Этапы организации защиты ПДн в ОО (для администратора)

Образовательные организации являются операторами персональных данных, поскольку занимаются обработкой персональных данных учащихся и педагогов. Следовательно, ответственными сотрудниками этих организаций должно обеспечиваться соблюдение вышеуказанного закона.

Выполнение требований закона в образовательных организациях

Статья 19 ФЗ № 152 «О персональных данных». Меры по обеспечению безопасности персональных данных при их обработке:

  • Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
  • Использование и хранение биометрических персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

В рамках образовательных организаций должен быть выполнен комплекс работ по сбору пакета документов, предоставляемых на проверку контролирующим организациям.

В настоящее время отсутствуют нормативные акты, утверждающие форму этих типовых ведомственных документов по защите персональных данных в образовательных организациях.

 

Пакет документов для проверки

  • Концепция информационной безопасности.
  • Приказ о создании СЗ ПДн.
  • План мероприятий по обеспечению защиты ПДн.
  • Отчет о результатах проведения внутренней проверки.
  • Перечень сведений, составляющих ПДн.
  • Список ИСПДн, в которых обрабатываются ПДн.
  • Разрешительная система доступа к ПДн.
  • Перечень сотрудников, допущенных к обработке ПДн.
  • Перечень защищаемой информации.
  • Положение по обработке персональных данных.
  • Политика ИБ.
  • Инструкция пользователя ИСПДн.
  • Инструкция пользователя ИСПДн на случай возникновения внештатных ситуаций.
  • Инструкция администратора ИБ ИСПДн.
  • Инструкция по организации парольной защиты.
  • Инструкция по антивирусной защите.
  • Инструкция по обработке ПДн без использования средств автоматизации.
  • Перечень ПДн с местами хранения, обработки и списком допущенных лиц.
  • Перечень ПДн с местами хранения, обработки и списком допущенных лиц.
  • Приказ о введении в действие документов, регламентирующих мероприятия по защите ПДн.
  • Приказ о создании комиссии по уничтожению ПДн.
  • Журнал регистрации фактов несанкционированного доступа.
  • Журнал учета обращений субъектов ПДн в ИСПДн.
  • Журнал учета пользователей ИСПДн, прошедших обучение правилам работы с СЗИ.
  • Журнал учета мероприятий по контролю ИБ.
  • План проверочных мероприятий по обеспечению безопасности ПДн.
  • АКТ 1 классификации ИСПДн.
  • Приказ о назначении администратора ИБ.
  • Форма согласия работника на обработку его ПДн.

Единая образовательная сеть «Дневник.ру» предоставляет шаблоны указанных форм документов образовательным организациям, заключившим соглашение с Дневник.ру. Благодаря этому у образовательных организаций отпадает необходимость в самостоятельном подборе и составлении документации из этого обширного перечня.

 

Этапы работ

Организация защиты персональных данных должна производиться в несколько этапов:

  • инвентаризация информационных ресурсов;
  • ограничение доступа работников к персональным данным;
  • документальное регламентирование работы с персональными данными;
  • формирование модели угроз безопасности персональных данных;
  • классификация информационных систем персональных данных (ИСПДн) образовательных организаций;
  • составление и отправка в уполномоченный орган уведомления об обработке персональных данных;
  • приведение системы защиты персональных данных в соответствие с требованиями регуляторов;
  • создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация) – для ИСПДн классов К1, К2;
  • организация эксплуатации и контроля безопасности ИСПДн.

Этап 1. Инвентаризация информационных ресурсов

Инвентаризация информационных ресурсов - выявление присутствия и осуществления обработки персональных  данных  во  всех  эксплуатируемых в  организации  информационных  системах и  традиционных  хранилищах  данных. В качестве информационных систем, относящихся к ИСПДн, выступают:    

  • электронный  журнал/дневник;
  • «1С-Бюджет»;
  • «1С-Зарплата-Кадры»; 
  • автоматизированная  информационная библиотечная система;
  • информационная система «Налогоплательщик» и другие.

Выполняя функции электронного журнала/дневника, информационная система «Дневник.ру» является ИСПДн и  зарегистрирована  Федеральной  службой  по  надзору  в  сфере  связи, информационных технологий и  массовых  коммуникаций  РФ  в  реестре  операторов  персональных данных  под  регистрационным  номером  09-0062296.

На данном этапе следует: утвердить положение о защите персональных данных, сформировать концепцию, определить политику информационной безопасности, составить перечень персональных данных, подлежащих защите.

Места обработки персональных данных:

  • бухгалтерия;
  • библиотека;
  • учительская;
  • отдел кадров;
  • медпункт.

Этап 2. Ограничение доступа работников к персональным данным

Ограничение  доступа  работников  организации к персональным данным –  неотъемлемая  часть мероприятий  по обеспечению безопасности ПДн при их обработке в информационных системах.  Допуск к обработке персональных данных должен быть только у тех сотрудников, которым это необходимо для выполнения служебных (трудовых) обязанностей. Система Дневник.ру построена таким образом, что сотрудники образовательных организаций, учащиеся и их законные представители могут пройти регистрацию на сайте только после получения логина и пароля для первого входа в своей образовательной организации.  Все данные хранятся в Администрации образовательной организации и не подлежат разглашению, что гарантирует отсутствие посторонних лиц в Дневник.ру.

На данном этапе следует: в необходимой мере ограничить как электронный, так и физический доступ к персональным данным, хранящимся в образовательной организации.

Этап 3. Документальное регламентирование работы с персональными данными

Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области.

Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо, оформляя свое намерение документально.

На данном этапе следует: собрать согласия на обработку персональных данных, издать приказ о назначении лиц, ответственных за обработку ПДн, и положение о разграничении прав доступа к обрабатываемым ПДн, составить инструкции администратора ИСПДн, пользователя ИСПДн и администратора безопасности ИСПДн.

Согласия на обработку персональных данных физических лиц

В соответствии со статьей 9 ФЗ-№152 «О персональных данных» обработка персональных данных субъекта осуществляется только при условии наличия его письменного согласия с указанием следующих данных:

  • фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

Формы согласий на обработку персональных данных сотрудников образовательных организаций, учащихся и их законных представителей, используемые при подключении к Дневник.ру, полностью соответствуют вышеуказанным требованиям. Подписанные согласия хранятся в образовательных организациях и могут быть предоставлены только по требованию регуляторов и других уполномоченных органов РФ.

 

Этап 4. Формирование модели угроз безопасности персональных данных

Частная модель угроз безопасности персональных данных, хранящихся в информационной системе, формируется на основании следующих документов, утвержденных Федеральной службой по техническому и экспортному контролю (ФСТЭК):

  • Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн.
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн.
  • Частная модель угроз безопасности персональных данных, хранящихся в информационной системе «Дневник.ру»,  была сформирована ФГУП «ЗащитаИнфоТранс». Она показывает, что персональные данные пользователей, обрабатываемые в Дневник.ру, подвергаются низкой степени угрозы несанкционированного доступа к ним.

На данном этапе следует сформировать модель угроз безопасности персональных данных, обрабатываемых и хранящихся в образовательной организации.

Этап 5. Классификация ИСПДн

На данном этапе следует  составить акты классификации используемых в образовательной организации информационных систем персональных данных.

Этап 6. Составление и отправка в уполномоченный орган уведомления

Уведомление об обработке персональных данных оформляется на бланке оператора и направляется в территориальный орган Роскомнадзора Министерства связи и массовых коммуникаций РФ на бумажном носителе или в форме электронного документа  с подписью уполномоченного лица.В форме указываются данные об обработчике, цель обработки, категории данных, категории субъектов, данные которых обрабатываются, правовое основание обработки, дата ее начала, срок (условие) ее прекращения и прочее.

На данном этапе следует: на сайте Уполномоченного органа по защите прав субъектов персональных данных http://www.pd.rsoc.ru/operators-registry/notification/form/, заполнить и отправить форму уведомления в электронном виде или распечатать на бумажном носителе.

Этап 7. Приведение системы в соответствие с требованиями регуляторов

В ФЗ №152 «О персональных данных» сказано, что оператор персональных данных обязан принимать все необходимые меры по защите безопасности ПДн. Это означает потребность оператора в использовании современных высокотехнологичных способов хранения ПДн. Персональные данные, обрабатываемые системой Дневник.ру, хранятся в одном из лучших дата-центров России - Селектел, который находится в городе Санкт-Петербурге. Многоуровневая система доступа, отвечающая самым жестким требованиям банковских и государственных структур, обеспечивает безопасное хранение данных.

На данном этапе следует: создать перечень по учету  применяемых средств защиты информации, эксплуатационной и технической документации к ним; положение о подразделении по защите информации; методические рекомендации для организации защиты информации при обработке персональных данных; инструкцию пользователя по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций, а также утвердить план мероприятий по защите ПДн.

Этап 8. Аттестация (сертификация) ИСПДн

Для обеспечения безопасности ИСПДн требуется проводить  мероприятия по организации и техническому сопровождению защиты обрабатываемых персональных данных. В качестве оценки соответствия ИСПДн 1 и 2 классов требованиям к безопасности ПДн используется  обязательная сертификация   (аттестация).

w256h2561372777059Exclamation.png Сертификат соответствия  № 2309 от 28.03.2011 г. Аттестат  соответствия требованиям нормативной документации по  информационной безопасности от 21 мая 2012 года.   

На данном этапе следует: создать эскизный проект системы обеспечения безопасности информации объекта вычислительной техники и типовое техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники, а также определить порядок резервирования технических средств защиты информации.

Перечень объектов информатизации, подлежащих аттестации

Обязательной аттестации подлежат следующие объекты информатизации:

  • Автоматизированные системы различного  уровня и  назначения. 
  • Системы связи, приема, обработки  и передачи  данных.
  • Системы отображения и размножения.       
  • Помещения, предназначенные  для  ведения конфиденциальных  переговоров.

Этап 9. Организация эксплуатации ИСПДн и контроля за безопасностью

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

  • контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
  • разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн.

На данном этапе следует: 

  • Разработать проект приказа о положении об электронном журнале обращений пользователей информационных систем персональных данных  → создать журнал учета обращений субъектов ПДн о выполнении их законных прав и журнал учета мероприятий по контролю.
  • Сформировать план внутренних проверок → издать приказ о проведении внутренней проверки → составить отчет о результатах проведения внутренней проверки.

 

Поддержание эффективной системы защиты ПДн

Для поддержания системы защиты персональных данных на высоком уровне требуется проведение следующих мероприятий:

  • Развертывание полноценной системы обработки ПДн. Система «Дневник.ру»  обладает качественными техническими ресурсами,    применение которых позволяет осуществлять безопасную обработку персональных данных в образовательной организации.
  • Полномасштабное внедрение средств защиты. Высококвалифицированные специалисты Дневник.ру обеспечивают постоянный контроль и необходимое техническое обслуживание системы защиты персональных данных пользователей.
  • Аттестация ИСПДн. Информационная система «Дневник.ру» имеет все необходимые лицензии и сертификаты для обработки персональных данных.
  • Приведение всех процессов обработки ПДн в соответствие с требованиями закона. Дневник.ру отвечает требованиям законодательства в области защиты персональных данных.
  • Реакция на регулярные проверки и прочее.

 

Ответственность за нарушение ФЗ №152 «О персональных данных»

  • Административная ответственность: штраф или штраф с конфискацией несертифицированных средств обеспечения безопасности и шифровальных средств. Административный кодекс, ст. 13.11, 13.12, 13.14.
  • Дисциплинарная ответственность: увольнение провинившегося работника. Трудовой кодекс РФ, ст. 81 и 90.
  • Уголовная ответственность: от исправительных работ и лишения права занимать определенные должности до ареста. Уголовный кодекс, ст. 137, 140, 272.
Была ли эта статья полезной?

Комментарии