Информационная безопасность персональных данных в ВУЗе

Страницы: 1 2

---

 ОГЛАВЛЕНИЕ

• ВВЕДЕНИЕ
• ГЛАВА 1. ТЕОРЕТИКО-ПРАВОВЫЕ ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ВЫСШИХ УЧЕБНЫХ ЗАВЕДЕНИЯХ
• 1.1. Правовой режим персональных данных
• 1.2. Особенности защиты персональных данных в высших учебных заведениях
• ГЛАВА 2. МЕТОДИЧЕСКИЕ АСПЕКТЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ВЫСШИХ УЧЕБНЫХ ЗАВЕДЕНИЯХ
• 2.1 Угрозы информационной безопасности персональных данных в высших учебных заведениях
• 2.2 Методология защиты персональных данных в высших учебных заведениях
• ЗАКЛЮЧЕНИЕ
• БИБЛИОГРАФИЧЕСКИЙ СПИСОК

ВВЕДЕНИЕ

Современное высшее образование трудно представить без использования информационных средств, коммуникативных технологий и дистанционных образовательных технологий. В тоже время виртуальная и информационная вузовская среда представляет собой потенциальную угрозу для ее субъектов, в частности для раскрытия их персональных данных и манипуляции ими третьими лицами. Поэтому проблема организации системы защиты персональных данных в образовательных организациях высшего образования столь актуальна на данный момент.

Как показывает практика организации современного образовательного процесса в эпоху его информатизации, проблема информационной безопасности (ИБ) любой образовательной организации, обучающихся в ней предстает одной из самых актуальных. Ее актуальность во многом определяется современной тенденцией перевода образовательного процесса частично, а иногда и полностью, в дистанционный формат. Кроме того, это становится особо актуально в условиях перманентной негативной социальноэпидемиологической ситуации, вызываемой новыми пандемическими ограничениями. При этом наиболее активное и компетентное в информационно-коммуникационном отношении население (учащиеся среднего и старшего школьного звена, студенты вузов, молодые специалисты, переведенные на дистанционный режим работы), получая практически круглосуточный доступ к глобальной информационной сети из дома, имеет все потенциальные возможности для проведения самостоятельно или в рамках распределенных сообществ информационных акций, оказывающих негативное воздействие на информационную инфраструктуру в общем, и, в частности, на информационные образовательные среды образовательных организаций.

Соответственно, закономерным становится рост количества информационных угроз из Интернета, и, следовательно, необходимо менять методы и средства обеспечения информационной безопасности образовательного процесса.

Проблемам обеспечения ИБ информационных образовательных сред посвящены исследования вопросов риск-менеджмента, онлайн-рисков, вопросов безопасности персональных данных, общих вопросов информационной безопасности вузов, политики информационной безопасности в вузе.

Однако следует констатировать, что в значительном количестве трудов не получают должного рассмотрения вопросы, связанные с исследованием уровня осведомленности педагогов о сути проблемного поля информационной безопасности образовательной среды и вероятных угроз для информационной инфраструктуры образовательной организации. Необходимость изучения проблемы создания современной безопасной информационной образовательной среды вуза и профессиональной подготовки педагогов к безопасному взаимодействию с информационной инфраструктурой определила актуальность и проблемоориентированность нашего исследования.

Объект исследования: информационная безопасность в высших учебных заведениях.

Предмет исследования: информационная безопасность персональных данных в ВУЗе.

Целью настоящей работы является рассмотрение информационной безопасности персональных данных в ВУЗе.

Основные задачи данной работы:

• выделить понятие защиты персональных данных работника;
• проанализировать проблемы защиты персональных данных работника;
• выявить угрозы информационной безопасности персональных данных в высшем учебном заведении;
• рассмотреть методические основы защиты информационной безопасности персональных данных в высшем учебном заведении.

Методы исследования: анализ и синтез источников литературы, сравнительный анализ, функциональный анализ, моделирование.

ГЛАВА 1. ТЕОРЕТИКО-ПРАВОВЫЕ ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ВЫСШИХ УЧЕБНЫХ ЗАВЕДЕНИЯХ

1.1. Правовой режим персональных данных

Стратегия развития информационного общества в России на 2017-2030 гг. направлена на обеспечение свободного доступа граждан и организаций, органов государственной власти Российской Федерации, органов местного самоуправления к информации на всех этапах ее создания и распространения [9]. Данный документ определил не только пути безопасной обработки информации (включая ее поиск, сбор, анализ, использование, сохранение и распространение), но и направляет на то, что применение новых технологий должно соответствовать интересам общества.

Цифровизация общества в России с использованием новых технологий способствовала непосредственному контакту органов публичной власти с гражданами, коммерческими и иными организациями. Несомненно, цифровизация общества актуализирует вопрос о защите персональных данных индивидов.

Происходящие процессы использования новых информационных технологий имеют множество позитивных моментов, позволяющих оперативно и прозрачно решать управленческие задачи, оказывать различные услуги населению и пр. Одновременно они могут негативно отразиться на конфиденциальности персональных данных, основываясь на более широком подходе к исследуемой проблематике – неприкосновенности частной жизни, выступающей фундаментальным личным правом человека и гражданина.

В рамках данного исследования персональные данные рассматриваются, как различная информация, которая прямо или косвенно относятся к определенному физическому лицу, т.е. субъекту персональных данных. В современном демократическом обществе права человека и, в частности, право на неприкосновенность частной жизни имеют первостепенное значение. Изменения, связанные с регулированием персональных данных (информации о личной жизни человека), происходят сейчас во многих государствах, в том числе и в России, и в первую очередь данная проблема затрагивает высшее образование [12].

К самим же персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие.

Первоначально на проблему защиты персональных данных на международном уровне обратила внимание Организация по экономическому сотрудничеству и развитию (ОЭСР), принявшая в 1980 г.

Директиву о защите неприкосновенности частной жизни и международных обменов персональными данными. В дальнейшем эти принципы были детализированы в Конвенции Совета Европы «Об охране личности в отношении автоматизированной обработки персональных данных» (1981 г.), в Директиве Европейского сообщества о защите граждан в плане обработки информации личного характера от 27 июля 1990г. [22].

Проблематика защиты персональных данных имеет немаловажное значение не только для Российской Федерации, но и для всего мирового сообщества. В европейском законодательстве персональные данные индивида и их защита рассматриваются как основное право, поскольку оно опирается и проистекает из права на защиту частной жизни [17]. Однако стремительная цифровизация практически всех сфер жизнедеятельности индивида приводит к тому, что информация, не подлежащая распространению и имеющая частный характер, в информационно-правовом пространстве начинает существовать по новым правилам, попадая в свободный доступ. Осознавая возможность открытого доступа в информационное пространство персональных данных и возможные последствия их использования, Российской Федерацией в 2005 г. была ратифицирована Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных [7]. К Конвенции Россия присоединилась еще в тот период, когда процессы цифровизации были в самом начале, не было отдельного законодательного акта в данной сфере, что свидетельствует об осознании значимости данной проблематики и необходимости защиты конфиденциальных сведений граждан. Следует отметить, что в Европе процессы цифровизации и связанная с ними потребность в защите персональных данных стали происходить значительно раньше, чем в России. Так, например, вышеуказанной Конвенцией 1981 г. в ст. 7 были установлены гарантии защиты личных сведений, хранящихся в автоматизированных файлах данных, и меры безопасности, направленные на предотвращение их случайного или несанкционированного уничтожения или случайной потери, а также направленные на недопущение незаконного доступа и обращения с ними. В мае 2018 г. в Европе был введен в действие новый документ, закрепляющий правила обработки персональных данных — Общий регламент по защите данных (далее — Регламент) [11]. В статье 4 Регламента под термином «персональные данные» понимается любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. К информации, которая позволяет произвести идентификацию индивида, относятся: имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн, IP-адрес, данные, полученные при использовании cookie и т.д.

Новеллой Регламента стал новый подход к обработке персональных данных, предполагающий применение принципа экстерриториальности. Это обусловлено тем, что новые коммуникационные технологии, как правило, не имеют привязки к конкретной территории, что создает новый формат общения между различными субъектами, а также влияет на возможности использования конфиденциальных сведений других лиц. Высокая вероятность доступа к таким сведениям привела к усилению ответственности за нарушение правил обработки персональных данных. Так, в европейских странах штрафы к операторам, уполномоченным осуществлять обработку персональных данных, достигают 20 млн евро (около 1,5 млрд рублей). Достоинством Регламента является дифференцированный подход, применяемый к контролерам обработки данных, действующим в государственном и частном секторах. Дифференцированность также проявляется в разграничении категории персональных данных, как отмечалось выше, это данные разнонаправленного характера: о здоровье, генетические и биометрические данные, электронная почта и пр. Соответственно, разные виды сведений требуют и разного подхода к ним с применением соответствующих соразмерных средств защиты. О поиске необходимого баланса публичных и частных интересов в условиях применения современных технологий и одновременно потребности в защите частной жизни свидетельствует опыт различных государств и международных организаций. В частности, в Докладе Верховного комиссара ООН по правам человека был поставлен вопрос о защите прав человека в цифровой век [23].

Применительно к Российской Федерации в условиях очевидности фактов цифровой трансформации, в основе которой лежит система управления программой «Цифровая экономика» [8], потребность в защите персональных данных является наиболее актуальной. Не случайно Закон о персональных данных определил, что лица, виновные в нарушении требований его норм, несут предусмотренную законодательством Российской Федерации ответственность. В условиях возможного открытого доступа в информационном пространстве к персональным данным в России должны действовать своевременные и адекватные меры их защиты. Без сомнений, защита персональных данных должна осуществляться прежде всего нормами административного законодательства, основываясь на конституционных положениях о неприкосновенности частной жизни.

Большинство вопросов, связанных с персональной информацией частных граждан, регламентируются положениями Закона №152-ФЗ. Его нормы устанавливают порядок сбора, хранения, обработки, использования и защиты персональных сведений, а также приводится их классификация.

Согласно положениям указанного выше нормативного акта, все персональные сведения классифицируются на четыре основополагающих типа:

общего назначения;

биометрические;

информация специального назначения;

общедоступные / обезличенные.

Следует отметить, что разделение личных сведений на перечисленные выше группы в ряде случаев является достаточно условным. При определённых обстоятельствах данные из одной категории могут переходить в другую.

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Введено новое понятие «персональные данные, разрешенные для распространения». Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – «общедоступные персональные данные». Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

Для распространения данных нужно получить новое согласие

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ –  письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);

через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

Информационные технологии приобретают глобальный трансграничный характер и стали неотъемлемой частью всех сфер деятельности личности, общества и государства. Их эффективное применение является фактором ускорения экономического развития государства и формирования информационного общества. При этом, бурный научно-технический прогресс и постоянное совершенствование программного и аппаратного обеспечения, требует с одной стороны такого же постоянного совершенствования и повышения эффективности функционирования всех компонент, с точки зрения снижения расходов, повышения качества, надежности, безопасности, но при этом обеспечивая высокий уровень защищенности доступа к вычислительным ресурсам, не нарушая требований существующих законов к защите персональных и конфиденциальных данных. С учетом все возрастающих требований к информационной инфраструктуре разработка архитектуры вычислительного комплекса с различными механизмами контроля доступа, способными расширять возможности инструментов информационной безопасности весьма актуальная задача. Несмотря на то, что современные системы обладают широким спектром механизмов и средств защиты информации их явно недостаточно с учетом постоянных взломов и утечек информации, поэтому необходимо определить их роль и место в каждом уровне вычислительной архитектуры.

Таким образом, российская практика свидетельствует о том, что законодательство о персональных данных по ряду вопросов не всегда применяется одинаково, имеют место неопределенности, но главная необходимость — это обеспечение баланса интересов субъекта персональных данных и других заинтересованных лиц, общества в целом с тем, чтобы закон не стал сдерживающим фактором в реализации прав других лиц.

1.2. Особенности защиты персональных данных в высших учебных заведениях

 

В современном образовательном процессе информационная инфраструктура становится один из главных его элементов [10, 11]. Соответственно, рассмотрим основные предпосылки, определяющие необходимость повышения уровня профессиональной грамотности в области информационной безопасности современного педагога в вузе.

Во-первых, учебные аудитории оснащены компьютерной техникой, и ее качественное бесперебойное функционирование существенно определяет средства эффективной реализации образовательного процесса, направленного на получение качественных знаний и способствующего формированию профессиональных компетенций обучающихся. Сюда можно отнести постоянно повышающиеся требования к техническому оснащению оборудования, обусловленные, в том числе, и ростом требований к программному обеспечению образовательной направленности, связанным с повышением роли мультимедийного и VR контента. Это так называемый технический аспект.

Во-вторых, представители современного цифрового общества знания — все категории обучающихся — сейчас, как никогда, имеют потенциальную возможность использовать средства доставки знаний независимо от своего местоположения и времени суток. Почему потенциальную? Ответ очевиден — современные средства доставки информации представляют собой перманентную информационную среду, часто изобилующую необъективной, недостоверной, а иногда негативной и даже вредной информацией. В бытовом понимании это так называемые фейк ньюс — «фейки», которыми подменяются факты. И найти в таком информационном потоке полезную информацию для преобразования ее в знание — довольно сложный интеллектуальный процесс. Поэтому средства доставки информации устанавливают определенные технологии получения данной информации. И это так называемый технологический аспект.

В-третьих, само качество образовательного контента должно соответствовать установленным требованиям — он должен быть актуальным, объективным, достоверным, доступным для всех категорий обучающихся, в том числе и с особыми образовательными потребностями ввиду ограниченных возможностей здоровья, а также доступным для получения по режиму функционирования образовательной среды.

В техническом плане информационная образовательная среда вуза представляет собой совокупность рабочих станций персонала, различных сетевых устройств полного цикла работы с информацией (в том числе сбора, обработки, хранения и отображения), сетевых ресурсов для осуществления образовательной деятельности, сопутствующих и обеспечивающих устройств функционирования среды в целом (таких как источники бесперебойного питания, системы резервирования данных, аппаратные сетевые и межсетевые экраны и др.).

В технологическом плане информационная образовательная среда вуза представляет собой совокупность, во-первых, массивов образовательной информации, обеспечивающей образовательный процесс; во-вторых, массивов нормативно-правовой документации (такой как стандарты, учебные планы, рабочие программы дисциплин, ФОСы и иное, а также различные инструкции, приказы, нормативные акты); в-третьих, значительного массива персональных данных субъектов образовательного процесса, необходимых для работы кадрового и финансового аппарата (это личные дела, паспортные данные для договорной работы, данные о сетевых партнерах), а также сведений для работы всей инфраструктуры образовательной среды — учетных данных для авторизации пользователей среды; в- четвертых, объектов интеллектуальной собственности (полнотекстовых баз выпускных работ, издаваемых вузом учебно-методических материалов, научных трудов, проектноисследовательских наработок); и, наконец, в-пятых, приобретенных университетом программного обеспечения и лицензий, кража которых может повлечь за собой наступление уголовной или административной ответственности.

Соответственно, широкое и разнообразное наполнение информационной образовательной среды (ИОС) неминуемо обусловливает появление реальных и потенциальных угроз для нее.

Отметим, что к объектам воздействия могут быть отнесены следующие:

– бухгалтерские ЛВС, данные планово-финансового отдела, а также статистические и архивные данные;

– серверы баз данных;

– консоль управления учетными записями;

– www/ftp серверы;

– ЛВС и серверы исследовательских проектов.

Совокупность рассмотренных предпосылок составляет контентный массив, определивший содержание базовых знаний в области информационной безопасности (ИБ) для педагогов вуза, на основе которого и путем применения методов.

Ключевыми факторами, обуславливающими проблему информационной безопасности персональных данных обрабатываемых в вузе, выступают:

– постоянно возрастающий объем обрабатываемых в вузе персональных данных, добавлением пользователей, пользующихся удаленным доступом;

– возрастающими темпами цифровизации образовательных ресурсов, усложняющейся структурой информационных систем в вузе;

– обновление состава внешних и внутренних угроз для безопасности персональных данных, повышение востребованности сетевого доступа к цифровым ресурсам университета.

Применение информационно-коммуникационных технологий, особенно в рамках онлайн-обучения может привести к многим рискам безопасности, таким как потеря конфиденциальности и доступности, раскрытие критически важных данных и вандализм в отношении служб общественной информации.

Вот некоторые из наиболее важных рисков, которые необходимо устранить, чтобы защитить пользователей и данные.

1. Небезопасный удаленный доступ при дистанционном обучении. В связи с тем, что дистанционное обучение берет на себя физическое обучение, учащиеся и учителя нуждаются в доступе к онлайн – инструментам обучения, в основном расположенным в облаке, – приложениям для обмена файлами, электронной почте, приложениям, — и иногда им требуется удаленный доступ к ресурсам в образовательных учрежденийьной сети. В то же время административный и ИТ-персонал, работающий на дому, также может нуждаться в доступе к системам и документам, расположенным в образовательных учрежденийьной сети. Если удаленный доступ небезопасен, хакеры могут проникнуть внутрь и взять под контроль всю сеть. Виртуальная частная сеть (VPN) обеспечивает безопасный удаленный доступ к пользователям и защищает все данные, поступающие и исходящие из VPN, путем их шифрования.

Учащиеся и сотрудники образовательных учреждений могут принести свои собственные устройства и подключить их к сети системы дистанционного обучения, некоторые из которых могут быть не загружены и запускать рискованные приложения, что обеспечивает легкий доступ к злоумышленникам. Чтобы противостоять этому, необходимо контролировать, чтобы в сети работали только приложения из белого списка и только авторизованные устройства могли получить доступ к сети. Благодаря полной видимости и контролю приложений можно идентифицировать все приложения в сети, включая теневые ИТ – службы и данные, подверженные риску. Это позволяет управлять приложениями и применять пользовательские элементы управления приложениями и формирование трафика. Синхронизируя брандмауэр и безопасность конечных точек, можно мгновенно идентифицировать скомпрометированные конечные точки, изолировать их до тех пор, пока они не будут очищены, и предотвратить распространение инфекций на другие устройства в сети.

2. Недостаточный уровень контроля доступа к конфиденциальным данным. Учебные заведения собирают и хранят очень много ценной информации, которую можно продать в сети. Личные данные учащихся, преподавателей, выпускников и административного персонала, а также конфиденциальные данные, относящиеся к исследованиям и интеллектуальной собственности образовательного учреждения являются целью киберпреступников. Очень важно обеспечить доступ на основе идентификации пользователя, позволяя авторизованным пользователям получать доступ только к тому, что им нужно для выполнения своей работы. Можно защитить конфиденциальные данные, исследования и другие важные ресурсы, разрешив доступ только тем, кто авторизован, с поддержкой двухфакторной аутентификации (2FA) для доступа к ключевым областям системы, включая IPSec и SSL VPN, пользовательские порталы и консоли веб-администрирования.
3. Недостатки защиты от вредоносных программ. Переход на дистанционное обучение означает, что многие устройства, подключенные к сети образовательного учреждения, являются BYOD. Трудно определить, обновляются ли используемые устройства и приложения с помощью исправлений и является ли антивирус текущим. Если такие удаленные устройства не подключаются через VPN, необходимо убедиться, что они защищены, прежде чем они смогут получить доступ к ресурсам в сети образовательных учреждений.

Важно развернуть расширенные возможности веб-защиты, которые могут идентифицировать и блокировать последние веб-угрозы. Это позволяет применять правила веб-фильтрации, чтобы защитить учащихся от случаев киберзапугивания, неприемлемого контента, злоупотреблений и других онлайн-угроз. А когда сотрудники работают из дома, периферийные элементы управления позволяют контролировать, что сотрудники могут и не могут подключать к своим корпоративным устройствам. Это поможет защитить  сеть от неожиданных угроз.

4. Низкий уровень или отсутствие защиты от фишинга. Социальная инженерия и фишинговые атаки создают серьезные риски для ИТ-безопасности образовательных учреждений. Учащиеся, учителя или сотрудники, которых заставляют переходить по вредоносным ссылкам, могут предоставить киберпреступникам доступ к сети образовательных учреждений и ценным ресурсам. Лучший способ противостоять социальной инженерии и фишинговым атакам – это осведомленность и обучение пользователей. Обучение и тестирование пользователей с помощью имитированных атак помогает создать позитивную культуру осведомленности о безопасности и снижает вероятность того, что они попадутся на мошенничество. Безопасность электронной почты должна быть постоянно обновлена и должна быть расширенная защита для всех конечных точек, чтобы можно было защитить их как от известных, так и от неизвестных вредоносных программ, программ-вымогателей, эксплойтов и вирусов.
5. Незащищенные мобильные решения в системе обеспечения информационной безопасности персональных данных в ВУЗ. Мобильные устройства, такие как телефоны, планшеты и другие, сегодня все чаще используются для дистанционного обучения. Одно незащищенное устройство увеличивает риск компрометации всей сети и систем образовательных учреждений, особенно в то время, когда образовательные учреждения снизили барьеры для доступа к своим сетям для учащихся. С большинством устройств, подключенных к Интернету, поверхность атаки значительно усиливается для образовательных учреждений. Эффективное решение для обеспечения безопасности мобильных устройств может помочь обеспечить безопасность учащихся и сотрудников в Интернете, предотвращая рискованные загрузки файлов и блокируя доступ к неподходящим веб-сайтам. Возможности защиты от мобильных антивирусов и программ-вымогателей могут защитить пользователей и устройства от вредоносного контента и приложений.

Таким образом, в число рисков информационной безопасности в системе обеспечения информационной безопасности персональных данных в ВУЗ входят:

– небезопасный удаленный доступ;

– недостаточный уровень контроля доступа к конфиденциальным данным;

– недостатки защиты от вредоносных программ;

– низкий уровень или отсутствие защиты от фишинга;

– незащищенные мобильные решения в системе обеспечения информационной безопасности персональных данных в ВУЗ.

Для защиты персональных данных всех субъектов образовательного процесса вуза необходимо соблюдать следующие меры:

– ведение внутренней документации по работе с персональными данными и их защите;

– внедрение современных мер защиты персональных данных;

– организация системы всесторонней защиты персональных данных.

На современном этапе развития общества и цифровых технологий, становится очевидным тот факт, что вузам все сложнее обеспечивать соответствие законодательству по обеспечению персональных данных всех субъектов образовательного процесса. Рекомендации Рособразования, имеющиеся ИТ-продукты направленные на разрешение изучаемой проблемы дают вузам возможность ее решить, при этом не затрачивая лишние средства и не прибегая к сложным мерам [15].

Таким образом, современное состояние цифровизации образовательного процесса способствует появлению новых информационных угроз и опасностей. Часто преподаватели в силу недостаточной осведомленности о таких угрозах и мерах по обеспечению безопасности себя и обучающихся от информационных угроз в образовательной среде не готовы к активным и продуктивным действиям по обеспечению собственной и коллективной информационной безопасности. Большинству преподавателей не хватает базовых профессиональных знаний в области информационной безопасности в современных быстро меняющихся условиях цифрового образовательного процесса. Специфика защиты персональных данных в вузе обусловлена техническими, кадровыми, организационными и финансовыми аспектами деятельности в нем. Эффективная защита персональных данных всех субъектов образовательного процесса вуза требует комплексного и ответственного подхода со стороны IT-отдела. Необходима актуализация моделей угроз для безопасности персональных данных различных классов (на основе максимальной типизации документов и требований). Необходимо повышение уровня знаний сотрудников вуза в вопросах обработки персональных данных, а также повышения культуры информационной безопасности учащихся и их родителей.

---

Страницы: 1 2