Блог Дмитрия Серженко

Disclaimer. Заместитель директора по информатизации школы № 509 Санкт-Петербурга, инженер ЦИО ИМЦ Красносельского района, ранее — заведующий ЦИО ИМЦ Петродворцового района. Всё представленное в этом блоге — личное мнение частного лица и не является официальной позицией какой-либо организации или органа власти (хотя и может с таковой позицией совпадать). Электропочта для связи: dmitry@serzhenko.ru

16 декабря 2014 года свершилось давно ожидаемое и неотвратимое: ГосДумой принят в третьем чтении в общем-то достаточно логичный закон «О внесении изменений в статьи 13 и 14 Федерального закона „Об информации, информационных технологиях и о защите информации“ и в КоАП (в части размещения официальных государственных и муниципальных сайтов на территории Российской Федерации)».

Эти изменения явным образом запрещают размещение официальных сайтов государственных органов и учреждений на зарубежных серверах, а за нарушение устанавливают административную ответственность.

Констатирую: сайты, размещённые на популярных конструкторах Google Sites, Wix, размещены за пределами РФ. Стало быть, после окончательного одобрения закона Советом Федерации и подписания закона Президентом, такие сайты не смогут более использоваться в качестве официальных сайтов образовательных учреждений.

UPD: Закон принят, подписан и опубликован. Вступает в силу с 1 июля 2015 года.

UPD2: Ранее в заметке была некорректная информация о том, что сервера uCoz также находятся за рубежом и попадают под данное ограничение. Это не соответствует действительности.

Опубликован приказ Рособрнадзора № 785 от 29.05.2014 «Об утверждении требований к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети „Интернет“ и формату представления на нём информации».

8 августа 2014, 10:06

В Интернет по паспорту

05.08.2014 было опубликовано Постановление Правительства Российской Федерации от 31.07.2014 № 758 «О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона „О внесении изменений в Федеральный закон „Об информации, информационных технологиях и о защите информации“ и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей“»

Кратко о его сути: Оно ограничивает использование платного и бесплатного анонимного доступа в интернет — как публичного, так и внутрикорпоративного. Абонент, подключённый к Интернету (юридическое лицо), обязан вести реестр пользователей, которые имеют доступ к Интернету с использованием его оборудования.

Постановление вступает в силу с 13 августа.

Таким образом, юрлицам необходимо, как минимум, составить реестр сотрудников, имеющих доступ к Интернету внутри организации. Полный перечень требуемых данных — в тексте Постановления. И обновлять этот реестр не реже раза в квартал.

Кроме того, остаётся вопрос, что делать со слушателями курсов (в случае школ — учениками), которые пользуются Интернетом. Варианта три:
а) запрещать им Интернетом пользоваться;
б) собирать с них ФИО, паспортные данные и прочую требуемую по Постановлению информацию;
в) делать вид, что никто из них доступа к Интернету не имеет, и не предпринимать никаких действий в рамках этого Постановления.

Конечно, всё это верно, если я спросонья правильно всё прочитал и понял. :) Ссылка на полный текст есть, можете сами почитать и проанализировать текст.

15 июля 2014, 15:36

Янки гоу хоум?

С удивительной частотой стали появляться сообщения о региональных запретах использования сервисов Google в госучреждениях в целом и в образовании в частности.

Несколько самых свежих прецедентов:

  1. Так 26 июня стало известно о подобном запрете в Иркутской области.
  2. 2 июля Ирина Панфилова написала об аналогичном запрете в Самарской области.
  3. 8 июля то же самое сообщили и про Кировскую область. Там ещё и встреча с участием замдиректоров по ИКТ и системных администраторов образовательных организаций назначена на август — на ней будут даны «рекомендации», касающиеся исполнения предыдущего требования департамента по отказу от ресурсов Google.

Некоторые документы ещё более категоричны, электронными сервисами не ограничиваются:

Также обращаю внимание на недопущение содействия со стороны органов власти в организации образовательных программ и конкурсов, проводимых компанией Google.

Мотивация этих действий остаётся неясной. Точнее она достаточно ясна, но вызывает множество вопросов и сомнений. Но пока нет оснований полагать, что подобная рекомендация не прилетит и в Санкт-Петербург.

Вообще — завязываться на бесплатные сервисы коммерческих организаций чревато, как минимум, тем, что организация в любой момент может изменить условия предоставления сервиса или вовсе сервис закрыть — тот же Google неоднократно так поступал: Reader, Orkut, iGoogle, Picasa, etc (пользователи Интернета уже давно иронизируют над темпами закрытия проектов Google, уже даже создали виртуальное кладбище). Лично я всегда был против культа «работы с сервисами Google», потому что сам этот культ создаёт классическую ситуацию vendor lock-in. На самый распространённый аргумент: «Сервисы Google удобны тем, что там под одним аккаунтом есть сразу всё» — есть очевидный ответ: «Не надо носить все яйца в одной корзине». Корзина может прохудиться сама или её может уронить кто-то извне. И с большой долей вероятности можно будет не успеть эти яйца подобрать.

На всякий случай акцентирую внимание: я не фанатичный противник использования сервисов Google: у меня, например, планшет и один из двух смартфонов — на Android, я пользуюсь персональной (хотя персональной пользуюсь не особо, что уж говорить) и несколькими корпоративными почтами на Gmail, иногда использую Google Drive. Но я против навязывания Google-сервисов как эталона «веб 2.0/3.0/4.0». Обучать нужно работать с технологиями, а не конкретными реализациями. Обязательно на примере нескольких разных продуктов.

Но сейчас дело не в этом, сейчас мы сталкиваемся с более причудливой проблемой — проблемой запрета использования сервиса по административным каналам. И хорошо, если запрет сформулирован как запрет использовать сервисы Google. Хуже, если это запрет использования иностранных сервисов — им адекватной комплексной замены не найти, хотя, конечно, каждый отдельный сервис заменяется...

30 июня 2014, 17:29

Занимательная статья

Занимательная статья под названием «Опыт проверок Роскомнадзором операторов персональных данных за последний год» опубликована на «Хабрахабре» буквально сегодня. Коммерческая фирма, оказывающая консалтинговые услуги компаниям, описывает опыт проверок в сфере защиты ПДн и придирок Роскомнадзора к их клиентам.

21 июня 2014, 22:26

Вдогонку о ПДн

20 июня в Комитете по образованию состоялось совещание ответственных за информатизацию в районах с участием представителей Комитета информатизации и связи.

Ничего существенно нового они не сказали. Лишь акцентировали внимание на том, что разработанная методичка предназначалась изначально для ИОГВ, поэтому для конечных учреждений не всё может быть актуально. Рекомендовали здраво и рассудительно готовить документы, удаляя из шаблонов всё ненужное, вплоть до «даже если от документа останется пара предложений — тоже вполне уместно». Рассказали о каком-то своём совещании с представителями Роскомнадзора, на котором последние сказали, что «если в учреждении меньше 40 документов [в сфере защиты информации и персональных данных] — это плохо».

Насколько мы поняли, КИС всё-таки проанализирует свою методичку [ту, что для ИОГВ] на предмет актуальности для образовательных учреждений и через Комитет по образованию передаст в районы результаты своих исследований.

UPD: Передал. Скачать. Только не стоит забывать, что это не «универсальный рецепт», а лишь отправная точка для собственного актотворчества.

Буду держать в курсе.

Защита персональных данных уже на протяжении нескольких лет является головной болью образовательных учреждений: требование «обеспечить безопасность ПДн» есть, а как это делать — до сих пор было не совсем понятно.

Основными актами, регулирующими сферу защиты персональных данных, являются 152-ФЗ, несколько постановлений Правительства, приказы Роскомнадзора, ФСТЭК, ФСБ и Мининформсвязи.

В 2014 году КИС Петербурга разработал методичку «Обеспечение соблюдения конфиденциальности информации, доступ к которой ограничен в соответствии с
федеральными законами, в исполнительных органах государственной власти Санкт-Петербурга. Сборник типовых (примерных) форм организационно-распорядительных документов (версия по состоянию на 09.04.2014)». В администрации районов было разослано письмо, рекомендующее довести информацию о сборнике до руководителей подведомственных учреждений.

Сборник содержит 90 (!) документов и 318 (!!) страниц одних только типовых форм документов. Стоит заметить, что сборник изначально создавался для ИОГВ и поэтому местами содержит специфичную для них терминологию, но на их основе вполне можно разработать пакет документов и для государственных образовательных учреждений (в т.ч. дошкольных).

На сайте ЦИО размещён этот сборник типовых форм КИСа, а также раздаточные материалы вебинара «Обеспечение безопасности ПДн при их обработке в информационных системах персональных данных в образовательных организациях», проводившегося Академией АйТи 22 мая 2014 года