Аннотация. В статье рассматривается проблема обеспечения информационной безопасности в образовательном учреждении. Определяются основные задачи и вызовы в сфере кибербезопасности образовательной организации, включая массовое и несистематизированное использование информационных средств, внешние атаки и необходимость повышения информационной грамотности. Предлагается механизм и ключевые элементы модернизации системы управления информационной безопасностью в образовательной организации.

Ключевые слова: информационная безопасность, персональные данные, защита данных, механизм управления, модернизация управления, образовательная организация.

В настоящее время на образовательный процесс влияет множество факторов и условий в особенности на информационную среду учебного заведения, которая состоит из информационных ресурсов и информационной инфраструктуры. А.С. Зуфарова отмечает, что «сейчас интернет-среда в образовании представляется неблагополучным пространством для подрастающего поколения» [5, с. 91]. В связи с этим необходимо уделить большее внимание кибербезопасности, так как массивный блок личной информации оцифрован и уязвим для мошенников.

Основополагающей задачей системы управления информационной безопасностью можно назвать сохранение и защиту сведений от различного рода посягательств и вмешательств, хранящихся в базах образовательных организаций. Продуктивное использование и функционирования цифровой среды в большой степени зависит от вышеназванной задачи. Основными трудностями в этой сфере, с которыми встречаются участники образовательного процесса, являются массовое бесконтрольное использование информационных средств, внешние атаки и вирусы, а также недостаточная информационная грамотность сотрудников образовательной организации.

Авторами научных работ также отмечается проблема отсутствия комплексной основы мероприятий для обеспечения целостности и устойчивости информационной среды. Актуальной проблемой представляется и недостаточное применение отечественных технологий в этой сфере [1, с. 35].

Общественное мнение также выражает обеспокоенность текущим состоянием информационной безопасности школы. Согласно опросу ВЦИОМ «Школьное образование в эпоху фейков» 2023 года, около половины опрошенных считают, что интернет-среда представляет наибольшую опасность получения недостоверной информации для подрастающего поколения. Кроме того, 36% респондентов отметили, что именно школа несет прямую ответственность за информационное благополучие ребенка.

Анализируя данные ресурса «Яндекс Вордстат», можно отметить, что данные о сбоях и сторонних атаках на информационную систему образовательной организации также во многом беспокоят пользователей. В январе 2023 года в поисковую систему «Яндекс» было отправлено более 3500 запросов «информационная безопасность школы». Также, обращая внимание на региональный компонент, можно выделить две вспышки частоты запроса «взлом МЭШ» в сентябре 2023 и феврале 2024, которые превысили отметку в 340-350 запросов. Все это говорит не только об общей включенности населения в проблемы информационной безопасности образовательной организации, но и о наличии эмоционального отклика на инциденты в этой сфере.

Нормативно-правовое регулирование информационной безопасности в образовательных учреждениях в первую очередь обязывает организацию обеспечить открытость и доступность информации об аспектах своей работы, согласно ст. 29 Федерального закона «Об образовании в Российской Федерации» от 29.12.2012 №273-ФЗ [11].

Важным документом в системе управления информационной безопасности является Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 №149-ФЗ, который регулирует обращение с информацией в информационно-телекоммуникационных сетях, устанавливает правовые рамки и вводит меры для поддержания информационной безопасности [10]. Этот закон определяет ключевые принципы и стандарты защиты данных, а также устанавливает ответственность за несоблюдение норм информационной безопасности. В дополнение к федеральным законам, в нашей стране периодически издаются указы, которые направлены на обеспечение высокого уровня кибербезопасности. В частности Указ Президента Российской Федерации от 1 мая 2022 г. №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» способствует повышению стабильности и безопасности работы информационных ресурсов в Российской Федерации [8].

Стоит подробно рассмотреть характер проблем, существующих в сфере информационной безопасности на данный момент.

Уязвимость и атаки. В первую очередь, все внешние атаки и нарушения протокола кибербезопасности, совершаемые различными правонарушителями составляют группу умышленных угроз. Объектом преступного посягательства в этом случае становятся базы личных данных участников образовательного процесса, программное обеспечение и оборудование, используемое образовательной организацией, и даже сторонние ресурсы, которые взаимодействуют с образовательной организацией, где также находится информация о её деятельности и персональные данные учеников и сотрудников. Все эти массивы данных оказываются наиболее уязвимыми, так как не попадают в сферу регулирования и контроля со стороны органов управления образовательной организацией.

Проблемы с инфраструктурой и программным обеспечением. Ряд технических проблем внутри образовательной организации зачастую связан со сбоями в работе программного обеспечения и информационной инфраструктуры в целом. Причинами данных ошибок является использование сторонних сетевых ресурсов, в том числе, так называемых «пиратских» приложений. Ссылаясь на п. 18 раздела 3 Доктрины информационной безопасности Российской Федерации, можно предположить, что данный факт является следствием низкого уровня внедрения отечественных разработок в РФ, а также нехватки на трудовом рынке профессиональных кадров в сфере информационной защиты [9].

Сетевая безопасность и персонал. Цифровой грамотностью можно назвать совокупность необходимых компетенций человека, которые способствуют эффективной учебной, познавательной и профессиональной деятельности. Работа с информацией, базами данных, различными сервисами и цифровыми платформами в образовательных организациях требуют основательной теоретической подготовки в области информационной безопасности.

Человеческий фактор в свою очередь оказывает влияние на обеспечение информационной безопасности - легкомыслие и неосторожность могут привести к негативным последствиям. Пользователи информационных платформ зачастую совершают типичные ошибки. В.Г. Яриков выделяет следующие ошибки: простота паролей; одинаковые и не меняемые пароли для многих ресурсов; неконтролируемое использование внешних носителей информации; размещение/передача в социальных сетях персональных данных [13, с. 21].

Недостаточная стандартизация. В современном мире информационные технологии постоянно развиваются, информационные системы усложняются, вместе с тем растёт объем и значимость данных. В связи с этим появилась необходимость стандартизации требований в сфере защиты информации. В России и во многих странах существует проблема отсутствия универсальной стандартизации, что приводит к ряду сложностей и уязвимостей.

Отсутствие четкого стандарта может привести к неполному охвату всех аспектов информационной безопасности, что делает систему уязвимой для различных видов кибератак. Существует сложность в оценке эффективности систем безопасности, так как нет единого подхода к измерению и сравнению результатов.

Вышеназванные существующие проблемы информационной безопасности в образовательной сфере требуют их комплексного решения. Основными путями разрешения этих трудностей видятся меры, представленные ниже.

Совершенствование нормативно-правового регулирования управления информационной безопасностью в образовательной организации является центральным вопросом. В.Г. Яриков в своей работе определяет круг данных, которые нуждаются в дополнительной защите от несанкционированного и незаконного доступа: «персональные данные, служебная информация, другие, не подлежащие разглашению данные, хранящиеся в образовательных системах» [13, с. 21]. Указанные материалы нуждаются в более детальном правовом регулировании на федеральном, региональном и местном уровнях.

Образовательные меры как профилактические средства защиты могут быть использованы для создания системы внутреннего контроля и саморегуляции. Необходимо, чтобы у учащихся и сотрудников образовательных организаций было сформировано понимание важности информационной безопасности. Повысить уровень осведомленности и ответственности можно через организацию регулярных лекций и семинаров по правилам использования цифровых технологий.

Организационно-управленческие меры. Со стороны административного управления образовательной организации также могут быть приняты различные меры по обеспечению безопасности информационной среды на уровне организации. В первую очередь необходима тщательная проработка внутренних регламентов и правил для обращения с информацией в образовательном учреждении. К таким документам относятся: порядок работы с носителями информации, личными данными учащихся и сотрудников, должностные инструкции, устанавливающие режим доступа к информационным ресурсам как в локальной сети, так и в сети Интернет, а также режим доступа к технике организации. Кроме того, в организации должен быть установлен регламент работы с инцидентами в сфере информационной безопасности и обращения в специализированные органы и службы. 

Механизм модернизации системы управления информационной безопасностью в образовательной организации представляет собой совокупность принимаемых мер и способов эффективного регулирования, контроля и использования информационной базы, находящейся в ведении учебного заведения.

Обновление политики защиты данных, находящихся в ведении образовательной организации, является ключевым элементом этого механизма. В настоящее время необходимо трансформирование состава средств защиты информации и модели их применения. Основное внимание стоит уделять контролю удаленного доступа со стороны сотрудников. В.В. Золотарев утверждает, что «агрегирование данных включает в себя не только создание и использование баз данных, но и управление на основе данных как отдельный существенный слой процессов управления» [4, с. 108].

Модернизация системы управления рисками – одна из задач, которая является частью общего процесса трансформации системы управления информационной безопасностью. Она включает в себя правовые и юридические аспекты, направленные на выявление и эффективное устранение рисков при использовании различных информационных ресурсов и программ, направленных на создание образовательного контента. Важной составляющей модернизации системы управления рисками является определение угрозы и её источника, что в дальнейшем позволяет управляющему звену образовательной организации определить следующие задачи: оценка текущего состояния объекта угрозы; анализ угрозы, её характер; количественная оценка рисков, последующих за инцидентом; определение последовательности и содержания управляющих действий, их реализация (в соответствии с принятым в образовательной организации регламентом) [7, с. 208].

О.С. Кудрявцева отмечает, что педагоги заинтересованы в повышении грамотности в области цифровых технологий, однако существует проблема с недостаточным объёмом информации и трудностью её восприятия старшим поколением [6, с. 71]. Обучение и дополнительные образовательные программы информационной безопасности для участников образовательной организации являются важными элементами модернизации системы управления информационной безопасностью.

Таким образом, необходимо создание и интеграция в учебный план дисциплин и предметов, которые охватывают основы информационной безопасности, включая управление доступом к сетевым ресурсам, аудит безопасности, управление рисками и реагирование на инциденты. Проведение практических тренировок и симуляций инцидентов, позволит педагогическим работникам и обучающимся применять теоретические знания, полученные в ходе обучающих тренингов и курсов и успешно реализовывать их в практической деятельности.

Список литературы:

  1. Величко А.Н. Информационная безопасность образовательной организации: проблемы управления // Известия вузов. Социология. Экономика. Политика. 2020. №4. С. 32-42.
  2. Вордстат. Данные за период: январь 2023-апрель 2024. (дата обращения: 15.05.2024).
  3. Вордстат. Данные за период: январь 2023-апрель 2024. (дата обращения: 15.05.2024).
  4. Золотарев В.В., Лапина М.А. Модель и алгоритм управления информационной безопасностью образовательной организации высшего образования с учетом требований управления на основе данных // Прикаспийский журнал: управление и высокие технологии. 2022. №4(60). С. 107-118.
  5. Зуфарова А.С. Обеспечение информационной безопасности при применении элементов дистанционного образования // Современное педагогическое образование. 2022. №5. С. 90-92.
  6. Кудрявцева О.С. Информационная безопасность педагогов в контексте функциональной грамотности и глобальных компетенций субъектов образования // E-Scio. 2022. №8. С. 71-79.
  7. Надеждин Е.Н., Сурков Е.В. Кибернетические аспекты управления рисками информационной безопасности в компьютерных сетях образовательных организаций // Современные наукоемкие технологии. 2016. №10 (часть 2) С. 279-285.
  8. Указ Президента Российской Федерации от 1 мая 2022 г. №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Источник публикации: «Собрание законодательства РФ», 02.05.2022, №18, ст. 3058.
  9. Указ Президента РФ от 05.12.2016 №646 «Об утверждении Доктрины информационной безопасности Российской Федерации». Источник публикации: «Собрание законодательства РФ», 12.12.2016, №50, ст. 7074.
  10. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 №149.
  11. Федеральный закон «Об образовании в Российской Федерации» от 29.12.2012 №273-ФЗ.
  12. Школьное образование в эпоху фейков. Данные за период: 25-29 августа 2023 г. (на основании всероссийских телефонных опросов) / ВЦИОМ. (дата обращения: 15.05.2024).
  13. Яриков В.Г. Информационная безопасность обучающихся в образовательной организации // NBI-technologies. 2021. №4. С. 19‑24.

Modernization of the information security management system in an educational organization 

Busygina E.V.,
student of 4 course of the Moscow City University, Moscow

Coauthors:
Zhuchenko M.A.,
student of 4 course of the Moscow City University, Moscow

Yakunova M.S.,
student of 4 course of the Moscow City University, Moscow

Research supervisor:
Kurakina Yulia Vladimirovna,
Associate Professor of the Department of Law at the Institute of Economics, Management and Law of Moscow City Pedagogical University, PhD in Law

Abstract. The article deals with the problem of ensuring information security in an educational institution. The main tasks and challenges in the field of cybersecurity of an educational organization are identified, including the massive and unsystematic use of information tools, external attacks and the need to improve information literacy. The mechanism and key elements of modernization of the information security management system in an educational organization are proposed.
Keywords: information security, personal data, data protection, management mechanism, management modernization, educational organization.

References:

  1. Velichko A.N. Information security of an educational organization: management problems // Izvestiya vuzov. Sociology. Economy. Politics. 2020. №4.: 32-42.
  2. Wordstat. Data for the period: January 2023-April 2024. (date of the address: 15.05.2024).
  3. Wordstat. Data for the period: January 2023-April 2024. (date of the address: 15.05.2024).
  4. Zolotarev V.V., Lapina M.A. Model and algorithm of information security management of an educational organization of higher education, taking into account the requirements of data-based management // Caspian Journal: Management and high technologies. 2022. №4(60).: 107-118.
  5. Zufarova A.S. Ensuring information security in the application of elements of distance education // Modern pedagogical education. 2022. №5.: 90-92.
  6. Kudryavtseva O.S. Information security of teachers in the context of functional literacy and global competencies of subjects of education // E-Scio. 2022. №8.: 71-79.
  7. Nadezhdin E.N., Surkov E.V. Cybernetic aspects of information security risk management in computer networks of educational organizations // Modern high-tech technologies. 2016. №10 (part 2).: 279-285.
  8. Decree of the President of the Russian Federation of May 1, 2022 №250 «On additional measures to ensure the information security of the Russian Federation». Source of publication: «Collection of legislation of the Russian Federation», 02.05.2022, №18, Art. 3058.
  9. Decree of the President of the Russian Federation of 05.12.2016 №646 «On approval of the Information Security Doctrine of the Russian Federation». Source of publication: «Collection of legislation of the Russian Federation», 12.12.2016, №50, Art. 7074.
  10. Federal Law «On Information, Information Technologies and Information Protection» of 27.07.2006 №149.
  11. Federal Law «On Education in the Russian Federation» dated 29.12.2012 №273-FZ.
  12. School education in the age of fakes. Data for the period: August 25-29, 2023 (based on All-Russian telephone surveys) / VTSIOM. (date of the address: 15.05.2024).
  13. Yarikov V.G. Information security of students in an educational organization / NBI-technologies. 2021. №4.: 19-24.