Мастер-класс «Защита персональных данных в образовательных учреждениях» Автор и докладчик: Оводов Александр Михайлович, ООО «ИТ Энигма Уфа»

Дата создания – 2001 год (в РБ с 2011 года). Количество сотрудников – более 60. Основные направления деятельности: -Услуги по защита конфиденциальной информации; -Поставка средств защиты информации. Партнеры

Программа семинара 3 1. Зачем защищать персональные данные 2. Контроль и надзор. Основные нарушения Операторов ПДн 3. Нормативная база по защите персональных данных. 4. Постановление Правительства РФ Специальные категории персональных данных 6. Биометрические персональные данные 7. Постановление Правительства РФ Приказ ФСТЭК 21. Меры. 9. Защита информации в региональных информационных системах. Электронная очередь. ГИА и ЕГЭ. 10. Решения ООО «ИТ Энигма Уфа» для детских садов и школ

Зачем заниматься защитой ПДн? 4 Снижение рисков выставления штрафов и других санкций регуляторов Повышение доверия родителей, работников и партнеров Повышение общего уровня ИБ

А что если не защищать свои персональные данные? 5 По результатам ежегодного исследования Norton Cybercrime Report 2012, - одного из крупнейших в мире исследований в сфере киберпреступлений в отношении пользователей, ущерб от киберпреступности за 2012 год оценивается в $2 миллиарда в год в России и в $110 миллиардов во всём мире! По оценкам Group-IB – одной из ведущий международных компаний в области предотвращения и расследования киберпреступлений объем рынка киберпреступности в России в 2012 году составил 1,938 млрд. долларов.

6 Цели хакеров Интернет-мошенничество Мошенничество в системах интернет-банкинга – 446 млн. $ Фишинг – 57 млн. $ Хищение электронных денег – 23 млн. $ Услуги по обналичиванию иных нелегальных доходов – 89 млн. $ СПАМ Медикаменты и контрафактная продукция – 173 млн. $ Поддельное ПО – 120 млн. $ Другое (дейтинг, образование, сфера услуг, путешествия и т.д.) – 493 млн. $

7 Утечки информации в 2012 году В 2012 году официально в России зафиксировано в 5 раз больше утечек, чем в 2011 году. В целом по миру число утечек выросло на 16%. Россия на 3 месте по количеству утечек информации после США и Великобритании. В России 77% утечек носят злонамеренных характер, хотя в мире в целом 50/50.

8 Утечки информации в 2012 году* * - по данным исследования Аналитического центра Infowatch

Надзорные органы Федеральная служба по надзору в сфере связи и массовых коммуникаций (РОСКОМНАДЗОР) –ведет реестр операторов персональных данных, контролирует обработку персональных данных операторами и рассматривает обращения субъектов персональных данных. ФСТЭК России (Федеральная служба по техническому и экспортному контролю РФ) – регулирует техническую сферу обработки персональных данных ФСБ России (Федеральная служба безопасности РФ) – регулирует сферу использования криптографических (шифровальных) средств защиты информации при обработке персональных данных 9

Надзорные органы А еще: Прокуратура – защита прав граждан; Рособрнадзор – обработка персональных данных работников, детей и их законных представителей (заключили соглашение с РОСКОМНАДЗОРом о сотрудничестве); Государственная инспекция труда – обработка персональных данных работников Роспотребнадзор – обработка персональных данных граждан 10

Применяемые способы надзора Плановые проверки (план проверок размещен на сайтах Прокуратуры и РОСКОМНАДЗОР) ; Систематическое наблюдение : выявление организаций и учреждений не подавших уведомление в РКН; не предоставивших сведения об ответственном за организацию обработки ПДн; Не разместивших на сайте Политику в отношении обработки персональных данных; Обучение инспекторов РОСОБРНАДЗОРа выявлению обработки ПДн с нарушение требований 152-ФЗ; Внеплановые проверки (по жалобам) 11

Типовые ошибки операторов ПДн 1. Не предоставление или несвоевременное предоставление уведомления об обработке ПДн; 2. Предоставление уведомления об обработке ПДн в неполном объеме; 3. Отсутствие согласия на обработку ПДн; 4. Несоответствие содержания согласия требованиям законодательства: Неверно указана цель обработки ПДн; Указаны не все категории ПДн Не указаны или неверно указаны сроки прекращения обработки ПДн 5. Несоответствие типовых форм документов; 6. Незаконная передача третьим лицам (без согласия субъекта ПДн) 7. Несоблюдение требований по информированию сотрудников, осуществляющих обработку ПДн без использования средств автоматизации; 8. Отсутствие в тексте договора с лицом, осуществляющим обработку ПДн по поручению оператора, существенного условия об обеспечении конфиденциальности и безопасности ПДн 9. Отсутствие в тексте трудового договора существенного условия об обеспечении конфиденциальности ПДн 10. Наличие в анкете, предоставляемой при приеме на работу, требований по внесению информации сверх необходимой (сведения о судимости, сведения о персональных данных близких родственников, сведения о специальных категориях персональных данных – расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимной жизни) 11. Сотрудники не ознакомлены с положение об обработке персональных данных (для всех сотрудников организации), инструкциями (только для участвующих в обработке) 12. Не утвержден перечень лиц, имеющих доступ к персональным данным 13. Обработка персональных данных (в том числе хранение) после достижения целей обработки. 14. Отсутствие политики в отношении обработки персональных данных 15. Не назначен ответственный за организацию обработки персональных данных 16. Не корректная передача дел в архив 17. Избыточные персональные данные в личных делах работников, учащихся 12

Правовая база по ПДн 13

Термины и определения 1) персональные данные ЛЮБАЯ ИНФОРМАЦИЯ, ОТНОСЯЩАЯСЯ К прямо или косвенно определенному или определяемому ФИЗИЧЕСКОМУ ЛИЦУ (субъекту персональных данных); 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие ЦЕЛИ обработки персональных данных, СОСТАВ персональных данных, подлежащих обработке, ДЕЙСТВИЯ (операции), совершаемые с персональными данными; 3) обработка персональных данных ЛЮБОЕ ДЕЙСТВИЕ (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; 4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; 5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; 6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; 14

Термины и определения 7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); 8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; 9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; 10) информационная система персональных данных - СОВОКУПНОСТЬ содержащихся в БАЗАХ данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; 11) специальные категории персональных данных персональные данные касающиеся расовой, НАЦИОНАЛЬНОЙ принадлежности, политических взглядов, РЕЛИГИОЗНЫХ или философских убеждений, СОСТОЯНИЯ ЗДОРОВЬЯ, интимной жизни; 12) биометрические персональные данные сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых МОЖНО УСТАНОВИТЬ его ЛИЧНОСТЬ и которые ИСПОЛЬЗУЮТСЯ оператором ДЛЯ УСТАНОВЛЕНИЯ ЛИЧНОСТИ субъекта персональных данных. 15

Существенные изменения в ФЗ-152 Ст.9 п.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. Ст.9 п.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. Ст.9 п.3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора. 16

Существенные изменения в ФЗ-152 Ст Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом 1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться: 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом; 17

Существенные изменения в ФЗ-152 6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. 2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. 3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами. 4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных. 18

Существенные изменения в ФЗ-152 Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 2. Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; 5) учетом машинных носителей персональных данных; 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. 19

Существенные изменения в ФЗ-152 Статья Лица, ответственные за организацию обработки персональных данных в организациях 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. 2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему. 3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона. (для подачи уведомления) 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; 2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов. 20

Постановление Правительства 687 Фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы; Лица, осуществляющие обработку персональных данных без использования средств автоматизации должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации; Типовые формы документов (анкеты, заявления, журналы, личные карточки и т.п.) должны удовлетворять требованиям: Форма должна быть утверждена приказом или использоваться утвержденная на вышестоящем уровне; должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных; типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных; типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы 21

Постановление Правительства 687 Журнал однократного пропуска: необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных; копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается; персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор; Необходимые меры: Учет мест хранения материальных носителей; Определение лиц, осуществляющих обработку ПДн; Отдельное хранение носителей ПДн с разными целями; Защита от несанкционированного доступа носителей Пдн 22

ПП РФ от Типы информационных систем ИСПДн, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных (ИСПДн-С). ИСПДн, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных (ИСПДН-Б). ИСПДн, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных» (ИСПДн-О). ИСПДн, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом - третьем настоящего пункта (ИСПДН-И). ИСПДн, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора (ИСПДН-И). 23

ПП РФ от Типы угроз Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе – если используем нелицензионную ОС, свободное ПО. Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе – если используем нелицензионное ПО, свободное ПО. Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе – для всех. 24

Новая классификация ИСПДн по уровням защищенности Тип ИСПДн Сотрудники оператора Количество субъектов Тип актуальных угроз 123 ИСПДн-С Нет> УЗ-1 УЗ-2 Нет< УЗ-1УЗ-2УЗ-3 Да ИСПДн-Б УЗ-1УЗ-2УЗ-3 ИСПДн-И Нет> УЗ-1УЗ-2УЗ-3 Нет< УЗ-2УЗ-3УЗ-4 Да ИСПДн-О Нет> УЗ-2 УЗ-4 Нет< УЗ-2УЗ-3УЗ-4 Да 25

Требования к обеспечению уровня защищенности 26 Требования Уровни защищенности 1234 Режим обеспечения безопасности помещений, где обрабатываются персональные данных ++++ Обеспечение сохранности носителей персональных данных ++++ Перечень лиц, допущенных к персональным данным ++++ СЗИ, прошедшие процедуру оценки соответствия в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз ++++ Должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн +++- Ограничение доступа к содержанию электронного журнала сообщений ++-- Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным +--- Структурное подразделение, ответственное за обеспечение безопасности персональных данных +--- Контроль за выполнением требований ПП-1119 оператором или лицензиатом ФСТЭК не реже 1 раза в 3 года ++++

Контроль за выполнением требований 27 1.П. 4 части 2 статьи ФЗ «О персональных данных» - «обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных» 2. В соответствии с пунктом 6 приказа ФСТЭК России 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе лицензиатов ФСТЭК по ТЗКИ. 3. При этом приказом ФСТЭК России 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены. 4. Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицензиатом привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных. Ремарка: Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО «Защита информации. Аттестация объектов информатизации. Общие положения». В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. 17, национальными стандартами ГОСТ РО и ГОСТ РО «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

28

29

Соответствие 21 и 58 приказов ФСТЭК 30 Приказ ФСТЭК 21 идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных); регистрация событий безопасности; антивирусная защита; обнаружение (предотвращение) вторжений; контроль (анализ) защищенности персональных данных; обеспечение целостности информационной системы и персональных данных; обеспечение доступности персональных данных; защита среды виртуализации; защита технических средств; защита информационной системы, ее средств, систем связи и передачи данных; выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них; управление конфигурацией информационной системы и системы защиты персональных данных. Приказ ФСТЭК 58 управление доступом; Регистрация и учет; Безопасное межсетевое взаимодействие; Учет и хранение съемных носителей информации; Антивирусная защита; Обнаружение вторжений; Периодическое тестирование (анализ защищенности); Обеспечение целостности; Наличие средств восстановления; Физическая охрана помещений;

Идентификация и аутентификация субъектов доступа и объектов доступа 31 Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности) Условное обозначение и номер меры Содержание мер по обеспечению безопасности персональных данных Уровни защищенности персональных данных 4321 I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора++++ ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных ++ ИАФ.З Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов++++ ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации++++ ИАФ.5Защита обратной связи при вводе аутентификационной информации++++ ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)++++

Управление доступом субъектов доступа к объектам доступа 32 Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил. Условное обозначение и номер меры Содержание мер по обеспечению безопасности персональных данных Уровни защищенности персональных данных 4321 II. Управление доступом субъектов доступа к объектам доступа (УПД) УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей++++ УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа++++ УПД.З Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами++++ УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы++++ УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы++++ УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)++++

Управление доступом субъектов доступа к объектам доступа 33 Условное обозначение и номер меры Содержание мер по обеспечению безопасности персональных данных Уровни защищенности персональных данных 4321 УПД.7 Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных УПД.8 Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему УПД.9 Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу +++ УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации +++ УПД.12 Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно- телекоммуникационные сети++++ УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа++++ УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств++++ УПД.16 Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)++++ УПД.17Обеспечение доверенной загрузки средств вычислительной техники ++

Ограничение программной среды 34 Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения III. Ограничение программной среды (ОПС) ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения ++ ОПС.З Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов + ОПС.4 Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов

Защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные 35 Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных. IV. Защита машинных носителей персональных данных (ЗНИ) ЗНИ.1Учет машинных носителей персональных данных ++ ЗНИ. 2 Управление доступом к машинным носителям персональных данных ++ ЗНИ.З Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны ЗНИ.4 Исключение возможности несанкционированного ознакомления с содержанием персональных данных, хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных ЗНИ.6 Контроль ввода (вывода) информации на машинные носители персональных данных ЗНИ.7 Контроль подключения машинных носителей персональных данных ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания +++

Регистрация событий безопасности 36 Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них. V. Регистрация событий безопасности (РСБ) РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения++++ РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации++++ РСБ.З Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения++++ РСБ.4 Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них ++ РСБ.6 Генерирование временных меток и (или) синхронизация системного времени в информационной системе РСБ. 7Защита информации о событиях безопасности++++

Антивирусная защита, обнаружение (предотвращение) вторжений 37 Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия. VI. Антивирусная защита (АВЗ) АВ3.1Реализация антивирусной защиты++++ АВ3.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)++++ VII. Обнаружение вторжений (СОВ) COB.l Обнаружение вторжений ++ COB.2Обновление базы решающих правил ++

Контроль (анализ) защищенности персональных данных 38 Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных. VIII. Контроль (анализ) защищенности персональных данных (АНЗ) АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей +++ АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации++++ АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации +++ АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации +++ АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе ++

Обеспечение целостности информационной системы и персональных данных 39 Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных. IХ.Обеспечение целостности информационной системы и персональных данных (ОЦЛ) ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации ++ ОЦЛ.2 Контроль целостности персональных данных, содержащихся в базах данных информационной системы ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций ОЦЛ.4 Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) ++ ОЦЛ. 5 Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов),методов), и исключение неправомерной передачи информации из информационной системы ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему ОЦЛ.7 Контроль точности, полноты и правильности данных, вводимых в информационную систему ОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передаче персональных данных и предупреждение пользователей об ошибочных действиях

Обеспечение доступности персональных данных 40 Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы. X. Обеспечение доступности персональных данных (ОДТ) ОДТ.1Использование отказоустойчивых технических средств ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы ОДТ.3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование + ОДТ.4 Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных ++ ОДТ. 5 Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала ++

Защита среды виртуализации 41 Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям. XI. Защита среды виртуализации (ЗСВ) ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации++++ ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин ++++ ЗСВ.3Регистрация событий безопасности в виртуальной инфраструктуре +++ ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных ++ ЗСВ.7Контроль целостности виртуальной инфраструктуры и ее конфигураций ++ ЗСВ. 8 Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры ++ ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре +++ ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей +++

Защита технических средств 42 Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей. XII. Защита технических средств (ЗТС) ЗТС.1 Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены++++ ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр++++ ЗТС.5 Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)

Защита информационной системы, ее средств, систем связи и передачи данных 43 Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных. XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) ЗИС.1 Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы + ЗИС.2 Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом ЗИС.3 Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи++++ ЗИС.4 Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) ЗИС. 5 Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств ЗИС.6 Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с персональными данными, при обмене ими с иными информационными системами

Защита информационной системы, ее средств, систем связи и передачи данных 44 XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) ЗИС. 7 Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода ЗИС. 8 Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи ЗИС.9 Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации ЗИС.10 Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам ЗИС.11 Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов ++ ЗИС.12 Исключение возможности отрицания пользователем факта отправки персональных данных другому пользователю

Защита информационной системы, ее средств, систем связи и передачи данных 45 XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) ЗИС.13 Исключение возможности отрицания пользователем факта получения персональных данных от другого пользователя ЗИС.14 Использование устройств терминального доступа для обработки персональных данных ЗИС.15 Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных ++ ЗИС.16 Выявление, анализ и блокирование в информационной системы скрытых каналов передачи информации в обход реализованных мер или внутри разрешенных сетевых протоколов ЗИС.17 Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы ++ ЗИС.18 Обеспечение загрузки и исполнения программного обеспечения с машинных носителей персональных данных, доступных только для чтения, и контроль целостности данного программного обеспечения ЗИС.19 Изоляция процессов (выполнение программ) в выделенной области памяти ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе +++

Защита выявление инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных и реагирование на них 46 Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов. XIV. Выявление инцидентов и реагирование на них (ИНЦ) ИНЦ.1 Определение лиц, ответственных за выявление инцидентов и реагирование на них ++ ИНЦ.2Обнаружение, идентификация и регистрация инцидентов ++ ИНЦ.3 Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами ++ ИНЦ.4 Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий ++ ИНЦ. 5Принятие мер по устранению последствий инцидентов ++ ИНЦ. 6 Планирование и принятие мер по предотвращению повторного возникновения инцидентов ++

Управление конфигурацией информационной системы и системы защиты персональных данных 47 Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов. XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) УКФ.1 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных +++ УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных +++ УКФ.3 Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных +++ УКФ.4 Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных +++

Что подлежит лицензированию ФСТЭК и ФСБ Федеральный закон Российской Федерации от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности" Глава 2. Статья 12. п. 1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: 1)разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (крипто графических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя); 5)деятельность по технической защите конфиденциальной информации; Положение о лицензировании деятельности по технической защите конфиденциальной информации, утв. Постановлением Правительства РФ от 03 февраля 2012 г

Положение о лицензировании деятельности по технической защите конфиденциальной информации, утв. Постановлением Правительства РФ от 03 февраля 2012 г При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг: а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в: … б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации; в) сертификационные испытания на соответствие требованиям по безопасности информации продукции…; г) аттестационные испытания и аттестация на соответствие требованиям по защите информации: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений; д) проектирование в защищенном исполнении: средств и систем информатизации;`разработка технического задания на создание системы защиты ПДн, проект, описание` помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений; е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации). 49

Закон РФ от N 273 «Об образовании в Российской Федерации» Статья 29. Информационная открытость образовательной организации 2. Образовательные организации обеспечивают открытость и доступность: 1) информации: б) о структуре и об органах управления образовательной организацией; ж) о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии); з) о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы; 3. Информация и документы, указанные в части 2 настоящей статьи, если они в соответствии с законодательством Российской Федерации не отнесены к сведениям, составляющим государственную и иную охраняемую законом тайну, подлежат размещению на официальном сайте образовательной организации в сети "Интернет" и обновлению в течение десяти рабочих дней со дня их создания, получения или внесения в них соответствующих изменений. Порядок размещения на официальном сайте образовательной организации в сети "Интернет" и обновления информации об образовательной организации, в том числе ее содержание и форма ее предоставления, устанавливается Правительством Российской Федерации. Фз-152 «О персональных данных» Статья 2. Цель настоящего Федерального закона Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 50

Закон РФ от N 273 «Об образовании в Российской Федерации» Статья 41. Охрана здоровья обучающихся Статья 44. Права, обязанности и ответственность в сфере образования родителей (законных представителей) несовершеннолетних обучающихся 3. Родители (законные представители) несовершеннолетних обучающихся имеют право: 3) знакомиться с уставом организации, осуществляющей образовательную деятельность, лицензией на осуществление образовательной деятельности, со свидетельством о государственной аккредитации, с учебно- программной документацией и другими документами, регламентирующими организацию и осуществление образовательной деятельности; политика 6) получать информацию о всех видах планируемых обследований (психологических, психолого-педагогических) обучающихся, давать согласие на проведение таких обследований или участие в таких обследованиях, отказаться от их проведения или участия в них, получать информацию о результатах проведенных обследований обучающихся; Статья 52. Иные работники образовательных организаций 1. В образовательных организациях наряду с должностями педагогических работников, научных работников предусматриваются должности инженерно-технических, административно-хозяйственных, производственных, учебно-вспомогательных, медицинских и иных работников, осуществляющих вспомогательные функции. 2. Право на занятие должностей, предусмотренных частью 1 настоящей статьи, имеют лица, отвечающие квалификационным требованиям, указанным в квалификационных справочниках, и (или) профессиональным стандартам.частью 1 3. Права, обязанности и ответственность работников образовательных организаций, занимающих должности, указанные в части 1 настоящей статьи, устанавливаются законодательством Российской Федерации, уставом, правилами внутреннего трудового распорядка и иными локальными нормативными актами образовательных организаций, должностными инструкциями и трудовыми договорами.части 1 51

Закон РФ от N 273 «Об образовании в Российской Федерации» Статья 98. Информационные системы в системе образования 1. В целях информационного обеспечения управления в системе образования и государственной регламентации образовательной деятельности уполномоченными органами государственной власти Российской Федерации и органами государственной власти субъектов Российской Федерации создаются, формируются и ведутся государственные информационные системы, в том числе государственные информационные системы, предусмотренные настоящей статьей. Ведение государственных информационных систем осуществляется в соответствии с едиными организационными, методологическими и программно-техническими принципами, обеспечивающими совместимость и взаимодействие этих информационных систем с иными государственными информационными системами и информационно-телекоммуникационными сетями, включая информационно-технологическую и коммуникационную инфраструктуры, используемые для предоставления государственных и муниципальных услуг, с обеспечением конфиденциальности и безопасности содержащихся в них персональных данных и с соблюдением требований законодательства Российской Федерации о государственной или иной охраняемой законом тайне.законом 52

Электронная очередь в детские сады Статья 98. Информационные системы в системе образования 1. В целях информационного обеспечения управления в системе образования и государственной регламентации образовательной деятельности уполномоченными органами государственной власти Российской Федерации и органами государственной власти субъектов Российской Федерации создаются, формируются и ведутся государственные информационные системы, в том числе государственные информационные системы, предусмотренные настоящей статьей. Ведение государственных информационных систем осуществляется в соответствии с едиными организационными, методологическими и программно-техническими принципами, обеспечивающими совместимость и взаимодействие этих информационных систем с иными государственными информационными системами и информационно-телекоммуникационными сетями, включая информационно-технологическую и коммуникационную инфраструктуры, используемые для предоставления государственных и муниципальных услуг, с обеспечением конфиденциальности и безопасности содержащихся в них персональных данных и с соблюдением требований законодательства Российской Федерации о государственной или иной охраняемой законом тайне.законом 53

Электронная очередь в детские сады 54 п/п НаименованиеЦена, руб./ед.Кол-во, ед.Итого, руб. Сертифицированное средство защиты информации от несанкционированного доступа 1КСЗИ «Панцирь-К»4 500,001 Сертифицированный межсетевой экран с функцией обнаружения вторжений, антивирус 2 Право на использование Средств защиты информации Security Studio Endpoint Protection: Antivirus, Personal Firewall, HIPS ,001 3 Установочный комплект Security Studio Endpoint Protection: Antivirus, Personal Firewall, HIPS. 250,001 4 Установка и настройка, год гарантии 3 840,001 Общая стоимость ,00

Постановление Правительства РФ от N 582 "Об утверждении Правил размещения на официальном сайте образовательной организации в ИТС «Интернет» и обновления информации об образовательной организации» 3. Образовательная организация размещает на официальном сайте: о структуре и об органах управления образовательной организации, в том числе: фамилии, имена, отчества и должности руководителей структурных подразделений; о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии), в том числе: фамилия, имя, отчество (при наличии) руководителя, его заместителей; должность руководителя, его заместителей; контактные телефоны; адрес электронной почты; о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы, в том числе: фамилия, имя, отчество (при наличии) работника; занимаемая должность (должности); преподаваемые дисциплины; ученая степень (при наличии); ученое звание (при наличии); наименование направления подготовки и (или) специальности; данные о повышении квалификации и (или) профессиональной переподготовке (при наличии); общий стаж работы; стаж работы по специальности; 55

Постановление Правительства РФ от N 582 "Об утверждении Правил размещения на официальном сайте образовательной организации в ИТС «Интернет» и обновления информации об образовательной организации» 9. При размещении информации на официальном сайте и ее обновлении обеспечивается соблюдение требований законодательства Российской Федерации о персональных данных. А следовательно защищать данную информационную систему необходимо в соответствие с Требованиями ПП-1119 и Приказа ФСТЭК Технологические и программные средства, которые используются для функционирования официального сайта, должны обеспечивать: б) защиту информации от уничтожения, модификации и блокирования доступа к ней, а также иных неправомерных действий в отношении нее; в) возможность копирования информации на резервный носитель, обеспечивающий ее восстановление; г) защиту от копирования авторских материалов. 56

ГИА И ЕГЭ Постановление Правительства РФ от N 755 «О федеральной информационной системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приема граждан в образовательные организации для получения среднего профессионального и высшего образования и региональных информационных системах обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования» 5. Внесение сведений в региональные информационные системы осуществляется операторами и расположенными на территории Российской Федерации образовательными организациями, реализующими образовательные программы основного общего, и (или) среднего общего образования, и (или) среднего профессионального образования на базе основного общего образования с одновременным получением среднего общего образования (далее - образовательные организации, реализующие общеобразовательные программы). 15. Хранение и обработка информации, содержащейся в федеральной и региональных информационных системах, а также обмен информацией осуществляются после принятия необходимых мер по защите указанной информации от повреждения или утраты, предусмотренных нормативными правовыми актами Российской Федерации в области защиты информации. 16. Доступ к персональным данным, содержащимся в федеральной и региональных информационных системах, и обработка указанных данных осуществляются в соответствии с Федеральным законом "О персональных данных". 57

ГИА И ЕГЭ п/п НаименованиеЦена, руб./ед.Кол-во, ед.Итого, руб. Сертифицированное средство защиты информации от несанкционированного доступа 1КСЗИ «Панцирь-К»4 500,001 Сертифицированный межсетевой экран с функцией обнаружения вторжений, антивирус 2 Право на использование Средств защиты информации Security Studio Endpoint Protection: Antivirus, Personal Firewall, HIPS ,001 3 Установочный комплект Security Studio Endpoint Protection: Antivirus, Personal Firewall, HIPS. 250,001 4Установка, настройка, год гарантии 3 840,001 5 Аттестация по требования безопасности информации 3 500,001 Общая стоимость ,00 58

11 шагов по выполнению требования закона «О персональных данных» Предпроектное обследование Шаг 1. Определить должностное лицо, ответственное за организацию обработки ПДн Шаг 2. Определить состав обрабатываемых ПДн, цели и условия обработки. Определить срок хранения ПДн Шаг 3. Получить согласие субъекта на обработку его ПДн, в том числе в письменной форме Шаг 4. Определить порядок реагирования на запросы со стороны субъектов ПДн Шаг 5. Оптимизировать процесс обработки ПДн Шаг 6. Разработать модель угроз ПДн при обработке в ИСПДн. Классифицировать ИСПДн Шаг 7. Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление Шаг 8. Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации Проектирование и внедрение системы защиты персональных данных Шаг 9. Спроектировать и реализовать систему защиты ПДн Оценка соответствия системы защиты ПДн заявленным требованиям Шаг 10. Провести оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн Эксплуатация системы защиты ПДн Шаг 11. Обеспечить постоянный контроль защищенности ПДн 59

Схема осуществления защиты ПДн 60

Шаг 1. Определить должностное лицо, ответственное за организацию обработки ПДн Назначить приказом должностное лицо, ответственное за организацию обработки ПДн. Им может быть: Руководитель организации; Заместитель руководителя; Начальник структурного подразделения, осуществляющего обработку ПДн или ответственного за обеспечение безопасности Пдн Шаг 2. Определить состав обрабатываемых ПДн, цели и условия обработки. Определить срок хранения ПДн 1. Приказом утвердить комиссию по проведению работ по организации системы защиты персональных данных и возложить на нее обязанности по проведению внутренней проверки. 2. Провести внутреннюю проверку или обследования сторонней организацией (лицензиатом) с подготовкой: акта обследования информационной системы; перечня ИСПДн; перечня ПДн; матрицы доступа сотрудников к ПДн; Приказа об установлении границ контролируемой зоны; Приказа об утверждении мест хранения материальных носителей ПДн; План по приведению ИСПДн в соответствие с требованиями ФЗ «О персональных данных»; Предварительный список лиц (категорий лиц), допущенных к работе с ПДн; Разработать и получить с сотрудников обязательство о неразглашении конфиденциальной информации 61

Шаг 3. Получить согласие субъекта на обработку его ПДн, в том числе в письменной форме 1. Определить необходимость получения согласия на обработку ПДн субъекта на основании действующих законов и подзаконных актах; 2. Разработать типовую форму согласия на обработку ПДн или проект внесения изменений в договора и(или) положения учреждения (если необходимо); 3. Получить согласие субъектов на обработку ПДн (утвердить и ознакомить субъектов ПДн с изменениями в договорах и положении учреждения); Когда не нужно брать отдельное согласие на обработку ПДн: 1. Участие в ЕГЭ (ПП-36); 2. Прием граждан в ВУЗ (Приказ Минобрнауки 2895) 3. Обработка ПДн учащихся в учреждениях образования: для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем; о персональном составе педагогических работников с указанием уровня образования и квалификации. Шаг 4. Определить порядок реагирования на запросы со стороны субъектов ПДн 1. Определить лиц, ответственных за соблюдение требований ФЗ «О персональных данных» в части реагирования на запросы субъектов ПДн (кто и в каких случаях будет отвечать на запросы субъектов); 2. Определить регламент реагирования на запросы субъектов ПДн (может осуществляться согласно действующих регламентных процедур); 3. Разработать журнал учета обращений субъектов ПДн о выполнении их законных прав 62

Отдельный слайд Шаг 6. Разработать модель угроз ПДн при обработке в ИСПДн. Классифицировать ИСПДн 1. Согласно полученных при обследовании данных разработать модель угроз безопасности ПДн при их обработке в ИСПДн согласно нормативных документов ФСТЭК и ФСБ или поручить такую разработку лицензиату ФСТЭК. 2. Утвердить модель угроз ПДн 3. Комиссией из 3-х человек, назначенных приказом провести классификацию ИСПДн Шаг 7. Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление 1. Зайти на сайт РОСКОМНАДЗОРА и ознакомится с рекомендациями по заполнению образца уведомления Подготовить уведомление по шаблону или через электронную форму Распечатать уведомление, подписать, заверить печатью и отправить почтой или нарочным в Управление РОСКОМНАДЗОРа по РБ (450005, Республика Башкортостан, г. Уфа, ул. 50 лет Октября, 20/1) 4. Если уведомление уже подано, то у Вас есть срок до 1 января 2013 года отправить изменения к уведомлению 5. В случае, если Вы проводите изменения в обработке ПДн, изменения в системе защите ПДн Вы также обязаны в течение 14 дней с момента изменений внести изменения в уведомление и отправить в РОСКОМНАДЗОР. Шаг 5. Оптимизировать процесс обработки ПДн 63

Шаг 8. Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации 1. Список лиц, допущенных к обработке ПДн; 2. Перечень материальных носителей ПДн; 3. Перечень мест хранения материальных носителей ПДн; 4. Инструкция по обработке ПДн в неавтоматизированном виде (доступ, хранение, внесение уточнений, защита от утечек по видовым каналам); Шаг 9. Спроектировать и реализовать систему защиты ПДн 1. Формирование требований к системе защиты ПДн; 2. Разработка технического задания на создание системы защиты ПДн; 3. Разработка комплекта организационно-распорядительной документации по защите ПДн; 4. Оптимизация процесса обработки ПДн; 5. Проектирование системы защиты ПДн; 6. Приобретение компонентов системы защиты; 7. Внедрение компонентов защиты; 8. Обучение персонала; 9. Тестирование системы защиты; 64

Шаг 10. Провести оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн 1. Для государственных информационных систем (ЕГЭ) - аттестация (требования СТР-К); 2. Для муниципальных информационных систем (кадры УО, данные в РИС, МИС) – рекомендовано проводить оценку также как и для государственных информационных систем. Шаг 11. Обеспечить постоянный контроль защищенности ПДн 1. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных ФЗ-152 «О персональных данных» и принятыми в соответствие с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора (п.п. 4 п. 1 ст 18.1 Фз-152); 2. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных; 3. Доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; 65

Примерный перечень документов в учреждении образования по обработке ПДн Техническая документация: 1. Акт обследования информационной системы 2. Модель угроз безопасности ПДн 3. Акт определения уровня защищенности ПДн 4. Техническое задание на создание системы защиты ПДн 5. Описание системы защиты ПДн 6. Технический паспорт Организационно-распорядительные документы: 1. Приказ о назначении ответственного за обработку персональных данных 2. План по приведению в соответствие ИСПДн требованиям ФЗ «О персональных данных» 3. Приказ о создании комиссии по определению уровня защищенности персональных данных 4. Список лиц (категорий лиц), допущенных к работе с ПДн 5. Матрица доступа сотрудников 6. Приказ об установлении границ контролируемой зоны 7. План внутренних проверок состояния системы защиты персональных данных 8. Приказ об установлении мест хранения материальных носителей 9. Перечень ИСПДн 10. Перечень персональных данных, обрабатываемых в ИСПДн 11. Политика обработки персональных данных 12. Положение о порядке обработки персональных данных 13. Форма акта об уничтожении персональных данных 14. Обязательство о конфиденциальности 15. Типовая форма согласия субъекта на обработку персональных данных 16. Уведомление об обработке персональных данных 66

Примерный перечень документов в учреждении образования по обработке ПДн 18. Инструкция ответственного за обеспечение безопасности персональных данных 19. Инструкция пользователя информационной системы персональных данных 20. Инструкция по организации парольной защиты 21. Инструкция по антивирусной защите 22. Регламент резервного копирования 23. Инструкция по неавтоматизированной обработке персональных данных 24. Правила рассмотрения обращений граждан с типовыми формами запросов и ответов 25. Формы дополнительных соглашений с третьими лицами Журналы: 1. Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним. 2. Журнал учета машинных носителей персональных данных 3. Журнал учёта обращений субъектов ПДн о выполнении их законных прав 4. Журнал учета ремонтно-восстановительных работ на основных технических средствах 5. Журнал регистрации попыток к несанкционированного доступа к информации 6. Журнал поэкземплярного учета СКЗИ 7. Технический (аппаратный) журнал Документы по установки средств защиты информации и средств криптографической защиты информации: 1. Заключение о возможности эксплуатации 2. Журнал учета используемых криптосредств, эксплуатационной и технической документации к ним 3. Инструкция по обеспечению безопасности с использованием СКЗИ 4. Лицевой счет пользователя СКЗИ 5. Приказ о допуске сотрудников к работе с СКЗИ 6. Приказ о назначении ответственного пользователя СКЗИ 7. Программа обучения 8. Инструкция ответственного пользователя СКЗИ 67

Факторы, влияющие на построение системы защиты персональных данных Отсутствие технологических карт процессов обработки персональных данных; Отсутствие единого подхода к построению ИС учреждения; Подключение к сетям общего пользования; Доступ обучающихся к сегментам ИСПДн; Трудности отслеживания хранения ПДн у учителей. 68

Оптимизация затрат на техническую защиту ПДн. Что необходимо? Когда Вы уже сделали акт обследования, модель угроз, техническое задание и расчет стоимости внедрения системы защиты можно осуществлять оптимизацию. Что для этого необходимо: 1. Составить технологические карты процессов обработки персональных данных; 2. Выявить узкие места в обработке персональных данных (самые затратные); 3. Определить пути оптимизации процессов обработки; 4. Провести тестирование новых процессов на отдельных участках ИСПДн; 5. Утвердить полученные результаты, разработать документы регламентирующие новые процессы обработки ПДн; 6. Разработать технический проект на АС в защищенном исполнении. 69

Оптимизация затрат на техническую защиту ПДн. 8 законных способов снижения стоимости технической защиты персональных данных Переход на неавтоматизированную обработку ПДн 1. Объединение / разделение ИСПДн 2. Снижение категории ПДн 3. Снижение объема обрабатываемых ПДн на ПК 4. Снижение числа ПК, обрабатывающих ПДн 5. Снижение числа точек подключения к СОП 6. Обезличивание ПДн 7. Выделение ИСПДн из общей локальной сети в отдельную подсеть 8. Снижение класса ИСПДн путем сегментирования (Сервера класс К1/К2, АРМ – К3) 70

Рекомендации по внедрению новых программных комплексов Необходимо учитывать: 1. Какие ПДн будут обрабатываться; 2. Кто будет иметь доступ к программному комплексу; 3. Есть ли встроенные СЕРТИФИЦИРОВАННЫЕ ФСТЭК или ФСБ механизмы защиты; Правильнее всего при выборе программных комплексов проводить экспертизу сторонней компанией, специализирующей на защите информации, чтобы определить возможность безопасной эксплуатации данной ИСПДн, стоимость защиты, и возможные варианты снижения стоимости. Почему сторонней компанией – не заинтересована в продаже конкретного программного комплекса. 71

Обязанности ответственного за организацию обработки персональных данных в образовательном учреждении Знать: Все нормативные акты в области персональных данных, включая технические документы ФСТЭК и ФСБ; Уметь: Разрабатывать технологические карты обработки персональных данных; Разрабатывать организационно-распорядительные документы по обработке и защите персональных данных; Определять актуальные угрозы безопасности персональных данных; Администрировать средства защиты информации; Проводить разбирательства в случае несанкционированного доступа к персональным данным; Делать: Постоянно осуществлять мониторинг появления новых нормативных актов в области информационной безопасности и обработке персональных данных; Проводить мероприятия в соответствие с планом внутренних проверок; Информировать сотрудников о положениях законодательства и внутренних актах; Участвовать в проведении проверок РОСКОМНАДЗОРа. 72

И кто он? Специалист по защите информации? БЭТМЕН Человек оркестр Нет – он просто работник детского сада или школы. 73

Альтернатива Нанять «ИТ Энигма Уфа» в качестве ответственного за организацию обработки персональных данных Мы готовы взять на себя всю работу ответственного и даже больше, ведь мы лицензиат ФСТЭК и ФСБ! Разработка организационных и технических документов (модели угроз, технического проекта); Внесение изменений в документы в случае изменений требований законодательства; Корректировка модели угроз безопасности персональных данных и внесение изменений в технический проект при изменении законодательства и проведении обязательного ежегодного пересмотра актуальных угроз; Ознакомление сотрудников с положениями законодательства в отношении персональных данных и локальными нормативными актами и проверка их знаний; Проведение мероприятий по контролю в соответствии с планом внутренних проверок с ведением необходимых журналов; Рассмотрение и подготовка ответов по вопросам, связанным с обращениями субъектов персональных данных; Настройка политик безопасности на компьютерах, серверах, сетевом оборудовании; Настройка политик безопасности при пользовании детей Интернетом; Установка средств защиты информации; Проведение контроля защищенности информационных систем персональных данных. 74

«ИТ Энигма Уфа» в качестве ответственного за организацию обработки персональных данных Преимущества: 1. Финансовая гарантия на период действия договора от штрафов; 2. Оспаривание и(или) выполнение возможных предписаний РОСКОМНАДЗОРа за свой счет; 3. Вы получаете штат специалистов, имеющих богатый опыт проведения работ по приведению обработки персональных данных в соответствие с требованиями законодательства и прохождения проверок РОСКОМНАДЗОРа и ФСБ; 4. Мы не ходим на больничные, не уходим в декрет и у нас не болит голова И все это по смешной цене: 2000 рублей в месяц для школ 1500 рублей в месяц для детских садов И Вы можете спокойно заниматься своей основной работой – учить и воспитывать детей! 75

«ИТ Энигма Уфа» в качестве ответственного за организацию обработки персональных данных Что Вам необходимо сделать: 1. Руководитель Отдела образования совместно с руководителями школ, детских садов, бухгалтерией определяют финансовую возможность заключения договоров сопровождения сроком на 1 год. 2. Централизованно заключают договора сроком на 1 год с оплатой ежемесячно или ежеквартально. 3. Спокойно работаете! Что будет делать ООО «ИТ Энигма Уфа»: 1. Квартал - Проведем обследование в каждом учреждении заключившим договор, проведем контрольные мероприятия и настройки по требованиям к обеспечению безопасного доступа к информации в Интернете; 2. Квартал – разработаем и предоставим всю необходимую документацию по обработке персональных данных (от приказов до уведомления в РКН), а также проведем информирование сотрудников и ознакомление с нормами законодательства о персональных данных и внутренними нормативными актами; 3. Квартал – настроим операционные системы и существующие средства защиты информации в соответствие с требованиями безопасности информации, контроль за соблюдением процессов обработки персональных данных и безопасного доступа детей к информации посредством Интернета; внесение изменений во внутренние нормативные акты по мере изменений в законодательстве; 4. Квартал – контроль за соблюдением процессов обработки персональных данных, ознакомление новых сотрудников с требованиями по персональным данным, контроль за соблюдением требований в области защиты персональных данных и безопасного доступа детей к информации посредством Интернета; внесение изменений во внутренние нормативные акты по мере изменений в законодательстве. 76

Вопросы! 77

Благодарю за внимание ООО «ИТ Энигма Уфа» Адрес: , РБ, г. Уфа, ул. Карла Маркса, 35А Тел./факс: +7 (347) С уважением, Оводов Александр Михайлович, Консультант по информационной безопасности директор ООО «ИТ Энигма Уфа» 78