Защита информационной безопасности. Мифы и реальность
— Александр Викторович, вы тоже были участником того обсуждения. Поделитесь опытом, как обстоят дела с информационной безопасностью в Пензенском государственном университете?
— Понятно, что самая защищенная система — та, которая вообще не имеет ни входов, не выходов в интернет. Если есть доступ к всемирной сети хотя бы с одного компьютера внутри системы — все можно вскрыть и получить доступ к базам данным. Поэтому, если мы заботимся о сохранении информации, например, персональных данных, система должна быть полностью изолированной. Так, например, сделано в системе Министерства здравоохранения Пензенской области.
В нашем университете есть сервер, на котором хранятся персональные данные сотрудников, студентов и выпускников. Он находится внутри локальной сети. Доступ к нему разрешен лишь с аттестованных рабочих мест. Они не подключены к интернету.
— Что значит аттестованное место? А если, допустим, ваш сотрудник — недостаточно дисциплинированный, взял и пришел с внешним 3G-модемом, решив полазить в рабочее время по «интересным» сайтам, и «подцепил» какую-нибудь вредную гадость?
— Это исключено. Аттестованное рабочее место не позволяет подключить к себе внешнее устройство, в том числе, 3G-модем. Машина его не «увидит». Ни флешку, ни компакт-диск, ничего не увидит. Данные можно читать только с экрана. Кроме того, у нас установлены специальные программы, которые отслеживают весь процесс работы сотрудников — кто куда зашел, и что сделал. Такой принцип защиты необходим при работе с персональными данными.
По закону мы обязаны отправлять некоторую информацию в Рособрнадзор. Для этого у нас есть специальный закрытый, зашифрованный канал. Например, мы передаем данные о тех, кто поступил в ВУЗ, в Федеральную информационную систему «ГИА и Приема». Этот же канал используется для получения информации об абитуриентах. По идее, оценки, полученные при сдаче ЕГЭ, можно не спрашивать. А после окончания ВУЗа заносим сведения о выпускнике и его дипломе в Федеральный регистр документов об образовании. На этом связь нашей локальной информационной сети с внешним миром заканчивается.
— Я слышал, что с этого года абитуриент может подавать заявление на поступление в ваш ВУЗ в режиме онлайн, то есть через сайт в интернете. А как же быть с защитой персональных данных?
— С сайта мы планируем лишь принимать заявки на обучение. Абитуриент заполнит анкету, все данные будут внесены в систему, но затем ему придется прийти лично с паспортом в приемную комиссию в порядке электронной очереди. Человек потратит намного меньше времени, он получит приглашение на определенное время. Его персональные данные при этом нигде не «засветятся», они будут внесены в изолированную систему. То есть, поступить в ВУЗ удаленно все равно не получится.
По требованиям Федерального государственного образовательного стандарта (ФГОС) в ПГУ функционирует Электронная информационно-образовательная среда (ЭИОС), в состав которой входит и сайт университета. В ЭИОС заносится информация обо всех сотрудниках, студентах и выпускниках — это открытая и обязательная информация. Однако, там нет персональных данных подлежащих обязательной защите. Вообще, согласно законодательству, к защищаемым персональным данным относятся лишь документы, идентифицирующие личность: паспорт, военный билет, свидетельство о рождении, водительские права.
А, например, домашний адрес или же телефон, вопреки многочисленным заблуждениям, персональными данными, требующими обязательной защиты, не являются. Хотя публикация их и не противоречит закону, размещать личную контактную информацию сотрудников и учащихся в открытом доступе мы, естественно, не будем.
— А ИНН или СНИЛС?
— По ИНН, кроме как в налоговых службах, человека не идентифицируют. СНИЛС нужен для работы в пенсионной системе и на портале Госуслуг. Но публиковать его в открытом доступе я бы тоже не советовал.
— Если говорить об информационной безопасности глобально, как защититься? Тут Левин рассказывал, что Госдума обсуждает законопроект, который обязывает стратегически важные предприятия иметь в наличии программное обеспечение, гарантирующее безопасность. Предварительно на федеральном уровне даже якобы составлен список таких предприятий.
— Если обяжут, то это, во-первых, сильно ударит финансово по тем же предприятиям – бесплатно им новую защиту никто не поставит. Во-вторых, если обяжут покупать новое ПО только у отечественных производителей, может получиться дороже. А, в-третьих, никакая даже самая многоуровневая защита не гарантирует спасения от хакерских атак.
Любой ключ и шифрацию можно открыть. Нужны только время и мощные ресурсы. Если кому-то принципиально надо что-то взломать, и он не ограничен в средствах, — взломает. А стопроцентную защиту от взлома гарантирует только полная изоляция от сети Интернет.
— Что скажете по поводу запрещенного контента, как с ним бороться?
— По большому счету, все эти запреты работают лишь отчасти. А проблема большая. Раньше боролись только с порнографией. Сейчас к этому добавились экстремизм, призывы к суициду и т.д. Например, я нахожу информацию, противоречащую российскому законодательству, отсылаю в Роскомнадзор. Проходит пять дней, прежде чем ссылка будет занесена в реестр запрещенных сайтов, и ее выгрузят для блокировки провайдеры. За эти пять дней все желающие могут сделать тысячи копий этого сайта.
Нужно придумать контент-фильтрацию и законодательно дать возможность блокировать интернет-ресурсы самим провайдерам. Еще было бы продуктивно вводить фильтрацию на уровне поисковых систем. У них большие мощности, а, значит, и возможности. Только беда в том, что, например, один из самых популярных поисковиков — Google — не является российским и они не подчиняются нашему законодательству.
Но ужесточение ответственности за продажу неавторизированных SIM-карт, которое сейчас происходит, надо только приветствовать. Раньше они продавались на каждом углу, и документы никто не спрашивал, теперь только при предъявлении паспорта. Сети Wi-Fi в общественных местах — тоже с авторизацией через SMS-сообщения.
Вот у моего ребенка есть планшет, и дома я настраиваю сервис «родительский контроль». Но если он пойдет в «Макдоналдс», где Wi-Fi с авторизацией, он, по идее, может «залезть» куда-нибудь не туда. А отвечать кто будет? Я. Потому что ребенок несовершеннолетний, и SIM-карта зарегистрирована на меня. Поэтому я стараюсь доступно объяснять ребенку, «что такое хорошо, а что такое плохо» и в сети Интернет тоже.
Но скажите, все ли родители сейчас готовы корректно обсудить с детьми, например, тему «синих китов»? А это необходимо делать, потому что ответственность за ребенка, в том числе и за его активность в интернете, в итоге все равно лежит на родителях. Источник фото: фото автора