Особенности парольной защиты персональных данных в образовательном учреждении

2163

Какие требования предъявляются к организации парольной защиты персональных данных в образовательном учреждении?

Организационное и техническое обеспечение процессов использования, смены и прекращения действия паролей, а также контроль работы с паролями в образовательном учреждении целесообразно поручить системному администратору.

Личные пароли желательно генерировать и распределять централизованно. Однако пользователи информационной системы могут выбирать их самостоятельно с учетом следующих требований:

  1. длина пароля должна быть не менее 8 символов;
  2. среди символов обязательно должны присутствовать буквы (в верхнем и нижнем регистрах) и цифры;
  3. пароль не должен содержать легко вычисляемые сочетания символов (имена, фамилии, известные названия, жаргонные слова и т. д.), последовательности символов и знаков, общепринятые сокращения, аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие сочетания букв и знаков, которые можно угадать, основываясь на информации о пользователе;
  4. личный пароль пользователь не имеет права сообщать никому.

В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за их правильность возлагается на системного администратора образовательного учреждения.

При наличии технологической необходимости использования пароля работника в его отсутствие, рекомендуется при первой же возможности поменять пароль и передать его на хранение лицу, ответственному за информационную безопасность, в запечатанном конверте. Опечатанные конверты с паролями должны храниться в сейфе.

Смену парольной защиты персональных данных рекомендуется проводить регулярно, не реже одного раза в три месяца.

В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т. п.) системный администратор должен удалить его учетную запись сразу же после окончания последнего сеанса работы с информационной системой.

Срочная (внеплановая) смена паролей должна производиться в случае прекращения полномочий администраторов информационной системы и других сотрудников, которым были предоставлены полномочия по управлению парольной защитой.

В образовательном учреждении рекомендуется разработать инструкцию по организации парольной защиты персональных данных, с которой владельцы паролей должны быть ознакомлены под роспись. В инструкции необходимо определить меры безопасности, соблюдение которых позволит не допустить утечки информации. Приведем возможную формулировку.
Запрещается записывать пароли на бумаге, в файле и других носителях информации. При вводе пароля пользователь не должен произносить его вслух.

Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
Хранение пароля на бумажном носителе допускается только в сейфе.

Владельцы паролей должны быть предупреждены об ответственности за использование паролей, не соответствующих установленным в учреждении требованиям, а также за разглашение парольной информации.

Официальный источник

  • Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 17.11.2007 № 781

Каким образом осуществляется мониторинг информационной безопасности автоматизированных систем, обрабатывающих персональные данные в образовательном учреждении?

Мониторинг работоспособности аппаратных компонентов автоматизированных систем, обрабатывающих персональные данные, осуществляется в процессе их администрирования и при проведении работ по техническому обслуживанию оборудования. Наиболее существенные компоненты системы (серверы, активное сетевое оборудование) должны контролироваться постоянно в рамках работы администраторов соответствующих систем.

Мониторинг парольной защиты персональных данных в образовательных учреждениях предусматривает: установление сроков действия паролей (не более 3 месяцев); периодическую (не реже 1 раза в месяц) проверку пользовательских паролей на количество символов и очевидность с целью выявления слабых паролей, которые легко угадать или дешифровать с помощью специализированных программных средств (взломщиков паролей).

Мониторинг целостности программного обеспечения включает следующие действия:

  1. проверку контрольных сумм и цифровых подписей каталогов и файлов сертифицированных программных средств при загрузке операционной системы;
  2. обнаружение дубликатов идентификаторов пользователей;
  3. восстановление системных файлов администраторами систем с резервных копий при несовпадении контрольных сумм.

Предупреждение и своевременное выявление попыток несанкционированного доступа осуществляется с использованием средств операционной системы и специальных программных средств и предусматривает:

  1. фиксацию неудачных попыток входа в систему в системном журнале;
  2. протоколирование работы сетевых сервисов;
  3. выявление фактов сканирования определенного диапазона сетевых портов в короткие промежутки времени с целью обнаружения сетевых анализаторов, изучающих систему и выявляющих ее уязвимости.

Мониторинг производительности автоматизированных систем, обрабатывающих персональные данные, производится по обращениям пользователей, в ходе администрирования систем и проведения профилактических работ для выявления попыток несанкционированного доступа, повлекших существенное уменьшение производительности систем.

Системный аудит производится ежеквартально и в особых ситуациях. Он включает проведение обзоров безопасности, тестирование системы, контроль внесения изменений в системное программное обеспечение.

Официальный источник

  • Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (ред. от 25.07.2011)
  • Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 17.11.2007 № 781
  • Положение о методах и способах защиты информации в информационных системах персональных данных, утв. приказом ФСТЭК от 05.02.2010 № 58

Читайте в ближайших номерах журнала «Справочник руководителя образовательного учреждения»
    Читать сейчас



    Ваша персональная подборка

      Подписка на статьи

      Не пропустите ни одной важной или интересной статьи, подпишитесь бесплатно на рассылку.

      Рекомендации по теме

      Повышение квалификации


      Повышение квалификации для директоров школ и специалистов сферы образования

      Проверьте свои знания и получите удостоверение или диплом установленного образца

      Выбрать курс

      Самое выгодное предложение

      Самое выгодное предложение на подписку

      Воспользуйтесь самым выгодным предложением на подписку

      Подарок

      Живое общение с редакцией

      А еще...

       Вебинары
      • 26 октября 2017 г.
      • Управление качеством образования на основе результатов сравнительных исследований и мониторингов в ОО

      • Карданова Елена Юрьевна
        кандидат физико-математических наук, доцент Института Образования, ведущий научный сотрудник Центра мониторинга качества образования ВШЭ

        ТЕМЫ ВЕБИНАРА:

        • ✱ Виды измерений в образовании
        • ✱ Международные сравнительные исследования
        • ✱ Современные тенденции в оценке качества образования
        • ✱ Мониторинговое исследование iPIPS как пример инструмента нового поколения
        Подробнее





      © МЦФЭР, 2017. Menobr.ru: сайт для специалистов и управленцев сферы общего образования. Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Свидетельство о регистрации ПИ № ФС77-64055 от 25.12.2015

      По вопросам подписки обращайтесь: 8 800 775-4822 (звонки по России бесплатные)
      По вопросам клиентской поддержки тел.: +7 (495) 937-90-82

      

      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Сайт предназначен для работников сферы образования

      Чтобы продолжить чтение, пожалуйста, зарегистрируйтесь (это бесплатно).

      После регистрации вы получите:

      • доступ к 11 000+ профессиональных материалов;
      • 5 700 готовых рекомендаций методистов и педагогов-новаторов;
      • более 250 новостей по профстандартам и ФГОС;
      • 2 000 комментариев экспертов к нормативным документам.

      Подарок за регистрацию: видеолекция «Методические и организационные аспекты введения ФГОС обучающихся с ОВЗ» (лектор Фальковская Л. П.)

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      бесплатно
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×
      Сайт предназначен для работников сферы образования!

      Чтобы скачать шаблон документа, пожалуйста, зарегистрируйтесь. Регистрация на сайте бесплатна.

      А еще в подарок за регистрацию мы дарим Вам локальный нормативный акт о планировании внеурочной деятельности.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×
      Материал только для зарегистрированных пользователей

      Зарегистрируйтесь, чтобы получить документ. Это бесплатно и займет всего минуту!

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль