Особенности парольной защиты персональных данных в образовательном учреждении

2118

Какие требования предъявляются к организации парольной защиты персональных данных в образовательном учреждении?

Организационное и техническое обеспечение процессов использования, смены и прекращения действия паролей, а также контроль работы с паролями в образовательном учреждении целесообразно поручить системному администратору.

Личные пароли желательно генерировать и распределять централизованно. Однако пользователи информационной системы могут выбирать их самостоятельно с учетом следующих требований:

  1. длина пароля должна быть не менее 8 символов;
  2. среди символов обязательно должны присутствовать буквы (в верхнем и нижнем регистрах) и цифры;
  3. пароль не должен содержать легко вычисляемые сочетания символов (имена, фамилии, известные названия, жаргонные слова и т. д.), последовательности символов и знаков, общепринятые сокращения, аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие сочетания букв и знаков, которые можно угадать, основываясь на информации о пользователе;
  4. личный пароль пользователь не имеет права сообщать никому.

В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за их правильность возлагается на системного администратора образовательного учреждения.

При наличии технологической необходимости использования пароля работника в его отсутствие, рекомендуется при первой же возможности поменять пароль и передать его на хранение лицу, ответственному за информационную безопасность, в запечатанном конверте. Опечатанные конверты с паролями должны храниться в сейфе.

Смену парольной защиты персональных данных рекомендуется проводить регулярно, не реже одного раза в три месяца.

В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т. п.) системный администратор должен удалить его учетную запись сразу же после окончания последнего сеанса работы с информационной системой.

Срочная (внеплановая) смена паролей должна производиться в случае прекращения полномочий администраторов информационной системы и других сотрудников, которым были предоставлены полномочия по управлению парольной защитой.

В образовательном учреждении рекомендуется разработать инструкцию по организации парольной защиты персональных данных, с которой владельцы паролей должны быть ознакомлены под роспись. В инструкции необходимо определить меры безопасности, соблюдение которых позволит не допустить утечки информации. Приведем возможную формулировку.
Запрещается записывать пароли на бумаге, в файле и других носителях информации. При вводе пароля пользователь не должен произносить его вслух.

Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
Хранение пароля на бумажном носителе допускается только в сейфе.

Владельцы паролей должны быть предупреждены об ответственности за использование паролей, не соответствующих установленным в учреждении требованиям, а также за разглашение парольной информации.

Официальный источник

  • Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 17.11.2007 № 781

Каким образом осуществляется мониторинг информационной безопасности автоматизированных систем, обрабатывающих персональные данные в образовательном учреждении?

Мониторинг работоспособности аппаратных компонентов автоматизированных систем, обрабатывающих персональные данные, осуществляется в процессе их администрирования и при проведении работ по техническому обслуживанию оборудования. Наиболее существенные компоненты системы (серверы, активное сетевое оборудование) должны контролироваться постоянно в рамках работы администраторов соответствующих систем.

Мониторинг парольной защиты персональных данных в образовательных учреждениях предусматривает: установление сроков действия паролей (не более 3 месяцев); периодическую (не реже 1 раза в месяц) проверку пользовательских паролей на количество символов и очевидность с целью выявления слабых паролей, которые легко угадать или дешифровать с помощью специализированных программных средств (взломщиков паролей).

Мониторинг целостности программного обеспечения включает следующие действия:

  1. проверку контрольных сумм и цифровых подписей каталогов и файлов сертифицированных программных средств при загрузке операционной системы;
  2. обнаружение дубликатов идентификаторов пользователей;
  3. восстановление системных файлов администраторами систем с резервных копий при несовпадении контрольных сумм.

Предупреждение и своевременное выявление попыток несанкционированного доступа осуществляется с использованием средств операционной системы и специальных программных средств и предусматривает:

  1. фиксацию неудачных попыток входа в систему в системном журнале;
  2. протоколирование работы сетевых сервисов;
  3. выявление фактов сканирования определенного диапазона сетевых портов в короткие промежутки времени с целью обнаружения сетевых анализаторов, изучающих систему и выявляющих ее уязвимости.

Мониторинг производительности автоматизированных систем, обрабатывающих персональные данные, производится по обращениям пользователей, в ходе администрирования систем и проведения профилактических работ для выявления попыток несанкционированного доступа, повлекших существенное уменьшение производительности систем.

Системный аудит производится ежеквартально и в особых ситуациях. Он включает проведение обзоров безопасности, тестирование системы, контроль внесения изменений в системное программное обеспечение.

Официальный источник

  • Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (ред. от 25.07.2011)
  • Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 17.11.2007 № 781
  • Положение о методах и способах защиты информации в информационных системах персональных данных, утв. приказом ФСТЭК от 05.02.2010 № 58



Подписка на статьи

Не пропустите ни одной важной или интересной статьи, подпишитесь бесплатно на рассылку.

Мероприятия


Мероприятия

Проверьте свои знания и приобретите новые

Посмотреть

Самое выгодное предложение

Самое выгодное предложение на подписку

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Электронная система

Справочная система «Образование»

Школа Менеджера образования

Опрос

Что чаще всего горит в школе?

  • Электропроводка 43.75%
  • Электроприборы 8.75%
  • Реактивы 3.75%
  • Помещения и оборудование пищеблока 3.75%
  • Чердаки, подсобные помещения 6.25%
  • Мусор, сухая трава во дворе 33.75%
Другие опросы

Рассылка



© МЦФЭР, 2016. Свидетельство о регистрации СМИ: Эл № ФС77-37745 от 12 октября 2009 года
Menobr.ru: сайт для специалистов и управленцев сферы общего образования. Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

По вопросам подписки обращайтесь: 8 800 775-4822 (звонки по России бесплатные)
По вопросам клиентской поддержки тел.: +7 (495) 937-90-82



  • Мы в соцсетях
Сайт предназначен для работников сферы образования!

Чтобы продолжить чтение статей на портале «Менеджер образования», пожалуйста, зарегистрируйтесь. Регистрация на сайте бесплатна.

Вы получите доступ к важным статьям, ответам на актуальные вопросы, полезным сервисам и шаблонам документов.

Внимание! В материалах сайта используется терминология профессионального сообщества.

А еще в подарок за регистрацию мы дарим Вам видеолекцию «Методические и организационные аспекты введения ФГОС обучающихся с ОВЗ», из которой узнаете о ключевых изменениях в нормативных правовых актах, требующих обязательного применения в образовательной практике.

Лектор: Фальковская Л. П., начальник отдела образования детей с проблемами развития и социализации.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Сайт предназначен для работников сферы образования!

Чтобы скачать шаблон документа, пожалуйста, зарегистрируйтесь. Регистрация на сайте бесплатна.

А еще в подарок за регистрацию мы дарим Вам локальный нормативный акт о планировании внеурочной деятельности.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Регистрация

Зарегистрируйтесь, чтобы получить документ. Это бесплатно и займет всего минуту!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль