15:14, 17 июля 2017

Безопасность персональных данных в системе дистанционного обучения

ХЛЫСТОВА ДарьяАндреевна
студент 3 курса направления подготовки 10.03.01 "Информационная безопасность" Института управления и безопасности Башкирского государственного университета

ТОВЫШЕВА Анна Александровна
старший преподаватель кафедры экономики и менеджмента Института управления и безопасности Башкирского государственного университета

ПОПОВ Кирилл Геннадьевич
кандидат экономических наук, доцент кафедры информационной безопасности Института управления и безопасности Башкирского государственного университета

Проблема информационной безопасности образователь­ного учреждения превращается в последнее время из гипотетической во вполне реальную. Это связано как с общей актуальностью вопросов экономической эффективности обеспечения информационной безопасности хозяйственных систем, так и с развитием электронного образования и дистанционных образовательных технологий в Российской Фе­дерации.

Особенно актуальна данная проблема потому, что информационные базы образовательных организа­ций содержат большой объем сведений об обучающихся и их родителях/попечителях, выпускниках, абитуриентах, преподавателях и т.п. Защита таких данных - насущная проблема каждого учебного заведения с учетом соблюдения требований законодательства о защите персональных данных.

Наибольшие трудности возникают с технической стороны защиты персональных данных. В силу особенности организации учебного процесса, обработка персональных данных ведется на многих компьютерах, не всегда объединенных в локальную сеть. Возникает необходимость использования одной базы данных с организацией доступа по паролю, что влечет за собой изменение и расширение структуры локальной сети образовательного учреждения. Также необходимо определить возможные каналы утечки информации и возможные угрозы информационной системе, построить модель угроз нарушителя и на их основе строить модель защиты.

В свою очередь, проблемы организации защиты персональных данных в учебных заведениях затрудняют развитие такой широкомасштабной отрасли образования, как электронное образование.

Цель системы электронного образования - обеспечение доступности качественного образования на основе использования ИКТ.

Рассмотрим возможное типовое решение проблемы, связанной с защитой персональных данных на примере системы Moodle.

1С может быть взята за основу, то есть являться центральной системой хранения и управления данными. 1С-Битрикс можно приобрести в типовой конфигурации и к нему подключить интерфейс с Web-сервисами 1С, который может использоваться для реализации функционала личных кабинетов (студента, преподавателя) и как площадка для общения (форум, блоги, опросы).

Как известно, Moodle - бесплатная система дистанционного тестирования и обучения. Как и все бесплатное имеет ряд минусов: практически лишен поддержки и документации и с точки зрения поддержки целостности базы данных никак себя не контролирует (например можно удалить запись из таблицы курсов, а в оценках останется ссылка на удаленную запись).

К последним двум системам есть доступ через интернет, к 1С доступ только внутри локальной сети.

В связи с требованиями по сертификации согласно ФЗ №152 «О защите персональных данных» целесообразно не хранить никаких персональных данных на стороне 1С-битрикса и Moodle.

Дело в том, что любая запись справочника или документа в 1С имеет свой уникальный идентификатор (можно получить вызовом метода Ссылка. Уникальный Идентификатор()) и представляет собой 32 символьную строковую переменную. Далее создается объект в 1С «План Обмена» и настраивается лишь на изменение справочников в которых отражен контингент (все участники: физические лица, преподаватели, сотрудник, студенты и пр.) Далее пишется обработка по добавлению/изменению пользователей 1С-Битрикс на основе утвержденных правил и автоматически регистрируется или изменяется учетная запись пользователя битрикс, в которой он сопоставляется с уникальным идентификатором записи 1С.

Само расписание хранится в 1С, равно как и список учеб­ных групп. При загрузке страницы, выполняется первая опера­ция и строится список групп, при выборе группы на сторону 1С передается выбранная группа и возвращается расписание выбранной группы.

Если проанализировать сторону личного кабинета, то точно также и по этому принципу, пользователь логинится на стороне битрикса, битрикс передает уникальный идентификатор в 1С, а она уже определяет роль пользователя и его данные и передает эту информацию обратно в личный кабинет. Moodle точно также хранит в себе только УИД пользователя, тестовые задания и учебные материалы. А эта информация не относится к числу персональных данных.

Охарактеризуем безопасность такой схемы. В 1С создается пользователь, устанавливается ему пароль. Так же создаем объект роль и разрешаем ей только вызов конкретного Web-сервиса. Соз­дается общий модуль и делается привилегированным (то есть все что размещено в этом модуле будет выполнятся в независимости от прав пользователя, инициирующего исполнение функции. Тем самым даже если злоумышленник завладеет паролем и именем пользователя 1С он не сможет получить никаких данных из 1С.

Итак, для решения возможных проблем в сфере защиты персональных данных в образовательных учреждениях при использовании электронного обучения и систем дистанционного обучения необходимы следующие меры:

  1. Развитиетехнологическойинфраструктурыобразоват ельныхорганизаций.
  2. Применение электронных образовательных ресурсов, в том числе электронных учебников в процессе обучения.
  3. Расширение применения  дистанционных образовательных технологий (ДОТ).
  1. Внедрение информационных систем сопровождения образовательных процессов, обеспеченных защитой согласно требованиям действующего законодательства.
  2. Подготовка кадров в сфере электронного образования

Все вышеуказанные мероприятия невозможно реализовать без правильно выстроенной защиты персональных данных как в системе электронного образования, так ив традиционном образовании.


 



© 2014 Евразийский новостной клуб