Защита персональных данных в образовательном учреждении

1435

В этой статье мы рассмотрим проблемы создания локальных документов по защите персональных данных в образовательном учреждении.

Организационно-распорядительная документы по защите персональных данных в образовательном учреждении

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон №  152-ФЗ) определил состав уполномоченных органов, устанавливающих требования к защите персональных данных в образовательном учреждении:

  • Правительство РФ;
  • федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности– Федеральная служба безопасности РФ (далее – ФСБ России);
  • федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации – Федеральная служба по техническому и экспортному контролю (далее – ФСТЭК России);
  • федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи – Роскомнадзор;
  • федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов РФ, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий.

Для выполнения требований к защите персональных данных в образовательном учреждении администрацией может быть подготовлена организационно-распорядительная документация (табл. 1).

Таблица 1

Примерный перечень документов по защите персональных данных в образовательном учреждении

№ 

Название документа

1

Акт определения типа актуальных угроз защищенности информационных систем (далее – ИС) персональных данных

2

Инструкция администратора безопасности ИС персональных данных

3

Инструкция администратора ИС персональных данных

4

Инструкция должностного лица, ответственного за организацию обработки персональных данных

5

Инструкция по обеспечению безопасности персональных данных

6

Инструкция педагогическому персоналу ОО по работе с персональными данными

7

Модель угроз персональным данным (приложение 1 «Примерное содержание модели угроз персональным данным»)

8

Отчет по инвентаризации ИС персональных данных

9

Перечень должностей сотрудников ОО, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных

10

Перечень должностей сотрудников ОО, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным

11

Перечень ИС персональных данных в ОО

12

Перечень персональных данных, подлежащих защите в ОО

13

Политика в отношении обработки персональных данных

14

Положение по обеспечению безопасности персональных данных

15

Порядок доступа в помещения ОО, в которых ведется обработка персональных данных

16

Правила обработки персональных данных

17

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

18

Правила работы с обезличенными персональными данными

19

Правила рассмотрения запросов субъектов персональных данных или их представителей

20

Приказ о вводе в действие документов, регламентирующих порядок обработки персональных данных

21

Приказ о назначении комиссии по уничтожению материальных носителей информации, содержащих персональные данные

22

Приказ о назначении ответственных за обработку персональных данных

23

Приказ об организации защиты персональных данных

24

Приказ об утверждении мест хранения материальных носителей персональных данных

25

Приказ об утверждении плана мероприятий по защите персональных данных, обрабатываемых в ИС

26

Приказ об утверждении форм журналов, используемых при обработке персональных данных, а также при эксплуатации технических средств защиты информации

27

Протокол экспертной оценки вероятности реализации угроз

28

Протокол экспертной оценки показателей опасности угроз

29

Рекомендации по обеспечению безопасности персональных данных, обрабатываемых в ИС ОО

30

Формы журналов по защите персональных данных (приложение 3 «Примерные формы журналов по защите персональных данных»)

Руководящие и прочие работники ОО могут разработать всю документацию по защите персональных данных в образовательном учреждении лично, но целесообразнее привлечь к работе лицензированную организацию, которая состоялась на рынке подобных услуг и имеет среди заказчиков хорошую репутацию. В целях оптимизации расходов на подготовку документов, нужно разрабатывать типовой комплект документации централизованно под руководством органа управления образованием муниципального уровня при общей координации работ в масштабе региона.

Предлагаемый подход в решении проблемы защиты персональных данных в образовательном учреждении не противоречит нормам ч. 5 и 6 ст. 19 Федерального закона № 152-ФЗ, который наделяет иные государственные органы, ассоциации, союзы и прочие объединения операторов правами определять угрозы безопасности персональных данных. Разумеется, такие объединения операторов полномочны документально оформлять результаты своей работы, в т. ч. проделанной с привлечением специалистов.

Не следует стремиться привлекать исполнителей работ из административных центров субъектов РФ. При том же качестве работ, но намного дешевле, с этой задачей справятся специализированные организации из населенных пунктов регионального подчинения, имеющие соответствующие лицензии. К тому же эти специалисты лучше знают местные условия обработки персональных данных в образовательной организации.

Нормативное обоснование каждого документа формулируется в его содержании (см. нормативное обоснование разработки модели угроз персональным данным в приложении 2 «Список нормативно-правовых документов для подготовки модели угроз персональным данным»). Остальные документы (помимо указанных в табл. 1) разрабатываются, учитывая техническую сторону вопроса, в процессе проектирования системы защиты персональных данных в образовательном учреждении. Уникальность и специфические особенности по обработке персональных данных в образовательной организации определяются на этапе предпроектного обследования.

Поэтому в предпроектном обследовании объекта защиты персональных данных в образовательном учреждении, помимо должностных лиц ОО, должны принимать участие сотрудники организации – исполнителя проекта системы защиты персональных данных в образовательном учреждении или специалист органа управления образованием (муниципалитета), получивший специальные знания.

Задача операторов по защите персональных данных в образовательном учреждении

Администрация ОО должна обращать внимание еще на одну остро стоящую проблему по обеспечению конфиденциальности ПД: охватывают ли меры по защите сайтов и электронных дневников (журналов) весь состав персональных данных ОО? К сожалению, на этот вопрос нельзя ответить положительно.

Отдельные мероприятия по защите персональных данных в школе невозможно осуществить издалека (из региона или муниципалитета), как это сделано на примере «Школьного портала» (www.school.mosreg.ru), порталов «Образование 2.0» (www.dnevniki.shkolapk.ru), «Электронное образование в Республике Татарстан» (www.edu.tatar.ru), «Виртуальная школа» (www.vsopen.ru), т. к. персональные данные обрабатываются и хранятся на полках и компьютерах той или иной ОО. Часть работ по защите персональных данных в образовательном учреждении можно выполнить только в стенах ОО.

Специфичность состава ПД обусловливает два типа работы всех операторов по защите персональных данных в образовательном учреждении:

  • 1-е направление – обработка персональных данных в образовательной организации без применения средств автоматизации.;
  • 2-е направление – обработка и защита персональных данных  в образовательном учреждении в ИС персональных данных..

Рассмотрим направления работы операторов по обработке персональных данных и постараемся найти ответ на вопрос: в состоянии ли ОО выполнить весь предусмотренный законодательством объем работ по защите персональных данных своими силами?

Обработка персональных данных в образовательной организации без использования средств автоматизации

С обработкой персональных данных в образовательном учреждении, выполняемой без средств автоматизации, руководители образовательных организаций были знакомы еще до того, как из учебные учреждения приняли на себя роль операторов персональных данных. Поэтому то, что Федеральный закон №  152-ФЗ определяет как правовые и организационные меры, принимаемые при обработке персональных данных в образовательной организации, администрации ОО хорошо известно. При возникновении затруднений в процессе организации обработки персональных данных в образовательной организации, выполняемой без средств автоматизации, необходимо обращать внимание на:

  • ст. 18.1 Федерального закона № 152-ФЗ;
  • Перечень мер из Федерального закона «О персональных данных»;
  • разъяснения на портале Роскомнадзора «Персональные данные» (www.pd.rkn.gov.ru).

Защита персональных данных в образовательном учреждении, которые обрабатываются без средств автоматизации

Вопрос защиты персональных данных в образовательном учреждении, обработка которых выполняется без автоматизации, связан вопросом раздельного хранения ПД (материальных носителей).  Если обработка данных осуществляется для разных целей, то и хранение таких данных необходимо в раздельном виде. При этом должны быть соблюдены такие условия хранения, при которых будет обеспечена сохранность ПД, а несанкционированный доступ будет исключен. Перечень необходимых действий для обеспечения данных условий, порядок принятия их мер и назначение ответственных лиц определяются оператором.

Постараемся разобраться, что же такое материальные носители и их раздельное хранение. Прежде всего исключим из этого понятия носители компьютерной информации. Остаются бумажные носители и их разновидности. К носителям информации, обрабатываемой неавтоматизированным способом, можно отнести:

  • фотографические носители информации (гибкие пленки, пластинки, бумаги, ткани);
  • материальные носители механической звукозаписи (пластинки);
  • магнитные носители информации на стальной ленте, катаной ленте, магнитной ленте;
  • магнитные карты;
  • пластиковые карты со встроенным чипом (банковские карты), а также проксимити-карты (для пропуска обучающихся и педагогических работников через системы контроля управления доступом) и различные электронные карты обучающихся.

Чтобы разобраться с термином «раздельное хранение», необходимо обратиться к ч. 95 ст. 3«ГОСТ Р 7.0.8–2013. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения», утв. приказом Росстандарта от 17.10.2013 №  1185-ст. В ней указано, что дело – это «документ или совокупность документов, относящихся к одному вопросу или участку деятельности, помещенных в отдельную обложку». Таким образом, для выполнения требований Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации, в части раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях, достаточно поместить соответствующий набор документов в отдельную папку-скоросшиватель, которую можно хранить в одном шкафу (сейфе) и в одном служебном помещении наряду с другими категориями персональных данных.

Организуя обработку персональных данных в образовательной организации без использования средств автоматизации, операторы акцентируют внимание на правовых мерах (издании локальных актов) и недооценивают меры организационного и режимного характера:

1. Расположение огнетушителей у входа в помещение, где хранятся носители документированной информации с персональными данными.

Администрации ОО важно понять, что огнетушители у входа в помещение, где хранятся носители документированной информации с персональными данными и (или) компьютеры с персональными данными, – такой же важный элемент обеспечения информационной безопасности, как антивирусное программное обеспечение Dr. Web, средство криптографической защиты информации DCrypt 1.0, современные комплексы защиты информации от несанкционированного доступа серии Diamond ACS или единой системы сетевой защиты Diamond VPN/FW.

2. Режим доступа в помещение, где хранятся персональные данные.

Немаловажное значение для защиты персональных данных имеют режимные меры, например, установление режима доступа в помещения, где хранятся персональные данные и другая конфиденциальная информация. Режимные меры нельзя ограничивать установкой в таких помещениях датчиков охранной и пожарной сигнализации. Необходимо предусмотреть меры по инженерной укрепленности дверей и окон, включая укрепление стекол бронепленкой. Реализуемые меры должны быть системными и соответствовать Федеральному закону № 152-ФЗ и Требованиям к антитеррористической защищенности мест массового пребывания людей и объектов (территорий), подлежащих обязательной охране полицией, и форм паспортов безопасности таких мест и объектов (территорий), утв. постановлением Правительства РФ от 25.03.2015 № 272.

3. Хранение ключей от служебных помещений.

Во многих ОО сложилась практика хранения ключей от служебных помещений на посту охраны в специальных шкафах на крючках. При этом не во всех ОО помещения с персональными данными и другой конфиденциальной информацией опечатываются. Такой подход не исключает несанкционированный доступ в режимные помещения неуполномоченных лиц, в т. ч. через изготовление дубликатов ключей.

Дверь режимного помещения должна оборудоваться пломбиром и опечатываться металлической печатью с логотипом ОО. Ключи от этого помещения необходимо хранить в цилиндрическом пенале с завинчивающейся крышкой, который следует опечатывать той же печатью и сдавать на пост охраны, где пенал помещается в специальный шкаф для пеналов (типа П-20). Ключи от остальных помещений развешиваются на внутренней стороне крышки этого же шкафчика.

На первую страницу журнала выдачи ключей вклеивается выписка из приказа с указанием фамилий и номеров печатей должностных лиц. Печати лицам, допущенным в режимные помещения, выдаются под ответственное хранение на весь период их работы в ОО. Как правило, в приказе также указывается, что любое помещение может быть вскрыто и опечатано печатью руководителя ОО и одним-двумя его заместителями, что в некоторых ситуациях оказывается крайне необходимым.

Практика показывает, что к такому режиму должностные лица ОО привыкают довольно быстро (в течение 2–3 дней).

Обработка и защита персональных данных в образовательном учреждении в ИС

Наибольшую сложность для администрации ОО представляет реализация Требований к защите ПДн при их обработке в ИС. Категории персональных данных, обрабатываемые в ИС, представлены в табл. 2.

Таблица 2

Категории персональных данных, обрабатываемые в ИС

Категория персональных данных

Содержание информации

Специальные категории персональных данных

Расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь субъектов персональных данных

Биометрические персональные данные

Физиологические и биологические особенности человека, на основании которых можно установить его личность. Используются оператором для установления личности субъекта персональных данных (не обрабатываются сведения, относящиеся к специальным категориям персональных данных)

Общедоступные персональные данные

Персональные данные, полученные только из общедоступных источников персональных данных, созданных в соответствии со ст. 8 Федерального закона №  152-ФЗ

Иные категории персональных данных

Персональные данные, которые не относятся к специальным категориям персональных данных, биометрическим и иным категориям

Персональные данные сотрудников оператора

Персональные данные только указанных сотрудников (в остальных случаях ИС персональных данных является ИС, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора)

Требования к защите ПДн при их обработке в ИС наряду с введением трех типов угроз для ИС персональных данных впервые устанавливают четыре уровня защищенности персональных данных. В ст. 4 Требований к защите ПДн при их обработке в ИС указано, что выбор средств защиты информации для системы защиты персональных данных в образовательном учреждении осуществляется оператором в соответствии с нормативными правовыми актами, принятыми ФСБ России и ФСТЭК России.

Угрозы 1-3-го типов связаны с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении и (или) прикладном программном обеспечении, используемом в ИС (п. 6 Требований к защите ПДн при их обработке в ИС).

Требования к уровням защищенности представлены в табл. 3.

Таблица 3

Требования к уровням защищенности ИС персональных данных

Требования

Уровни защищенности

1

2

3

4

Организация режима обеспечения безопасности помещений, в которых размещена ИС, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа

Обеспечение сохранности носителей персональных данных

Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей

Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

Назначение должностного лица, ответственного за обеспечение безопасности персональных данных в ИС персональных данных

-

Ограничение доступа к содержанию электронного журнала сообщений

-

-

Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в ИС

-

-

-

Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в ИС, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности

-

-

-

Из Требований к защите ПДн при их обработке в ИС можно сделать не очень приятный вывод: если работы на объекте по созданию системы защиты персональных данных в образовательном учреждении были выполнены до 01.11.2012 г., то необходимо привести их в соответствие с новыми нормативными документами (прежде всего с Требованиями к защите ПДн при их обработке в ИС, а также с другими документами ФСБ России и ФСТЭК России). Ссылки на то, что закон обратной силы не имеет, – несостоятельны.

Итак, необходимо ответить на главный вопрос: а может ли ОО выполнить своими силами все требования к защите персональных данных в образовательном учреждении при их обработке в ИС персональных данных? К сожалению, на этот вопрос нельзя дать утвердительного ответа.

Обратите внимание на ст. 4 Требований к защите ПДн при их обработке в ИС. В ней говорится о выборе оператором средств защиты информации. И это неслучайно. Деятельность по технической защите конфиденциальной информации подлежит обязательному лицензированию (на основанииФедерального закона от 04.05.2011 №  99-ФЗ «О лицензировании отдельных видов деятельности»). Подготовка юридического лица к деятельности по технической защите конфиденциальной информации и получение лицензии – это многолетний кропотливый труд, который не имеет ничего общего с деятельностью ОО.

В этой связи следует обратить внимание администрации ОО на то, что для выполнения Требований к защите ПДн при их обработке в ИС необходимо руководствоваться документами ФСБ России и ФСТЭК России конфиденциального содержания, которых в ОО попросту нет.

К примеру, без конфиденциальных документов оператор не сможет разработать модель угроз безопасности персональным данным. У лицензиата все документы имеются. Некоторые федеральные ведомства (ФНС России, Минздравсоцразвития России и др.) разработали для своих типовых объектов формализованные модели угроз и нарушителя безопасности персональных данных (приказ ФНС России от 21.12.2011 № ММВ-7-4/959 «Об обеспечении безопасности персональных данных при их обработке в автоматизированных информационных системах налоговых органов» и др.). Поэтому целесообразно разработать подобные модели для общеобразовательных организаций и дошкольных ОО, в которых условия обработки персональных данных в образовательной организации и меры по их защите существенно разнятся.

Означает ли данное обстоятельство, что администрация ОО должна бездействовать в ожидании выделения средств на реализацию технических мер по защите персональных данных в образовательном учреждении  при их обработке в информационных системах персональных данных? Конечно же, нет. Требованиями Федерального закона № 152-ФЗ смягчающие обстоятельства для операторов персональных данных не предусмотрены.

Обратим внимание на ч. 1 ст. 19 Федерального закона № 152-ФЗ, в которой говорится, что оператор при обработке персональных данных в образовательной организации обязан принимать необходимые меры защиты персональных данных, а именно: от неправомерного или случайного доступа к ним; уничтожения; изменения; блокирования; копирования; предоставления; распространения персональных данных; иных неправомерных действий в отношении персональных данных. Многие из мер защиты персональных данных в образовательном учреждении могут быть реализованы как организационно-распорядительные.

Созданию системы защиты персональных данных в образовательном учреждении должно предшествовать предпроектное обследование ОО квалифицированной комиссией. Уровни защищенности персональных данных, объем и стоимость работ определяются типами угроз, которые в большинстве случаев идентичны для всех ОО муниципального образования (приложение 4 «Примерный перечень угроз безопасности для информационных систем персональных данных»). Даже не специалисту в области защиты информации понятно, что в таких ситуациях системы защиты персональных данных, ИС и телекоммуникационные сети ОО целесообразно интегрировать в рамках муниципального, а затем и регионального уровней (впрочем, в практике создания больших ИС используется и обратный порядок их разработки: «сверху вниз»). Такие ИС должны обеспечивать надлежащий уровень защиты информации и иметь сопряженную систему управления безопасностью с использованием оборудования российского производства.

Подход к проблеме, при котором администрация ОО самостоятельно находит финансовые средства и создает в ОО систему защиты персональных данных, – устарел. Нужны региональные целевые программы создания информационных систем для обработки конфиденциальной информации, как мы это видели на примере создания «Школьного портала» (www.school.mosreg.ru), порталов «Образование 2.0» (www.dnevniki.shkolapk.ru), «Электронное образование в Республике Татарстан» (www.edu.tatar.ru), «Виртуальная школа» (www.vsopen.ru).

Приложение 1

ПРИМЕРНОЕ СОДЕРЖАНИЕ модели угроз персональным данным

№ 

Название раздела

1

Общие сведения. Назначение модели угроз

2

Сведения об объекте защиты

2.1

Структура информационных систем (далее – ИС) персональных данных и ее основные характеристики

2.1.1

Структура ИС персональных данных

2.1.2

Режим разграничения прав доступа пользователей ИС персональных данных

2.1.3

Подключение ИС персональных данных к сетям связи общего пользования и (или) сетям международного информационного обмена

2.2

Информация, обрабатываемая в ИС персональных данных

2.3

Контролируемая зона

2.4

Перечень защищаемых ресурсов ИС персональных данных

2.5

Исходный уровень защищенности ИС персональных данных

2.6

Основные данные об ИС персональных данных

3

Модель нарушителей информационной безопасности

3.1

Внешние нарушители

3.2

Внутренние нарушители

3.3

Класс средств криптографической защиты информации

4

Модель угроз информационной безопасности

4.1

Источники угроз безопасности информации

4.2

Уязвимость ИС персональных данных по отношению к деструктивным воздействиям

4.3

Факторы, влияющие на безопасность защищаемой информации

4.4

Угрозы техногенного характера

4.4.1

Случайное или преднамеренное отключение электричества

4.4.2

Аварии (пожар, потоп)

4.4.3

Потеря доступа к внешней сети в связи с проблемами со стороны провайдера

4.4.4

Выход из строя аппаратно-программных средств

4.5

Стихийные бедствия

4.6

Угрозы, реализуемые нарушителями

4.6.1

Угрозы утечки информации по техническим каналам

4.6.2

Угрозы несанкционированного доступа к информации путем физического доступа к элементам ИС персональных данных, носителям данных, ключам и атрибутам доступа

4.6.3

Угрозы несанкционированного доступа к информации с использованием программно-аппаратных и программных средств

4.6.4

Угрозы несанкционированного доступа к информации по каналам связи

4.6.5

Угрозы антропогенного характера

5

Вероятность реализации угроз безопасности

6

Реализуемость угроз безопасности

6.1

Оценка возможности реализации угроз безопасности

6.2

Оценка опасности угроз

7

Определение актуальности угроз

8

Актуальные угрозы безопасности

9

Выводы

Список использованных источников

Список изменений

Приложение 2

СПИСОК нормативно-правовых документов для подготовки модели угроз персональным данным

  1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  3. Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
  4. Перечень сведений конфиденциального характера, утв. указом Президента РФ от 06.03.1997 № 188.
  5. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства РФ от 15.09.2008 № 687.
  6. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. ФСТЭК России 15.02.2008.
  7. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв.приказом ФСТЭК России от 18.02.2013 № 21.
  8. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утв. ФСБ РФ 21.02.2008 № 149/54–144.
  9. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Выписка), утв. ФСТЭК РФ 15.02.2008.
  10. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утв. приказом ФСБ России от 10.07.2014 № 378.
  11. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утв. ФСБ РФ 21.02.2008 №  149/6/6–622.
  12. Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утв. постановлением Правительства РФ от 15.05.2010 № 330.
  13. Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну…, утв. постановлением Правительства РФ от 21.04.2010 №  266.
  14. Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функциипо осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утв. приказом Минкомсвязи России от 14.11.2011 № 312.
  15. ГОСТ Р ИСО/МЭК 27005–2010. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности, утв. приказом Росстандарта от 30.11.2010 № 632-ст.
  16. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р 51275–2006, утв. приказом Ростехрегулирования от 27.12.2006 № 374-ст.
  17. Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренныхФедеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утв. постановлением Правительства РФ от 21.03.2012 № 211.
  18. Требования к защите персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 01.11.2012 № 1119.

Приложение 3

ПРИМЕРНЫЕ ФОРМЫ журналов по защите персональных данных

Форма 1

Журнал учета передачи персональных данных

№ 

Сведения о запрашивающем лице

Состав запрашиваемых персональных данных

Цель получения персональных данных

Отметка о передаче
или отказе в передаче персональных данных

Дата передачи или отказа в передаче персональных данных

Подпись запрашива-ющего лица

Подпись 
ответственного
сотрудника

Форма 2

Журнал учета обращений субъектов персональных данных о соблюдении их законных прав в области защиты персональных данных

№ 

Ф. И. О.

Дата

Цель

Форма 3

Журнал учета носителей персональных данных

№ 

Метка носителя (учетный номер)

Фамилия исполнителя

Получил, вернул, передал

Дата записи информации

Подпись исполнителя

Примечание

Форма 4

Журнал уничтожения носителей персональных данных

№ 

Дата

Вид и учетный номер уничтожаемого носителя

Способ уничтожения

Исполнитель

Форма 5

Журнал учета мероприятий по контролю состояния защиты персональных данных

№ 

Дата

Управление / контроль прав(ами) доступа к персональным данным

Исполнитель

Результат

Форма 6

Журнал учета применяемых средств защиты информации, эксплуатационной и технической документации

№ 

Дата

Средства защиты информации

Эксплуатационная информация

Техническая документация

Подпись

Форма 7

Журнал учета нарушений порядка предоставления персональных данных

№ 

Дата, время обнаружения нарушения

Информационная система персональных данных, в которой обнаружено нарушение

Дата, время устранения 
нарушения

Результат

Подпись 
ответственного 
сотрудника

Примечания

Форма 8

Журнал учета выдачи ключей доступа к информационным системам персональных данных

Дата и время получения

Номер кабинета

Фамилия, инициалы сотрудника

Подпись сотрудника о получении

Дата и время возврата

Подпись сотрудника о сдаче под охрану

Приложение 4

ПРИМЕРНЫЙ ПЕРЕЧЕНЬ угроз безопасности для информационных систем персональных данных

№ 

Наименование угрозы

1

Угрозы техногенного характера

1.1

Случайное или преднамеренное отключение электричества

1.2

Аварии (пожар, потоп)

1.3

Потеря доступа к внешней сети в связи с проблемами со стороны провайдера

1.4

Выход из строя аппаратно-программных средств

2

Стихийные бедствия

3

Угрозы (атаки), реализуемые нарушителями

3.1

Угрозы утечки информации по техническим каналам

3.1.1

Угрозы утечки акустической (речевой) информации

3.1.2

Угрозы утечки видовой информации

3.1.3

Угрозы утечки информации по каналам побочных электромагнитных излучений и наводки

3.2

Угрозы несанкционированного доступа к информации путем физического доступа к элементам информационных систем (далее – ИС) персональных данных, носителям данных, ключам и атрибутам доступа

3.2.1

Кража персонального компьютера

3.2.2

Кража серверного оборудования

3.2.3

Кража и уничтожение носителей информации

3.2.4

Кража (утрата) физических носителей ключей (например, электронных USB-ключей и смарт-карт и проч.) и атрибутов доступа

3.2.5

Утрата носителей информации

3.2.6

Вывод из строя узлов персонального компьютера, телекоммуникационных каналов связи

3.2.7

Несанкционированное отключение средств защиты

3.2.8

Кража/модификация/уничтожение информации сотрудниками

3.2.9

Утрата и компрометация ключей и атрибутов доступа

3.3

Угрозы несанкционированного доступа к информации с использованием программно-аппаратных и программных средств

3.3.1

Утечка информации через порты ввода/вывода

3.3.2

Воздействие вредоносных программ (вирусов)

3.3.3

Установка программного обеспечения (далее – ПО), не связанного с исполнением служебных обязанностей

3.3.4

Внедрение или сокрытие недекларированных возможностей системного и прикладного ПО ИС персональных данных

3.3.5

Создание учетных записей теневых пользователей и неучтенных точек доступа в систему

3.3.6

Угрозы, реализуемые в ходе загрузки операционной системы

3.4

Угрозы несанкционированного доступа к информации по каналам связи

3.4.1

Угроза «Анализ сетевого трафика» с перехватом информации за пределами контролируемой зоны

3.4.2

Угрозы сканирования сети

3.4.3

Угроза выявления паролей по сети

3.4.4

Подмена доверенного объекта сети

3.4.5

Навязывание ложного маршрута сети

3.4.6

Внедрение ложного объекта сети

3.4.7

Угрозы типа «Отказ в обслуживании»

3.4.8

Угрозы внедрения по сети вредоносных программ/скриптов

3.4.9

Утечка информации, передаваемой с использованием протоколов беспроводного доступа

3.4.10

Угрозы удаленного запуска приложений

3.4.11

Угрозы при использовании уязвимостей веб-сервисов или ошибок программирования

3.5

Угрозы антропогенного характера

3.5.1

Разглашение информации, модификация, уничтожение работниками, допущенными к ее обработке

3.5.2

Сокрытие ошибок и неправомерных действий пользователей и администраторов

3.5.3

Угроза появления новых уязвимостей вследствие невыполнения ответственными лицами своих должностных обязанностей

3.5.4

Угроза нарушения политики предоставления и прекращения доступа

3.5.5

Непреднамеренная модификация (уничтожение) информации

3.5.6

Непреднамеренное отключение средств защиты

3.5.7

Доступ к информации, модификация, уничтожение лицами, не допущенными к ее обработке



Подписка на статьи

Не пропустите ни одной важной или интересной статьи, подпишитесь бесплатно на рассылку.

Мероприятия


Мероприятия

Проверьте свои знания и приобретите новые

Посмотреть

Самое выгодное предложение

Самое выгодное предложение на подписку

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Электронная система

Справочная система «Образование»

Школа Менеджера образования

Опрос

Что чаще всего горит в школе?

  • Электропроводка 43.75%
  • Электроприборы 8.75%
  • Реактивы 3.75%
  • Помещения и оборудование пищеблока 3.75%
  • Чердаки, подсобные помещения 6.25%
  • Мусор, сухая трава во дворе 33.75%
Другие опросы

Важно знать

Рассылка



© МЦФЭР, 2016. Свидетельство о регистрации СМИ: Эл № ФС77-37745 от 12 октября 2009 года
Menobr.ru: сайт для специалистов и управленцев сферы общего образования. Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

По вопросам подписки обращайтесь: 8 800 775-4822 (звонки по России бесплатные)
По вопросам клиентской поддержки тел.: +7 (495) 937-90-82



  • Мы в соцсетях
Сайт предназначен для работников сферы образования!

Чтобы продолжить чтение статей на портале «Менеджер образования», пожалуйста, зарегистрируйтесь. Регистрация на сайте бесплатна.

Вы получите доступ к важным статьям, ответам на актуальные вопросы, полезным сервисам и шаблонам документов.

Внимание! В материалах сайта используется терминология профессионального сообщества.

А еще в подарок за регистрацию мы дарим Вам видеолекцию «Методические и организационные аспекты введения ФГОС обучающихся с ОВЗ», из которой узнаете о ключевых изменениях в нормативных правовых актах, требующих обязательного применения в образовательной практике.

Лектор: Фальковская Л. П., начальник отдела образования детей с проблемами развития и социализации.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Сайт предназначен для работников сферы образования!

Чтобы скачать шаблон документа, пожалуйста, зарегистрируйтесь. Регистрация на сайте бесплатна.

А еще в подарок за регистрацию мы дарим Вам локальный нормативный акт о планировании внеурочной деятельности.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Регистрация

Зарегистрируйтесь, чтобы получить документ. Это бесплатно и займет всего минуту!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль