УДК 004.056.53
05.00.00 Технические науки
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ ОБУЧАЮЩИХ СИСТЕМАХ
Параскевов Александр Владимирович РИНЦ БРШ-код= 2792-3483 старший преподаватель кафедры компьютерных технологий и систем [email protected]
Каденцева Анастасия Александровна студентка факультета прикладной информатики [email protected]
Филоненко Максим Викторович
студент факультета прикладной информатики
ФГБОУВО «Кубанский государственный аграрный университет имени И. Т. Трубилина», Краснодар, Россия
На сегодняшний день необходимым условием продвижения в сфере информационных технологий является широкое внедрение стандартов и технологий информационных систем, используемых как для аппаратных средств, так и для программных продуктов. Построение программного обеспечения вычислительных и информационных комплексов, основанных на идеологии открытых систем, позволяет успешно решать задачи переносимости программного обеспечения на платформы различных производителей, проблемы взаимозаменяемости узлов и устройств и, что самое главное, обеспечивает интеграцию устройств и пользователей в различные информационно-вычислительные и телекоммуникационные сети. Следует особо подчеркнуть то обстоятельство, что на сегодняшний день успешная реализация сколько-нибудь существенных проектов в области информационно-вычислительной техники, управления, информатизации и телекоммуникаций не представляется возможной без согласования разработок с существующими стандартами в области информационных систем и, в ряде случаев, разработки новых стандартов. В условиях перехода к интегрированным вычислительно-телекоммуникационным системам принципы информационных систем составляют основу технологии интеграции, создания отраслевых, региональных и национальных информационных инфраструктур и их взаимодействия в глобальном масштабе. Итак, можно сделать вывод, что технологии информационных систем сегодня является той рабочей средой, в рамках которой происходит развитие приоритетных
UDC 004.056.53 Technical sciences
PROTECTION OF PERSONAL DATA IN THE INFORMATION TRAINING SYSTEMS
Paraskevov Alexander Vladimirovich
SPIN code = 2792-3483
senior lecturer of Department of computer
technologies and systems
Kadantseva Anastasia Aleksandrovna student of the Faculty of Applied Informatics [email protected]
Filonenko Maksim Viktorovich
student of the Faculty of Applied Informatics
Federal State Budgetary Educational Institution of Higher Education «Kuban State Agrarian University named after I. T. Trubilin», Krasnodar, Russia
Nowadays, a necessary condition for progress in the field of information technology is wide adoption of standards and technologies of information systems used for hardware and software products. Building software of computing and information systems, based on the ideology of open systems, allows to successfully solve the problems of portability on platforms of various manufacturers, the problem of interchangeability of components and, most importantly, ensures the integration of devices and users in a variety of computing and telecommunication networks. It should be emphasized the fact that to date the successful implementation of any significant projects in the field of information and computer technology, management of information and telecommunications is not possible without coordination of development with existing standards in the field of information systems and, in some cases, the development of new standards. In the transition to integrated computing and telecommunications systems principles of information systems form the basis of technology integration, the establishment of sectoral, regional and national information infrastructures and their interactions on a global scale. Therefore, we can conclude that the technology of information systems today is the working environment in which the priority is the development of information and telecommunication technologies, telecommunication and computer engineering
информационно-телекоммуникационных технологий, средств телекоммуникаций и вычислительной техники
Ключевые слова: ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ИНФОРМАЦИОННАЯ ОБУЧАЮЩАЯ СИСТЕМА, ДИСТАНЦИОННОЕ ОБУЧЕНИЕ, ЗАЩИТА ИНФОРМАЦИИ, ПОТЕРЯ ДАННЫХ
Бок 10.21515/1990-4665-122-075.
Обучающие системы это полностью автоматизированные информационные системы, строящиеся на базе информационных технологий. С помощью обучающих систем стала возможна реализация дистанционного обучения, так как они содержат необходимую методическую, учебную и практическую информацию для усвоения знаний в учебном процессе.
Дистанционное обучение - это процесс получений знаний, навыков и умений, при помощи обучающих информационных систем. Обучение происходит удаленно без личного контакта с преподавателем.
Каждая информационная система платформозависимая и имеет свои технические требования. Есть вероятность, что разработанная информационная система может просто не подойти к операционной системе пользователя, поэтому чаще всего обучающие системы не требовательны к техническим возможностям компьютера и являются кроссплатформенными.
Обучающие системы выполняют широкий круг важных задач. Основные из них рассмотрены на рисунке 1.
Keywords: PERSONAL DATA, INFORMATION TRAINING SYSTEMS, DISTANCE LEARNING, INFORMATION PROTECTION, DATA LOSS
Рисунок 1 - Схема задач, выполняемых обучающими системами.
На сегодняшний день существует большое число очень много видов обучающих информационных систем, отличающихся между собой такими критериями, как форма взаимодействия с пользователем, способ представления информации, способ хранения информации и т.д.
На рисунке 2 изображена схема классификации информационных обучающих систем.
Рисунок 2 - Классификация обучающих систем.
Но что самое важное - это то, что все обучающие системы хранят информацию о пользователе (ученике, студенте), например, такую как:
— ФИО;
— данные об успеваемости;
— данные об учебном заведении;
— данные о классе, группе, в которых пользователь обучается;
— дату рождения;
— расписание занятий;
— и т.д.
Персональные данных человека нуждаются в защите. «Целью их защиты является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».
В 152-ФЗ от 27.07.2016 «О персональных данных», статье 19 ясно описаны меры, которые должен принимать орган или лица, хранящие персональные данные пользователя. Понятие «оператор» в этой статье -«это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» [1].
Несоблюдение данной статьи влечет за собой дисциплинарную, уголовную, административную, либо гражданско-правовую ответственность. В пример можно привести разглашение информации о коллеге по работе. В случае, если были разглашены персональные данные, коллега имеет право подать иск в суд и взыскать компенсацию за моральный вред. Так же любое вторжение в частную жизнь несет за собой лишение свободы сроком до 4 лет. Меры достижения необходимого
уровня защищенности персональных данных пользователя обучающей информационной системы, или же вообще любой другой системе, которая хранит данные, нуждающиеся в защите подробно описаны на рисунке 3.
Меры по обеспечению безопасности ПД в информационных системах
До ввода в эксплутацию
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации
учет машиных носителей
установление правил доступа к ПД
В процессе эксплутации
контроль за принимаемыми мерами по обеспесению безопасности персональных данных
В случае несанкционированного доступа злоумышлеников
обнаружение фактов несанкционированного доступа к ПД и принятие мер
восстановление ПД, уничтоженых или модифицированных в следстви несанкционированного досутпа к ним
Рисунок 3 - Меры по обеспечению безопасности персональных данных. Чтобы понять как защитить персональные данные в информационных системах для начала необходимо определить какие именно данные подлежат защите.
Категории персональных данных:
— категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
— категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
— категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
— категория 4 - обезличенные и (или) общедоступные персональные данные.
В информационных системах многих организаций ведётся бухгалтерский и кадровый учёт, база данных клиентов.
Имея информацию о мерах обеспечения безопасности и категориям персональных данных, которые нужно защищать, перед проектирование информационной обучающей системы с защитой персональных данные нужно выбрать метод защиты персональных данных, который будет использоваться.
Методов защиты информации совсем немного: препятствие, маскировка, регламентация, управление, принуждение, побуждение. Все методы должны быть построены таким образом, что исключена потеря данных по любым причинам и обеспечена полная безопасность от различных видов угроз.
Таблица 1. - Результаты анализа состава персональных данных обучающей
системы
Анализируемый Комментарии Категория персональных
состав данных
персональных
данных
ФИО Если лучше разобраться, такие данные как ФИО могут иметь одинаковыми различные люди, но не следует забывать о редких сочетаниях ФИО, которые могут принадлежать только одному человеку. Имея ввиду то, что очень многие информационные системы имеют громадные базы данных с большим количеством уникальных ФИО, эти данные принято считать данными, способными идентифицировать человека. 3
Дата рождения Персональные данные данного вида не могут помощь однозначно идентифицировать личность 4 (обезличенные)
Данные об Такие данные общедоступны во 4 (общедоступные)
успеваемости многих случаях и идентифицировать идентифицировать личность не способны
Данные об Идентифицированные личности по 4 (общедоступные)
учебном этим данным не возможно. В одном
заведении, классе или группе находятся около
группе 30 человек.
Расписание Эти данные не несут никакой 4 (общедоступные)
занятий информации о личности. Расписание учебных занятий может быть одинаковым у больших групп людей.
Если говорить об этих методах подробнее, то все оказывается довольно просто и логично.
Метод препятствия говорит о том, что необходимо защитить территорию хранения персональных данных от проникновения злоумышленников.
Маскировка подразумевает шифрование или перевод данных в форму, невозможную для расшифровки третьими лицами.
Метод управления - это способ защиты информации, при использовании которого идет полное управление всеми компонентами информационной системы.
Регламентация - подробная запись поэтапной работы с данными. Все манипуляции идут по конкретной инструкции, отступать от которой строго запрещено.
Метод принуждения похож на метод регламентации, так как работники вынуждены выполнять установленные правила доступа к персональным данным.
На основе этой информации по мерам обеспечения безопасности информационных систем возможно спроектировать этапы разработки системы защиты персональных данных в обучающей информационной системе.
Этапы разработки системы защиты персональных данных в информационной системе.
Сама первая стадия - предпроектная. На ней выполняется полная подготовка всей необходимой информации для разработки системы защиты. Задачи предпроектной стадии:
— полное изучение системы персональных данных обучающей системы;
— поиск угроз безопасности, создание примерной модели нарушителя;
— формулировка рекомендаций по разложении персональных данных на категории
— установка требований и обязанностей к исполнителю технического задания по проектированию системы защиты персональных данных в системе.
Следующая стадия - стадия основного проектирования. Самые основные задачи этой стадии разработки системы защиты являются
составление документации и разработка технических решений, способов защиты персональных данных в данной обучающей системе.
После основного проектирования происходит ввод системы защиты в эксплуатацию. На данной стадии происходит: —поставка выбранных средств защиты информации; —настройка средств защиты информации, установка используемого ПО; —завершение оформление технической документации;
Рассмотрим, к примеру, защиту персональных данных студентов в информационной обучающей системе по дисциплине «Микропроцессоры».
Данная информационная система содержит:
— информацию о лабораторных работах: теоретическая часть и практическая часть работы;
— список тем курсовых работ;
— рекомендации по выполнению курсовых работ;
— ФИО студентов, изучающих дисциплину;
— текущая успеваемость студентов;
— номер группы студентов.
Разработанная информационная обучающая система по дисциплине «Микропроцессоры», используется для проведения практических занятий и содержит теоретический материал для выполнения лабораторных работ.
На рисунке 3 представлена модульная структура информационной системы и ее взаимодействие с внешними объектами.
Основное окно информационной
Лабораторный практикум
Теоретическая часть
Авторизованный вход в систему
Журнал
Тематика курсовых работ
Структура и объем пояснительной
Информационные
системы и технологии
Прикладная информатика
Рисунок 3 - Модульная структура информационной системы и ее взаимодействие с внешними объектами.
Система хранит персональные данные студентов и приняты необходимые меры по защите этих данных в системе. На начальных этапах проектирования системы был выбран такой метод защиты ФИО студентов, их успеваемости, номера группы, как маскировка.
Данные хранятся в бинарных файлах, которые довольно сложно раскодировать. Чтобы это сделать нужно для начала их найти, что сделать довольно сложно, так как они находятся в папке программы, но в скрытом виде. Доступ к скрытым файлам имеет только пользователь с правами администратора операционной системы. Пароль от учетной записи с правами администратора, в свою очередь, имеют только сотрудники кафедры, которые имеют права доступа к персональным данным студентам, потому что при поступлению в ВУЗ студенты заполняют соответствующее разрешение на обработку их персональных данных, а профессорско-преподавательский состав и учебно-вспомогательный персонал могут являться лицами, уполномоченными от лица ВУЗа. В случае получения пароля от пользователя с правами администратора,
раскодировка файлов с возможностью прочтения и редактирования будет невозможна, так как не известна точная кодировка файла.
Выводы.
Несанкционированный доступ в персональным данным студентов влечет за собой несоблюдение тем, кто хранил эти данные, статьи 152-ФЗ от 27.07.2016 «О персональных данных» и уголовную, административную или гражданско-правовую ответственность.
Методы несанкционированного к персональным данным совершенствуются, а значит нужно применять более новые комплексные меры защиты персональных данных. Это возможно, используя самые передовые и проверенные автоматизированные средства защиты территории хранения персональных данных, доступа к ним. Так же необходим строгий регламент доступа к персональным данным для тех, кто должен иметь право доступа к ним.
Кроме бинарных файлов можно применять так же и другие программы шифрования, но они должны быть сертифицированы в системе сертификации ФСБ России (приказ ФСБ России от 13 ноября 1999 г. № 564 «Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия» (зарегистрирован в Минюсте России 27 декабря 1999 г. № 2028)). В то же время в извещении по вопросу использования несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет» от 18.07.2016г. (http://www.fsb.ru/fsb/science/single.htm%21id%3D10437738%40fsbResearch art.html) особо отмечается что «Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в
абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети «Интернет», на соответствие требованиям по безопасности информации не требуется». Если же средство защиты персональных данных в информационно обучающей системе настолько хорошо, что доступ к файлам, которые хранят персональные данные, исключен, то шифрование может и не требоваться.
Список литературы:
1. Параскевов А.В. IT диверсии в корпоративной сфере / А.В. Параскевов, И.М. Бабенков, О.Б. Шилович // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. - Краснодар: КубГАУ, 2016. - №02(116). С. 1355 -1366. - IDA [article ID]: 1161602086. - Режим доступа: http://ej.kubagro.ru/2016/02/pdf/86.pdf, 0,75 у.п.л.
2. Михалевич Ю.С. Концепция модульной архитектуры системы децентрализованной социальной сети как гаранта безопасности и конфиденциальности персональных данных / Ю.С. Михалевич, В.В. Ткаченко // В сборнике: Математические методы и информационные технологии в социально-экономической сфере. По материалам IV Всероссийской научно-практической конференции. - Уфа: ООО «Аэтена», 2015. С. 156-163.
3. Основные детерминанты экономической и информационной безопасности на современном этапе развития экономики / Бабенков И.М., Параскевов А.В., Шилович О.Б. // в сборнике: Роль и место информационных технологий в современной науке - сборник статей Международной научно-практической конференции. Ответственный редактор: Сукиасян Асатур Альбертович. Уфа, 2016. С. 71-74.
4. Великанова Л.О. Предпосылки создания автоматизированной информационной системы «Управление возделыванием полевых культур» / Л.О. Великанова, В.В. Ткаченко // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. - Краснодар: КубГАУ, 2005. - №04(012). С. 166 - 173. - IDA [article ID]: 0120504015. - Режим доступа: http://ej.kubagro.ru/2005/04/pdf/15.pdf.
5. Параскевов А.В. Сравнительный анализ правового регулирования защиты персональных данных в России и за рубежом / Параскевов А.В., Левченко А.В., Кухоль Ю.А. // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. - Краснодар: КубГАУ, 2015. - №06(110). - IDA [articleID]: 1101506058. -Режим доступа: http://ej.kubagro.ru/2015/06/pdf/58.pdf, 1,750 у.п.л.
6. Бабенков И.М. Средства и методы защиты информации в экономической сфере / И.М. Бабенков, А.В. Параскевов // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. - Краснодар: КубГАУ, 2016. - №05(119). С.
653 - 665. - IDA [article ID]: 1191605047. - Режим доступа: http://ej.kubagro.ru/2016/05/pdf/47.pdf, 0,812 у.п.л.
7. Каденцева А.А., Филоненко М.В. Перспективы развития CALS-технологий в России // НАУЧНЫЕ ОТКРЫТИЯ В ЭПОХУ ГЛОБАЛИЗАЦИИ: Сборник статей Международной научно-практической конференции (Казань, 20 сентября 2015). Ответственный редактор Сукиасян Асатур Альбертович. Уфа:, 2015, -188 с.
8. Каденцева А.А. О необходимости внедрения информационной обучающей системы по дисциплине «Микропроцессоры» в учебный процесс // УПРАВЛЕНИЕ ИННОВАЦИЯМИ В СОВРЕМЕННОЙ НАУКЕ: сборник статей Международной научно - практической конференции (8 мая 2016 г, г. Магнитогорск). В 2 ч. Ч.1 - Уфа: МЦИИ ОМЕГА САЙНС, 2016. - 230 с.
References
1. Paraskevov A.V. IT diversii v korporativnoj sfere / A.V. Paraskevov, I.M. Babenkov, O.B. Shilovich // Politematicheskij setevoj jelektronnyj nauchnyj zhurnal Kubanskogo gosudarstvennogo agrarnogo universiteta (Nauchnyj zhurnal KubGAU) [Jelektronnyj resurs]. - Krasnodar: KubGAU, 2016. - №02(116). S. 1355 - 1366. - IDA [article ID]: 1161602086. - Rezhim dostupa: http://ej.kubagro.ru/2016/02/pdf/86.pdf, 0,75 u.p.l.
2. Mihalevich Ju.S. Koncepcija modul'noj arhitektury sistemy decentralizovannoj social'noj seti kak garanta bezopasnosti i konfidencial'nosti personal'nyh dannyh / Ju.S. Mihalevich, V.V. Tkachenko // V sbornike: Matematicheskie metody i informacionnye tehnologii v social'no-jekonomicheskoj sfere. Po materialam IV Vserossijskoj nauchno-prakticheskoj konferencii. - Ufa: OOO «Ajetena», 2015. S. 156-163.
3. Osnovnye determinanty jekonomicheskoj i informacionnoj bezopasnosti na sovremennom jetape razvitija jekonomiki / Babenkov I.M., Paraskevov A.V., Shilovich O.B. // v sbornike: Rol' i mesto informacionnyh tehnologij v sovremennoj nauke - sbornik statej Mezhdunarodnoj nauchno-prakticheskoj konferencii. Otvetstvennyj redaktor: Sukiasjan Asatur Al'bertovich. Ufa, 2016. S. 71-74.
4. Velikanova L.O. Predposylki sozdanija avtomatizirovannoj informacionnoj sistemy «Upravlenie vozdelyvaniem polevyh kul'tur» / L.O. Velikanova, V.V. Tkachenko // Politematicheskij setevoj jelektronnyj nauchnyj zhurnal Kubanskogo gosudarstvennogo agrarnogo universiteta (Nauchnyj zhurnal KubGAU) [Jelektronnyj resurs]. - Krasnodar: KubGAU, 2005. - №04(012). S. 166 - 173. - IDA [article ID]: 0120504015. - Rezhim dostupa: http://ej.kubagro.ru/2005/04/pdf/15.pdf.
5. Paraskevov A.V. Sravnitel'nyj analiz pravovogo regulirovanija zashhity personal'nyh dannyh v Rossii i za rubezhom / Paraskevov A.V., Levchenko A.V., Kuhol' Ju.A. // Politematicheskij setevoj jelektronnyj nauchnyj zhurnal Kubanskogo gosudarstvennogo agrarnogo universiteta (Nauchnyj zhurnal KubGAU) [Jelektronnyj resurs]. - Krasnodar: KubGAU, 2015. - №06(110). - IDA [articleID]: 1101506058. - Rezhim dostupa: http://ej.kubagro.ru/2015/06/pdf/58.pdf, 1,750 u.p.l.
6. Babenkov I.M. Sredstva i metody zashhity informacii v jekonomicheskoj sfere / I.M. Babenkov, A.V. Paraskevov // Politematicheskij setevoj jelektronnyj nauchnyj zhurnal Kubanskogo gosudarstvennogo agrarnogo universiteta (Nauchnyj zhurnal KubGAU) [Jelektronnyj resurs]. - Krasnodar: KubGAU, 2016. - №05(119). S. 653 - 665. - IDA [article ID]: 1191605047. - Rezhim dostupa: http://ej.kubagro.ru/2016/05/pdf/47.pdf, 0,812 u.p.l.
7. Kadenceva A.A., Filonenko M.V. Perspektivy razvitija CALS-tehnologij v Rossii // NAUChNYE OTKRYTIJa V JePOHU GLOBALIZACII: Sbornik statej
Mezhdunarodnoj nauchno-prakticheskoj konferencii (Kazan', 20 sentjabrja 2015). Otvetstvennyj redaktor Sukiasjan Asatur Al'bertovich. Ufa:, 2015, - 188 s.
8. Kadenceva A.A. O neobhodimosti vnedrenija informacionnoj obuchajushhej sistemy po discipline «Mikroprocessory» v uchebnyj process // UPRAVLENIE INNOVACIJaMI V SOVREMENNOJ NAUKE: sbornik statej Mezhdunarodnoj nauchno -prakticheskoj konferencii (8 maja 2016 g, g. Magnitogorsk). V 2 ch. Ch.1 - Ufa: MCII OMEGA SAJNS, 2016. - 230 s.