Защита персональных данных в университетах: нормы и рекомендации

Высшие учебные заведения, как и другие операторы персональных данных, сталкиваются с необходимостью строгого соблюдения требований российского законодательства по их защите. Как собирать, хранить, уничтожать, на какие законодательные нормативы опираться и кого учить обращаться с так называемыми ПДн в университетах?

С такими вопросами отправились к экспертам. Консультант по информбезопасности компании «Киберинтеллектуальная трансформация» Наталья Лабынцева подготовила подробнейший материал, а мы дополнили его мнением директора дирекции по информбезопасности Томского государственного университета Тимура Газизова. Публикуем первую часть, в которой расскажем об истории вопроса, нормативных актах, мерах защиты и процедуре уведомления Роскомнадзора.

База

Персональные данные (или сокр. ПДн) — это вся информация, связанная с физическим лицом, которая позволяет прямо или косвенно установить его личность. Это могут быть такие сведения, как фамилия, имя, отчество, пол, дата и место рождения, адрес проживания, уровень образования, семейное положение и прочее. Важно подчеркнуть, что данные становятся персональными лишь тогда, когда они связаны с конкретным человеком. Простой электронный адрес или телефонный номер сами по себе не считаются персональными данными, однако если они сочетаются с именем и фамилией, то попадают под категорию персональных данных, так как позволяют однозначно идентифицировать физическое лицо.

История вопроса в России

Первое юридическое определение понятию «персональные данные» было дано в России в 1995 году, в Федеральном законе № 24-ФЗ «Об информации, информатизации и защите информации», принятом 20 февраля 1995 года. Статья 2 указанного закона определяет персональные данные как «сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность». Именно эта формулировка долгое время служила основой для правового регулирования вопросов, связанных с обработкой и защитой личных данных граждан.

Однако современное регулирование персональных данных главным образом основывается на другом федеральном законе — Федеральный закон № 152-ФЗ «О персональных данных», вступивший в силу в июле 2006 года. Этот закон расширил и уточнил содержание предыдущего определения, став основным инструментом регулирования отношений в области обработки персональных данных.

Сегодня

Для любого оператора ПДн, включая высшие учебные заведения, обязательны к выполнению требования, установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) и его подзаконными актами, в частности:

• Постановление Правительства Российской Федерации (далее – РФ) от 01.11.2012 № 1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах ПДн»;
• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»;
• Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне информационных систем ПДн»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн»;
• Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите ПДн для каждого из уровней защищенности»;
• Приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн»;
• Приказ Роскомнадзора от 19.06.2025 № 140 «Об утверждении требований к обезличиванию ПДн и методов обезличивания ПДн, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О ПДн»;
• Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения ПДн».

Приведенный перечень не является исчерпывающим, существует еще множество нормативных и методических документов от регулирующих органов, которые необходимо учитывать и соблюдать при обработке ПДн. Стоит отметить, что установленные требования направлены не только на защиту ПДн как информации, но и на защиту самих субъектов ПДн (тех, к кому относятся обрабатываемые ПДн) и их прав.

Наталья Лабынцева, ведущий консультант по информбезопасности компании «Киберинтеллектуальная трансформация»

Меры защиты, которые должен реализовать университет

• назначить ответственного за обработку ПДн в учреждении;
• определить актуальные угрозы безопасности ПДн при их обработке в автоматизированных системах вуза (например, системы 1С, Moodle и т.д.);
• для каждой автоматизированной системы определить уровень защищенности ПДн, который необходимо обеспечивать;
• определить организационные и технические меры по безопасности, которые будут обеспечивать заданный уровень защищенности ПДн, спроектировать и внедрить их (проще говоря, создать комплексную систему защиты ПДн);
• обеспечивать безопасность ПДн при неавтоматизированной обработке;
• вести учет машинных носителей ПДн;
• проводить периодические аудиты, внутренние контроли и оценки эффективности реализованных защитных мер;
• осуществлять ознакомление работников с внутренними документами, определяющими правила обработки и защиты ПДн, а также проводить обучение по соответствующим вопросам;
• уничтожать ПДн в соответствии с требованиями, установленными нормативными актами, и с использованием средств, в составе которых реализована функция уничтожения информации и в отношении которых проведена процедура оценки соответствия (сертификация или самостоятельная оценка);
• обнаруживать факты несанкционированного доступа к ПДн, взаимодействовать с ФСБ России и Роскомнадзором в случае обнаружения утечки ПДн, а также принимать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак и по реагированию на инциденты, в т.ч. восстанавливать ПДн при их модификации или уничтожении.

Для вуза 152‑ФЗ – это не «где‑то там закон», а чек‑лист, по которому вас будут штрафовать и по которому вас будут проверять. Базовый набор такой: понятные документы (политика ПДн, приказы, регламенты), назначенный ответственный, разграничение прав доступа и нормальная техническая защита – шифрование, антивирус, МЭ, контроль доступа, журналирование. В 2026 году на этом уже не остановиться: без сертифицированных СЗИ и нормального мониторинга (SIEM, EDR, VPN уровня ViPNet, как заложено в проекте по развитию ИБ ТГУ на 2026) вы просто живёте в режиме «на авось».

Тимур Газизов, директор дирекции по информбезопасности Томского государственного университетаолжность

Процедура уведомления Роскомнадзора о сборе и обработке персональных данных

Когда уведомлять

Стоит отметить, что уведомить Роскомнадзор необходимо до начала сбора и обработки ПДн. То есть первоначально университет уведомляет о своем намерении обрабатывать ПДн и регистрирует себя как оператора ПДн в системе Роскомнадзора. Согласно статье 22 152-ФЗ, существует 3 исключения, когда можно обрабатывать ПДн без уведомления Роскомнадзора:

• обрабатываются ПДн, которые включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка (исключение не относится к деятельности университета);
• ПДн обрабатываются исключительно без использования средств автоматизации, то есть только «бумажная обработка»;
• ПДн обрабатываются в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (исключение не относится к деятельности вуза).

Таким образом, практически все университета обязаны уведомить Роскомнадзор о намерении обрабатывать ПДн.

Как уведомлять

Процедура уведомления Роскомнадзора представляет собой заполнение анкеты-уведомления и ее отправку в уполномоченный орган. Уведомление должно содержать следующие сведения:

• наименование и адрес оператора;
• цели обработки ПДн;
• категории ПДн, категории субъектов ПДн, правовые основания обработки, перечень действий с ПДн и способы их обработки (указываются для каждой цели);
• описание мер, предусмотренных статьями 18.1 и 19 152-ФЗ, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
• сведения об ответственном за организацию обработки ПДн (фамилия, имя, отчество или наименование юридического лица, контактные данные);
• дата начала обработки ПДн;
• срок или условия прекращения обработки ПДн;
• сведения об осуществлении (отсутствии) трансграничной передачи ПДн;
• сведения о местонахождении баз данных, в которых обрабатываются ПДн граждан РФ;
• фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПДн, содержащихся в государственных и муниципальных информационных системах;
• сведения об обеспечении безопасности ПДн в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 № 1119.

Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Стоит отметить, что уведомление в бумажном виде необходимо направить в территориальный орган Роскомнадзора по месту регистрации оператора. Бумажную форму для заполнения можно скачать с официального портала Роскомнадзора. На данном портале также можно сформировать уведомление и направить его в электронном виде с использованием средств аутентификации ЕСИА (Госуслуги) либо с использованием усиленной квалифицированной электронной подписи (должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним). На портале Роскомнадзора опубликована памятка о заполнении соответствующей формы.

После получения анкеты-уведомления Роскомнадзор вносит всю предоставленную информацию в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности ПДн, являются общедоступными.

Изменения в данных

Вуз как оператор ПДн должен информировать Роскомнадзор об изменениях в данных, которые были указаны в уведомлении, то есть, проще говоря, информировать об изменениях в процессах обработки ПДн. При этом уведомить об изменениях необходимо не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения. Например, если изменения возникли 18 февраля 2026 года, то подать актуальные данные необходимо до 15 марта. В случае прекращения обработки ПДн университет обязан уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты прекращения. Формы уведомлений об изменениях в обработке ПДн или прекращении обработки так же опубликованы на официальном портале Роскомнадзора.

Политика обработки персональных данных вуза: требования регуляторов

Для того чтобы политика обработки ПДн соответствовала требованиям законодательства, в ней необходимо зафиксировать все фактически осуществляемые в университете процессы обработки ПДн. Так, согласно 152-ФЗ, политика обработки ПДн должна определять:

• цели обработки ПДн;
• законные основания для обработки ПДн;
• категории субъектов ПДн, чьи данные обрабатываются;
• категории обрабатываемых ПДн (специальные, биометрические, общедоступные и иные ПДн);
• полный перечень обрабатываемых ПДн;
• способы обработки ПДн;
• сроки обработки и хранения ПДн;
• порядок уничтожения ПДн;
• сведения о реализуемых требованиях к защите ПДн;
• обязанности и права ВУЗ как оператора ПДн;
• права субъектов ПДн, чьи данные обрабатываются.

Таким образом, политика отображает то, как вуз обрабатывает и защищает ПДн. При этом политика не должна содержать чувствительных данных, которые могут нанести вред учреждению или субъектам ПДн, поскольку политика является общедоступным документом. Согласно части 2 статьи 18.1 152-ФЗ, операторы обязаны обеспечить неограниченный доступ к политике – опубликовать ее на своем официальном сайте. При этом рекомендуется на каждой странице сайта разместить ссылку на соответствующую политику (например, закрепив ссылку в нижнем колонтитуле сайта). Данная рекомендация опирается на часть 2 статьи 18.1 152-ФЗ, где указано, что: «Оператор, осуществляющий сбор ПДн с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей сети, в том числе на страницах принадлежащего оператору сайта в сети «Интернет», с использованием которых осуществляется сбор ПДн, документ, определяющий его политику…».

Атака

Самым распространенным способом утечки ПДн является злоумышленная атака с внешнего периметра на информационные ресурсы ВУЗ. В результате таких внешних атак нарушители могут:

• получить доступ к электронной почте ВУЗ, в которой зарегистрированы почтовые ящики как сотрудников, так и студентов, и, соответственно, получить доступы к перепискам и пересылаемым файлам;
• получить права доступа к внешним сайтам и ресурсам ВУЗ, включая порталы дистанционного обучения, личные кабинеты и т.д.

Стоит отметить, что злоумышленники могут получить доступ не только путем эксплуатации известных уязвимостей, но и из-за слабостей парольных политик. Так, например, специалисты по анализу защищенности (при проведении легитимных работ) находят учетные записи и осуществляют вход через них с использованием «пароля по умолчанию» или типовых словарных паролей, которые легко перебрать (password, 1235678 и т.д.).

Наталья Лабынцева, ведущий консультант по информбезопасности компании «Киберинтеллектуальная трансформация»

Человеческий фактор

Не стоит забывать про социальную инженерию. Очень часто сотрудники университетов получают различные сообщения в почте и мессенджерах, а иногда и телефонные звонки от мошенников. Цель таких сообщений или звонков – заставить жертву ввести личные данные под разными предлогами. Соответствующие деструктивные активности направлены не только на получение доступа к ресурсам вуза, но и на использование полученной информации для финансовой или иной выгоды.

Если говорить про социальный (человеческий) фактор, то в том числе можно затронуть вопросы информационной осознанности сотрудников при обработке ПДн. Так, некоторые люди могут не задумываться о том, что те или иные данные относятся к ПДн и что их стоит использовать и передавать с соблюдением конфиденциальности. Например, не стоит передавать документы, содержащие ПДн студентов или коллег-работников, во всеми используемых мессенджерах или публиковать такие документы в облачных хранилищах, не принадлежащих университету. Такие передачи являются неконтролируемыми и нет точных гарантий, что переданные файлы не будут распространяться дальше. Также бывают случаи, когда бумажные носители ПДн оставляют без присмотра или забывают правильно их утилизировать (уничтожить), что потенциально тоже создает риски для утечки ПДн (например, посторонний человек может подобрать бумаги и использовать в своей выгоде).

Самый честный ответ: людей продолжают обманывать теми же методами, что и 10–20 лет назад – фишинг и социальная инженерия по‑прежнему в топе. Поддельные «кабинеты студента», «порталы для абитуриентов», рассылки «от деканата» – и логины с паролями утекли. Параллельно стреляют банальные косяки: эксельки со списками студентов в открытых облаках, файлы ПДн на домашних ноутбуках, общие учётки «для кафедры». Тут ничего не поделаешь: буквально на прошлой неделе увели почтовый аккаунт одного из сотрудников и запустили рассылку в Венесуэлу (лимит на отправку писем с адреса конечно сработал, но инцидент состоялся), в результате разбора, выяснилось, что сотрудник перешел по ссылке и ввел данные своего почтового ящика самостоятельно.

Тимур Газизов, директор дирекции по информбезопасности Томского государственного университета

Как организовать защиту персональных данных при дистанционном обучении и использовании онлайн-сервисов вуза

В первую очередь для организации дистанционного обучения рекомендуется использовать только те ресурсы, которые принадлежат университету или которые им арендуются как сервис (SaaS). Таким образом минимизируется передача данных через сторонние приложения и сервисы без контроля со стороны вуза, поскольку учреждение в явном виде обозначило список сервисов и сайтов, используемых для официального взаимодействия. При использовании собственных ресурсов данные хранятся на вычислительных мощностях учреждения, защиту которых он обеспечивает самостоятельно; при использовании «арендуемых» ресурсов защиту данных частично обеспечивает провайдер-поставщик услуг на основании заключенного договора. То есть в обоих случаях определены зоны ответственности по обеспечению кибербезопасности, и защиты ПДн.

Необходимо:

• разграничить права доступа таким образом, чтобы студенты и сотрудники видели только ту информацию, которая им предназначена и необходима. То есть исключить возможность того, что, например, преподаватель может увидеть ПДн студентов, которых не обучает, а студенты – иных студентов вне своей академической группы;
• внедрить парольную политику для всех пользователей онлайн-сервисов, а именно установить сложность пароля (минимальная длина, использование спецсимволов и т.д.), правила периодической смены пароля (например, раз в семестр или год), количество неуспешных попыток входа и правила блокировки;
• отключать (удалять) учетные записи пользователей после завершения обучения, отчисления или увольнения;
• обеспечить безопасную передачу данных с использованием алгоритмов шифрования.

Также при дистанционном обучении рекомендуется обмениваться файлами со студентами либо с использованием защищенных облачных хранилищ, либо иными способами, но с использованием запароленных архивов. При этом пароль от архива лучше всего передавать отдельно. Например, запароленный архив можно передать по электронной почте, а пароль от него – через чат со студентами.

Двухфакторная аутентификация, а что еще?

Необходимо понимать, что использование двухфакторной авторизации (2FA) не является панацеей, обеспечивающей гарантированную безопасность внешних ресурсов. Эффективную защиту обеспечивает совокупность механизмов защиты, включающая парольную политику, применение WAF, безопасную настройку web-сервисов, анализ уязвимостей и их устранение, мониторинг событий и т.д. 2FA предназначена для контроля входа, а именно для подтверждения подлинности доступа с использованием «доказательства». В качестве доказывающего фактора может выступать код, который при попытке входа отдельно направляется на электронную почту или номер телефона, кодовое слово, второй пароль.

Наталья Лабынцева, ведущий консультант по информбезопасности компании «Киберинтеллектуальная трансформация»

Многофакторная аутентификация эффективно работает при атаках, направленных на перебор пароля, или при компрометации учетных данных, подчеркивает эксперт. Так, если ввести подобранный или скомпрометированный пароль, то от злоумышленника потребуется ввод еще дополнительного фактора – кода подтверждения, например. Также стоит отметить, что помимо реализации 2FA-механизма его необходимо безопасно настроить, чтобы при вводе злоумышленник не смог перебирать второй фактор. Например, ограничение времени жизни кода или попыток ввода.

2FA – из серии «дёшево и сердито»: при массовых атаках на учётки она спасает лучше большинства сложных схем, и да, даже в 2026‑м это всё ещё must‑have. Суть простая: пароль + второй фактор – одноразовый код из SMS, приложения (TOTP), push‑подтверждение или аппаратный токен. Для вуза разумная стратегия – не изобретать велосипед, а опираться на уже используемые технологии: интегрировать 2FA с существующей связкой VPN/ViPNet, каталогом пользователей и возможностями самой LMS, чтобы не городить пять разных способов входа для одного и того же студента. Просто в качестве примера: сейчас в ТГУ запущен пилотный проект по доступу в корпоративную сеть с дополнительной авторизацией через мессенджер MAX, аналогично доступу в Госуслуги.

Тимур Газизов, директор дирекции по информбезопасности Томского государственного университета

Наиболее безопасным вторым фактором является одноразовый код, поскольку его можно сгенерировать случайным образом. При этом необходимо направлять коды подтверждения на контактные данные, которые были указаны пользователем при регистрации, а не запрашивать их в момент попытки входа. Такой подход минимизирует риск утечки информации для входа.

Стоит отметить, что двухфакторная аутентификация не эффективна при использовании методов социальной инженерии, когда злоумышленники путем манипуляций узнают у пользователей второй фактор.

Наталья Лабынцева, ведущий консультант по информбезопасности компании «Киберинтеллектуальная трансформация»

Вузы и коммерческие структуры: есть ли разница в обработке данных?

Требования, установленные в 152-ФЗ, обязательны к применению для каждого оператора ПДн вне зависимости от сферы деятельности, государственного участия и организационно-правовой формы юридического лица. Поэтому с точки зрения законодательства принципы защиты ПДн для коммерческих компаний и вуза не отличаются. Однако университеты обрабатывают огромное количество ПДн, которые относятся к разным категориям субъектов ПДн. Так, помимо ПДн преподавательского состава и обычных сотрудников, в университет обрабатываются ПДн:

• абитуриентов и их представителей (родители, опекуны, попечители);
• студентов и их представителей (родители, опекуны, попечители);
• научных сотрудников, исследователей, аспирантов;
• соискателей на вакантные должности;
• ближайших родственников сотрудников;
• посетителей, которым необходим однократный пропуск на территорию университета в связи с определенными мероприятиями и потребностями;
• слушателей, которые получают дополнительное образование, проходят повышение квалификации и т.д.;
• представителей контрагентов, партнеров, благотворителей, добровольцев (волонтеров) и физических лиц, привлекаемых по гражданско-правовым договорам;
• посетителей официального сайта;
• иных лиц, которым университет оказывает те или иные услуги (например, пациенты университетской больницы).

При этом могут обрабатываться ПДн несовершеннолетних и иностранных граждан. Соответственно, перед университетом стоит задача обеспечивать защиту ПДн не по минимальным требованиям законодательства, а усиленно и осознанно с пониманием важности. Утечка ПДн, обрабатываемых университетами, может повлечь за собой не только финансовые риски (в виде выплат штрафов), но и такие негативные последствия, как социальные волнения (негативные статьи и комментарии в СМИ), травля гражданина, жалобы в органы власти и многое другое, что несет риски для государства. Поэтому можно сказать, что важность защиты ПДн в ВУЗ стоит выше, чем для коммерции.

Наталья Лабынцева, ведущий консультант по информбезопасности компании «Киберинтеллектуальная трансформация»

Требования для всех организаций одинаковы. Специфика вузов (особенно медицинских) проявляется в объемах и категориях данных: обработка специальных категорий (состояние здоровья) и биометрических данных накладывает повышенные обязательства по защите.

Александра Шмырина, начальник управления цифровых технологий СибГМУ

Несмотря на отсутствие в 152-ФЗ различий по защите ПДн между университетами и коммерческими организациями, стоит отметить, что в нормативно-правовом регулировании по информационной безопасности существуют иные требования, которые необходимо учитывать отдельным учреждениям и организациям. С 1 марта 2026 года вступают в силу требования по защите информации, содержащейся в информационных системах государственных органов, государственных унитарных предприятиях и государственных учреждениях (приказ ФСТЭК России от 11.04.2025 № 117).

Университеты, являющиеся государственными учреждениями, обязаны учитывать утвержденные требования при обеспечении безопасности любых своих информационных систем, в том числе в которых обрабатываются ПДн. Так, например, 152-ФЗ для защиты ПДн допускает использование средств защиты информации, в отношении которых проведена оценка соответствия. На практике такая оценка проводится либо путем сертификации средства, либо путем самостоятельной оценки в виде испытания или приемки. Однако приказом ФСТЭК России № 117 установлено, что для защиты информации государственные органов и учреждения должны применять сертифицированные средства защиты информации. Таким образом, вуз должен внедрять и эксплуатировать сертифицированные средства для обеспечения безопасности своих информационных активов.

Соответственно, при проектировании и построении системы защиты недостаточно опираться только на 152-ФЗ, необходимо анализировать все применимые требования законодательства для создания комплексной системы обеспечения информационной безопасности с учетом отдельных особенностей деятельности.

Наталья Лабынцева, ведущий консультант по информбезопасности компании «Киберинтеллектуальная трансформация»

Обучение для сотрудников

Обучение по вопросам обработки и защиты ПДн должны проходить все работники оператора, которые в рамках исполнения должностных обязанностей взаимодействуют с ПДн. Так, рекомендуется проводить обучение не только для специалистов отдела по защите информации, но и для сотрудников следующих подразделений:

• отдел кадров, управление персонала и т.д.;
• экономический отдел, бухгалтерия, финансовый отдел;
• приемная комиссия;
• деканаты и кафедры;
• отделы по работе со студентами, слушателями и иными обучающимися лицами;
• бюро пропусков;
• юридический отдел;
• отдел маркетинга, пресс-центр.

Для сотрудников, не являющихся специалистами по информационной безопасности, рекомендуется через обучение доносить важность защиты ПДн путем объяснения о реализованных мерах безопасности, т.е. рассказывать о существующих правилах и процедурах. В том числе важно обучить правовым аспектам обработки ПДн – наличие правовых оснований для обработки и важность получения согласия на обработку ПДн, возможность обработки без получения отдельного согласия, объяснение существующей терминологии (например, что есть передача, а что есть распространение ПДн).

Отдельный блок обучения рекомендуется посвятить уничтожению ПДн, в рамках которого рассказать о требованиях к уничтожению и о существующих способах. К сожалению, частая практика, что бумажные носители ПДн утилизируются без соблюдения установленных правил (например, без использования шредера). Соответственно, для того чтобы соблюдать установленные законодательством правила защиты ПДн и прав субъектов ПДн, необходимо их довести до сведения сотрудников.

Если говорить про специалистов по информационной безопасности, то их обучение затрагивает более широкий спектр тем, поскольку они выстраивают процессы защиты ПДн в соответствии с установленными требованиями и с учетом деятельности оператора. Так, специалисты по защите ПДн должны обучаться не только правовым и юридическим аспектам 152-ФЗ, но и изучать технические меры обеспечения ИБ для защиты информационных активов, в которых ведется обработка ПДн.

В нашем вузе эту задачу мы решаем в том числе за счёт обязательного онбординга для новых сотрудников – курса «КОД ТГУ», который встроен в стандартную адаптационную траекторию персонала. С учётом специфики университета я считаю необходимым, чтобы подобное обучение проходили не только новые сотрудники в рамках онбординга, но и все работники, имеющие доступ к персональным данным: кадровые службы, учебные отделы, деканаты, преподаватели, кураторы академических групп, сотрудники ИТ подразделений, а также руководители структурных подразделений, принимающие управленческие решения в части обработки ПДн.

Тимур Газизов, директор дирекции по информбезопасности Томского государственного университета