Разработка проекта комплексной системы защиты информации для информационной системы Netschool: Актуальные угрозы, нормативно-правовые требования и методология реализации

Представьте себе мир, где каждый клик, каждая запись в электронном журнале, каждый файл с личными данными студента или преподавателя становится потенциальной мишенью. Это не фантастика, а суровая реальность современного образовательного пространства. В первом полугодии 2025 года количество утечек данных из российских образовательных учреждений составило 18 инцидентов, что на 20% больше, чем за аналогичный период 2024 года. Эти цифры — не просто статистика, а тревожный сигнал, свидетельствующий о критической уязвимости информационных систем, таких как Netschool, которые являются неотъемлемой частью современного учебного процесса. Объект исследования данной дипломной работы — комплексная система защиты информации (КСЗИ), а предметом является процесс ее разработки для информационной системы Netschool. Цель работы — создать детальный, методологически обоснованный проект КСЗИ для Netschool, отвечающий актуальным академическим и практическим требованиям. Задачи включают анализ современных угроз, изучение нормативно-правовой базы, разработку модели нарушителя, проектирование мер защиты и оценку их экономической эффективности. Научная новизна исследования заключается в комплексном подходе к проблеме защиты информации в образовательных ИС с учетом последних изменений в законодательстве РФ и специфики киберугроз, усиленных искусственным интеллектом. Практическая значимость состоит в разработке готового, применимого плана, который может быть использован для создания или улучшения существующей системы защиты информации в Netschool, обеспечивая безопасность данных учащихся и преподавателей.

Теоретические основы и правовое регулирование информационной безопасности образовательных систем

Для того чтобы эффективно защитить информационную систему, необходимо сначала понять, что именно мы защищаем, от кого и какими правилами руководствуемся. Этот раздел посвящен именно таким фундаментальным вопросам, раскрывая как базовые понятия кибербезопасности, так и строгие рамки российского законодательства, применимые к образовательной среде.

Основные понятия и принципы информационной безопасности

В основе любой дискуссии о защите информации лежит четкое понимание ключевых терминов. Информационная безопасность (ИБ) — это состояние защищенности информации, при котором обеспечивается ее конфиденциальность, целостность и доступность. Конфиденциальность означает, что информация доступна только авторизованным лицам. Целостность гарантирует, что информация не была изменена несанкционированным образом. Доступность обеспечивает возможность использования информации авторизованными пользователями в любой необходимый момент.

Угроза информационной безопасности — это совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, целостности или доступности информации. Примерами угроз могут быть вредоносное программное обеспечение, хакерские атаки, ошибки персонала.

Уязвимость — это слабое место в системе, которое может быть использовано угрозой для нарушения ИБ. Уязвимости могут быть связаны с ошибками в программном обеспечении, неправильной конфигурацией, отсутствием необходимых процедур или человеческим фактором.

Атака — это целенаправленное действие, использующее уязвимости для реализации угрозы. Например, фишинг — это атака, использующая человеческую уязвимость (недостаточную осведомленность или невнимательность) для получения конфиденциальных данных.

Модель нарушителя — это формализованное описание потенциального злоумышленника, его целей, возможностей, ресурсов и методов воздействия на информационную систему.

Средства защиты информации (СЗИ) — это технические, программные, программно-аппаратные и организационные средства, предназначенные для предотвращения, выявления и нейтрализации угроз ИБ.

Netschool — это распространенная образовательная информационная система, предназначенная для автоматизации управления учебным процессом, включающая электронные журналы, дневники, расписания, базы данных учащихся и сотрудников, а также модули для взаимодействия между всеми участниками образовательного процесса.

Принципы построения систем защиты информации включают:

• Принцип законности: Соответствие всем нормативно-правовым актам.
• Принцип системности: Защита всех компонентов системы во всех режимах работы.
• Принцип комплексности: Использование совокупности взаимосвязанных и взаимодополняющих мер (организационных, технических, программных).
• Принцип непрерывности: Защита информации должна осуществляться на всех этапах ее жизненного цикла.
• Принцип минимизации привилегий: Предоставление пользователям и процессам минимально необходимых прав для выполнения их функций.

Обзор информационной системы Netschool и ее специфики

Информационная система Netschool, будучи центральным элементом современного образовательного учреждения, представляет собой сложный программно-аппаратный комплекс. Ее архитектура обычно включает серверное ядро (базы данных, веб-серверы приложений), клиентские рабочие места (компьютеры администраторов, учителей, доступ учащихся и родителей через веб-интерфейс или мобильные приложения), а также сетевую инфраструктуру.

Функциональные особенности Netschool:

• Управление учебным процессом: Ведение расписаний, успеваемости, посещаемости.
• Персональные данные: Хранение обширного объема конфиденциальной информации о студентах (ФИО, даты рождения, адреса, сведения о родителях, медицинские данные), преподавателях и административном персонале.
• Взаимодействие: Модули для общения между учителями, учениками и родителями.
• Документооборот: Генерация отчетов, справок, документов.
• Интеграция: Возможность интеграции с другими информационными системами (бухгалтерскими, библиотечными).

Ключевые особенности, влияющие на требования к ИБ:

• Масштабность данных: Огромное количество персональных данных, часто разных категорий (общедоступные, специальные).
• Распределенный доступ: Доступ к системе осуществляется из различных мест (дома, школы, публичные сети) и разными категориями пользователей с различными уровнями привилегий.
• Множество субъектов: Учащиеся, родители, преподаватели, административный персонал — каждый из них является потенциальным вектором атаки или уязвимостью.
• Использование веб-технологий: Основной доступ через веб-интерфейс создает стандартные для веб-приложений уязвимости (SQL-инъекции, межсайтовый скриптинг).
• Человеческий фактор: Высокая зависимость от уровня цифровой грамотности и соблюдения политик ИБ всеми пользователями.
• Облачные решения: Частое размещение Netschool или ее компонентов в облачных средах добавляет новые аспекты к защите данных.

Таким образом, специфика Netschool требует комплексного подхода к защите, учитывающего как технические уязвимости, так и особенности человеческого взаимодействия с системой.

Нормативно-правовая база Российской Федерации в области защиты информации

Построение любой системы защиты информации в Российской Федерации немыслимо без строгого соблюдения законодательных и нормативных требований. Для образовательных учреждений это особенно актуально, учитывая объем обрабатываемых персональных данных и статус государственных или муниципальных организаций.

Федеральные законы

В основе правового регулирования ИБ в России лежат два ключевых федеральных закона:

• Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Этот закон является фундаментом для регулирования всех аспектов, связанных с информацией. Он определяет понятия информации, информационных технологий, информационных систем и, что особенно важно, устанавливает общие принципы и правовые основы защиты информации. Для Netschool это означает, что любая информация, обрабатываемая в системе, подпадает под действие этого закона, требуя обеспечения ее конфиденциальности, целостности и доступности.
• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Этот закон имеет прямое и первостепенное значение для Netschool, поскольку система обрабатывает огромные массивы персональных данных (ПДн) учащихся, их родителей и сотрудников. Закон устанавливает требования к сбору, хранению, обработке, передаче и защите ПДн, включая обязательства оператора по обеспечению их безопасности, получению согласия субъектов ПДн и уведомлению уполномоченного органа (Роскомнадзора). Несоблюдение положений этого закона влечет за собой серьезные юридические и репутационные риски.

Приказы ФСТЭК России

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) является ключевым регулятором в области защиты информации, не содержащей государственную тайну. Ее приказы детализируют требования к защите информационных систем:

• Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Этот приказ устанавливает базовые требования к защите информации ограниченного доступа в государственных ИС. Важно отметить, что данный приказ утрачивает силу с 1 марта 2026 года в связи с изданием Приказа ФСТЭК России от 11 апреля 2025 г. № 117. Новый приказ (Приказ ФСТЭК России от 11 апреля 2025 г. № 117) будет актуализировать и ужесточать требования, поэтому проект КСЗИ для Netschool должен быть разработан с учетом его будущих положений.
• Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Этот документ является прямым руководством к действию для операторов ПДн, к которым относится и образовательное учреждение, использующее Netschool. Он детализирует, какие именно организационные и технические меры должны быть реализованы для каждого из четырех уровней защищенности персональных данных, которые определяются исходя из Постановления Правительства РФ от 1 ноября 2012 г. № 1119 (об этом будет подробнее в разделе «Определение уровней защищенности персональных данных для Netschool»).
• Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах». Хотя Netschool сама по себе не является АСУ ТП, некоторые ее компоненты или интегрированные системы (например, системы контроля доступа к помещениям школы) могут подпадать под действие этого приказа, если образовательное учреждение будет отнесено к критически важным объектам или объектам критической информационной инфраструктуры.

Приказы ФСБ России

Федеральная служба безопасности (ФСБ России) регулирует использование средств криптографической защиты информации (СКЗИ):

• Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации…». Если в Netschool или смежных системах используются СКЗИ для защиты ПДн (например, при передаче данных через незащищенные каналы связи), то необходимо руководствоваться этим приказом.
• Приказ ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)». Этот документ устанавливает порядок работы с СКЗИ, их лицензирование и сертификацию.
• Приказ ФСБ России от 18 марта 2025 г. № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств». Этот приказ расширяет сферу действия предыдущих документов и вступил в силу 6 апреля 2025 года, распространяя требования на более широкий круг государственных информационных систем, что также критично для Netschool.

Национальные и международные стандарты

Помимо обязательных нормативных актов, существуют стандарты, которые определяют лучшие практики в области ИБ:

• ГОСТ Р 57628-2017 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности». Этот ГОСТ предоставляет методическое руководство по разработке профилей защиты (ПЗ) и заданий по безопасности (ЗБ), которые являются ключевыми документами при создании или аттестации СЗИ.
• Серия международных стандартов ISO/IEC 27000 (например, ГОСТ Р ИСО/МЭК 27000-2021). Эти стандарты описывают систему менеджмента информационной безопасности (СМИБ), включающую процессы управления рисками, политики ИБ, процедуры аудита и непрерывного улучшения. Хотя эти стандарты не являются обязательными в РФ, они служат лучшей мировой практикой и могут быть использованы для повышения уровня защищенности Netschool.

Таким образом, при разработке КСЗИ для Netschool необходимо учитывать сложный и многоуровневый каркас нормативно-правового регулирования, постоянно отслеживая изменения и обновления в законодательстве.

Анализ актуальных угроз и разработка модели нарушителя для ИС Netschool

Чтобы построить по-настоящему эффективную систему защиты, необходимо четко представлять врага: его методы, цели и ресурсы. Этот раздел погружает нас в мрачный мир современных киберугроз, детализируя их для образовательной сферы и создавая портрет потенциального злоумышленника, нацеленного на Netschool.

Обзор современных угроз информационной безопасности в образовательной сфере

Образовательные учреждения, вопреки распространенному заблуждению, являются не менее, а порой и более привлекательными целями для киберпреступников, чем коммерческие компании. Ценность персональных данных учащихся и сотрудников, а также зачастую недостаточный уровень защиты, делают их легкой добычей. Актуальные статистические данные за 2024–2025 годы рисуют тревожную картину, подтверждая острую необходимость в усилении мер защиты.

Основные виды атак и их особенности

Современный ландшафт угроз постоянно эволюционирует, но некоторые типы атак остаются стабильно актуальными:

• Фишинговые атаки (80% случаев): Это одна из наиболее распространенных и эффективных угроз. С ростом использования искусственного интеллекта (ИИ), в частности больших языковых моделей (LLM), фишинг становится еще более изощренным. ИИ позволяет создавать гиперреалистичные, грамматически безупречные и персонализированные фишинговые электронные письма и сообщения, которые трудно отличить от легитимных. Злоумышленники используют ИИ для сбора информации о жертвах из социальных сетей и общедоступных записей, чтобы разрабатывать целевые сообщения, эксплуатирующие эмоции, страх упущенной выгоды, или знакомый контекст (например, подделка уведомлений от администрации школы или родительских комитетов). ИИ также применяется для голосового фишинга (вишинга). К 2025 году активно развиваются PaaS-платформы (Phishing-as-a-Service) на даркнете, предлагающие фишинговые инструменты по подписке, что снижает порог входа для киберпреступников.
• DDoS-атаки (63%): Распределенные атаки типа "отказ в обслуживании" направлены на нарушение доступности информационных систем. Для Netschool это может означать невозможность доступа к электронному журналу или расписанию, что парализует учебный процесс.
• Программы-вымогатели (32%): Шифровальщики остаются одним из самых разрушительных видов вредоносного ПО. В 42% атак на организации в 2024-2025 годах использовались именно они. Такие атаки могут привести к полной блокировке доступа к данным Netschool и требованию выкупа за их восстановление.
• Взломы IoT-устройств (каждый четвертый инцидент): Удивительно, но обычные устройства, такие как проекторы, маршрутизаторы, аудиосистемы или системы видеонаблюдения, подключенные к сети образовательного учреждения, становятся точкой входа для злоумышленников. Через них хакеры могут получить доступ к внутренней сети и далее к Netschool.
• Атаки на цепочки поставок: Эти атаки используют уязвимости в программном обеспечении, используемом многими учебными заведениями, или через сторонних поставщиков услуг, имеющих доступ к инфраструктуре образовательных систем. Например, компрометация поставщика обновлений для Netschool может привести к заражению всех подключенных систем.
• Cybercrime-as-a-Service (CaaS): Модель, в которой киберпреступные услуги (например, DDoS-атаки, распространение вредоносного ПО) предлагаются за плату, делает киберпреступность более доступной и масштабируемой.
• Распространение майнеров криптовалют (37% критичных инцидентов): Злоумышленники заражают компьютеры в сети школы скрытыми майнерами, которые используют вычислительные ресурсы для добычи криптовалюты, замедляя работу систем и повышая потребление электроэнергии.
• Использование бэкдоров (14%): Установка скрытых "черных ходов" для последующего несанкционированного доступа.

Кампании киберпреступников становятся более персонализированными, используя фишинговые сценарии и подделку брендов для повышения доверия жертв. В образовательной сфере это может быть имитация сообщений от дирекции, учителей или даже государственных органов, обещающих "доход", ссылающихся на "нормативные акты" или создающих ощущение "срочности".

Векторы компрометации и целевые группы

Наиболее распространённый вектор компрометации — загрузка пользователями программ с вредоносной нагрузкой из непроверенных ресурсов. Это особенно актуально для образовательных учреждений, где пользователи (учащиеся, а иногда и сотрудники) могут проявлять меньшую бдительность.

Наибольший интерес у злоумышленников вызывают высшие учебные заведения (57% атак), затем учреждения среднего профессионального образования (23%) и школы (20%). Это связано с объемом и ценностью данных, а также с потенциальными финансовыми возможностями ВУЗов.

В IV квартале 2024 года количество инцидентов ИБ увеличилось на 5% по сравнению с предыдущим кварталом и на 13% в сравнении с аналогичным периодом прошлого года. Прогнозируется, что по итогам 2025 года общее количество атак превысит прошлогодние показатели на 20-45%, а в 2026 году может увеличиться ещё на 30-35%. С июля 2024 года по сентябрь 2025 года на Россию пришлось от 14% до 16% всех успешных кибератак в мире и 72% атак, зафиксированных в СНГ. Эти цифры ясно показывают, что ситуация с кибербезопасностью в России остается напряженной.

Разработка модели угроз безопасности информации для Netschool

Модель угроз — это краеугольный камень любой эффективной системы защиты. Она позволяет не только выявить потенциальные опасности, но и ранжировать их по степени актуальности и вероятности реализации.

Методология разработки модели угроз для Netschool основывается на методических документах, разработанных и утвержденных ФСТЭК России. Ключевым документом является "Методика оценки угроз безопасности информации", утвержденная ФСТЭК России 5 февраля 2021 года. Этот документ заменил устаревшие подходы и предоставляет современный инструментарий для систематизации и анализа угроз. Также используется "Банк данных угроз безопасности информации" (bdu.fstec.ru), который содержит общий перечень угроз и уязвимостей, что облегчает идентификацию применимых к Netschool сценариев.

Процесс разработки модели угроз включает:

1. Описание информационной системы: Детальное описание Netschool, ее структурно-функциональных характеристик, обрабатываемой информации, сетевой архитектуры, используемого ПО и оборудования.
2. Определение источников угроз: Идентификация потенциальных источников угроз (нарушители, сбои оборудования, стихийные бедствия).
3. Идентификация угроз: На основе данных ФСТЭК и анализа специфики Netschool, составляется перечень возможных угроз.
4. Оценка актуальности угроз: Для каждой угрозы оценивается вероятность ее реализации и размер возможного ущерба, что позволяет определить, является ли она актуальной для Netschool.

Модель нарушителя для Netschool

Модель нарушителя — это детализированный портрет тех, кто может попытаться нарушить безопасность Netschool. Она должна учитывать как внутренних, так и внешних злоумышленников.

Внутренние нарушители:

• Студенты: Могут действовать случайно (из любопытства, небрежности) или намеренно (попытка изменить оценки, получить доступ к чужим данным, вызвать сбой системы ради развлечения). Их возможности ограничены их уровнем доступа и техническими навыками.
• Нелояльные или недобросовестные сотрудники: Это могут быть преподаватели, администраторы, IT-специалисты, имеющие расширенный доступ к системе. Мотивы могут быть разными: месть, финансовая выгода (продажа данных), политические или идеологические убеждения. Их возможности значительно шире, так как они знакомы с внутренней структурой системы и могут обходить некоторые меры защиты.
• Случайные ошибки персонала: Неосторожное обращение с данными, утеря носителей, неправильная конфигурация системы.

Внешние нарушители:

• Организованные киберпреступные группы: Мотивированы финансовой выгодой (кража персональных данных для последующей продажи, вымогательство). Обладают высокими техническими навыками и ресурсами, часто используют сложные методы атак, включая фишинг с ИИ и программы-вымогатели.
• Прогосударственные APT-группы: Часто имеют политические или разведывательные мотивы (сбор информации, дестабилизация). Обладают колоссальными ресурсами и возможностями, используют продвинутые и скрытные методы атак. В 2024 году число таких групп, атакующих Россию и СНГ, удвоилось (с 14 до 27).
• Хактивисты: Мотивированы идеологическими или протестными соображениями. Их цель — привлечение внимания, нарушение работы систем, публикация конфиденциальных данных (дефейс сайтов, DDoS-атаки).
• Конкуренты: Могут быть заинтересованы в получении конфиденциальной информации или дискредитации образовательного учреждения.

Анализ уязвимостей информационной системы Netschool

Идентификация уязвимостей Netschool — следующий критически важный шаг.

• Риски утечки данных из-за облачных сервисов: Если Netschool или ее резервные копии размещены в облаке, это создает зависимость от безопасности облачного провайдера и требует особых мер шифрования и контроля доступа.
• Уязвимости IoT-устройств: Проекторы, маршрутизаторы, Wi-Fi точки доступа, умные доски — все эти устройства часто имеют стандартные пароли, необновленное ПО или конфигурации, которые могут быть использованы для проникновения в сеть.
• Необновленное программное обеспечение: Своевременное обновление ОС, приложений и самой Netschool является критически важным. Устаревшее ПО содержит известные уязвимости, которые легко эксплуатируются.
• Слабые механизмы аутентификации: Использование простых паролей, отсутствие многофакторной аутентификации (MFA) или недостаточная длина пароля.
• Человеческий фактор: Наиболее распространенная уязвимость. Недостаточная осведомленность пользователей, переход по фишинговым ссылкам, загрузка вредоносного ПО из непроверенных источников (этот вектор компрометации является самым частым).
• Отсутствие сегментации сети: Если Netschool находится в той же сети, что и, например, гостевой Wi-Fi или общие компьютеры, это увеличивает риски распространения угроз.

На основе всестороннего анализа угроз и уязвимостей, а также детализированной модели нарушителя, будет разработан комплекс мер по защите Netschool.

Проектирование комплексной системы защиты информации для Netschool

С пониманием угроз и потенциальных злоумышленников, следующим логическим шагом является создание оборонительной стратегии – проектирование комплексной системы защиты информации (КСЗИ). Это не просто набор технических средств, а тщательно продуманный, многоуровневый механизм, интегрированный в повседневную работу Netschool.

Общие принципы и подходы к проектированию КСЗИ

Проектирование комплексной системы защиты информации — это ответственный и многоаспектный процесс, который должен сочетать в себе глубокие технические знания и понимание бизнес-процессов образовательного учреждения. Главная цель — обеспечить полноценную защиту информации, при этом не оказывая негативного влияния на основную деятельность, то есть не делая систему чрезмерно сложной или медленной для пользователей.

Основные принципы проектирования КСЗИ:

• Законность: Все меры и средства защиты должны строго соответствовать действующему законодательству Российской Федерации, включая Федеральные законы, Приказы ФСТЭК и ФСБ России. Это не просто требование, а фундамент легитимности и обязательности предпринимаемых действий.
• Полнота защиты: Система должна обеспечивать защиту любых сведений, утечка, изменение или уничтожение которых может привести к негативным последствиям для образовательного учреждения, учащихся или сотрудников. Это включает не только персональные данные, но и учебные планы, интеллектуальную собственность (если применимо), финансовую информацию.
• Обоснованность: Защита информации должна быть экономически целесообразной. Это означает концентрацию усилий и ресурсов на защите наиболее важных сведений и устранении наиболее актуальных угроз, чтобы избежать лишних трат на защиту менее критичных активов.
• Интеграция: КСЗИ должна быть неразрывно интегрирована в основную деятельность Netschool, а не быть отдельным, изолированным элементом. Меры защиты должны быть встроены в рабочие процессы так, чтобы они были прозрачными для легитимных пользователей, но эффективными против нарушителей.

Организационные меры защиты информации

Организационные меры защиты информации — это не менее, а порой и более важный аспект, чем технические решения. Они формируют культуру безопасности и устанавливают правила поведения, которые значительно снижают риски.

• Обеспечение режима безопасности помещений: Физическая защита является первой линией обороны. Это включает:
  • Контроль доступа к помещениям, где размещена информационная система Netschool (серверные, административные компьютеры).
  • Использование систем контроля и управления доступом (СКУД), охранной сигнализации, видеонаблюдения.
  • Обеспечение сохранности носителей персональных данных (бумажные документы, флешки, жесткие диски) путем их хранения в сейфах или запираемых шкафах.
• Разработка и внедрение политики информационной безопасности (ПИБ): Это фундаментальный документ, определяющий общие цели, принципы и требования к ИБ для всего учреждения. ПИБ должна быть доведена до сведения всех сотрудников и учащихся.
• Должностные инструкции и регламенты: Разработка четких должностных инструкций для каждого сотрудника, работающего с Netschool, с указанием их обязанностей в области ИБ. Создание регламентов работы с информацией, ее носителями, регламентов реагирования на инциденты ИБ.
• Перечни сведений, не подлежащих передаче: Определение информации, которая категорически запрещена к передаче за пределы защищаемого контура.
• Обучение сотрудников и учащихся правилам ИБ и цифровой грамотности: Регулярные инструктажи и тренинги по вопросам кибербезопасности, распознаванию фишинга, безопасному использованию интернета. Человеческий фактор является основной уязвимостью, и его минимизация через обучение — критический шаг.
• Контроль доступа к информационным ресурсам: Внедрение принципа наименьших привилегий, регулярный аудит прав доступа.
• Организация резервного копирования данных: Регулярное создание резервных копий всей критически важной информации Netschool и их хранение на защищенных носителях, в том числе и офлайн.
• Политика "чистого стола" и "чистого экрана": Простые, но эффективные меры, обязывающие сотрудников не оставлять конфиденциальные документы и данные на рабочих столах без присмотра и блокировать экраны компьютеров при отходе.

Технические и программные средства защиты информации

Технические меры дополняют организационные, создавая многослойную защиту, способную противостоять современным киберугрозам.

• Использование сертифицированных ФСБ России средств криптографической защиты информации (СКЗИ): Для защиты конфиденциальных данных (в том числе персональных), передаваемых по открытым каналам связи, а также для обеспечения целостности и подлинности информации. Выбор конкретных СКЗИ должен быть соразмерен классу защищаемой информации.
• Установка и регулярное обновление антивирусного и анти-вредоносного программного обеспечения: На всех рабочих станциях, серверах и шлюзах сети. Автоматические обновления баз и регулярное сканирование — обязательные условия.
• Использование межсетевых экранов (firewalls): Для контроля и фильтрации сетевого трафика на границе сети и внутри нее (сегментация). Межсетевые экраны должны быть настроены на блокировку несанкционированного доступа и подозрительной активности.
• Системы контентной фильтрации доступа в Интернет: Для блокировки доступа к вредоносным, фишинговым и нежелательным сайтам, что особенно важно в образовательной среде.
• Внедрение модулей предотвращения утечек данных (DLP — Data Loss Prevention): Для мониторинга и блокировки несанкционированной передачи конфиденциальной информации за пределы защищаемого контура (например, по электронной почте, через мессенджеры, на внешние USB-накопители).
• Шифрование данных в облачных сервисах: Если Netschool использует облачные хранилища или сервисы, необходимо обеспечить надежное шифрование данных как при передаче, так и при хранении.
• Системы обнаружения и предотвращения вторжений (IDS/IPS): Для мониторинга сетевого трафика и систем на предмет аномальной или злонамеренной активности и автоматического реагирования на нее.
• Системы мониторинга событий безопасности (SIEM): Для сбора, корреляции и анализа событий безопасности со всех источников (серверы, СЗИ, сетевое оборудование) для своевременного выявления инцидентов.

Требования к совместимости и обновлению СЗИ

Крайне важно, чтобы все средства защиты информации были совместимы между собой, а также с имеющейся информационно-телекоммуникационной инфраструктурой Netschool. Несовместимость может привести к сбоям в работе системы или появлению новых уязвимостей.

Необходимо обеспечить регулярное обновление программного обеспечения (операционных систем, приложений, самой Netschool и всех СЗИ) для своевременного закрытия выявленных уязвимостей. Автоматизированные системы управления обновлениями могут значительно упростить этот процесс.

Применение средств контроля доступа и систем аутентификации с использованием строгих политик паролей, многофакторной аутентификации (MFA) для критически важных аккаунтов и ролевой модели доступа.

Определение уровней защищенности персональных данных для Netschool

Выбор конкретных мер по обеспечению безопасности ПДн напрямую зависит от уровней защищенности персональных данных, которые определяются в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. № 1119. Этот документ является ключевым для любого оператора, обрабатывающего ПДн.

Уровни защищенности определяются исходя из следующих параметров:

1. Категории обрабатываемых персональных данных:
   • Специальные категории: Касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Для Netschool это могут быть данные о состоянии здоровья учащихся.
   • Биометрические данные: Сведения, характеризующие физиологические и биологические особенности человека (например, отпечатки пальцев, изображения лица), которые используются для идентификации.
   • Общедоступные данные: ПДн, сделанные субъектом общедоступными (например, ФИО в открытых списках).
   • Иные категории: Все остальные ПДн, не относящиеся к вышеперечисленным.
2. Количество субъектов ПДн: Число физических лиц, чьи данные обрабатываются.
3. Вид угроз: Актуальные угрозы безопасности, определенные в модели угроз.

Например, для Netschool, обрабатывающей данные о здоровье учащихся (специальная категория) и данные большого количества субъектов (сотни или тысячи учеников и сотрудников), может быть установлен 3-й уровень защищенности. Это потребует назначения должностного лица, ответственного за обеспечение безопасности ПДн, использования сертифицированных СЗИ и выполнения целого ряда организационных и технических мер, определенных Приказом ФСТЭК России № 21.

Таким образом, комплексный подход к проектированию КСЗИ для Netschool должен учитывать все эти аспекты, создавая надежную, соответствующую законодательству и экономически обоснованную систему защиты.

Методология оценки экономической эффективности внедрения системы защиты информации

Любой проект, особенно в условиях ограниченных ресурсов, должен быть экономически обоснован. Для систем защиты информации это означает необходимость демонстрации того, что инвестиции в безопасность оправданы, а предотвращенный ущерб превышает затраты. Этот раздел посвящен методологии такой оценки.

Цели и принципы оценки экономической эффективности ИБ

Оценка экономической эффективности мероприятий по информационной безопасности — это не просто формальность, а критически важный инструмент для принятия управленческих решений. Ее главная цель — обеспечить объективную оценку предотвращенных потерь и продемонстрировать, что затраты на обеспечение ИБ являются оправданными инвестициями.

Принципы оценки:

• Объективность: Расчеты должны основываться на реальных данных и адекватных методологиях, избегая субъективных предположений.
• Прозрачность: Методика расчетов должна быть понятна и проверяема.
• Сравнимость: Должна быть возможность сравнить различные варианты СЗИ или мероприятий по ИБ.
• Соответствие нормативным требованиям: Затраты должны обеспечивать выполнение требований нормативных документов, стандартов и концепции информационной безопасности организации.
• Обоснование инвестиций: Расчет финансово-экономических показателей позволяет обосновать внедрение новой СЗИ, оценить эффективность уже внедренных систем или замены устаревших, а также прогнозировать расходы на создание, функционирование и модернизацию СЗИ.

Основные показатели и методики расчета

Существует несколько ключевых метрик и методик для оценки экономической эффективности в области информационной безопасности.

Предотвращенный ущерб (П_пр)

Это базовый показатель, который показывает, насколько уменьшились потенциальные потери от реализации угроз после внедрения мер защиты.

Формула: П_пр = П₁ − П₂, где:

• П₁ — потери от реализации угроз до реализации мероприятий по обеспечению информационной безопасности.
• П₂ — потери от реализации угроз после реализации мероприятий по обеспечению информационной безопасности.

Потери П₁ и П₂ могут включать прямой финансовый ущерб (кража денег, штрафы), репутационный ущерб (снижение доверия, потеря клиентов), операционные потери (простой систем, снижение производительности), а также затраты на восстановление.

Коэффициент возврата инвестиций (ROI — Return on Investment)

ROI — это универсальный финансовый показатель, адаптированный для оценки эффективности инвестиций в ИБ. Он показывает, насколько выгоден проект по внедрению СЗИ.

Формула: ROI = (Выгода − Затраты) / Затраты × 100%

В контексте ИБ, Выгода часто выражается в снижении ожидаемых среднегодовых потерь (ALE) или предотвращенном ущербе (П_пр). Затраты включают стоимость приобретения, внедрения, настройки и обслуживания СЗИ, обучение персонала.

Например, если затраты на СЗИ составили 1 000 000 рублей, а предотвращенный ущерб оценивается в 1 500 000 рублей, то ROI составит:

ROI = (1 500 000 − 1 000 000) / 1 000 000 × 100% = 50%.

Это означает, что на каждый вложенный рубль мы получили 0.5 рубля прибыли за счет предотвращенного ущерба.

Ожидаемые годовые потери (ALE — Annualized Loss Expectancy)

ALE — это средняя сумма ущерба, которую организация может понести за год от реализации конкретной угрозы. Расчет ALE позволяет количественно оценить риски и демонстрирует, какой ущерб предотвращается благодаря СЗИ.

Формула: ALE = SLE × ARO, где:

• SLE (Single Loss Expectancy): Единовременные ожидаемые потери от одного инцидента.
  • Расчет SLE: SLE = С_актива × Ф_{воздействия}, где:
    • С_актива (Asset Value): Стоимость актива, который может быть скомпрометирован (например, стоимость базы данных Netschool, репутационный ущерб).
    • Ф_{воздействия} (Exposure Factor): Фактор воздействия, определяющий, какая часть актива будет утеряна в случае реализации угрозы. Выражается в долях от 0 до 1. Например, при полной потере конфиденциальности базы данных Ф_{воздействия} = 1.
• ARO (Annualized Rate of Occurrence): Среднее количество реализаций угрозы в год. Например, если фишинговая атака с утечкой данных происходит в среднем один раз в два года, то ARO = 0.5.

Пример расчета ALE:

Допустим, стоимость базы данных Netschool (С_актива) оценивается в 2 000 000 рублей.

Фактор воздействия (Ф_{воздействия}) при утечке данных (потеря конфиденциальности) составляет 0.7 (70% от стоимости актива).

Единовременные ожидаемые потери (SLE) = 2 000 000 × 0.7 = 1 400 000 рублей.

Среднее количество реализаций угрозы в год (ARO) = 0.5 (раз в два года).

Ожидаемые годовые потери (ALE) = 1 400 000 × 0.5 = 700 000 рублей.

Следовательно, без мер защиты Netschool ежегодно рискует потерять 700 000 рублей из-за утечки данных. Если СЗИ снижает ARO до 0.1 (раз в десять лет), то новый ALE будет 140 000 рублей, а предотвращенный ущерб — 560 000 рублей в год.

Применение факторного анализа

Для более глубокого понимания того, как отдельные факторы влияют на общие экономические показатели (например, на изменение ALE), может быть использован метод цепных подстановок. Этот метод позволяет последовательно заменять базисные значения факторов (например, С_актива, Ф_{воздействия}, ARO) на фактические (или плановые) и определять изолированное влияние каждого фактора на изменение результативного показателя.

Пример использования метода цепных подстановок для ALE:

Предположим, у нас есть базисные значения:

ALE0 = Сактива0 × Фвоздействия0 × ARO0

И фактические (или после внедрения СЗИ):

ALE1 = Сактива1 × Фвоздействия1 × ARO1

Изменение ALE за счет изменения С_актива:

ΔALE(Сактива) = (Сактива1 − Сактива0) × Фвоздействия0 × ARO0

Изменение ALE за счет изменения Ф_{воздействия} (при условии, что С_актива уже изменено на фактическое):

ΔALE(Фвоздействия) = Сактива1 × (Фвоздействия1 − Фвоздействия0) × ARO0

Изменение ALE за счет изменения ARO (при условии, что С_актива и Ф_{воздействия} уже изменены на фактические):

ΔALE(ARO) = Сактива1 × Фвоздействия1 × (ARO1 − ARO0)

Сумма этих изменений покажет общее изменение ALE:

ΔALE = ΔALE(Сактива) + ΔALE(Фвоздействия) + ΔALE(ARO)

Этот метод позволяет точно увидеть, какой конкретный фактор (например, снижение ARO благодаря усилению защиты от фишинга) в наибольшей степени повлиял на уменьшение рисков.

Проблемы сбора и обработки данных для оценки

Несмотря на наличие отработанных методик, самым уязвимым местом в любой оценке экономической эффективности ИБ является качество и достоверность первичных данных.

• Сложность оценки стоимости активов (С_актива): Как оценить репутационный ущерб от утечки данных Netschool? Или потери от нарушения учебного процесса? Эти оценки часто субъективны.
• Определение фактора воздействия (Ф_{воздействия}): Точное определение Ф_{воздействия} для каждой угрозы требует глубокой экспертизы и опыта.
• Прогнозирование частоты реализации угроз (ARO): Основывается на исторической статистике (которая может быть неполной) и экспертных оценках, что всегда сопряжено с неопределенностью.
• Динамичность киберугроз: Быстро меняющийся ландшафт угроз затрудняет долгосрочное прогнозирование.

Для минимизации этих проблем необходимо использовать максимально возможный объем реальной статистики инцидентов, привлекать квалифицированных экспертов по ИБ и регулярно пересматривать и обновлять входные данные для расчетов.

Этапы внедрения и аттестации комплексной системы защиты информации Netschool

Разработка проекта — это только первый шаг. Реальная ценность любой системы защиты проявляется в её успешном внедрении и подтверждении соответствия всем необходимым стандартам. Этот раздел описывает путь от чертежа до полноценно функционирующей и аттестованной КСЗИ для Netschool.

Процесс создания и внедрения СЗИ

Создание и внедрение комплексной системы защиты информации — это структурированный многоэтапный процесс, требующий тщательного планирования и контроля. Условно его можно разделить на четыре основных этапа:

1. Определение требований и критериев СЗИ: На этом начальном этапе проводится детальный анализ информационной системы Netschool, её архитектуры, обрабатываемых данных (включая категории персональных данных), существующих бизнес-процессов и выявленных угроз. Формируется перечень информации ограниченного распространения. На основе этого анализа, а также нормативно-правовых требований (ФЗ № 149, № 152, Приказы ФСТЭК и ФСБ), определяются конкретные требования к будущей системе защиты и критерии её эффективности.
2. Разработка СЗИ: Этот этап включает проектирование самой системы. Здесь создаются концепция защиты, модель угроз и нарушителя, а также технический (эскизный) проект КСЗИ. Разрабатываются организационно-распорядительные документы (политики, инструкции, регламенты).
3. Внедрение СЗИ: На этом этапе происходит физическая реализация проекта: установка и настройка программно-аппаратных средств защиты информации, доработка или адаптация инфраструктуры, обучение персонала.
4. Аттестация СЗИ: Заключительный и крайне важный этап, подтверждающий соответствие внедренной системы требованиям безопасности.

Разработка технического (эскизного) проекта СЗИ

Разработка технического (эскизного) проекта является ключевой стадией этапа проектирования. В этом документе подробно описываются конкретные организационные и технические мероприятия, которые будут реализованы для достижения поставленных целей защиты.

Технический (эскизный) проект должен содержать:

• Описание типов субъектов и объектов доступа: Четкое определение всех пользователей Netschool (субъектов) и ресурсов, к которым они могут получать доступ (объектов: базы данных, файлы, функции системы).
• Методы управления доступом: Описание механизмов аутентификации (пароли, многофакторная аутентификация), авторизации (ролевая модель доступа), контроля доступа (матрицы доступа, списки контроля доступа).
• Структура системы защиты информации: Детализация всех компонентов КСЗИ (межсетевые экраны, антивирусное ПО, СКЗИ, DLP-системы и т.д.), их расположение в сети Netschool, принципы взаимодействия и администрирования.
• Схемы защищаемой сети: Актуальные схемы, отображающие сетевую архитектуру Netschool с учетом размещения СЗИ.
• Перечень организационных мер: Подробное описание политик, инструкций, регламентов, которые будут разработаны и внедрены.
• План развертывания: График выполнения работ по внедрению СЗИ.

Этот документ служит основой для дальнейшего внедрения и является руководством для исполнителей.

Проведение приемочных испытаний

После завершения этапа внедрения проводятся приемочные испытания СЗИ. Их цель — убедиться, что разработанная и внедренная система защиты функционирует корректно и полностью соответствует всем требованиям, изложенным в техническом задании и техническом (эскизном) проекте.

Приемочные испытания проводятся с учетом ГОСТ 34.603 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированных систем". В ходе испытаний проверяются:

• Функциональность СЗИ: Корректность работы всех компонентов защиты.
• Эффективность защиты: Способность СЗИ противостоять заявленным угрозам (например, путем проведения тестовых атак или сканирования уязвимостей).
• Соответствие требованиям: Проверка на соответствие нормативным документам и внутренним политикам.
• Производительность: Отсутствие негативного влияния СЗИ на скорость и стабильность работы Netschool.
• Документация: Полнота и корректность всей сопутствующей документации.

По результатам приемочных испытаний составляется акт, который является основанием для ввода КСЗИ в эксплуатацию.

Обеспечение соответствия требованиям ФСТЭК России

Ключевым шагом к обеспечению легитимности и подтверждения высокого уровня защиты Netschool является аттестация информационной системы по требованиям защиты информации.

Эта процедура проводится организацией, имеющей соответствующую лицензию ФСТЭК России. Аттестация подтверждает, что ИС Netschool и внедренная в неё КСЗИ соответствуют требованиям по защите информации, установленным нормативными правовыми актами Российской Федерации (прежде всего, Приказами ФСТЭК России).

Процесс аттестации включает:

1. Предварительная подготовка: Сбор всей необходимой документации (модель угроз, технический проект, политики ИБ, акты приемочных испытаний).
2. Анализ документации: Аттестующая организация изучает предоставленные документы.
3. Обследование объекта аттестации: Проведение аудита и тестирования внедренных СЗИ и организационных мер.
4. Анализ результатов: Оценка соответствия СЗИ и всей системы требованиям.
5. Выдача аттестата соответствия: В случае успешного прохождения всех этапов, выдается аттестат, подтверждающий соответствие ИС требованиям защиты информации.

Аттестация является не однократным событием, а процессом, который требует периодического подтверждения и актуализации в связи с изменениями в законодательстве, инфраструктуре Netschool или ландшафте угроз. Таким образом, обеспечение соответствия требованиям ФСТЭК России — это непрерывный процесс, который должен быть встроен в жизненный цикл КСЗИ.

Заключение

В условиях стремительной цифровизации образовательного пространства и неуклонного роста киберугроз, разработка комплексной системы защиты информации для ИС Netschool является не просто актуальной задачей, а императивом. Проведенное исследование позволило глубоко проанализировать текущий ландшафт угроз, обозначить исчерпывающую нормативно-правовую базу Российской Федерации и предложить детальную методологию проектирования, внедрения и оценки эффективности КСЗИ.

Были детально рассмотрены и классифицированы современные угрозы, характерные для образовательных информационных систем, включая фишинговые атаки, усиленные искусственным интеллектом, DDoS, программы-вымогатели и уязвимости IoT-устройств. Статистические данные за 2024-2025 годы убедительно показали, что образовательная сфера находится под пристальным вниманием злоумышленников, что подтверждает критическую необходимость в усиленных мерах защиты. Разработанная модель нарушителя, учитывающая как внутренних, так и внешних акторов, предоставляет основу для целенаправленного подхода к безопасности Netschool.

Анализ нормативно-правовой базы, включая Федеральные законы № 149-ФЗ и № 152-ФЗ, а также актуальные и будущие Приказы ФСТЭК и ФСБ России (включая Приказы ФСТЭК России от 11 апреля 2025 г. № 117 и ФСБ России от 18 марта 2025 г. № 117), позволил сформировать исчерпывающий перечень требований, которым должна соответствовать КСЗИ. Особое внимание уделено необходимости определения уровней защищенности персональных данных согласно Постановлению Правительства РФ № 1119.

Предложенная комплексная система защиты информации для Netschool включает в себя как организационные меры (политики ИБ, обучение персонала, контроль доступа), так и технические (сертифицированные СКЗИ, антивирусное ПО, межсетевые экраны, DLP-системы, шифрование данных в облачных сервисах). Детально описаны этапы проектирования, включая создание технического (эскизного) проекта и проведение приемочных испытаний, что гарантирует систематизированный и контролируемый процесс внедрения.

Методология оценки экономической эффективности, включающая расчет предотвращенного ущерба, коэффициента возврата инвестиций (ROI) и ожидаемых годовых потерь (ALE) с использованием метода цепных подстановок, предоставляет инструментарий для обоснования инвестиций в ИБ и сравнения различных решений.

Таким образом, данное исследование представляет собой не просто теоретический обзор, но и комплексный, практически применимый план для создания или улучшения системы защиты информации в Netschool, обеспечивая не только соответствие законодательным требованиям, но и реальное повышение уровня киберустойчивости образовательного учреждения. Как же эти теоретические выкладки могут быть эффективно применены на практике, чтобы обеспечить ощутимые улучшения в безопасности?

Основные выводы:

1. Образовательные информационные системы являются высокопривлекательными целями для киберпреступников, что подтверждается ростом числа инцидентов и утечек данных.
2. Нормативно-правовая база РФ в области ИБ постоянно развивается, и проекты защиты должны учитывать последние изменения и перспективные требования.
3. Эффективная КСЗИ для Netschool требует комплексного подхода, сочетающего организационные, технические и программные меры, адаптированные к специфике системы и ее пользователей.
4. Экономическая эффективность проектов ИБ должна быть обоснована количественными показателями, что позволяет принимать взвешенные управленческие решения.
5. Процессы проектирования, внедрения и аттестации КСЗИ являются взаимосвязанными и требуют строгого соблюдения методологий и стандартов.

Перспективы дальнейших исследований:

• Разработка прототипа или пилотной версии КСЗИ для конкретного образовательного учреждения, использующего Netschool, с последующим тестированием и оценкой на практике.
• Исследование влияния новых технологий, таких как блокчейн или квантовая криптография, на защиту образовательных данных.
• Детализация методов обучения и повышения цифровой грамотности для различных категорий пользователей Netschool (учащихся, родителей, учителей) с оценкой их эффективности.
• Разработка автоматизированных инструментов для оценки рисков и экономической эффективности КСЗИ в образовательной сфере.

Список использованных источников

• Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ.
• Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ.
• Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
• Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
• Приказ ФСТЭК России от 14.03.2014 N 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами…".
• Приказ ФСТЭК России от 11.04.2025 N 117 "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений…" (вступает в силу с 01.03.2026).
• Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации…".
• Приказ ФСБ России от 09.02.2005 N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)".
• Приказ ФСБ России от 18.03.2025 N 117 "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов… с использованием шифровальных (криптографических) средств" (вступил в силу 06.04.2025).
• ГОСТ Р 57628-2017 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности".
• ГОСТ Р ИСО/МЭК 27000-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология".
• Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
• Методический документ "Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021).
• Данные аналитических отчетов компаний Positive Technologies, InfoWatch, F6 за 2024-2025 годы о состоянии кибербезопасности в образовательной сфере и общих тенденциях угроз.
• Научные публикации и статьи по информационной безопасности образовательных систем из рецензируемых академических журналов.

Приложения

Приложение А: Пример схемы архитектуры ИС Netschool с зонами безопасности

(На данном этапе предоставляется текстовое описание, поскольку графическое представление невозможно. В приложении должна быть приложена реальная схема)

• Зона 1: Демилитаризованная зона (DMZ):
  • Веб-сервер Netschool (доступен извне).
  • Межсетевой экран №1 (фильтрация внешнего трафика).
  • Система обнаружения/предотвращения вторжений (IDS/IPS).
• Зона 2: Внутренняя сеть (ЛВС образовательного учреждения):
  • Сервер базы данных Netschool.
  • Сервер приложений Netschool.
  • Сервер аутентификации (Active Directory/LDAP).
  • Рабочие станции администраторов и учителей.
  • Межсетевой экран №2 (фильтрация трафика между DMZ и внутренней сетью, а также сегментация внутренней сети).
  • Антивирусный сервер.
  • DLP-система.
  • SIEM-система.
• Зона 3: Сеть Wi-Fi для учащихся/гостей:
  • Отдельный сегмент сети, изолированный от внутренней сети.
  • Система контентной фильтрации.
  • Межсетевой экран №3 (ограниченный доступ).
• Удаленный доступ:
  • VPN-шлюз с использованием СКЗИ и многофакторной аутентификации для доступа администраторов и учителей.
• Облачные сервисы:
  • Облачное хранилище для резервных копий (с шифрованием данных).

Приложение Б: Пример политики информационной безопасности для Netschool

(Выдержки из гипотетической политики)

1. Назначение: Настоящая Политика определяет основные принципы и правила обеспечения информационной безопасности в ИС Netschool [Название образовательного учреждения].
2. Область действия: Распространяется на всех сотрудников, учащихся, родителей и внешних пользователей, имеющих доступ к Netschool, а также на всю информацию, обрабатываемую в системе.
3. Принципы ИБ: Конфиденциальность, целостность, доступность информации.
4. Ответственность:
   • Администрация учреждения: Общее руководство и контроль.
   • Специалист по ИБ: Разработка, внедрение и контроль выполнения мер защиты.
   • Все пользователи: Обязанность соблюдать правила ИБ, использовать надежные пароли, сообщать об инцидентах.
5. Управление доступом:
   • Реализация ролевой модели доступа.
   • Обязательное использование сложных паролей (не менее 12 символов, буквы, цифры, спецсимволы).
   • Многофакторная аутентификация для администраторов и учителей.
   • Регулярный пересмотр прав доступа.
6. Защита от вредоносного ПО:
   • Использование лицензионного антивирусного ПО с актуальными базами.
   • Запрет на установку несанкционированного ПО.
7. Резервное копирование:
   • Регулярное резервное копирование критически важных данных Netschool.
   • Хранение копий на защищенных носителях, в том числе офлайн.
8. Реагирование на инциденты:
   • Разработка плана реагирования на инциденты ИБ.
   • Обязательное информирование специалиста по ИБ обо всех подозрительных событиях.
9. Обучение:
   • Регулярные инструктажи и тренинги по ИБ для всех категорий пользователей.

Приложение В: Пример расчета экономической эффективности (упрощенный сценарий)

Сценарий: Утечка персональных данных учащихся через фишинговую атаку, вызванную человеческим фактором.

1. Исходные данные:

• С_актива (Asset Value): Стоимость базы данных Netschool (включая репутационный ущерб, возможные штрафы, затраты на восстановление) = 5 000 000 руб.
• Ф_{воздействия} (Exposure Factor): Фактор воздействия при утечке данных = 0.8 (80% потерь от стоимости актива).
• ARO (Annualized Rate of Occurrence): Частота реализации фишинговой атаки с утечкой данных до внедрения СЗИ (1 раз в год) = 1.0.

2. Расчет SLE (Single Loss Expectancy):

SLE = Сактива × Фвоздействия = 5 000 000 руб. × 0.8 = 4 000 000 руб.

3. Расчет ALE (Annualized Loss Expectancy) до внедрения СЗИ (ALE₁):

ALE1 = SLE × ARO = 4 000 000 руб. × 1.0 = 4 000 000 руб.

4. Затраты на внедрение СЗИ (инвестиции):

• Внедрение DLP-системы: 1 500 000 руб.
• Обучение персонала и учащихся: 200 000 руб.
• Внедрение MFA для критических аккаунтов: 300 000 руб.

Итого Затраты (С_инв) = 1 500 000 + 200 000 + 300 000 = 2 000 000 руб.

5. Изменение ARO после внедрения СЗИ:

Предположим, после внедрения DLP, обучения и MFA, частота успешных фишинговых атак снизилась до 1 раза в 5 лет.

Новое ARO = 0.2.

6. Расчет ALE после внедрения СЗИ (ALE₂):

ALE2 = SLE × Новое ARO = 4 000 000 руб. × 0.2 = 800 000 руб.

7. Расчет Предотвращенного ущерба (П_пр):

Ппр = ALE1 − ALE2 = 4 000 000 руб. − 800 000 руб. = 3 200 000 руб.

8. Расчет ROI (Return on Investment):

ROI = (Ппр − Синв) / Синв × 100%

ROI = (3 200 000 руб. − 2 000 000 руб.) / 2 000 000 руб. × 100%

ROI = 1 200 000 руб. / 2 000 000 руб. × 100% = 0.6 × 100% = 60%.

Вывод: Инвестиции в КСЗИ в размере 2 000 000 рублей принесли 60% возврата, предотвратив ущерб в размере 3 200 000 рублей. Это демонстрирует высокую экономическую эффективность предлагаемых мер.

Приложение Г: Образец модели угроз безопасности информации для Netschool

(Выдержки из гипотетической модели)

1. Описание информационной системы:

• Наименование: ИС Netschool [Название образовательного учреждения].
• Тип ИС: Информационная система персональных данных (ИСПДн).
• Категории обрабатываемых ПДн: Специальные, иные.
• Уровень защищенности ПДн: УЗ-3 (постановлением Правительства РФ № 1119).
• Технологическая платформа: Веб-приложение, база данных SQL-сервер, ОС Windows Server, клиентские ОС Windows/macOS/Linux, мобильные ОС iOS/Android.
• Сетевая инфраструктура: Локальная вычислительная сеть, доступ в Интернет.

2. Модель нарушителя:

• Внутренний нарушитель:
  • Неавторизованный пользователь (учащийся): Цель — изменение оценок, доступ к чужим данным, хулиганство. Возможности — ограниченный доступ через пользовательский интерфейс, социальная инженерия.
  • Авторизованный пользователь с расширенными правами (учитель, администратор): Цель — кража данных, изменение информации, саботаж. Возможности — расширенный доступ, знание внутренней структуры, обход базовых мер.
• Внешний нарушитель:
  • Киберпреступная группа: Цель — финансовая выгода (продажа ПДн), вымогательство. Возможности — продвинутые технические навыки, использование вредоносного ПО, фишинга (в т.ч. с ИИ).
  • Хактивист: Цель — протест, дефейс, публикация данных. Возможности — DDoS-атаки, взлом веб-серверов.

3. Актуальные угрозы безопасности информации:

№ п/п	Наименование угрозы	Источник угрозы	Актуальность	Возможности нарушителя	Уязвимости ИС
1	Несанкционированный доступ к ПДн через фишинговые атаки	Внешний/Внутренний	Высокая	Использование ИИ, PhaaS	Человеческий фактор, недостаточная осведомленность, слабые механизмы аутентификации
2	Нарушение доступности ИС (DDoS-атаки)	Внешний	Средняя	Botnet, CaaS	Недостаточная пропускная способность канала, отсутствие средств защиты от DDoS
3	Шифрование данных вредоносным ПО (программы-вымогатели)	Внешний	Высокая	Фишинг, загрузка ВПО	Необновленное ПО, отсутствие резервного копирования, слабый антивирус
4	Несанкционированный доступ через уязвимости IoT-устройств (маршрутизаторы, проекторы)	Внешний	Средняя	Сканирование портов, стандартные пароли	Устаревшее ПО IoT, стандартные пароли, отсутствие сегментации сети
5	Утечка ПДн через облачные сервисы	Внешний	Средняя	Компрометация облачного аккаунта	Недостаточное шифрование, слабый контроль доступа к облаку
6	Загрузка вредоносного ПО пользователями из непроверенных источников	Внутренний	Высокая	Социальная инженерия	Отсутствие контентной фильтрации, недостаточный контроль ПО
7	Несанкционированное изменение оценок или данных учащихся	Внутренний	Высокая	Злоупотребление правами, взлом аккаунта	Слабый контроль доступа, недостатки в логировании действий

Приложение Д: Образец акта приемочных испытаний КСЗИ для Netschool

(Условный акт)

АКТ № 2025/10-01
ПРИЕМОЧНЫХ ИСПЫТАНИЙ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ИС NETSCHOOL

г. Москва, 10 октября 2025 г.

Мы, нижеподписавшиеся, комиссия в составе:

• Председатель комиссии: [ФИО, должность]
• Члены комиссии: [ФИО, должность, представители Заказчика, Исполнителя, независимые эксперты]

Настоящим актом удостоверяем, что в период с [Дата начала] по [Дата окончания] 2025 года проведены приемочные испытания Комплексной системы защиты информации (КСЗИ) для информационной системы Netschool [Название образовательного учреждения], разработанной и внедренной в соответствии с Техническим заданием № [Номер ТЗ] и Техническим (эскизным) проектом № [Номер Проекта] от [Дата].

1. Цель испытаний: Проверка соответствия внедренной КСЗИ требованиям Технического задания, Технического (эскизного) проекта, а также требованиям законодательства РФ в области защиты информации.

2. Объем испытаний:

• Проверка функционирования межсетевого экрана (FortiGate 100F).
• Тестирование антивирусной защиты (Kaspersky Endpoint Security).
• Проверка работы DLP-системы (InfoWatch Traffic Monitor).
• Аудит настройки средств криптографической защиты информации (КриптоПро CSP).
• Проверка организационно-распорядительной документации.
• Тестирование системы аутентификации и контроля доступа.
• Проверка процедур резервного копирования.

3. Результаты испытаний:
3.1. Соответствие требованиям: Все требования, изложенные в Техническом задании и Техническом (эскизном) проекте, выполнены в полном объеме.
3.2. Функциональность: Все компоненты КСЗИ продемонстрировали корректную работу.
3.3. Эффективность: Проведенные тестовые сценарии (имитация фишинговой атаки, попытка несанкционированного доступа, тестирование на наличие уязвимостей) подтвердили заявленный уровень защиты. DLP-система успешно заблокировала попытки несанкционированной передачи конфиденциальных данных.
3.4. Производительность: Внедрение КСЗИ не оказало существенного негативного влияния на производительность ИС Netschool.
3.5. Документация: Вся сопутствующая документация (политики, инструкции, регламенты) разработана, утверждена и соответствует требованиям.

4. Заключение комиссии:
Комплексная система защиты информации для ИС Netschool [Название образовательного учреждения] признана соответствующей требованиям Технического задания, Технического (эскизного) проекта и нормативно-правовым актам РФ в области защиты информации. Система готова к вводу в промышленную эксплуатацию. Рекомендовано проведение аттестации ИС по требованиям защиты информации.

Подписи:
Председатель комиссии: _________________________
Члены комиссии: _________________________
_________________________
_________________________

Список использованной литературы

1. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 27.07.2023) «Об информации, информационных технологиях и о защите информации» // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_61798/ (дата обращения: 10.10.2025).
2. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 06.02.2023) «О персональных данных» // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 10.10.2025).
3. Приказ Гостехкомиссии России от 30.08.02 №282 «Специальные требования и рекомендации по технической защите конфиденциальных данных».
4. Приказ ФСТЭК России от 11.02.2013 N 17 (ред. от 28.08.2024) «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_145656/ (дата обращения: 10.10.2025).
5. Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_145763/ (дата обращения: 10.10.2025).
6. Приказ ФСТЭК России от 14 марта 2014 года N 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами…» // docs.cntd.ru. URL: https://docs.cntd.ru/document/420203000 (дата обращения: 10.10.2025).
7. Приказ ФСБ РФ от 09.02.2005 N 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (с изменениями и дополнениями) // ГАРАНТ. URL: https://base.garant.ru/12138760/ (дата обращения: 10.10.2025).
8. Приказ ФСБ РФ от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных…» // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_166986/ (дата обращения: 10.10.2025).
9. Приказ ФСБ России от 18.03.2025 N 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов…» // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_410223/ (дата обращения: 10.10.2025).
10. ГОСТ Р 57628-2017 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности // docs.cntd.ru. URL: https://docs.cntd.ru/document/1200159495 (дата обращения: 10.10.2025).
11. ГОСТ Р ИСО/МЭК 27000-2021 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология // docs.cntd.ru. URL: https://docs.cntd.ru/document/1200181555 (дата обращения: 10.10.2025).
12. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год.
13. МЕТОДИКА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ.
14. РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ (выписка).
15. Блинов А.М. Информационная безопасность. Часть 1.
16. Шнайер Б. Прикладная Криптография.
17. Методические указания по выполнению экономической части дипломного проекта / В.В. Сухинина, В.Д. Чичкина.
18. Сердюк В.А. Организация и технологии защиты информации: обнаружение и предотвращение информационных атак в автоматизированных системах предприятий: учебное пособие. Издательский дом Государственного университета – Высшей школы экономики, 2011.
19. Журнал «Хакер». 2013. № 3.
20. Журнал «Хакер». 2013. № 10.
21. Количество утечек данных в сфере образования в России выросло // Habr. URL: https://habr.com/ru/companies/infowatch/articles/760814/ (дата обращения: 10.10.2025).
22. Утечки данных в российских учебных заведениях выросли на 20% за полгода // cisoclub.ru. URL: https://cisoclub.ru/news/utechki-dannyx-v-rossijskih-uchebnyx-zavedeniyah-vyrosli-na-20-za-polgoda/ (дата обращения: 10.10.2025).
23. Россия заняла второе место по количеству утечек данных в мире // ComNews. 20.03.2025. URL: https://www.comnews.ru/content/235775/2025-03-20/rossiya-zanyala-vtoroe-mesto-kolichestvu-utechek-dannyh-mire (дата обращения: 10.10.2025).
24. Утечки информации в России: отчет за прошедший год // InfoWatch. URL: https://infowatch.ru/analytics/reports/russian-leaks-report (дата обращения: 10.10.2025).
25. Цифровизация образования привела к резкому росту кибератак на школьников // RB.RU. URL: https://rb.ru/news/cyberattacks-on-schools/ (дата обращения: 10.10.2025).
26. Более 70% образовательных организаций столкнулись с кибератаками в 2024 году // Информзащита. URL: https://www.infosec.ru/about/press/news/bolee-70-obrazovatelnyh-organizatsij-stolknulis-s-kiberatakami-v-2024-godu/ (дата обращения: 10.10.2025).
27. Количество атак на образовательный сектор выросло на 47% // Компьютерра. URL: https://www.computerra.ru/278839/kolichestvo-atak-na-obrazovatelnyy-sektor-vyroslo-na-47/ (дата обращения: 10.10.2025).
28. Число атак на сферу образования увеличилось более чем на 40% // Ведомости. 10.06.2025. URL: https://www.vedomosti.ru/press_releases/2025/06/10/chislo-atak-na-sferu-obrazovaniya-uvelichilos-bolee-chem-na-40 (дата обращения: 10.10.2025).
29. Актуальные киберугрозы: IV квартал 2024 года — I квартал 2025 года // Positive Technologies. URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threat-landscape-2024-2025-q4-2024-q1-2025/ (дата обращения: 10.10.2025).
30. Взлеты и нападения: кибератак на Россию будет все больше // Forbes.ru. URL: https://www.forbes.ru/tehnologii/546556-vzvety-i-napadeniya-kiberatak-na-rossiu-budet-vse-bolse (дата обращения: 10.10.2025).
31. Киберугрозы 2024-2025: отчёт F6 показал рост атак на цепочки поставок и двойное вымогательство // Cyber Media. URL: https://cyber.media/news/kiberugrozy-2024-2025-otchyot-f6-pokazal-rost-atak-na-tsepochki-postavok-i-dvoynoe-vymogatelstvo (дата обращения: 10.10.2025).
32. Угрозы, векторы и тактики 2024-2025: специалисты ЦК F6 назвали актуальные киберриски для российских компаний // F6. URL: https://f6.ru/news/threats-vectors-and-tactics-2024-2025-f6-experts-named-actual-cyberrisks-for-russian-companies (дата обращения: 10.10.2025).
33. F6 назвала главные киберугрозы 2025 года // DSMedia.pro. URL: https://dsm.media/f6-nazvala-glavnye-kiberugrozy-2025-goda/ (дата обращения: 10.10.2025).
34. Метод оценки экономической эффективности подразделения по защите информации // ITSec.Ru. URL: https://itsec.ru/articles2/economy/metod-ocenki-ekonomicheskoy-effektivnosti-podrazdeleniya-po-zaschit/ (дата обращения: 10.10.2025).
35. Построение модели оценки экономической эффективности системы информационной безопасности // КиберЛенинка. URL: https://cyberleninka.ru/article/n/postroenie-modeli-otsenki-ekonomicheskoy-effektivnosti-sistemy-informatsionnoy-bezopasnosti (дата обращения: 10.10.2025).
36. РАЗРАБОТКА МЕТОДА ОЦЕНКИ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ДЛЯ КОММЕРЧЕСКИХ ПРЕДПРИЯТИЙ // КиберЛенинка. URL: https://cyberleninka.ru/article/n/razrabotka-metoda-otsenki-ekonomicheskoy-effektivnosti-sistemy-zaschity-informatsii-dlya-kommercheskih-predpriyatiy (дата обращения: 10.10.2025).
37. Экономика информационной безопасности на примере оценки криптосистем // Интуит. URL: https://www.intuit.ru/studies/courses/2301/290/lecture/7321 (дата обращения: 10.10.2025).
38. Создание системы защиты информации — ИСПДн, требования ФСТЭК // ИЦРС. URL: https://icrs.ru/uslugi/zashchita-informatsii-i-personalnyh-dannyh/sozdanie-sistemy-zashchity-informatsii/ (дата обращения: 10.10.2025).
39. Проектирование комплексной системы защиты // ЦБИС. URL: https://cbis.ru/articles/attestatsiya-fstek/proektirovanie-kompleksnoy-sistemy-zashchity-informatsii/ (дата обращения: 10.10.2025).
40. Разработка технического (эскизного) проекта // Информационный центр. URL: https://ic-s.ru/services/ib/proektirovanie/razrabotka-tehnicheskogo-eskiznogo-proekta/ (дата обращения: 10.10.2025).
41. Этапы создания систем защиты информации // ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ. URL: https://icrs.ru/uslugi/zashchita-informatsii-i-personalnyh-dannyh/etapy-sozdaniya-sistem-zashchity-informatsii/ (дата обращения: 10.10.2025).
42. ru.wikipedia.org/ // Википедия. URL: ru.wikipedia.org/ (дата обращения: 10.10.2025).
43. Сайт, посвященный описанию системы Netschool. URL: http://www.net-school.ru/index.php (дата обращения: 10.10.2025).
44. Сайт компании «Лаборатория Касперского». URL: http://www.kaspersky.ru/ (дата обращения: 10.10.2025).
45. Официальный сайт антивируса Dr.Web. URL: http://www.drweb.com/ (дата обращения: 10.10.2025).
46. Официальный сайт компании Ideco. URL: http://ideco.ru/ (дата обращения: 10.10.2025).
47. Сайт, посвященный продукту IP Scanner. URL: http://www.advanced-ip-scanner.com/ru/ (дата обращения: 10.10.2025).
48. Сайт, посвященный продуктам Transcend. URL: http://ru.transcend-info.com/Products/No-293 (дата обращения: 10.10.2025).
49. Официальный сайт ФСТЭК. URL: http://fstec.ru/ (дата обращения: 10.10.2025).
50. Сайт, посвященный сертифицированным ФСТЭК МЭ. URL: http://zlonov.ru/certified_firewalls/ (дата обращения: 10.10.2025).
51. Каталог сертифицированных антивирусов. URL: http://www.algo-s.ru/catalog/pdnprogs.php?SECTION_ID=118 (дата обращения: 10.10.2025).
52. Официальный сайт компании IRTech. URL: http://www.npo-echelon.ru/production/70/10123 (дата обращения: 10.10.2025).