Информационная безопасность в образовательном учреждении

ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В
ОБРАЗОВАТЕЛЬНОМ УЧРЕЖДЕНИИ
Кокорин Сергей Викторович
заместитель директора
МОУДПОС Центр информационных технологий
Самарской области
+7 (8482) 22-34-81
svk@itc.tgl.ru
• Пакет документов, регламентирующих
организацию
и
обеспечение
информационной безопасности
• Комплекс программно-аппаратных средств
• Приказ
Департамента
образования
г.о.Тольятти от 16.02.2007 г № 49 «Об
информационной безопасности».
• Распоряжение МОиН СО от 16.04.2007
№200-р «О внедрении системы контентной
фильтрации доступа общеобразовательных
учреждений Самарской области к ресурсам
сети Интернет».
Пакет документов
• Правила использования сети Интернет в
образовательном учреждении
• Документ ознакомления и согласия с
Правилами использования сети Интернет в
образовательном
учреждении,
удостоверенное подписью в документе
ознакомления и согласия с правилами
• Регулярное
(периодичное)
заполнение
документа ознакомления…
Пакет документов
• Инструкция для сотрудников ОУ о порядке
действий при осуществлении контроля за
использованием учащимися и работниками
учреждения ресурсов Интернет
• Администратор точки доступа к сети
Интернет
• Должностная инструкция администратора
точки доступа к сети Интернет в ОУ.
Пакет документов
• Положение о Совете образовательного
учреждения по вопросам регламентации
доступа к ресурсам сети Интернет
• Персональный состав Совета
• Поддержание актуальности персонального
состава Совета
• Регламент работы учащихся, учителей
(преподавателей) и сотрудников ОУ.
Пакет документов
• Документ регистрации посетителей точки
доступа к сети Интернет в образовательном
учреждении
• Документ регистрации ресурсов, посещаемых
с точки доступа к сети Интернет в
образовательном учреждении
• Регулярное (периодичное) заполнение
документов регистрации
Пакет документов
• Ответственный
за
антивирусную
безопасность ОУ
• Локальные
акты
регламентирующие
обязанности ответственных за антивирусную
безопасность ОУ
• Пакет
документов,
регламентирующих
организацию
и
обеспечение
информационной безопасности
• Комплекс
программно-аппаратных
средств
Антивирусная безопасность
• Лицензионное антивирусное программное
обеспечение на ВСЕ АРМ в ОУ
• Регулярное обновление антивирусных баз
(сигнатур и т.п.)
Контентная фильтрация
• Программный комплекс СКФ
• Коммуникационный сервер с удаленным
централизованным администрированием
http://itc.tgl.ru
Персональные данные. Определения
персональные
данные
любая
информация, относящаяся к определенному
или определяемому на основании такой
информации физическому лицу (субъекту
персональных данных), в том числе его
фамилия, имя, отчество, год, месяц, дата и
место
рождения,
адрес,
семейное,
социальное,
имущественное
положение,
образование, профессия, доходы, другая
информация.
Персональные данные. Определения
оператор
государственный
орган,
муниципальный орган, юридическое или
физическое лицо, организующие и (или)
осуществляющие обработку персональных
данных, а также определяющие цели и
содержание
обработки
персональных
данных.
Персональные данные. Определения
обработка персональных данных действия (операции) с персональными
данными, включая сбор, систематизацию,
накопление,
хранение,
уточнение
(обновление, изменение), использование,
распространение (в том числе передачу),
обезличивание, блокирование, уничтожение
персональных данных.
Персональные данные. Определения
ПДн – персональные данные
ИСПДн
–
информационная
система
персональных данных.
ФСБ
России
–
Федеральная
служба
безопасности России.
ФСТЭК России – Федеральная служба по
техническому и экспортному контролю
России.
ДСП – для служебного пользования
Документы:
o ФЗ №152 «О персональных данных» от 27.07.2006
«Информационные системы персональных данных … должны быть
приведены в соответствие с требованиями настоящего Федерального
закона не позднее 1 января 2010 года».
o
Аналогичные законы в других странах:
o США «The Privacy Act of 1974»
o Франция «Data Protection Act of 1978»
o Канада «The Privacy Act», 1983
o Швейцария «The Federal Law on Data Protection of 1992»
o Евросоюз «European Union Data Protection Directive of 1995»
o Чехия «Act on Protection of Personal Data», 2000
Документы
o Постановление
правительства
РФ
№781;
«Об
утверждении
положения об обеспечении безопасности персональных данных
при их обработке в информационных системах персональных
данных»
o Постановление правительства РФ №687; «Об утверждении
положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»
o
Приказ
№55/86/20;
«Порядок
проведения
информационных систем персональных данных»
o «Четверокнижие» ФСТЭК (гриф ДСП);
классификации
«Четверокнижие» ФСТЭК (ДСП)
o Рекомендации по обеспечению безопасности ПД при их
обработке в ИСПДн;
o Основные мероприятия по организации и техническому
обеспечению безопасности ПД, обрабатываемых в ИСПДн;
o Базовая модель угроз безопасности ПД при их обработке в
ИСПДн;
o Методика определения актуальных угроз безопасности ПД при
их обработке в ИСПДн;
Классификация ИСПДн
o Сбор и анализ исходных данных по
информационной системе (инвентаризация
ресурсов)
o Присвоение
информационной
системе
соответствующего
класса
и
его
документальное оформление (Составление
акта).
Классификация ИСПДн
Классификация ИСПДн
o Типовые информационные системы – системы, в которых
требуется
обеспечение
только
конфиденциальности
персональных данных .
o Специальные информационные системы – системы, в
которых вне зависимости от необходимости обеспечения
конфиденциальности
персональных
данных
требуется
обеспечить хотя бы одну из характеристик безопасности
персональных данных, отличную от конфиденциальности
(защищенность от уничтожения, изменения, блокирования, а
также иных несанкционированных действий)
Классификация ИСПДн
Категория 1
+ данные, касающихся расовой, национальной принадлежности,
политических взглядов, религиозных или философских убеждений,
состояния здоровья, интимной жизни
Категория 2
+ дополнительные сведения,
исключая относящиеся к Категории 1
Категория 3
ФИО + данные для однозначной идентификации
субъекта ПДн
Классификация ИСПДн
o Типовые (конфиденциальность)
Количество ПДн
Категория ПДн
Кат. 4 (Обезличенные и (или)
общедоступные ПДн)
Кат. 3 (ПДн, позволяющие
идентифицировать субъекта ПДн)
Кат. 2. (Кат.3 + доп. информация
исключая относящуюся к Кат.1)
Кат. 1 (Кат. 3 + религия, здоровье,
и т.п. )
3
Xнпд<1000
2
1000<Xнпд<100000
1
Xнпд>100000
K4
K4
K4
K3
K3
K2
K3
K2
K1
K1
K1
K1
o Специальные (+целостность, +доступность)
Классификация ИСПДн. Примеры
ФИО
ФИО
Паспортн.
данные
ИНН
Кат.3
Кат.3
Классификация ИСПДн. Примеры
ФИО
ФИО
Паспортн.
Данные
Паспортн.
Данные
ИНН
Кат.
2
здоро
вье
Кат.
1
Классификация ИСПДн. Примеры
№
ОУ
ФИО
ФИ
О
№
ОУ
Класс
Кла
сс
Св-во
о
рожд
Кат
4
Кат
2
Классификация ИСПДн
o Типовые (конфиденциальность)
Количество ПДн
Категория ПДн
Кат. 4 (Обезличенные и (или)
общедоступные ПДн)
Кат. 3 (ПДн, позволяющие
идентифицировать субъекта ПДн)
Кат. 2. (Кат.3 + доп. информация
исключая относящуюся к Кат.1)
Кат. 1 (Кат. 3 + религия, здоровье,
и т.п. )
3
Xнпд<1000
2
1000<Xнпд<100000
1
Xнпд>100000
K4
K4
K4
K3
K3
K2
K3
K2
K1
K1
K1
K1
Классификация ИСПДн. Примеры
ИСПДн 2
«Обучающиеся»
Цель: Закон об
образовании
Класс: 1
ИСПДн 1
«Кадры»
Цель: ТК
Класс: 3
ИСПДн 3
«Библиотека»
Цель: Закон об
образовании
Класс: 2
Основные требования
o Уведомление об обработке персональных данных
o Защита ИСПДн и подтверждение ее эффективности:
o К3 – декларация соответствия;
o К1 и K2 – аттестация;
o K1, K2 и распределенные K3 – лицензия на ТЗКИ.
o
Согласие субъекта на обработку его персональных данных;
o Права субъекта на информацию о его ПДн;
o Регламентация обращения с ПДн у оператора;
o Уничтожение ПДн после достижения целей обработки.
Уведомление об обработке
Федеральная служба по надзору в сфере связи,
информационных технологий и массовых
коммуникаций (www.rsoc.ru)
Управление Роскомнадзора по Самарской области:
443099, г. Самара, ул. А. Толстого, 118
Телефон: (846) 3325326, факс: (846) 2704400,
e-mail ugnsi@smr.ru, http://63.rsoc.ru
рекомендуется запросить выписку из
приказа о внесении в Реестр
Операторов или выписку из Реестра
Документация во ОУ
• Положение о персональных данных.
• Внесение изменений в договора.
• Внесение изменений в должностные
инструкции.
• Согласие субъектов ПДн на обработку ПДн.
• Согласие на передачу/получение ПДн.
• Согласие на публикацию в Интернет.
•…
Ответственность
o «ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ»
▫ Статья 81. Расторжение трудового договора по инициативе
работодателя
▫ Статья 85. Понятие персональных данных работника.
Обработка персональных данных работника
▫ Статья
86.
Общие
требования
при
обработке
персональных данных работника и гарантии их защиты
▫ Статья 87. Хранение и использование персональных
данных работников
▫ Статья 88. Передача персональных данных работника
▫ Статья 89. Права работников в целях обеспечения защиты
персональных данных, хранящихся у работодателя
Ответственность
o «ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ»
▫ Статья
90.
Ответственность
за
нарушение
норм,
регулирующих обработку и защиту персональных данных
работника
▫ Статья
195.
Привлечение
к
дисциплинарной
ответственности руководителя организации, руководителя
структурного
подразделения
организации,
их
заместителей по требованию представительного органа
работников
▫ Статья 237. Возмещение морального вреда, причиненного
работнику
▫ Статья 391. Рассмотрение индивидуальных трудовых
споров в судах
Ответственность
• «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ
АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ»
Федеральный закон № 195-ФЗ от 30.12.2001 г. (с
изменениями):
▫ Статья 5.27. Нарушение законодательства о труде и об
охране труда
▫ Статья 5.39. Отказ в предоставлении гражданину
информации
▫ Статья 13.11. Нарушение установленного законом порядка
сбора, хранения, использования или распространения
информации о гражданах (персональных данных)
▫ Статья 13.12. Нарушение правил защиты информации
▫ Статья 13.13. Незаконная деятельность в области защиты
информации
Ответственность
• «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ
АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ»
Федеральный закон № 195-ФЗ от 30.12.2001 г. (с
изменениями):
▫ Статья 13.14. Разглашение информации с ограниченным доступом
▫ Статья
13.19.
Нарушение
статистической информации
порядка
представления
▫ Статья
19.4.
Неповиновение
законному
распоряжению
должностного лица органа, осуществляющего государственный
надзор (контроль)
▫ Статья 19.5. Невыполнение в срок законного предписания
(постановления, представления, решения) органа (должностного
лица), осуществляющего государственный надзор (контроль)
▫ Статья 19.6. Непринятие мер по устранению причин и условий,
способствовавших совершению административного
правонарушения
Ответственность
• «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ
АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ»
Федеральный закон № 195-ФЗ от 30.12.2001 г. (с
изменениями):
▫ Статья 19.7. Непредставление сведений (информации)
▫ Статья 19.20. Осуществление деятельности, не связанной с
извлечением прибыли, без специального разрешения
(лицензии)
▫ Статья 20.25. Неуплата административного штрафа либо
самовольное оставление места отбывания
административного ареста
▫ Статья 32.2. Исполнение постановления о наложении
административного штрафа
Ответственность
• «УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ»
• Федеральный закон № 63-ФЗ от 13.06.1996 г. (с
изменениями):
▫ Статья 137. Нарушение неприкосновенности частной
жизни
▫ Статья 140. Отказ в предоставлении гражданину
информации
▫ Статья 155. Разглашение тайны усыновления (удочерения)
▫ Статья 183. Незаконные получение и разглашение
сведений, составляющих коммерческую, налоговую или
банковскую тайну
▫ Статья 272. Неправомерный доступ к компьютерной
информации
▫ Статья 273. Создание, использование и распространение
вредоносных программ для ЭВМ
Ответственность
• «УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ»
• Федеральный закон № 63-ФЗ от 13.06.1996 г. (с
изменениями):
▫ Статья 274. Нарушение правил эксплуатации ЭВМ,
системы ЭВМ или их сети
▫ Статья 292. Служебный подлог
▫ Статья 293. Халатность
Контакты
• Копылова Галина Владимировна
+7 (8482) 22-19-40, 22-37-73
kgv@itc.tgl.ru
• Кокорин Сергей Викторович
+7 (8482) 22-34-81, 22-37-73
svk@itc.tgl.ru
• http://itc.tgl.ru
раздел: «Информационная безопасность»