Защита персональных данных учащихся и сотрудников образовательного учреждения посредством разграничения прав доступа, реализованного в операционной системе

Размещено на http://www.allbest.ru/

Нижнетагильский государственный социально-педагогический институт (филиал Российского государственного профессионально-педагогического университета)

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ УЧАЩИХСЯ И СОТРУДНИКОВ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ ПОСРЕДСТВОМ РАЗГРАНИЧЕНИЯ ПРАВ ДОСТУПА, РЕАЛИЗОВАННОГО В ОПЕРАЦИОННОЙ СИСТЕМЕ

Васева Е.С., Матис П.С.

г. Нижний Тагил, Россия

В наше время, время развития мощных компьютерных систем хранения и обработки информации, появления новых информационных технологий особенно остро встает вопрос о необходимости повышения уровня защиты информации. Защита информации является одной из важнейших и приоритетных задач в деятельности любой организации, и особенно образовательного учреждения.

Сотрудник образовательного учреждения в силу своих должностных обязанностей работает с персональными данными сотрудников и учащихся, при этом "обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, а содержание и объем обрабатываемых персональных данных не должны быть избыточными, а строго соответствовать заявленным целям обработки" [1].

Понизить вероятность несанкционированного доступа к ресурсам компьютера образовательного учреждения, в том числе и персональным данным можно с помощью сервиса разграничения прав доступа, предусмотренного в операционной системе.

Рассмотрим пример реализации данного сервиса в ОС Windows. Для защиты персональных данных, возьмем персональный компьютер сотрудника образовательной организации. На компьютере, помимо различной рабочей информации, имеется информация, которую необходимо защищать от несанкционированного доступа. К рабочему компьютеру имеют доступ только лица, подписавшие соглашение о неразглашении персональных данных, хранящихся на компьютере. Как один из возможных вариантов, можно предложить выделение трех групп пользователей - имеющих полный доступ к ПД, имеющих доступ только к чтению ПД и не имеющих доступ к ПД.

Для первой группы создадим пользователей, имеющих конфиденциальный пароль, который будут знать только лица, имеющие доступ к ПД на законных основаниях. Для второй группы ограничим права пользователей в части ПД, оставим лишь те права, которые необходимы для частичной работы с ПД. Для этих пользователей поставим доступ с паролем, который знают классные руководители, учителя. Для третьей группы пользователей оставим доступ к ПК без пароля, так как эта группа не имеет доступ к ПД сотрудников и учеников образовательной организации.

Для работы на ПК сотрудника, ответственного за работу с ПД, поставлено специальное программное обеспечение, благодаря которому осуществляется доступ к электронному ресурсу от имени администрации образовательной организации (рис. 1).

Рисунок 1. Окно аутентификации ПО для доступа к электронным ресурсам

Получается, что для входа в систему первой группы лиц, необходима двойная аутентификация, в целях большей защиты персональных данных от несанкционированного доступа злоумышленников. Для второй группы осуществлен доступ только к пользователю без пароля.

Таким образом, мы реализуем схему задания разграничительной политики к ресурсам разграничения прав доступа к объектам пользователей, вне разграничений процессов.

Для разработки рекомендаций по логическому управлению и аудиту доступа, рассмотрим реализованную модель избирательного доступа в ОС Windows. Для этого составим матрицу контроля доступа согласно должностям сотрудников образовательной организации (Таблица 1).

Таблица 1. Примерная матрица контроля доступа к документам образовательного учреждения

Здесь приняты следующие обозначения: * полный доступ, ** только чтение, *** отсутствие доступа к персональным данным, **** чтение и запись, без возможности создания новых файлов.

Обратим внимание, что группы пользователей у нас три, но в матрице мы описали семь должностных лиц. Объединим в первую группу пользователей секретаря, заместителей директора по УР и ПВ, как лиц, имеющих полный доступ к ПД. Ко второй группе отнесем учителей-предметников, классных руководителей и директора, так как им необходим частичный доступ к ПД. К третьей группе отнесем заместителя директора по АХР, так как для выполнения должностных обязанностей данному лицу нет доступа к ПД. В большинстве случаев, учителя, заместители директора просто обращаются к секретарю для получения необходимой информации (относящейся или не относящейся к ПД), или под контролем ответственного осуществляют доступ к информации.

Согласно Федеральному закону от 29.12.2012 №273-ФЗ (ред. от 02.03.2016) "Об образовании в Российской Федерации" [2], образовательные организации должны обеспечивать доступ всех желающих (родителей, учащихся, сотрудников ОУ) к уставным и локальным документам, обеспечивающим деятельность организации. В целях выполнения этого закона, секретарь размещает их на сайте и информационных стендах ОУ. Возможность изменения и создания новых документов (файлов) есть только у директора, так как он их утверждает. Заместители в свою очередь имеют доступ лишь к чтению и записи.

Информацию о сотрудниках могут изменять и добавлять заместители директора (по управленческой структуре организации, в зависимости от линий управления), секретарь (исполняющий функции кадрового работника за неимением в образовательной организации данной ставки). Директор имеет доступ только к чтению информации, так как для изменения и добавления информации есть подчиненные. Учителя и классные руководители имеют доступ к информации, но не в полном объеме: только то, что является кадровыми характеристиками - фамилия, имя и отчество, стаж работы, информация о повышении квалификации, ученые степени и звания, уровень образования, должность, преподаваемые дисциплины.

Подробная информация об обучающихся необходима заместителям директора, непосредственно работающим с ними, но только для чтения и записи. Секретарю необходим полный доступ к информации, так как именно секретарь редактирует информацию об учащихся. Директор имеет доступ только к чтению, так как для изменения этой информации также имеются подчиненные. Для учителей-предметников имеет важность лишь фамилия, имя, класс ученика, а для классных руководителей нужна более подробная информация - телефон, данные о родителях и др.

Информация об успеваемости учащихся для чтения доступна директору, заместителям директора по учебной работе и ПВ, классным руководителям лишь в целях ознакомления себя и родителей. Заместителю директора по АХР и секретарю данная информация для работы не нужна и ее можно скрыть. Доступ к полному доступу и редактированию успеваемости учащихся имеется только у учителей-предметников для выставления данной успеваемости. пользователь идентификация аутентификация windows

Практическая реализация матрицы контроля доступа пользователей локального компьютера осуществляется путем изменения параметров на вкладке "Безопасность" в окне "Свойства" для объекта, содержащего конфиденциальную информацию (рис. 2).

Рисунок 2. Окно редактирования разрешений

Представленный пример позволяет продемонстрировать возможности реализации механизмов идентификации и аутентификации, логического управления доступом к информации в ОС Windows/

К сожалению, на 100% защититься от несанкционированного доступа к персональным данным и конфиденциальной информации практически невозможно, но грамотное распределение прав доступа позволит существенно снизить их риск.

Библиографический список

1. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015) [Электронный ресурс] URL: https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 01.02.2017).

2. Федеральный закон от 29.12.2012 №273-ФЗ (ред. От 02.03.2016) "Об образовании в Российской Федерации" [Электронный ресурс] URL: https://www.consultant.ru/document/cons_doc_LAW_140174/ (дата обращения 01.02.2017)

Размещено на Allbest.ru