Защита персональных данных сотрудников образовательных организаций в условиях общественной неопределенности: социолого-управленческий взгляд

П роблема защиты персональных данных граждан России в современных условиях неопределенности военно-политических, социально-экономических и иных угроз и опасностей становится системной в организации и осуществлении информационно-психологического противоборства с агрессивным коллективным Западом. В Конституции РФ определена главная ценность демократического развития страны – «человек и защита его прав» [1].

В этой связи общество обязано обеспечивать права граждан на частную жизнь и разрешать проблемы защиты их личной информации. Указ Президента России № 188 [4-д] регламентирует персональные данные включать в перечень закрытых, подлежащих правовой защите.

Опасность разглашения персональных данных человека состоит в том, что он может стать объектом воздействия сил и средств информационного противоборства, жертвой злоумышленников. Личность может пострадать от шантажа, кражи денежных средств, от вмешательства в личную жизнь, от угроз детям и др. В этой связи законодатель еще в 2006 году ввел в действие ФЗ РФ «О персональных данных» [2-в], на основании которого разработаны Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных [3]; издавался (сейчас отменен) совместный приказ ФСБ, Мининформсвязи, Федеральной службы по техническому и экспортному контролю «Об утверждении порядка проведения классификации информационных систем персональных данных» [6]; различные внутренние инструкции ФСБ и Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК).

В настоящее время в боевых действиях на Украине против России в очередной раз выступают объединенное Западноевропейское сообщество и другие государства члены НАТО. Перспективы развития негативных процессов остаются неясными, неопределенными. Априори, противник активизирует подрывную деятельность в информационно-психологической сфере, для чего он нуждается в персональных данных наших военнослужащих, работников федеральных органов власти, оборонных предприятий, граждан России. Например, как показали результаты экспертного опроса, многие члены семей, чьи родственники участвуют в специальной военной операции на Украине, регулярно получают негативную информацию от «неизвестных» абонентов. В России сегодня осталось мало людей, которые бы не подвергались информационным атакам злоумышленников, мошенников (см. Рисунок 1).

Очевидно, что они основываются на персональных данных потерпевших, попавших к противнику (злоумышленникам) незаконным способом.

Персональные данные – это правовая категория, которая определяется как «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация [2-в]. Субъекты (операторы), разгласившие (допустившие утечку) персональных данных, несут ответственность: гражданскую (взыскания в судебном порядке убытков и морального вреда, причиненного гражданам); административную (штраф, приостановление или запрет деятельности, связанной с обработкой персональных данных); уголовную (неправомерное распространение персональных данных, причинившее существенный ущерб).

Важность проблему обусловлена и тем, что судебная практика по возмещению морального вреда, связанного с утечкой конфиденциальной информации, остается малоэффективной и серьезно не стимулирует субъектов защиты персональных данных повышать уровень эффективности своей работы. Например, даже если суд рассмотрел иск и удовлетворил требование истца, что является редким случаем, то определенные им суммы компенсаций за мораль-

Рисунок 1. Информация экспертов о частоте звонков абонентам с неизвестных телефонов

ный ущерб, остаются мизерными (как правило, от 5 до 20 тыс. рублей) [16].

Эмпирическое исследование проводилось с 10 марта по 10 сентября 2022 года. Опрашивались эксперты (N=216 чел.): студенты и преподаватели Института информационных наук Московского государственного лингвистического университета (МГЛУ), слушатели заочного обучения Академии управления МВД РФ, осуществляющие профессиональную деятельность в различных регионах России. Полученные данные опроса обрабатывались в программе SPSS. Эксперты были оповещены о целях исследования, и от них получено согласие на использования данных в этом научном труде.

Проблема персональных данных и их защита рассматривалась в научных трудах многих российских ученых. Так особенности, содержание, способы, механизмы, технологии защиты персональных данных личности в контексте подготовки людских мобилизационных ресурсов в интересах обеспечения военной безопасности Российской Федерации анализировал В.А. Черных [20]; в правовом обеспечении предпринимательства – А.А. Гостев [8]; в сфере развития гражданского общества как фактора оптимизации социального контроля над деятельностью государства в условиях глобализации – С.А. Абакумов [7]; в системе противоборства с экстремизмом и терроризмом в России – А.Н. Гостев [10]; в анализе особенностей социального контроля деятельности вуза – О.В. Сельская [18]; в системе управления информационно-психологической зашитой социальной организации как фактора обеспечения безопасности личности – Д.В. Чистяков [21]; в разработке структуры информационных технологий в социальном управлении малыми производственными группами – И.В. Чернов [19]; в работе средств массовой информа- ции – С.А. Шуба [22]; в банковской деятельности Н.Ю. Моисеенко [14] и другие.

Специалисты-практики защиты персональных данных классифицируют эту информацию по категориям: 1) сведения о здоровье, личной жизни, политических взглядах; 2) информация позволяющая определить (идентифицировать) человека и в дальнейшем получить о нем другие сведения; 3) сведения, которые позволяют только идентифицировать человека; 4) различные обезличенные данные [9;11;12].

Как показывают результаты анализа научной литературы [7;14;19] и практики, утрата персональных данных угрожает гражданам в финансовой деятельности, в сфере медицинских услуг, в семейных отношениях и во многом другом.

В соответствии с российским законодательством [2; 4; 5] право на обработку данных наступает в нескольких случаях: если получено согласие на обработку (необязательно письменное); планируется заключение договора с субъектом (даже в случае оферты на веб-сайте); обрабатываются персональные данные своих сотрудников; в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.

Если нет возможности доказать законность перечисленных оснований обработки, то на виновного налагается штраф.

Результаты исследования показали, что основными путями совершенствования защиты персональных данных сотрудников вузов должны быть (см. Рисунок 2): организация административного и общественного контроля; качественная подготовка, воспитание кадров системы защиты персональных данных; создание и использование отечественного технического оборудования и программного обеспечения.

Результаты наблюдения практики показывают, что рассматриваемая проблема является значимой в системе обеспечения общественной безопасности государства, поэтому Роскомнадзор проводит проверки выполнения законодательства в рассматриваемой сфере.

Проверяемыми показателями всегда бывают: наличие документов, регламентирующих работу с персональными данными, находящимися в публичном доступе; обоснование необходимости сбора данных; надежность защиты информации о персональных данных от внешних (зарубежных) интересантов; удовлетворение запросов и требований субъектов персональных данных [3; 5].

Очевидно, что защита персональных данных граждан России и, в частности, сотрудников образовательных организаций в условиях общественной неопределенности, осуществляется на двух уровнях: общественно-психологическом и технологическом. На первом уровне надежность защиты зависит от личности человека, на втором – от качества технических средств.

На первом уровне защиты задача состоит в подборе, отборе, обучении, воспитании кадров, работающих с персональными данными. Результаты опроса экспертов показали, что бóльшая их часть уверена, что разглашение персональных данных в основном осуществляется сотрудниками, работающими в системе защиты этой информации (см. Рисунок 3).

Результаты наблюдения практики показывают, что уязвимость информационных систем на втором уровне зависит от качества: а) оборудования для обработки, хранения, передачи информации б) программного обеспечения организации.

В настоящее время по сложности отечественные системы защиты персональных данных сотрудников вуза подразделяются на категории: 1) полная защита специальных персональных данных (национальная и расовая принадлежность, отношение к религии, состояние здоровья и личная жизнь); 2) защита биометрических данных (в том числе фотографии, отпечатки пальцев); 3) защита общедоступных данных, которые представляются человеком в обычной жизни; 4) все другие данные, не заявленные выше [2-а,е].

Априори, защита имеющейся в организации информации о персональных данных сотрудников на каждом уровне имеет особенности, обусловленные человеческим фактором. Так, на четвертом уровне исключается доступ в помещения с техническим оборудованием посторонних лиц, используются специальные средства защиты информации. На третьем – дополнительно назначается должностное лицо, ответственное за сохранность общедоступных данных. На втором – дополнительно вводится ограничение доступа к электронному журналу безопасности. На первом – обеспечивается автоматическая регистрация в электронном журнале безопасности полномочий сотрудников, имеющих доступ к данным, создается специальное подразделение.

Практика защиты персональных данных сотрудников вуза, строится из технических и организационных мер, которые включают: установление тождественности неизвестного объекта известному (идентификация) и проверку подлинности (аутентификация) субъектов и объектов доступа; систему управления доступом; ограничение программной среды; физическую защиту машинных носителей

НАЗОВИТЕ ОСНОВНЫЕ ПУТИ СОВЕРШЕНСТВОВАНИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СОТРУДНИКОВ ВУЗА

1. Улучшить организацию контроля защиты данных - 36,6%

2. Создать систему отбора, обучения и воспитания кадров - 40,3% з. Разработать отечественное техническое оборудование и программное обеспечение - 21,3%

4. Нет ответа - 1,9%              __________________________________

Рисунок 2. Мнение экспертов о путях совершенствования системы защиты персональных данных сотрудников вуза

ПО ВАШЕМУ МНЕНИЮ, ОПАСНОСТЬ РАЗГЛАШЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ СОТРУДНИКОВ ОРГАНИЗАЦИИ В БОЛЬШЕЙ СТЕПЕНИ ЗАВИСИТ ОТ ЧЕЛОВЕКА ИЛИ ОТ ТЕХНИЧЕСКИХ СРЕДСТВ?

• 1.    От человека            - 75,5%

• 2.    От технических средств - 12,5%

• з.    Затрудняюсь с ответом - 12%

  

  Рисунок 3. Факторы разглашения персональных данных сотрудников организации

  
  

информации; антивирусную защиту; профилактику внеплановых вторжений. Реализация этих мер обеспечивается средствами антивирусной и криптографической защиты, межсетевыми экранами, блокирующими устройствами ввода-вывода информации; системами ограничения вывода информации из защищаемого периметра; аппаратурой исключения утечек сведений по техническим каналам связи (генераторы шумов, экранированные кабели).

Законодатель обязал проявлять инициативу в применении дополнительных мер по нейтрализации угроз, если вышеуказанные воздействия не обеспечены техническими возможностями [5; 6]. Субъекты защиты персональных данных в своей деятельности могут выбирать те технические средства, которые обеспечивают требуемый уровень защиты. Эти средства определены ФСТЭК России. Например, шифрование текста цифровым кодом (криптографические средства), это надежный способ, так как противник (злоумышленник), без знания кода не сможет воспользоваться данными, даже если получит к ним доступ.

В Приказе № 21 ФСТЭК России определены 15 групп технических мер [5, раздел 2, п.8], в каждой из них регламентированы базовые, обязательные и рекомендуемые меры, которые оператор может использовать по своему усмотрению в зависимости от уровня сложности угроз безопасности персональным данным.

Результаты опроса экспертов показывают, что в настоящее время образовательные организации испытывают несколько системных проблем в организации защиты персональных данных своих сотрудников (см. Рисунок 4)

Для вуза защита персональных данных является сложной кадровой организационной проблемой.

Так, для защиты баз данных 1, 2 и 3 класса нужна лицензии ФСТЭК, для применения средств криптографической защиты – лицензия ФСБ. Для получения этих документов сотрудники организации должны обладать соответствующими компетенциями (знаниями, умениями, навыками работы с персональными данными), а их рабочие места обеспечиваются специальным оборудованием и находятся в защищенных помещениях. Кроме того, защита персональных данных 1 класса приравнена к защите сведений, содержащих государственную или коммерческую тайну. Здесь есть обязательное требование – защита этих данных от утечек из-за электромагнитных импульсов вычислительной техники и средств связи. Априори, для небольших организаций решение это задачи затруднительно.

Исследование выявило такую проблему: предлагаемые лицензионные программы защиты персональных данных не соответствуют требованиям нормативных актов или неприменимы в условиях хранения и обработки больших объемов данных, поскольку не отвечают техническим требованиям.

До начала работы с информационными базами персональных данных контролирующие структуры проводят проверку на соответствие защиты требованиям, предъявляемым к 1, 2 и 3 классу, проводится аттестация системы обработки данных. Такая проверка обязательна для всех организаций. По результатам оформляется аттестат, который действует в течение трех лет. А для внесения корректировок (в том числе установки новых программ, перестановки компьютера из одного кабинета в другой) требуется согласование с органом, проводившим проверку безопасности базы данных.

Еще одной проблемой является недостаточное количество лицензированных организаций,

КАКОВЫ ОСНОВНЫЕ ПРОБЛЕМЫ ВУЗА В ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СОТРУДНИКОВ?

• 1.    Недостаток квалифицированных кадров - 37,5%

• 2.    Сложность лицензирования подобной деятельности - 38,4%

• з.    Низкий уровень технического обеспечения - 18,1%

• 4.    Затрудняюсь с ответом - 6%

  
  
  
  

  Рисунок 4. Проблемы вузов в организации защиты персональных данных сотрудников

  
  

специализирующихся на предоставлении услуг по технической защите конфиденциальных данных. Причина состоит в сложности лицензирования и получения аттестата на работу с персональными данными из-за ограниченного количества специалистов с информационно-коммуникационной квалификацией.

Решение проблем защиты подобной информации можно оптимизировать, если использовать лицензионные программы обработки персональных данных, аттестованных по требованиям безопасной.

Априори, высокого (надежного) уровня защиты персональных данных всех граждан России невозможно достичь без создания собственных информационно-коммуникативных технологий, то есть без обеспечения импортонезависимости в этой сфере общественной безопасности (см. Рисунок 2).

Результаты анализа научной литературы о вузовской практике показывают, что государственная экономическая политика по обеспечению импорто-независимости в сфере информационных технологий ИКТ стала результативной [13]. Так, закупки иностранного средств ИКТ стали ограничиваться ФСТЭК России в форме отказа от их сертификации. Это позволило стимулировать закупки вузами российского программного обеспечения.

В настоящее время решение комплексных задач обеспечения импортонезависимости от средств иностранных ИКТ в контексте защиты персональных данных сотрудников образовательных организаций регулируется Доктриной информационной безопасности [4-г]. Как показывают результаты анализа научной литературы задачи программы «Цифровая Россия» о поддержке развития не менее 10 систем (флагманов) отечественных ИТ-решений, которые были бы конкурентоспособны на мировом рынке, успешно выполняются.

В настоящее время в информационное обеспечение процесса внедрения российских средств ИТК в отечественные организации включились и силы и средства общественного контроля. Например, общественная организация «Центр компетенций по импор-тозамещению программного обеспечения в сфере науки и высшего образования» организовала горячую линию технической поддержки. Активно работают и другие организации институтов гражданского общества: Ассоциация «Доверенная платформа», АНО «Цифровая Экономика», Консорциум «Телекоммуникационные технологии», Консорциум «Телекоммуникационные технологии», Консорциум «Вычислительная техника», Консорциум дизайн-центров и предприятий радиоэлектронной промышленности, Ассоциация российских разработчиков и производителей электроники [15].

Но количество рисков утраты сведений о персональных данных постоянно растет. Тенденция последних лет такова: информационная система обеспечения безопасности данных перестает отвечать требованиям времени и внедряемым государственным стандартам в течение 6 месяцев.

Снижает уровень рисков внедрение отечественных средств ввода, обработки, а также хранения персональных данных на серверах, расположенных в России.

Таким образом, проблема защиты персональных данных сотрудников вузов – реализация их права на частную жизнь в условиях проведения Россией специальной военной операции на Украине перспективы развития негативных военных, социально-экономических и других процессов остаются неясными, неопределенными.

Проблема персональных данных и их защита становится предметом исследования ученых гуманитарных, технических, военных и других специальностей. Наиболее закрытой должна считаться персональная информация первой категории: сведения о здоровье, личной жизни, политических взглядах человека. Прямое право на обработку данных наступает в случаях получения согласия человека на эту процедуру.

Основными путями совершенствования защиты персональных данных сотрудников вузов являются организация административного и общественного контроля; качественная подготовка, воспитание кадров системы защиты персональных данных; создание и использование отечественного технического оборудования и программного обеспечения.

Защита персональных данных граждан России и, в частности, сотрудников образовательных организаций в условиях общественной неопределенности, осуществляется на двух уровнях: общественно-психологическом и технологическом. На первом уровне надежность защиты зависит от личности человека, на втором – от качества технических средств.

Для вуза защита персональных данных является сложной кадровой организационной проблемой. Так, для защиты баз данных 1, 2 и 3 класса нужна лицензии ФСТЭК, для применения средств криптографической защиты – лицензия ФСБ. Для получения этих документов сотрудники организации должны обладать соответствующими компетенциями (знаниями, умениями, навыками работы с персональными данными), а их рабочие места обеспечиваются специальным оборудованием и находятся в защищенных помещениях. Кроме того, защита персональных данных 1 класса приравнена к защите сведений, содержащих государственную или коммерческую тайну. Здесь есть обязательное требование – защита этих данных от утечек из-за электромагнитных импульсов вычислительной техники и средств связи.

Эффективность разрешения проблем защиты персональных данных обусловлена уровнем обеспечения импортонезависимости в средствах информационных технологий.