На что надо обратить внимание.
Нюансов, которые возникают при обработке персональных данных в школьных информационных системах, достаточно много. Остановимся только на нескольких моментах.
Как и зачем оптимизировать обработку персональных данных?
Оптимизация процесса обработки персональных данных позволяет значительно сократить расходы на обеспечение их безопасности и упростить систему защиты. В результате оптимизации может измениться категория персональных данных, что приводит и к изменению состава мер защиты. Оптимизация может быть проведена следующими методами:
методом исключения из обработки лишних персональных данных;
методом сегментирования информационной системы;
методом обезличивания персональных данных.
Оптимизация процесса обработки персональных данных проводится по результатами проведенной ревизии информационных ресурсов.
Исключение из обработки лишних персональных данных.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки47. В результате проведенной ревизии информационных ресурсов, наверняка выявятся факты излишнего количества обрабатываемых персональных данных, которые не требуются для достижения заявленных целей обработки. Например, в школе в дополнение к охраннику используется СКУД – система контроля и управления доступом в помещения (электронный турникет на входе, к которому каждый входящий прикладывает свою персональную электронную карточку-пропуск). Часто на пропуске наносится фотография ученика или сотрудника с указанием его фамилии, имени, отчества, класса и пр. Эти данные содержат в себе биометрические персональные данные (фото) и в совокупности позволяют охраннику идентифицировать входящего, а сама СКУД в этом случае будет относится к информационным системам обработки биометрических персональных данных для идентификации субъекта, что потребует получения письменного согласия субъекта на обработку и принятия дополнительных мер защиты к самой СКУД.
Вместе с тем, собственно права на вход в школу определяются той специальной информацией, которая содержится в электронной карточке и, как правило, не связывается непосредственно с личностью входящего. Охраннику важно определить, что карточка, позволяющая войти в школу, принадлежит именно тому субъекту, который входит и это он может сделать по фотографии на карточке. При этом, ему совсем не обязательно знать как зовут этого субъекта. Следовательно, такие персональные данные, как фамилия, имя, отчество (идентификационные персональные данные) для обработки с целью организации в школе пропускного режима не требуются. Если убрать с электронной карточки-пропуска и из СКУД идентификационные персональные данные, такая информационная система перестает быть системой, обрабатывающей биометрические персональные данные для идентификации субъекта. Следовательно, не требуется наличия письменного согласия субъекта, а меры защиты СКУД будут минимальными. В результате исключения из процесса обработки излишних для достижения поставленной цели (пропуск на территорию школы) персональных данных, изменилась категория персональных данных и тип информационной системы.
Внимательное изучение существующих в школе процессов обработки персональных данных в разных случаях позволяет значительно сократить объем обрабатываемых персональных данных и, тем самым, выполнить установленные законом условия обработки персональных данных и сократить расходы на защиту.
Сегментирование информационной системы.
Разделение информационной системы на несколько сегментов позволяет с одной стороны выполнить условие закона, запрещающего объединять в единых базах данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой48. С другой стороны сегментирование позволяет ограничить количество средств обработки информации, требующих применения технических мер защиты, что приводит к упрощению системы защиты. В добавок, сегментирование позволяет ограничить количество пользователей, имеющих возможность доступа к персональным данным, которые не требуются им для исполнения своих функциональных обязанностей.
Под выделенным сегментом, предназначенным для обработки персональных данных понимается ограниченная для доступа неуполномоченных пользователей часть информационной системы, объединяющая защищаемые информационные ресурсы, средства обработки и отображения информации, используемые для их обработки, элементы телекоммуникационной инфраструктуры, предназначенные для обмена данными между элементами сегмента и пограничные коммутирующие устройства. Границей сегмента является внешний порт того самого пограничного коммутирующего устройства, которое соединяет сегмент с остальной информационной системой. Практически получается, что сегмент это маленькая локальная сеть, сопряженная с информационной системой по определенным правилам доступ к которой «чужим» пользователям заказан.
Сегментирование информационной системы может проводиться по разным признакам. К примеру, информационная система в которой одновременно обрабатывается бухгалтерская информация, информация кадрового отдела, данные необходимые для обеспечения процесса обучения, можно разделить на специальные сегменты, объединяющие пользователей бухгалтерии, службы кадров, учителей и так далее. Такое деление называется сегментированием по функциональному признаку.
Сегментирование информационных систем может быть выполнено на физическом уровне, когда обосабливаются непосредственно средства обработки информации, или на логическом уровне, когда разделение на сегменты происходит с использованием технологий создания обособленных виртуальных локальных сетей (VLAN). Применение того или иного способа зависит прежде всего от используемых в школьных системах информационных технологий и удобства для персонала школы.
Обезличивание персональных данных.
Обезличивание персональных данных позволяет значительно снизить затраты на их защиту за счет разделения всего массива персональных данных на два: небольшой массив идентификационных персональных данных, подлежащий защите и основной массив данных, который не требует защиты от несанкционированного использования. Обезличивание персональных данных должно обеспечивать не только их защиту от несанкционированного использования, но и позволять проводить их обработку. Процесс обезличивания персональных данных определяется нормативными документами49 и представляет собой процедуру выделения идентификационных персональных данных из общего массива персональных данных и замены их специальными идентификаторами. При этом формируется таблица соответствия идентификаторов идентификационным персональным данным (ключевая база данных). Эта база позволяет, при необходимости, провести обратную процедуру и соотнести данные с конкретным субъектом.
Для обезличенных данных защита не требуется, так как их нельзя соотнести с субъектом и ущерба ему от несанкционированных действий с ними не будет. В то же время, казалось бы, что ущерб от разглашения идентификационных данных для субъекта – минимальный и по этой причине вполне логично было бы установить для такой базы минимальный уровень защищенности. Но это неверно. Ущерб в этом случае надо оценивать не относительно несанкционированных действий со сведениями, хранящихся в ней, а от несанкционированных действий со всем массивом данных о субъекте, который можно получить с использованием сведений из ключевой базы. То есть уровень защищенности ключевой базы должен быть не ниже уровня защищенности всего не обезличенного массива сведений о субъекте. Ключевая база должна храниться отдельно от обезличенного массива данных, полностью должна быть защищена и к ней должен быть ограничен доступ пользователей.
В качестве идентификатора могут быть использованы, например, идентификационные номера свидетельства о присвоении индивидуального номера налогоплательщика (ИНН), страхового свидетельства государственного пенсионного страхования (СНИЛС), свидетельства об обязательном медицинском страховании (ОМС) или порядкового номера карточки-пропуска (при условии, что в информационной системе СКУД не хранятся идентификационные данные). Могут быть использованы и любые другие разработанные самостоятельно идентификаторы.
Особенно актуален процесс обезличивания для специальных категорий персональных данных, требующих особой защиты. Например, все сведения о медицинских манипуляциях с пациентами в школьном медицинском пункте (кабинете) могут храниться не по фамилии, имени, отчеству, а по номеру СНИЛС, свидетельства ОМС или по специально разработанному идентификатору. Предъявляя такой идентификатор, пациент может получить необходимую медицинскую услугу, а медицинский работник может в обезличенном массиве данных отыскать и выделить те, которые относятся к истории болезни конкретного пациента. Либо наоборот, обратившись за медицинской услугой пациент может назвать свою фамилию и имя, а медицинский работник, обратившись к ключевой базе определить его идентификатор и затем, перейдя в массив обезличенных данных выбрать необходимую историю болезней или запись.
О личных компьютерах учителей.
В последнее время отмечается широкое использование личных гаджетов сотрудников для доступа к ресурсам корпоративных информационных систем – так называемый сценарий BYOD (Bring Your Own Device). Вполне естественно, что и учителя стремятся использовать новейшие информационные технологии в своей деятельности. И некоторые из них используют свои личные компьютеры, планшетники и смартфоны для подготовки материалов, необходимых в учебном процессе. Нередко подготовка таких материалов сопряжена с обработкой персональных данных учеников. Все это повышает риск нарушения правил обработки персональных данных и причинения ущерба субъектам. Необходимо отметить, что ответственность за нарушения правил обработки персональных данных, доверенных субъектами образовательному учреждению, остается в первую очередь за самим образовательным учреждением50. Если кто-то из учителей случайно потеряет планшетник на котором хранятся персональные данные учеников, штрафные санкции будут наложены на школу и ее руководителя, как ответственн6ого должностного лица. Поэтому обработка персональных данных учеников на личных компьютерах, планшетниках и других гаджетах учителей – недопустима. При проведении ревизии школьных информационных ресурсов необходимо обратить особое внимание на этот факт и постараться исключить нарушения в правилах обработки персональных данных.
Аутсорсинг обработки персональных данных
В школе часто встречаются случаи, когда обработка персональных данных передается третьему лицу (аутсорсеру). К примеру это может быть в случаях:
организации бухгалтерского учета;
обеспечения кадровой работы (управления персоналом);
обеспечения обязательного и добровольного медицинского страхования;
обеспечения взаимодействия с пенсионными фондами;
обеспечения банковского обслуживания персонала школы (зарплатные карты).
Закон предусматривает, что отношения с обработчиком (аутсорсером) строятся на договорной основе и определяет существенные условия такого договора: обязанность обработчика (аутсорсера) соблюдать законные принципы обработки персональных данных и обеспечивать их конфиденциальность и безопасность обработке. Юридической основой взаимоотношений оператора и аутсорсера является договор поручения или договор возмездного оказания услуг (в зависимости от характера действий, совершаемых с персональными данными).
Закон накладывает определенные общие обязанности и на оператора, которые не исчезают с появлением аутсорсера. Ответственность за организацию защиты всегда остается за оператором. Еще до передачи персональных данных для обработки, оператор обязан убедиться, что аутсорсер готов к их обработке и защите. Поэтому договор должен содержать ряд условий, которые должен выполнить аутсорсер и при выполнении которых возможно начало обработки информации. Невыполнение этих условий в установленный оператором срок, должно рассматриваться, как достаточное условие одностороннего расторжения договора со стороны оператора. В договор целесообразно включать требования к аутсорсеру:
не раскрывать третьим лицам доверенные ему персональные данные;
принять технические и организационные меры защиты;
установить правила доступа к персональным данным;
провести до начала обработки оценку эффективности принятых им мер защиты;
предоставить оператору право осуществлять проверку порядка обработки персональных данных.
Форма и рамки договора не позволяют включить всю необходимую для защиты персональных данных информацию. Поэтому оператор должен подготовить специальное поручение аутсорсеру (обработчику), которое является необъемлемой частью договора с аутсорсером и включает в себя:
цель обработки и состав персональных данных, подлежащих обработке;
перечень действий (операций), которые совершаются в ходе обработки;
требуемый уровень защищенности персональных данных, который должен быть достигнут;
состав конкретных требований по защите персональных данных;
порядок уничтожения или обезличивания персональных по завершении обработки;
порядок оценки эффективности принятых мер защиты.
|
