Позади дата 1 июля, а значит, все информационные системы должны быть приведены в соответствие требованиям федерального закона “О персональных данных” (далее — 152-ФЗ).
Под прессом контроля
Заглянем в Сводный план проверок субъектов предпринимательства на 2011 г., размещенный на сайте Генеральной прокуратуры. Представители двух ведомств в нынешнем году планируют с целью проверки соблюдения требований по защите персональных данных наведаться в один университет, в пару техникумов (сельскохозяйственный и молочный), в лицей г. Тувы и даже в среднюю школу в Камчатском крае. Кроме того, два учреждения дополнительного профессионального образования в Поволжье, судя по срокам, регуляторы собираются проинспектировать совместно, хотя такая проверка и не заявлена (возможно, из-за того, что отсутствует административный регламент проведения таких мероприятий). Попало в план проверок и одно министерство образования субъекта федерации.
В планах территориальных управлений Роскомнадзора отыскались три университета, лицей и опять-таки средняя общеобразовательная школа.
И никто особого внимания на наличие-отсутствие этих учреждений в Реестре операторов персональных данных не обращает. В свое время руководитель Управления Роскомнадзора по Алтайскому краю Николай Ложкин заявил: “Мы можем проверить любого”. Ну и проверяют, соответственно.
В условиях неурегулированности
Ситуация осложняется тем, что в отличие от Трудового кодекса, полно и конкретно описывающего порядок обработки персональных данных работника работодателем, закон РФ “Об образовании”, принятый в 1992-м, до недавнего времени о персональных данных вообще ничего не говорил. Только в феврале этого года была принята поправка в закон, регламентирующая порядок получения образовательными учреждениями согласия субъектов персональных данных и некоторые вопросы их обработки, но касается она только тех, кто так или иначе связан с единым государственным экзаменом. Часть 5.1 статьи 15 “Общие требования к организации образовательного процесса” указанного закона определяет: “Органы и организации <…> осуществляют передачу, обработку и предоставление полученных в связи с проведением единого государственного экзамена и приема граждан в образовательные учреждения среднего профессионального образования и образовательные учреждения высшего профессионального образования персональных данных обучающихся, участников единого государственного экзамена, лиц, привлекаемых к его проведению, а также лиц, поступающих в такие образовательные учреждения, в соответствии с требованиями законодательства Российской Федерации в области персональных данных без получения согласия этих лиц на обработку их персональных данных”.
Кроме того, в ноябре 2010 г. в законе появилась часть 8 статьи 27, предусматривающая создание федерального реестра документов государственного образца об образовании, об ученых степенях и ученых званиях. Как это принято у наших законодателей, перечень сведений, вносимых в этот реестр, порядок его формирования и ведения, порядок предоставления доступа к содержащимся в нем сведениям поручено определить правительству.
А это значит, что в соответствии со 152-ФЗ образовательные учреждения должны каким-то образом получить доказываемое согласие на обработку персональных данных субъектов, т. е. обучающихся или воспитанников. Поскольку значительная часть обучающихся не только не достигла совершеннолетия, но и находится в нежном дошкольном возрасте, получать согласие надо у их законных представителей.
В тисках требований
Между тем требования о быстром и эффективном внедрении информационных технологий в работу образовательных учреждений выдвигаются с высот российской пирамиды власти. Выступая на выездном заседании Совета при Президенте по развитию информационного общества в г. Твери в июле прошлого года, Дмитрий Медведев отметил, что внедрение электронных образовательных ресурсов идет еще медленно, а электронный журнал оценок с организацией доступа к нему родителей через Интернет и в ряде случаев с их SMS-оповещением используется только в школах крупных городов.
Электронный журнал оценок в терминах закона — это информационная система персональных данных, которую надо защищать в соответствии с обязательными требованиями, установленными Правительством РФ. При передаче содержащихся в нём сведений по незащищенным интернет-каналам необходимо применять средства защиты информации, прошедшие процедуру оценки соответствия нормативным требованиям, результаты которой должны быть подвергнуты экспертизе в ФСБ России (так определено в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденном Постановлением Правительства РФ от 17.11.2007 № 781).
Так что школе на Камчатке или лицею в Туве, вероятно, придется доказывать представителям территориального управления ФСБ России, что с сертификацией средств защиты у них все хорошо и сведения об успеваемости учеников не “гуляют” по Интернету в незащищенном виде.
Глубину проблем прекрасно понимает и министр образования. Комментируя требования Президента об ускорении информатизации в образовании, глава Минобрнауки РФ Андрей Фурсенко отмечал, что главная проблема здесь — соответствие Закону о персональных данных. По его словам, необходимо прописать, какая информация доступна учителю, родителям или ребенку, а электронные журналы ввести в школах уже к 2012 г., если на это будут выделены средства. Для использования Интернета при передаче информации требуются определенные технические решения, над которыми работают Минкомсвязи и Рособрнадзор, однако о конкретных сроках говорить преждевременно.
В дополнение к электронным журналам Министерство образования и науки придумало еще и Паспорт здоровья школьника, который среди прочего предусматривает указание следующих сведений, в том числе отнесенных законом 152-ФЗ к категории специальных:
- ФИО, год рождения, образование, специальность, должность, рабочие, домашние и мобильные телефоны родителей, дедушек, бабушек, братьев и сестер;
- семейная обстановка (характеризующие ее параметры -- благополучная; конфликтная; есть ли член семьи с ограниченными двигательными способностями; есть ли тяжелобольной в семье);
- ФИО заведующих детскими отделениями и врачей-терапевтов всех поликлиник, куда ребенок обращался, с указанием телефонов и адресов;
- перенесенные и хронические заболевания (очень конкретно), полученные черепно-мозговые травмы, сведения о госпитализациях, о травмах, группа крови и резус-фактор, санаторно-профилактическое лечение;
- формула полового развития ребенка (и это при жизнерадостном приветствии на первой странице: “Привет! На протяжении всего твоего обучения в школе тебя будет сопровождать паспорт здоровья. Этот документ будешь заполнять ты сам”);
- сведения о регулярности потребления тридцати трёх групп пищевых продуктов;
- сведения о курящих или бросивших курение членах семьи;
- карта индивидуального психологического развития школьника 1—4 классов.
В стремлении быть законопослушным
Ситуация с выполнением в образовательных учреждениях требований ФЗ-152 существенно усложняется особенностями их функционирования. К таковым можно отнести следующие:
- отсутствие финансовых средств на реализацию мер по организационной и технической защите персональных данных;
- специфика построения информационных систем образовательных учреждений, зачастую созданных “на коленке” с использованием массы “самописного” софта и т. п.;
- наличие при этом в эксплуатации довольно большого количества компьютеров, часть которых будет требовать реализации регламентов по защите персональных данных;
- отсутствие штатных специалистов по информационной безопасности, а часто и по информационным технологиям;
- сложность детерминации отношений между образовательным учреждением, обучаемыми, их представителями и иными лицами (родителями, опекунами, работодателями, организациями, выделяющими гранты, и т. п.).
Попытаемся смоделировать тернистый путь оператора персональных данных (ПДн) от образования, решившего быть законопослушным. В качестве “компаса” возьмем документы Рособразования и подход, который предлагают поставщики сертифицированных решений для защиты ПДн.
Идем по азимуту
Работа разбивается на несколько этапов, первым из которых является обследование информационных систем образовательного учреждения и выявление тех, где обрабатываются персональные данные (информационные системы персональных данных — ИСПДн). К кадровым и бухгалтерским системам, где крутятся сведения о персонале, добавятся “коробочные” и “самописные” системы учета успеваемости и посещаемости, дистанционного обучения, электронные паспорта и дневники, интернет-сайты и другое.
На этом же этапе надо определить технические средства, используемые для обработки ПДн, и проанализировать их состояние; сформировать перечни ПДн; определить состав имеющихся в наличии средств защиты и мер, принимаемых по обеспечению безопасности ПДн; выявить и задокументировать сведения о структурных подразделениях и сотрудниках, обрабатывающих ПДн; провести предварительную классификацию ИСПДн; описать объекты защиты; уточнить содержание моделей угроз относительно ПДн и на этой основе определить требования к системам защиты. Результатом первого этапа станет оценка необходимых мероприятий и затрат по приведению ИСПДн в соответствие с предъявляемыми к ним требованиями.
На втором этапе надо продумать и принять меры по снижению классов информационных систем, если они высоки и требуют, по полученным оценкам, значительных затрат на обеспечение защиты.
Рособразование справедливо предлагает следующие способы понижения классов ИСПДн:
- обезличивание персональных данных;
- полное исключение из ИСПДн сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
- сегментирование ИСПДн и классификацию сегментов как самостоятельных систем более низкого класса (такое часто возможно, но для этого потребуются сертифицированные, а лучше распределенные межсетевые экраны);
- полное отключение от сетей связи общего пользования и сети Интернет (если не всей сети учреждения, то хотя бы того выделенного сегмента, где обрабатываются персональные данные);
- обеспечение обмена между ИСПДн с помощью сменных носителей (использовать так называемый “флоппинет”);
- создание автономных ИСПДн на выделенных автоматизированных рабочих местах, куда полностью переносится обработка этой категории сведений из локальной сети.
Акцент делается на обезличивании как наиболее эффективном и дешевом способе снижения класса системы. Обрабатывающая обезличенные данные ИСПДн относится к классу К4 и не требует принятия дорогостоящих мер по обеспечению конфиденциальности сведений. С этой целью агентство рекомендовало присвоить каждому субъекту внутренний идентификационный номер (условный код) на весь период обучения или работы и использовать его в информационных системах вместо ФИО.
Когда с условиями функционирования ИСПДн наступит полная ясность, можно смело переходить к актуализации угроз по отношению к персональным данным и окончательной, документируемой актом классификации ИСПДн.
Результатом выполнения работ на втором этапе должны стать:
- реализованные меры по понижению классов ИСПДн и снижению требований к обеспечению их безопасности (с акцентом на обезличивание данных и реализацию организационных мер);
- актуализированные модели угроз для ИСПДн различных классов (на основе максимальной типизации документов и требований);
- акты классификации всех ИСПДн образовательного учреждения.
Второй этап представляется самым важным и определяющим как содержание последующих работ, так и ту цену, которую за них придется заплатить. От того, к какому классу принадлежит ИСПДн и каковы актуальные угрозы для нее, напрямую зависит стоимость реализации методов и средств защиты.
После этого можно смело переходить к третьему этапу — проектированию системы защиты ИСПДн и реализации намеченных мер безопасности. Рособразование рекомендовало для ИСПДн классов К3 и К4 все работы выполнять своими силами, выбирая наименее затратное подходящее типовое техническое решение, а для защиты систем остальных классов привлекать специализированные организации, имеющие необходимые лицензии ФСБ России и ФСТЭК.
Алгоритм работы на этом этапе можно проиллюстрировать примерно так, как это показано на рисунке.
Таким образом, для образовательных учреждений обеспечение соответствия законодательству является весьма непростой задачей. Но рекомендации органа власти (Рособразования, хотя и упраздненного) и имеющиеся на рынке сертифицированные ИБ-продукты дают возможность решить ее с разумными затратами, не прибегая к излишним дорогостоящим и сложным мерам.
Автор — независимый эксперт по вопросам информационной безопасности. Статья подготовлена с использованием аналитических материалов, предоставленных компанией «Код Безопасности».