Отчёт по учебной практике на МБОУ «Красногвардейская СОШ №1»

   С целью осуществления  связей в структуре управляющей  системы: педагогический совет  (первый уровень) рассматривает  наиболее актуальные проблемы, методический  совет (второй уровень) рассматривает  реализацию и выбор средств для решения выявленных проблем, а методические объединения (третий уровень) – конкретизируют решение этих проблем в преподавании учебных предметов.

В данной школе установлены  компьютеры в каждом кабинете, которые  соединены между собой с помощью  локальной сети. Также имеется  компьютерный класс, с железной дверью и решетками на окнах. В школе  ведется видеонаблюдение, на всех компьютерах  установлен пароли, кроме того все  компьютеры имеют выход в интернет, установлено антивирусное обеспечение. В школе работает охранник и действует  пропускной режим.

 

2 Описание существующей на предприятии системы защиты информации, сравнение ее с оптимальным вариантом и пожелания по усовершенствованию

 

2.1 Цели и задачи системы ИБ на предприятии

 

Для развития данных положений  в РФ 27.07.2006 принят Федеральный закон  № 152-ФЗ "О персональных данных", который вступил в силу с 1 января 2008 г. Его основной целью является обеспечение защиты прав и свобод человека и гражданина при обработке  его персональных данных, в т. ч. защиты прав на неприкосновенность частной  жизни, личную и семейную тайны.

Статья 3 данного закона определяет: "Персональные данные – любая  информация, относящаяся к определенному  или неопределенному на основании  такой информации лицу (субъекту персональных данных), в т. ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное  положение, образование, профессия, доходы, другая информация".

Оценивая законодательную  базу, следует обратить внимание, что  к объектам информационной безопасности в Минобрнауки России, региональных министерствах (департаментах) образования, муниципальных органах управления образованием и в ОУ относят:

• сведения, составляющие государственную тайну, в соответствии с выписками из перечня сведений, подлежащих засекречиванию в министерствах, ведомствах и организациях;
• информационные ресурсы, содержащие документированную информацию, в соответствии с перечнем сведений конфиденциального характера;
• информацию, защита которой предусмотрена законодательными актами РФ, в т. ч. и персональные данные;
• средства и системы информатизации, программные средства, автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации с ограниченным доступом.

Таким образом, можно сделать  вывод, что информационная безопасность является одним из составных элементов  комплексной безопасности ОУ. Уже  сегодня назрела необходимость  рассматривать ее как одну из основных составляющих безопасности ОУ.

Учитывая изложенное, под  информационной безопасностью ОУ следует  понимать состояние защищенности информационных ресурсов, технологий их формирования и использования, а также прав субъектов информационной деятельности.

 

 

2.2 Нормативные документы

 

• Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (с изм. и доп.);
• Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
• Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных";

 

 

2.3 Недостатки в системе информационной безопасности

 

Как показала практика, при  проверке организации системы информационной безопасности мной были обнаружены следующие недостатки:

• отсутствует перечень сведений, составляющий конфиденциальную информацию;
• отсутствуют должностные обязанности ответственного за информационную безопасность;
• не соблюдается порядок учета носителей информации конфиденциального характера;
• нарушен порядок делопроизводства.

Самым серьезным недостатком  в организации информационной безопасности, по моему мнению, является отсутствие взаимопонимания между теми, кто обеспечивает информационную безопасность, и теми, кто пользуется данной информацией. Нередко пользователи информации нарушают порядок обращения с ней и не соблюдают требования нормативно-правовых документов, регламентирующих информационную безопасность. Решение данной проблемы возможно только при соблюдении принципов информационной безопасности, постоянной требовательности по соблюдению конфиденциальности со стороны руководителя ОУ.

С учетом этих недостатков  для обеспечения информационной безопасности в ОУ я считаю необходимым проведение следующих первоочередных мероприятий:

• защита интеллектуальной собственности ОУ;
• защита компьютеров, локальных сетей и сети подключения к системе Интернета в классе информатики ОУ;
• организация защиты конфиденциальной информации, в т. ч. персональных данных работников и учащихся ОУ;
• учет всех носителей конфиденциальной информации.

Реализация данного комплекса  мер вносит кардинальные изменения  в организацию работы с информационными  ресурсами и технологиями, а также  делопроизводства, в т. ч. и по вопросам безопасности.

При таком подходе, основными  составными задачами делопроизводства станут: документирование информации, учет документов, организация документооборота, обеспечение надежного хранения документов, своевременное их уничтожение, проверка наличия хранящихся документов, контроль за своевременным и правильным их исполнением.

 

 

 

 

2.4 Угрозы безопасности характерные для данного предприятия и предложения по усовершенствованию системы защиты информации для данного предприятия

 

Какую же работу необходимо проделать образовательному учреждению (далее – ОУ) для обеспечения  компьютерной безопасности?

Во-первых, целесообразно  обеспечить защиту компьютеров от внешних несанкционированных воздействий(компьютерные вирусы, логические бомбы, атаки хакеров и т. д.). Решение данной проблемы возможно только при условии, исключающем вывод локальных сетей ОУ на Интернет, либо размещение своего сайта у удаленного провайдера.

Во-вторых, необходимо иметь как минимум два сервера. Наличие хороших серверов позволит протоколировать любые действия работников ОУ в вашей локальной сети.

В-третьих, необходимо установить строгий контроль за электронной почтой, обеспечив постоянный контроль за входящей и исходящей корреспонденцией.

Нелишним будет установка соответствующих паролей на персональные ЭВМ, а также определение работы с информацией на съемных носителях ЭВМ (дискеты, диски). И самое главное, класс информатики не должен быть подключен к локальным сетям ОУ.

В дальнейшем могут быть применены и аппаратные средства защиты информации, в т. ч. и ПЭВМ.

В свою очередь, ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях по защите информации" определяет порядок  защиты информации. В соответствии с данной статьей защита информации представляет собой принятие правовых, организационных и технических  мер. Меры должны быть направлены на обеспечение  защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении  такой информации.

Кроме того, определяется и  ответственность граждан за защиту информации. Так, п. 5 ст. 9 Закона № 149-ФЗ гласит: "Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении  ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности  по соблюдению такой информации".

Такая обязанность возлагается  Трудовым кодексом РФ (далее – ТК РФ), гл. 14 которого определяет защиту персональных данных работника. В соответствии со ст. 90 ТК РФ: "Лица, виновные в нарушении  норм, регулирующих получение, обработку  и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную  ответственность в соответствии с федеральными законами".

Я могу предложить план усовершенствования системы информационной безопасности ОУ. На первом этапе определяется, что подлежит защите. На втором этапе выявляются возможные каналы утечки информации и определяются возможные угрозы информационным системам. Далее вырабатываются меры по защите информации и технологических систем. На основе выработанных мер защиты разрабатываются нормативно-правовые документы, регламентирующие информационную безопасность. В последующем организуется контроль за соблюдением установленных правил. При таком подходе система информационной безопасности будет направлена на предупреждение угроз, их своевременное выявление, обнаружение, локализацию и ликвидацию.

В целях обеспечения информационной безопасности и ее организации, на основании  законодательных документов, в ОУ следует разрабатывать соответствующие  нормативно-правовые акты.

Правовые нормы обеспечения  информационной безопасности в конкретном ОУ фиксируются в учредительных, организационных и функциональных документах.

Требования обеспечения  информационной безопасности отражаются в уставе (учредительном договоре) в виде следующих положений:

• ОУ имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, персональных данных учащихся, работников ОУ, требовать от своих сотрудников обеспечения сохранности и защиты этих сведений от внешних и внутренних угроз;
• ОУ обязано обеспечить сохранность конфиденциальной информации.

Такие требования дают право  администрации ОУ:

• назначить ответственного за обеспечение информационной безопасности;
• издавать нормативные и распорядительные документы, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты;
• включать требования по обеспечению информационной безопасности в коллективный договор;
• включать требования по защите информации в договоры по всем видам деятельности;
• разрабатывать перечень сведений конфиденциального характера;
• требовать защиты интересов ОУ со стороны государственных и судебных инстанций.

К организационным  и функциональным документам следует  отнести:

• приказ руководителя ОУ о назначении ответственного за обеспечение информационной безопасности;
• должностные обязанности ответственного за обеспечение информационной безопасности;
• перечень защищаемых информационных ресурсов и баз данных;
• инструкцию, определяющую порядок предоставления информации сторонним организациям по их запросам, а также по правам доступа к ней сотрудников ОУ.

Данный перечень документов не является исчерпывающим. В зависимости  от особенностей, специфики и характера  ОУ он может быть расширен и дополнен.

Кроме того, должен быть определен  порядок допуска сотрудников  ОУ к информации. Такой допуск предусматривает:

• принятие работником обязательств о неразглашении доверенных ему сведений конфиденциального характера;
• ознакомление работника с нормами законодательства РФ и ОУ об информационной безопасности и ответственности за разглашение информации конфиденциального характера;
• инструктаж работника специалистом по информационной безопасности;
• контроль работника ответственным за информационную безопасность при работе с информацией конфиденциального характера.

Необходимо помнить, что  не на всяком документе имеется гриф "Для служебного пользования" ("Ограниченного пользования"), однако это не означает, что такой  документ не представляет никакой ценности. Не бывает важных или не очень важных документов. Самый малозначительный, на первый взгляд документ, при определенных обстоятельствах может оказаться  чрезвычайно важным. Организация  вышеперечисленных мероприятий  позволит избежать непредвиденных ситуаций, путаницы и неразберихи.

Следует отметить, что при  организации делопроизводства необходимо выявить и учесть все возможные  каналы утечки информации. Наиболее характерными каналами утечки информации для ОУ могут стать разглашение, хищение  и несанкционированный доступ.

Учитывая эти аспекты, систему организации делопроизводства можно представить в следующем  виде:

• учет всей документации ОУ, в т. ч. и на электронных носителях, с классификацией по сфере применения, дате, содержанию;
• регистрация и учет всех входящих (исходящих) документов ОУ в специальном журнале информации о дате получения (отправления) документа, откуда поступил или куда отправлен, классификация (письмо, приказ, распоряжение и т. д.);
• регистрация документов, с которых делаются копии, в специальном журнале (дата копирования, количество копий, для кого или с какой целью производится копирование);
• особый режим уничтожения документов.