Обязательно ли школе проводить аттестацию информационных систем по требованиям защиты информации?

67

Вопрос

В школу поступило письмо рекламного характера от фирмы, осуществляющей деятельность по аттестацию информационной системы по требованиям безопасности информации. В письме указано, что в срок до 1 июля 2016 года всем учреждениям необходимо провести работы по аттестации по требованиям безопасности информационных систем образовательной организации, имеющей доступ к информационным системам персональных данных. И что использование информационных систем персональных данных без проведения работ по аттестации информационной системы по требованиям безопасности запрещено действующим законодательством. Насколько данная информация соответствует действительности и действующему законодательству? Обязательно ли учреждению заключать договор на проведении аттестацию информационной системы по требованиям безопасности информации? (в школе есть информационные системы «Web-комплектование», «Контингент», «Зачисление в образовательное учреждение», «Регион-Контингент»)

Ответ

Аттестация информационных систем по требованиям защиты информации является обязательной, если используемые системы являются государственными или муниципальными и если организация назначена оператором этой системы. О необходимости проведения аттестации нужно проконсультироваться с учредителем. Проведение аттестации нужно поручить сторонним организациям или ИП на договорной основе. Обработка персональных данных допускается только при наличии аттестата соответствия и на срок действия этого аттестата.

Обоснование
Обязательной аттестации подлежат следующие информационные системы:

  • информационные системы, в которых обрабатывается информация, составляющая государственную тайну, или информация об управлении экологически опасными объектами (п. 1.5. Положения по аттестации объектов информатизации по требованиям безопасности информации", утв. Гостехкомиссией РФ 25.11.1994);
  • информационные системы, отнесенные к муниципальным или государственным (п. 3 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утв. приказом ФСТЭК РФ от 11.02.2013 г. № 17).

Под государственными информационными системами понимаются системы, созданные в целях реализации полномочий государственных органов, созданные на основании федеральных правовых актов, под муниципальными – созданные на основании решения органов местного самоуправления (п. 1,2 ч. 1 ст. 13, ч. 1 ст. 14 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации").

Таким образом, обязательной аттестации по требованиям безопасности подлежат информационные системы, содержащиеся в соответствующих реестрах информационных систем (федеральном, региональном, муниципальном) и созданные в целях реализации полномочий органов государственной власти и органов местного самоуправления, например, полномочия по учету граждан, получающих общее образование.

Описанные информационные системы не относятся к числу федеральных.

Обратите внимание! Аттестация информационной системы организуется обладателем информации (заказчиком) или оператором. Если иное не установлено решением о создании государственной информационной системы, функции ее оператора осуществляются заказчиком, заключившим государственный контракт на создание такой информационной системы. При этом ввод государственной информационной системы в эксплуатацию осуществляется в порядке, установленном указанным заказчиком (п. 5 ст. 14 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации"). То есть по общему правилу аттестацию государственной или муниципальной системы проводит орган, принявший решение о ее создании, однако если решением о создании информационной системы оператором назначена образовательная организация, то проводить аттестацию должна организация.

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия" (п. 1.4. Положения по аттестации объектов информатизации по требованиям безопасности информации", утв. Гостехкомиссией РФ 25.11.1994). Аттестат выдается сроком на 3 года.

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности проводится самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 6 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21). Поскольку образовательная организация не относится к организации, имеющей право выдавать аттестаты соответствия в данной сфере, необходимо привлечение сторонних организаций или индивидуальных предпринимателей на договорной основе.

Подборка лучших материалов, для руководителей образовательных учреждений.

Статьи содержат актуальные комментарии и советы экспертов.

Скачать книгу «Управление образовательной организацией» в формате pdf >>>

1. Должностная инструкция педагога: как превратить формальный документ в помощника

2. Что поменять в оформлении документов школы с 1 июля 2017 года

3. Мониторинг качества образования: что выбрать для наблюдения и как планировать

4. Учебный план по ФГОС среднего общего образования: почему внедряем уже сейчас

5. Как оформить результаты итоговой оценки в начальной школе

6. Как результаты TIMSS помогут школе повысить качество математического образования

7. Как оказывать услуги по госзаданию, чтобы учредитель не сократил финансирование

8. Как оформить прием на работу, чтобы у проверяющих не возникло претензий

9. Информирование родителей о приеме в школу

Читайте в ближайших номерах журнала «Нормативные документы образовательного учреждения»

    Читать сейчас


    Ваша персональная подборка

      Повышение квалификации


      Повышение квалификации для директоров школ и специалистов сферы образования

      Проверьте свои знания и получите удостоверение или диплом установленного образца

      Выбрать курс

      Самое выгодное предложение

      Самое выгодное предложение на подписку

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      А еще...

      Школа Менеджера образования



      © МЦФЭР, 2017. Свидетельство о регистрации СМИ: Эл № ФС77-37745 от 12 октября 2009 года
      Menobr.ru: сайт для специалистов и управленцев сферы общего образования. Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      По вопросам подписки обращайтесь: 8 800 775-4822 (звонки по России бесплатные)
      По вопросам клиентской поддержки тел.: +7 (495) 937-90-82

      

      • Мы в соцсетях
      ×
      Сайт предназначен для работников сферы образования!

      Чтобы скачать шаблон документа, пожалуйста, зарегистрируйтесь. Регистрация на сайте бесплатна.

      А еще в подарок за регистрацию мы дарим Вам локальный нормативный акт о планировании внеурочной деятельности.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      Сайт предназначен для работников сферы образования

      Чтобы продолжить чтение, пожалуйста, зарегистрируйтесь.

      Это бесплатно и займет всего минуту, а вы получите:

      • доступ к 10 000+ профессиональных материалов;
      • 5 000 готовых рекомендаций педагогов-новаторов;
      • более 200 сценариев открытых уроков;
      • 2 000 комментариев экспертов к нормативным документам.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×
      Материал только для зарегистрированных пользователей

      Зарегистрируйтесь, чтобы получить документ. Это бесплатно и займет всего минуту!

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль