ИСТИНА |
Войти в систему Регистрация |
|
ИСТИНА ЦЭМИ РАН |
||
Информационно-аналитическая система (ИАС) «ИСТИНА» — Интеллектуальная Система Тематического Исследования НАукометрических данных предназначена для перманентного сбора и систематизации, хранения и анализа наукометрической информации в вузах и научных организациях с целью подготовки принятия управленческих решений. Нормативно-правовыми основаниями для создания, сопровождения и развития такой системы являются следующие. Создание, эксплуатация и развитие ИАС «ИСТИНА» соответствует Правилам размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети «Интернет» и обновления информации об этой организации, утверждённым Постановлением Правительства Российской Федерации от 10.07.2013 № 582 (далее – Правила). Согласно Правилам, образовательная организация высшего образования обязана размещать на своём официальном сайте следующую информацию:
персональный состав педагогических работников с указанием уровня образования, квалификации и опыта работы, в том числе — с указанием фамилии, имени, отчества (при наличии) работника, стажа работы, занимаемой должности и преподаваемых дисциплин;
информацию о направлениях и результатах научной (научно-исследовательской) деятельности и научно-исследовательской базе для её осуществления.
По Постановлению Правительства РФ «О единой государственной системе учета результатов НИОКР» № 327 от 12 апреля 2013 года в ЕГИСУ НИОКТР вносятся сведения о научно-исследовательских, опытно-конструкторских и технологических работах гражданского назначения, выполняемых организациями независимо от их организационно-правовой формы и формы собственности. Данные обо всех таких научно-исследовательских работах, предоставляемые исполнителями в ЕГИСУ НИОКТР, публикуются в открытом доступе: https://rosrid.ru/search.
Данные о научно-исследовательских работах, которые хранятся в ИАС «ИСТИНА», делятся на общедоступные, содержание которых аналогично открытым данным ЕГИСУ НИОКТР, и конфиденциальные (Личный кабинет пользователя, сметы НИР, результаты этапов), доступ к которым имеют, соответственно, только работник и ответственный за сопровождение ИАС «ИСТИНА» в структурном подразделении, в котором он работает, руководитель проекта и уполномоченные сотрудники факультета (института, центра), в котором работает руководитель.
Публикация сведений о Центрах коллективного пользования научным оборудованием и уникальных научных установках предусмотрена Постановлением Правительства РФ от 17 мая 2016 года № 429. При оценке степени защищенности данных, которые обрабатываются в ИАС «ИСТИНА», используются положения, принятые в Федеральном законе РФ от 27 июля 2006 года № 152 «О персональных данных» (далее — ФЗ-152).
Публикация сведений о диссертациях на соискание учёной степени кандидата наук, доктора наук предусмотрена Положением о присуждении учёных степеней в МГУ имени М.В. Ломоносова, Положением о присуждении ученых степеней ВАК РФ.
С учётом целей и задач, которые решаются ИАС «ИСТИНА», в ней обрабатываются:
наукометрические данные о результатах деятельности работников в научно-технической и педагогической сферах;
учётные данные (включающие фамилию, имя, отчество работника, сведения о месте работы, должность, информацию об учёной степени и звании, научной квалификации, адрес электронной почты, контактные телефоны).
Отметим, что сведения о научных публикациях и докладах на конференциях, которые находятся в ИАС «ИСТИНА» в открытом доступе, доступны также:
на сайтах издательств, журналов, научных конференций;
в научной электронной библиотеке elibrary.ru / РИНЦ;
на сайтах зарубежных библиометрических баз данных (Scopus, Web of Science, другие международные БД);
на персональных страницах авторов;
в индексах поисковых систем, в том числе в Google Scholar.
С учётом этого обстоятельства, перечисленные данные можно квалифицировать, как «общедоступные» и/или «иные» (отличные от «конфиденциальных», «специальных», «биометрических» и «общедоступных») по категориям, принятым для персональных данных согласно положениям ст. 2, 10, 11 Федерального закона «О персональных данных» (ФЗ-152).
Из ИАС «ИСТИНА» осуществляется передача результатов анализа данных, а именно — в администрацию МГУ и других организаций, официально подключенных к системе (Организации-работодатели, далее по тексту — организации), передаются:
годовые отчёты подразделений;
информационные листы работников при проведении процедур конкурсного избрания (переизбрания) на должности;
результаты, полученные при реализации отдельных процедур в ходе проведения других конкурсов;
отчёты по мониторингу эффективности научной деятельности организации науки и образования Диссертационных советов в формах, определённых Минобрнауки РФ, и другие данные.
Инфраструктурная схема ИАС «ИСТИНА» представлена на рис.1
Рисунок 1. Инфраструктурная схема ИАС «ИСТИНА»
Основные компоненты инфраструктуры ИАС «ИСТИНА» размещены в центре обработки данных (ЦОД) МГУ, который построен на основе оборудования производства компаний EMC (системы хранения данных) и Cisco (сетевое оборудование, сервера виртуальных машин). В настоящее время ЦОД не имеет независимой резервной инфраструктуры, поэтому дополнительные резервные копии и отдельные компоненты резервной инфраструктуры хранятся на аппаратном обеспечении разработчиков ИАС «ИСТИНА». Данные системы хранятся в реляционной базе данных (БД) под управлением реляционной системы управления базами данных (СУБД). Взаимодействие с пользователем обеспечивает «тонкий» Web-клиент. HTTP-сервер nginx выполняет первичную обработку запросов, распределяет нагрузку между серверами приложений и осуществляет пассивное кэширование статических элементов страниц. Сервер приложений uWSGI и работающие на нём приложения ИАС «ИСТИНА», написанные на языке Python с использованием программной платформы Django, преобразуют запросы пользователя в последовательность запросов к СУБД (включая, в том числе, проверку прав доступа к данным в «закрытом» контуре) и преобразует результат в запрашиваемый пользователем формат.
Доступ пользователей осуществляется по протоколу HTTPS. Доступ администраторов и разработчиков к системе осуществляется как через Web-интерфейс по протоколу HTTPS, так и с использованием протоколов удалённого доступа SSH и VNC.
Связь с внешними БД осуществляется через Web-интерфейс (импорт данных) или с использованием сервисов-расширений, работающих независимо от сервера приложений (обновление данных по цитированию статей, разрешение неоднозначных имён авторов, обработка обращений от пользователей, импорт педагогической нагрузки). Такие сервисы в настоящее время развёрнуты на отдельной виртуальной машине в ЦОД, связь с ними осуществляется с использованием протокола НТТР. Схема потоков данных ИАС «ИСТИНА», дополненная предполагаемой защищённой БД персональных данных представлена на рис.2.
Рисунок 2. Схема потоков данных ИАС «ИСТИНА»
Основные процессы обработки данных в ИАС «ИСТИНА» на схеме описаны следующим образом.
После первого или второго этапа верификации информация сохраняется в БД ИАС «ИСТИНА» и разделяется на две категории: профессиональный профиль с открытыми данными, которые доступны любому пользователю системы на странице профессионального профиля работника («открытый» контур); личный кабинет с данными, имеющими ограниченный доступ («закрытый» контур; например, сметы научно-исследовательских работ, рейтинговую оценку работника и составляющие её значения показателей/индикаторов). Такие данные доступны ограниченному кругу лиц, в соответствии с моделью логического разграничения доступа ИАС «ИСТИНА».
Процедуры верификации данных пользователями системы разделены на следующие категории.
Обработка данных в ИАС «ИСТИНА» включает также широкий класс механизмов выборки данных для формирования агрегированных данных, включая отчётные формы и различного рода статистические показатели. В зависимости от требований по уровню доступа к агрегированным данным, такие механизмы подразделяются на следующие категории.
Модель логического разграничения доступа к данным (RelBAC), которая используется в ИАС «ИСТИНА», разработана с учётом архитектурно-технологических особенностей системы, ориентирована на использование в её составе базы данных на основе реляционной модели, а также на перманентно и интенсивно изменяющиеся большие объемы данных. Описание такой модели, реализующих её методов и программных механизмов, представлено в Приложении к настоящему Положению.
В ИАС «ИСТИНА» одновременно в автоматическом и в автоматизированном режиме обрабатываются данные до 100000 субъектов — пользователей системы, включая сбор данных, систематизацию, хранение, накопление, модификацию и удаление, извлечение и использование, блокирование и защиту от угроз.
Безопасность данных в системе характеризуется степенью их защищенности от реализации угроз, которые приводят:
к нарушениям конфиденциальности, которые заключаются в возможности нерегламентированного Политикой безопасности системы и Правилами пользования ИАС «ИСТИНА» доступа лиц к данным закрытого для этих лиц контура системы (к Личному кабинету пользователя), в том числе, используя для этого недекларированные возможности системного и прикладного программного обеспечения;
к нарушениям целостности данных, хранящихся как в открытом (доступном к просмотру из Интернет) контуре (Персональном профиле пользователя) системы, так и в закрытом для нерегламентированного Правилами пользования ИАС «ИСТИНА» Личном кабинете пользователя, в том числе, используя для этого недекларированные возможности системного и прикладного программного обеспечения;
к нарушениям доступности, а именно — к временному отсутствию регламентированного Правилами пользования ИАС «ИСТИНА» пользователя к данным, которое является следствием нарушения пользователем Политики безопасности системы, в том числе с использованием недекларированных возможностей системного и/или прикладного программного обеспечения.
Нарушителем в ИАС «ИСТИНА» является:
Нарушение конфиденциальности — получение доступа к данным в закрытом контуре (Личном кабинете) лиц, которым, согласно Правилам пользования ИАС «ИСТИНА», такой доступ запрещён.
Нарушение целостности — преднамеренное или непреднамеренное изменение данных в открытом Профессиональном профиле (ПП) или в закрытом ЛК лицами, которым, согласно Правилам пользования ИАС «ИСТИНА», производить такие изменения запрещено.
Нарушение доступности — временное отсутствие возможности доступа к ПП и/или к ЛК, как следствие — к реализации процедур сбора, систематизации, накопления, использования, распространения или передачи данных.
При реализации каждой из перечисленных выше угроз и следующих за ними нарушений характеристик безопасности данных:
Основанием для таких выводов является тот факт, что рейтинговые показатели для субъекта данных, которые лежат в основе методологии ИАС «ИСТИНА», являются стимулирующими для субъекта, но не определяющими. Они стимулируют его к активной профессиональной деятельности, но не определяют окончательную оценку её эффективности, которая дается экспертной комиссией. Отсюда следует, что негативные последствия для пользователя — субъекта данных в ИАС «ИСТИНА» при реализации перечисленных выше актуальных угроз и соответствующих нарушениях безопасности, незначительны. Как следствие, показатель опасности этих угроз может квалифицироваться как низкий.
С учетом того, что ИАС «ИСТИНА» обрабатывает общедоступные данные менее чем 100000 пользователей — субъектов этих данных и показатель опасности для ИАС «ИСТИНА» каждой из перечисленных выше актуальных для неё угроз является низким, для обеспечения её функционирования целесообразно ориентироваться на уровень защищенности данных, который декларируется как уровень 4 согласно ФЗ-152 «О персональных данных».
ИАС «ИСТИНА» подключена к мировой метасети Интернет и обеспечивает как открытый доступ к данным системы, так и доступ из системы к данным зарубежных баз с целью верификации данных, которые вводятся в систему или хранятся в ней.
Обработка данных в ИАС «ИСТИНА» осуществляется ограниченным кругом лиц, которые осуществляют сопровождение и развитие системы, а также лиц, ответственных за её сопровождение в структурных подразделениях организаций, которые официально зарегистрированы в системе. Перечень этих лиц с регламентированными и делегированными им правами и обязанностями, временем, в течении которого они обладают этими правами и несут обязанности, контролируется в автоматизированном режиме с использованием соответствующих механизмов.
Центр обработки данных МГУ имени М.В.Ломоносова и рабочие места обслуживающего ИАС «ИСТИНА» персонала расположены в пределах кампуса МГУ на Воробьевых горах.
Ректоры вузов; директора научных институтов (центров), которые в официальном порядке как Организации-работодатели зарегистрированы в системе; другие представители высшего административного руководства, которым делегировано такое право; деканы факультетов; директора институтов (центров), которые являются структурными подразделениями Организаций-работодателей; их заместители; руководители отделов; ответственные за сопровождение информации в ИАС «ИСТИНА» от структурных подразделений Организаций-работодателей; представители группы; осуществляющей сопровождение и развитие системы; руководители научных проектов, научные работники; профессора и преподаватели вузов; аспиранты и студенты.
Принимая во внимание результаты анализа защищенности данных, которые обрабатываются в ИАС «ИСТИНА» и выводов о целесообразности обеспечения её безопасности с использованием мер и средств, соответствующих уровню 4 защищенности данных согласно ФЗ-152 «О персональных данных», следует ориентироваться на Приказ ФСТЭК РФ от 18.02.2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Перечень таких мер с перечислением требований к их реализации и комментариями по выполнению этих требований техническими средствами и программными механизмами, которые используются в ИАС «ИСТИНА», а также комментариями о том, на требования каких уровней (У1, У2, У3 и У4) эти меры распространяются, представлены в следующей таблице:
Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных | Реализуемость требований | Достаточность требований |
---|---|---|---|
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |||
ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | Реализовано в ядре Системы как встроенный механизм Django | У3, У4 |
ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | ||
ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | ||
ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | Реализовано в ядре Системы; реализовано через меры, регламентирующие доступ к сервисам Системы | |
ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | Реализовано в ядре Системы как встроенный механизм Django | |
II. Управление доступом субъектов доступа к объектам доступа (УПД) | |||
УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | Реализовано в ядре Системы как встроенный механизм Django | У3, У4 |
УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | Реализовано в рамках Системы, как специализированный механизм управления доступом с использованием модели (RelBAC) логического разграничения доступа | У3, У4 |
УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | Реализовано в рамках Системы на этапе развёртывания (используется ОС Linux) | У1, У4 |
УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | Реализовано через проработку организационной структуры оператора, а также в рамках Системы, как специализированный механизм управления доступом в рамках (RelBAC) | - |
УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | ||
УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | Реализовано в ядре Системы | У3 |
УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | Реализовано в рамках Системы на этапе развёртывания путём использования протокола TLS для доступа к сервисам Системы | - |
УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | Реализовано через меры, регламентирующие доступ к сервисам Системы | |
УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | ||
УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | Реализовано в рамках Системы на этапе развёртывания (используется ОС Linux); реализовано в ядре Системы, как расширение Django OAuth | У1, У3, У4 |
V. Регистрация событий безопасности (РСБ) | |||
РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | Реализовано как отдельный механизм в рамках Системы, доступ к этой информации ограничен согласно правилам разграничения доступа | - |
РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | ||
РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | ||
РСБ.7 | Защита информации о событиях безопасности | ||
VI. Антивирусная защита (АВЗ) | |||
АВЗ.1 | Реализация антивирусной защиты | Реализовано в рамках Системы | - |
АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | ||
VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | |||
АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | Реализовано в рамках Системы на этапе развёртывания (используется ОС Linux) | - |
XI. Защита среды виртуализации (ЗСВ) | |||
ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | Реализовано на уровне Центра обработки данных | У1, У2, У3, У4 |
ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | ||
XII. Защита технических средств (ЗТС) | |||
ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | Реализовано на уровне Центра обработки данных; реализовано через меры, регламентирующие доступ к сервисам Системы | У4 |
ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | Реализовано через меры, регламентирующие доступ к сервисам Системы | - |
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) | |||
ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | Реализовано в рамках Системы на этапе развёртывания путём использования протокола TLS для доступа к сервисам Системы | У1, У2, У3, У4 |
Представленные в таблице данные свидетельствуют о том, что уровень защищенности ИАС «ИСТИНА» соответствует уровню 4 защищенности по классификации ФЗ-152 и нормативам, определенным в Приказе ФСТЭК РФ от 18.02.2013 г. № 21.