CC BY
88Методы и средства защиты информации
УДК 004.056
ПРОБЛЕМЫ ПРОВЕРКИ СОБЛЮДЕНИЯ ТРЕБОВАНИЙ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЯХ
Т. В. Катасанова, М. Н. Жукова
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: im_ko_te@mail.ru
Рассматривается проблема проверки соблюдения требований защиты персональных данных, а также предлагается способ ее решения.
Ключевые слова: информационная безопасность, персональные данные, образовательные учреждения.
PROBLEMS OF INSPECTION OF COMPLIANCE WITH PERSONAL DATA PROTECTION REQUIREMENTS IN EDUCATIONAL INSTITUTIONS
T. V. Katasanova, M. N. Zhukova
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: im_ko_te@mail.ru
The article examines the problem of checking compliance with the requirements to protect personal data, it proposes a way to solve the problem.
Keywords: information security, personal data, educational institutions.
Согласно данным сайта министерства образования Красноярского края, в 2015-2016 учебном году в государственных учреждениях общего образования обучаются 306 371 ребенок. В системе функционирует 47 профессиональных образовательных организаций, в которых обучаются более 43 200 человек из числа молодежи. Кроме того, на территории Красноярского края функционирует 10 федеральных государственных и 1 негосударственный вуз, в которых обучаются 98 997 студентов [1].
Число организаций велико. Количество же обучающихся превышает эту цифру на несколько порядков. Если рассматривать ситуацию в масштабах не края, а страны, то становится ясно, как много субъектов персональных данных ежедневно нуждается в защите своих законных прав. Существует, разумеется, и обратная сторона вопроса: закон «О персональных данных» определяет виды ответственности за нарушение оператором обработки персональных данных (коим и будет являться образовательное учреждение) требований федерального закона. Возможны гражданская, уголовная, административная, дисциплинарная и иные виды ответственности, предусмотренные законодательством Российской Федерации, вплоть до приостановления деятельности контролирующими органами [2-4].
Повсеместное внедрение информационных технологий в образовательную сферу увеличивает и риски, связанные с обработкой персональных данных, в том числе. В практике Роскомнадзора имеются случаи выявления фактов распространения образовательными организациями персональных данных несовер-
шеннолетних в Интернете. Размещение данной информации в Интернете квалифицируется именно как распространение информации неограниченному кругу лиц в публичном информационном источнике. Такое распространение может повлечь бесконтрольную обработку персональных данных третьими лицами, в частности, появляется возможность их копирования, трансформации, дополнения лживыми комментариями, домыслами и проч. Таким образом, оператор, разместив в Интернете персональные данные граждан, которые он собрал в определенных целях, уже не может проконтролировать и обеспечить обещанные субъекту данных условия обработки [4].
Нормативно-правовая база, связанная с персональными данными, претерпевает изменения так же стремительно, как меняются сами внедряемые технологии. На сегодняшний день образовательные учреждения активно внедряют информационные системы, предназначенные для обработки персональных данных - ИСПДн. ИСПДн - это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств [5]. Специфика учебного учреждения такова, что ИСПДн могут быть предназначены для работы с персональными данными как сотрудников организации, так и обучающихся.
Защита персональных данных включает в себя реализацию нескольких аспектов: создание локальных актов для работы с персональными данными; внедрение организационных мер защиты персональных данных; реализацию технических мер защиты персональных данных. На сегодняшний день не соз-
Решетневские чтения. 2017
дано ни одного инструмента автоматизации, который мог бы описать процесс защиты персональных данных в образовательном учреждении с учетом действующих в нем реалий. Кроме того, отсутствуют нормативные акты, утверждающие форму большинства типовых ведомственных документов по защите персональных данных в образовательных организациях.
Каждая образовательная организация решает проблемы, связанные с необходимостью соответствия ИСПДн действующему законодательству, по-своему. Кто-то привлекает сторонних специалистов для всего цикла работ, связанных с обеспечением информационной безопасности, кто-то отправляет штатных сотрудников на платное обучение. Существуют ресурсы, способные проверить уровень соответствия программного обеспечения и технических средств защиты необходимому уровню защищенности ИСПДн. Однако гибкость таких инструментов оставляет желать лучшего: специалисту, не имеющему достаточной квалификации, будет достаточно сложно разобраться с ними самостоятельно. Тем не менее, верное определение уровня защищенности персональных данных важно для принятия адекватных мер защиты: если будет выбран уровень защищенности выше необходимого, это повлечет расходование больших средств, если меньше необходимого - создаст угрозу распространения персональных данных.
Реализация мер защиты персональных данных трудоемкий и сложный процесс, он закономерно требует иметь в штате учреждения специалиста с необходимой квалификацией, либо привлечения сторонних специалистов, что неизбежно влечет связанные с этим дополнительные траты.
Таким образом, для того, чтобы была возможность обойтись штатными сотрудниками организации, существует необходимость в создании гибкого программного продукта для подбора структуры ИСПДн и подведения необходимой нормативно-правовой базы с учетом действующих требований законодательства.
Библиографические ссылки
1. Главная страница сайта министерства образования Красноярского края [Электронный ресурс]. URL: http://www.krao.ru/rb-topic_t_1.htm (дата обращения: 12.09.2017).
2. О персональных данных [Электронный ресурс] : федер. закон РФ от 27 июля 2006 г № 152-ФЗ. URL: http://www.consultant.ru/document/cons_doc_ LAW_61801/ (дата обращения: 12.09.2017).
3. Об информации, информационных технологиях и о защите информации [Электронный ресурс] : федер. закон РФ от 27 июля 2006 г № 149-ФЗ. URL: http://www.consultant.ru/document/cons_doc_LAW_ 61798/ (дата обращения: 12.09.2017).
4. Об утверждении административного регламента федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации [Электронный ресурс] : Приказ ФСТЭК от 12 июля 2012 г. № 83. URL: http://fstec.ru/normotvorcheskaya/ administrativnye-reglamenty/476-prikaz-fstek-rossii-ot-12-iyulya-2012-g-n-83 (дата обращения: 12.09.2017).
5. О персональных данных : федер. закон научно-практический комментарий / под ред. заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А. А. Приезжевой. М. : Редакция «Российской газеты», 2015. Вып. 11. 176 с.
References
1. Glavnaya stranica sayta ministerstva obrazovaniya Krasnoyarskogo kraya [The main page of the website of the Ministry of Education of the Krasnoyarsk Territory] Available at: http://www.krao.ru/rb-topic_t_1.htm (accessed: 12.09.2017). (In Russ.)
2. About personal data : RF Federal Law of July 27, 2006 № 152. Available at: http://www.consultant.ru/ document/cons_doc_LAW_61801/ (accessed: 12.09.2017). (In Russ.)
3. Information, information technologies and information protection : RF Federal Law of July 27, 2006. № 149. Available at: http://www.consultant.ru/document/ cons_doc_LAW_61798/ (accessed: 12.09.2017). (In Russ.)
4. FSTEC Order "On approval of the administrative regulations of the Federal Service for Technical and Export Control for the provision of a state service for licensing activities for the technical protection of confidential information" of July, 2012 № 83. Available at: http://fstec.ru/normotvorcheskaya/administrativnye-reglamenty/476-prikaz-fstek-rossii-ot-12-iyulya-2012-g-n-83 (accessed 12.09.2017). (In Russ.)
5. Priezzhaeva A. A. Federal'nyy zakon "O personal'nyh dannyh" : nauchno-prakticheskiy kommen-tariy [Federal Law "About personal data": a scientific and practical commentary]. The editors of the RG, 2015. 176 p.
© Катасанова Т. В., Жукова М. Н., 2017
