Вы находитесь на странице: 1из 43

ОБЕСПЕЧЕНИЕ

ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В
ОБРАЗОВАТЕЛЬНОМ
УЧРЕЖДЕНИИ
Кокорин Сергей Викторович
заместитель директора
МОУДПОС Центр информационных технологий
+7 (8482) 22-34-81
svk@itc.tgl.ru
• Пакет документов, регламентирующих
организацию и обеспечение
информационной безопасности
• Комплекс программно-аппаратных средств
• Приказ Департамента образования
г.о.Тольятти от 16.02.2007 г № 49 «Об
информационной безопасности».
• Распоряжение МОиН СО от 16.04.2007
№200-р «О внедрении системы контентной
фильтрации доступа общеобразовательных
учреждений Самарской области к ресурсам
сети Интернет».
Пакет документов
• Правила использования сети Интернет в
образовательном учреждении
• Документ ознакомления и согласия с
Правилами использования сети Интернет в
образовательном учреждении,
удостоверенное подписью в документе
ознакомления и согласия с правилами
• Регулярное (периодичное) заполнение
документа ознакомления…
Пакет документов
• Инструкция для сотрудников ОУ о порядке
действий при осуществлении контроля за
использованием учащимися и работниками
учреждения ресурсов Интернет
• Администратор точки доступа к сети
Интернет
• Должностная инструкция администратора
точки доступа к сети Интернет в ОУ.
Пакет документов
• Положение о Совете образовательного
учреждения по вопросам регламентации
доступа к ресурсам сети Интернет
• Персональный состав Совета
• Поддержание актуальности персонального
состава Совета
• Регламент работы учащихся, учителей
(преподавателей) и сотрудников ОУ.
Пакет документов
• Документ регистрации посетителей точки
доступа к сети Интернет в образовательном
учреждении
• Документ регистрации ресурсов, посещаемых
с точки доступа к сети Интернет в
образовательном учреждении
• Регулярное (периодичное) заполнение
документов регистрации
Пакет документов
• Ответственный за антивирусную
безопасность ОУ
• Локальные акты регламентирующие
обязанности ответственных за антивирусную
безопасность ОУ
• Пакет документов, регламентирующих
организацию и обеспечение
информационной безопасности
• Комплекс программно-аппаратных
средств
Антивирусная безопасность
• Лицензионное антивирусное программное
обеспечение на ВСЕ АРМ в ОУ
• Регулярное обновление антивирусных баз
(сигнатур и т.п.)
Контентная фильтрация
• Программный комплекс СКФ
• Коммуникационный сервер с удаленным
централизованным администрированием
http://itc.tgl.ru
Персональные данные. Определения
персональные данные - любая
информация, относящаяся к определенному
или определяемому на основании такой
информации физическому лицу (субъекту
персональных данных), в том числе его
фамилия, имя, отчество, год, месяц, дата и
место рождения, адрес, семейное, социальное,
имущественное положение, образование,
профессия, доходы, другая информация.
Персональные данные. Определения
оператор - государственный орган,
муниципальный орган, юридическое или
физическое лицо, организующие и (или)
осуществляющие обработку персональных
данных, а также определяющие цели и
содержание обработки персональных
данных.
Персональные данные. Определения
обработка персональных данных -
действия (операции) с персональными
данными, включая сбор, систематизацию,
накопление, хранение, уточнение
(обновление, изменение), использование,
распространение (в том числе передачу),
обезличивание, блокирование, уничтожение
персональных данных.
Персональные данные. Определения
ПДн – персональные данные
ИСПДн – информационная система
персональных данных.
ФСБ России – Федеральная служба
безопасности России.
ФСТЭК России – Федеральная служба по
техническому и экспортному контролю
России.
ДСП – для служебного пользования
Документы:
o ФЗ №152 «О персональных данных» от 27.07.2006
«Информационные системы персональных данных … должны быть
приведены в соответствие с требованиями настоящего Федерального
закона не позднее 1 января 2010 года».
o Аналогичные законы в других странах:
o США «The Privacy Act of 1974»
o Франция «Data Protection Act of 1978»
o Канада «The Privacy Act», 1983
o Швейцария «The Federal Law on Data Protection of 1992»
o Евросоюз «European Union Data Protection Directive of 1995»
o Чехия «Act on Protection of Personal Data», 2000
Документы
o Постановление правительства РФ №781; «Об утверждении
положения об обеспечении безопасности персональных данных
при их обработке в информационных системах персональных
данных»
o Постановление правительства РФ №687; «Об утверждении
положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»
o Приказ №55/86/20; «Порядок проведения классификации
информационных систем персональных данных»
o «Четверокнижие» ФСТЭК (гриф ДСП);
«Четверокнижие» ФСТЭК (ДСП)
o Рекомендации по обеспечению безопасности ПД при их
обработке в ИСПДн;
o Основные мероприятия по организации и техническому
обеспечению безопасности ПД, обрабатываемых в ИСПДн;
o Базовая модель угроз безопасности ПД при их обработке в
ИСПДн;
o Методика определения актуальных угроз безопасности ПД
при их обработке в ИСПДн;
Классификация ИСПДн
o Сбор и анализ исходных данных по
информационной системе (инвентаризация
ресурсов)
o Присвоение информационной системе
соответствующего класса и его
документальное оформление (Составление
акта).
Классификация ИСПДн
Классификация ИСПДн
o Типовые информационные системы – системы, в
которых требуется обеспечение только конфиденциальности
персональных данных .
o Специальные информационные системы – системы, в
которых вне зависимости от необходимости обеспечения
конфиденциальности персональных данных требуется
обеспечить хотя бы одну из характеристик безопасности
персональных данных, отличную от конфиденциальности
(защищенность от уничтожения, изменения, блокирования, а
также иных несанкционированных действий)
Классификация ИСПДн
Классификация ИСПДн
o Типовые (конфиденциальность)
Количество ПДн
Категория ПДн 3 2 1
Xнпд<1000 1000<Xнпд<100000 Xнпд>100000
Кат. 4 (Обезличенные и (или)
K4 K4 K4
общедоступные ПДн)
Кат. 3 (ПДн, позволяющие
идентифицировать субъекта K3 K3 K2
ПДн)
Кат. 2. (Кат.3 + доп. информация
K3 K2 K1
исключая относящуюся к Кат.1)
Кат. 1 (Кат. 3 + религия, здоровье,
K1 K1 K1
и т.п. )
o Специальные (+целостность, +доступность)
Классификация ИСПДн. Примеры
Классификация ИСПДн. Примеры
Классификация ИСПДн. Примеры
Классификация ИСПДн
o Типовые (конфиденциальность)
Количество ПДн
Категория ПДн 3 2 1
Xнпд<1000 1000<Xнпд<100000 Xнпд>100000
Кат. 4 (Обезличенные и (или)
K4 K4 K4
общедоступные ПДн)
Кат. 3 (ПДн, позволяющие
идентифицировать субъекта K3 K3 K2
ПДн)
Кат. 2. (Кат.3 + доп. информация
K3 K2 K1
исключая относящуюся к Кат.1)
Кат. 1 (Кат. 3 + религия, здоровье,
K1 K1 K1
и т.п. )
Классификация ИСПДн. Примеры
ИСПДн 1 ИСПДн 2
«Кадры» «Обучающиеся»
Цель: ТК Цель: Закон об
образовании
Класс: 3
Класс: 1

ИСПДн 3
«Библиотека»
Цель: Закон об
образовании
Класс: 2
Основные требования
o Уведомление об обработке персональных данных
o Защита ИСПДн и подтверждение ее эффективности:
o К3 – декларация соответствия;
o К1 и K2 – аттестация;
o K1, K2 и распределенные K3 – лицензия на ТЗКИ.

o Согласие субъекта на обработку его персональных данных;


o Права субъекта на информацию о его ПДн;
o Регламентация обращения с ПДн у оператора;
o Уничтожение ПДн после достижения целей обработки.
Уведомление об обработке
Федеральная служба по надзору в сфере связи,
информационных технологий и массовых
коммуникаций (www.rsoc.ru)
Управление Роскомнадзора по Самарской области:
443099, г. Самара, ул. А. Толстого, 118
Телефон: (846) 3325326, факс: (846) 2704400,
e-mail ugnsi@smr.ru, http://63.rsoc.ru

рекомендуется запросить выписку из


приказа о внесении в Реестр
Операторов или выписку из Реестра
Документация во ОУ
• Положение о персональных данных.
• Внесение изменений в договора.
• Внесение изменений в должностные
инструкции.
• Согласие субъектов ПДн на обработку ПДн.
• Согласие на передачу/получение ПДн.
• Согласие на публикацию в Интернет.
•…
Ответственность
o «ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ»
▫ Статья 81. Расторжение трудового договора по инициативе
работодателя
▫ Статья 85. Понятие персональных данных работника.
Обработка персональных данных работника
▫ Статья 86. Общие требования при обработке персональных
данных работника и гарантии их защиты
▫ Статья 87. Хранение и использование персональных
данных работников
▫ Статья 88. Передача персональных данных работника
▫ Статья 89. Права работников в целях обеспечения защиты
персональных данных, хранящихся у работодателя
Ответственность
o «ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ»
▫ Статья 90. Ответственность за нарушение норм,
регулирующих обработку и защиту персональных данных
работника
▫ Статья 195. Привлечение к дисциплинарной
ответственности руководителя организации, руководителя
структурного подразделения организации, их
заместителей по требованию представительного органа
работников
▫ Статья 237. Возмещение морального вреда, причиненного
работнику
▫ Статья 391. Рассмотрение индивидуальных трудовых
споров в судах
Ответственность
• «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ
АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ»
Федеральный закон № 195-ФЗ от 30.12.2001 г. (с
изменениями):
▫ Статья 5.27. Нарушение законодательства о труде и об
охране труда
▫ Статья 5.39. Отказ в предоставлении гражданину
информации
▫ Статья 13.11. Нарушение установленного законом порядка
сбора, хранения, использования или распространения
информации о гражданах (персональных данных)
▫ Статья 13.12. Нарушение правил защиты информации
▫ Статья 13.13. Незаконная деятельность в области защиты
информации
Ответственность
• «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ
АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ»
Федеральный закон № 195-ФЗ от 30.12.2001 г. (с
изменениями):
▫ Статья 13.14. Разглашение информации с ограниченным доступом
▫ Статья 13.19. Нарушение порядка представления
статистической информации
▫ Статья 19.4. Неповиновение законному распоряжению
должностного лица органа, осуществляющего государственный
надзор (контроль)
▫ Статья 19.5. Невыполнение в срок законного предписания
(постановления, представления, решения) органа (должностного
лица), осуществляющего государственный надзор (контроль)
▫ Статья 19.6. Непринятие мер по устранению причин и условий,
способствовавших совершению административного
правонарушения
Ответственность
• «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ
АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ»
Федеральный закон № 195-ФЗ от 30.12.2001 г. (с
изменениями):
▫ Статья 19.7. Непредставление сведений (информации)
▫ Статья 19.20. Осуществление деятельности, не связанной с
извлечением прибыли, без специального разрешения
(лицензии)
▫ Статья 20.25. Неуплата административного штрафа либо
самовольное оставление места отбывания
административного ареста
▫ Статья 32.2. Исполнение постановления о наложении
административного штрафа
Ответственность
• «УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ»
• Федеральный закон № 63-ФЗ от 13.06.1996 г. (с
изменениями):
▫ Статья 137. Нарушение неприкосновенности частной
жизни
▫ Статья 140. Отказ в предоставлении гражданину
информации
▫ Статья 155. Разглашение тайны усыновления (удочерения)
▫ Статья 183. Незаконные получение и разглашение
сведений, составляющих коммерческую, налоговую или
банковскую тайну
▫ Статья 272. Неправомерный доступ к компьютерной
информации
▫ Статья 273. Создание, использование и распространение
вредоносных программ для ЭВМ
Ответственность
• «УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ»
• Федеральный закон № 63-ФЗ от 13.06.1996 г. (с
изменениями):
▫ Статья 274. Нарушение правил эксплуатации ЭВМ,
системы ЭВМ или их сети
▫ Статья 292. Служебный подлог
▫ Статья 293. Халатность
Контакты
• Копылова Галина Владимировна
+7 (8482) 22-19-40, 22-37-73
kgv@itc.tgl.ru
• Кокорин Сергей Викторович
+7 (8482) 22-34-81, 22-37-73
svk@itc.tgl.ru
• http://itc.tgl.ru
раздел: «Информационная безопасность»