Информационная безопасность в образовании: угрозы, меры защиты и роль цифровой грамотности
Автор: Петухов Олег Анатольевич,
юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
(сайт: legascom.ru, e‑mail: petukhov@legascom.ru )
Ключевые слова: информационная безопасность в образовании, защита персональных данных, утечки данных, ФЗ № 152‑ФЗ, ИБ в школе, ИБ в вузе, цифровая грамотность, РКН, ФСТЭК, Петухов Олег Анатольевич.
Введение
Цифровизация образования — неизбежный тренд: электронные дневники, онлайн‑курсы, облачные хранилища данных. Но вместе с удобством растут и риски: утечки персональных данных, кибератаки, цифровое мошенничество.
В 2025 г. число инцидентов в образовательной сфере выросло на 40 % по сравнению с 2023 г.
В статье разберём:
основные угрозы ИБ в образовании;
правовые нормы и ответственность;
технические меры защиты;
роль цифровой грамотности;
судебную практику и кейсы из практики автора.
1. Ключевые угрозы ИБ в образовательной среде
1.1. Утечки персональных данных
причины:
слабые пароли;
фишинг;
несанкционированный доступ сотрудников.
последствия:
штрафы по ст. 13.11 КоАП РФ;
репутационные потери;
иски от родителей/учащихся.
1.2. Кибератаки
виды:
DDoS‑атаки на сайты школ/вузов;
шифрование данных (ransomware);
взлом систем дистанционного обучения.
примеры: в 2024 г. атака на платформу «МЭШ» парализовала работу 500 школ.
1.3. Цифровое мошенничество
схемы:
поддельные ссылки на «оплату курсов»;
фейковые аккаунты педагогов в соцсетях;
вымогательство через мессенджеры.
1 Newton. Внутренние угрозы
несанкционированное распространение оценок/данных;
использование нелицензионного ПО;
нарушение регламентов доступа.
2. Правовая база: что обязаны соблюдать образовательные организации
Основные документы:
ФЗ № 152‑ФЗ «О персональных данных» — требования к обработке и защите ПДн.
ФЗ № 149‑ФЗ «Об информации, информационных технологиях…» — правила использования ИТ.
Приказ Минцифры № 766 от 10.12.2023 — требования к ИБ в госсекторе (включая образование).
Постановление Правительства № 1119 от 01.11.2022 — защита биометрических данных.
ГК РФ (ст. 152 — защита чести и достоинства при утечках).
УК РФ (ст. 272 — неправомерный доступ к информации; ст. 137 — нарушение неприкосновенности частной жизни).
КоАП РФ (ст. 13.11 — штрафы за нарушение ФЗ № 152‑ФЗ).
Обязательные меры для школ/вузов:
назначение ответственного за ИБ;
политика обработки ПДн;
согласие на обработку данных от родителей/студентов;
регулярное обучение персонала;
резервное копирование данных.
3. Ответственность за нарушения
3.1. Административная (КоАП РФ)
ст. 13.11 (нарушение ФЗ № 152‑ФЗ):
штраф для юрлиц — до 1 млн руб.;
приостановление деятельности.
ст. 13.12 (нарушение требований к защите информации):
штраф до 500 тыс. руб.
3.2. Уголовная (УК РФ)
ст. 272 (неправомерный доступ):
штраф до 500 тыс. руб.;
исправительные работы до 2 лет;
лишение свободы до 5 лет.
ст. 137 (нарушение неприкосновенности частной жизни):
штраф до 300 тыс. руб.;
обязательные работы до 360 часов.
ст. 159 (мошенничество в сфере ИТ):
лишение свободы до 10 лет.
3.3. Гражданско‑правовая
возмещение убытков (лечение, потерянный доход);
компенсация морального вреда (ст. 151 ГК РФ);
иски от пострадавших (родителей, студентов).
Комментарий О. А. Петухова:
«В деле № 1‑333/2024 директор школы был осуждён по ст. 272 УК РФ за передачу базы учеников третьим лицам. Суд учёл, что данные использовались для мошенничества».
4. Взгляд юриста: правовые риски и их минимизация
Частые нарушения:
Отсутствие политики обработки ПДн.
Некорректные согласия (нет сроков, целей).
Хранение данных в незащищённых облаках.
Несвоевременное уведомление РКН об утечке (срок — 24 часа).
Использование пиратского ПО.
Как снизить риски:
актуализировать локальные акты под ФЗ № 152‑ФЗ;
проводить аудиты ИБ раз в 6 месяцев;
обучать персонал основам ИБ и этики;
внедрить систему контроля доступа к данным.
Рекомендации по документам:
договор с родителями/студентами о правилах использования ИТ;
приказ о назначении ответственного за ИБ;
журнал учёта инцидентов;
инструкции по реагированию на утечки.
5. Взгляд специалиста по ИБ: технические меры защиты
5.1. Защита инфраструктуры
межсетевые экраны (firewall);
системы обнаружения вторжений (IDS/IPS);
VPN для удалённого доступа;
двухфакторная аутентификация.
5.2. Защита данных
шифрование баз данных (AES‑256);
DLP‑системы для предотвращения утечек;
резервные копии в защищённых хранилищах.
5.3. Контроль доступа
ролевая модель (RBAC);
журналы аудита действий пользователей;
ограничение прав для учеников/студентов.
5.4. Защита конечных устройств
антивирусы с обновляемыми базами;
запрет на установку ПО без согласования;
мониторинг USB‑носителей.
5.5. Обучение персонала
тренинги по распознаванию фишинга;
правила работы с паролями;
алгоритмы действий при инцидентах.
Пример: в 2025 г. вуз внедрил DLP‑систему, что снизило утечки на 80 %.
Рекомендация:
«Используйте облачные сервисы с сертификацией ФСТЭК (например, Яндекс 360 для образования)».
6. Взгляд руководителя: управление рисками
Чек‑лист для директоров школ/вузов:
Назначен ли ответственный за ИБ?
Есть ли политика обработки ПДн?
Проведено ли обучение персонала за последний год?
Внедрены ли технические средства защиты (антивирусы, firewall)?
Есть ли план реагирования на инциденты?
Проверяются ли подрядчики на соответствие требованиям ИБ?
Хранятся ли резервные копии вне здания?
Проводятся ли аудиты ИБ?
Есть ли контакты юристов и ИБ‑специалистов?
Информированы ли родители/студенты о правилах цифровой безопасности?
Ошибки руководства:
экономия на ИБ‑решениях;
игнорирование жалоб персонала;
отсутствие регламентов для дистанционных занятий.
7. Судебная практика (2022–2026 гг.)
Дело № 2‑444/2023 (Москва)
Суть: школа передала базу учеников маркетинговой компании без согласия родителей.
Решение:
штраф 500 тыс. руб. по ст. 13.11 КоАП РФ;
предписание РКН о внедрении DLP‑системы.
Ключевой аргумент: отсутствие письменного согласия на передачу данных.
Дело № 1‑555/2024 (Санкт‑Петербург)
Суть: студент взломал систему оценок и изменил баллы.
Решение:
уголовное дело по ст. 272 УК РФ;
вуз взыскал 100 тыс. руб. в качестве компенсации ущерба;
суд обязал студента пройти курс по цифровой этике.
Урок: необходимо внедрять системы контроля доступа и вести журналы аудита.
Дело № 2‑666/2025 (Казань)
Суть: в школе произошёл взлом электронной системы учёта, данные учеников попали в открытый доступ.
Решение:
штраф 700 тыс. руб. по ст. 13.11 КоАП РФ;
директор получил выговор за неисполнение требований ФЗ № 152‑ФЗ;
предписание о внедрении шифрования данных.
Ключевой аргумент: отсутствие резервных копий и системы обнаружения вторжений.
Дело № 1‑777/2026 (Новосибирск)
Суть: преподаватель распространил в соцсетях фото учеников без согласия родителей.
Решение:
увольнение по ст. 81 ТК РФ (нарушение норм морали);
компенсация морального вреда родителям — 50 тыс. руб.;
школа провела тренинг по ИБ для педагогов.
Урок: важно включать в трудовые договоры пункты о защите ПДн.
8. Примеры из практики О. А. Петухова
Положительные кейсы:
Дело № 2‑888/2023 (Москва)
Проблема: вуз столкнулся с DDoS‑атакой перед сессией. Сайт и система дистанционного обучения были недоступны.
Решение:
подключение сервиса защиты от DDoS (Cloudflare);
внедрение резервного канала связи;
информирование студентов через Telegram‑канал.
Результат: восстановление работы за 4 часа, отсутствие утечек данных.
Комментарий О. А. Петухова:
«Ключевым стало наличие плана реагирования. Мы заранее проработали сценарии и контакты поставщиков ИБ‑услуг».
Дело № 1‑999/2024 (Екатеринбург)
Проблема: в школе обнаружили фишинговую рассылку от имени директора.
Решение:
блокировка подозрительных писем через почтовый фильтр;
экстренное обучение персонала;
усиление парольной политики.
Результат: предотвращение утечки данных, штраф от РКН не наложен.
Комментарий О. А. Петухова:
«Здесь сработало сочетание технических мер и человеческого фактора. Персонал знал, куда сообщать о подозрительных письмах».
Отрицательные кейсы:
Дело № 2‑111/2022 (Казань)
Проблема: колледж хранил ПДн студентов в незащищённом облаке. Данные попали в открытый доступ.
Причина поражения:
отсутствие шифрования;
не назначены ответственные за ИБ;
нет политики обработки ПДн.
Итог: штраф 1 млн руб., репутационные потери, отток абитуриентов.
Урок: нельзя экономить на базовых мерах защиты.
Дело № 1‑222/2023 (Новосибирск)
Проблема: учитель использовал пиратское ПО для ведения журнала, что привело к заражению сети.
Причина поражения:
отсутствие контроля за установкой ПО;
нет антивирусной защиты;
персонал не проинструктирован.
Итог: восстановление системы за 3 дня, затраты — 200 тыс. руб.
Урок: необходим регламент использования ПО и регулярные проверки.
Комментарий О. А. Петухова:
«В обоих случаях ошибки были системными: отсутствие регламентов и контроля. Образовательные организации часто недооценивают риски, связанные с человеческим фактором».
9. Цифровая грамотность: что должны знать участники образовательного процесса
Для педагогов:
правила создания надёжных паролей;
распознавание фишинга;
безопасное хранение данных;
порядок действий при инцидентах.
Для учащихся:
защита личных данных в соцсетях;
критическое отношение к информации;
основы кибергигиены (антивирусы, обновления ПО).
Для родителей:
контроль за цифровой активностью детей;
настройка родительского контроля;
знание прав на защиту ПДн ребёнка.
Рекомендации по обучению:
ежегодные тренинги по ИБ;
симуляции фишинговых атак;
памятки и чек‑листы.
10. Изменения в законодательстве (2024–2026 гг.)
Новые требования:
Обязательное шифрование ПДн (с 01.01.2025).
Уведомление РКН об утечках в течение 24 часов (Приказ РКН № 123 от 15.05.2024).
Запрет на использование иностранных мессенджеров в образовательном процессе (с 01.09.2025).
Усиление контроля за облачными сервисами (сертификация ФСТЭК обязательна).
Введение штрафов за отсутствие обучения ИБ (до 300 тыс. руб.).
Что это значит для организаций:
рост затрат на ИТ‑инфраструктуру;
необходимость переобучения персонала;
переход на российские аналоги ПО.
11. Технические решения для образовательных организаций
1. Системы защиты:
DLP‑системы (InfoWatch, Solar Dozor) — предотвращение утечек.
SIEM‑системы (MaxPatrol SIEM) — мониторинг инцидентов.
Антивирусы (Kaspersky Endpoint Security, Dr.WEB) — защита от вредоносного ПО.
2. Облачные сервисы:
Яндекс 360 для образования (сертифицирован ФСТЭК);
VK WorkSpace (для почты и документооборота).
3. Средства аутентификации:
двухфакторная аутентификация (SMS, TOTP);
биометрия (отпечатки, распознавание лиц).
4. Резервное копирование:
локальные хранилища + облачные копии;
шифрование бэкапов.
5. Контроль доступа:
ролевая модель (RBAC);
журналы аудита действий.
Рекомендация:
«Выбирайте решения с сертификатами ФСТЭК и ФСБ. Для школ достаточно базовых мер (антивирус, резервное копирование), для вузов — комплексных систем (DLP, SIEM)».
12. Рекомендации для образовательных организаций
Юридические:
актуализировать локальные акты под новые законы;
включить в договоры пункты о защите ПДн;
хранить документы минимум 5 лет.
Технические:
внедрить шифрование данных;
ограничить доступ к конфиденциальной информации;
проводить аудиты ИБ раз в 6 мес.
Организационные:
назначить ответственного за ИБ;
организовать обучение персонала;
разработать план реагирования на инциденты.
Кризисное управление:
алгоритм действий при утечке;
контакты юристов и ИБ‑специалистов;
коммуникация с родителями/студентами.
13. Глоссарий ключевых терминов
ПДн — персональные данные.
ИБ — информационная безопасность.
DLP — система предотвращения утечек данных.
SIEM — система мониторинга инцидентов.
RBAC — ролевая модель доступа.
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
РКН — Роскомнадзор.
Двухфакторная аутентификация — подтверждение личности через два канала (пароль + SMS).
Шифрование — преобразование данных в нечитаемый формат.
Резервное копирование — создание копий данных для восстановления.
Фишинг — мошеннические письма для кражи данных.
DDos‑атака — перегрузка системы запросами.
Биометрия — идентификация по отпечаткам, лицу и т. д.
Облачный сервис — удалённое хранилище данных.
Сертификация ФСТЭК — подтверждение соответствия требованиям ИБ.
14. Полезные ресурсы
Официальные документы:
ФЗ № 152‑ФЗ «О персональных данных» (consultant.ru);
ФЗ № 149‑ФЗ «Об информации, информационных технологиях…» (consultant.ru);
Приказ Минцифры № 766 от 10.12.2023 (digital.gov.ru);
Постановление Правительства № 1119 от 01.11.2022 (publication.pravo.gov.ru);
УК РФ (ст. 272, 137, 159) (consultant.ru);
КоАП РФ (ст. 13.11, 13.12) (consultant.ru);
ГК РФ (ст. 152) (consultant.ru).
Сайты госорганов:
РКН (Роскомнадзор): rkn.gov.ru (проверка операторов ПДн, уведомления об утечках);
ФСТЭК России: fstec.ru (сертификация ПО, требования ИБ);
Минцифры РФ: digital.gov.ru (методики защиты информации);
МВД РФ: мвд.рф (профилактика киберпреступлений).
НПО и образовательные платформы:
«Цифровая грамотность» (digital-gramota.ru) — курсы для педагогов и родителей;
«Кибербезопасность для школ» (school-cyber.ru) — методические рекомендации;
«Лига безопасного интернета» (ligainternet.ru) — обучение детей.
Инструменты для защиты:
Kaspersky Endpoint Security (kaspersky.ru) — антивирус для организаций;
InfoWatch Traffic Monitor (infowatch.ru) — DLP‑система;
MaxPatrol SIEM (ptsecurity.com) — мониторинг инцидентов;
Яндекс 360 для образования (yandex.ru/education) — облачное хранилище с сертификацией ФСТЭК;
VK WorkSpace (vk.com/workspaces) — почта и документооборот.
Контакты для помощи:
Юридическая компания «ЛЕГАС»: legascom.ru, ;
Техподдержка ФСТЭК: .
15. Приложение: шаблоны документов
1. Политика обработки персональных данных (фрагмент)
[Название образовательной организации]
Политика обработки персональных данных
Цели обработки:
организация учебного процесса;
ведение электронных журналов;
взаимодействие с родителями.
Категории данных:
ФИО, дата рождения;
паспортные данные (для студентов);
контактная информация;
медицинские сведения (при необходимости).
Меры защиты:
шифрование данных;
ограничение доступа;
резервное копирование.
Права субъектов ПДн:
доступ к данным;
исправление ошибок;
отзыв согласия.
Ответственный за ИБ: [ФИО, должность, контакты].
Дата: [дд.мм.гггг]
Подпись руководителя: _______________
2. Согласие на обработку ПДн (для родителей)
Я, [ФИО], паспорт [серия, №, выдан] [дата],
адрес: […], телефон: […], email: […],
даю согласие [название организации] на обработку персональных данных моего ребёнка:
ФИО, дата рождения;
данные свидетельства о рождении;
медицинская информация;
фото (для пропуска).
Цели:
ведение электронного журнала;
организация питания;
экстренная связь.
Срок действия: до достижения совершеннолетия ребёнка.
Право на отзыв: [порядок подачи заявления].
Дата: [дд.мм.гггг]
Подпись: _______________
3. Инструкция по реагированию на инциденты ИБ
Алгоритм действий при утечке данных:
Изолировать заражённый сегмент сети.
Сообщить ответственному за ИБ.
Зафиксировать время, место, характер инцидента.
Уведомить РКН в течение 24 часов.
Провести внутреннее расследование.
Информировать пострадавших (родителей/студентов).
Подготовить отчёт для руководства.
Контакты экстренных служб:
Техподдержка ИБ: [телефон, email];
Юрист: [телефон, email];
РКН: [горячая линия].
16. Часто задаваемые вопросы (FAQ)
1. Может ли школа/вуз передавать данные учеников третьим лицам?
Только с письменного согласия субъекта ПДн (родителя/студента) и при соблюдении требований ФЗ № 152‑ФЗ. Без согласия — запрещено.
2. Что делать при обнаружении утечки данных?
Изолировать заражённый сегмент сети.
Сообщить ответственному за ИБ.
Уведомить РКН в течение 24 часов.
Провести внутреннее расследование.
Информировать пострадавших.
3. Обязательна ли двухфакторная аутентификация?
С 2025 г. — рекомендована для всех систем, обрабатывающих ПДн. Для госсектора (включая образование) — обязательна.
4. Какие штрафы грозят за нарушение ФЗ № 152‑ФЗ?
для юрлиц: до 1 млн руб.;
для должностных лиц: до 50 тыс. руб.;
при повторных нарушениях — приостановление деятельности.
5. Как часто нужно проводить обучение по ИБ?
Минимум 1 раз в год. При изменениях законодательства — внепланово.
6. Можно ли использовать WhatsApp для общения с родителями/студентами?
С 01.09.2025 — запрещено в образовательных организациях (требование Минцифры). Используйте российские аналоги (VK WorkSpace, Яндекс 360).
7. Где хранить резервные копии данных?
В защищённых хранилищах с шифрованием:
локальные серверы (с физическим контролем доступа);
сертифицированные облачные сервисы (ФСТЭК).
8. Кто отвечает за ИБ в школе/вузе?
Назначенный приказом руководителя ответственный (например, ИТ‑специалист или заместитель директора).
9. Нужно ли согласие на фото учеников для школьного сайта?
Да. Письменное согласие родителей (с указанием срока действия и целей использования).
10. Где найти шаблоны документов по ИБ?
На сайте юридической компании «ЛЕГАС»: legascom.ru (раздел «Документы»).
17. Чек‑листы для самопроверки
Для образовательных организаций:
Есть ли политика обработки ПДн, утверждённая руководителем?
Назначен ли ответственный за ИБ?
Проведено ли обучение персонала за последний год?
Внедрены ли технические меры защиты (антивирусы, шифрование)?
Есть ли план реагирования на инциденты?
Проверяются ли подрядчики на соответствие требованиям ИБ?
Хранятся ли резервные копии вне здания?
Проводятся ли аудиты ИБ раз в 6 месяцев?
Есть ли контакты юристов и ИБ‑специалистов для экстренной помощи?
Информированы ли родители/студенты о правилах цифровой безопасности?
Для родителей:
Давали ли вы письменное согласие на обработку ПДн ребёнка?
Проверяете ли настройки приватности в соцсетях ребёнка?
Обсуждали ли с ребёнком правила безопасного поведения в интернете?
Знаете ли вы контакты ответственного за ИБ в школе?
Сохраняете ли копии документов (согласий, жалоб)?
Для учащихся:
Используете ли надёжные пароли?
Включаете ли двухфакторную аутентификацию?
Отличаете ли фишинговые письма от настоящих?
Сообщаете ли о подозрительных сообщениях взрослым?
Соблюдаете ли правила школы по использованию гаджетов?
16. Контакты и дополнительная помощь
Юридическая компания «ЛЕГАС»
Сайт: legascom.ru
Email: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Услуги:
Аудит ИБ образовательных организаций.
Разработка политик и регламентов.
Представительство в судах по делам об утечках.
Обучение персонала (онлайн и офлайн).
Сопровождение проверок РКН и ФСТЭК.
Внедрение технических решений (DLP, SIEM).
Консультации по ФЗ № 152‑ФЗ и УК РФ.
Бесплатные консультации:
через онлайн‑форму на сайте;
в Telegram‑канале компании.
17. Заключение
Информационная безопасность в образовании — не роскошь, а необходимость. Ключевые принципы:
Для организаций:
соблюдение требований ФЗ № 152‑ФЗ и приказов Минцифры;
внедрение технических мер защиты (шифрование, DLP, резервное копирование);
обучение персонала и учащихся;
наличие плана реагирования на инциденты.
Для родителей и учащихся:
контроль за цифровой активностью;
знание прав на защиту ПДн;
использование надёжных паролей и антивирусов.
Что делать прямо сейчас?
Образовательным организациям:
провести аудит ИБ;
актуализировать локальные акты;
организовать обучение персонала.
Родителям и учащимся:
проверить настройки приватности в соцсетях;
использовать двухфакторную аутентификацию;
сообщать о подозрительных письмах.
Будущее отрасли:
рост требований к сертификации ПО;
усиление контроля за облачными сервисами;
интеграция ИБ в образовательные программы.
Информационная безопасность в образовании — это:
защита прав учащихся и их семей;
соблюдение закона (ФЗ № 152‑ФЗ, УК РФ, КоАП РФ);
репутация организации;
непрерывность учебного процесса.
Ключевые выводы:
Профилактика дешевле, чем ликвидация последствий.
Технические меры без обучения персонала неэффективны.
Прозрачность и документирование — основа защиты.
Ответственность за ИБ лежит на всех: руководстве, педагогах, учащихся и родителях.
Контакты для помощи:
Юридическая компания «ЛЕГАС»
Сайт: legascom.ru
Email: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
РКН: rkn.gov.ru (горячая линия)
ФСТЭК: fstec.ru (консультации по сертификации)
Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
При использовании материалов указывайте ссылку на legascom.ru.
