Проблемы реализации требований по защите персональных данных в школе

300

Вопросам защиты персональных данных в образовательных организациях (далее — ОО) эксперты уделяют постоянное внимание. Это обусловлено многочисленными требованиями нормативных правовых актов. Публикации посвящены юридической трактовке вопроса (разъяснению наиболее сложных положений нормативной базы по защите персональных данных), требованиям к сбору и хранению персональных данных на информационных веб-ресурсах. Практическому созданию систем защиты персональных данных в школах не уделено достаточного внимания.

Опросы руководителей ОО и их заместителей, которые обучаются на курсах профессиональной переподготовки и повышения квалификации в ГБОУ ВО МО «Академия социального управления», свидетельствуют, что приступая к практической реализации требований нормативных правовых актов по порядку размещения персональных данных в интернете, многие из них не вполне представляют объем и конечный результат работы.

Автору статьи, имеющему многолетний практический опыт разработки, создания и сдачи заказчикум информационных систем «под ключ», учитывающих требования положений о  защите персональных данных в школе, не раз приходилось отвечать на следующие проблемные вопросы административного состава ОО:

  • Какой должна быть целостная система защиты персональных данных?
  • Отвечает ли ранее проделанная в ОО работа по защите персональных данных вновь принятым нормативным документам?
  • Каков критерий достаточности правовых, организационных и технических мер, реализованных в ОО по защите персональных данных для направления уведомления уполномоченному органу по защите прав субъектов персональных данных?

Рассмотрим наиболее сложные вопросы подробнее.

Защита персональных данных в школе при размещении информации в интернете

Один из проблемных вопросов связан с размещением персональных данных о педагогических работниках на сайте ОО. Ст. 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» (далее — Федеральный закон № 273-ФЗ) устанавливает, что школы должны формировать открытие информационные веб-ресурсы, на которых должна быть представлены достоверные данные об образовательной деятельности, административном и преподавательском составе. Доступ к таким ресурсам должен обеспечиваться для всех желающих через интернет. 

Порядок размещения на официальном веб-ресурсе ОО и обновления информации об ОО, в т. ч. ее содержание и форма предоставления, устанавливается Правительством РФ.

Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ) информация, размещаемая на интернет-ресурсе школы о руководителе школы, его заместителях, педагогов с указанием уровня образования, квалификации и опыта работы, является персональными данными. В ст. 8 Федерального закона № 152-ФЗ указано, что с письменного согласия субъекта фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные могут включаться в общедоступные источники. К таким источникам относятся и сайты ОО. В противном случае данное постановление, являясь подзаконным нормативным актом, противоречило бы ст. 7 Федерального закона № 152-ФЗ: «Операторы и иные лица, получившие доступ к информации личного характера, обязаны обеспечить защиту персональных данных в школе и не распространять информацию без согласия субъекта, если иное не предусмотрено федеральным законом».

Администрация ОО, с одной стороны, должна обеспечивать защиту персональных данных в школе, а с другой, — получив письменное согласие субъекта персональных данных, эти данные размещать в общедоступных источниках и в Интернете. Вариант с получением согласия субъекта персональных данных окажется предпочтительней, чем защита.

От сомнений в необходимости защиты персональных данных педагогических работников при размещении в сети Интернет администрацию ОО избавляют требования п. 9 Правил размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети «Интернет» и обновления информации об образовательной организации, утв. постановлением Правительства РФ от 10.07.2013 № 582 (далее — Правила размещения и обновления информации на официальном сайте ОО): «При размещении информации на официальном сайте школы обеспечивается защита персональных данных в образовательной организации.

Функционирование и место расположения сайта ОО

Еще одна проблема, связанная с функционированием интернет-ресурса школы, связана с технологическими и программными средствами, которые должны обеспечивать:

  • свободный доступ к представленной информации для всех пользователей интернета без необходимости заключения лицензионного соглашения;
  • защиту информации от уничтожения, изменения и других неправомерных действий;
  • возможность копирования данных на резервный носитель для обеспечения их сохранности;
  • защиту авторских материалов от копирования. 

Перечисленные положения (п. 10 Правил размещения и обновления информации на официальном сайте ОО) порождают трудноразрешимую проблему: персональные данные об руководящем составе школы и педагогическом коллективе должны быть размещены на официальном веб-ресурсе в сети, которая в плане обеспечения адекватной защиты прав субъектов персональных данных не является защищенной сетью, гарантирующей конфиденциальность передаваемой информации.

Место для размещения веб-ресурсов в интернете принято называть хостингом. П. 18 ч. 1 ст. 3 Федерального закона от 28.07.2012 № 139-ФЗ «О внесении изменений в Федеральный закон „О защите детей от информации, причиняющей вред их здоровью и развитию“ и отдельные законодательные акты Российской Федерации» определяет, что провайдер хостинга — это лицо, которое обеспечивает услуги по предоставлению технической мощности, необходимой для размещения информации в свободном доступе в сети интернет. Обычно услуги провайдера хостинга входят в пакет по обслуживанию веб-ресурса. Пакет включает, как минимум, услугу размещения файлов заказчика на сервере, на котором запущено программное обеспечение для обработки запросов к этим файлам (веб-сервер). ОО может заказать у провайдера хостинга (как правило — за дополнительную плату) места для электронной почты, баз данных, файлового хранилища на специально выделенном файл-сервере, получить статический IP-адреси т. п., а также заказать поддержку функционирования соответствующих сервисов.

Можно сделать вывод, что место, где размещен веб-ресурс ОО, — это «чужой монастырь», в который ОО «со своим уставом» никто не допустит. И здесь перед администрацией ОО возникает еще одна проблема, не решив которую, невозможно обеспечить защиту персональных данных в школе. Федеральный закон от 31.12.2014 № 531-ФЗ «О внесении изменений в статьи 13 и 14 Федерального закона „Об информации, информационных технологиях и о защите информации“ (далее — Федеральный закон № 531-ФЗ) и Кодекс Российской Федерации об административных правонарушениях» (далее —КоАП РФ) установил, что технические средства, поддерживающие деятельность веб-ресурсов образовательных организаций, должны размещаться на территории РФ. Эти поправки вступили в силу с 1 июля 2015 г.

Анализ каталога сайтов ОО поможет убедиться в небольшом разнообразии хостингов. Используются бесплатные интернет-ресурсы (например, на хостингах с доменными именами narod.ru, wordpress.com, ucoz.ru, emsy.org) и многочисленные конструкторы сайтов (edusite.ru).

Многие ОО имеют приобретенные доменные имена. Широко используются для размещения веб-ресурсов хостинги органов местного самоуправления. Это более предпочтительно, т. к. ответственность за проверку расположения хоста на территории РФ в таком случае возлагается на должностных лиц городских и сельских поселений. В любом случае, руководитель ОО должен проверить адрес своего интернет-портала на соответствие требованиям Федерального закона № 531-ФЗ.

Следует отметить, что не существует единого надежного способа для определения места размещения хоста веб-ресурса. Причин тому несколько. Сайты ОО могут размещаться как в виртуальной среде, так и на оборудовании конкретного провайдера хостинга и даже на серверах и компьютерах обычных пользователей сети Интернет. Кроме того, сервисы, построенные на протоколе whois, которые служат для получения регистрационных данных о владельцах доменных имен, IP-адресов и автономных систем, не предусматривают различий между централизованной и распределенной моделью работы. Поэтому регистраторы могут включать в записи произвольную информацию о своих клиентах. Не всегда человек или организация, передав права использования домена другой компании или другому лицу, сообщает об этом регистратору.

Наиболее доступный вариант проверки места расположения веб-ресурса ОО представлен в пошаговой инструкции № 1:

ШАГ 1. Скопируйте адрес сайта в адресной строке браузера. В качестве примера приводим условный адрес веб-ресурса https://xxxxxxxxx.wordpress.com/ с набором произвольных символов (xxxxxxxxx), заменяющим фрагмент реального адреса сайта ОО.

ШАГ 2. Установите IP-адрес сайта ОО. Для этого необходимо перейти на портал «Мой IP-адрес» (ip-1.ru) и на вкладке «ping» под словом «ссылка» (или под словами «что пингуем?») ввести имя домена сайта без https://. Нажмите «выполнить ping».

ШАГ 3. Скопируйте IP-адрес веб-ресурса, который показан в скобках в память компьютера (в качестве примера приводим условный вариант IP-адреса сайта 111.1.11.11).

ШАГ 4. Откройте на этой же странице вкладку «geocode». Внизу страницы под строкой «покажите мне, где находится» вставьте IP-адрес и нажмите «отобразить на карте». Отобразится карта с пояснением.

ШАГ 5. Веб-ресурсы на хостинге конструктора сайтов wordpress.com будут располагаться на территории США. 

Проверка места расположения сайта школы и ns-серверов

Проверки места расположения веб-ресурса ОО только по IP-адресу или имени домена может оказаться недостаточно. Чтобы результаты проверки были достоверными, необходимо установить также место расположения DNS-серверов сайта.

С 2010 г. в систему DNS внедряются средства проверки целостности передаваемых данных. DNS-серверы ведут списки запрещенных адресов и имен сайтов, выполняют некоторые операции с электронной почтой, осуществляют резервное копирование своих баз данных, перераспределяют нагрузку в сети Интернет и др. Без устойчивой работы серверов и служб DNS нормальная работа пользователей в сети Интернет невозможна. Поэтому некоторые провайдеры размещают DNS-серверы на зарубежных хостингах, где имеются высокоскоростные каналы связи и недорогое в аренде высокопроизводительное оборудование, о чем владельцев сайтов и электронной почты, как правило, не информируют. Вследствие этого соответствующие ресурсы российских пользователей могут стать уязвимыми в плане защиты информации и в определенный момент недоступными.

Для проверки места расположения сайта и ns-серверов можно воспользоваться whois-сервисом сайта 2ip.ru (хостинг расположен на территории России), выполнив пошаговую инструкцию № 2:

ШАГ 1. Скопируйте адрес сайта в адресной строке браузера (в качестве примера приводим условный адрес сайта www.xxxxxxxxx.ucoz.ru).

ШАГ 2. Откройте сайт 2ip.ru.

ШАГ 3. Выберите вкладку «тесты». Ниже в колонке «информация о сайте» в поле «домен» укажите доменное имя хоста ОО (xxxxxxxxx.ucoz.ru). Если активировалось поле «код подтверждения», введите цифровой код с картинки. Нажмите «анализ». После анализа IP-адреса веб-ресурса ОО, можно узнать, что IP-адрес зарегистрирован в РФ, но владелец домена ucoz.ru не установлен.

ШАГ 4. Для получения дополнительных данных о домене ucoz.ru необходимо вернуться на вкладку «тесты». Повторно выбрать сервис «информация о сайте» и в поле «домен» указать название домена ucoz.ru. Если активировалось поле «код подтверждения», введите цифровой код с картинки. Нажмите «анализ». В результатах вы увидите, что домен ucoz.ru — система для создания веб-ресурсов нового поколения с предоставлением бесплатного хостинга.

ШАГ 5. Уточните данные по серверам DNS-сайта www.xxxxxxxxx.ucoz.ru. Для этого на вкладке «тесты» выберите сервис «DNS-параметры домена» и в строке «DNS-данные домена» и в поле «домен» введите ucoz.ru, цифровой код с картинки и кликните мышкой «узнать».

ШАГ 6. В справочной информации в абзаце Additional section (дополнительный раздел) содержатся имена DNS-серверов домена: основного ns1.ucoz.ru и резервного ns2.ucoz.ru, указаны их IP-адреса.

ШАГ 7. Откройте сайт ip-1.ru и под строкой «покажите мне, где находится» вставьте поочередно IP-адреса ns-серверов веб-ресурса. Кликните мышкой «отобразить на карте». DNS-серверы бесплатного хостинга расположены в Великобритании и США. Если вы введете в поле поиска имя домена ucoz.ru, то он окажется зарегистрированным на Британских Виргинских островах (по данным whois-сервиса). Данные по именам DNS-серверов сайта можно также получить на whois-сервисах (1whois.ru и whois.com).

Если администрация ОО не выполняет требования Федерального закона № 531-ФЗ о размещении своих сайтов на технических средствах, расположенных на территории РФ, то за подобное нарушение предусматривается административный штраф для должностных лиц в размере от 3 до 5 тыс. руб.; для юридических лиц — от 30 до 50 тыс. руб.

Как обеспечить защиту персональных денных в школе в период ведения электронных журналов 

Следующую проблему для защиты персональных данных в школе представляет необходимость ведения журналов успеваемости в электронном виде. Проверив по приведенным выше пошаговым инструкциям популярный сервис электронных журналов успеваемости (далее — ЭЖ; emsy.org), можно убедиться, что хостинг сервиса расположен на Украине, в г. Киеве, а DNS-серверы — в Нидерландах. Но это только часть проблемы.

В Методических рекомендациях по внедрению систем ведения журналов успеваемости в электронном виде, направленных письмом Минобрнауки России от 15.02.2012 № АП-147/07 (далее — Методические рекомендации по внедрению ЭЖ), говорится, что школы имеют право вести журналы успеваемости учащихся в любом виде, в том числе электронном. При этом функционирование документов отчетности такого типа должно осуществляться в соответствии с действующим законодательством РФ, в т. ч. с Федеральным законом № 152-ФЗ.

В Методических рекомендациях по внедрению ЭЖ предложен режим функционирования ЭЖ (не менее 20 ч в сутки, 7 дней в неделю с 06.00 до 02.00 ч следующего дня по местному времени), а также условия защиты информации от несанкционированного доступа:

  1. Функционирование средств авторизации и аутентификации пользователей для разграничения прав доступа пользователей ЭЖ.
  2. Обеспечение защиты персональных данных в соответствии с требованиями законодательства РФ.
  3. Ограничение доступа к информации об обучающихся (она доступна исключительно сотрудникам ОО — участникам образовательного процесса).
  4. Функционирование средств протоколирования действий пользователей по внесению и изменению информации в ЭЖ с регистрацией времени и авторства.

Методические рекомендации по внедрению ЭЖ предлагают администрации ОО обратить внимание на проблему сохранности информации. Для решения указанной проблемы необходимо организовать архивное хранение данных (в т. ч. на внешних электронных и бумажных носителях), резервное копирование информации ответственным сотрудником ОО, в т. ч. на внешние электронные носители, и обеспечить достоверность хранимой информации по правилами ведения электронного документооборота.

В случае использования ЭЖ в виде внешнего интернет-сервиса, регламенты получения и восстановления информации, а также ответственность за соблюдение этих регламентов должны быть отражены в договоре с ОО. Такие внешние интернет-сервисы для создания ЭЖ в последнее время получают все большее распространение. Подобный вид услуг часто называют аутсорсингом.

Информационные системы мониторинга образовательных достижений школьников

Поскольку защита персональных данных в школе является сдерживающим фактором распространения информации об участниках образовательного процесса в сети, создание единой информационной системы для органов управления сферы образования и муниципалитетов ОО становится оптимальным решением. Примером такой информационной системы можно считать «Школьный портал» (school.mosreg.ru) — единый портал учета и мониторинга образовательных достижений школьников Московской области. Это проект в сфере информатизации образования, реализованный в рамках государственно-частного партнерства в России. Разработчиками системы выступили «Дневник.ру» и ПАО «Ростелеком». С 1 сентября 2015 г. «Школьный дневник» охватывает 85% ОО, а к 1 сентября 2016 г. планируется подключить к информационной системе «Школьный портал» 100% ОО Московской области.

Приоритетная цель создания системы — повышение качества образовательных услуг для граждан Московской области за счет автоматизации образовательного процесса. «Школьный портал» представляет собой единую образовательную среду для работников органов управления образованием, педагогов, обучающихся и их родителей.

Включает подсистемы:

  • «Учет образовательных достижений обучающихся»;
  • «Формирование сводных отчетов об образовательных достижениях и сети общеобразовательных организаций Московской области»;
  • «Мониторинг образовательных достижений и движения обучающихся в рамках муниципального образования»;
  • «Использование электронных образовательных ресурсов»;
  • «Формирование запросов к системе учета образовательных достижений обучающихся»;
  • «Вывод информации на порталы государственных (муниципальных) услуг»;
  •  «Взаимодействие внешних приложений и сервисов»;
  •  «Публичный портал».

Информационные системы учета и мониторинга образовательных достижений обучающихся, аналогичные «Школьному порталу», созданы в Приморском крае — портал «Электронная школа Приморья. Образование 2.0» (dnevniki.shkolapk.ru), а также в Республике Татарстан — портал «Электронное образование в Республике Татарстан» (edu.tatar.ru), в Белгородской области — портал «Виртуальная школа» (vsopen.ru) и др.

Образовательные порталы России в 2015—2016 гг. постепенно переходят на единую систему идентификации и аутентификации с регистрацией на портале государственных услуг РФ (gosuslugi.ru), что предусмотрено следующими нормативными документами:

  • постановлением Правительства РФ от 10.07.2013 № 584 «Об использовании федеральной государственной информационной системы “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме”…»;
  • распоряжением Правительства РФ от 09.06.2014 № 991-р «Об утверждении плана мероприятий („дорожной карты“) по реализации Концепции развития механизмов предоставления государственных и муниципальных услуг в электронном виде, утв. распоряжением Правительства РФ от 25.12.2013 № 2516-р».

Использование незащищенного оборудования

В большинстве ОО доступ к сайтам в сети Интернет и к защищенным информационным ресурсам (там, где они имеются) осуществляется с одних и тех же компьютеров (или с использованием мобильных устройств — планшетных компьютеров). Такой подход, когда для доступа на сайты ОО в сети Интернет и к защищенным образовательным ресурсам используется одно и то же незащищенное оборудование, создает предпосылки для возникновения еще одной проблемы — опосредованного получения неуполномоченными лицами конфиденциальной информации о персональных данных, в т. ч. и в защищенных информационных системах. Интересы неуполномоченных лиц и организаций, прежде всего, будут распространяться не на оценки обучающихся, а на данные о родителях (законных представителях) обучающихся, которые владеют информацией, отнесенной в установленном порядке к сведениям, составляющим государственную и иную охраняемую законом тайну.

Под угрозой несанкционированного доступа могут оказаться компьютеры, мобильные устройства родителей, на которые поступают SMS-сообщения, предусмотренные регламентом работы информационных систем ОО. К сожалению, защищенные информационные системы, такие как «Школьный портал», порталы «Образование 2.0», «Электронное образование в Республике Татарстан», «Сетевой Город. Образование» Республики Коми и др., в регионах РФ еще не получили массового распространения.

Минобрнауки России в письме от 12.09.2014 № 08-1260 «О соблюдении федерального законодательства» рекомендует подведомственным структурам и должностным лицам обратить внимание на информацию, поступившую из Роскомнадзора с мая по июль 2014 г. в ходе мониторинга сети Интернет. Роскомнадзором выявлено более 400 официальных сайтов ОО и органов управления в сфере образования, незаконно распространяющих персональные данные несовершеннолетних. Также Минобрнауки России рекомендовало провести анализ официальных сайтов ОО с целью проверки уровня защиты персональных данных в школе, в частности оценки технических мер обеспечения защиты информации, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных (ст. 19 Федерального закона № 152-ФЗ).



Подписка на статьи

Не пропустите ни одной важной или интересной статьи, подпишитесь бесплатно на рассылку.

Мероприятия


Мероприятия

Проверьте свои знания и приобретите новые

Посмотреть

Самое выгодное предложение

Самое выгодное предложение на подписку

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Школа Менеджера образования

Рассылка



© МЦФЭР, 2017. Свидетельство о регистрации СМИ: Эл № ФС77-37745 от 12 октября 2009 года
Menobr.ru: сайт для специалистов и управленцев сферы общего образования. Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

По вопросам подписки обращайтесь: 8 800 775-4822 (звонки по России бесплатные)
По вопросам клиентской поддержки тел.: +7 (495) 937-90-82



  • Мы в соцсетях
Сайт предназначен для работников сферы образования

Чтобы продолжить чтение, пожалуйста, зарегистрируйтесь.

Это бесплатно и займет всего минуту, а вы получите:

  • доступ к 10 000+ профессиональных материалов;
  • 5 000 готовых рекомендаций педагогов-новаторов;
  • более 200 сценариев открытых уроков;
  • 2 000 комментариев экспертов к нормативным документам.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Материал только для зарегистрированных пользователей

Зарегистрируйтесь, чтобы получить документ. Это бесплатно и займет всего минуту!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль