text

Конференция для директора школы 2018 >>>

Справочник руководителя образовательного учреждения

Обязательно ли школе проводить аттестацию информационных систем по требованиям защиты информации?

  • 8 июня 2016
  • 217

Вопрос

В школу поступило письмо рекламного характера от фирмы, осуществляющей деятельность по аттестацию информационной системы по требованиям безопасности информации. В письме указано, что в срок до 1 июля 2016 года всем учреждениям необходимо провести работы по аттестации по требованиям безопасности информационных систем образовательной организации, имеющей доступ к информационным системам персональных данных. И что использование информационных систем персональных данных без проведения работ по аттестации информационной системы по требованиям безопасности запрещено действующим законодательством. Насколько данная информация соответствует действительности и действующему законодательству? Обязательно ли учреждению заключать договор на проведении аттестацию информационной системы по требованиям безопасности информации? (в школе есть информационные системы «Web-комплектование», «Контингент», «Зачисление в образовательное учреждение», «Регион-Контингент»)

Ответ

Аттестация информационных систем по требованиям защиты информации является обязательной, если используемые системы являются государственными или муниципальными и если организация назначена оператором этой системы. О необходимости проведения аттестации нужно проконсультироваться с учредителем. Проведение аттестации нужно поручить сторонним организациям или ИП на договорной основе. Обработка персональных данных допускается только при наличии аттестата соответствия и на срок действия этого аттестата.

Обоснование
Обязательной аттестации подлежат следующие информационные системы:

  • информационные системы, в которых обрабатывается информация, составляющая государственную тайну, или информация об управлении экологически опасными объектами (п. 1.5. Положения по аттестации объектов информатизации по требованиям безопасности информации", утв. Гостехкомиссией РФ 25.11.1994);
  • информационные системы, отнесенные к муниципальным или государственным (п. 3 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утв. приказом ФСТЭК РФ от 11.02.2013 г. № 17).

Под государственными информационными системами понимаются системы, созданные в целях реализации полномочий государственных органов, созданные на основании федеральных правовых актов, под муниципальными – созданные на основании решения органов местного самоуправления (п. 1,2 ч. 1 ст. 13, ч. 1 ст. 14 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации").

Таким образом, обязательной аттестации по требованиям безопасности подлежат информационные системы, содержащиеся в соответствующих реестрах информационных систем (федеральном, региональном, муниципальном) и созданные в целях реализации полномочий органов государственной власти и органов местного самоуправления, например, полномочия по учету граждан, получающих общее образование.

Описанные информационные системы не относятся к числу федеральных.

Обратите внимание! Аттестация информационной системы организуется обладателем информации (заказчиком) или оператором. Если иное не установлено решением о создании государственной информационной системы, функции ее оператора осуществляются заказчиком, заключившим государственный контракт на создание такой информационной системы. При этом ввод государственной информационной системы в эксплуатацию осуществляется в порядке, установленном указанным заказчиком (п. 5 ст. 14 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации"). То есть по общему правилу аттестацию государственной или муниципальной системы проводит орган, принявший решение о ее создании, однако если решением о создании информационной системы оператором назначена образовательная организация, то проводить аттестацию должна организация.

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия" (п. 1.4. Положения по аттестации объектов информатизации по требованиям безопасности информации", утв. Гостехкомиссией РФ 25.11.1994). Аттестат выдается сроком на 3 года.

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности проводится самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 6 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21). Поскольку образовательная организация не относится к организации, имеющей право выдавать аттестаты соответствия в данной сфере, необходимо привлечение сторонних организаций или индивидуальных предпринимателей на договорной основе.

Подборка лучших материалов, для руководителей образовательных учреждений.

Статьи содержат актуальные комментарии и советы экспертов.

Скачать книгу «Управление образовательной организацией» в формате pdf >>>

  Что обновить в штатном расписании школы на 2018/19 учебный год

  Как изменить документы по оплате труда по новым рекомендациям Минобрнауки

  Какие сведения включить в анализ работы школы за год, чтобы подготовить августовский педсовет и публичный доклад

  Что написать в новой образовательной программе по ФГОС среднего общего образования

  Как оформить и выдать аттестат

  Как организовать работу лагеря с дневным пребыванием детей

Рекомендации по теме

Повышение квалификации


Повышение квалификации для директоров школ и специалистов сферы образования

Проверьте свои знания и получите удостоверение или диплом установленного образца

Выбрать курс

Самое выгодное предложение

Самое выгодное предложение на подписку

Воспользуйтесь самым выгодным предложением на подписку

Подарок

Мы в соцсетях
А еще:
Сайт предназначен для работников сферы образования!

Чтобы скачать шаблон документа, пожалуйста, зарегистрируйтесь. Регистрация на сайте бесплатна.

А еще в подарок за регистрацию мы дарим Вам локальный нормативный акт о планировании внеурочной деятельности.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И получить доступ на сайт Займет минуту!

Внимание!
Вы читаете профессиональную статью для работника сферы общего образования.

Зарегистрируйтесь на сайте и продолжите чтение!

Это бесплатно и займёт менее 1 минуты!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
Присоединяйтесь к выбору Ваших коллег!
×
Пожалуйста, зарегистрируйтесь на сайте и скачайте файл!

Вы сможете скачать любые документы и получите бесплатный доступ ко всем материалам на сайте.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
и скачать файл
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.