11 нояб. 2014 г.

Страсти Дневника по ПДн

21.10.2014 письмом Министерства образования и науки РФ № АК-3358/08 внесены уточнения в методические рекомендации по внедрению систем ведения ЭЖ в части хранения персональных данных (ПДн).

Компактная выжимка из 152-ФЗ в преддверии обещанных Роскомнадзором проверок обращает внимание школ на то, что обработка персональных данных внешним ЭЖ не освобождает их от ответственности за сохранность данных и обработку в интересах учеников. Это, почему-то, взбаламутило разработчиков внешних ЭЖ. Некоторые обеспокоились, что школы введут в заблуждение, поэтому начали доказывать свою благопристойность в отношении 152-ФЗ и рекомендаций МОН. А заодно решили попугать тех, кто, вдруг, задумается об ЭЖ в своей локальной школьной сети.

Поводом для этих моих заметок стала развернутая «экспертная» оценка на сайте известного разработчика Дневник.ру:

Общий комментарий экспертов Дневник.ру:Мой комментарий на комментарий:

данное письмо не указывает на новые требования, которые не существовали бы ранее и не были указаны в ФЗ №152 «О персональных данных»;
Именно– ничего, сверх изложенного в законе
данное письмо составлено таким образом, что может вводить образовательные организации (далее - ОО) и органы управления образования в заблуждение о том, что при внедрении систем ЭЖ, обрабатывающих ПДн вне ОО, перечень организационных мер и затрат гораздо шире, чем при внедрении систем ЭЖ, обрабатывающих ПДн внутри ОО, что полностью не соответствует действительности; Почему эксперты Дневник.ру считают тех, кто разворачивает ЭЖ у себя, недостаточно ответственными?
  • Чтобы взять на себя ответственность за локальный ЭЖ, при регулярном правовом терроре школ по самым разным поводам, любой директор старательно изучит все за и против.
  • При пассивном использовании внешних ЭЖ многие считают, что передачей обработки «на дядю» они все свои заботы по защите персональных данных (ПДн) выполнили.
Именно для некомпетентных пофигистов написано письмо МОН.
в письме не перечислены все организационные меры и затраты, которые ожидают ОО при внедрении систем ЭЖ, обрабатывающих ПДн внутри ОО. Может, нужно переиздать под грифом МОН все инструкции по защите данных?

МОН не догадалась, что Дневник.ру от одного перечисления мероприятий в 152-ФЗ так сильно перепугается, что начнет запугивать своих последователей инструктивными материалами. Весь пафос комментариев Дневника направлен на то, что обеспечить свой ЭЖ школам будет намного сложнее, чем отдаться Дневнику. Позиция Дневника предельно понятна– странно, что она так откровенно выпучена. Это дает мне повод публично отстаивать противоположную точку зрения– привести свой комментарий на их комментарий.

Пугалки на технические сложности глубоко комментировать не хочу– при наличии собственных ИТ-шников в школе, они сами с усами. А если их нет, есть решение в виде типового программно-аппаратного комплекса (ПАК), который практически не требует технического обслуживания. На сайте РУЖЭЛЬ такой пример для нашего свободного ЭЖ есть.

Гораздо эпичнее последний абзац:

«Этапы организации системы защиты ПДн в ОО при использовании внутренней системы ЭЖ (как примера информационной системы ПДн):

  1. Инвентаризация ресурсов.
  2. Ограничение доступа работников к ПДн (СКУД в серверной, орг.меры и т.д.).
  3. Документальное регламентирование работы с ПДн (локальные акты).
  4. Формирование модели угроз ПДн.
  5. Классификация информационных систем ПДн в ОО.
  6. Составление и отправка в уполномоченный орган уведомления об обработке ПДн.
  7. Приведение системы защиты ПДн в соответствие с требованиями регуляторов.
  8. Создание системы информационной безопасности информационных систем ПДн и её аттестация (сертификация) – для информационных систем ПДн классов К1, К2.
  9. Организация эксплуатации информационной системы ПДн и контроля за безопасностью.»

Самым интересным является то, что практически все перечисленное нужно делать с любой информационной системой: что внутренней, что внешней! Независимо от ЭЖ, каким бы он тоже ни был. В отношении п.6, можно при правильном оформлении локальной базы избежать уведомления (ссылка даже в самом тексте Дневника есть). А п.8 именно в локальном исполнении может быть существенно проще, «чем его малюют»– думать надо.

Мой вариант комментариев на эту тему со ссылками доступен в сети давно. Под последние рекомендации МОН я их обновил, чтобы выступить на недавней конференции– опубликовано на SlideShare.

Комментариев нет: