Семинар «Организационные меры информационной безопасности в образовательной организации» Введение

Сокращения АИСАвтоматизированная информационная система ИСПДнИнформационная система персональных данных НДВНедокументированные возможности НСДНесанкционированный доступ ПДнПерсональные данные РДРуководящий документ СЗИСредства защиты информации СЗПДнСистема защиты персональных данных ТЗТехническое задание НПАНормативно-правовой акт

Портал CIUR.RU Образовательный портал Удмуртской Республики Раздел «Медиабезопасность» Все новости Нормативная база Информационные системы Безопасность в Интернете Лицензионное ПО Персональные данные Памятка по безопасности

Что такое информационная безопасность?

Угрозы Роль АИС в управлении ИКТ позволяют автоматизировать процессы управления (появляется АСУ) Любая АИС является частью АСУ Любое нарушение в работе АИС приводит к снижению качества или полной потере управления процессами со всеми вытекающими убытками и потерями ИКТ – источник опасности С развитием ИКТ мы «поручаем» АИС все более сложные задачи, и… попадаем в еще большую зависимость от них

Угрозы Причины обострения проблемы Расширение сферы применения СВТ и возросший уровень доверия Изменение подхода к самому понятию «Информации» как к товару. Переход к рыночным отношениям в области информационных услуг Развитие компьютерных сетей Распространение компьютерной грамотности Отставание системы законодательно-правового регулирования в сфере ИТ Развитие технологий «взлома» АИС Защита – управление рисками Создать абсолютную систему защиты принципиально невозможно Принимаемые меры могут только снизить вероятность негативных воздействий Суть защиты корпоративных ресурсов – есть управление рисками, связанными с их использованием Риск – оценка опасности определенной угрозы Защитные меры выбираются на основе принципа разумной достаточности

Нарушения… Две воронежские школы незаконно обнародовали персональные данные неуспевающих учеников Сотрудниками Управления Роскомнадзора по Воронежской области в ходе осуществления мониторинга деятельности операторов персональных данных был выявлен факт размещения на официальных сайтах Солдатской и Девицкой школ Семилукского района персональных данных учащихся школ, которые не преуспевали в учебе. «В соответствии со ст. 7 Федерального закона О персональных данных, операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом». Таким образом, данные учеников были обнародованы незаконно. По требованию ведомства персональные данные неуспевающих учащихся школ удалены с официальных сайтов. По материалам сайта ISPDN.RU В Пензенской области директор школы заплатит штраф за разглашение персональных данных Пензенской области директор одной из школ на территории Колышлейского района заплатит штраф за размещение персональных данных детей на официальном сайте школы. Нарушение было выявлено в ходе прокурорской проверки исполнения законодательства о порядке сбора, хранения использования и распространения информации о гражданах. В пресс-службе отметили, что директор допустила размещение на официальном сайте школы списка детей группы продленного дня. В частности, на сайте были опубликованы данные о 20 учениках школы: сведения об имени, фамилии, отчестве, дате и годе рождения учащихся. При этом письменного согласия родителей на опубликование персональных данных их детей получено не было, подчеркнули в прокуратуре. "Никаких мер для обеспечения доступа к этим данным только для определенных пользователей образовательным учреждением не предпринималось", - также пояснили сотрудники пресс-службы. Постановление о возбуждении дела об административном правонарушении вынес в отношении директора прокурор Колышлейского района.

Что такое БИТ? Что (кого)? От чего (от кого)? Почему (зачем)? Как (в какой степени и какими средствами) надо защищать? А надо ли защищать? Цель защиты АИС Защита информации и системы ее обработки не является самоцелью Конечной целью обеспечения безопасности АИС является защита всех категорий субъектов деятельности, от нанесения им ощутимого материального, морального или иного ущерба в результате случайных или преднамеренных нежелательных воздействий на АИС

Цель БИТ Предотвращение разглашения (утечки), искажения (модификации), утраты, блокирования (снижения доступности) или незаконного тиражирования информации Создание препятствий для любого несанкционированного вмешательства в процесс функционирования АИС, а также попыток хищения, модификации, выведения из строя или разрушения ее компонентов (оборудования, ПО, данных (информации) и её субъектов

Угрозы Противодействие угрозам Правовые (законодательные) Морально-этические Организационные (административные и процедурные) Технологические Физические Технические (аппаратные и программные)

Система безопасности Система обеспечения БИТ Цель – достижения заданного (приемлемого) уровня ИБ организации Распределение функций между исполнителями и организация процессов их взаимодействия Основной вопрос: Кто и что в этой системе должен делать? Необходимые условия БИТ Наличие в организации полной и непротиворечивой правовой базы по вопросам БИТ Распределение функций всех подразделений и должностных лиц на всех этапах жизненного цикла АИС (полномочия, ответственность) Наличие ответственного за защиту информации, наделенного необходимыми полномочиями и непосредственно отвечающего за формирование и реализацию единой политики БИТ в организации

Некоторые выводы К обеспечению БИТ должны привлекаться практически все сотрудники, в том числе и обслуживающий персонал Институт ответственных за обеспечение безопасности – руководители структурных подразделений, руководители проектов Необходима система повышения компетентности сотрудников в области БИТ Необходима «Концепция обеспечения информационной безопасности»

АИС и ИСПДн Автоматизированные информационные системы и информационные системы персональных данных в профессиональной образовательной организации

ИСПДн Государственные АИС: ЕГЭ ГИА-9 Региональные, ведомственные: АИС «Электронный детский сад» АИС «Электронная школа» Локальные: Бухгалтерия Система учета кадров Личные дела обучающихся Электронный документооборот …

Безопасность сети Интернет

Госконтракт 2014 Предметом контракта является оказание услуг по предоставлению доступа к сети Интернет образовательным организациям Удмуртской Республики Исполнитель: ОАО «Ростелеком»

Особенности услуги Услуга - 24 часа в сутки, 7 дней в неделю Без ограничения трафика «Горячая линия» техподдержки Контентная фильтрация VPN-канал доступа к региональным информационным системам 100 организаций – волоконно- оптические каналы связи Скорость доступа, согласно приложению к госконтракту ADSL от 128 Кбит/с. до 6 Мбит/с.

Безопасность сети Интернет Независимо от наличия контентной фильтрации на уровне провайдера (ОАО «Ростелеком»), в образовательной организации необходимо принять меры по организации безопасного доступа обучающихся к ресурсам сети Интернет Рекомендации Министерства образования и науки УР на сайте: Главная Направления деятельности Информатизация образования Документы по информатизации

Лицензионное ПО

Соглашение с Microsoft Office Professional Plus All Lng License/SA Pack MVL Partners in Learning Windows Professional ALNG UpgrdSAPk MVL PtnrsinLrning Visio Professional ALNG LicSAPk MVL Office 365 PA 2 Shrd Svr ALNG Subs VL MVL Per Usr Core CAL All Languages License/SA Pack MVL Device CAL: Windows Server CAL Exchange Server Standard CAL SharePoint Server Standard CAL System Center Configuration Manager Client Management License

Опасность Windows XP Официальная Поддержка Windows XP с пакетом обновления 3 (SP3) заканчивается 8 апреля 2014 г. При использовании Windows XP с пакетом обновления 3 (SP3) после указанной даты вы не сможете получать важные обновления для системы безопасности; необходимо выполнить обновление до более поздней версии, например, до Windows 8.1. Использовать Windows XP в составе АИС и при доступе к сети Интернет ЗАПРЕЩАЕТСЯ!

Утилизация техники Утилизация: СПК-Регион г.Ижевск, ул.Красноармейская, 127, оф. 21 (3412) ВсегоУстаревшиеСписание Алнашский район %267% Балезинский район407не представили данных Вавожский район %2910% Воткинский район %5418% Глазовский район %196% Граховский район %2012% Дебесский район %188% Завьяловский район %499% Игринский район %7215% Камбарский район %3112% Каракулинский район %207% Кезский район %4716% Кизнерский район313не представили данных Киясовский район %2713% Красногорский район %2510% Малопургинский район %469% Можгинский район %6714% Сарапульский район %319% Селтинский район %2610% Сюмсинский район %не представили данных Увинский район %4410% Шарканский район %4522% Юкаменский район %4320% Якшур-Бодьинский район %338% Ярский район %4014% Город Воткинск %558% Город Глазов %637% Город Можга %267% Город Сарапул %5211% Город Ижевск %65111% %331810%

Обучение специалистов

Курсы повышения квалификации специалистов в области информационной безопасности (специализированные учебные центры) Москва – 5 дней – руб. Ижевск – 3 дня – руб. АУ УР «РЦИ и ОКО» Программа дополнительного профессионального образования «Безопасность информационных технологий» Семинары для руководителей и специалистов Дистанционные курсы повышения квалификации для специалистов по информационной безопасности образовательных организаций

Дистанционное обучение ИНТУИТ urses?service=0&option_id=9&s ervice_path=1 urses?service=0&option_id=9&s ervice_path=1 Бесплатные курсы по информационной безопасности

Спасибо за внимание! Желаем безопасной работы с информацией!

Павлов Александр Владиславович Заместитель директора по информационным технологиям и безопасности +7 (3412)