IX Международная студенческая научная конференция Студенческий научный форум - 2017

В наше время, время развития мощных компьютерных систем хранения и обработки информации, появления новых информационных технологий особенно остро встает вопрос о необходимости повышения уровня защиты информации. Защита информации является одной из важнейших и приоритетных задач в деятельности любой организации, и особенно образовательного учреждения.

Сотрудник образовательного учреждения в силу своих должностных обязанностей работает с персональными данными сотрудников и учащихся, при этом «обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, а содержание и объем обрабатываемых персональных данных не должны быть избыточными, а строго соответствовать заявленным целям обработки» [1].

Понизить вероятность несанкционированного доступа к ресурсам компьютера образовательного учреждения, в том числе и персональным данным можно с помощью сервиса разграничения прав доступа, предусмотренного в операционной системе.

Рассмотрим пример реализации данного сервиса в ОС Windows. Для защиты персональных данных, возьмем персональный компьютер сотрудника образовательной организации. На компьютере, помимо различной рабочей информации, имеется информация, которую необходимо защищать от несанкционированного доступа. К рабочему компьютеру имеют доступ только лица, подписавшие соглашение о неразглашении персональных данных, хранящихся на компьютере. Как один из возможных вариантов, можно предложить выделение трех групп пользователей – имеющих полный доступ к ПД, имеющих доступ только к чтению ПД и не имеющих доступ к ПД.

Для первой группы создадим пользователей, имеющих конфиденциальный пароль, который будут знать только лица, имеющие доступ к ПД на законных основаниях. Для второй группы ограничим права пользователей в части ПД, оставим лишь те права, которые необходимы для частичной работы с ПД. Для этих пользователей поставим доступ с паролем, который знают классные руководители, учителя. Для третьей группы пользователей оставим доступ к ПК без пароля, так как эта группа не имеет доступ к ПД сотрудников и учеников образовательной организации.

Для работы на ПК сотрудника, ответственного за работу с ПД, поставлено специальное программное обеспечение, благодаря которому осуществляется доступ к электронному ресурсу от имени администрации образовательной организации (рис. 1).

Рисунок 1. Окно аутентификации ПО для доступа к электронным ресурсам

Получается, что для входа в систему первой группы лиц, необходима двойная аутентификация, в целях большей защиты персональных данных от несанкционированного доступа злоумышленников. Для второй группы осуществлен доступ только к пользователю без пароля.

Таким образом, мы реализуем схему задания разграничительной политики к ресурсам разграничения прав доступа к объектам пользователей, вне разграничений процессов.

Для разработки рекомендаций по логическому управлению и аудиту доступа, рассмотрим реализованную модель избирательного доступа в ОС Windows. Для этого составим матрицу контроля доступа согласно должностям сотрудников образовательной организации (Таблица 1).

Таблица 1.

Примерная матрица контроля доступа к документам образовательного учреждения

	Уставные документы школы	Подробная информация о сотрудниках	Подробная информация об обучающихся	Информация об успеваемости учащихся	Информация о повышении квалификации сотрудников
Директор	+*	R**	R	R	R
Секретарь	+	+	+	***	–
Заместитель директора по УР	М****	+	M	R	+
Заместитель директора по АХР	М	+	M	–	+
Заместитель директора по ПВ	М	+	M	R	+
Учителя-предметники	R	–	–	+	–
Классные руководители	R	–	R	R	–

Здесь приняты следующие обозначения: * полный доступ, ** только чтение, *** отсутствие доступа к персональным данным, **** чтение и запись, без возможности создания новых файлов.

Обратим внимание, что группы пользователей у нас три, но в матрице мы описали семь должностных лиц. Объединим в первую группу пользователей секретаря, заместителей директора по УР и ПВ, как лиц, имеющих полный доступ к ПД. Ко второй группе отнесем учителей-предметников, классных руководителей и директора, так как им необходим частичный доступ к ПД. К третьей группе отнесем заместителя директора по АХР, так как для выполнения должностных обязанностей данному лицу нет доступа к ПД. В большинстве случаев, учителя, заместители директора просто обращаются к секретарю для получения необходимой информации (относящейся или не относящейся к ПД), или под контролем ответственного осуществляют доступ к информации.

Согласно Федеральному закону от 29.12.2012 №273-ФЗ (ред. от 02.03.2016) «Об образовании в Российской Федерации» [2], образовательные организации должны обеспечивать доступ всех желающих (родителей, учащихся, сотрудников ОУ) к уставным и локальным документам, обеспечивающим деятельность организации. В целях выполнения этого закона, секретарь размещает их на сайте и информационных стендах ОУ. Возможность изменения и создания новых документов (файлов) есть только у директора, так как он их утверждает. Заместители в свою очередь имеют доступ лишь к чтению и записи.

Информацию о сотрудниках могут изменять и добавлять заместители директора (по управленческой структуре организации, в зависимости от линий управления), секретарь (исполняющий функции кадрового работника за неимением в образовательной организации данной ставки). Директор имеет доступ только к чтению информации, так как для изменения и добавления информации есть подчиненные. Учителя и классные руководители имеют доступ к информации, но не в полном объеме: только то, что является кадровыми характеристиками – фамилия, имя и отчество, стаж работы, информация о повышении квалификации, ученые степени и звания, уровень образования, должность, преподаваемые дисциплины.

Подробная информация об обучающихся необходима заместителям директора, непосредственно работающим с ними, но только для чтения и записи. Секретарю необходим полный доступ к информации, так как именно секретарь редактирует информацию об учащихся. Директор имеет доступ только к чтению, так как для изменения этой информации также имеются подчиненные. Для учителей-предметников имеет важность лишь фамилия, имя, класс ученика, а для классных руководителей нужна более подробная информация – телефон, данные о родителях и др.

Информация об успеваемости учащихся для чтения доступна директору, заместителям директора по учебной работе и ПВ, классным руководителям лишь в целях ознакомления себя и родителей. Заместителю директора по АХР и секретарю данная информация для работы не нужна и ее можно скрыть. Доступ к полному доступу и редактированию успеваемости учащихся имеется только у учителей-предметников для выставления данной успеваемости.

Практическая реализация матрицы контроля доступа пользователей локального компьютера осуществляется путем изменения параметров на вкладке «Безопасность» в окне «Свойства» для объекта, содержащего конфиденциальную информацию (рис. 2).

Рисунок 2. Окно редактирования разрешений

Представленный пример позволяет продемонстрировать возможности реализации механизмов идентификации и аутентификации, логического управления доступом к информации в ОС Windows/

К сожалению, на 100% защититься от несанкционированного доступа к персональным данным и конфиденциальной информации практически невозможно, но грамотное распределение прав доступа позволит существенно снизить их риск.

Библиографический список

1. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) [Электронный ресурс] URL: https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 01.02.2017).

2. Федеральный закон от 29.12.2012 №273-ФЗ (ред. От 02.03.2016) «Об образовании в Российской Федерации» [Электронный ресурс] URL: https://www.consultant.ru/document/cons_doc_LAW_140174/ (дата обращения 01.02.2017)

Код для цитирования: Скопировать