Проблемы реализации требований по защите персональных данных в школе

784

Вопросам защиты персональных данных в образовательных организациях (далее — ОО) эксперты уделяют постоянное внимание. Это обусловлено многочисленными требованиями нормативных правовых актов. Публикации посвящены юридической трактовке вопроса (разъяснению наиболее сложных положений нормативной базы по защите персональных данных), требованиям к сбору и хранению персональных данных на информационных веб-ресурсах. Практическому созданию систем защиты персональных данных в школах не уделено достаточного внимания.

Опросы руководителей ОО и их заместителей, которые обучаются на курсах профессиональной переподготовки и повышения квалификации в ГБОУ ВО МО «Академия социального управления», свидетельствуют, что приступая к практической реализации требований нормативных правовых актов по порядку размещения персональных данных в интернете, многие из них не вполне представляют объем и конечный результат работы.

Автору статьи, имеющему многолетний практический опыт разработки, создания и сдачи заказчикум информационных систем «под ключ», учитывающих требования положений о  защите персональных данных в школе, не раз приходилось отвечать на следующие проблемные вопросы административного состава ОО:

  • Какой должна быть целостная система защиты персональных данных?
  • Отвечает ли ранее проделанная в ОО работа по защите персональных данных вновь принятым нормативным документам?
  • Каков критерий достаточности правовых, организационных и технических мер, реализованных в ОО по защите персональных данных для направления уведомления уполномоченному органу по защите прав субъектов персональных данных?

Рассмотрим наиболее сложные вопросы подробнее.

Защита персональных данных в школе при размещении информации в интернете

Один из проблемных вопросов связан с размещением персональных данных о педагогических работниках на сайте ОО. Ст. 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» (далее — Федеральный закон № 273-ФЗ) устанавливает, что школы должны формировать открытие информационные веб-ресурсы, на которых должна быть представлены достоверные данные об образовательной деятельности, административном и преподавательском составе. Доступ к таким ресурсам должен обеспечиваться для всех желающих через интернет. 

Порядок размещения на официальном веб-ресурсе ОО и обновления информации об ОО, в т. ч. ее содержание и форма предоставления, устанавливается Правительством РФ.

Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ) информация, размещаемая на интернет-ресурсе школы о руководителе школы, его заместителях, педагогов с указанием уровня образования, квалификации и опыта работы, является персональными данными. В ст. 8 Федерального закона № 152-ФЗ указано, что с письменного согласия субъекта фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные могут включаться в общедоступные источники. К таким источникам относятся и сайты ОО. В противном случае данное постановление, являясь подзаконным нормативным актом, противоречило бы ст. 7 Федерального закона № 152-ФЗ: «Операторы и иные лица, получившие доступ к информации личного характера, обязаны обеспечить защиту персональных данных в школе и не распространять информацию без согласия субъекта, если иное не предусмотрено федеральным законом».

Администрация ОО, с одной стороны, должна обеспечивать защиту персональных данных в школе, а с другой, — получив письменное согласие субъекта персональных данных, эти данные размещать в общедоступных источниках и в Интернете. Вариант с получением согласия субъекта персональных данных окажется предпочтительней, чем защита.

От сомнений в необходимости защиты персональных данных педагогических работников при размещении в сети Интернет администрацию ОО избавляют требования п. 9 Правил размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети «Интернет» и обновления информации об образовательной организации, утв. постановлением Правительства РФ от 10.07.2013 № 582 (далее — Правила размещения и обновления информации на официальном сайте ОО): «При размещении информации на официальном сайте школы обеспечивается защита персональных данных в образовательной организации.

Функционирование и место расположения сайта ОО

Еще одна проблема, связанная с функционированием интернет-ресурса школы, связана с технологическими и программными средствами, которые должны обеспечивать:

  • свободный доступ к представленной информации для всех пользователей интернета без необходимости заключения лицензионного соглашения;
  • защиту информации от уничтожения, изменения и других неправомерных действий;
  • возможность копирования данных на резервный носитель для обеспечения их сохранности;
  • защиту авторских материалов от копирования. 

Перечисленные положения (п. 10 Правил размещения и обновления информации на официальном сайте ОО) порождают трудноразрешимую проблему: персональные данные об руководящем составе школы и педагогическом коллективе должны быть размещены на официальном веб-ресурсе в сети, которая в плане обеспечения адекватной защиты прав субъектов персональных данных не является защищенной сетью, гарантирующей конфиденциальность передаваемой информации.

Место для размещения веб-ресурсов в интернете принято называть хостингом. П. 18 ч. 1 ст. 3 Федерального закона от 28.07.2012 № 139-ФЗ «О внесении изменений в Федеральный закон „О защите детей от информации, причиняющей вред их здоровью и развитию“ и отдельные законодательные акты Российской Федерации» определяет, что провайдер хостинга — это лицо, которое обеспечивает услуги по предоставлению технической мощности, необходимой для размещения информации в свободном доступе в сети интернет. Обычно услуги провайдера хостинга входят в пакет по обслуживанию веб-ресурса. Пакет включает, как минимум, услугу размещения файлов заказчика на сервере, на котором запущено программное обеспечение для обработки запросов к этим файлам (веб-сервер). ОО может заказать у провайдера хостинга (как правило — за дополнительную плату) места для электронной почты, баз данных, файлового хранилища на специально выделенном файл-сервере, получить статический IP-адреси т. п., а также заказать поддержку функционирования соответствующих сервисов.

Можно сделать вывод, что место, где размещен веб-ресурс ОО, — это «чужой монастырь», в который ОО «со своим уставом» никто не допустит. И здесь перед администрацией ОО возникает еще одна проблема, не решив которую, невозможно обеспечить защиту персональных данных в школе. Федеральный закон от 31.12.2014 № 531-ФЗ «О внесении изменений в статьи 13 и 14 Федерального закона „Об информации, информационных технологиях и о защите информации“ (далее — Федеральный закон № 531-ФЗ) и Кодекс Российской Федерации об административных правонарушениях» (далее —КоАП РФ) установил, что технические средства, поддерживающие деятельность веб-ресурсов образовательных организаций, должны размещаться на территории РФ. Эти поправки вступили в силу с 1 июля 2015 г.

Анализ каталога сайтов ОО поможет убедиться в небольшом разнообразии хостингов. Используются бесплатные интернет-ресурсы (например, на хостингах с доменными именами narod.ru, wordpress.com, ucoz.ru, emsy.org) и многочисленные конструкторы сайтов (edusite.ru).

Многие ОО имеют приобретенные доменные имена. Широко используются для размещения веб-ресурсов хостинги органов местного самоуправления. Это более предпочтительно, т. к. ответственность за проверку расположения хоста на территории РФ в таком случае возлагается на должностных лиц городских и сельских поселений. В любом случае, руководитель ОО должен проверить адрес своего интернет-портала на соответствие требованиям Федерального закона № 531-ФЗ.

Следует отметить, что не существует единого надежного способа для определения места размещения хоста веб-ресурса. Причин тому несколько. Сайты ОО могут размещаться как в виртуальной среде, так и на оборудовании конкретного провайдера хостинга и даже на серверах и компьютерах обычных пользователей сети Интернет. Кроме того, сервисы, построенные на протоколе whois, которые служат для получения регистрационных данных о владельцах доменных имен, IP-адресов и автономных систем, не предусматривают различий между централизованной и распределенной моделью работы. Поэтому регистраторы могут включать в записи произвольную информацию о своих клиентах. Не всегда человек или организация, передав права использования домена другой компании или другому лицу, сообщает об этом регистратору.

Наиболее доступный вариант проверки места расположения веб-ресурса ОО представлен в пошаговой инструкции № 1:

ШАГ 1. Скопируйте адрес сайта в адресной строке браузера. В качестве примера приводим условный адрес веб-ресурса https://xxxxxxxxx.wordpress.com/ с набором произвольных символов (xxxxxxxxx), заменяющим фрагмент реального адреса сайта ОО.

ШАГ 2. Установите IP-адрес сайта ОО. Для этого необходимо перейти на портал «Мой IP-адрес» (ip-1.ru) и на вкладке «ping» под словом «ссылка» (или под словами «что пингуем?») ввести имя домена сайта без https://. Нажмите «выполнить ping».

ШАГ 3. Скопируйте IP-адрес веб-ресурса, который показан в скобках в память компьютера (в качестве примера приводим условный вариант IP-адреса сайта 111.1.11.11).

ШАГ 4. Откройте на этой же странице вкладку «geocode». Внизу страницы под строкой «покажите мне, где находится» вставьте IP-адрес и нажмите «отобразить на карте». Отобразится карта с пояснением.

ШАГ 5. Веб-ресурсы на хостинге конструктора сайтов wordpress.com будут располагаться на территории США. 

Проверка места расположения сайта школы и ns-серверов

Проверки места расположения веб-ресурса ОО только по IP-адресу или имени домена может оказаться недостаточно. Чтобы результаты проверки были достоверными, необходимо установить также место расположения DNS-серверов сайта.

С 2010 г. в систему DNS внедряются средства проверки целостности передаваемых данных. DNS-серверы ведут списки запрещенных адресов и имен сайтов, выполняют некоторые операции с электронной почтой, осуществляют резервное копирование своих баз данных, перераспределяют нагрузку в сети Интернет и др. Без устойчивой работы серверов и служб DNS нормальная работа пользователей в сети Интернет невозможна. Поэтому некоторые провайдеры размещают DNS-серверы на зарубежных хостингах, где имеются высокоскоростные каналы связи и недорогое в аренде высокопроизводительное оборудование, о чем владельцев сайтов и электронной почты, как правило, не информируют. Вследствие этого соответствующие ресурсы российских пользователей могут стать уязвимыми в плане защиты информации и в определенный момент недоступными.

Для проверки места расположения сайта и ns-серверов можно воспользоваться whois-сервисом сайта 2ip.ru (хостинг расположен на территории России), выполнив пошаговую инструкцию № 2:

ШАГ 1. Скопируйте адрес сайта в адресной строке браузера (в качестве примера приводим условный адрес сайта www.xxxxxxxxx.ucoz.ru).

ШАГ 2. Откройте сайт 2ip.ru.

ШАГ 3. Выберите вкладку «тесты». Ниже в колонке «информация о сайте» в поле «домен» укажите доменное имя хоста ОО (xxxxxxxxx.ucoz.ru). Если активировалось поле «код подтверждения», введите цифровой код с картинки. Нажмите «анализ». После анализа IP-адреса веб-ресурса ОО, можно узнать, что IP-адрес зарегистрирован в РФ, но владелец домена ucoz.ru не установлен.

ШАГ 4. Для получения дополнительных данных о домене ucoz.ru необходимо вернуться на вкладку «тесты». Повторно выбрать сервис «информация о сайте» и в поле «домен» указать название домена ucoz.ru. Если активировалось поле «код подтверждения», введите цифровой код с картинки. Нажмите «анализ». В результатах вы увидите, что домен ucoz.ru — система для создания веб-ресурсов нового поколения с предоставлением бесплатного хостинга.

ШАГ 5. Уточните данные по серверам DNS-сайта www.xxxxxxxxx.ucoz.ru. Для этого на вкладке «тесты» выберите сервис «DNS-параметры домена» и в строке «DNS-данные домена» и в поле «домен» введите ucoz.ru, цифровой код с картинки и кликните мышкой «узнать».

ШАГ 6. В справочной информации в абзаце Additional section (дополнительный раздел) содержатся имена DNS-серверов домена: основного ns1.ucoz.ru и резервного ns2.ucoz.ru, указаны их IP-адреса.

ШАГ 7. Откройте сайт ip-1.ru и под строкой «покажите мне, где находится» вставьте поочередно IP-адреса ns-серверов веб-ресурса. Кликните мышкой «отобразить на карте». DNS-серверы бесплатного хостинга расположены в Великобритании и США. Если вы введете в поле поиска имя домена ucoz.ru, то он окажется зарегистрированным на Британских Виргинских островах (по данным whois-сервиса). Данные по именам DNS-серверов сайта можно также получить на whois-сервисах (1whois.ru и whois.com).

Если администрация ОО не выполняет требования Федерального закона № 531-ФЗ о размещении своих сайтов на технических средствах, расположенных на территории РФ, то за подобное нарушение предусматривается административный штраф для должностных лиц в размере от 3 до 5 тыс. руб.; для юридических лиц — от 30 до 50 тыс. руб.

Как обеспечить защиту персональных денных в школе в период ведения электронных журналов 

Следующую проблему для защиты персональных данных в школе представляет необходимость ведения журналов успеваемости в электронном виде. Проверив по приведенным выше пошаговым инструкциям популярный сервис электронных журналов успеваемости (далее — ЭЖ; emsy.org), можно убедиться, что хостинг сервиса расположен на Украине, в г. Киеве, а DNS-серверы — в Нидерландах. Но это только часть проблемы.

В Методических рекомендациях по внедрению систем ведения журналов успеваемости в электронном виде, направленных письмом Минобрнауки России от 15.02.2012 № АП-147/07 (далее — Методические рекомендации по внедрению ЭЖ), говорится, что школы имеют право вести журналы успеваемости учащихся в любом виде, в том числе электронном. При этом функционирование документов отчетности такого типа должно осуществляться в соответствии с действующим законодательством РФ, в т. ч. с Федеральным законом № 152-ФЗ.

В Методических рекомендациях по внедрению ЭЖ предложен режим функционирования ЭЖ (не менее 20 ч в сутки, 7 дней в неделю с 06.00 до 02.00 ч следующего дня по местному времени), а также условия защиты информации от несанкционированного доступа:

  1. Функционирование средств авторизации и аутентификации пользователей для разграничения прав доступа пользователей ЭЖ.
  2. Обеспечение защиты персональных данных в соответствии с требованиями законодательства РФ.
  3. Ограничение доступа к информации об обучающихся (она доступна исключительно сотрудникам ОО — участникам образовательного процесса).
  4. Функционирование средств протоколирования действий пользователей по внесению и изменению информации в ЭЖ с регистрацией времени и авторства.

Методические рекомендации по внедрению ЭЖ предлагают администрации ОО обратить внимание на проблему сохранности информации. Для решения указанной проблемы необходимо организовать архивное хранение данных (в т. ч. на внешних электронных и бумажных носителях), резервное копирование информации ответственным сотрудником ОО, в т. ч. на внешние электронные носители, и обеспечить достоверность хранимой информации по правилами ведения электронного документооборота.

В случае использования ЭЖ в виде внешнего интернет-сервиса, регламенты получения и восстановления информации, а также ответственность за соблюдение этих регламентов должны быть отражены в договоре с ОО. Такие внешние интернет-сервисы для создания ЭЖ в последнее время получают все большее распространение. Подобный вид услуг часто называют аутсорсингом.

Информационные системы мониторинга образовательных достижений школьников

Поскольку защита персональных данных в школе является сдерживающим фактором распространения информации об участниках образовательного процесса в сети, создание единой информационной системы для органов управления сферы образования и муниципалитетов ОО становится оптимальным решением. Примером такой информационной системы можно считать «Школьный портал» (school.mosreg.ru) — единый портал учета и мониторинга образовательных достижений школьников Московской области. Это проект в сфере информатизации образования, реализованный в рамках государственно-частного партнерства в России. Разработчиками системы выступили «Дневник.ру» и ПАО «Ростелеком». С 1 сентября 2015 г. «Школьный дневник» охватывает 85% ОО, а к 1 сентября 2016 г. планируется подключить к информационной системе «Школьный портал» 100% ОО Московской области.

Приоритетная цель создания системы — повышение качества образовательных услуг для граждан Московской области за счет автоматизации образовательного процесса. «Школьный портал» представляет собой единую образовательную среду для работников органов управления образованием, педагогов, обучающихся и их родителей.

Включает подсистемы:

  • «Учет образовательных достижений обучающихся»;
  • «Формирование сводных отчетов об образовательных достижениях и сети общеобразовательных организаций Московской области»;
  • «Мониторинг образовательных достижений и движения обучающихся в рамках муниципального образования»;
  • «Использование электронных образовательных ресурсов»;
  • «Формирование запросов к системе учета образовательных достижений обучающихся»;
  • «Вывод информации на порталы государственных (муниципальных) услуг»;
  •  «Взаимодействие внешних приложений и сервисов»;
  •  «Публичный портал».

Информационные системы учета и мониторинга образовательных достижений обучающихся, аналогичные «Школьному порталу», созданы в Приморском крае — портал «Электронная школа Приморья. Образование 2.0» (dnevniki.shkolapk.ru), а также в Республике Татарстан — портал «Электронное образование в Республике Татарстан» (edu.tatar.ru), в Белгородской области — портал «Виртуальная школа» (vsopen.ru) и др.

Образовательные порталы России в 2015—2016 гг. постепенно переходят на единую систему идентификации и аутентификации с регистрацией на портале государственных услуг РФ (gosuslugi.ru), что предусмотрено следующими нормативными документами:

  • постановлением Правительства РФ от 10.07.2013 № 584 «Об использовании федеральной государственной информационной системы “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме”…»;
  • распоряжением Правительства РФ от 09.06.2014 № 991-р «Об утверждении плана мероприятий („дорожной карты“) по реализации Концепции развития механизмов предоставления государственных и муниципальных услуг в электронном виде, утв. распоряжением Правительства РФ от 25.12.2013 № 2516-р».

Использование незащищенного оборудования

В большинстве ОО доступ к сайтам в сети Интернет и к защищенным информационным ресурсам (там, где они имеются) осуществляется с одних и тех же компьютеров (или с использованием мобильных устройств — планшетных компьютеров). Такой подход, когда для доступа на сайты ОО в сети Интернет и к защищенным образовательным ресурсам используется одно и то же незащищенное оборудование, создает предпосылки для возникновения еще одной проблемы — опосредованного получения неуполномоченными лицами конфиденциальной информации о персональных данных, в т. ч. и в защищенных информационных системах. Интересы неуполномоченных лиц и организаций, прежде всего, будут распространяться не на оценки обучающихся, а на данные о родителях (законных представителях) обучающихся, которые владеют информацией, отнесенной в установленном порядке к сведениям, составляющим государственную и иную охраняемую законом тайну.

Под угрозой несанкционированного доступа могут оказаться компьютеры, мобильные устройства родителей, на которые поступают SMS-сообщения, предусмотренные регламентом работы информационных систем ОО. К сожалению, защищенные информационные системы, такие как «Школьный портал», порталы «Образование 2.0», «Электронное образование в Республике Татарстан», «Сетевой Город. Образование» Республики Коми и др., в регионах РФ еще не получили массового распространения.

Минобрнауки России в письме от 12.09.2014 № 08-1260 «О соблюдении федерального законодательства» рекомендует подведомственным структурам и должностным лицам обратить внимание на информацию, поступившую из Роскомнадзора с мая по июль 2014 г. в ходе мониторинга сети Интернет. Роскомнадзором выявлено более 400 официальных сайтов ОО и органов управления в сфере образования, незаконно распространяющих персональные данные несовершеннолетних. Также Минобрнауки России рекомендовало провести анализ официальных сайтов ОО с целью проверки уровня защиты персональных данных в школе, в частности оценки технических мер обеспечения защиты информации, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных (ст. 19 Федерального закона № 152-ФЗ).

Читайте в ближайших номерах журнала «Справочник руководителя образовательного учреждения»
    Читать сейчас



    Ваша персональная подборка

      Подписка на статьи

      Не пропустите ни одной важной или интересной статьи, подпишитесь бесплатно на рассылку.

      Рекомендации по теме

      Повышение квалификации


      Повышение квалификации для директоров школ и специалистов сферы образования

      Проверьте свои знания и получите удостоверение или диплом установленного образца

      Выбрать курс

      Самое выгодное предложение

      Самое выгодное предложение на подписку

      Воспользуйтесь самым выгодным предложением на подписку

      Подарок

      Живое общение с редакцией

      А еще...

       Вебинары
      • 26 октября 2017 г.
      • Управление качеством образования на основе результатов сравнительных исследований и мониторингов в ОО

      • Карданова Елена Юрьевна
        кандидат физико-математических наук, доцент Института Образования, ведущий научный сотрудник Центра мониторинга качества образования ВШЭ

        ТЕМЫ ВЕБИНАРА:

        • ✱ Виды измерений в образовании
        • ✱ Международные сравнительные исследования
        • ✱ Современные тенденции в оценке качества образования
        • ✱ Мониторинговое исследование iPIPS как пример инструмента нового поколения
        Подробнее





      © МЦФЭР, 2017. Menobr.ru: сайт для специалистов и управленцев сферы общего образования. Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Свидетельство о регистрации ПИ № ФС77-64055 от 25.12.2015

      По вопросам подписки обращайтесь: 8 800 775-4822 (звонки по России бесплатные)
      По вопросам клиентской поддержки тел.: +7 (495) 937-90-82

      

      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Сайт предназначен для работников сферы образования

      Чтобы продолжить чтение, пожалуйста, зарегистрируйтесь (это бесплатно).

      После регистрации вы получите:

      • доступ к 11 000+ профессиональных материалов;
      • 5 700 готовых рекомендаций методистов и педагогов-новаторов;
      • более 250 новостей по профстандартам и ФГОС;
      • 2 000 комментариев экспертов к нормативным документам.

      Подарок за регистрацию: видеолекция «Методические и организационные аспекты введения ФГОС обучающихся с ОВЗ» (лектор Фальковская Л. П.)

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      бесплатно
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×
      Сайт предназначен для работников сферы образования!

      Чтобы скачать шаблон документа, пожалуйста, зарегистрируйтесь. Регистрация на сайте бесплатна.

      А еще в подарок за регистрацию мы дарим Вам локальный нормативный акт о планировании внеурочной деятельности.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×
      Материал только для зарегистрированных пользователей

      Зарегистрируйтесь, чтобы получить документ. Это бесплатно и займет всего минуту!

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль