Правовое регулирование
Основными НПА, которыми необходимо руководствоваться при организации работы по обеспечению информационной безопасности, защиты информационных систем и ресурсов в Республике Беларусь, являются:
Справочно: список иных НПА в области электросвязи, информатизации, безопасности и защиты информации, международные стандарты в области информационной безопасности продуктов и систем информационных технологий можно изучить на сайтах Оперативно-аналитического центра при Президенте Республики Беларусь в разделе «Право», Министерства связи и информатизации Республики Беларусь в разделе «Перечень НПА» и т. д.
Информационная безопасность учреждения
Под информационной безопасностью понимается состояние защищенности сбалансированных интересов личности, общества и государства от внешних и внутренних угроз в информационной сфере. Достигается это в т. ч. за счет реализации системы мер правового, организационно-технического и организационно-экономического характера по выявлению угроз информационной безопасности, предотвращению их реализации, пресечению и ликвидации последствий реализации таких угроз.
Информационная безопасность — важный аспект функционирования учреждения образования, который позволяет защитить информацию и информационную инфраструктуру учреждения от негативных воздействий. Такие воздействия могут носить случайный или преднамеренный, внутренний или внешний характер. Результатом таких вмешательств может стать потеря важной информации, ее несанкционированное изменение или использование третьими лицами.
Информационная безопасность учреждения образования должна строиться исходя из принципов:
1) конфиденциальности, под которой понимают организацию и поддержку эффективного контроля для обеспечения достаточной степени безопасности данных, активов и информации на различных этапах деятельности учреждения образования для исключения несанкционированного или нежелательного раскрытия.
Поддержка конфиденциальности обязательно применяется при сохранении и передаче информации в любом формате;
2) целостности, которая охватывает элементы управления, обеспечивающие внутреннюю и внешнюю последовательность информации.
Обеспечение принципа целостности позволяет исключить возможность искажения данных на любом из этапов деловых операций;
3) доступности, под которой подразумевается поддержка полноценного и надежного доступа к информации для должностных лиц, имеющих соответствующие полномочия. Ключевым моментом является предсказуемость процессов, протекающих в сетевой среде, чтобы пользователи имели возможность доступа к необходимым данным в нужный момент времени. Одним из важных факторов доступности информации является возможность быстрого и полного восстановления системы после сбоев;
4) контроля, который должен действовать ежедневно и круглосуточно на каждом из этапов жизненного цикла информации, начиная с момента ее поступления в инфраструктуру учреждения образования и заканчивая потерей ее актуальности или уничтожением данных. Обеспечить полноценную и надежную информационную безопасность можно только при условии применения комплексного и системного подхода. Контроль является необходимым условием при создании системы информационной безопасности, которая должна быть построена с учетом всех актуальных угроз и уязвимостей, а также тех угроз, которые могут возникнуть в будущем. Можно выделить:
- административный контроль, который представляет собой систему, состоящую из комплекса установленных стандартов, принципов и процедур. Этот вид контроля определяет границы для осуществления деятельности учреждения образования и управления персоналом. Он включает законодательные акты, принятую в учреждении образования политику безопасности, систему найма сотрудников, дисциплинарные и другие меры;
- логический контроль, который предусматривает использование средств управления (средств технического контроля), защищающих информационные системы от нежелательного доступа. Эти средства объединяют специальное программное обеспечение, брандмауэр или межсетевой экран, пароли и т. д.;
- физический контроль, который сосредоточен на среде рабочих мест и средствах вычисления. Физический контроль в т. ч. предусматривает обеспечение эффективного функционирования инженерных систем учреждения образования, работа которых может повлиять на хранение и передачу информации (к примеру, системы отопления и кондиционирования воздуха, противопожарная система). Другой важной составляющей физического контроля являются системы контроля и управления доступом к объектам.
Угрозы информационной безопасности
При организации работы по обеспечению информационной безопасности следует учитывать, что информационная инфраструктура учреждения образования постоянно подвергается многочисленным угрозам: естественным (ураганы, пожары, удары молнии, наводнения, другие природные катаклизмы), искусственным (комплекс угроз информационной безопасности, созданных человеком), преднамеренным (хакерские атаки, вредительство обиженных сотрудников и т. д.), непреднамеренным (возникают в результате действий, совершенных из-за недостатка компетентности или по неосторожности), внутренним и внешним, пассивным (факторы воздействия, которые не могут изменять содержание и структуру информации) и активным (вредоносное программное обеспечение).
Обратите внимание
Главную опасность представляют искусственные преднамеренные угрозы. Учитывая все более возрастающую цифровизацию всех сфер деятельности, в т. ч. системы образования, эти угрозы также бурно развиваются. В поисках способов получения секретных сведений и нанесения вреда злоумышленники активно используют современные технологии и программные решения. Одним из способов противодействия их действиям является использование в учреждении образования средств защиты информации, под которыми понимают технические, программные, программно-аппаратные средства, предназначенные для защиты информации, а также средства контроля эффективности ее защищенности.
Как защититься
Средства защиты информации в зависимости от способов их реализации бывают следующих типов:
- организационные — комплекс мер и средств организационно-правового и организационно-технического характера. К первым относят законодательные и нормативные акты, локальные документы учреждения образования, ко вторым — меры по обслуживанию информационной инфраструктуры объекта;
- аппаратные (технические) — специальное оборудование и устройства, предотвращающие утечку информации, защищающие от проникновения в ИТ-инфраструктуру;
- программные — специальное программное обеспечение, предназначенное для защиты, контроля, хранения информации;
- программно-аппаратные — специальное оборудование с установленным программным обеспечением для защиты данных.
Наиболее широкое распространение сегодня получили программные средства защиты информации. Они в полной мере отвечают требованиям эффективности и актуальности, регулярно обновляются, эффективно реагируя на актуальные угрозы искусственного характера.
Справочно: общие сведения о средствах защиты информации, реестр сведений о средствах защиты информации, прошедших экспертизу и сертификацию, содержатся на сайте Оперативно-аналитического центра при Президенте Республики Беларусь в соответствующем разделе.
Приведем минимальный перечень необходимых мер защиты информации в учреждении образования.
1. Назначение администратора информационной безопасности.
Приказом руководителя учреждения образования назначается сотрудник на должность администратора информационной безопасности. Требования к кандидату на должность:
- уверенное владение персональным компьютером;
- знание на базовом уровне компьютерных сетей;
- знание основ безопасности информационных сетей.
Кандидат на данную должность при наличии родственной специальности может пройти соответствующее обучение (переподготовку) по курсу «Компьютерные сети», «Администрирование локальной сети», «Основы безопасности информационных технологий» и т. д. в организациях Республики Беларусь.
2. Организация работы по защите персональных данных.
Отношения, связанные с защитой персональных данных при их обработке, регулирует Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон).
В соответствии с Законом необходимо реализовать следующий комплекс мер:
- приказом руководителя назначить лиц, ответственных за осуществление контроля за обработкой персональных данных (лиц, напрямую работающих с системой, в которой обрабатываются персональные данные);
- лицо, ответственное за информационную систему, должно разработать необходимые документы (регламент, положение и т. п.) в соответствии с законодательством Республики Беларусь, в которых будет описан порядок доступа к персональным данным, их обработки;
- разработать политику безопасности информационных систем в отношении обработки персональных данных;
- ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в т. ч. с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных;
- провести обучение ответственных работников в порядке, установленном законодательством;
- определить меры технической и криптографической защиты персональных данных.
Кроме этого, руководитель учреждения образования обязан обеспечить безопасное хранение персональных данных.
Получение, обработка, хранение и любое другое использование персональных данных обучающихся может осуществляться исключительно в целях обеспечения их обучения и воспитания.
Руководителю учреждения образования необходимо учитывать, что в соответствии с Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» организацией, уполномоченной давать разъяснения по вопросам применения законодательства о персональных данных, проводить иную разъяснительную работу о законодательстве о персональных данных, является Национальный центр защиты персональных данных Республики Беларусь.
3. Организация защиты веб-сайта учреждения образования.
Согласно законодательству сайт государственного учреждения образования должен размещаться у уполномоченных поставщиков интернет-услуг, актуальную информацию о которых можно получить на сайте Оперативно-аналитического центра при Президенте Республики Беларусь в соответствующем разделе.
Это важно
Владельцу интернет-ресурса рекомендуется заключить договор на его обслуживание, в котором будет определена ответственность организации за защиту сайта, а также обязанность при любых неполадках и атаках на сайт привести его в исходное рабочее состояние.
Для защиты своего веб-сайта учреждению образования необходимо использовать CMS со встроенными средствами диагностики и сканером безопасности (например, CMS Битрикс). У всех администраторов и редакторов сайта должен быть сложный пароль длиной не менее 8 символов с буквами разного регистра, цифрами и специальными символами.
Защиту веб-сайта учреждения образования обеспечивает администратор информационной безопасности. Администратору информационной безопасности необходимо:
- ежедневно проверять журнал вторжений и сообщать руководству о случаях угрозы;
- проверять ссылку на веб-сайт дополнительными интернет-антивирусами (Dr.WEB, SiteCheck, ThreatSign и др.);
- вести ежедневный учет вторжений;
- еженедельно совершать резервное копирование веб-сайта.
Обратите внимание
В учреждении образования рекомендуется разработать соответствующее положение (регламент) по технической поддержке и информационному наполнению веб-сайта.
4. Организация работы по защите электронной почты учреждения образования.
Для работы с системой обмена электронными сообщениями (электронной почтой) в учреждениях образования необходимо использовать серверы электронной почты провайдеров, которые располагаются на территории Республики Беларусь. Использование бесплатных почтовых сервисов (Gmail, Яндекс.Почта, Mail.ru и т. п.) в рабочих целях недопустимо.
Использование учреждениями образования в рабочих целях интернет-услуг, в т. ч. серверов электронной почты провайдеров, регламентируется Указом Президента Республики Беларусь от 18.09.2019 № 350 «Об особенностях использования национального сегмента сети Интернет».
Заведующему на заметку
Для идентификации системы электронной почты учреждения образования приказом заведующего необходимо определить систему официальных адресов электронной почты, используемых работниками, и закрепить это в локальных документах учреждения. Список официальных адресов электронной почты должен быть доступен системному администратору и руководителю учреждения образования и храниться в сейфе.
При выборе имени пользователя (логина) для сотрудников необходимо придерживаться делового стиля. Рекомендуется, чтобы логин содержал фамилию сотрудника и, при необходимости, его инициалы.
ПРИМЕР
ivanov@example.by (Иванов),
petrovsi@example.by (Петров Сергей Игоревич).
Можно организовать почтовые ящики для подразделений, определенных сервисов с логином, в котором будет отображаться наименование подразделения (сервиса).
Доменное имя электронной почты (в примере выше — example.by) должно содержать сокращенное наименование учреждения образования.
Для выполнения служебных обязанностей работники учреждения должны пользоваться официальными почтовыми ящиками, доступ к которым предоставляется системным администратором почтового сервиса учреждения образования.
При отправке сообщений посредством электронной почты необходимо использовать подпись, содержащую фамилию, имя, отчество, должность сотрудника, его рабочий телефон и (или) информацию о подразделении (сервисе).
ПРИМЕР
С уважением,
Иванова Светлана Николаевна, заместитель заведующего по основной деятельности государственного учреждения образования «Сад № 123 г. П.»
2757575
Работа с электронной почтой должна регламентироваться правилами ее использования, утвержденными руководителем учреждения образования.
Кроме этого, в целях обеспечения информационной безопасности учреждений образования, профилактики ложных сообщений об опасности, поступающих в учреждения образования, противодействия киберпреступлениям целесообразно внедрить комплекс мер, направленных на снижение мотивации киберпреступников к совершению указанного вида противоправных деяний, в т. ч.:
- исключить использование в учреждениях образования электронных почтовых ящиков, зарегистрированных вне национального сегмента сети Интернет. Запретить указание на сайтах учреждений наименований электронных почтовых ящиков, зарегистрированных на бесплатных зарубежных сервисах (yandex.ru, mail.ru, list.ru, gmail.com и т. д.);
- для деловой переписки завести для каждого субъекта и использовать только почтовые ящики, расположенные внутри национального сегмента сети Интернет;
- настроить дополнительный фильтр, блокирующий сообщения, направленные с IP-адресов, выделенных провайдерам иностранных государств, или с использованием средств анонимизации в сети Интернет (TOR, VPN, Proxy и т. д.);
- на сайте учреждения образования разместить информацию о невозможности направления электронных обращений с IP-адресов, выделенных провайдерам иностранных государств, или с использованием средств анонимизации в сети Интернет. Разработать форму обратной связи, на которой пользователь выбирает город (район), тип учреждения, его наименование, и при этом включить обязательное к заполнению поле — номер телефона белорусского оператора подвижной электрической связи, на который придет СМС с кодом, введение которого в форму обратной связи позволит оставить сообщение. Услуги СМС-агрегатора, к примеру, предоставляет РУП «Белтелеком»;
- для дополнительной защиты включить углубленный учет статистики посещений страницы обратной связи, а также настроить защиту от автоматической рассылка (капча);
- настроить фильтрацию сообщений, содержащих в заголовке или теле письма ключевые слова «взрыв», «бомба», «мина», «опасность» и т. д. Указанные письма не должны в автоматическом режиме доставляться адресату, а лицу, пытающемуся направить такое сообщение, предлагается обратиться в правоохранительные органы по телефону, в т. ч. на условиях анонимности.
Реализация указанных мероприятий позволит значительно снизить нагрузку на учреждения образования и обеспечить безопасность преподавательского состава, работников и обучающихся.
5. Контроль работы с информацией индивидуального характера.
Лицо, ответственное за информационную безопасность, обязано систематически проверять, выполняются ли все необходимые условия как при работе сотрудников учреждения образования с персональными данными, так и при их передаче в уполномоченные организации.
Администратор информационной безопасности обязан принимать меры реагирования в случае невыполнения необходимых условий при работе с информацией индивидуального характера. Кроме того, все операции учреждения образования с персональными данными должны быть подвергнуты учету и документированию.