На сайте ФСТЭК России появилась информация о прекращении действия сертификата для платформы «Дневник.ру», дающего возможность работы с персональными данными. Это может быть шагом к началу переноса данных российских школьников в единую базу «Госуслуг». До сих пор они находились вне этой системы.
- Введение
- Образовательная платформа «Дневник.ру»
- Персональные данные школьников
- Развитие платформы в 2022 году
- Регистрация через «Госуслуги»
- Конфиденциальность и развитие этических норм
- Выводы
- Updated: «Дневник.ру» опроверг домыслы…
Введение
Анализ Государственного реестра сертифицированных средств защиты информации, размещённого на сайте ФСТЭК России, показал, что в конце марта этого года регулятор «планово» прекратил действие сертификата для образовательной платформы «Дневник.ру». Этот документ подтверждал соответствие всех регламентов платформы требованиям Руководящего документа на средства вычислительной техники (РД СВТ) по 5-му классу защищённости. Наличие сертификата давало оператору право обрабатывать конфиденциальные данные после проведения соответствующей аттестации.
Согласно реестру ФСТЭК России, сертификат был выдан 12 лет назад — в 2011 году. По данным сайта «Дневник.ру», срок действия документа продлевался каждые два года. Благодаря этому портал активно развивался с 2012 года, там были накоплены обширные данные об успеваемости миллионов российских школьников.
Как нам сообщили в пресс-службе «Дневник.ру», подтверждающим документом, разрешающим применение определенного инструмента для работы с персональными данными в соответствии с требуемым уровнем защищенности, служит аттестат. В аттестате указаны все допустимые организационные и технические способы защиты. Сертификат же подтверждает определенный уровень защищенности, который способен обеспечить данный инструмент при работе с персональными данными.
В то же время, хотя наличие сертификата формально не является основанием для обработки персональных данных с определенным уровнем защиты, прекращение его действия делает недействительными выданные аттестаты. Следует также отметить, что получение сертификата (в том числе его продление) является достаточно затратным мероприятием, требующим привлечение внешних аудиторов и организации работы профильной комиссии.
В то же время, как заверили позднее в компании «Дневник.ру», прекращение действия сертификата никак не связано с переносом сведений в единую базу данных «Госуслуг» и объясняется его обновлением в соответствии с проводимыми плановыми работами по развитию сервиса.
Прекращение действия сертификата ФСТЭК России может означать, что работу платформы «Дневник.ру» ждут значительные изменения. До сих пор она выступала как оператор персональных данных школьников, их родителей и учителей, предоставляя им централизованные услуги для образовательного процесса. Теперь ситуация, похоже, изменится.
Рисунок 1. Запись о сертификате ФСТЭК России для платформы «Дневник.ру»
Образовательная платформа «Дневник.ру»
Созданная в 2007 году цифровая образовательная платформа «Дневник.ру» объединяет в настоящее время, как следует из опубликованной на её официальном сайте информации, 890 057 преподавателей, 8 457 600 учащихся и 4 648 557 родителей. Сеть предоставляет доступ к передовым технологиям автоматизации учебного процесса, онлайн-инструментам для образования и современным способам общения с родителями.
Наиболее быстро платформа «Дневник.ру» развивалась в период с 2008 по 2014 гг. В конце декабря 2009 г. вышло распоряжение Правительства РФ, в котором указывалось, что начиная с 2014 г. все российские школы будут обязаны предоставлять информацию о посещаемости и успеваемости учащихся в электронном виде через портал госуслуг. После этого появилась очевидная потребность в выборе подходящего онлайн-инструмента.
После получения в 2011 году сертификата ФСТЭК России платформа «Дневник.ру» де-факто стала для школ «предпочтительным для выбора инструментом». В 2012 году проект «Дневник.ру» стал резидентом Фонда «Сколково».
Уже за первый 2012-2013 учебный год к платформе «Дневник.ру» присоединились тысячи российских школ. В шести регионах РФ был запущен специальный проект «Школа без бумажного журнала», в рамках которого несколько образовательных организаций полностью перешли на электронный документооборот. Онлайн-инструмент «Дневник.ру» позволил отказаться от традиционного бумажного дневника жителям России и Украины, где данная платформа получила наибольшее распространение.
На сегодняшний день благодаря платформе «Дневник.ру» в 45 регионах РФ отказались от использования бумажного дневника и подачи отчётности по успеваемости на бумажных носителях. Например, все школы в Тамбовской области и Республике Северная Осетия — Алания были переведены на учёт успеваемости и посещаемости только в электронном виде.
Персональные данные школьников
Сооснователями платформы «Дневник.ру» стали предприниматели Гавриил Леви и Александр Зубков.
Гавриил Леви, родом из Санкт-Петербурга, закончил с отличием Колумбийский университет (США). После окончания вуза работал в брокерской онлайн-компании Capital Market Services LLC. Позднее он вернулся в Россию для открытия европейского офиса этого американского стартапа, руководителем которого стал в 2007 году.
В том же 2007 году Гавриил Леви основал в Санкт-Петербурге компанию «Дневник.ру» вместе с предпринимателем Александром Зубковым, выпускником Военной инженерно-космической академии им. А. Ф. Можайского; Зубков стал генеральным директором нового стартапа. В 2015 году Зубков заявил о прекращении работы в проекте, и гендиректором стал Леви.
Первая публичная презентация проекта «Дневник.ру» состоялась на выставке «Российский образовательный форум — 2008». Его инвесторами стали фонды Prostor Capital и Runa Capital.
Рисунок 2. Первая публичная презентация проекта «Дневник.ру» на выставке «Российский образовательный форум — 2008»
Вопрос о том, кто же управляет собираемыми на платформе «Дневник.ру» данными, был решён благодаря регистрации компании «Дневник.ру» в качестве оператора по обработке персональных данных в реестре Роскомнадзора под номером 09-0062296. Полное соответствие требованиям законодательства о защите персональных данных было подтверждено «Аттестатом соответствия требованиям по безопасности информации» под номером 878 от 01.06.2012, выданным организацией «ЗащитаИнфоТранс», сертифицированной ФСТЭК России на проведение аттестационных мероприятий. Тогда же был получен сертификат ФСТЭК России № 2309 от 28.03.2011.
Во всех документах платформа «Дневник.ру» всегда указывалась как продукт российской компании.
Развитие платформы в 2022 году
Хотя ФСТЭК России прекратила действие сертификата для «Дневника.ру», похоже, речь не идёт о прекращении работы платформы: мы не нашли информации о продлении разрешительного документа.
Известно, что платформа «Дневник.ру» активно развивалась в последние годы. На её официальном сайте сообщается, что в период школьных локдаунов во время пандемии у неё появился ряд новых решений, которые позволяют упростить взаимодействие между учителями, учениками и родителями.
Одной из новинок стала возможность выдавать домашние задания на сервисах «Skysmart Класс», «Учи.ру», Mindfactory и др. напрямую через электронный журнал «Дневника.ру». Появились также интерактивные материалы, которые содержат готовые задания по определённым темам, видеоуроки, тренажёры для подготовки к ЕГЭ и ОГЭ.
Кроме этого, министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев заявил в октябре 2021 года, что Минцифры планирует ввести на портале «Госуслуги» учётные записи для детей, не достигших 14 лет. Эта возможность должна появиться на сайте до конца 2022 года.
«У нас сейчас очень много сервисов, ориентированных на детей: электронный дневник, доступ к цифровому контенту. Поэтому до конца года 2022 мы обязательно сделаем возможным получение учётной записи на портале госуслуг для детей, которые не достигли возраста, необходимого для получения паспорта».
Регистрация через «Госуслуги»
Ещё во время пандемии на платформе «Дневник.ру» появилась возможность входа в систему через портал госуслуг. Это облегчало родителям и учителям доступ к дневникам школьников. В то же время сами несовершеннолетние школьники не были охвачены возможностью подключения через «Госуслуги», формально — из-за отсутствия общегражданского паспорта, по которому выполняется регистрация.
Известно, что в настоящее время дети младше 14 лет могут оформить на портале госуслуг только упрощённую учётную запись, при этом из профиля их законного представителя доступна значительно большая часть сервисов. Полная учётная запись доступна для несовершеннолетних только после получения паспорта.
Рисунок 3. Интеграция платформы «Дневник.ру» с учётной системой «Госуслуг» появилась ещё во время пандемии
По данным сайта проекта, в 2021-2022 гг. продолжалось совершенствование платформы и мобильных приложений. Происходящие изменения могут указывать на то, что персональные данные, которые до сих пор хранились на платформе «Дневник.ру», будут переведены в хранилище портала «Госуслуги». Это позволит объединить сервисы. Такая версия согласуется с тем, что разрешение от ФСТЭК России на работу с персональными данными для «Дневника.ру» не было продлено.
Конфиденциальность и развитие этических норм
Конфиденциальность и защита данных регулируются в каждой стране законодательством. Помимо Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ, который действует в России, существуют также Европейский общий регламент о защите данных (GDPR), Закон штата Калифорния о конфиденциальности потребителей (CCPA), Бразильский общий закон о защите данных (LGPD) и другие. Их положения служат для обеспечения конфиденциальности и защиты данных.
Рисунок 4. Данные платформы «Дневник.ру» относятся к информации 5-го класса защищённости
В то же время перенос данных с платформы «Дневник.ру» в «Госуслуги» является значимой с точки зрения законодательства операцией. Поскольку каждая российская компания выступает как отдельный оператор, необходимо получить согласие каждого участника на передачу его персональных данных из одной компании в другую (ч. 4 ст. 9 Закона «О персональных данных»). Поэтому перенос информации из «Дневника.ру» в «Госуслуги» выглядит пока неопределённым с точки зрения законодательства.
Это может сказаться также на различных сервисах, которыми пользуются школы. Например, известно, что в школах ведётся видеомониторинг соблюдения дисциплины. Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. В то же время если применение видеокамеры позволяет осуществлять идентификацию лица, например для раскрытия правонарушений, то записи с камеры должны рассматриваться как источники персональных данных. Перенос информации в единую базу «Госуслуг» может потребовать внесения изменений на законодательном уровне.
Рисунок 5. Интернет-сайты занимают третье место по числу жалоб, поступающих от населения (данные Роскомнадзора, 2020 год)
Выводы
ФСТЭК России объявила о прекращении действия сертификата, выданного платформе «Дневник.ру» для работы с персональными данными школьников, родителей и учителей. В то же время платформа продолжает работать, а Минцифры обещает подключить детей до 14 лет к сервисам портала «Госуслуги». По-видимому, накопленные на платформе «Дневник.ру» данные будут перенесены на новое место. По срокам это должно произойти уже в текущем году.
Updated: «Дневник.ру» опроверг домыслы…
Как сообщила пресс-служба «Дневник.ру», ранее полученный «аттестат соответствует 2 уровню защищенности и действует до 26.12.2022. Согласно регламенту, средство защиты информации может применяться, если вышел срок действия сертификата соответствия, при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки.
В связи с этим, «Дневник.ру» отреагировал на данную публикацию. Было высказано мнение, что информация была «подана некорректно и содержит домыслы, не соответствующие действительности и официальным регламентам».
Было сообщено, что работы по продлению аттестата уже ведутся и будут завершены в декабре 2022 года. Вместе с этим ведется и пересертификация средств защиты, которая планово будет завершена до конца 2022 года».
Из этого можно сделать вывод, что работа «Дневник.ру» продолжится и после окончания 2022 года. Однако возникновение «необычного разрыва» в сроках пересертификации может указывать на то, что изменения в работе веб-портала в конце 2022 года всё-таки произойдут.
С учетом обновлённой информации можно предположить, что государственному сервису «Госуслуги» может быть передана часть функций «Дневник.ру» (lite-версия), тогда как основная часть его функциональномти, а также развитие новых инструментов останутся на базовом проекте. Наше предположение основывается на упомянутом заявлении Максута Шадаева, в том числе и предложенное объяснение причин задержки с обновлением сертификата.
Мы планируем держать читателей Anti-Malware.ru в курсе происходящих изменений, тем более что если действительно речь идет о переносе персональных данных несовершеннолетних, то этот проект можно считать инновационным в глобальном масштабе.