимо контролировать электронную почту сотрудников и учащихся и устанавливать специальные спам-фильтры. Для профилактики руководство может полностью ограничить доступ к данным, которые находятся на жестких дисках компьютеров. В дополнение, образовательное учреждение может установить ПО, которое будет не допускать посещение сайтов с определенным контентом, например, пропагандистские и экстремистские сайты.

Синергия этих мер позволит защитить компьютерные системы организации не только от намеренных действий злоумышленников, но и от случайных действий учащихся. Дополнительный мониторинг могут осуществлять обученные специалисты, которые будут контролировать работу существующих средств защиты и пополнять этот список.