Обязательно ли школе проводить аттестацию информационных систем по требованиям защиты информации?

29

Вопрос

В школу поступило письмо рекламного характера от фирмы, осуществляющей деятельность по аттестацию информационной системы по требованиям безопасности информации. В письме указано, что в срок до 1 июля 2016 года всем учреждениям необходимо провести работы по аттестации по требованиям безопасности информационных систем образовательной организации, имеющей доступ к информационным системам персональных данных. И что использование информационных систем персональных данных без проведения работ по аттестации информационной системы по требованиям безопасности запрещено действующим законодательством. Насколько данная информация соответствует действительности и действующему законодательству? Обязательно ли учреждению заключать договор на проведении аттестацию информационной системы по требованиям безопасности информации? (в школе есть информационные системы «Web-комплектование», «Контингент», «Зачисление в образовательное учреждение», «Регион-Контингент»)

Ответ

Аттестация информационных систем по требованиям защиты информации является обязательной, если используемые системы являются государственными или муниципальными и если организация назначена оператором этой системы. О необходимости проведения аттестации нужно проконсультироваться с учредителем. Проведение аттестации нужно поручить сторонним организациям или ИП на договорной основе. Обработка персональных данных допускается только при наличии аттестата соответствия и на срок действия этого аттестата.

Обоснование
Обязательной аттестации подлежат следующие информационные системы:

  • информационные системы, в которых обрабатывается информация, составляющая государственную тайну, или информация об управлении экологически опасными объектами (п. 1.5. Положения по аттестации объектов информатизации по требованиям безопасности информации", утв. Гостехкомиссией РФ 25.11.1994);
  • информационные системы, отнесенные к муниципальным или государственным (п. 3 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утв. приказом ФСТЭК РФ от 11.02.2013 г. № 17).

Под государственными информационными системами понимаются системы, созданные в целях реализации полномочий государственных органов, созданные на основании федеральных правовых актов, под муниципальными – созданные на основании решения органов местного самоуправления (п. 1,2 ч. 1 ст. 13, ч. 1 ст. 14 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации").

Таким образом, обязательной аттестации по требованиям безопасности подлежат информационные системы, содержащиеся в соответствующих реестрах информационных систем (федеральном, региональном, муниципальном) и созданные в целях реализации полномочий органов государственной власти и органов местного самоуправления, например, полномочия по учету граждан, получающих общее образование.

Описанные информационные системы не относятся к числу федеральных.

Обратите внимание! Аттестация информационной системы организуется обладателем информации (заказчиком) или оператором. Если иное не установлено решением о создании государственной информационной системы, функции ее оператора осуществляются заказчиком, заключившим государственный контракт на создание такой информационной системы. При этом ввод государственной информационной системы в эксплуатацию осуществляется в порядке, установленном указанным заказчиком (п. 5 ст. 14 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации"). То есть по общему правилу аттестацию государственной или муниципальной системы проводит орган, принявший решение о ее создании, однако если решением о создании информационной системы оператором назначена образовательная организация, то проводить аттестацию должна организация.

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия" (п. 1.4. Положения по аттестации объектов информатизации по требованиям безопасности информации", утв. Гостехкомиссией РФ 25.11.1994). Аттестат выдается сроком на 3 года.

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности проводится самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 6 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21). Поскольку образовательная организация не относится к организации, имеющей право выдавать аттестаты соответствия в данной сфере, необходимо привлечение сторонних организаций или индивидуальных предпринимателей на договорной основе.

Подборка лучших материалов, для руководителей образовательных учреждений.

Статьи содержат актуальные комментарии и советы экспертов.

1. Выясняем, от чего зависит продолжительность удлиненного отпуска, что включать в расчет рабочего года и как соблюсти очередность предоставления отпуска.

2. Приводим пять шагов заместителя директора для того, чтобы учителя правильно реализовали оценочную деятельность.

3. Правильно ли Ваш педагог организует учебную деятельность школьников?



Мероприятия


Мероприятия

Проверьте свои знания и приобретите новые

Посмотреть

Самое выгодное предложение

Самое выгодное предложение на подписку

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Электронная система

Справочная система «Образование»

Вебинары

Школа Менеджера образования




© МЦФЭР, 2016. Свидетельство о регистрации СМИ: Эл № ФС77-37745 от 12 октября 2009 года
Menobr.ru: сайт для специалистов и управленцев сферы общего образования. Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

По вопросам подписки обращайтесь: 8 800 775-4822 (звонки по России бесплатные)
По вопросам клиентской поддержки тел.: +7 (495) 937-90-82



  • Мы в соцсетях
Материал только для зарегистрированных пользователей

Чтобы продолжить чтение, пожалуйста, зарегистрируйтесь.

Это бесплатно и займет всего минуту, а вы получите:

  • доступ к профессиональным материалам и полезным сервисам;
  • статьи и готовые рекомендации по главным вопросам управления образованием;
  • шпаргалки для безошибочной работы;
  • вебинары и презентации от лучших экспертов.

А еще в подарок за регистрацию Вы получите видеолекцию «Методические и организационные аспекты введения ФГОС обучающихся с ОВЗ».

Лектор: Фальковская Л. П., начальник отдела образования детей с проблемами развития и социализации.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Материал только для зарегистрированных пользователей

Зарегистрируйтесь, чтобы получить документ. Это бесплатно и займет всего минуту!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль