Современные информационные технологии/ 4. Информационная безопасность.

Скворцова Д.А.

Научный руководитель – к.т.н., доц. В.В. Вихман

Новосибирский государственный технический университет, Россия

Разработка подхода к методике защиты персональных данных, обрабатываемых в ВУЗе автоматизированным и неавтоматизированным способами

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). [1]

Защита персональных данных регулируется законодательством РФ. Выполнение требований законодательства при обработке ПДн является сложным, трудоемким и затратным процессом для любой организации, особенно для вуза. [2]

Существует несколько причин, обусловливающих необходимость выполнения исследования, во-первых, существует множество законодательных и нормативно – правовых документов в области защиты информации, которыми регулируются отношения, связанные с обработкой персональных данных. Но эти документы разрознены между собой.

Во-вторых, разработано множество методов защиты автоматизированных систем персональных данных, но мало внимания уделяется защите бумажных и твердых носителей персональных данных.

В-третьих, законодательство в области защиты персональных данных периодически изменяется и дорабатывается.

И наконец, недостаточно внимания уделяется защите персональных данных именно в образовательных учреждениях, что является нарушением федерального закона «О персональных данных».

При этом необходимо учитывать, что учебное заведение имеет некоторые особенности, такие как публичность, изменчивость аудитории, широкое использование средств вычислительной техники, не имеет территориальной целостности, и другое.

Целью исследования является, разработка методического подхода к технологии защиты персональных данных обрабатываемых автоматизированным и неавтоматизированным способами, для сокращения временных и финансовых затрат на защиту персональных данных в образовательном учреждении.

Объектом исследования является механизмы управления информационной безопасностью информационной системы образовательного учреждения.

В результате исследования планируется:

·                     для информационной системы образовательного учреждения создать типовые модели угроз с использованием требований ФСТЭК России, Министерства образования Новосибирской области и ФСБ России;

·                     разработать оригинальный методический подход к технологии защиты персональных данных, обрабатываемых неавтоматизированным способом;

·                     использовать полученные результаты для защиты персональных данных в ВУЗе.

Для достижения цели работы был проведён аналитический обзор по теме диссертации, обзор литературы с использованием учебников и монографий, периодических изданий, в том числе реферативных журналов, а также ресурсов сети Internet. Произведена оценка актуальности работы.  Определен объект и предмет исследования. Уточнены цели и конкретизированы задачи исследования, сформулирована постановка задачи. Выделены предполагаемые результаты исследования. Разработана модель нарушителя безопасности и проанализирован поток ПДн, циркулирующих в вузе. Проанализированы проблемы информационной безопасности вуза. Проведена классификация информационных систем персональных данных вуза. Разработана модель влияний, отличающаяся от известных тем, что учитывает особенности образовательного учреждения.

Мероприятия по обеспечению безопасности информационной системы ПДн высшего учебного заведения, соответствующие требованиям законодательства включают в себя несколько этапов. Одним из важнейших этапов при этом является предпроектное обследование, которое во многом определяет структуру, результативность осуществления мероприятий и необходимые финансовые затраты. Этот этап вызывает затруднения для образовательных учреждений, поскольку он требует привлечение специалистов узкой направленности.

Аналитический обзор существующих систем предпроектного обследования информационных систем обработки персональных данных демонстрирует некоторые недостатки:

1.         Эти системы не учитывают специфику учебного заведения как оператора персональных данных

2.         Использование подобных систем возможно только с привлечением сторонних специалистов.

Решением этой проблемы может стать создание специализированного методического подхода к обеспечению безопасности информационных систем обработки ПДн в вузе. При этом должны учитываться характерные особенности образовательного учреждения и осуществляться требования законодательства в области обработки персональных данных.

Литература:

1.  Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» // «Российская газета» от 29 июля 2006 г.

2.  Аютова, И.В. Анализ информационных систем персональных данных вуза / И.В. Аютова, В.А. Майстренко // Вестник Воронежского государственного технического университета, 2012. – № 1. – С.49–51.

3.  Методы построения центров обработки данных, Кузнецова Ю.О., Вихман В.В., Экономика и социум. 2014. № 2-2 (11). С. 866-870

4.  Модель подсистемы информационной безопасности центра обработки данных общеобразовательных учреждений, Кузнецова Ю.О., Вихман В.В., Экономика и социум. 2014. № 2-2 (11). С. 882-886.

5.  Анализ существующих методов анализа защищённости, Распутин Р.В., Любченко В.И., Вихман В.В., Сборники конференций НИЦ Социосфера. 2013. № 23. С. 91-93.