ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ШКОЛАХ: ОСНОВНЫЕ УГРОЗЫ И ОРГАНИЗАЦИОННЫЕ МЕРЫ

FEATURES OF PERSONAL DATA PROCESSING IN SCHOOLS: MAIN THREATS AND ORGANIZATIONAL MEASURES

Katrakova Elena

Student, Department of Computer Science, Computer Engineering and Information Security, Altai State Technical University named after I.I. Polzunova,

Russia, Barnaul

Boriskinа Alexandra

Scientific supervisor, Senior Lecturer, Department of Computer Science, Computer Engineering and Information Security, Altai State Technical University named after I.I. Polzunova,

Russia, Barnaul

АННОТАЦИЯ

В данной статье рассматриваются основные особенности и угрозы образовательных организаций как информационной системы персональных данных, а также разработан комплекс организационных мер для таких. учреждений.

ABSTRACT

This article examines the main features and threats of educational organizations as an information system of personal data, and also develops a set of organizational measures for such institutions.

Ключевые слова: персональные данные, банк угроз, образовательные учреждения, организационная защита информации, информационная система персональных данных.

Keywords: personal data, threat bank, educational institutions, organizational information protection, information system for processing personal data.

На сегодняшний день персональные данные являются ключевым элементом цифровой инфраструктуры. Они активно используются в государственных и коммерческих организациях для получения различных услуг.  С увеличением объема таких обрабатываемых сведений, растёт количество потенциальных угроз несанкционированного доступа, искажения или утечки информации. В связи с чем, безопасность персональных данных является актуальной проблемой и требует комплексного подхода.

Информационные системы персональных данных (ИСПДн) образовательных учреждений являются объектом повышенного внимания для регулирования правовыми и организационными мерами ввиду своей значимости в обеспечении информационной безопасности. Постоянно растущие угрозы утечек конфиденциальной информации делают необходимым систематическое изучение и разработку мер защиты таких систем.

Для определения комплекса организационных мер необходимо проанализировать особенности данной инфраструктуры. Для обработки персональных данных (ПДн) в школах свойственно наличие большого количества категорий субъектов, среди которых основными можно назвать: обучающиеся и их законные представители, педагогический состав школы, административно-технический персонал, школьники, проходящие государственную итоговую аттестацию или этапы олимпиад и конкурсов, а также поступающие в образовательную организацию несовершеннолетние.

Для каждой из категорий субъектов ПДн необходимо установить перечень обрабатываемых ПДн, а также определить порядок работы с ними. Особенностью ИСПДн школ можно выделить обработку персональных данных несовершеннолетних, в том числе и специальные персональные данные (информация о состоянии здоровья, результаты психолого-медико-педагогической комиссии ученика, результаты тестов и диагностики). Это ведет за собой дополнительные меры защиты, например, определение высокого уровня защищенности, а также оценивание степени вреда, который может быть причинен субъектам ПДн высокой [2].

Необходимо обратить внимание, что данная область регулируется дополнительными нормативно-правовыми актами, которые связаны с предоставлением образовательных услуг. Также важно учитывать, что сведения из школ могут передаваться в ведомства РФ обеспечении социальной защищенности (например, ФНР, ПФР, ФСС). Данная процедура должна быть отображена в локальных документах образовательной организации.

Немаловажно перед определением мер обеспечения безопасности проанализировать возможные угрозы безопасности данных. Обратимся к банку угроз безопасности информации ФСТЭК и выделим из него угрозы, наиболее вероятные для образовательной организации как оператора персональных данных, такие как [1]:

- УБИ.135: Угроза потери и утечки данных, обрабатываемых в облаке, заключается в возможной утечке ПДн при обработке ее в облачных хранилищах образовательной организации в связи со слабыми меры защиты информации;

- УБИ.139: Угроза преодоления физической защиты обусловлена уязвимостями контроля физического проникновения нарушителем в помещения, где происходит обработка ПДн;

- УБИ.156: Угроза утраты носителей информации реализуема в следствии халатности персонала, который участвует в обработке персональных данных;

- УБИ.157: Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации, которая также связанна с физическим доступом нарушителя к средствам обработки ПДн в школе;

- УБИ.160: Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации реализуема также при наличии у нарушителя физического доступа к носителям конфиденциальной информации и средствам их обработки, расположенным внутри образовательной организации;

- УБИ.214: Угроза несвоевременного выявления и реагирования компонентами информационной (автоматизированной) системы (в том числе средствами защиты информации) на события безопасности информации. Угроза заключается в пропуске или временной задержке определения событий безопасности информации, что может привести к отсутствию реакции на попытки несанкционированного доступа в информационную систему, на внедрение вредоносных программ, тем самым допустив возможную утечку персональных данных.

Для обеспечения функционирования ИСПДн в образовательной организации требуется внедрение комплекса организационных мер и назначение ответственных лиц, закрепленных за обработкой такой информации соответствующим приказом.

Первым этапом необходимо разработать модель угроз персональных данных. Данный документ должен содержать полный перечень потенциальных угроз безопасности информации, включая возможные каналы утечки данных, способы несанкционированного доступа и другие риски, характерные для образовательных учреждений. На основе этой модели будет строиться вся система защиты информации.

Рассмотрим основные документы, регламентирующие обработку ПДн. Основным нормативным актом организации является Положение или Политика об обработке персональных данных, в котором указывается организационная структура, четкий регламент действий, а также ответственность всех лиц, причастных к обработке таких сведений. Данный документ также включает принципы, условия и цели обработки ПДн, утвержденные категории субъектов ПДн и обрабатываемых данных, виды обработки, порядок получения и передачи ПДн, обеспечение прав субъектов ПДн при обработке их ПДн в школе, обязанности учреждения, как оператора, меры по обеспечению безопасности ПДн при их автоматизированной обработки и при обработке без использования средств автоматизации.

Школа, как оператор ПДн, должна получить письменное согласие на обработку ПДн, которое должно содержать данные субъекта, включая паспортные данные, сведения об операторе, цель обработки, основания обработки, виды обработки, сроки обработки, условия прекращения обработки, перечень третьих лиц, которым передаются ПДн, основания для передачи. В связи с тем, что большинство школьников не являются совершеннолетними, то письменное согласия дают их родители или законные представители. В случае отказа субъекта ПДн предоставить свои персональные данные ему должны быть разъяснены юридические последствия такого отказа.

Для сотрудников образовательного учреждения, которые работают с ПДн необходимо разработать должностные инструкции по обработке ПДн, а также составить дополнительное соглашение к трудовому договору о неразглашении персональных данных субъектов ПДн.

Особое внимание стоит уделить персональным данным, обрабатываемым без использования средств автоматизации. Они должны храниться на отдельных материальных носителях и в специально отведенных местах, также необходимо обеспечить раздельное хранение ПДн, обработка которых осуществляется в различных целях, а также соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ним. Для данного вида обработки ПДн стоит разработать отдельное положение.

Помимо составления вышеперечисленных локальных актов, образовательная организация должна также разработать и внедрить парольную политику, устанавливающую требования к сложности, регулярности смены и хранению паролей для доступа к информационным системам. Это базовое требование позволяет минимизировать риски несанкционированного доступа к конфиденциальной информации.

Проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства, является важной частью комплексного подхода. Это позволяет определить уровень защищенности информации и выбрать адекватные меры защиты в соответствии с требованиями Федерального закона «О персональных данных» [3]. Результаты оценки являются основанием для разработки комплекса мер по обеспечению информационной безопасности в образовательной организации.

Защита персональных данных в современной образовательной среде приобретает особую значимость. В условиях цифровизации учебного процесса школы становятся хранителями огромного массива конфиденциальной информации о несовершеннолетних, что накладывает на образовательные учреждения повышенную ответственность. Грамотно выстроенная система защиты информации позволяет не только избежать санкций со стороны контролирующих органов, но и создать безопасную цифровую среду для всех участников образовательного процесса.

Список литературы:

1. Банк данных угроз безопасности информации [Электронный ресурс]. / URL: https://bdu.fstec.ru/threat
2. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 г. № 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" [Электронный ресурс]. / URL: https://www.garant.ru/products/ipo/prime/doc/405721227/
3. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" [Электронный ресурс]. / URL: https://base.garant.ru/12148567/