Скидка 20% при подписке в декабре! ЗАБРАТЬ СКИДКУ >>>

Справочник руководителя образовательного учреждения

Особенности парольной защиты персональных данных в образовательном учреждении

  • 24 октября 2012
  • 2164

Какие требования предъявляются к организации парольной защиты персональных данных в образовательном учреждении?

Организационное и техническое обеспечение процессов использования, смены и прекращения действия паролей, а также контроль работы с паролями в образовательном учреждении целесообразно поручить системному администратору.

Личные пароли желательно генерировать и распределять централизованно. Однако пользователи информационной системы могут выбирать их самостоятельно с учетом следующих требований:

  1. длина пароля должна быть не менее 8 символов;
  2. среди символов обязательно должны присутствовать буквы (в верхнем и нижнем регистрах) и цифры;
  3. пароль не должен содержать легко вычисляемые сочетания символов (имена, фамилии, известные названия, жаргонные слова и т. д.), последовательности символов и знаков, общепринятые сокращения, аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие сочетания букв и знаков, которые можно угадать, основываясь на информации о пользователе;
  4. личный пароль пользователь не имеет права сообщать никому.

В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за их правильность возлагается на системного администратора образовательного учреждения.

При наличии технологической необходимости использования пароля работника в его отсутствие, рекомендуется при первой же возможности поменять пароль и передать его на хранение лицу, ответственному за информационную безопасность, в запечатанном конверте. Опечатанные конверты с паролями должны храниться в сейфе.

Смену парольной защиты персональных данных рекомендуется проводить регулярно, не реже одного раза в три месяца.

В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т. п.) системный администратор должен удалить его учетную запись сразу же после окончания последнего сеанса работы с информационной системой.

Срочная (внеплановая) смена паролей должна производиться в случае прекращения полномочий администраторов информационной системы и других сотрудников, которым были предоставлены полномочия по управлению парольной защитой.

В образовательном учреждении рекомендуется разработать инструкцию по организации парольной защиты персональных данных, с которой владельцы паролей должны быть ознакомлены под роспись. В инструкции необходимо определить меры безопасности, соблюдение которых позволит не допустить утечки информации. Приведем возможную формулировку.
Запрещается записывать пароли на бумаге, в файле и других носителях информации. При вводе пароля пользователь не должен произносить его вслух.

Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
Хранение пароля на бумажном носителе допускается только в сейфе.

Владельцы паролей должны быть предупреждены об ответственности за использование паролей, не соответствующих установленным в учреждении требованиям, а также за разглашение парольной информации.

Официальный источник

  • Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 17.11.2007 № 781

Каким образом осуществляется мониторинг информационной безопасности автоматизированных систем, обрабатывающих персональные данные в образовательном учреждении?

Мониторинг работоспособности аппаратных компонентов автоматизированных систем, обрабатывающих персональные данные, осуществляется в процессе их администрирования и при проведении работ по техническому обслуживанию оборудования. Наиболее существенные компоненты системы (серверы, активное сетевое оборудование) должны контролироваться постоянно в рамках работы администраторов соответствующих систем.

Мониторинг парольной защиты персональных данных в образовательных учреждениях предусматривает: установление сроков действия паролей (не более 3 месяцев); периодическую (не реже 1 раза в месяц) проверку пользовательских паролей на количество символов и очевидность с целью выявления слабых паролей, которые легко угадать или дешифровать с помощью специализированных программных средств (взломщиков паролей).

Мониторинг целостности программного обеспечения включает следующие действия:

  1. проверку контрольных сумм и цифровых подписей каталогов и файлов сертифицированных программных средств при загрузке операционной системы;
  2. обнаружение дубликатов идентификаторов пользователей;
  3. восстановление системных файлов администраторами систем с резервных копий при несовпадении контрольных сумм.

Предупреждение и своевременное выявление попыток несанкционированного доступа осуществляется с использованием средств операционной системы и специальных программных средств и предусматривает:

  1. фиксацию неудачных попыток входа в систему в системном журнале;
  2. протоколирование работы сетевых сервисов;
  3. выявление фактов сканирования определенного диапазона сетевых портов в короткие промежутки времени с целью обнаружения сетевых анализаторов, изучающих систему и выявляющих ее уязвимости.

Мониторинг производительности автоматизированных систем, обрабатывающих персональные данные, производится по обращениям пользователей, в ходе администрирования систем и проведения профилактических работ для выявления попыток несанкционированного доступа, повлекших существенное уменьшение производительности систем.

Системный аудит производится ежеквартально и в особых ситуациях. Он включает проведение обзоров безопасности, тестирование системы, контроль внесения изменений в системное программное обеспечение.

Официальный источник

  • Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (ред. от 25.07.2011)
  • Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 17.11.2007 № 781
  • Положение о методах и способах защиты информации в информационных системах персональных данных, утв. приказом ФСТЭК от 05.02.2010 № 58

Пройдите повышение квалификации в «Школе менеджера образования»

Курс «Управление образовательной организацией» — это знания и навыки по управлению ресурсами, кадрами, развитием образовательной организации.

Дистанционно! Вы сами выбираете удобное время для обучения!

Подписка на статьи

Не пропустите ни одной важной или интересной статьи, подпишитесь бесплатно на рассылку.

Рекомендации по теме
Школа Менеджер Образования

Управление образовательной организацией

Научитесь управлять:
  • Дистанционное повышение квалификации.

  • Удобная подача материала.

  • Постоянный доступ к курсу: 24часа в сутки / 7 дней в неделю.

  • Удостоверение установленного образца.

быстрая подписка:
8 (800) 511-08-33


Самое выгодное предложение

Самое выгодное предложение на подписку

Воспользуйтесь самым выгодным предложением на подписку

Подарок

Мы в соцсетях
А еще:

Внимание!
Сайт предназначен только для работников образования.

Зарегистрируйтесь.
Это бесплатно и займёт менее 1 минуты!
За регистрацию на сайте для Вас сегодня — журнал «Справочник заместителя директора школы» (скачать в pdf) и самые необходимые для работы статьи:

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
Присоединяйтесь к выбору Ваших коллег!
Зарегистрироваться
×
Сайт предназначен для работников сферы образования!

Чтобы скачать шаблон документа, пожалуйста, зарегистрируйтесь. Регистрация на сайте бесплатна.

А еще в подарок за регистрацию мы дарим Вам локальный нормативный акт о планировании внеурочной деятельности.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И получить доступ на сайт Займет минуту!
Зарегистрироваться
×
Пожалуйста, зарегистрируйтесь на сайте и скачайте файл!

Вы сможете скачать любые документы и получите бесплатный доступ ко всем материалам на сайте.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
и скачать файл
Зарегистрироваться
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.