Организация ИБ в учебном заведении должна быть системной: политика, процессы, технические средства, обучение и контроль. Ключевые направления и конкретные меры.
Политика и управление
- Назначить ответственных: руководитель ИБ и/или уполномоченный по защите персональных данных (DPO).
- Разработать и утвердить политику обработки и защиты ПДн, правила удалённой работы и BYOD, процедуру уведомления об инцидентах.
- Проводить оценку воздействия на защиту данных (DPIA) при внедрении новых дистанционных сервисов.
- Заключать договоры о защите данных с поставщиками (DPA), требовать соответствия стандартам и SLA.
Классификация и минимизация данных
- Инвентаризировать какие ПДн собираются/хранятся и где находятся (LMS, почта, облако).
- Принцип минимизации: хранить только необходимые поля, сократить сроки хранения, внедрить правила удаления/анонимизации.
Доступ и аутентификация
- Учетные записи выдавать централизованно (школа/университет), не использовать личные почты/аккаунты.
- Применять многофакторную аутентификацию (MFA) для сотрудников и администраторов.
- Разграничение прав по роли (RBAC) — доступ по принципу наименьших привилегий.
- Регулярные ревизии доступов и удаление неактивных аккаунтов.
Технические меры
- Шифрование трафика: HTTPS/TLS для всех сервисов; при необходимости E2EE для видеоконференций.
- Шифрование данных в покое (например, на серверах и резервных копиях).
- Обновления и управление уязвимостями: централизованное обновление ПО, патч-менеджмент.
- Антивирус/EDR и межсетевые экраны, сегментация сети для учебных/административных систем.
- Защита конечных устройств: MDM/управление политиками для школьных устройств, требования к устройствам при BYOD (контейнеризация, антивирус).
- Логи и мониторинг: централизованный сбор логов, SIEM/альтернативы, регулярный аудит и анализ аномалий.
Безопасность дистанционных занятий
- Использовать сертифицированные/одобренные платформы (LMS, видеоконференции) с контрольным списком безопасности.
- Для видеозвонков: защищённые ссылки, пароли/ ожидание в «приёмной», отключение общего доступа для гостей, запрет анонимного входа, управление правами участников (кто может записывать, делиться экраном).
- Политика записи занятий: хранение записей только в контролируемых хранилищах, доступ по ролям, уведомление и получение согласия при необходимости.
- Ограничивать обмен файлов: централизованное хранилище с антивирусной проверкой; запрещать пересылку ПДн по личным каналам.
- Защита оценок/экзаменов: уникальные ссылки, тайминг, проctoring с соблюдением приватности или альтернативные методы контроля.
Третьи стороны и облако
- Оценивать безопасность поставщиков перед подключением (опросники, сертификации).
- Заключать соглашения о обработке данных, требовать прав на удаление и доступ к аудитам.
- По возможности предпочитать локальное хранилище или зашифрованные облачные решения с контролем ключей.
Обучение и культура
- Регулярные тренинги для учителей, сотрудников, учащихся и родителей по фишингу, безопасному использованию платформ, управлению паролями и приватности.
- Инструкции: как безопасно подключаться из дома, как сообщать об инцидентах.
Инцидент-менеджмент и аудит
- Процедура реакции на утечки (оповещение, локализация, уведомление пострадавших/регулятора).
- Регулярные аудиты, тесты на проникновение и проверки соответствия.
- План резервного копирования и восстановления (проверяемые бэкапы, хранение вне сети).
Юридические и организационные требования
- Соблюдать национальное законодательство о ПДн и требования родителей/опекунов по согласию.
- Документировать основания обработки, сроки и цели; вести реестр операций с ПДн.
Краткий контрольный список для немедленных действий
- централизованные аккаунты + MFA;
- утверждённая платформа для дистанта и запрет личных встреч/каналов;
- шифрование трафика и данных;
- политика записи и хранение в контролируемых хранилищах;
- обучение персонала по фишингу;
- договоры с поставщиками и DPIA.
Эти меры в комплексе снижают риск утечек и обеспечивают правовую и техническую защиту ПДн учащихся при дистанционном обучении.