Актуальность выполнения требований ФЗ 152 «О защите персональных данных» в информационных системах ВУЗов

Необходимость повышения внимания к вопросам выполнения требований законодательства о защите персональных данных (ПДн) Рост внимания к выполнению требований законодательства по защите ПДн в ИС ВУЗов в 2011 году Наступление срока подготовки ИС операторов ПДн ( г.) Рост активности надзорных органов по контролю соблюдения требований законодательства

Активность регуляторов в 2010 году Роскомнадзор запланировал проверить на предмет обработки ПДн 2931 (99 образовательных учреждений, 68 – в 2010 году) Причины: Несоответствие уведомления об обработке ПДн фактической деятельности Оператора Обработка ПДн без согласия субъекта ПДн; Неприятие мер по предотвращению НСД к ПДн Источники: Роскомнадзор Публичный доклад 2010 год, Планы проверок на 2011 год В связи с нарушениями операторами требований ФЗ «О персональных данных» в Роскомнадзор поступило 1829 обращений (465 – в 2009 г) Роскомнадзор в отношении операторов, осуществляющих обработку ПДн, провел 1253 проверки (432 – в 2009 г.) ( 1908 предписаний об устранении нарушений, 2996 протоколов об администр. правонарушениях ) 2010 г 2011 г

Подготовка ИС ВУЗа в рамках мероприятий по выполнению требований законодательства Получение письменного согласия субъектов на обработку (с указанием какая информация, с какой целью, в какие сроки обрабатывается и кому передается) Пересмотр договоров с субъектами (работники, партнеры, клиенты, студенты и т.д.) Формирование документов по порядку обработки ПДн Формирование списка допущенных лиц, ознакомление под подпись, с указанием, к какой информации допущен и в какой срок Формирование списка лиц, ответственных за защиту ПДн и их обучение Формирование модели угроз Классификация ИС ПДн. Если есть подсистемы – по наибольшей категории. Уведомление уполномоченного органа (Роскомнадзор) о намерении обрабатывать ПДн Получение лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации (для ИС ПДн 1 и 2 классов) Приведение защиты ПДн в соответствие с требованиями ФЗ года (в т.ч. и в ИС ВУЗа) Проведение аттестации/декларирование соответствия СЗИ ИС ПДн (аттестация обязательна для ИС ПДн 1 и 2 классов) Организация эксплуатации ИС ПДн и контроля безопасности

Проблемы, связанные с уведомлением об обработке персональных данных - 1 Низкая активность по уведомлению об обработке ПДн Источники: Роскомнадзор Реестр операторов персональных данных по состоянию на В Реестре операторов персональных данных зарегистрировано московских университетов - 14, московских институтов - 7, московских академий – 2 (из 407 государственных и негосударственных учреждений высшего проф образования, зарегистрированных в Москве по данным МинОбразНауки за 2008 год) Всего зарегистрировано операторов персональных данных Возможные ошибки в уведомлении об обработке ПДн Уведомление не требуется, если персональные данные: относятся к субъектам ПДн, которых связывают с оператором трудовые отношения; обрабатываются без использования средств автоматизации; являются общедоступными ПДн; включают в себя только ФИО субъектов ПДн; включены в государственные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка Необходимы для однократного допуска субъекта ПДн на территоию оператора ПДн

Проблемы, связанные с уведомлением об обработке персональных данных - 2 Низкая активность по уведомлению об обработке ПДн Источники: Роскомнадзор Реестр операторов персональных данных по состоянию на , Роскомнадзор Публичный доклад 2010 год Не заявляют об обработке ряда ПДн (успеваемость; доходы; семейное положение; социальное положение; образование; профессия) Заявляют не все категории субъектов, ПДн которых обрабатываются (абитуриенты) Возможные ошибки в уведомлении об обработке ПДн Типичные нарушения операторов ПДн (по отчету Роскомнадзора): Несоответствие сведений, указанных в уведомлении об обработке персональных данных, фактической деятельности; Обработка персональных данных без согласия субъектов персональных данных.

Защита персональных данных в ИС ВУЗов Категория и объем ПДн Архитектура и масштаб ИС ПДн Факторы, влияющие на уровень требований по защите ПДн в ИС Применяемые средства защиты информации Отсутствие единого подхода к построению ИС ПДн Распространенной ситуацией является использование территориально удаленными факультетами или филиалами ВУЗа различного ПО для автоматизированной обработки ПДн. Локальные или распределенные ИС ВУЗов ИС ВУЗов имеют подключение к сетям связи общего пользования и (или) сетям международного информационного обмена Многопользовательские ИС ИС с разграничением доступа

Защита персональных данных в ИС ВУЗов Категория и объем ПДн Архитектура и масштаб ИС ПДн Факторы, влияющие на уровень требований по защите ПДн в ИС Применяемые средства защиты информации разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам использование средств антивирусной защиты межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы использование защищенных каналов связи (обычно, на базе использования HTTPS)

Защита персональных данных в ИС ВУЗов Категория и объем ПДн Архитектура и масштаб ИС ПДн Факторы, влияющие на уровень требований по защите ПДн в ИС Применяемые средства защиты информации До 2 категории ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни Типичный случай - от 1тыс. до 100тыс. субъектов ПДн

ИСДанныеКатегория Класс ИСПДн Системы дистанционного обучения (СДО) Сведения о студентах, необходимые для индивидуального планирования обучения и контроля успеваемости 2 или 4 (обезли- ченные) К2/ К4 Сведения о студентах, необходимые для расчетов за платные образовательные услуги 3К3 Сведения о преподавателях, формирующих ЭОРы, групповые и индивидуальные обучающие курсы 3 или 4 (обезли- ченные) К3/К4 Web 2.0 – online сообщества (мой круг яндекса, facebook), социальные сети (одноклассники, в контекте) и сервисы (блоги - blogs, wiki; коллажи - mash-up) для упрощения создания, обмена информацией между пользователями и совместной работы (collaboration) Сведения о студентах, ППС, научных и инженерных работниках, необходимые для эффективного обмена знаниями (образование, опыт, интересы) и их идентификации 2 или 4 (обезли- ченные) К2/ К4 Университетский портал и Мобильный университет Сведения о студентах, ППС, научных и инженерных работниках, необходимые для персонализации информации (расписание, справочники, успеваемость/посещаемость, новости, распоряжения), их идентификации для контроля доступа 2 или 4 (обезли- ченные) К2/ К4 Электронные библиотеки, Системы управления знаниями Сведения о студентах, ППС, научных и инженерных работниках, необходимые для персонализации информации (новые поступления); учета компетенций в СУЗ; идентификации для контроля доступа и расчетов за пользование платными сервисами 2,3,4 (обезли- ченные) К2/К3/К4 Защита персональных данных в ИС ВУЗов Факторы, влияющие на уровень требований по защите ПДн в ИС

ИСДанныеКатегория Класс ИСПДн Интегрированные системы управления деятельностью ВУЗа (АХД, управление образовательной, научной и инновационной деятельностью, стратегическое планирование и финансовый менеджмент) Сведения о студентах, необходимые для индивидуального планирования обучения и контроля успеваемости 2К2 Сведения о студентах, необходимые для расчетов за платные образовательные услуги 2К2 Сведения о ППС, научных и инженерных работниках, необходимые для кадрового и бухгалтерского учета 2К2 Защита персональных данных в ИС ВУЗов Факторы, влияющие на уровень требований по защите ПДн в ИС

Подготовка к проведению мероприятий по приведению ИС ПДн к требованиям регуляторов Локализация ИС обработки персональных данных ВУЗа Реорганизация обработки ПДн в ИС ВУЗа снижения требований регуляторов по защите ПДн в отдельных ИС предотвращение снижения возможностей ИС e-learning Методы реорганизации в отдельных ИС Координация реорганизации всех ИС ВУЗа Обезличивание ПДн Отключение ИС от сетей общего пользования Сегментирование и реорганизация информационного обмена между ИС планирование переноса функций анализа и подготовки отчетности

Мероприятия по приведению ИС ПДн в соответствие требованиям регуляторов Аудит (обследование) ИС ПДн Категорирование ИС ПДн Определение базового набора требований к ИС ПДн Разработка модели угроз ТЗ на СЗИ ИС ПДн Профиль защиты ИС ПДн Проект СЗИ ИС ПДн Реализация организационно- технических мер ЗИ Внедрение средств ЗИ Разработка организационно- распорядительной документации Аттестация ИС ПДн

Выводы Проведение мероприятий по защите ПДн в ВУЗе актуально и реально (с у четом упрощений законодательства) Проведение мероприятий по защите ПДн в ВУЗе требует комплексного подхода к построению СЗИ не только в рамках одной ИС (например, СДО) Проведение мероприятий по защите ПДн в ВУЗе является коллективной деятельностью различных специалистов ВУЗа (ИТ-специалистов, юристов, экономистов)

Наши контакты Мы всегда рады контактам с вами и нацелены на эффективное решение поставленных задач Группа компаний VP GROUP Адрес: , Россия, г. Москва, Подкопаевский пер, д. 7, стр. 2 Тел./Факс.: +7 (495)