О БЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБРАЗОВАТЕЛЬНОМ УЧРЕЖДЕНИИ Кокорин Сергей Викторович заместитель директора МОУДПОС Центр информационных технологий Самарской области +7 (8482)

Пакет документов, регламентирующих организацию и обеспечение информационной безопасностиПакет документов, регламентирующих организацию и обеспечение информационной безопасности Комплекс программно-аппаратных средств

Приказ Департамента образования г.о.Тольятти от г 49 «Об информационной безопасности». Распоряжение МОиН СО от р «О внедрении системы контентной фильтрации доступа общеобразовательных учреждений Самарской области к ресурсам сети Интернет».

Пакет документов Правила использования сети Интернет в образовательном учреждении Документ ознакомления и согласия с Правилами использования сети Интернет в образовательном учреждении, удостоверенное подписью в документе ознакомления и согласия с правилами Регулярное (периодичное) заполнение документа ознакомления…

Пакет документов Инструкция для сотрудников ОУ о порядке действий при осуществлении контроля за использованием учащимися и работниками учреждения ресурсов Интернет Администратор точки доступа к сети Интернет Должностная инструкция администратора точки доступа к сети Интернет в ОУ.

Пакет документов Положение о Совете образовательного учреждения по вопросам регламентации доступа к ресурсам сети Интернет Персональный состав Совета Поддержание актуальности персонального состава Совета Регламент работы учащихся, учителей (преподавателей) и сотрудников ОУ.

Пакет документов Документ регистрации посетителей точки доступа к сети Интернет в образовательном учреждении Документ регистрации ресурсов, посещаемых с точки доступа к сети Интернет в образовательном учреждении Регулярное (периодичное) заполнение документов регистрации

Пакет документов Ответственный за антивирусную безопасность ОУ Локальные акты регламентирующие обязанности ответственных за антивирусную безопасность ОУ

Пакет документов, регламентирующих организацию и обеспечение информационной безопасности Комплекс программно-аппаратных средствКомплекс программно-аппаратных средств

Антивирусная безопасность Лицензионное антивирусное программное обеспечение на ВСЕ АРМ в ОУ Регулярное обновление антивирусных баз (сигнатур и т.п.)

Контентная фильтрация Программный комплекс СКФ Коммуникационный сервер с удаленным централизованным администрированием

Персональные данные. Определения персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Персональные данные. Определения оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Персональные данные. Определения обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Персональные данные. Определения ПДн – персональные данные ИСПДн – информационная система персональных данных. ФСБ России – Федеральная служба безопасности России. ФСТЭК России – Федеральная служба по техническому и экспортному контролю России. ДСП – для служебного пользования

Документы: oФЗ 152 «О персональных данных» от «Информационные системы персональных данных … должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года». o Аналогичные законы в других странах: o США «The Privacy Act of 1974» o Франция «Data Protection Act of 1978» o Канада «The Privacy Act», 1983 o Швейцария «The Federal Law on Data Protection of 1992» o Евросоюз «European Union Data Protection Directive of 1995» o Чехия «Act on Protection of Personal Data», 2000

Документы oПостановление правительства РФ 781; «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» o Постановление правительства РФ 687; «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» o Приказ 55/86/20; «Порядок проведения классификации информационных систем персональных данных» o «Четверокнижие» ФСТЭК (гриф ДСП);

«Четверокнижие» ФСТЭК (ДСП) o Рекомендации по обеспечению безопасности ПД при их обработке в ИСПДн; o Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПДн; o Базовая модель угроз безопасности ПД при их обработке в ИСПДн; o Методика определения актуальных угроз безопасности ПД при их обработке в ИСПДн;

Классификация ИСПДн oСбор и анализ исходных данных по информационной системе (инвентаризация ресурсов) oПрисвоение информационной системе соответствующего класса и его документальное оформление (Составление акта).

Классификация ИСПДн

oТиповые информационные системы – системы, в которых требуется обеспечение только конфиденциальности персональных данных. oСпециальные информационные системы – системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)

Классификация ИСПДн Категория 1 + данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни Категория 2 + дополнительные сведения, исключая относящиеся к Категории 1 Категория 3 ФИО + данные для однозначной идентификации субъекта ПДн

Классификация ИСПДн oТиповые (конфиденциальность) Количество ПДн Категория ПДн3 X нпд

Классификация ИСПДн. Примеры ФИО Паспортн. данныеКат.3 ФИОИННКат.3

Классификация ИСПДн. Примеры ФИО Паспортн. Данные ИНН Кат. 2 ФИО Паспортн. Данные здоро вье Кат. 1

Классификация ИСПДн. Примеры ФИО ОУ Класс Кат 4 ФИ О ОУ Кла сс Св-во о рожд Кат 2

Классификация ИСПДн oТиповые (конфиденциальность) Количество ПДн Категория ПДн3 X нпд

Классификация ИСПДн. Примеры ИСПДн 1 «Кадры» Цель: ТК Класс: 3 ИСПДн 2 «Обучающиеся» Цель: Закон об образовании Класс: 1 ИСПДн 3 «Библиотека» Цель: Закон об образовании Класс: 2

Основные требования o Уведомление об обработке персональных данных o Защита ИСПДн и подтверждение ее эффективности: o К3 – декларация соответствия; o К1 и K2 – аттестация; o K1, K2 и распределенные K3 – лицензия на ТЗКИ. o Согласие субъекта на обработку его персональных данных; o Права субъекта на информацию о его ПДн; o Регламентация обращения с ПДн у оператора; o Уничтожение ПДн после достижения целей обработки.

Уведомление об обработке Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций ( Управление Роскомнадзора по Самарской области: , г. Самара, ул. А. Толстого, 118 Телефон: (846) , факс: (846) , рекомендуется запросить выписку из приказа о внесении в Реестр Операторов или выписку из Реестра

Документация во ОУ Положение о персональных данных. Внесение изменений в договора. Внесение изменений в должностные инструкции. Согласие субъектов ПДн на обработку ПДн. Согласие на передачу/получение ПДн. Согласие на публикацию в Интернет. …

Ответственность o«ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ» Статья 81. Расторжение трудового договора по инициативе работодателя Статья 85. Понятие персональных данных работника. Обработка персональных данных работника Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты Статья 87. Хранение и использование персональных данных работников Статья 88. Передача персональных данных работника Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

Ответственность o«ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ» Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника Статья 195. Привлечение к дисциплинарной ответственности руководителя организации, руководителя структурного подразделения организации, их заместителей по требованию представительного органа работников Статья 237. Возмещение морального вреда, причиненного работнику Статья 391. Рассмотрение индивидуальных трудовых споров в судах

Ответственность «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ» Федеральный закон 195-ФЗ от г. (с изменениями): Статья Нарушение законодательства о труде и об охране труда Статья Отказ в предоставлении гражданину информации Статья Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Статья Нарушение правил защиты информации Статья Незаконная деятельность в области защиты информации

Ответственность «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ» Федеральный закон 195-ФЗ от г. (с изменениями): Статья Разглашение информации с ограниченным доступом Статья Нарушение порядка представления статистической информации Статья Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль) Статья Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) Статья Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения

Ответственность «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ» Федеральный закон 195-ФЗ от г. (с изменениями): Статья Непредставление сведений (информации) Статья Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии) Статья Неуплата административного штрафа либо самовольное оставление места отбывания административного ареста Статья Исполнение постановления о наложении административного штрафа

Ответственность «УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ» Федеральный закон 63-ФЗ от г. (с изменениями): Статья 137. Нарушение неприкосновенности частной жизни Статья 140. Отказ в предоставлении гражданину информации Статья 155. Разглашение тайны усыновления (удочерения) Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну Статья 272. Неправомерный доступ к компьютерной информации Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

Ответственность «УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ» Федеральный закон 63-ФЗ от г. (с изменениями): Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети Статья 292. Служебный подлог Статья 293. Халатность

Контакты Копылова Галина Владимировна +7 (8482) , Кокорин Сергей Викторович +7 (8482) , раздел: «Информационная безопасность»