Научная статья на тему 'КОНЦЕПЦИЯ ЗАЩИТЫ ДАННЫХ В ОТКРЫТОЙ ЦИФРОВОЙ ПЛАТФОРМЕ МАССОВЫХ ПСИХОЛОГИЧЕСКИХ ИССЛЕДОВАНИЙ DIGITALPSYTOOLS.RU'

КОНЦЕПЦИЯ ЗАЩИТЫ ДАННЫХ В ОТКРЫТОЙ ЦИФРОВОЙ ПЛАТФОРМЕ МАССОВЫХ ПСИХОЛОГИЧЕСКИХ ИССЛЕДОВАНИЙ DIGITALPSYTOOLS.RU Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
184
17
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ЦИФРОВАЯ ПЛАТФОРМА / ПСИХОЛОГИЧЕСКАЯ ПЛАТФОРМА / МАССОВЫЕ ПСИХОЛОГИЧЕСКИЕ ИССЛЕДОВАНИЯ / ПЕРСОНАЛЬНЫЕ ДАННЫЕ / ОБЕЗЛИЧЕННЫЕ ДАННЫЕ / ЗАЩИТА ИНФОРМАЦИИ / DIGITAL PLATFORM / PSYCHOLOGICAL PLATFORM / MASS PSYCHOLOGICAL RESEARCH / PERSONAL DATA / ANONYMIZED DATA / INFORMATION PROTECTION

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Пушкин Павел Юрьевич, Никульчев Евгений Витальевич, Малых Сергей Борисович

Обеспечение защиты прав и свобод граждан при обработке их персональных и обезличенных данных в цифровых платформах и информационных системах при организации и проведении массовых психологических исследований является важнейшей задачей организаторов проведения таких исследований. Проведение массовых психологических исследований имеет свои специфические особенности, которые определяются их целями и задачами. В статье сформирован концептуальный подход к проблеме защиты персональных и обезличенных данных при проведении массовых психологических исследований с использованием психологической платформы, разработаны основные положения определяющие политику оператора психологической платформы в отношении обработки персональных и обезличенных данных, определены совместные меры по обеспечению безопасности обрабатываемых данных для участвующих в организации и проведении психологических исследований сторон.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Пушкин Павел Юрьевич, Никульчев Евгений Витальевич, Малых Сергей Борисович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

DATA PROTECTION CONCEPT IN OPEN DIGITAL PLATFORM FOR MASS PSYCHOLOGICAL RESEARCH DIGITALPSYTOOLS.RU

Protecting the rights and freedoms of individuals in the processing their personal and anonymized data in digital platforms and information systems when organizing and conducting mass psychological research is the major priority of such studies organizers. Mass psychological research has its own specific features, which are determined by their aims and tasks. The article forms a conceptual approach to the problem of protecting personal and impersonal data during mass psychological research using a psychological platform, develops the main provisions that determine the policy of the operator of the psychological platform regarding the processing of personal and impersonal data, defines joint measures to ensure the security of processed data for those participating in the organization and conducting psychological research on the parties.

Текст научной работы на тему «КОНЦЕПЦИЯ ЗАЩИТЫ ДАННЫХ В ОТКРЫТОЙ ЦИФРОВОЙ ПЛАТФОРМЕ МАССОВЫХ ПСИХОЛОГИЧЕСКИХ ИССЛЕДОВАНИЙ DIGITALPSYTOOLS.RU»

17. Okhravi H., Sheldon F. T., Haines J. Data Diodes in Support of Trustworthy Cyber Infrastructure and Net-Centric Cyber Decision Support. Optimization and Security Challenges in Smart Power Grids, 2013, pp. 203-216.

18. Oman P., Phillips M. Intrusion detection and event monitoring in SCADA networks. International Conference on Critical Infrastructure Protection. Boston, Springer, 2007, pp. 161-173.

19. Parry J., Hunter D., Radke K., Fidge C. A network forensics tool for precise data packet capture and replay in cyber-physical systems. Proceedings of the Australasian Computer Science Week Multiconference, 2016, no. 22, pp. 1-10.

20. Paté-Cornell M. E., Kuypers M., Smith M., Keller P. Cyber Risk management for critical infrastructure: a risk analysis model and three case studies. Risk Analysis, 2017, vol. 38, no. 2, pp. 226-241.

21. Rimsha A. S., Zakharov A. A. Method for Risk Assessment of Industrial Networks' Information Security of Gas Producing Enterprise. Global Smart Industry Conference (GloSIC). Chelyabinsk, 2018, pp. 1-5.

22. Saini V., Duan Q., Paruchuri V. Threat modeling using attack trees. Journal of Computing Sciences in Colleges, 2008, vol. 23, no 4. pp. 124-131.

23. Samtani S., Yu S., Zhu H., Patton M., Chen H. Identifying SCADA vulnerabilities using passive and active vulnerability assessment techniques. IEEE Conference on Intelligence and Security Informatics (ISI), 2016, pp. 25-30.

24. Yang Y., Lu J., Choo K. K. R., Liu J. K. On lightweight security enforcement in cyber-physical systems. Lightweight Cryptography for Security and Privacy, Springer, Cham, 2015, pp. 97-112.

25. Zegzhda D. P., Stepanova T. V. Approach to APCS protection from cyber threats. Automatic Control and Computer Sciences, 2015, no. 49 (8), pp. 659-664.

УДК 004.056.53

КОНЦЕПЦИЯ ЗАЩИТЫ ДАННЫХ В ОТКРЫТОЙ ЦИФРОВОЙ ПЛАТФОРМЕ МАССОВЫХ ПСИХОЛОГИЧЕСКИХ ИССЛЕДОВАНИЙ DigitalPsyTools.ru1

Статья поступила в редакцию 30.08.2019, в окончательном варианте — 02.09.2019.

Пушкин Павел Юрьевич, МИРЭА - Российский технологический университет, 119454, Российская Федерация, г. Москва, пр. Вернадского, 78,

кандидат технических наук, доцент кафедры «Управление и моделирование систем», e-mail: is-irk@mail.ru

Никульчев Евгений Витальевич, МИРЭА - Российский технологический университет, 119454, Российская Федерация, г. Москва, пр. Вернадского, 78,

доктор технических наук, профессор кафедры «Управление и моделирование систем», http://orcid.org/0000-0003-1254-9132, https://elibrary.ru/author_items.asp?authorid=396636, e-mail: nikulchev@mail.ru

Малых Сергей Борисович, Психологический институт Российской академии образования, 125009, Российская Федерация, г. Москва, ул. Моховая, 9, стр. 4,

академик РАО, доктор психологических наук, профессор, заведующий лабораторией возрастной психогенетики, https://elibrary.ru/author_items.asp?authorid=71885, e-mail: malykhsb@mail.ru

Обеспечение защиты прав и свобод граждан при обработке их персональных и обезличенных данных в цифровых платформах и информационных системах при организации и проведении массовых психологических исследований является важнейшей задачей организаторов проведения таких исследований. Проведение массовых психологических исследований имеет свои специфические особенности, которые определяются их целями и задачами. В статье сформирован концептуальный подход к проблеме защиты персональных и обезличенных данных при проведении массовых психологических исследований с использованием психологической платформы, разработаны основные положения определяющие политику оператора психологической платформы в отношении обработки персональных и обезличенных данных, определены совместные меры по обеспечению безопасности обрабатываемых данных для участвующих в организации и проведении психологических исследований сторон.

Ключевые слова: цифровая платформа, психологическая платформа, массовые психологические исследования, персональные данные, обезличенные данные, защита информации

1 Работа выполнена в рамках государственного задания Министерства науки и высшего образования Российской Федерации, проект 25.13253.2018/12.1 «Разработка технологической концепции Дата-центра междисциплинарных исследований в образовании».

DATA PROTECTION CONCEPT IN OPEN DIGITAL PLATFORM FOR MASS PSYCHOLOGICAL RESEARCH DigitalPsyTools.ru

The article was received by editorial board on 30.08.2019, in the final version — 02.09.2019.

Pushkin Pavel U., MIREA - Russian Technological University, 78 Vernadskiy Ave., Moscow, Russian Federation, 119454,

Cand. Sci. (Engineering), Associate Professor, e-mail: is-irk@mail.ru,

Nikulchev Evgeny V., MIREA - Russian Technological University, 78 Vernadskiy Ave., Moscow, Russian Federation, 119454,

Doct. Sci. (Engineering), Professor of the Chair of Systems Control and Modelling, http://orcid.org/0000-0003-1254-9132, https://elibrary.ru/author_items.asp?authorid=396636, e-mail: nikulchev@mail.ru,

Malykh Serhey B., Psychological Institute of the Russian Academy of Education, 9-4 Mokhovaya St., Moscow, Russian Federation, 125009,

Academician of the Russian Academy of Education, Doct. Sci. (Psychology), Professor, Head of the Laboratory of Age-related Psychogenetics, https://elibrary.ru/author_items. asp?authorid=71885, malykhsb@mail.ru

Protecting the rights and freedoms of individuals in the processing their personal and anonymized data in digital platforms and information systems when organizing and conducting mass psychological research is the major priority of such studies organizers. Mass psychological research has its own specific features, which are determined by their aims and tasks. The article forms a conceptual approach to the problem of protecting personal and impersonal data during mass psychological research using a psychological platform, develops the main provisions that determine the policy of the operator of the psychological platform regarding the processing of personal and impersonal data, defines joint measures to ensure the security of processed data for those participating in the organization and conducting psychological research on the parties.

Keywords: digital platform, psychological platform, mass psychological research, personal data, anony-mized data, information protection

Graphical annotation (Графическая аннотация)

Введение. С повышением уровня цифровизации общества доступность проведения массовых, в том числе психологических, исследований позволяет оперативно получать и обрабатывать большие объемы информации, открывая новые возможности для получения научных результатов [10, 11]. Вместе с тем новые возможности не должны нарушать права и свободы граждан, установленные законодательством Российской Федерации. Обеспечение защиты прав и свобод граждан при обработке их персональных и обезличенных данных в цифровых платформах и информационных системах при организации и проведении массовых психологических исследований является важнейшей задачей организаторов проведения таких исследований [1]. При этом задачи обеспечения конфиденциальности и безопасности такой информации должны ставиться и решаться одновременно с задачами проведения тестирования, так как обработка информации ограниченного доступа возможна только после реализации установленных законодательством мер по ее защите.

Проведение массовых психологических исследований имеет свои специфические особенности, связанные с обеспечением конфиденциальности, целостности и доступности сведе-

ний о респондентах и результатах таких исследований. К таким особенностям можно отнести широкий охват различных категорий респондентов и организаций, необходимость выстраивания между ними необходимых коммуникаций и каналов связи, использование обезличенных статистических данных и необходимость выстраивания индивидуальных траекторий результатов исследований, определение необходимых и достаточных категорий и объемов данных исследований, не противоречащих требованиям законодательства.

Для проведения психологических исследований широко используется ряд платформ и сервисов зарубежных разработчиков, например, PsychoPy, OpenSesame, PEBL (Psychology Experiment Building Language). Особенности их использования и применения описаны соответственно в [12, 13, 16]. Однако в указанных источниках и на официальных сайтах платформ не описаны вопросы обеспечения безопасности респондентов и полученных данных при подготовке и проведении исследований, тем более отвечающие нормам российского законодательства в указанной сфере. В настоящий момент времени в Российской академии образования создается единая платформа, обеспечивающая возможность проведения психологических исследований в России, отвечающая в том числе требованиям безопасности информации. Вопросы создания открытой цифровой платформы массовых психологических исследований (DigitalPsyTools.ru) (далее - психологическая платформа) подробно описаны в работах [14, 15].

В данной статье предложен концептуальный подход к организации защиты персональных и обезличенных данных при проведении массовых психологических исследований учащихся образовательных учреждений на основе психологической платформы, обеспечивающий выполнение требований законодательства Российской Федерации в области защиты персональных данных.

Постановка задачи. Цифровая психологическая платформа, разработанная Российской академией образования, сконструирована как постоянно развивающаяся информационная среда с набором инструментов для осуществления психологических исследований всех уровней [14, 15]. Для проведения пилотного тестирования психологической платформы предполагается использовать данные респондентов - несовершеннолетних, обучающихся в средних образовательных учреждениях. Результаты тестирования должны быть детализированы до уровня учебного подразделения (класса, учебной группы) с перспективой полной идентификации субъекта персональных данных. Использование сертифицированных средств криптографической защиты информации для организации каналов связи между программным интерфейсом пользователя - респондента и серверной частью психологической платформы не предполагается. Тестирование происходит в помещениях учебного заведения. Идентификаторы и пароли для доступа к тестированию в психологической платформе генерируются оператором психологической платформы.

Определение условий и принципов обработки персональных данных при организации психологических исследований. Обработка персональных данных должна осуществляться только в строго определенных Федеральным законом от 27.07.2006 № 152 «О персональных данных» (далее - Федеральный закон) случаях. Одним из основополагающих принципов обработки персональных данных является наличие согласия субъекта на такую обработку [1]. Ввиду наличия среди возможных респондентов несовершеннолетних граждан, такое согласие должен дать за них законный представитель [7], полномочия которого должны быть проверены оператором психологической платформы, что при организации удаленного автоматизированного тестирования выполнить затруднительно.

Вместе с тем в соответствии с пп. 9 п. 1 ст. 6 Федерального закона обработка персональных данных допускается в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных, наличие обязательного согласия в таком случае не требуется.

Таким образом, для обеспечения законности обработки данных в психологической платформе решено использовать обезличенные данные респондентов, при этом обрабатывать эти данные исключительно в статистических и исследовательских целях, что соответствует заявленным целям создания психологической платформы [14, 15].

При составлении тестов в психологической платформе также не используются вопросы, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Определение объема и содержания персональных и обезличенных данных. При организации и проведении тестирования оператор психологической платформы и учебное заведение совместно осуществляют сбор и обработку следующих персональных данных респондентов:

• фамилия, имя, отчество;

• присвоенный идентификатор физического лица и соответствующий ему пароль;

• дата рождения;

• регион проживания;

• номер (идентификатор/реквизиты) образовательного учреждения;

• номер класса/учебной группы;

• результаты исследований.

Такой объем персональных данных не отвечает требованиям к анонимности обучающихся, проходящих тестирование. Вместе с тем для проведения психологических исследований важно соотносить результаты проведенных исследований с результатами последующих исследований. Для решения этой задачи предлагается использовать совместное хранение сведений о респонденте, одновременно исключающее возможное деобезличивание персональных данных и результатов исследования при реализации угроз безопасности в отношении одной из сторон, участвующих в организации и проведении тестирования (табл.).

Таблица - Организация совместного хранения данных о респондентах

Хранение данных

Персональные данные Образовательное учреждение Оператор психологической платформы

Фамилия, имя, отчество + -

Присвоенный идентификатор физического лица и + +

соответствующий ему пароль

Дата рождения + +

Регион проживания + +

Номер (идентификатор/реквизиты) образовательного учреждения + +

Номер класса/учебной группы + +

Результаты исследований - +

Особенности обезличивания и совместной обработки персональных данных в психологической платформе. Использование раздельного хранения сведений о респонденте позволяет выполнить требования к их обезличиванию. Обезличивание персональных данных осуществляется с использованием метода введения идентификаторов в соответствии с Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 № 996 [4] и соответствующими методическими рекомендациями [6]. Используемый метод обезличивания персональных данных обеспечивает достаточный уровень анонимности физических лиц при условии исполнения всеми сторонами, участвующими в организации и проведении тестирования, требований законодательства Российской Федерации. Стойкость применяемого метода обезличивания к атакам на идентификацию субъекта персональных данных обеспечивается, в том числе, организацией раздельного хранения сведений о соответствии идентификаторов физическим лицам и обезличенных данных. Эффективность метода обезличивания данных с использованием идентификаторов подтверждается в исследованиях [9].

Перед организацией тестирования между учебными заведениями (их учредителями) и оператором психологической платформы заключается соответствующее соглашение, определяющее цели, порядок взаимодействия, права и обязанности сторон, в том числе по защите персональных и обезличенных данных и их использованию.

Организационную структуру ввода данных в психологическую (цифровую) платформу массовых психологических исследований можно представить в следующем виде (рис.).

Соглашение

Оператор ПДн (школа)

Login, pass

Оператор цифро вой платформы

Рисунок - Организационная структура ввода данных в психологическую платформу

Процесс введения и обработки данных в психологической платформе разделен на два этапа: этап присвоения и передачи идентификаторов и паролей субъектам исследования и этап ввода и обработки данных. Разделение процесса введения и обработки данных в цифровой платформе на два этапа исключает передачу оператору психологической платформы персональных данных учащихся в объеме, позволяющем однозначно идентифицировать субъекта персональных данных.

Идентификаторы и пароли для доступа в психологическую платформу формируются оператором и передаются в учебное заведение, в котором организуется проведение тестирования обучающихся. Должностные лица учебного заведения организуют выдачу идентификаторов и паролей обучающимся для проведения тестирования, разъясняют необходимость соблюдения конфиденциальности полученных идентификаторов и паролей для доступа к психологической платформе. Сведения о выданных идентификаторах и паролях, об их соответствии физическим лицам хранятся в соответствии с принятыми в учебном заведении правилами обработки и защиты персональных данных. Данные сведения не передаются оператору цифровой платформы. Обучающиеся обязаны соблюдать конфиденциальность идентификаторов и паролей для доступа в цифровую платформу.

Результаты тестирования конкретных физических лиц не передаются в учебное заведение за исключением случаев, предусмотренных законодательством.

Доступ к обезличенным данным, обрабатываемым в психологической платформе, имеют работники оператора, перечень должностей которых определяется оператором. Доступ третьих лиц к обезличенным данным, обрабатываемым в психологической платформе, осуществляется в соответствии с законодательством Российской Федерации.

Обработка персональных и обезличенных данных при организации психологических исследований. Обработка персональных и обезличенных данных обучающихся ограничивается достижением конкретных, заранее определенных и законных целей исследования, установленных в подписанных сторонами соглашениях об организации и проведении тестирования.

Обработка персональных данных в психологической платформе осуществляется в статистических и исследовательских целях только в обезличенной форме. Оператором психологической платформы, иными операторами, участвующими в организации и проведении тестирования, не допускается объединение баз данных, содержащих персональные и обезличенные данные физических лиц, обработка которых осуществляется в целях, несовместимых между собой, а также объединение таких баз данных с таблицами соответствия идентификаторов исходным данным физических лиц.

Содержание и объем обрабатываемых персональных и обезличенных данных обучающихся должен соответствовать заявленным целям обработки.

Хранение и обработка обезличенных данных в психологической платформе обеспечивается с использованием баз данных, находящихся на территории Российской Федерации, что обеспечивает установленные законодательством требования.

Доступ к психологической платформе для проведения тестирования осуществляется через веб-сервис (программный интерфейс), запускаемый через интернет-браузер на компьютере учебного заведения. Тестирование проходит в онлайн- или оффлайн-режиме. Передача результатов тестирования с введенными физическим лицом данными в цифровую платформу осуществляется с использованием защищенного протокола передачи данных ^1-протокола). Ввиду обработки только обезличенных данных применение сертифицированных средств криптографической информации для организации защищенных каналов связи между программными интерфейсами и серверной частью психологической платформы не является обязательным.

В психологической платформе для проведения пилотного тестирования реализован следующий технологический процесс обработки данных: «Введение пользователем присвоенного идентификатора и пароля, даты рождения, региона проживания, номера учебного заведения и класса / Прохождение тестирования / Передача результатов тестирования с введенными пользователем данными в информационную систему с использованием защищенного протокола / Обработка данных в цифровой платформе / Представление данных / Хранение данных».

В связи с обработкой оператором психологической платформы обезличенных данных, отсутствием сведений о сопоставлении идентификационной информации и физического лица (обучающегося), право субъекта персональных данных (его законного представителя) на доступ к его персональным данным, в соответствии со статьей 14 Федерального закона, реализации в полном объеме не подлежит. Сведения, указанные в части 7 статьи 14 Федерального закона, частично представлены в документах оператора психологической платформы, подлежащих обязательному опубликованию или размещению в соответствии с законодательством Российской Федерации. Обращения и запросы физических лиц (их законных представителей) на получение сведений, указанных в части 7 статьи 14 Федерального закона, направленные и оформленные в соответствии с частью 3 указанной статьи, оператором цифровой платформы не принимаются, ответы не направляются. Полученные запросы уничтожаются.

Передача персональных данных тестируемого, сведений о присвоенных ему идентификаторах и паролях, хранящихся в образовательных учреждениях, третьей стороне возможна только с письменного согласия физического лица или его законного представителя, а также в случаях, установленных законодательством Российской Федерации. Трансграничная передача персональных данных физического лица, сведений о присвоенных ему идентификаторах и паролях не осуществляется. Вместе с тем трансграничная передача результатов статистической обработки и исследований обезличенных данных осуществляется без ограничений, если такая передача (предоставление, распространение) информации не ограничена законодательством Российской Федерации.

Защита персональных и обезличенных данных. Защита персональных и обезличенных данных обучающихся от их неправомерного использования или утраты обеспечивается согласованными правовыми, организационными и техническими мерами, реализуемыми оператором психологической платформы и образовательными учреждениями, участвующими в проведении тестирования своих обучающихся. При этом образовательные учреждения обеспечивают конфиденциальность персональных данных, идентификационной и парольной информации своих обучающихся. Оператор психологической платформы обеспечивает требуемый уровень защищенности цифровой платформы, обрабатывающей обезличенные персональные данные, а также соблюдение законодательства Российской Федерации по распространению и предоставлению таких данных.

Защите подлежат:

• обезличенные данные физических лиц, содержащиеся в базах данных психологической платформы оператора;

• материальные носители, содержащие обезличенные данные физических лиц;

• технические средства цифровой платформы, размещенные в помещениях оператора;

• каналы передачи данных;

• помещения, в которых размещаются элементы психологической платформы оператора;

• идентификационная и парольная информация, а также сведения об их соответствии данным физических лиц (таблица идентификаторов).

Защита обрабатываемых в психологической платформе данных осуществляется в рамках созданной оператором системы защиты персональных данных.

Хранение конфиденциальной информации об идентификаторах и паролях, их соответствии физическим лицам осуществляется образовательными учреждениями, участвующими в проведении тестирования, в соответствии с законодательством о персональных данных и архивном деле, не дольше, чем это требуют цели ее обработки. Сроки хранения указанной в настоящем пункте конфиденциальной информации не могут превышать сроки обучения физического лица в учебном заведении. По истечении сроков хранения указанной выше конфиденциальной информации данные сведения передаются в архив, что позволит обеспечить при необходимости деобезличивание данных.

При передаче конфиденциальной идентификационной, парольной, иной информации образовательному учреждению либо за пределы установленной контролируемой зоны психологической платформы используется безопасный канал передачи. Допускается передача указанной конфиденциальной информации почтовыми, курьерскими службами с соблюдением условия конфиденциальности передаваемой информации в рамках действующего законодательства. Факт передачи конфиденциальной информации должен быть задокументирован.

В связи с организацией взаимной обработки персональных и обезличенных данных о всех выявленных инцидентах безопасности оператор психологической платформы и образовательные учреждения сообщают друг другу в максимально короткий срок через установленных контактных лиц уведомление для разработки совместных мер по нейтрализации возможных угроз безопасности информации.

Оператор психологической платформы не запрашивает идентификационную и парольную информацию у физических лиц и образовательных учреждений.

Организация обеспечения безопасности обезличенных данных в цифровой платформе должна соответствовать требованиям законодательства в сфере персональных данных. Этот подход находит поддержку и в других работах, посвященных вопросам обезличивания персональных данных, например в [8].

Основные мероприятия по защите персональных и обезличенных данных в психологической платформе определяются в соответствии с требованиями [1, 2, 3, 5]:

• определение уровня защищенности психологической платформы;

• назначение должностных лиц, ответственных за обеспечение безопасности обезличенных данных в психологической платформе;

• установление границ контролируемой зоны на объектах оператора, в которых размещены элементы психологической платформы;

• определение актуальных угроз безопасности информации при ее обработке в психологической платформе;

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

• применение организационных и технических мер по обеспечению безопасности обрабатываемой в психологической платформе информации, необходимых для выполнения установленных требований к защите обезличенных данных;

• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности информации;

• оценка эффективности принимаемых мер по обеспечению безопасности обрабатываемых в психологической платформе данных;

• учет съемных носителей информации, использующихся в психологической платформе;

• обнаружение фактов несанкционированного доступа к обезличенным данным и принятие соответствующих мер;

• восстановление обезличенных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

• установление правил доступа к информации, обрабатываемой в психологической платформе;

• организация регистрации и учета всех действий, совершаемых с обезличенными данными в психологической платформе;

• контроль за принимаемыми мерами по обеспечению безопасности обезличенных данных и уровня защищенности психологической платформы.

Права и обязанности оператора психологической платформы и учащихся образовательных учреждений при организации исследований. Ввиду особенностей обрабатываемых данных, в том числе их обезличивания, выполнение обязанностей оператора и реализация прав субъектов персональных данных, предусмотренных Федеральным законом, не могут быть

реализованы в полном объеме. Учитывая вышеизложенное, оператор психологической платформы обязан:

• принимать необходимые и достаточные меры по защите персональных и обезличенных данных физических лиц, необходимых для достижения установленных целей обработки данных;

• использовать полученные данные только в целях и на условиях определенными целями исследования;

• информировать физических лиц о целях и условиях обработки предоставляемых ими данных, о месте нахождения оператора и баз данных психологической платформы, об используемом методе обезличивания персональных данных, о сроках обработки персональных и обезличенных данных, об осуществленной или предполагаемой трансграничной передаче персональных и обезличенных данных путем размещения указанной информации в программном интерфейсе психологической платформы и на официальном сайте оператора.

С учетом целей исследования, обрабатываемых данных, оператор психологической платформы вправе:

• не вносить в обезличенные данные физических лиц изменения, не уничтожать и не блокировать обезличенные данные по запросам физических лиц (их законных представителей), в том числе в случае ошибочных действий при проведении тестирования, если такие действия не противоречат установленным целям обработки и не влияют на результат исследований;

• требовать от образовательных учреждений соблюдения конфиденциальности передаваемой им идентификационной и парольной информации.

Учащиеся образовательных учреждений в целях обеспечения достоверности и защиты вводимых в психологическую платформу данных обязаны:

• не разглашать персональную идентификационную и парольную информацию;

• вносить достоверные сведения при прохождении тестирования;

• выполнять требования и рекомендации должностных лиц образовательного учреждения при подготовке и проведении тестирования.

Учащийся имеет право на:

• получение сведений о целях и условиях обработки предоставляемых им данных, о месте нахождения оператора и баз данных психологической платформы, об используемом методе обезличивания персональных данных, о сроках обработки персональных и обезличенных данных, об осуществленной или предполагаемой трансграничной передаче персональных и обезличенных данных;

• отказ от прохождения тестирования в психологической платформе;

• защиту своих прав и законных интересов, если они будут нарушены при организации и проведении тестирования для достижения установленных целей исследования.

Лица, виновные в нарушении норм и положений, установленных действующим законодательством, оператором психологической платформы и образовательными учреждениями, регулирующих получение, обработку и защиту персональных и обезличенных данных физических лиц, несут дисциплинарную, административную, гражданскую, уголовную или иную ответственность в соответствии с действующим законодательством Российской Федерации.

Заключение. Таким образом, в статье сформирован концептуальный подход к проблеме защиты персональных и обезличенных данных при проведении массовых психологических исследований с использованием психологической платформы, разработаны основные положения, определяющие политику оператора психологической платформы в отношении обработки персональных и обезличенных данных с учетом требований Федерального закона, определены совместные меры по обеспечению безопасности обрабатываемых данных для участвующих в организации и проведении психологических исследований сторон.

Библиографический список

1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». - Режим доступа: http://pravo.gov.ra/pпжy/ips/?docbody&nd=102108261, свободный. - Заглавие с экрана. - Яз. рус. (дата обращения: 01.09.2019).

2. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». - Режим доступа: https://mmjustru/sites/defaulШles/post_pravitelstva_ot_01Л1.2012_по_1119_0Лосх, свободный. -Заглавие с экрана. - Яз. рус. (дата обращения: 01.09.2019).

3. Постановление Правительства РФ от 21.03.2012 № 211 (ред. от 15.04.2019) «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным

законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». - Режим доступа: https://minjust.ru/sites/default/files/post.pravitelstva_ot_21.03.2012_no_211_0.docx, свободный. - Заглавие с экрана. - Яз. рус. (дата обращения: 01.09.2019).

4. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных». - Режим доступа: https://minjust.ru/sites/default/files/prikaz_roskomnadzora _ot_05.09.2013_no_996_0.docx, свободный. - Заглавие с экрана. - Яз. рус. (дата обращения: 01.09.2019).

5. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». - Режим доступа: https://fstec.ru/normotvorcheskaya/ akty/53-prikazy/691, свободный. - Заглавие с экрана. - Яз. рус. (дата обращения: 01.09.2019).

6. Методические рекомендации по применению приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных», утверждены 13.12.2013 руководителем службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. - Режим доступа: http://docs.cntd.ru/document/420281168, свободный. - Заглавие с экрана. - Яз. рус. (дата обращения: 01.09.2019).

7. Федеральный закон «О персональных данных»: научно-практический комментарий / под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А. А. Приезжевой. - Москва : Редакция «Российской газеты», 2015. -Вып. 11. - 176 с.

8. Антошечкин А. В. Анализ возможностей применения биометрических технологий для реализации процедур обезличивания персональных данных / А. В. Антошечкин // Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техника и информатика. -2018. - № 1. - С. 27-36.

9. Мищенко Е. Ю. Количественный анализ процедуры обезличивания персональных данных. Метод введения идентификаторов / Е. Ю. Мищенко, А. Н. Соколов // Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. - 2015. -№ 15. - С. 18-25.

10. Нестик Т. А. Развитие цифровых технологий и будущее психологии / Т. А. Нестик // Вестник Московского государственного областного университета. Серия: Психологические науки. - 2017. - № 3. -C. 6-15.

11. Юревич А. В. Цифровая революция и будущее психологии: к прогнозу развития психологической науки и практики/ А. В. Юревич, А. Л. Журавлёв, Т. А. Нестик // Фундаментальные и прикладные исследования современной психологии: результаты и перспективы развития. - Москва : Институт психологии РАН, 2017. - С. 2091-2100.

12. Mathot S. OpenSesame: An open-source, graphical experiment builder for the social sciences / S. Mathot, D. Schreij, J. Theeuwes // Behavior research methods. - 2012. - Vol. 44, № 2. - P. 314-324.

13. Mueller S. T. The psychology experiment building language (PEBL) and PEBL test battery / S. T. Mueller, B. J. Piper // Journal of neuroscience methods. - 2014. - Vol. 222. - P. 250-259.

14. Nikulchev E. Development of a Common Format of Questionnaire Tests for a Web-based Platform of Population and Experimental Psychological Research / E. Nikulchev, D. Ilin, P. Kolyasnikov, V. Ismatullina, I. Zakharov // ITM Web of Conferences. - 2018. - Vol. 18. - P. 04004.

15. Nikulchev E. Programming technologies for the development of web-based platform for digital psychological tools / E. Nikulchev, D. Ilin, P. Kolyasnikov, V. Belov, I. Zakharov, S. Malykh // International Journal of Advanced Computer Science and Applications. - 2018. - Vol. 9, № 8. - P. 34-45.

16. Peirce J. Building Experiments in PsychoPy / J. Peirce, M. MacAskill. - SAGE, 2018.

References

1. Federalnyy zakon ot 27.07.2006№ 152-FZ "Opersonalnykh dannykh" [Federal Law of 27.07.2006 No. 152-FZ "On Personal Data"]. Available at: http://pravo.gov.ru/proxy/ips/?docbody&nd=102108261 (accessed 01.09.2019).

2. Postanovlenie Pravitelstva RF ot 01.11.2012 № 1119 "Ob utverzhdenii trebovaniy k zashchite personalnykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personalnykh dannykh " [Decree of the Government of the Russian Federation 01.11.2012 No. 1119 "On approval of the requirements for the protection of personal data during their processing in personal data information systems". Available at: https://minjust.ru/sites/default/files/post_pravitelstva_ot_01.11.2012_no_1119_0.docx (accessed 01.09.2019).

3. Postanovlenie Pravitelstva RF ot 21.03.2012 № 211 (red. ot 15.04.2019) "Ob utverzhdenii perechnya mer, napravlennykh na obespechenie vypolneniya obyazannostej, predusmotrennyh Federal'nym zakonom "O personal'nyh dannyh" i prinyatymi v sootvetstvii s nim normativnymi pravovymi aktami, operatorami, yavlyay-ushchimisya gosudarstvennymi ili municipalnymi organami" [Decree of the Government of the Russian Federation of 21.03.2012 No. 211 (eds 15.04.201) "On approval of the list of measures aimed at ensuring the fulfillment of obligations stipulated by the Federal Law "On Personal Data" and regulatory legal acts adopted in accordance with it, operators that are state or municipal authorities" Available at: https:/ /minjust.ru/sites/default/files/post.pravitelstva_ot_21.03.2012_no_211_0.docx (accessed 01.09.2019).

4. Prikaz Federalnoy sluzhby po nadzoru v sfere svyazi, informatsionnykh tekhnologiy i massovykh kom-munikatsij ot 05.09.2013 № 996 "Ob utverzhdenii trebovanij i metodov po obezlichivaniyu personal'nyh dann-yh" [Order of the Federal Service for Supervision of Communications, Information Technology and Mass Communications 05.09.2013 No. 996 "On the Approval of Requirements and Methods for Personalizing Personal Data"]. Available at: https://minjust.ru/sites/default/files/prikaz_roskomnadzora_ot_05.09.2013_no_996_0.docx (accessed 01.09.2019).

5. Prikaz FSTEKRossii ot 18.02.2013 № 21 "Ob utverzhdenii sostava i soderzhaniya organizatsionnykh i tekhnicheskikh mer po obespecheniyu bezopasnosti personalnykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personalnykh dannykh" [Order of the FSTEC of Russia 18.02.2013 No. 21 "On the approval of the composition and content of organizational and technical measures to ensure the security of personal data during their processing in personal data information systems"]. Available at: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691 (accessed 01.09.2019).

6. Metodicheskie rekomendatsii po primeneniyu prikaza Roskomnadzora ot 05.09.2013 № 996 "Ob utverzhdenii trebovaniy i metodov po obezlichivaniyu personalnykh dannykh " [Methodological recommendations on the application of the order of Ruscomnadzor 05.09.2013 No. 996 "On approval of requirements and methods for the depersonalization of personal data"]. Available at: http://docs.cntd.ru/document/420281168 (accessed 01.09.2019).

7. Federalnyy zakon "O personalnykh dannykh ": nauchno-prakticheskiy kommentariy [Federal Law "On Personal Data": Scientific and Practical Commentary], ed. by A. A. Priezzheva. Moscow, 2015, iss. 11.

8. Antoshechkin A. V. Analiz vozmozhnostey primeneniya biometricheskikh tekhnologiy dlya realizatsii protsedur obezlichivaniya personalnykh dannykh [Analysis of the possibilities of using biometric technologies to implement the depersonalization of personal data]. Vestnik Astrahanskogo gosudarstvennogo tekhnicheskogo universiteta. Seriya: upravlenie, vychislitelnaya tekhnika i informatika [Bulletin of the Astrakhan State Technical University. Series: Management, computing and informatics], 2018, no. 1, pp. 27-36.

9. Mishchenko, E. Yu., Sokolov A. N. Kolichestvennyy analiz protsedury obezlichivaniya personalnykh dannykh. Metod vvedeniya identifikatorov [Quantitative analysis of the depersonalization of personal data. The method of introducing identifiers]. Vestnik Yuzhno-Uralskogo gosudarstvennogo universiteta. Seriya: kompyuternye tekhnologii, upravlenie, radioelektronika [Bulletin of the South Ural State University. Series: Computer technology, control, electronics], 2015, no. 15, pp. 18-25.

10. Nestik T. A. Razvitie tsifrovykh tekhnologiy i budushchee psikhologii [The development of digital technologies and the future of psychology]. Vestnik Moskovskogo gosudarstvennogo oblastnogo universiteta. Seriya: Psihologicheskie nauki [Bulletin of Moscow State Regional University. Series: Psychological Sciences], 2017, no. 3, pp. 6-15.

11. Yurevich A. V., Zhuravlyov A. L., Nestik T. A. Tsifrovaya revolyutsiya i budushchee psikhologii: k prognozu razvitiya psikhologicheskyj nauki i praktiki [The Digital Revolution and the Future of Psychology: Toward a Forecast of the Development of Psychological Science and Practice]. Fundamentalnye i prikladnye issledovaniya sovremennoy psikhologii: rezultaty i perspektivy razvitiya [Fundamental and applied research of modern psychology: results and development prospects]. Moscow, Institute of Psychology RAS Publ., 2017, pp. 2091-2100

12. Mathot S., Schreij D., Theeuwes J. OpenSesame: An open-source, graphical experiment builder for the social sciences. Behavior research methods, 2012, vol. 44, no. 2, pp. 314-324.

13. Mueller S. T., Piper B. J. The psychology experiment building language (PEBL) and PEBL test battery. Journal of neuroscience methods, 2014, vol. 222, pp. 250-259.

14. Nikulchev E., Ilin D., Kolyasnikov P., Ismatullina V., Zakharov I. Development of a common format of questionnaire tests for a web-based platform of population and experimental psychological research. ITM Web of Conferences, 2018, vol. 18, p. 04004.

15. Nikulchev E., Ilin D., Kolyasnikov P., Belov V., Zakharov I., Malykh S. Programming technologies for the development of web-based platform for digital psychological tools. International Journal of Advanced Computer Science and Applications, 2018, vol. 9, no. 8, pp. 34-45.

16. Peirce J., MacAskill M. Building Experiments in PsychoPy. SAGE, 2018.

i Надоели баннеры? Вы всегда можете отключить рекламу.