Информационная безопасность в образовании и её основные особенности, как она устроена

Инфобезопасность затрагивает практически все стороны жизни, включая и образование. И здесь к типичным проблемам, вроде хищения конфиденциальных данных, добавляется также необходимость заботы о благополучии детей. С развитием дистанционных практик обучения с использованием интернета киберугрозы выросли как никогда.

Курсы, выбранные нашей командой экспертов

Перейти в каталог

Национальная академия современных технологий

Дистанционная

Информационная безопасность, программа переподготовки

502 часа

58 150 ₽

Узнать больше

Институт прикладной автоматизации и программирования

Очная

Информационная безопасность и шифрование данных – очное обучение в Санкт-Петербурге

40 часов

45 000 ₽

Узнать больше

CyberED

базовый трек Администратор безопасности F-401

136 часов

93 600 ₽

Узнать больше

СГУ

Очно-заочная

Информационная безопасность – очно-заочное обучение в Сыктывкаре

48 700 ₽

Узнать больше

Определение инфобезопасности в образовании

Здесь понимается в первую очередь комплекс разнонаправленных мероприятий в учреждениях системы образования на различных уровнях, включая школы, детские сады, учреждения профессионального образования и объекты инфраструктуры.

В первую очередь, разумеется, речь идет о сохранности персональных данных и защите их от несанкционированного доступа. В РФ есть запрет на распространение любой информации о несовершеннолетних без согласия их законных представителей, поэтому образовательные организации обязаны за этим строго следить.

Разумеется, одними только образовательными учреждениями задачи ИБ в образовании не ограничиваются. Если брать их максимально широко, то добавляет ещё как минимум три важных направления:

• Сохранность данных. Обеспечение того, чтобы образовательная информация не была изменена или повреждена без разрешения;
• Обеспечение доступности данных. Гарантия того, что авторизованные пользователи могут получить доступ к необходимой образовательной информации тогда, когда это нужно;
• Защита интеллектуальной собственности. Охрана авторских прав на учебные материалы, исследования и разработки.

Таким образом, в образовательной среде есть три типа информации, которые подлежат защите:

• Персональные данные учащихся и педагогов;
• Интеллектуальная собственность, например, методики преподавания или инновационные подходы к обучению, разработанные в организации, а также научные разработки;
• Учебная информация, которая используется в образовательном процессе (методические пособия, учебники, базы данных, образовательные программы).

Соответственно, все участники — а это и работники учреждений (педагоги, воспитатели, чиновники и т.д.), и специалисты служб ИБ — несут ответственность за сохранность и информационную безопасность

Основные угрозы информационной безопасности в образовательной среде

Потенциальные риски в образовании примерно такие же, как и в любой другой сфере деятельности. В их числе:

1. Организованные хакерские атаки

Здесь имеются в виду в первую очередь скоординированные DDoS-атаки, направленные на нарушение работы систем. Примером могут служить попытки злоумышленников атаковать ресурсы ЕГЭ и сорвать процесс сдачи Единого госэкзамена в 2019 году.

2. Утрата или утечка данных

Здесь может быть как преднамеренное, так и непреднамеренное воздействие на информацию вследствие человеческого фактора, стихийных бедствий, сбоев системы связи или работы оборудования.

Преднамеренное воздействие может исходить как от учащихся или персонала учебных организаций, так и от злоумышленников извне. Пользоваться они могут самыми разными методами:

• Социальная инженерия (подкуп, обман для получения доступа к системам);
• Применение специальной аппаратуры и физических носителей с вредоносными программами, либо способной перехватывать электромагнитное излучение;
• Программные методики для перехвата данных и получения доступа (фишинг, использование уязвимостей в коде, перехват траффика и т.п.).

3. Нарушение политики конфиденциальности

Несанкционированный доступ к персональной информации, например, у личным данным учащихся образовательного учреждения, либо её неправильное использование.

Методы противодействия

Инфобезопасность обеспечивается разнородными мероприятиями, которые можно разделить на несколько категорий.

1. Нормативно-правовые мероприятия

В России принят ряд законодательных актов, включая такие основополагающие, как Федеральный закон «Об информации, информационных технологиях и о защите информации», Гражданский кодекс РФ, Семейный кодекс РФ, ФЗ «Об основных гарантиях прав ребенка в Российской Федерации», а также Национальная стратегия действий в интересах детей.

Все они тем или иным образом касаются защиты информации в интернете, при этом являясь рамочными. Конкретные мероприятия установлены в ряде ГОСТов по информационной безопасности и локальными НПА.

Отдельно можно выделить защиту детей от нежелательной информации, которая потенциально может травмировать психику и оказать деструктивное воздействие на развитие ребенка. На практике это означает, что система образования обязана не допускать попадание такой информации на территорию образовательных учреждений и ограждать от нее учащихся.

2. Меры административного характера

Здесь имеются в виду организационные и хозяйственные мероприятия, которые устанавливают порядок обращения с информацией для персонала и сотрудников учреждений образования. Сюда можно отнести, например, должностные инструкции, регламенты взаимодействия с уполномоченными органами по вопросам ИБ, перечни конфиденциальной информации, не подлежащей разглашению, и т.д.

Административно-хозяйственные меры принимаются либо на уровне локального законодательства, либо конкретными учреждениями (вузами, школами, департаментами и т.д.). При этом все документы должны быть приведены в соответствие с действующими нормами законодательства.

3. Инженерно-технические мероприятия

Сюда относится большая группа методик и приемов, относящихся к техническим и программным средствам защиты.

Аппаратные методики — это контроль доступа к серверным помещениям, хранение критических данных на отдельных носителях, использование зашифрованных устройств.

Программные средства — все, что связано с защитным софтом. К примеру, в системе образования рекомендуется использовать DLP и SIEM-системы для обнаружения киберугроз, а также Системы управления обучением (LMS), которые дают защищенный доступ к учебным материалам.

4. Меры физического характера

Вся сетевая инфраструктура, которая обеспечивает образовательный процесс, должна обслуживаться авторизованным персоналом. Для этого требуется:

1. Организация пропускного режима и ограничение доступа к критическим объектам (серверы, маршрутизаторы, рабочие компьютеры) посторонних;
2. Создание систем контроля и определение уровней допуска в систему;
3. Регламенты, устанавливающие правила копирования и изменения информации;
4. Обучение персонала.

Защита детей от нежелательной информации

Отдельный блок вопросов в инфобезопасности образования связан с защитой детей от различных материалов, относящихся к деструктивным. Сюда следует включить пропаганду экстремизма и терроризма, дискриминацию по различным признакам, употребление наркотиков — одним словом, любую информацию, которая может негативно повлиять на психику и воспитание ребенка.

Здесь в дело вступают уже не специалисты в области кибербезопасности, а педагогическое сообщество. И одна из целей — это повышение компьютерной грамотности детей, а также обучение безопасному поведению в сети.

Методы и практики для защиты:

1. Повышение медиаграмотности, включение в школьный курс информатики тем по безопасному обращению с персональными данными;
2. Повышение квалификации педагогов в вопросах информационной безопасности для выявления случаев деструктивной пропаганды;
3. Организация партнерства с родителями, общественными организациями и органами местного самоуправления по выработке мер противодействия деструктивным идеям;
4. Организация анонимных каналов для сообщений о подозрительной активности или содержании;
5. Обеспечение доступа к психологической поддержке для учащихся, подвергшихся воздействию деструктивной пропаганды;
6. Мониторинг интернет-активности: Использование технологий фильтрации контента, к которому имеют доступ учащиеся, чтобы предотвращать распространение вредоносных идей.

Итог

Информационная безопасность в образовании реализуется в нескольких плоскостях, включающих в себя обеспечение стабильности сетевой инфраструктуры, защиту интеллектуальной собственности (научные исследования, ноу-хау в обучении) и учебной информации от посягательств.

При этом особое место занимает защита персональных данных детей и ограждение от различных деструктивных и экстремистских идей, а также работа над повышением компьютерной грамотности. В последнее время все чаще идут разговоры о привитии школьникам навыков информационной гигиены — умения фильтровать информацию и отделять ложную от правдивой. Это также в перспективе может стать мерой обеспечения информационной безопасности в образовательной системе.