Согласно ФЗ №152 «О персональных данных» образовательные организации являются операторами персональных данных, поскольку занимаются обработкой персональных данных учащихся, родителей и педагогов. Следовательно, ответственными сотрудниками этих организаций должно обеспечиваться соблюдение вышеуказанного закона.
Выполнение требований закона в образовательных организациях
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от:
- неправомерного или случайного доступа к ним;
- уничтожения;
- изменения;
- блокирования;
- копирования;
- предоставления;
- распространения;
- иных неправомерных действий в отношении персональных данных.
В рамках образовательных организаций должен быть выполнен комплекс работ по сбору пакета документов, предоставляемых на проверку контролирующим организациям.
В настоящее время отсутствуют нормативные акты, утверждающие форму этих типовых ведомственных документов по защите персональных данных в образовательных организациях.
Пакет документов для проверки
- Концепция информационной безопасности.
- Приказ о создании СЗ ПДн.
- План мероприятий по обеспечению защиты ПДн.
- Отчет о результатах проведения внутренней проверки.
- Перечень сведений, составляющих ПДн.
- Список ИСПДн, в которых обрабатываются ПДн.
- Разрешительная система доступа к ПДн.
- Перечень сотрудников, допущенных к обработке ПДн.
- Перечень защищаемой информации.
- Положение по обработке персональных данных.
- Политика ИБ.
- Инструкция пользователя ИСПДн.
- Инструкция пользователя ИСПДн на случай возникновения внештатных ситуаций.
- Инструкция администратора ИБ ИСПДн.
- Инструкция по организации парольной защиты.
- Инструкция по антивирусной защите.
- Инструкция по обработке ПДн без использования средств автоматизации.
- Перечень ПДн с местами хранения, обработки и списком допущенных лиц.
- Приказ о введении в действие документов, регламентирующих мероприятия по защите ПДн.
- Приказ о создании комиссии по уничтожению ПДн.
- Журнал регистрации фактов несанкционированного доступа.
- Журнал учета обращений субъектов ПДн в ИСПДн.
- Журнал учета пользователей ИСПДн, прошедших обучение правилам работы с СЗИ.
- Журнал учета мероприятий по контролю ИБ.
- План проверочных мероприятий по обеспечению безопасности ПДн.
- АКТ 1 классификации ИСПДн.
- Приказ о назначении администратора ИБ.
- Форма согласия работника на обработку его ПДн.
Цифровая образовательная платформа «Дневник.ру» предоставляет шаблоны указанных форм документов образовательным организациям, заключившим соглашение с Дневник.ру. Благодаря этому у образовательных организаций отпадает необходимость в самостоятельном подборе и составлении документации из этого обширного перечня.
Этапы работ
Организация защиты персональных данных должна производиться в несколько этапов:
- инвентаризация информационных ресурсов;
- ограничение доступа работников к персональным данным;
- документальное регламентирование работы с персональными данными;
- формирование модели угроз безопасности персональных данных;
- классификация информационных систем персональных данных (ИСПДн) образовательных организаций;
- составление и отправка в уполномоченный орган уведомления об обработке персональных данных;
- приведение системы защиты персональных данных в соответствие с требованиями регуляторов;
- создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация) – для ИСПДн классов К1, К2;
- организация эксплуатации и контроля безопасности ИСПДн.
Этап 1. Инвентаризация информационных ресурсов
Инвентаризация информационных ресурсов - выявление присутствия и осуществления обработки персональных данных во всех эксплуатируемых в организации информационных системах и традиционных хранилищах данных. В качестве информационных систем, относящихся к ИСПДн, выступают:
- электронный журнал/дневник;
- «1С-Бюджет»;
- «1С-Зарплата-Кадры»;
- автоматизированная информационная библиотечная система;
- информационная система «Налогоплательщик» и другие.
Выполняя функции электронного журнала/дневника, информационная система «Дневник.ру» является ИСПДн и зарегистрирована Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ в реестре операторов персональных данных под регистрационным номером 09-0062296.
На данном этапе следует:
- утвердить положение о защите персональных данных;
- сформировать концепцию, определить политику информационной безопасности;
- составить перечень персональных данных, подлежащих защите.
Места обработки персональных данных:
- бухгалтерия;
- библиотека;
- учительская;
- отдел кадров;
- медпункт.
Этап 2. Ограничение доступа работников к персональным данным
Ограничение доступа работников организации к персональным данным – неотъемлемая часть мероприятий по обеспечению безопасности ПДн при их обработке в информационных системах. Допуск к обработке персональных данных должен быть только у тех сотрудников, которым это необходимо для выполнения служебных (трудовых) обязанностей. Система Дневник.ру построена таким образом, что сотрудники образовательных организаций, учащиеся и их законные представители могут пройти регистрацию на сайте только после получения логина и пароля для первого входа в своей образовательной организации. Все данные хранятся в Администрации образовательной организации и не подлежат разглашению, что гарантирует отсутствие посторонних лиц в Дневник.ру.
На данном этапе следует: в необходимой мере ограничить как электронный, так и физический доступ к персональным данным, хранящимся в образовательной организации.
Этап 3. Документальное регламентирование работы с персональными данными
Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области.
Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо, оформляя свое намерение документально.
На данном этапе следует:
- собрать согласия на обработку персональных данных;
- издать приказ о назначении лиц, ответственных за обработку ПДн;
- издать положение о разграничении прав доступа к обрабатываемым ПДн;
- составить инструкции администратора ИСПДн, пользователя ИСПДн и администратора безопасности ИСПДн.
Согласия на обработку персональных данных физических лиц
В соответствии со статьей 9 ФЗ-№152 «О персональных данных» обработка персональных данных субъекта осуществляется только при условии наличия его письменного согласия с указанием следующих данных:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Формы согласий на обработку персональных данных сотрудников образовательных организаций, учащихся и их законных представителей, используемые при подключении к Дневник.ру, полностью соответствуют вышеуказанным требованиям.
Подписанные согласия хранятся в образовательных организациях и могут быть предоставлены только по требованию регуляторов и других уполномоченных органов РФ.
Этап 4. Формирование модели угроз безопасности персональных данных
Частная модель угроз безопасности персональных данных, хранящихся в информационной системе, формируется на основании следующих документов, утвержденных Федеральной службой по техническому и экспортному контролю (ФСТЭК):
- Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн.
- Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн.
- Частная модель угроз безопасности персональных данных, хранящихся в информационной системе «Дневник.ру», была сформирована ФГУП «ЗащитаИнфоТранс». Она показывает, что персональные данные пользователей, обрабатываемые в Дневник.ру, подвергаются низкой степени угрозы несанкционированного доступа к ним.
На данном этапе следует сформировать модель угроз безопасности персональных данных, обрабатываемых и хранящихся в образовательной организации.
Этап 5. Классификация ИСПДн
На данном этапе следует составить акты классификации используемых в образовательной организации информационных систем персональных данных.
Этап 6. Составление и отправка в уполномоченный орган уведомления
Уведомление об обработке персональных данных оформляется на бланке оператора и направляется в территориальный орган Роскомнадзора Министерства связи и массовых коммуникаций РФ на бумажном носителе или в форме электронного документа с подписью уполномоченного лица. В форме указываются данные об обработчике, цель обработки, категории данных, категории субъектов, данные которых обрабатываются, правовое основание обработки, дата ее начала, срок (условие) ее прекращения и прочее.
На данном этапе следует: на сайте Уполномоченного органа по защите прав субъектов персональных данных http://www.pd.rsoc.ru/operators-registry/notification/form/ заполнить и отправить форму уведомления в электронном виде или распечатать на бумажном носителе.
Этап 7. Приведение системы в соответствие с требованиями регуляторов
В ФЗ №152 «О персональных данных» сказано, что оператор персональных данных обязан принимать все необходимые меры по защите безопасности ПДн. Это означает потребность оператора в использовании современных высокотехнологичных способов хранения ПДн. Персональные данные, обрабатываемые системой Дневник.ру, хранятся в одном из лучших дата-центров России - Селектел, который находится в городе Санкт-Петербурге. Многоуровневая система доступа, отвечающая самым жестким требованиям банковских и государственных структур, обеспечивает безопасное хранение данных.
На данном этапе следует:
- создать перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним;
- создать положение о подразделении по защите информации;
- подготовить методические рекомендации для организации защиты информации при обработке персональных данных;
- создать инструкцию пользователя по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций;
- утвердить план мероприятий по защите ПДн.
Этап 8. Аттестация (сертификация) ИСПДн
Для обеспечения безопасности ИСПДн требуется проводить мероприятия по организации и техническому сопровождению защиты обрабатываемых персональных данных. В качестве оценки соответствия ИСПДн 1 и 2 классов требованиям к безопасности ПДн используется обязательная сертификация (аттестация).
На данном этапе следует:
- создать эскизный проект системы обеспечения безопасности информации объекта вычислительной техники;
- создать типовое техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники;
- определить порядок резервирования технических средств защиты информации.
Перечень объектов информатизации, подлежащих аттестации
Обязательной аттестации подлежат следующие объекты информатизации:
- Автоматизированные системы различного уровня и назначения.
- Системы связи, приема, обработки и передачи данных.
- Системы отображения и размножения.
- Помещения, предназначенные для ведения конфиденциальных переговоров.
Этап 9. Организация эксплуатации ИСПДн и контроля за безопасностью
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
- контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн.
На данном этапе следует:
- Разработать проект приказа о положении об электронном журнале обращений пользователей информационных систем персональных данных → создать журнал учета обращений субъектов ПДн о выполнении их законных прав и журнал учета мероприятий по контролю.
- Сформировать план внутренних проверок → издать приказ о проведении внутренней проверки → составить отчет о результатах проведения внутренней проверки.
Поддержание эффективной системы защиты ПДн
Для поддержания системы защиты персональных данных на высоком уровне требуется проведение следующих мероприятий:
- Развертывание полноценной системы обработки ПДн. Система «Дневник.ру» обладает качественными техническими ресурсами, применение которых позволяет осуществлять безопасную обработку персональных данных в образовательной организации.
- Полномасштабное внедрение средств защиты. Высококвалифицированные специалисты Дневник.ру обеспечивают постоянный контроль и необходимое техническое обслуживание системы защиты персональных данных пользователей.
- Аттестация ИСПДн. Информационная система «Дневник.ру» имеет все необходимые лицензии и сертификаты для обработки персональных данных.
- Приведение всех процессов обработки ПДн в соответствие с требованиями закона. Дневник.ру отвечает требованиям законодательства в области защиты персональных данных.
- Реакция на регулярные проверки и прочее.
Ответственность за нарушение ФЗ №152 «О персональных данных»
- Административная ответственность: штраф или штраф с конфискацией несертифицированных средств обеспечения безопасности и шифровальных средств. Административный кодекс, ст. 13.11, 13.12, 13.14.
- Дисциплинарная ответственность: увольнение провинившегося работника. Трудовой кодекс РФ, ст. 81 и 90.
- Уголовная ответственность: от исправительных работ и лишения права занимать определенные должности до ареста. Уголовный кодекс, ст. 137, 140, 272.