Академический Документы
Профессиональный Документы
Культура Документы
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В
ОБРАЗОВАТЕЛЬНОМ
УЧРЕЖДЕНИИ
Кокорин Сергей Викторович
заместитель директора
МОУДПОС Центр информационных технологий
+7 (8482) 22-34-81
svk@itc.tgl.ru
• Пакет документов, регламентирующих
организацию и обеспечение
информационной безопасности
• Комплекс программно-аппаратных средств
• Приказ Департамента образования
г.о.Тольятти от 16.02.2007 г № 49 «Об
информационной безопасности».
• Распоряжение МОиН СО от 16.04.2007
№200-р «О внедрении системы контентной
фильтрации доступа общеобразовательных
учреждений Самарской области к ресурсам
сети Интернет».
Пакет документов
• Правила использования сети Интернет в
образовательном учреждении
• Документ ознакомления и согласия с
Правилами использования сети Интернет в
образовательном учреждении,
удостоверенное подписью в документе
ознакомления и согласия с правилами
• Регулярное (периодичное) заполнение
документа ознакомления…
Пакет документов
• Инструкция для сотрудников ОУ о порядке
действий при осуществлении контроля за
использованием учащимися и работниками
учреждения ресурсов Интернет
• Администратор точки доступа к сети
Интернет
• Должностная инструкция администратора
точки доступа к сети Интернет в ОУ.
Пакет документов
• Положение о Совете образовательного
учреждения по вопросам регламентации
доступа к ресурсам сети Интернет
• Персональный состав Совета
• Поддержание актуальности персонального
состава Совета
• Регламент работы учащихся, учителей
(преподавателей) и сотрудников ОУ.
Пакет документов
• Документ регистрации посетителей точки
доступа к сети Интернет в образовательном
учреждении
• Документ регистрации ресурсов, посещаемых
с точки доступа к сети Интернет в
образовательном учреждении
• Регулярное (периодичное) заполнение
документов регистрации
Пакет документов
• Ответственный за антивирусную
безопасность ОУ
• Локальные акты регламентирующие
обязанности ответственных за антивирусную
безопасность ОУ
• Пакет документов, регламентирующих
организацию и обеспечение
информационной безопасности
• Комплекс программно-аппаратных
средств
Антивирусная безопасность
• Лицензионное антивирусное программное
обеспечение на ВСЕ АРМ в ОУ
• Регулярное обновление антивирусных баз
(сигнатур и т.п.)
Контентная фильтрация
• Программный комплекс СКФ
• Коммуникационный сервер с удаленным
централизованным администрированием
http://itc.tgl.ru
Персональные данные. Определения
персональные данные - любая
информация, относящаяся к определенному
или определяемому на основании такой
информации физическому лицу (субъекту
персональных данных), в том числе его
фамилия, имя, отчество, год, месяц, дата и
место рождения, адрес, семейное, социальное,
имущественное положение, образование,
профессия, доходы, другая информация.
Персональные данные. Определения
оператор - государственный орган,
муниципальный орган, юридическое или
физическое лицо, организующие и (или)
осуществляющие обработку персональных
данных, а также определяющие цели и
содержание обработки персональных
данных.
Персональные данные. Определения
обработка персональных данных -
действия (операции) с персональными
данными, включая сбор, систематизацию,
накопление, хранение, уточнение
(обновление, изменение), использование,
распространение (в том числе передачу),
обезличивание, блокирование, уничтожение
персональных данных.
Персональные данные. Определения
ПДн – персональные данные
ИСПДн – информационная система
персональных данных.
ФСБ России – Федеральная служба
безопасности России.
ФСТЭК России – Федеральная служба по
техническому и экспортному контролю
России.
ДСП – для служебного пользования
Документы:
o ФЗ №152 «О персональных данных» от 27.07.2006
«Информационные системы персональных данных … должны быть
приведены в соответствие с требованиями настоящего Федерального
закона не позднее 1 января 2010 года».
o Аналогичные законы в других странах:
o США «The Privacy Act of 1974»
o Франция «Data Protection Act of 1978»
o Канада «The Privacy Act», 1983
o Швейцария «The Federal Law on Data Protection of 1992»
o Евросоюз «European Union Data Protection Directive of 1995»
o Чехия «Act on Protection of Personal Data», 2000
Документы
o Постановление правительства РФ №781; «Об утверждении
положения об обеспечении безопасности персональных данных
при их обработке в информационных системах персональных
данных»
o Постановление правительства РФ №687; «Об утверждении
положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»
o Приказ №55/86/20; «Порядок проведения классификации
информационных систем персональных данных»
o «Четверокнижие» ФСТЭК (гриф ДСП);
«Четверокнижие» ФСТЭК (ДСП)
o Рекомендации по обеспечению безопасности ПД при их
обработке в ИСПДн;
o Основные мероприятия по организации и техническому
обеспечению безопасности ПД, обрабатываемых в ИСПДн;
o Базовая модель угроз безопасности ПД при их обработке в
ИСПДн;
o Методика определения актуальных угроз безопасности ПД
при их обработке в ИСПДн;
Классификация ИСПДн
o Сбор и анализ исходных данных по
информационной системе (инвентаризация
ресурсов)
o Присвоение информационной системе
соответствующего класса и его
документальное оформление (Составление
акта).
Классификация ИСПДн
Классификация ИСПДн
o Типовые информационные системы – системы, в
которых требуется обеспечение только конфиденциальности
персональных данных .
o Специальные информационные системы – системы, в
которых вне зависимости от необходимости обеспечения
конфиденциальности персональных данных требуется
обеспечить хотя бы одну из характеристик безопасности
персональных данных, отличную от конфиденциальности
(защищенность от уничтожения, изменения, блокирования, а
также иных несанкционированных действий)
Классификация ИСПДн
Классификация ИСПДн
o Типовые (конфиденциальность)
Количество ПДн
Категория ПДн 3 2 1
Xнпд<1000 1000<Xнпд<100000 Xнпд>100000
Кат. 4 (Обезличенные и (или)
K4 K4 K4
общедоступные ПДн)
Кат. 3 (ПДн, позволяющие
идентифицировать субъекта K3 K3 K2
ПДн)
Кат. 2. (Кат.3 + доп. информация
K3 K2 K1
исключая относящуюся к Кат.1)
Кат. 1 (Кат. 3 + религия, здоровье,
K1 K1 K1
и т.п. )
o Специальные (+целостность, +доступность)
Классификация ИСПДн. Примеры
Классификация ИСПДн. Примеры
Классификация ИСПДн. Примеры
Классификация ИСПДн
o Типовые (конфиденциальность)
Количество ПДн
Категория ПДн 3 2 1
Xнпд<1000 1000<Xнпд<100000 Xнпд>100000
Кат. 4 (Обезличенные и (или)
K4 K4 K4
общедоступные ПДн)
Кат. 3 (ПДн, позволяющие
идентифицировать субъекта K3 K3 K2
ПДн)
Кат. 2. (Кат.3 + доп. информация
K3 K2 K1
исключая относящуюся к Кат.1)
Кат. 1 (Кат. 3 + религия, здоровье,
K1 K1 K1
и т.п. )
Классификация ИСПДн. Примеры
ИСПДн 1 ИСПДн 2
«Кадры» «Обучающиеся»
Цель: ТК Цель: Закон об
образовании
Класс: 3
Класс: 1
ИСПДн 3
«Библиотека»
Цель: Закон об
образовании
Класс: 2
Основные требования
o Уведомление об обработке персональных данных
o Защита ИСПДн и подтверждение ее эффективности:
o К3 – декларация соответствия;
o К1 и K2 – аттестация;
o K1, K2 и распределенные K3 – лицензия на ТЗКИ.