ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В

ОБРАЗОВАТЕЛЬНОМ УЧРЕЖДЕНИИ

Кокорин Сергей Викторовичзаместитель директораМОУДПОС Центр информационных технологий+7 (8482) 22-34-81svk@itc.tgl.ru

• Пакет документов, Пакет документов, регламентирующих организацию и регламентирующих организацию и обеспечение информационной обеспечение информационной безопасностибезопасности

•Комплекс программно-аппаратных средств

•Приказ Департамента образования г.о.Тольятти от 16.02.2007 г № 49 «Об информационной безопасности».

•Распоряжение МОиН СО от 16.04.2007 №200-р «О внедрении системы контентной фильтрации доступа общеобразовательных учреждений Самарской области к ресурсам сети Интернет».

Пакет документов• Правила использования сети Интернет в

образовательном учреждении• Документ ознакомления и согласия с

Правилами использования сети Интернет в образовательном учреждении, удостоверенное подписью в документе ознакомления и согласия с правилами

• Регулярное (периодичное) заполнение документа ознакомления…

Пакет документов• Инструкция для сотрудников ОУ о

порядке действий при осуществлении контроля за использованием учащимися и работниками учреждения ресурсов Интернет

• Администратор точки доступа к сети Интернет

• Должностная инструкция администратора точки доступа к сети Интернет в ОУ.

Пакет документов•Положение о Совете образовательного

учреждения по вопросам регламентации доступа к ресурсам сети Интернет

•Персональный состав Совета•Поддержание актуальности

персонального состава Совета•Регламент работы учащихся, учителей

(преподавателей) и сотрудников ОУ.

Пакет документов•Документ регистрации посетителей

точки доступа к сети Интернет в образовательном учреждении

•Документ регистрации ресурсов, посещаемых с точки доступа к сети Интернет в образовательном учреждении

•Регулярное (периодичное) заполнение документов регистрации

Пакет документов•Ответственный за антивирусную

безопасность ОУ•Локальные акты регламентирующие

обязанности ответственных за антивирусную безопасность ОУ

•Пакет документов, регламентирующих организацию и обеспечение информационной безопасности

• Комплекс программно-аппаратных Комплекс программно-аппаратных средствсредств

Антивирусная безопасность•Лицензионное антивирусное

программное обеспечение на ВСЕ АРМ в ОУ

•Регулярное обновление антивирусных баз (сигнатур и т.п.)

Контентная фильтрация•Программный комплекс СКФ•Коммуникационный сервер с

удаленным централизованным администрированием

http://itc.tgl.ru

Персональные данные. Определенияперсональные данные - любая

информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Персональные данные. Определенияоператор - государственный орган,

муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Персональные данные. Определенияобработка персональных данных -

действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Персональные данные. ОпределенияПДн – персональные данныеИСПДн – информационная система

персональных данных.ФСБ России – Федеральная служба

безопасности России.ФСТЭК России – Федеральная служба

по техническому и экспортному контролю России.

ДСП – для служебного пользования

Документы:o ФЗ №152 «О персональных данных» от 27.07.2006 «Информационные системы персональных данных … должны

быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года».

o Аналогичные законы в других странах:o США «The Privacy Act of 1974»o Франция «Data Protection Act of 1978»o Канада «The Privacy Act», 1983o Швейцария «The Federal Law on Data Protection of 1992»o Евросоюз «European Union Data Protection Directive of 1995»o Чехия «Act on Protection of Personal Data», 2000

Документыo Постановление правительства РФ №781; «Об утверждении

положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

o Постановление правительства РФ №687; «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

o Приказ №55/86/20; «Порядок проведения классификации информационных систем персональных данных»

o «Четверокнижие» ФСТЭК (гриф ДСП);

«Четверокнижие» ФСТЭК (ДСП)o Рекомендации по обеспечению безопасности ПД при

их обработке в ИСПДн;

o Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПДн;

o Базовая модель угроз безопасности ПД при их обработке в ИСПДн;

o Методика определения актуальных угроз безопасности ПД при их обработке в ИСПДн;

Классификация ИСПДнoСбор и анализ исходных данных по

информационной системе (инвентаризация ресурсов)

oПрисвоение информационной системе соответствующего класса и его документальное оформление (Составление акта).

Классификация ИСПДн

Классификация ИСПДнo Типовые информационные системы – системы, в

которых требуется обеспечение только конфиденциальности персональных данных .

o Специальные информационные системы – системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)

Классификация ИСПДн

Классификация ИСПДнo Типовые (конфиденциальность)

Количество ПДнКатегория ПДн 3

Xнпд<10002

1000<Xнпд<1000001

Xнпд>100000

Кат. 4 (Обезличенные и (или) общедоступные ПДн) K4 K4 K4

Кат. 3 (ПДн, позволяющие идентифицировать субъекта ПДн)

K3 K3 K2

Кат. 2. (Кат.3 + доп. информация исключая относящуюся к Кат.1) K3 K2 K1

Кат. 1 (Кат. 3 + религия, здоровье, и т.п. ) K1 K1 K1o Специальные (+целостность, +доступность)

Классификация ИСПДн. Примеры

Классификация ИСПДн. Примеры

Классификация ИСПДн. Примеры

Классификация ИСПДнo Типовые (конфиденциальность)

Количество ПДнКатегория ПДн 3

Xнпд<10002

1000<Xнпд<1000001

Xнпд>100000

Кат. 4 (Обезличенные и (или) общедоступные ПДн) K4 K4 K4

Кат. 3 (ПДн, позволяющие идентифицировать субъекта ПДн)

K3 K3 K2

Кат. 2. (Кат.3 + доп. информация исключая относящуюся к Кат.1) K3 K2 K1

Кат. 1 (Кат. 3 + религия, здоровье, и т.п. ) K1 K1 K1

Классификация ИСПДн. Примеры

ИСПДн 1«Кадры»Цель: ТККласс: 3

ИСПДн 2«Обучающиеся»Цель: Закон об образовании

Класс: 1

ИСПДн 3«Библиотека»Цель: Закон об образовании

Класс: 2

Основные требованияo Уведомление об обработке персональных данныхo Защита ИСПДн и подтверждение ее эффективности:

o К3 – декларация соответствия;o К1 и K2 – аттестация;o K1, K2 и распределенные K3 – лицензия на ТЗКИ.

o Согласие субъекта на обработку его персональных данных;

o Права субъекта на информацию о его ПДн;o Регламентация обращения с ПДн у оператора;o Уничтожение ПДн после достижения целей обработки.

Уведомление об обработке Федеральная служба по надзору в сфере связи,

информационных технологий и массовых коммуникаций (www.rsoc.ru)

Управление Роскомнадзора по Самарской области: 443099, г. Самара, ул. А. Толстого, 118

Телефон: (846) 3325326, факс: (846) 2704400, e-mail ugnsi@smr.ru, http://63.rsoc.ru

рекомендуется запросить выписку из приказа о внесении в Реестр

Операторов или выписку из Реестра

Документация во ОУ•Положение о персональных данных.•Внесение изменений в договора.•Внесение изменений в должностные

инструкции.•Согласие субъектов ПДн на обработку

ПДн.•Согласие на передачу/получение ПДн.•Согласие на публикацию в Интернет.•…

Ответственностьo «ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ»

▫ Статья 81. Расторжение трудового договора по инициативе работодателя

▫ Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

▫ Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

▫ Статья 87. Хранение и использование персональных данных работников

▫ Статья 88. Передача персональных данных работника▫ Статья 89. Права работников в целях обеспечения

защиты персональных данных, хранящихся у работодателя

Ответственностьo «ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ

ФЕДЕРАЦИИ»▫ Статья 90. Ответственность за нарушение норм,

регулирующих обработку и защиту персональных данных работника

▫ Статья 195. Привлечение к дисциплинарной ответственности руководителя организации, руководителя структурного подразделения организации, их заместителей по требованию представительного органа работников

▫ Статья 237. Возмещение морального вреда, причиненного работнику

▫ Статья 391. Рассмотрение индивидуальных трудовых споров в судах

Ответственность• «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ

АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ» Федеральный закон № 195-ФЗ от 30.12.2001 г. (с изменениями):▫ Статья 5.27. Нарушение законодательства о труде и об

охране труда▫ Статья 5.39. Отказ в предоставлении гражданину

информации▫ Статья 13.11. Нарушение установленного законом

порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

▫ Статья 13.12. Нарушение правил защиты информации▫ Статья 13.13. Незаконная деятельность в области

защиты информации

Ответственность• «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ

АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ» Федеральный закон № 195-ФЗ от 30.12.2001 г. (с изменениями):▫ Статья 13.14. Разглашение информации с ограниченным

доступом▫ Статья 13.19. Нарушение порядка представления

статистической информации▫ Статья 19.4. Неповиновение законному распоряжению

должностного лица органа, осуществляющего государственный надзор (контроль)

▫ Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)

▫ Статья 19.6. Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения

Ответственность• «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ

АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ» Федеральный закон № 195-ФЗ от 30.12.2001 г. (с изменениями):▫ Статья 19.7. Непредставление сведений

(информации)▫ Статья 19.20. Осуществление деятельности, не

связанной с извлечением прибыли, без специального разрешения (лицензии)

▫ Статья 20.25. Неуплата административного штрафа либо самовольное оставление места отбывания административного ареста

▫ Статья 32.2. Исполнение постановления о наложении административного штрафа

Ответственность• «УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ»• Федеральный закон № 63-ФЗ от 13.06.1996 г. (с

изменениями):▫ Статья 137. Нарушение неприкосновенности частной

жизни▫ Статья 140. Отказ в предоставлении гражданину

информации▫ Статья 155. Разглашение тайны усыновления

(удочерения)▫ Статья 183. Незаконные получение и разглашение

сведений, составляющих коммерческую, налоговую или банковскую тайну

▫ Статья 272. Неправомерный доступ к компьютерной информации

▫ Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

Ответственность• «УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ

ФЕДЕРАЦИИ»• Федеральный закон № 63-ФЗ от 13.06.1996 г. (с

изменениями):▫ Статья 274. Нарушение правил эксплуатации ЭВМ,

системы ЭВМ или их сети▫ Статья 292. Служебный подлог▫ Статья 293. Халатность

Контакты•Копылова Галина Владимировна

+7 (8482) 22-19-40, 22-37-73kgv@itc.tgl.ru

•Кокорин Сергей Викторович+7 (8482) 22-34-81, 22-37-73svk@itc.tgl.ru

•http://itc.tgl.ruраздел: «Информационная безопасность»