Практика исполнения законодательства и подзаконных актов о персональных данных в школах
Современное развитие информационных систем в образовательной сфере в значительной степени облегчает подготовку учащихся и работу преподавателей. Однако проникновение компьютерных технологий в нашу жизнь породило значительное число потенциальных уязвимостей. Нарушение конфиденциальности персональных данных учащихся может вызвать как моральный, так и экономический вред, не говоря уже о репутационном ущербе учебному заведению и его руководству. Директора образовательных структур – операторов персональных данных несут ответственность за обеспечение их сохранности и безопасности, в частности согласно ст. 13.11, 13.12 КоАП. Тема защиты персональных данных требует комплекса организационно-технических мероприятий от разработки локальных нормативных актов до правильной организации компьютерной и сетевой инфраструктуры. Авторы настоящей статьи приводят практические советы ответственным за информационную безопасность сотрудникам образовательных учреждений по исполнению требований нормативной базы в этой области.
Федеральный закон № 152-ФЗ «О персональных данных» был принят еще 27 июля 2006 г. (далее - Закон), более восьми лет назад. Вступление в силу его отдельных положений неоднократно откладывалось в виду организационной и технической сложности исполнения, а также неготовности операторов. Однако с 2013 он должен исполняться в полной мере, к тому же необходимые нормативные документы профильных ведомств на сегодня приняты:
a) Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление).
b) Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – Приказ ФСТЭК).
c) Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованиемсредств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (далее – Приказ ФСБ).
d) И многие другие.
Согласно Закону «персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», а «оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», «информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств».
Очевидно, что любая школа в России обрабатывает персональные данные (ПДн) своего постоянного и переменного состава в информационных системах персональных данных (ИСПДн): фамилии, имена, отчества, даты рождения, места проживания, паспортные данные и т.д., то есть является оператором. «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом». Согласие субъекта ПДн на обработку должно иметь строго определенное содержание соответствующее Закону. Специальные категории ПДн, «касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни» и биометрические («характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность») ПДн требуют особых условий по их обработке и защите. В общем случае ИСПДн школы должны иметь возможность и утвержденную процедуру не только изменения, но также блокирования и уничтожения ПДн по требованию школьника либо его законного представителя. В статьях 18.1 и 19 Закона подробно расписаны меры, которые должен принимать оператор ПДн для его исполнения. В соответствии с данным Законом было принято Постановление, определяющее требования к защите персональных данных при их обработке в ИСПДн. Постановлением также установлено 3 типа угроз – опасности несанкционированного, в том числе случайного доступа к ПДн:
- В том числе связанные с недокументированными (недекларированными) возможностями (НДВ) системного программного обеспечения ИСПДн.
- В том числе связанные с недокументированными (недекларированными) возможностями (НДВ) прикладного программного обеспечения ИСПДн.
- Связанные с другими угрозами.
На российском рынке и в школах присутствует, применяется как обычное, так и сертифицированное ФСТЭК на отсутствие НДВ по определенным классам, программное обеспечение. Соответственно, применение обычного программного обеспечения в ИСПДн школ рождает угрозы 1-го и/или 2-го типа. Основным методическим документом для школ, помогающим определить потенциальные угрозы безопасности ПДн, является «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка)», принятая ФСТЭК России в 2008 году.
Главной же характеристикой ИСПДн, которая установлена Постановлением, является один из 4-х уровней защищенности, где 4-й наименее требовательный к уровню безопасности, а 1-й наиболее:
4 уровень | 3 уровень | 2 уровень | 1 уровень | |
· Безопасность помещений ИСПДн · Сохранность носителей ПДн · Перечень лиц с доступом к ИСПДн · Применение разрешенных СЗИ | В дополнение к требованиям по 4 уровню: · Ответственное за безопасность ПДн лицо | В дополнение к требованиям по 3 и 4 уровню: · Ограниченный доступ к электронному журналу сообщений | В дополнение к требованиям по 2, 3 и 4 уровню: · Авторегистрация полномочий в электронном журнале безопасности · Ответственное за безопасность ПДн подразделение | Требования к защите |
для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные | для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора | для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные | для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных | |
для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора | для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора | для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора | для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора | |
| для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора | для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные |
| |
| для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные | для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора |
| |
| для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора | для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора |
| |
|
| для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора |
|
Школы обычно не обрабатывают в ИСПДн данные о состоянии здоровья или другие специальные данные, также преимущественно отсутствует биометрическая информация, а численность учащихся у одного оператора не превышает 100000 человек. Таким образом, ИСПДн школ чаще всего классифицируются по 3-му либо 4-му уровню защищенности. При этом для 4-го уровня необходимо применение в ИСПДн только сертифицированного на отсутствие НДВ системного и прикладного программного обеспечения. Оператор обязан контролировать выполнение требований по уровню защищенности ИСПДн самостоятельно либо с привлечением подрядчика, имеющего лицензию на техническую защиту конфиденциальной информации (ТЗКИ).
При 4-м уровне защищенности:
- компьютерная техника не ниже 6 класса,
- программы обнаружения вторжений и антивирусы не ниже 5 класса,
- межсетевые экраны 5 класса.
Класс защищенности исходным средствам автоматизации и защиты (кроме СКЗИ) присваивает также ФСТЭК [2].
Таким образом, рассматривая продукцию конкретных производителей и разработчиков для применения в своих ИСПДн, школа может уточнить классы защищенности в документах поставщика при принятии решения о закупке.
Теперь рассмотрим Приказ ФСБ для ситуаций применения СКЗИ в ИСПДн школы. Для ИСПДн 4-го уровня защищенности могут использоваться СКЗИ класса КС1 и выше. Всего существует пять классов СКЗИ в порядке возрастания их сложности (класса защищенности): КС1, КС2, КС3, КВ, КА. Выполнение подробно описанных требований к классам СКЗИ находится больше в компетенции их производителей и ФСБ, как сертифицирующего органа. Образовательному учреждению при принятии решения о применении тех или иных СКЗИ необходимо помимо прочего руководствоваться представленными сертификатами производителей. Для 3-го уровня защищенности помимо вышерассмотренных требований (таблица Постановления) при наличии угроз 2-го типа необходимо применение СКЗИ класса не ниже КВ, а при угрозах 3-го типа не ниже КС1.
Алгоритм обеспечения защиты ПДн может выглядеть следующим образом:
№ | Наименованиемероприятия | Основание | Описаниемероприятия | Наименованиедокументов |
1. | Описание процессов обработки персональных данных (ПДн) в Учреждении | ст.5 ФЗ-152[3] | Необходимо выявить процессы обработки ПДн в Учреждении, разработать и утвердить их перечень с указанием целей, способов обработки, состава обрабатываемых ПДн, правовых оснований и сроков обработки, а также категорий субъектов, чьи ПДн обрабатываются. | Перечень процессов и ПДн, обрабатываемых в Учреждении |
2. | Определение перечня лиц, допущенных к обработке ПДн | п.13 ПП-1119 | Необходимо определить и утвердить Список работников Учреждения, допущенных в соответствии с их должностными обязанностями к обработке ПДн. | Список работников, допущенных в соответствии с их должностными обязанностями к обработке ПДн |
3. | Получение согласий субъектов персональных данных на обработку их ПДн (в письменной форме) | ст.6, ст.9 ФЗ-152 | При необходимости скорректировать формы согласия субъектов персональных данных и получить письменные согласия работников учреждения, обучаемых и (или) их родителей (законных представителей) | Заявления о согласии на обработку ПДн работников Учреждения, обучаемых и (или) их родителей (законных представителей) |
4. | Выделение информационных систем персональных данных (ИСПДн) | ст.19 ФЗ-152 ПП-1119[4] | Необходимо выделить информационные системы персональных данных, разработать и утвердить перечень таких систем с указанием их состава и список их пользователей. | Перечень ИСПДн. Список пользователей ИСПДн. |
5. | Оценка вреда, который может быть причинен субъектам ПДн | п.5 ч.1 ст.18.1 ФЗ-152 | Необходимо провести и зафиксировать в Протоколе оценку вреда, который может быть причинен субъектам ПДнв случае нарушения требований законодательства в области ПДн | Протокол оценки вреда, который может быть причинен субъектам, при обработке их персональных данных |
6. | Определение угроз безопасности ПДн при их обработке в ИСПДн | п.1 ч.2 ст.19 ФЗ-152 п.п.2, 7 ПП-1119 | Необходимо разработать и утвердить Модели угроз безопасности ПДн при их обработке в ИСПДн. | Модели угроз безопасности ПДн при их обработке в ИСПДн (для каждой ИСПДн). |
7. | Определение необходимого уровня защищенности ПДн при их обработке в ИСПДн | п.8 ПП-1119 | Необходимо разработать и утвердить Акты определения уровня защищенности ПДн при их обработке в ИСПДн. | Акты определения уровня защищенности ПДн при их обработке в ИСПДн (для каждой ИСПДн). |
8. | Издание Политики в отношении обработки ПДн | ч.2 ст.18.1 ФЗ-152 | Необходимо разработать, утвердить и разместить в открытом доступе Политику Учреждения в отношении обработки ПДн | Политика Учреждения в отношении обработки ПДн |
9. | Издание Положения об обработке и обеспечении безопасности ПДн | ч.4 ст.18.1 ФЗ-152 | Необходимо разработать и утвердить Положение об обработке и обеспечении безопасности ПДн в Учреждении. | Положение об обработке и обеспечении безопасности ПДн в Учреждении |
10. | Организация обработки ПДн, осуществляемой без использования средств автоматизации | ПП-687[5] | Необходимо обеспечить безопасность и организовать обработку ПДн, осуществляемую без использования средств автоматизации в соответствии с Положением об обработке и обеспечении безопасности ПДн в Учреждении и требованиями законодательства | Перечень мест хранения бумажных носителей ПДн и лиц, осуществляющих обработку ПДн на бумажных носителях, либо имеющих к ним доступ. |
11. | Разработка и внедрение системы защиты персональных данных (СЗПДн) | п.2 ч.2 ст.19 ФЗ-152 п.3 ч.2 ст.19 ФЗ-152 п. 2ПП-1119 Приказ 21[6] | Необходимо разработать и утвердить описание СЗПДн при их обработке в ИСПДн. Необходимо принять организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн. | Описание системы защиты персональных данных при их обработке в ИСПДн Технические паспорта ИСПДн |
12. | Оценка эффективности принимаемых мер по обеспечению безопасности ПДн | п.4 ч.2 ст.19 ФЗ-152 | Необходимо провести оценку эффективности реализованных в рамках СЗПДн мер по обеспечению безопасности ПДн | Декларация о соответствии требованиям по безопасности информации ИСПДн |
13. | Ознакомление работников Учреждения с порядком обработки и обеспечения безопасности ПДн | п.8 ст.86 ТК РФ п.6 ч.1 ст.18.1 ФЗ-152 | Необходимо под роспись ознакомить работников с положениями законодательства Российской Федерации о персональных данных, документами Учреждения, устанавливающими порядок обработки и обеспечения безопасности ПДн, а также об их правах и обязанностях в этой области | Журнал ознакомления работников с положениями законодательства РФ о ПДн, документами Учреждения, устанавливающими порядок обработки и обеспечения безопасности ПДн, а также об их правах и обязанностях в этой области |
При реализации мер по защите ПДн также следует учесть такие мероприятия как закупка и развертывание недостающей компьютерной техники и общего программного обеспечения, необходимых средств защиты информации (от несанкционированного доступа, межсетевых экранов, антивирусного ПО и т.п.).
После ввода в эксплуатацию недостающих частей ИСПДн и СЗИ необходимо подготовить план и методику испытаний СЗПДн, оформить протокол приемочных испытаний СЗПДн. Ввести СЗПДн в эксплуатацию с составлением акта, уведомить Роскомнадзор об обработке ПДн[7].
Образовательное учреждение может выполнить эти действия самостоятельно либо обратившись в специализированную организацию, имеющую необходимые лицензии.
Е.В.Новак, ГК «ИМПУЛЬС-ИВЦ»
________________________________
[1]Приказ ФСБ РФ от 9 февраля 2005г. N66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
[2]Например, Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к
информации, принятый Гостехкомиссией в 1997 г.
[3]Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных».
[4]Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
[5] Постановление Правительства РФ от 15 сентября 2008г. N687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
[6] Приказ ФСТЭК России от 18 февраля 2013г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
[7]Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. N 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».
Журнал Директор школы, 2015 г. № 2
