Спонсор: Microsoft
Опубликован: 25.06.2010 | Доступ: свободный | Студентов: 1539 / 239 | Оценка: 4.32 / 4.18 | Длительность: 25:57:00
Лекция 21:

Семинары

Семинар 3. Кейс-стади: безопасность детей против безопасности персональных данных

Цель занятия

  • Предложить решения, которые позволили бы решить проблему с несоответствием характеристик внедряемой информационной системы требованиям Российского законодательства
  • Поэтапно разобрать поведение компании в описанной ситуации, описанное в разделе "Предпринятые меры", и оценить правильность каждого из шагов
  • Обосновать важность глубокого изучения закона для реализации информационных систем, обрабатывающих персональные данные

Описание ситуации

"НАДЗОР" (сокр. от Непрерывная Автоматическая Дистанционная Забота О Ребенке) - комплекс безопасности и информационного сопровождения образовательного процесса. "НАДЗОР" является новой системой и включает в себя комплекс услуг и решений в области информационных технологий по контролю доступа посетителей в учебное заведение, а также с возможностью удаленного просмотра журнала событий входа/выхода и отслеживания успеваемости учеников. IT компания (далее - Компания), разработавшая систему и занимающаяся ее внедрением, видит свою задачу в том, чтобы дать школам Москвы и Санкт-Петербурга новый импульс к совершенствованию образовательного процесса.

В качестве "пилотной" зоны проекта внедрения системы "НАДЗОР" была выбрана одна из общеобразовательных школ Москвы. Родители заключили договор с Компанией на оказание услуг, а именно - на обеспечение доступа к сведениям об успеваемости и посещаемости своих детей на сайте Компании и рассылку регулярных SMS-сообщений с той же информацией.

Благодаря существующему спросу в рамках различных программ (в том числе общественных и региональных) сегодня появляется масса аналогичных сервисов. В отличие от большинства аналогичных сервисов, в системе "НАДЗОР" участие администрации школы не требовалось: всю работу осуществляли представители Компании. Они, по договоренности с администрацией школы, устанавливали необходимое оборудование на территории школы (электронная пропускная система). Информацию об успеваемости и посещаемости представитель Компании получал из классного журнала по окончанию занятий, после чего рукамивносил эту информацию в свою информационную систему.

К информационной системе доступ родителей осуществлялся при введении ФИО ученика и пароля, на соответствующей странице сайта. Также ежедневно родители получали SMS уведомления о входе/выходе своего ребенка из школы с точным временем и именем ученика.

Компанией в автоматизированной форме обрабатывались следующие сведения:

  1. ФИО родителей
  2. Адрес проживания ученика
  3. ФИО ученика
  4. Данные школы (номер, адрес, данные ответственных лиц и т.д.)
  5. Номер класса
  6. Номер договора
  7. Номер телефона родителя
  8. Данные об успеваемости
  9. Данные о посещаемости

Один из родителей предъявил претензии в незаконной обработке персональных данных. Конфликт был эскалирован на уровень администрации школы. На встрече заинтересованных сторон выяснилось, что родитель, высказавшийся с претензиями в адрес Компании, требует предъявить "аттестат соответствия информационной системы персональных данных (ИСПДн) требованиям законодательства". Компания провела анализ стоимости проведения подобных мероприятий. По самым скромным подсчетам сумма составила 640 тыс. рублей (полное выполнение необходимых мероприятий могло увеличить цену в несколько раз). Для стартапа подобное требование означало бы неминуемую гибель. Несмотря на то, что при хорошей юридической поддержке Компания могла оспорить некоторые претензии, доводить дело до суда также означало закрытие проекта, поскольку времени на тяжбу практически не оставалось.

Очевидно, тривиального решения не было. Тем не менее, решение было найдено, и достаточно быстро.

Предпринятые меры

В результате беседы выяснилось, что для выполнения условий договора достаточно осуществлять обработку только части собираемых сведений. А именно, тех сведений, которые позволяют оператору персональных данных производить смс-рассылку, предоставлять родителям доступ к оценкам и посещаемости детей.

Данные о школе и о классе, в котором обучается ученик, было также предложено исключить.

ФИО родителей и учеников было предложено не обрабатывать в автоматизированной информационной системе вовсе, а вместо этого осуществлять привязку сведений к номеру договора на оказание услуг. Также было предложено осуществлять доступ, к сайту используя номер договора на предоставление услуг без упоминания ФИО ученика.

В результате, в информационной системе остались следующие сведения:

  1. Номер договора
  2. Номер телефона
  3. Данные об успеваемости
  4. Данные о посещаемости

В данном случае оказалось проще отказаться от некоторых функций ИС и перевести часть процессов в ручную обработку с использованием бумажных носителей, безопасность которых позволит обеспечить наличие в школе сейфа, т.е. не требует больших затрат.

На основании этих данных невозможно определить их принадлежность к конкретному субъекту персональных данных. Более того, здесь присутствуют данные 2-субъектов (родителя и ученика).

Согласно действующему законодательству данные сведения, в лучшем случае, можно определить как обезличенные персональные данные (хотя и это вызывает сомнение некоторых специалистов ввиду того, что здесь присутствуют сведения двух субъектов, а, следовательно, персональными данными эти сведения назвать нельзя).

Требования к защите обезличенных персональных данных, согласно законодательству, не установлены и определяются оператором. Кроме того, по просьбе родителей представители Компании согласились осуществлять шифрование номеров телефонов.

Таким образом, было достигнуто мировое соглашение всех заинтересованных сторон. Сэкономлены деньги и, что немаловажно, нервные клетки всех участников.

Краткие итоги

Участники семинара систематизировали знания о мерах по обеспечению информационной безопасности, а именно:

  • На конкретном примере оценили риски и угрозы, связанные с влиянием законодательства на использование информационных систем
  • Развили навыки поиска решений организационно-правовых проблем информационной безопасности;
  • Закрепили знания российского законодательства в области обеспечения информационной безопасности
Мария Архипова
Мария Архипова
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Сергей Мясников
Сергей Мясников
Россия
Владимир Гнинюк
Владимир Гнинюк
Украина, Киев