Вход
/
Регистрация
вход ДЛЯ пользователей

Защита информационной безопасности. Мифы и реальность

14 Июня 2017

Недавно в областном Законодательном собрании прошел «круглый стол» на тему информационной безопасности в интернете. На нем депутат Госдумы РФ Леонид Левин озвучил федеральные законопроекты, направленные на защиту информации в сети. Портал «Пенза-Онлайн» решил развить эту тему и пообщался с начальником управления информатизации ПГУ Александром Антоновым.

1.jpg

— Александр Викторович, вы тоже были участником того обсуждения. Поделитесь опытом, как обстоят дела с информационной безопасностью в Пензенском государственном университете?

— Понятно, что самая защищенная система — та, которая вообще не имеет ни входов, не выходов в интернет. Если есть доступ к всемирной сети хотя бы с одного компьютера внутри системы — все можно вскрыть и получить доступ к базам данным. Поэтому, если мы заботимся о сохранении информации, например, персональных данных, система должна быть полностью изолированной. Так, например, сделано в системе Министерства здравоохранения Пензенской области.

В нашем университете есть сервер, на котором хранятся персональные данные сотрудников, студентов и выпускников. Он находится внутри локальной сети. Доступ к нему разрешен лишь с аттестованных рабочих мест. Они не подключены к интернету.

— Что значит аттестованное место? А если, допустим, ваш сотрудник — недостаточно дисциплинированный, взял и пришел с внешним 3G-модемом, решив полазить в рабочее время по «интересным» сайтам, и «подцепил» какую-нибудь вредную гадость?

— Это исключено. Аттестованное рабочее место не позволяет подключить к себе внешнее устройство, в том числе, 3G-модем. Машина его не «увидит». Ни флешку, ни компакт-диск, ничего не увидит. Данные можно читать только с экрана. Кроме того, у нас установлены специальные программы, которые отслеживают весь процесс работы сотрудников — кто куда зашел, и что сделал. Такой принцип защиты необходим при работе с персональными данными.

По закону мы обязаны отправлять некоторую информацию в Рособрнадзор. Для этого у нас есть специальный закрытый, зашифрованный канал. Например, мы передаем данные о тех, кто поступил в ВУЗ, в Федеральную информационную систему «ГИА и Приема». Этот же канал используется для получения информации об абитуриентах. По идее, оценки, полученные при сдаче ЕГЭ, можно не спрашивать. А после окончания ВУЗа заносим сведения о выпускнике и его дипломе в Федеральный регистр документов об образовании. На этом связь нашей локальной информационной сети с внешним миром заканчивается.

— Я слышал, что с этого года абитуриент может подавать заявление на поступление в ваш ВУЗ в режиме онлайн, то есть через сайт в интернете. А как же быть с защитой персональных данных?

— С сайта мы планируем лишь принимать заявки на обучение. Абитуриент заполнит анкету, все данные будут внесены в систему, но затем ему придется прийти лично с паспортом в приемную комиссию в порядке электронной очереди. Человек потратит намного меньше времени, он получит приглашение на определенное время. Его персональные данные при этом нигде не «засветятся», они будут внесены в изолированную систему. То есть, поступить в ВУЗ удаленно все равно не получится.

По требованиям Федерального государственного образовательного стандарта (ФГОС) в ПГУ функционирует Электронная информационно-образовательная среда (ЭИОС), в состав которой входит и сайт университета. В ЭИОС заносится информация обо всех сотрудниках, студентах и выпускниках — это открытая и обязательная информация. Однако, там нет персональных данных подлежащих обязательной защите. Вообще, согласно законодательству, к защищаемым персональным данным относятся лишь документы, идентифицирующие личность: паспорт, военный билет, свидетельство о рождении, водительские права.

А, например, домашний адрес или же телефон, вопреки многочисленным заблуждениям, персональными данными, требующими обязательной защиты, не являются. Хотя публикация их и не противоречит закону, размещать личную контактную информацию сотрудников и учащихся в открытом доступе мы, естественно, не будем.

— А ИНН или СНИЛС?

— По ИНН, кроме как в налоговых службах, человека не идентифицируют. СНИЛС нужен для работы в пенсионной системе и на портале Госуслуг. Но публиковать его в открытом доступе я бы тоже не советовал.

— Если говорить об информационной безопасности глобально, как защититься? Тут Левин рассказывал, что Госдума обсуждает законопроект, который обязывает стратегически важные предприятия иметь в наличии программное обеспечение, гарантирующее безопасность. Предварительно на федеральном уровне даже якобы составлен список таких предприятий.

— Если обяжут, то это, во-первых, сильно ударит финансово по тем же предприятиям – бесплатно им новую защиту никто не поставит. Во-вторых, если обяжут покупать новое ПО только у отечественных производителей, может получиться дороже. А, в-третьих, никакая даже самая многоуровневая защита не гарантирует спасения от хакерских атак.
Любой ключ и шифрацию можно открыть. Нужны только время и мощные ресурсы. Если кому-то принципиально надо что-то взломать, и он не ограничен в средствах, — взломает. А стопроцентную защиту от взлома гарантирует только полная изоляция от сети Интернет.

— Что скажете по поводу запрещенного контента, как с ним бороться?

— По большому счету, все эти запреты работают лишь отчасти. А проблема большая. Раньше боролись только с порнографией. Сейчас к этому добавились экстремизм, призывы к суициду и т.д. Например, я нахожу информацию, противоречащую российскому законодательству, отсылаю в Роскомнадзор. Проходит пять дней, прежде чем ссылка будет занесена в реестр запрещенных сайтов, и ее выгрузят для блокировки провайдеры. За эти пять дней все желающие могут сделать тысячи копий этого сайта.

Нужно придумать контент-фильтрацию и законодательно дать возможность блокировать интернет-ресурсы самим провайдерам. Еще было бы продуктивно вводить фильтрацию на уровне поисковых систем. У них большие мощности, а, значит, и возможности. Только беда в том, что, например, один из самых популярных поисковиков — Google — не является российским и они не подчиняются нашему законодательству.

Но ужесточение ответственности за продажу неавторизированных SIM-карт, которое сейчас происходит, надо только приветствовать. Раньше они продавались на каждом углу, и документы никто не спрашивал, теперь только при предъявлении паспорта. Сети Wi-Fi в общественных местах — тоже с авторизацией через SMS-сообщения.

Вот у моего ребенка есть планшет, и дома я настраиваю сервис «родительский контроль». Но если он пойдет в «Макдоналдс», где Wi-Fi с авторизацией, он, по идее, может «залезть» куда-нибудь не туда. А отвечать кто будет? Я. Потому что ребенок несовершеннолетний, и SIM-карта зарегистрирована на меня. Поэтому я стараюсь доступно объяснять ребенку, «что такое хорошо, а что такое плохо» и в сети Интернет тоже.

Но скажите, все ли родители сейчас готовы корректно обсудить с детьми, например, тему «синих китов»? А это необходимо делать, потому что ответственность за ребенка, в том числе и за его активность в интернете, в итоге все равно лежит на родителях.

Источник фото: фото автора

Тэги: Защита информационной безопасности. Мифы и реальность

10
Комментарии (2)
0
Кирилл Попков
" Любой ключ и шифрацию можно открыть. Нужны только время и мощные ресурсы. Если кому-то принципиально надо что-то взломать, и он не ограничен в средствах, — взломает. А стопроцентную защиту от взлома гарантирует только полная изоляция от сети Интернет. " Боги, зачем я это прочитал, как теперь с этим знанием жить то? Вот что происходит когда журналист не в теме вопроса а интервью берут у человека который "несколько из другой области знаний" :). В ПГУ есть профильная кафедра, вы им бы дали почитать перед тем как писать на сайт. Ладно Левин, с ним "всё понятно" было после первого приезда в Пензу, но Александр я не ожидал такого от Вас :) Я же демонстрировал вам хваленую "защиту" на аттестованном рабочем месте ( без выхода в интернет ) в ПГУшной поликлинике ))). Статья мало имеет отношения к ИБ, к мифам - да , к реальности нет )))) Перепишите заголовок ))))
0
Светлана
Речь идет об информационной безопасности, значит имеет)
Добавить комментарий