Правовое регулирование
Основными НПА, регулирующими организацию работы по обеспечению информационной безопасности, защиты информационных систем и ресурсов в Республике Беларусь, являются:
Справочно: список иных НПА Республики Беларусь в области электросвязи, информатизации, безопасности и защиты информации, международных стандартов в области информационной безопасности продуктов и систем информационных технологий можно изучить на сайтах Оперативно-аналитического центра при Президенте Республики Беларусь в разделе «Право», Министерства связи и информатизации Республики Беларусь в разделе «Перечень НПА» и т. д.
Информационная безопасность учреждения
Под информационной безопасностью понимается состояние защищенности сбалансированных интересов личности, общества и государства от внешних и внутренних угроз в информационной сфере. Достигается это в т. ч. путем реализации системы мер правового, организационно-технического и организационно-экономического характера по выявлению угроз информационной безопасности, предотвращению их реализации, пресечению и ликвидации последствий реализации таких угроз.
Информационная безопасность — важный аспект функционирования учреждения образования, который позволяет защитить информацию и информационную инфраструктуру учреждения образования от негативных воздействий. Такие воздействия могут носить случайный или преднамеренный, внутренний или внешний характер. Результатом таких вмешательств может стать потеря важной информации, ее несанкционированное изменение или использование третьими лицами.
Информационная безопасность учреждения образования должна строиться исходя из принципов:
1) конфиденциальности, под которой понимают организацию и поддержку эффективного контроля для обеспечения достаточной степени безопасности данных, активов и информации на различных этапах деятельности учреждения образования и исключения несанкционированного или нежелательного раскрытия.
Поддержка конфиденциальности обязательно применяется при сохранении и передаче информации в любом формате;
2) целостности, которая охватывает элементы управления, обеспечивающие внутреннюю и внешнюю последовательность информации.
Обеспечение принципа целостности позволяет исключить возможность искажения данных на любом из этапов деловых операций;
3) доступности, которая поддерживает полноценный и надежный доступ к информации для должностных лиц, имеющих соответствующие полномочия. Ключевым моментом является предсказуемость процессов, протекающих в сетевой среде, чтобы пользователи имели возможность доступа к необходимым данным в нужный момент времени. Одним из важных факторов доступности информации является возможность быстрого и полного восстановления системы после сбоев;
4) контроля, который должен действовать ежедневно и круглосуточно на каждом из этапов жизненного цикла информации, начиная с момента ее поступления в инфраструктуру учреждения образования и заканчивая потерей ее актуальности или уничтожением данных. Обеспечить полноценную и надежную информационную безопасность можно только при условии применения комплексного и системного подхода. Обеспечение контроля является необходимым условием при создании системы информационной безопасности, которая должна быть построена с учетом всех актуальных угроз и уязвимостей, а также тех угроз, которые могут возникнуть в будущем. Можно выделить:
- административныйконтроль, который представляет собой систему, состоящую из комплекса установленных стандартов, принципов и процедур. Этот вид контроля определяет границы для осуществления деятельности учреждения образования и управления персоналом. Он включает нормативные акты, принятую в учреждении образования политику безопасности, систему найма сотрудников, дисциплинарные и другие меры;
- логический контроль, который предусматривает использование средств управления (средств технического контроля), защищающих информационные системы от нежелательного доступа. Эти средства объединяют специальное программное обеспечение, брандмауэр или межсетевой экран, пароли и т. д.;
- физический контроль, который сосредоточен на среде рабочих мест и средствах вычисления. Физический контроль в т. ч. предусматривает обеспечение эффективного функционирования инженерных систем учреждения образования, работа которых может повлиять на хранение и передачу информации, к примеру, системы отопления и кондиционирования воздуха, противопожарной системы. Другой важной составляющей физического контроля являются системы контроля и управления доступом к объектам.
Угрозы информационной безопасности
При организации работы по обеспечению информационной безопасности следует учитывать, что информационная инфраструктура учреждения образования постоянно подвергается многочисленным угрозам — естественным (ураганы, пожары, удары молнии, наводнения, другие природные катаклизмы), искусственным (комплекс угроз информационной безопасности, созданных человеком), преднамеренным (хакерские атаки, вредительство обиженных сотрудников и т. д.), непреднамеренным (возникают в результате действий, совершенных из-за недостатка компетентности или по неосторожности), внутренним и внешним, пассивным (факторы воздействия, которые не могут изменять содержание и структуру информации) и активным (вредоносное программное обеспечение).
Обратите внимание
Главную опасность представляют искусственные преднамеренные угрозы. Учитывая все более возрастающую цифровизацию всех сфер деятельности, в т. ч. и системы образования, эти угрозы также бурно развиваются. В поисках способов получения секретных сведений и нанесения вреда злоумышленники активно используют современные технологии и программные решения. Одним из способов противодействия их действиям является использование в учреждении образования средств защиты информации, под которыми понимают технические, программные, программно-аппаратные средства, предназначенные для защиты информации, а также средства контроля эффективности ее защищенности.
Как защититься
В зависимости от используемых способов реализации средства защиты информации бывают следующих типов:
- организационные — комплекс мер и средств организационно-правового и организационно-технического характера. К первым относят законодательные и нормативные акты, локальные нормативные документы учреждения образования. Второй тип — это меры по обслуживанию информационной инфраструктуры объекта;
- аппаратные (технические) — специальное оборудование и устройство, предотвращающее утечки, защищающее от проникновения в ИТ-инфраструктуру;
- программные — специальное программное обеспечение, предназначенное для защиты, контроля, хранения информации;
- программно-аппаратные — специальное оборудование с установленным программным обеспечением для защиты данных.
Наиболее широкое распространение сегодня получили программные средства защиты информации. Они в полной мере отвечают требованиям эффективности и актуальности, регулярно обновляются, эффективно реагируя на актуальные угрозы искусственного характера.
Справочно: общие сведения о средствах защиты информации, реестр сведений о средствах защиты информации, прошедших экспертизу и сертификацию, содержатся на сайте Оперативно-аналитического центра при Президенте Республики Беларусь в соответствующем разделе.
Приведем минимальный перечень необходимых мер по защите информации в учреждении образования.
1. Назначение администратора информационной безопасности.
Приказом руководителя учреждения образования назначается сотрудник на должность администратора информационной безопасности. Требования к кандидату на должность администратора информационной безопасности:
- уверенное владение персональным компьютером;
- знание на базовом уровне компьютерных сетей;
- знание основ безопасности информационных сетей.
Кандидат на данную должность при условии наличия родственной специальности может пройти соответствующее обучение (переподготовку) по курсу «Компьютерные сети», «Администрирование локальной сети», «Основы безопасности информационных технологий» и т. д. в организациях Республики Беларусь.
2. Организация работы по защите персональных данных.
Отношения, связанные с защитой персональных данных при их обработке, регулирует Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон).
В соответствии с Законом необходимо реализовать следующий комплекс мер:
- приказом руководителя назначить лиц, ответственных за осуществление контроля за обработкой персональных данных (лиц, напрямую работающих с системой, в которой обрабатываются персональные данные);
- лицу, ответственному за информационную систему, нужно разработать необходимые документы (регламент, положение и т. п.) в соответствии с законодательством Республики Беларусь, в которых будет описан порядок доступа к персональным данным, их обработки;
- разработать политику безопасности информационных систем в отношении обработки персональных данных;
- ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в т. ч. с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных;
- провести обучение ответственных работников в порядке, установленном законодательством;
- определить меры технической и криптографической защиты персональных данных.
Кроме этого, руководитель учреждения образования обязан обеспечить безопасное хранение персональных данных.
Получение, обработка, хранение и любое другое использование персональных данных обучающихся могут осуществляться исключительно в целях обеспечения их обучения и воспитания.
Обратите внимание
Личные дела обучающихся должны храниться в бумажном виде в папках и находиться в специальном шкафу, обеспечивающем защиту от несанкционированного доступа. Кроме того, персональные данные обучающихся могут храниться в электронном виде в специализированных базах данных (при их наличии). Доступ к электронным базам данных, содержащим персональные данные, должен обеспечиваться системой паролей. Пароли должны иметь высокую сложность, включая в себя символы верхнего и нижнего регистров, цифры и т. д.
Руководителю учреждения образования необходимо учитывать, что в соответствии с Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» организацией, уполномоченной давать разъяснения по вопросам применения законодательства о персональных данных, проводить иную разъяснительную работу о законодательстве о персональных данных, является Национальный центр защиты персональных данных Республики Беларусь.
3. Организация работы по защите сайта учреждения образования.
Согласно законодательству сайт государственного учреждения образования должен размещаться у уполномоченных поставщиков интернет-услуг, актуальную информацию о которых можно получить на сайте Оперативно-аналитического центра при Президенте Республики Беларусь в соответствующем разделе.
Это важно
Владельцу интернет-ресурса рекомендуется заключить договор на обслуживание веб-ресурса, в котором будут определены ответственность организации за защиту сайта, а также обязанность при любых неполадках и атаках на сайт привести его в исходное рабочее состояние.
Для защиты своего сайта учреждению образования необходимо использовать CMS со встроенными средствами диагностики и сканером безопасности (например, CMS «Битрикс»). У всех администраторов и редакторов сайта должен быть сложный пароль длиной не менее 8 символов с буквами разного регистра, цифрами и специальными символами.
Защиту сайта учреждения образования обеспечивает администратор информационной безопасности. Администратору информационной безопасности необходимо:
- ежедневно проверять журнал вторжений и сообщать руководству о случаях угрозы;
- проверять ссылку на сайт дополнительными интернет-антивирусами (Dr. Web, SiteCheck, ThreatSign и др.);
- вести ежедневный учет вторжений;
- еженедельно совершать резервное копирование сайта.
Обратите внимание
В учреждении образования рекомендуется разработать соответствующее положение (регламент) по технической поддержке и информационному наполнению сайта.
4. Организация работы по защите электронной почты учреждения образования.
Для работы с системой обмена электронными сообщениями (электронной почтой) в учреждении образования необходимо использовать серверы электронной почты провайдеров, которые располагаются на территории Республики Беларусь. Использование бесплатных почтовых сервисов (Gmail, Яндекс.Почта, Mail.ru и т. п.) в рабочих целях является недопустимым.
Использование интернет-услуг, в т. ч. сервера электронной почты провайдера, учреждениями образования в рабочих целях регламентируется Указом Президента Республики Беларусь от 18.09.2019 № 350 «Об особенностях использования национального сегмента сети Интернет».
Директору на заметку
Для идентификации системы электронной почты учреждения образования приказом директора необходимо определить систему официальных адресов электронной почты, используемых работниками учреждения образования, и закрепить это в локальных документах учреждения. Список официальных адресов электронной почты должен быть доступен системному администратору и руководителю учреждения образования и храниться в сейфе.
При выборе имени пользователя (логина) для сотрудников учреждения необходимо придерживаться делового стиля. Рекомендуется, чтобы логин содержал фамилию сотрудника и, при необходимости, его инициалы.
ПРИМЕР
ivanov@example.by (Иванов) petrovsi@example.by (Петров Сергей Игоревич)
Можно организовать почтовые ящики для подразделения, определенных сервисов с логином, название которого будет отображать наименование подразделения (сервиса).
Доменное имя электронной почты (в примере выше — example.by) должно содержать сокращенное наименование учреждения образования.
При отправке сообщений посредством электронной почты нужно использовать подпись, содержащую фамилию, имя, отчество, должность сотрудника, его рабочий телефон и (или) информацию о подразделении (сервисе).
ПРИМЕР
С уважением,
Иванова Светлана Николаевна, заместитель директора по учебной работе государственного учреждения образования «Средняя школа № 1234 г. Н.»
2757575
Работа с электронной почтой должна регламентироваться правилами ее использования, утвержденными руководителем учреждения образования.
Для выполнения служебных обязанностей работники учреждения образования должны пользоваться официальными почтовыми ящиками, доступ к которым предоставляется системным администратором почтового сервиса учреждения образования.
Кроме этого, в целях обеспечения информационной безопасности учреждения образования, профилактики ложных сообщений об опасности, поступающих в учреждения образования, противодействия киберпреступлениям целесообразно внедрить комплекс мер, направленных на снижение мотивации киберпреступников к совершению указанного вида противоправных деяний, в т. ч.:
- исключить наличие в пользовании учреждения образования электронных почтовых ящиков, зарегистрированных вне национального сегмента сети Интернет. Запретить указание на сайте учреждения образования наименований электронных почтовых ящиков, зарегистрированных на бесплатных зарубежных сервисах (yandex.ru, mail.ru, list.ru, gmail.com и т. д.);
- для деловой переписки завести для каждого субъекта и использовать только почтовые ящики, расположенные внутри национального сегмента сети Интернет;
- настроить дополнительный фильтр, блокирующий сообщения, направленные с IP-адресов, выделенных провайдерам иностранных государств, или с использованием средств анонимизации в сети Интернет (TOR, VPN, Proxy и т. д.);
- на сайте учреждения образования отразить информацию о невозможности направления электронных обращений с IP-адресов, выделенных провайдерам иностранных государств, или с использованием средств анонимизации в сети Интернет. Разработать форму обратной связи, на которой пользователь выбирает город (район), тип учреждения, его наименование, при этом включить обязательное к заполнению поле — номер телефона белорусского оператора подвижной электрической связи, на который придет СМС с кодом, введение которого в форму обратной связи позволит оставить сообщение. Услуги СМС-агрегатора, к примеру, предоставляет РУП «Белтелеком»;
- в качестве дополнительной защиты включить углубленный учет статистики посещений страницы обратной связи, а также настроить защиту от автоматической рассылки (капча);
- настроить фильтрацию сообщений, содержащих в заголовке или теле письма ключевые слова: «взрыв», «бомба», «мина», «опасность» и т. д. Указанные письма не должны в автоматическом режиме доставляться адресату, а лицу, пытающемуся направить такое сообщение, предлагается обратиться в правоохранительные органы по телефону, в т. ч. на условиях анонимности.
Реализация указанных мероприятий позволит в значительной мере снизить нагрузку на учреждение образования и обеспечить безопасность преподавательского состава, работников и обучающихся.
5. Организация работы по защите обучающихся от нежелательной информации.
В процессе обучения при работе на персональных компьютерах обучающиеся получают доступ к сети Интернет и, следовательно, к неограниченной информации, среди которой могут быть материалы, содержащие запрещенные сведения, сцены насилия над людьми и животными, пропаганду наркотиков, порнографию и др. Неограниченный и неконтролируемый доступ к социальным сетям также мешает нормальному процессу обучения. Учреждение образование обязано ограничить доступ к сети Интернет на персональных компьютерах, предназначенных для обучения. С этой целью на персональных компьютерах можно установить функцию родительского контроля и использовать лицензионное программное обеспечение антивирусной защиты, а также различные виды подписки типа «Безопасный Интернет».
6. Контроль за работой с информацией индивидуального характера.
Лицо, ответственное за информационную безопасность, обязано на системной основе проверять, выполняются ли все необходимые условия при работе с персональными данными как сотрудниками учреждения образования, так и при передаче персональных данных в уполномоченные организации.
Администратор информационной безопасности обязан принимать меры реагирования в случае невыполнения необходимых условий при работе с информацией индивидуального характера. Кроме того, все операции с персональными данными учреждения образования должны быть подвергнуты учету и документированию.
и затем На экран «Домой»
на верхней панели или нажмите меню и затем Добавить на домашний экран/экран приложений