Информационная безопасность в образовательном учреждении
advertisement
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБРАЗОВАТЕЛЬНОМ УЧРЕЖДЕНИИ Кокорин Сергей Викторович заместитель директора МОУДПОС Центр информационных технологий Самарской области +7 (8482) 22-34-81 svk@itc.tgl.ru • Пакет документов, регламентирующих организацию и обеспечение информационной безопасности • Комплекс программно-аппаратных средств • Приказ Департамента образования г.о.Тольятти от 16.02.2007 г № 49 «Об информационной безопасности». • Распоряжение МОиН СО от 16.04.2007 №200-р «О внедрении системы контентной фильтрации доступа общеобразовательных учреждений Самарской области к ресурсам сети Интернет». Пакет документов • Правила использования сети Интернет в образовательном учреждении • Документ ознакомления и согласия с Правилами использования сети Интернет в образовательном учреждении, удостоверенное подписью в документе ознакомления и согласия с правилами • Регулярное (периодичное) заполнение документа ознакомления… Пакет документов • Инструкция для сотрудников ОУ о порядке действий при осуществлении контроля за использованием учащимися и работниками учреждения ресурсов Интернет • Администратор точки доступа к сети Интернет • Должностная инструкция администратора точки доступа к сети Интернет в ОУ. Пакет документов • Положение о Совете образовательного учреждения по вопросам регламентации доступа к ресурсам сети Интернет • Персональный состав Совета • Поддержание актуальности персонального состава Совета • Регламент работы учащихся, учителей (преподавателей) и сотрудников ОУ. Пакет документов • Документ регистрации посетителей точки доступа к сети Интернет в образовательном учреждении • Документ регистрации ресурсов, посещаемых с точки доступа к сети Интернет в образовательном учреждении • Регулярное (периодичное) заполнение документов регистрации Пакет документов • Ответственный за антивирусную безопасность ОУ • Локальные акты регламентирующие обязанности ответственных за антивирусную безопасность ОУ • Пакет документов, регламентирующих организацию и обеспечение информационной безопасности • Комплекс программно-аппаратных средств Антивирусная безопасность • Лицензионное антивирусное программное обеспечение на ВСЕ АРМ в ОУ • Регулярное обновление антивирусных баз (сигнатур и т.п.) Контентная фильтрация • Программный комплекс СКФ • Коммуникационный сервер с удаленным централизованным администрированием http://itc.tgl.ru Персональные данные. Определения персональные данные любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Персональные данные. Определения оператор государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Персональные данные. Определения обработка персональных данных действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Персональные данные. Определения ПДн – персональные данные ИСПДн – информационная система персональных данных. ФСБ России – Федеральная служба безопасности России. ФСТЭК России – Федеральная служба по техническому и экспортному контролю России. ДСП – для служебного пользования Документы: o ФЗ №152 «О персональных данных» от 27.07.2006 «Информационные системы персональных данных … должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года». o Аналогичные законы в других странах: o США «The Privacy Act of 1974» o Франция «Data Protection Act of 1978» o Канада «The Privacy Act», 1983 o Швейцария «The Federal Law on Data Protection of 1992» o Евросоюз «European Union Data Protection Directive of 1995» o Чехия «Act on Protection of Personal Data», 2000 Документы o Постановление правительства РФ №781; «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» o Постановление правительства РФ №687; «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» o Приказ №55/86/20; «Порядок проведения информационных систем персональных данных» o «Четверокнижие» ФСТЭК (гриф ДСП); классификации «Четверокнижие» ФСТЭК (ДСП) o Рекомендации по обеспечению безопасности ПД при их обработке в ИСПДн; o Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПДн; o Базовая модель угроз безопасности ПД при их обработке в ИСПДн; o Методика определения актуальных угроз безопасности ПД при их обработке в ИСПДн; Классификация ИСПДн o Сбор и анализ исходных данных по информационной системе (инвентаризация ресурсов) o Присвоение информационной системе соответствующего класса и его документальное оформление (Составление акта). Классификация ИСПДн Классификация ИСПДн o Типовые информационные системы – системы, в которых требуется обеспечение только конфиденциальности персональных данных . o Специальные информационные системы – системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий) Классификация ИСПДн Категория 1 + данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни Категория 2 + дополнительные сведения, исключая относящиеся к Категории 1 Категория 3 ФИО + данные для однозначной идентификации субъекта ПДн Классификация ИСПДн o Типовые (конфиденциальность) Количество ПДн Категория ПДн Кат. 4 (Обезличенные и (или) общедоступные ПДн) Кат. 3 (ПДн, позволяющие идентифицировать субъекта ПДн) Кат. 2. (Кат.3 + доп. информация исключая относящуюся к Кат.1) Кат. 1 (Кат. 3 + религия, здоровье, и т.п. ) 3 Xнпд<1000 2 1000<Xнпд<100000 1 Xнпд>100000 K4 K4 K4 K3 K3 K2 K3 K2 K1 K1 K1 K1 o Специальные (+целостность, +доступность) Классификация ИСПДн. Примеры ФИО ФИО Паспортн. данные ИНН Кат.3 Кат.3 Классификация ИСПДн. Примеры ФИО ФИО Паспортн. Данные Паспортн. Данные ИНН Кат. 2 здоро вье Кат. 1 Классификация ИСПДн. Примеры № ОУ ФИО ФИ О № ОУ Класс Кла сс Св-во о рожд Кат 4 Кат 2 Классификация ИСПДн o Типовые (конфиденциальность) Количество ПДн Категория ПДн Кат. 4 (Обезличенные и (или) общедоступные ПДн) Кат. 3 (ПДн, позволяющие идентифицировать субъекта ПДн) Кат. 2. (Кат.3 + доп. информация исключая относящуюся к Кат.1) Кат. 1 (Кат. 3 + религия, здоровье, и т.п. ) 3 Xнпд<1000 2 1000<Xнпд<100000 1 Xнпд>100000 K4 K4 K4 K3 K3 K2 K3 K2 K1 K1 K1 K1 Классификация ИСПДн. Примеры ИСПДн 2 «Обучающиеся» Цель: Закон об образовании Класс: 1 ИСПДн 1 «Кадры» Цель: ТК Класс: 3 ИСПДн 3 «Библиотека» Цель: Закон об образовании Класс: 2 Основные требования o Уведомление об обработке персональных данных o Защита ИСПДн и подтверждение ее эффективности: o К3 – декларация соответствия; o К1 и K2 – аттестация; o K1, K2 и распределенные K3 – лицензия на ТЗКИ. o Согласие субъекта на обработку его персональных данных; o Права субъекта на информацию о его ПДн; o Регламентация обращения с ПДн у оператора; o Уничтожение ПДн после достижения целей обработки. Уведомление об обработке Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (www.rsoc.ru) Управление Роскомнадзора по Самарской области: 443099, г. Самара, ул. А. Толстого, 118 Телефон: (846) 3325326, факс: (846) 2704400, e-mail ugnsi@smr.ru, http://63.rsoc.ru рекомендуется запросить выписку из приказа о внесении в Реестр Операторов или выписку из Реестра Документация во ОУ • Положение о персональных данных. • Внесение изменений в договора. • Внесение изменений в должностные инструкции. • Согласие субъектов ПДн на обработку ПДн. • Согласие на передачу/получение ПДн. • Согласие на публикацию в Интернет. •… Ответственность o «ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ» ▫ Статья 81. Расторжение трудового договора по инициативе работодателя ▫ Статья 85. Понятие персональных данных работника. Обработка персональных данных работника ▫ Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты ▫ Статья 87. Хранение и использование персональных данных работников ▫ Статья 88. Передача персональных данных работника ▫ Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя Ответственность o «ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ» ▫ Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника ▫ Статья 195. Привлечение к дисциплинарной ответственности руководителя организации, руководителя структурного подразделения организации, их заместителей по требованию представительного органа работников ▫ Статья 237. Возмещение морального вреда, причиненного работнику ▫ Статья 391. Рассмотрение индивидуальных трудовых споров в судах Ответственность • «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ» Федеральный закон № 195-ФЗ от 30.12.2001 г. (с изменениями): ▫ Статья 5.27. Нарушение законодательства о труде и об охране труда ▫ Статья 5.39. Отказ в предоставлении гражданину информации ▫ Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) ▫ Статья 13.12. Нарушение правил защиты информации ▫ Статья 13.13. Незаконная деятельность в области защиты информации Ответственность • «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ» Федеральный закон № 195-ФЗ от 30.12.2001 г. (с изменениями): ▫ Статья 13.14. Разглашение информации с ограниченным доступом ▫ Статья 13.19. Нарушение статистической информации порядка представления ▫ Статья 19.4. Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль) ▫ Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) ▫ Статья 19.6. Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения Ответственность • «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ» Федеральный закон № 195-ФЗ от 30.12.2001 г. (с изменениями): ▫ Статья 19.7. Непредставление сведений (информации) ▫ Статья 19.20. Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии) ▫ Статья 20.25. Неуплата административного штрафа либо самовольное оставление места отбывания административного ареста ▫ Статья 32.2. Исполнение постановления о наложении административного штрафа Ответственность • «УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ» • Федеральный закон № 63-ФЗ от 13.06.1996 г. (с изменениями): ▫ Статья 137. Нарушение неприкосновенности частной жизни ▫ Статья 140. Отказ в предоставлении гражданину информации ▫ Статья 155. Разглашение тайны усыновления (удочерения) ▫ Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну ▫ Статья 272. Неправомерный доступ к компьютерной информации ▫ Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ Ответственность • «УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ» • Федеральный закон № 63-ФЗ от 13.06.1996 г. (с изменениями): ▫ Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети ▫ Статья 292. Служебный подлог ▫ Статья 293. Халатность Контакты • Копылова Галина Владимировна +7 (8482) 22-19-40, 22-37-73 kgv@itc.tgl.ru • Кокорин Сергей Викторович +7 (8482) 22-34-81, 22-37-73 svk@itc.tgl.ru • http://itc.tgl.ru раздел: «Информационная безопасность»
