МОДЕЛЬ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИОННОЙ СИСТЕМЫ УПРАВЛЕНИЯ ДОКУМЕНТООБОРОТОМ ПРИЕМНОЙ КОМИССИИ

И. Ю. Гусев*, А. С. Кольцов**, А. О. Смидюк**

* Центрально-черноземный государственный инженерный университет ** Воронежский институт ФСИН России

Сегодня современное общество переживает этап небывалого увеличения информационных ресурсов, а процесс гиперинформатизации проник во все области человеческой деятельности. В рамках совершенствования образовательного процесса принципиально важным и перспективным направлением работы становится автоматизация управления подразделениями, обрабатывающими большие объемы информации [1]. К таким подразделениям относятся деканаты, кафедры, библиотека и, несомненно, приемная комиссия. Функционирование приемной комиссии как одного из важнейших структурных подразделений высшего учебного заведения должно опираться на использование информационных технологий и вычислительной техники.

На сегодняшний день обработка персональных данных является достаточно острой проблемой, с которой сталкивается большинство работников всех сфер науки и образования. Работа приемной комиссии любого вуза связана с накоплением, обработкой и хранением персональных данных абитуриентов [2]. При этом одной из наиболее насущных задач при проектировании подобных систем является обеспечение информационной безопасности абитуриентов. Цель данной работы - оценка обеспечения безопасности персональных данных в функционировании одной из систем управления учебным процессом в ВУЗе. Для описания угроз рассмотрим схему работы информационной системы «Приемная комиссия».

Одной из основных задач, стоящих перед образовательными учреждениями высшего профессионального образования является обеспечение наиболее полного исполнения своих обязанностей, обязательств и компетенций, определенных Федеральным законом "Об образовании" [1].

Информационная система «Приемная комиссия» представляет собой один из элементов (подсистему) единой системы автоматизации управления учебным процессом в ВУЗе.

Система должна в полной мере реализовывать функции учета личных данных абитуриентов и результатов вступительных испытаний, обеспечивать возможность выборки данных с использованием типовых запросов [3], выполнять генерацию отчетов по стандартным формам (76-КД и т.п.) и по запросам пользователей в формате офисных приложений (например, MS Word, MS Excel).

При обработке персональных данных на автоматизированном рабочем месте оператора, технического секретаря или администратора, подключенном к сетям связи общего пользования и (или) сетям международного информационного обмена, в соответствии с положением ФСТЭК России от 15 февраля 2008 года, возможна реализация следующих угроз безопасности ПД (УБПДн)[5]: угрозы утечки информации по техническим каналам; угрозы несанкционированного доступа (НСД) к персональным данным, обрабатываемым на автоматизированном рабочем месте. Угрозы для информационной системы «Приемная комиссия» из внешних сетей включают в себя: угрозы сканирования, направленные на выявление используемых операционных систем на автоматизированных рабочих местах, открытых портов и служб, открытых соединений и др. [4]; угрозы перехвата и взлома паролей; угрозы

ББо8-атаки; угрозы удаленного запуска приложений; угрозы внедрения по сети вредоносных программ, угрозы порчи и уничтожения данных на сервере.

Проведя анализ эксплуатации представленной системы, опирающийся на опыт ее использования на протяжении последних 3 лет, а также исследуя особенности ее интеграции в ВУЗе, составим сводную таблицу возможных угроз, методов борьбы с ними, а также зонами ответственности.

Взаимодействие подсистемы «Приемная комиссия» с другими подсистемами на основе единой базы данных

Рис. 1. Взаимодействие подсистемы «Приемная комиссия» с другими подсистемами на основе единой базы данных

Таблица 1

Угрозы и возможные методы борьбы с ними

Угроза

Меры предотвращения

Ответственный

Внедрение ЭС^Ь-кода

Использование безопасных запросов

Разработчик

Разглашение частной информации пользователями

Профилактическая беседа

Пользователь

Получение несанкционированного удаленного доступа к СУБД

Настройка сервера, ограничение сетевых подключений

Администратор базы данных, администратор сети

Получение физического доступа к серверу СУБД

Защита доступа к оборудованию

Служба безопасности

Несанкционированный доступ к данным при передаче по сети

Защищенное соединение между клиентом и СУБД

Разработчик, поставщик СУБД

Предлагаемые методы защиты подразделяются на нормативные документы (правовые акты, внутренние инструкции и др.), организационно-технические меры (должностные инструкции, ограничение доступа посторонних лиц, организацией электропитания ЭВМ от отдельного блока питания, использованием бесперебойных источников питания (БИП) и т.п.), программно-технические (кодирование данных, аутентификация пользователей, контроль доступа и др.), организационные (пропускная система, физический контроль доступа в помещения) [5].

В результате применения указанных мер защиты на выходе сможем получить защищённые объекты.

Модель обеспечения защиты информационной системы

Рис. 2. Модель обеспечения защиты информационной системы

В процессе анализа использования системы выявлены недостатки, требующие устранения, поэтому предлагается проведение следующих мероприятий:

  • — интегрировать в состав системы процедуру регулярного резервного копирование данных (текущих документов, списков абитуриентов по направлениям в электронном виде) и протоколирования действий пользователей, что предотвратит потерю данных из-за сбоев дисков, отключения электропитания, воздействия вирусов, внесении неверных изменений в документы;
  • — использовать встроенные в операционную систему средства автоматического обновления, что позволит избежать угрозы несанкционированного доступа к данным;
  • — использовать потоковую фильтрацию Интернет трафика для автоматизированных рабочих мест, связанных с ФИС ЕГЭ и блокировать его для других пользователей в целях предотвращения передачи персональных данных;
  • — проводить методические мероприятия среди работников приемной и отборочных комиссий по повышению компьютерной грамотности и правовым аспектам в сфере информационных технологий.
  • — разъяснять ответственность сотрудников, имеющих доступ к персональным данным за невыполнение требований законодательства по защите персональных данных. Регулярно под подпись собирать обязательства.
  • — ограничение доступа к базе данных для не профильных сотрудников отборочной комиссии - только технические секретари, председатель приемной комиссии и его заместители должны иметь доступ;

В данной работе была рассмотрена методика обеспечения безопасности персональных данных в функционировании информационной системы «Приемная комиссия ВУЗа». Описаны типовые угрозы и уязвимости, сопряженные с обработкой персональных данных в рассмотренной информационной системе, подобраны методы борьбы с ними, распределены зоны ответственности.

ЛИТЕРАТУРА

  • 1. Кольцов А.С. Концептуальный подход к проектированию автоматизированной системы профессиональной ориентации / А.С. Кольцов А.С., А.В. Паринов, А.И. Бобров // Вестник Воронежского института ФСИН России. - 2015, № 1. - С. 41-44.
  • 2. Кольцов А.С. Анализ угроз безопасности персональных данных информационной системы управления документооборотом приемной комиссии вуза /А.С. Кольцов, П.А. Гусев // Вестник Воронежского института ФСИН России. - 2014. - № 4. - С. 39-42.
  • 3. Нортроп Т. Разработка защищённых приложений на Visual Basic .NET и Visual C#.NET: учебный курс Microsoft / Т. Нортроп. - М.: Издательство "Русская редакция", 2009. - 688 с.
  • 4. Паринов А.В. Анализ параметров, используемых для оценки риска гибели инновационных проектов в информационной сфере / А.В. Паринов, А.С. Кольцов / Вестник Воронежского института ФСИН России - 2014, № 3. С. 32-33.
  • 5. Федеральный закон Российской федерации от 26 июля 2006 г. № 152-ФЗ "О персональных данных".

УДК 681.3

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >