Проблемы реализации требований по защите персональных данных в образовательной организации

Организационно-распорядительная документация в ОО

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон №  152-ФЗ) определил состав уполномоченных органов, устанавливающих требования к защите персональных данных:

• Правительство РФ (ч. 3 ст. 18.1);
• федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности (ч. 4 ст. 19) – Федеральная служба безопасности РФ (далее – ФСБ России);
• федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (ч. 4 ст. 19) – Федеральная служба по техническому и экспортному контролю (далее – ФСТЭК России);
• федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (ч. 1 ст. 23) – Роскомнадзор;
• федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов РФ, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий (ч. 5 ст. 19).

С целью реализации требований к защите персональных данных администрацией образовательной организации (далее – ОО) может быть подготовлена организационно-распорядительная документация (табл. 1).

Таблица 1

Примерный перечень документов ОО по защите персональных данных

Руководящие и иные работники ОО могут разработать всю документацию самостоятельно, но целесообразнее привлечь к работе лицензированную организацию, которая состоялась на рынке услуг по защите персональных данных и имеет среди заказчиков хорошую репутацию. В целях оптимизации расходов на подготовку документов, необходимо разрабатывать типовой комплект документации централизованно под руководством органа управления образованием муниципального уровня при общей координации работ в масштабе региона.

Предлагаемый подход в решении проблемы защиты персональных данных не противоречит требованиям ч. 5 и 6 ст. 19 Федерального закона № 152-ФЗ, который наделяет иные государственные органы, ассоциации, союзы и иные объединения операторов правами определять угрозы безопасности персональных данных. Разумеется, такие объединения операторов полномочны документально оформлять результаты своей работы, в т. ч. проделанной с привлечением специалистов.

Не следует стремиться привлекать исполнителей работ из административных центров субъектов РФ. При том же качестве работ, но намного дешевле, с этой задачей справятся специализированные организации из населенных пунктов регионального подчинения, имеющие соответствующие лицензии. К тому же эти специалисты лучше знают местные условия обработки персональных данных.

Нормативное обоснование каждого документа формулируется в его содержании (см. нормативное обоснование разработки модели угроз персональным данным в приложении 2 «Список нормативно-правовых документов для подготовки модели угроз персональным данным»). Остальные документы (помимо представленных в табл. 1) разрабатываются, учитывая техническую сторону вопроса, в процессе проектирования системы защиты персональных данных. Уникальность и специфические особенности по обработке персональных данных в каждой конкретной ОО определяются на этапе предпроектного обследования.

Поэтому в предпроектном обследовании объекта защиты персональных данных, помимо должностных лиц ОО, должны принимать участие сотрудники организации – исполнителя проекта системы защиты персональных данных или специалист органа управления образованием (муниципалитета), прошедший специальное обучение.

Работа операторов по защите персональных данных

Необходимо обратить внимание администрации ОО еще на одну остро стоящую проблему по обеспечению конфиденциальности персональных данных: охватывают ли меры по защите сайтов и электронных дневников (журналов) весь состав персональных данных ОО? К сожалению, на этот вопрос нельзя ответить положительно.

Отдельные мероприятия по защите персональных данных в конкретной ОО невозможно осуществить издалека (из региона или муниципалитета), как это сделано на примере «Школьного портала» (www.school.mosreg.ru), порталов «Образование 2.0» (www.dnevniki.shkolapk.ru), «Электронное образование в Республике Татарстан» (www.edu.tatar.ru), «Виртуальная школа» (www.vsopen.ru), т. к. персональные данные обрабатываются и хранятся на полках и компьютерах той или иной ОО. Часть работ по защите персональных данных можно выполнить только в стенах ОО.

Специфичность состава персональных данных обусловливает два направления работы всех операторов по защите персональных данных:

• 1-е направление – обработка персональных данных без использования средств автоматизации. Регламентируется Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства РФ от 15.09.2008 № 687 (далее – Положение об особенностях обработки ПДн, осуществляемой без использования средств автоматизации);
• 2-е направление – обработка и защита персональных данных в ИС персональных данных. Регламентируется Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 01.11.2012 № 1119 (далее – Требования к защите ПДн при их обработке в ИС).

Рассмотрим направления работы операторов по обработке персональных данных и постараемся найти ответ на вопрос: в состоянии ли ОО выполнить весь предусмотренный законодательством объем работ по защите персональных данных своими силами?

Обработка персональных данных без использования средств автоматизации

С обработкой персональных данных, осуществляемой без использования средств автоматизации, руководители ОО были знакомы еще до того, как ОО стали называться операторами персональных данных. Поэтому то, что Федеральный закон №  152-ФЗ определяет как правовые и организационные меры, принимаемые при обработке персональных данных, администрации ОО хорошо известно. При возникновении затруднений в процессе организации обработки персональных данных, осуществляемой без использования средств автоматизации, необходимо руководствоваться:

• ст. 18.1 Федерального закона № 152-ФЗ;
• Перечнем мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утв. постановлением Правительства РФ от 21.03.2012 № 211;
• разъяснениями на портале Роскомнадзора «Персональные данные» (www.pd.rkn.gov.ru).

Защита персональных данных, которые обрабатываются без средств автоматизации

Проблема защиты персональных данных, обработка которых осуществляется без средств автоматизации, связана с обеспечением раздельного хранения персональных данных (материальных носителей). Ст. 14 и 15 Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации, определяют, что необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, которые обеспечивают сохранность персональных данных и исключают несанкционированный доступ к ним. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Постараемся разобраться, что же такое материальные носители и их раздельное хранение. Прежде всего исключим из этого понятия носители компьютерной информации. Остаются бумажные носители и их разновидности. К носителям информации, обрабатываемой неавтоматизированным способом, можно отнести:

• фотографические носители информации (гибкие пленки, пластинки, бумаги, ткани);
• материальные носители механической звукозаписи (пластинки);
• магнитные носители информации на стальной ленте, катаной ленте, магнитной ленте;
• магнитные карты;

• пластиковые карты со встроенным чипом (банковские карты), а также проксимити-карты (для пропуска обучающихся и педагогических работников через системы контроля управления доступом) и различные электронные карты обучающихся.

Чтобы разобраться с термином «раздельное хранение», необходимо обратиться к ч. 95 ст. 3 «ГОСТ Р 7.0.8–2013. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения», утв. приказом Росстандарта от 17.10.2013 №  1185-ст. В ней указано, что дело – это «документ или совокупность документов, относящихся к одному вопросу или участку деятельности, помещенных в отдельную обложку». Таким образом, для выполнения требований Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации, в части раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях, достаточно поместить соответствующий набор документов в отдельную папку-скоросшиватель, которую можно хранить в одном шкафу (сейфе) и в одном служебном помещении наряду с другими категориями персональных данных.

Организуя обработку персональных данных без использования средств автоматизации, операторы акцентируют внимание на правовых мерах (издании локальных актов) и недооценивают меры организационного и режимного характера:

1. Расположение огнетушителей у входа в помещение, где хранятся носители документированной информации с персональными данными.

Администрации ОО важно понять, что огнетушители у входа в помещение, где хранятся носители документированной информации с персональными данными и (или) компьютеры с персональными данными, – такой же важный элемент обеспечения информационной безопасности, как антивирусное программное обеспечение Dr. Web, средство криптографической защиты информации DCrypt 1.0, современные комплексы защиты информации от несанкционированного доступа серии Diamond ACS или единой системы сетевой защиты Diamond VPN/FW.

2. Режим доступа в помещение, где хранятся персональные данные.

Немаловажное значение для защиты персональных данных имеют режимные меры, например, установление режима доступа в помещения, где хранятся персональные данные и другая конфиденциальная информация. Режимные меры нельзя ограничивать установкой в таких помещениях датчиков охранной и пожарной сигнализации. Необходимо предусмотреть меры по инженерной укрепленности дверей и окон, включая укрепление стекол бронепленкой. Реализуемые меры должны быть системными и соответствовать Федеральному закону № 152-ФЗ и Требованиям к антитеррористической защищенности мест массового пребывания людей и объектов (территорий), подлежащих обязательной охране полицией, и форм паспортов безопасности таких мест и объектов (территорий), утв. постановлением Правительства РФ от 25.03.2015 № 272.

3. Хранение ключей от служебных помещений.

Во многих ОО сложилась практика хранения ключей от служебных помещений на посту охраны в специальных шкафах на крючках. При этом не во всех ОО помещения с персональными данными и другой конфиденциальной информацией опечатываются. Такой подход не исключает несанкционированный доступ в режимные помещения неуполномоченных лиц, в т. ч. через изготовление дубликатов ключей.

Дверь режимного помещения должна оборудоваться пломбиром и опечатываться металлической печатью с логотипом ОО. Ключи от этого помещения необходимо хранить в цилиндрическом пенале с завинчивающейся крышкой, который следует опечатывать той же печатью и сдавать на пост охраны, где пенал помещается в специальный шкаф для пеналов (типа П-20). Ключи от остальных помещений развешиваются на внутренней стороне крышки этого же шкафчика.

На первую страницу журнала выдачи ключей вклеивается выписка из приказа с указанием фамилий и номеров печатей должностных лиц. Печати лицам, допущенным в режимные помещения, выдаются под ответственное хранение на весь период их работы в ОО. Как правило, в приказе также указывается, что любое помещение может быть вскрыто и опечатано печатью руководителя ОО и одним-двумя его заместителями, что в некоторых ситуациях оказывается крайне необходимым.

Практика показывает, что к такому режиму должностные лица ОО привыкают довольно быстро (в течение 2–3 дней).

Обработка и защита персональных данных в ИС

Наибольшую сложность для администрации ОО представляет реализация Требований к защите ПДн при их обработке в ИС. Категории персональных данных, обрабатываемые в ИС, представлены в табл. 2.

Таблица 2

Категории персональных данных, обрабатываемые в ИС

Требования к защите ПДн при их обработке в ИС наряду с введением трех типов угроз для ИС персональных данных впервые устанавливают четыре уровня защищенности персональных данных. В ст. 4 Требований к защите ПДн при их обработке в ИС указано, что выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми ФСБ России и ФСТЭК России.

Угрозы 1-3-го типов связаны с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении и (или) прикладном программном обеспечении, используемом в ИС (п. 6 Требований к защите ПДн при их обработке в ИС).

Требования к уровням защищенности представлены в табл. 3.

Таблица 3

Требования к уровням защищенности ИС персональных данных

Из Требований к защите ПДн при их обработке в ИС можно сделать не очень приятный вывод: если работы на объекте по созданию системы защиты персональных данных были выполнены до 01.11.2012 г., то необходимо привести их в соответствие с новыми нормативными документами (прежде всего с Требованиями к защите ПДн при их обработке в ИС, а также с другими документами ФСБ России и ФСТЭК России). Ссылки на то, что закон обратной силы не имеет, – несостоятельны.

Итак, необходимо ответить на главный вопрос: а может ли ОО выполнить своими силами все требования к защите персональных данных при их обработке в ИС персональных данных? К сожалению, на этот вопрос нельзя дать утвердительного ответа.

Обратите внимание на ст. 4 Требований к защите ПДн при их обработке в ИС. В ней говорится о выборе оператором средств защиты информации. И это неслучайно. Деятельность по технической защите конфиденциальной информации подлежит обязательному лицензированию (на основании Федерального закона от 04.05.2011 №  99-ФЗ «О лицензировании отдельных видов деятельности»). Подготовка юридического лица к деятельности по технической защите конфиденциальной информации и получение лицензии – это многолетний кропотливый труд, который не имеет ничего общего с деятельностью ОО.

В этой связи следует обратить внимание администрации ОО на то, что для выполнения Требований к защите ПДн при их обработке в ИС необходимо руководствоваться документами ФСБ России и ФСТЭК России конфиденциального содержания, которых в ОО попросту нет.

К примеру, без конфиденциальных документов оператор не сможет разработать модель угроз безопасности персональным данным. У лицензиата все документы имеются. Некоторые федеральные ведомства (ФНС России, Минздравсоцразвития России и др.) разработали для своих типовых объектов формализованные модели угроз и нарушителя безопасности персональных данных (приказ ФНС России от 21.12.2011 № ММВ-7-4/959 «Об обеспечении безопасности персональных данных при их обработке в автоматизированных информационных системах налоговых органов» и др.). Поэтому целесообразно разработать подобные модели для общеобразовательных организаций и дошкольных ОО, в которых условия обработки персональных данных и меры по их защите существенно разнятся.

Означает ли данное обстоятельство, что администрация ОО должна бездействовать в ожидании выделения средств на реализацию технических мер по защите персональных данных при их обработке в информационных системах персональных данных? Конечно же, нет. Требованиями Федерального закона № 152-ФЗ смягчающие обстоятельства для операторов персональных данных не предусмотрены.

Обратим внимание на ч. 1 ст. 19 Федерального закона № 152-ФЗ, в которой говорится, что оператор при обработке персональных данных обязан принимать необходимые меры защиты персональных данных, а именно: от неправомерного или случайного доступа к ним; уничтожения; изменения; блокирования; копирования; предоставления; распространения персональных данных; иных неправомерных действий в отношении персональных данных. Многие из мер защиты персональных данных в ОО могут быть реализованы как организационно-распорядительные.

Созданию системы защиты персональных данных должно предшествовать предпроектное обследование ОО квалифицированной комиссией. Уровни защищенности персональных данных, объем и стоимость работ определяются типами угроз, которые в большинстве случаев идентичны для всех ОО муниципального образования (приложение 4 «Примерный перечень угроз безопасности для информационных систем персональных данных»). Даже не специалисту в области защиты информации понятно, что в таких ситуациях системы защиты персональных данных, ИС и телекоммуникационные сети ОО целесообразно интегрировать в рамках муниципального, а затем и регионального уровней (впрочем, в практике создания больших ИС используется и обратный порядок их разработки: «сверху вниз»). Такие ИС должны обеспечивать надлежащий уровень защиты информации и иметь сопряженную систему управления безопасностью с использованием оборудования российского производства.

Подход к проблеме, при котором администрация ОО самостоятельно находит финансовые средства и создает в ОО систему защиты персональных данных, – устарел. Нужны региональные целевые программы создания информационных систем для обработки конфиденциальной информации, как мы это видели на примере создания «Школьного портала» (www.school.mosreg.ru), порталов «Образование 2.0» (www.dnevniki.shkolapk.ru), «Электронное образование в Республике Татарстан» (www.edu.tatar.ru), «Виртуальная школа» (www.vsopen.ru).

Приложение 1

ПРИМЕРНОЕ СОДЕРЖАНИЕ модели угроз персональным данным

>>вернуться в текст

Приложение 2

СПИСОК нормативно-правовых документов для подготовки модели угроз персональным данным

1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
3. Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
4. Перечень сведений конфиденциального характера, утв. указом Президента РФ от 06.03.1997 № 188.
5. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства РФ от 15.09.2008 № 687.
6. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. ФСТЭК России 15.02.2008.
7. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. приказом ФСТЭК России от 18.02.2013 № 21.
8. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утв. ФСБ РФ 21.02.2008 № 149/54–144.
9. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Выписка), утв. ФСТЭК РФ 15.02.2008.
10. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утв. приказом ФСБ России от 10.07.2014 № 378.
11. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утв. ФСБ РФ 21.02.2008 №  149/6/6–622.
12. Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утв. постановлением Правительства РФ от 15.05.2010 № 330.
13. Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну…, утв. постановлением Правительства РФ от 21.04.2010 №  266.
14. Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утв. приказом Минкомсвязи России от 14.11.2011 № 312.
15. ГОСТ Р ИСО/МЭК 27005–2010. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности, утв. приказом Росстандарта от 30.11.2010 № 632-ст.
16. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р 51275–2006, утв. приказом Ростехрегулирования от 27.12.2006 № 374-ст.
17. Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утв. постановлением Правительства РФ от 21.03.2012 № 211.
18. Требования к защите персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 01.11.2012 № 1119.

>>вернуться в текст

Приложение 3

ПРИМЕРНЫЕ ФОРМЫ журналов по защите персональных данных

Форма 1

Журнал учета передачи персональных данных

Форма 2

Журнал учета обращений субъектов персональных данных о соблюдении их законных прав в области защиты персональных данных

Форма 3

Журнал учета носителей персональных данных

Форма 4

Журнал уничтожения носителей персональных данных

Форма 5

Журнал учета мероприятий по контролю состояния защиты персональных данных

Форма 6

Журнал учета применяемых средств защиты информации, эксплуатационной и технической документации

Форма 7

Журнал учета нарушений порядка предоставления персональных данных

Форма 8

Журнал учета выдачи ключей доступа к информационным системам персональных данных

>>вернуться в текст

Приложение 4

ПРИМЕРНЫЙ ПЕРЕЧЕНЬ угроз безопасности для информационных систем персональных данных

>>вернуться в текст