Защита персональных данных в университетах: нормы и рекомендации. Часть 2

Продолжим рассмотрение этой непростой темы вместе с нашим экспертом Натальей Лабынцевой, ведущим консультантом по информбезопасности компании «Киберинтеллектуальная трансформация», дополнив материал мнением директора дирекции по информбезопасности Томского государственного университета Тимура Газизова и начальника управления цифровых технологий СибГМУ Александры  Шмыриной.

Атака

Самым распространенным способом утечки ПДн является злоумышленная атака с внешнего периметра на информационные ресурсы ВУЗ. В результате таких внешних атак нарушители могут:

• получить доступ к электронной почте ВУЗ, в которой зарегистрированы почтовые ящики как сотрудников, так и студентов, и, соответственно, получить доступы к перепискам и пересылаемым файлам;
• получить права доступа к внешним сайтам и ресурсам ВУЗ, включая порталы дистанционного обучения, личные кабинеты и т.д.

Стоит отметить, что злоумышленники могут получить доступ не только путем эксплуатации известных уязвимостей, но и из-за слабостей парольных политик. Так, например, специалисты по анализу защищенности (при проведении легитимных работ) находят учетные записи и осуществляют вход через них с использованием «пароля по умолчанию» или типовых словарных паролей, которые легко перебрать (password, 1235678 и т.д.).

Человеческий фактор

Не стоит забывать про социальную инженерию. Очень часто сотрудники университетов получают различные сообщения в почте и мессенджерах, а иногда и телефонные звонки от мошенников. Цель таких сообщений или звонков – заставить жертву ввести личные данные под разными предлогами. Соответствующие деструктивные активности направлены не только на получение доступа к ресурсам вуза, но и на использование полученной информации для финансовой или иной выгоды.

Если говорить про социальный (человеческий) фактор, то в том числе можно затронуть вопросы информационной осознанности сотрудников при обработке ПДн. Так, некоторые люди могут не задумываться о том, что те или иные данные относятся к ПДн и что их стоит использовать и передавать с соблюдением конфиденциальности. Например, не стоит передавать документы, содержащие ПДн студентов или коллег-работников, во всеми используемых мессенджерах или публиковать такие документы в облачных хранилищах, не принадлежащих университету. Такие передачи являются неконтролируемыми и нет точных гарантий, что переданные файлы не будут распространяться дальше. Также бывают случаи, когда бумажные носители ПДн оставляют без присмотра или забывают правильно их утилизировать (уничтожить), что потенциально тоже создает риски для утечки ПДн (например, посторонний человек может подобрать бумаги и использовать в своей выгоде).

Самый честный ответ: людей продолжают обманывать теми же методами, что и 10–20 лет назад – фишинг и социальная инженерия по‑прежнему в топе. Поддельные «кабинеты студента», «порталы для абитуриентов», рассылки «от деканата» – и логины с паролями утекли. Параллельно стреляют банальные косяки: эксельки со списками студентов в открытых облаках, файлы ПДн на домашних ноутбуках, общие учётки «для кафедры». Тут ничего не поделаешь: буквально на прошлой неделе увели почтовый аккаунт одного из сотрудников и запустили рассылку в Венесуэлу (лимит на отправку писем с адреса конечно сработал, но инцидент состоялся), в результате разбора, выяснилось, что сотрудник перешел по ссылке и ввел данные своего почтового ящика самостоятельно.

Как организовать защиту персональных данных при дистанционном обучении и использовании онлайн-сервисов вуза

В первую очередь для организации дистанционного обучения рекомендуется использовать только те ресурсы, которые принадлежат университету или которые им арендуются как сервис (SaaS). Таким образом минимизируется передача данных через сторонние приложения и сервисы без контроля со стороны вуза, поскольку учреждение в явном виде обозначило список сервисов и сайтов, используемых для официального взаимодействия. При использовании собственных ресурсов данные хранятся на вычислительных мощностях учреждения, защиту которых он обеспечивает самостоятельно; при использовании «арендуемых» ресурсов защиту данных частично обеспечивает провайдер-поставщик услуг на основании заключенного договора. То есть в обоих случаях определены зоны ответственности по обеспечению кибербезопасности, и защиты ПДн.

Необходимо:

• разграничить права доступа таким образом, чтобы студенты и сотрудники видели только ту информацию, которая им предназначена и необходима. То есть исключить возможность того, что, например, преподаватель может увидеть ПДн студентов, которых не обучает, а студенты – иных студентов вне своей академической группы;
• внедрить парольную политику для всех пользователей онлайн-сервисов, а именно установить сложность пароля (минимальная длина, использование спецсимволов и т.д.), правила периодической смены пароля (например, раз в семестр или год), количество неуспешных попыток входа и правила блокировки;
• отключать (удалять) учетные записи пользователей после завершения обучения, отчисления или увольнения;
• обеспечить безопасную передачу данных с использованием алгоритмов шифрования.

Также при дистанционном обучении рекомендуется обмениваться файлами со студентами либо с использованием защищенных облачных хранилищ, либо иными способами, но с использованием запароленных архивов. При этом пароль от архива лучше всего передавать отдельно. Например, запароленный архив можно передать по электронной почте, а пароль от него – через чат со студентами.

Двухфакторная аутентификация, а что еще?

Необходимо понимать, что использование двухфакторной авторизации (2FA) не является панацеей, обеспечивающей гарантированную безопасность внешних ресурсов. Эффективную защиту обеспечивает совокупность механизмов защиты, включающая парольную политику, применение WAF, безопасную настройку web-сервисов, анализ уязвимостей и их устранение, мониторинг событий и т.д. 2FA предназначена для контроля входа, а именно для подтверждения подлинности доступа с использованием «доказательства». В качестве доказывающего фактора может выступать код, который при попытке входа отдельно направляется на электронную почту или номер телефона, кодовое слово, второй пароль.

Многофакторная аутентификация эффективно работает при атаках, направленных на перебор пароля, или при компрометации учетных данных, подчеркивает эксперт. Так, если ввести подобранный или скомпрометированный пароль, то от злоумышленника потребуется ввод еще дополнительного фактора – кода подтверждения, например. Также стоит отметить, что помимо реализации 2FA-механизма его необходимо безопасно настроить, чтобы при вводе злоумышленник не смог перебирать второй фактор. Например, ограничение времени жизни кода или попыток ввода.

2FA – из серии «дёшево и сердито»: при массовых атаках на учётки она спасает лучше большинства сложных схем, и да, даже в 2026‑м это всё ещё must‑have. Суть простая: пароль + второй фактор – одноразовый код из SMS, приложения (TOTP), push‑подтверждение или аппаратный токен. Для вуза разумная стратегия – не изобретать велосипед, а опираться на уже используемые технологии: интегрировать 2FA с существующей связкой VPN/ViPNet, каталогом пользователей и возможностями самой LMS, чтобы не городить пять разных способов входа для одного и того же студента. Просто в качестве примера: сейчас в ТГУ запущен пилотный проект по доступу в корпоративную сеть с дополнительной авторизацией через мессенджер MAX, аналогично доступу в Госуслуги.

Наиболее безопасным вторым фактором является одноразовый код, поскольку его можно сгенерировать случайным образом. При этом необходимо направлять коды подтверждения на контактные данные, которые были указаны пользователем при регистрации, а не запрашивать их в момент попытки входа. Такой подход минимизирует риск утечки информации для входа.

Стоит отметить, что двухфакторная аутентификация не эффективна при использовании методов социальной инженерии, когда злоумышленники путем манипуляций узнают у пользователей второй фактор.

Вузы и коммерческие структуры: есть ли разница в обработке данных?

Требования, установленные в 152-ФЗ, обязательны к применению для каждого оператора ПДн вне зависимости от сферы деятельности, государственного участия и организационно-правовой формы юридического лица. Поэтому с точки зрения законодательства принципы защиты ПДн для коммерческих компаний и вуза не отличаются. Однако университеты обрабатывают огромное количество ПДн, которые относятся к разным категориям субъектов ПДн. Так, помимо ПДн преподавательского состава и обычных сотрудников, в университет обрабатываются ПДн:

• абитуриентов и их представителей (родители, опекуны, попечители);
• студентов и их представителей (родители, опекуны, попечители);
• научных сотрудников, исследователей, аспирантов;
• соискателей на вакантные должности;
• ближайших родственников сотрудников;
• посетителей, которым необходим однократный пропуск на территорию университета в связи с определенными мероприятиями и потребностями;
• слушателей, которые получают дополнительное образование, проходят повышение квалификации и т.д.;
• представителей контрагентов, партнеров, благотворителей, добровольцев (волонтеров) и физических лиц, привлекаемых по гражданско-правовым договорам;
• посетителей официального сайта;
• иных лиц, которым университет оказывает те или иные услуги (например, пациенты университетской больницы).

При этом могут обрабатываться ПДн несовершеннолетних и иностранных граждан. Соответственно, перед университетом стоит задача обеспечивать защиту ПДн не по минимальным требованиям законодательства, а усиленно и осознанно с пониманием важности. Утечка ПДн, обрабатываемых университетами, может повлечь за собой не только финансовые риски (в виде выплат штрафов), но и такие негативные последствия, как социальные волнения (негативные статьи и комментарии в СМИ), травля гражданина, жалобы в органы власти и многое другое, что несет риски для государства. Поэтому можно сказать, что важность защиты ПДн в ВУЗ стоит выше, чем для коммерции.

Требования для всех организаций одинаковы. Специфика вузов (особенно медицинских) проявляется в объемах и категориях данных: обработка специальных категорий (состояние здоровья) и биометрических данных накладывает повышенные обязательства по защите.

Несмотря на отсутствие в 152-ФЗ различий по защите ПДн между университетами и коммерческими организациями, стоит отметить, что в нормативно-правовом регулировании по информационной безопасности существуют иные требования, которые необходимо учитывать отдельным учреждениям и организациям. С 1 марта 2026 года вступают в силу требования по защите информации, содержащейся в информационных системах государственных органов, государственных унитарных предприятиях и государственных учреждениях (приказ ФСТЭК России от 11.04.2025 № 117).

Университеты, являющиеся государственными учреждениями, обязаны учитывать утвержденные требования при обеспечении безопасности любых своих информационных систем, в том числе в которых обрабатываются ПДн. Так, например, 152-ФЗ для защиты ПДн допускает использование средств защиты информации, в отношении которых проведена оценка соответствия. На практике такая оценка проводится либо путем сертификации средства, либо путем самостоятельной оценки в виде испытания или приемки. Однако приказом ФСТЭК России № 117 установлено, что для защиты информации государственные органов и учреждения должны применять сертифицированные средства защиты информации. Таким образом, вуз должен внедрять и эксплуатировать сертифицированные средства для обеспечения безопасности своих информационных активов.

Соответственно, при проектировании и построении системы защиты недостаточно опираться только на 152-ФЗ, необходимо анализировать все применимые требования законодательства для создания комплексной системы обеспечения информационной безопасности с учетом отдельных особенностей деятельности.

Обучение для сотрудников

Обучение по вопросам обработки и защиты ПДн должны проходить все работники оператора, которые в рамках исполнения должностных обязанностей взаимодействуют с ПДн. Так, рекомендуется проводить обучение не только для специалистов отдела по защите информации, но и для сотрудников следующих подразделений:

• отдел кадров, управление персонала и т.д.;
• экономический отдел, бухгалтерия, финансовый отдел;
• приемная комиссия;
• деканаты и кафедры;
• отделы по работе со студентами, слушателями и иными обучающимися лицами;
• бюро пропусков;
• юридический отдел;
• отдел маркетинга, пресс-центр.

Для сотрудников, не являющихся специалистами по информационной безопасности, рекомендуется через обучение доносить важность защиты ПДн путем объяснения о реализованных мерах безопасности, т.е. рассказывать о существующих правилах и процедурах. В том числе важно обучить правовым аспектам обработки ПДн – наличие правовых оснований для обработки и важность получения согласия на обработку ПДн, возможность обработки без получения отдельного согласия, объяснение существующей терминологии (например, что есть передача, а что есть распространение ПДн).

Отдельный блок обучения рекомендуется посвятить уничтожению ПДн, в рамках которого рассказать о требованиях к уничтожению и о существующих способах. К сожалению, частая практика, что бумажные носители ПДн утилизируются без соблюдения установленных правил (например, без использования шредера). Соответственно, для того чтобы соблюдать установленные законодательством правила защиты ПДн и прав субъектов ПДн, необходимо их довести до сведения сотрудников.

Если говорить про специалистов по информационной безопасности, то их обучение затрагивает более широкий спектр тем, поскольку они выстраивают процессы защиты ПДн в соответствии с установленными требованиями и с учетом деятельности оператора. Так, специалисты по защите ПДн должны обучаться не только правовым и юридическим аспектам 152-ФЗ, но и изучать технические меры обеспечения ИБ для защиты информационных активов, в которых ведется обработка ПДн.

В нашем вузе эту задачу мы решаем в том числе за счёт обязательного онбординга для новых сотрудников – курса «КОД ТГУ», который встроен в стандартную адаптационную траекторию персонала. С учётом специфики университета я считаю необходимым, чтобы подобное обучение проходили не только новые сотрудники в рамках онбординга, но и все работники, имеющие доступ к персональным данным: кадровые службы, учебные отделы, деканаты, преподаватели, кураторы академических групп, сотрудники ИТ подразделений, а также руководители структурных подразделений, принимающие управленческие решения в части обработки ПДн.

Защита персональных данных в университетах: нормы и рекомендации. Часть 1