Этапы организации защиты ПДн в ОО (для администратора)

Согласно ФЗ №152 «О персональных данных» образовательные организации являются операторами персональных данных, поскольку занимаются обработкой персональных данных учащихся, родителей и педагогов. Следовательно, ответственными сотрудниками этих организаций должно обеспечиваться соблюдение вышеуказанного закона.

Выполнение требований закона в образовательных организациях

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от:

• неправомерного или случайного доступа к ним;
• уничтожения;
• изменения;
• блокирования;
• копирования;
• предоставления;
• распространения;
• иных неправомерных действий в отношении персональных данных.

В рамках образовательных организаций должен быть выполнен комплекс работ по сбору пакета документов, предоставляемых на проверку контролирующим организациям.

В настоящее время отсутствуют нормативные акты, утверждающие форму этих типовых ведомственных документов по защите персональных данных в образовательных организациях.

Пакет документов для проверки

• Концепция информационной безопасности.
• Приказ о создании СЗ ПДн.
• План мероприятий по обеспечению защиты ПДн.
• Отчет о результатах проведения внутренней проверки.
• Перечень сведений, составляющих ПДн.
• Список ИСПДн, в которых обрабатываются ПДн.
• Разрешительная система доступа к ПДн.
• Перечень сотрудников, допущенных к обработке ПДн.
• Перечень защищаемой информации.
• Положение по обработке персональных данных.
• Политика ИБ.
• Инструкция пользователя ИСПДн.
• Инструкция пользователя ИСПДн на случай возникновения внештатных ситуаций.
• Инструкция администратора ИБ ИСПДн.
• Инструкция по организации парольной защиты.
• Инструкция по антивирусной защите.
• Инструкция по обработке ПДн без использования средств автоматизации.
• Перечень ПДн с местами хранения, обработки и списком допущенных лиц.
• Приказ о введении в действие документов, регламентирующих мероприятия по защите ПДн.
• Приказ о создании комиссии по уничтожению ПДн.
• Журнал регистрации фактов несанкционированного доступа.
• Журнал учета обращений субъектов ПДн в ИСПДн.
• Журнал учета пользователей ИСПДн, прошедших обучение правилам работы с СЗИ.
• Журнал учета мероприятий по контролю ИБ.
• План проверочных мероприятий по обеспечению безопасности ПДн.
• АКТ 1 классификации ИСПДн.
• Приказ о назначении администратора ИБ.
• Форма согласия работника на обработку его ПДн.

Цифровая образовательная платформа «Дневник.ру» предоставляет шаблоны указанных форм документов образовательным организациям, заключившим соглашение с Дневник.ру. Благодаря этому у образовательных организаций отпадает необходимость в самостоятельном подборе и составлении документации из этого обширного перечня.

Этапы работ

Организация защиты персональных данных должна производиться в несколько этапов:

• инвентаризация информационных ресурсов;
• ограничение доступа работников к персональным данным;
• документальное регламентирование работы с персональными данными;
• формирование модели угроз безопасности персональных данных;
• классификация информационных систем персональных данных (ИСПДн) образовательных организаций;
• составление и отправка в уполномоченный орган уведомления об обработке персональных данных;
• приведение системы защиты персональных данных в соответствие с требованиями регуляторов;
• создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация) – для ИСПДн классов К1, К2;
• организация эксплуатации и контроля безопасности ИСПДн.

Этап 1. Инвентаризация информационных ресурсов

Инвентаризация информационных ресурсов - выявление присутствия и осуществления обработки персональных  данных  во  всех  эксплуатируемых в  организации  информационных  системах и  традиционных  хранилищах  данных. В качестве информационных систем, относящихся к ИСПДн, выступают:    

• электронный  журнал/дневник;
• «1С-Бюджет»;
• «1С-Зарплата-Кадры»; 
• автоматизированная  информационная библиотечная система;
• информационная система «Налогоплательщик» и другие.

Выполняя функции электронного журнала/дневника, информационная система «Дневник.ру» является ИСПДн и  зарегистрирована  Федеральной  службой  по  надзору  в  сфере  связи, информационных технологий и  массовых  коммуникаций  РФ  в  реестре  операторов  персональных данных  под  регистрационным  номером  09-0062296.

На данном этапе следует:

• утвердить положение о защите персональных данных;
• сформировать концепцию, определить политику информационной безопасности;
• составить перечень персональных данных, подлежащих защите.

Места обработки персональных данных:

• бухгалтерия;
• библиотека;
• учительская;
• отдел кадров;
• медпункт.

Этап 2. Ограничение доступа работников к персональным данным

Ограничение  доступа  работников  организации к персональным данным –  неотъемлемая  часть мероприятий  по обеспечению безопасности ПДн при их обработке в информационных системах.  Допуск к обработке персональных данных должен быть только у тех сотрудников, которым это необходимо для выполнения служебных (трудовых) обязанностей. Система Дневник.ру построена таким образом, что сотрудники образовательных организаций, учащиеся и их законные представители могут пройти регистрацию на сайте только после получения логина и пароля для первого входа в своей образовательной организации.  Все данные хранятся в Администрации образовательной организации и не подлежат разглашению, что гарантирует отсутствие посторонних лиц в Дневник.ру.

На данном этапе следует: в необходимой мере ограничить как электронный, так и физический доступ к персональным данным, хранящимся в образовательной организации.

Этап 3. Документальное регламентирование работы с персональными данными

Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области.

Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо, оформляя свое намерение документально.

На данном этапе следует:

• собрать согласия на обработку персональных данных;
• издать приказ о назначении лиц, ответственных за обработку ПДн;
• издать положение о разграничении прав доступа к обрабатываемым ПДн;
• составить инструкции администратора ИСПДн, пользователя ИСПДн и администратора безопасности ИСПДн.

Согласия на обработку персональных данных физических лиц

В соответствии со статьей 9 ФЗ-№152 «О персональных данных» обработка персональных данных субъекта осуществляется только при условии наличия его письменного согласия с указанием следующих данных:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
• наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись субъекта персональных данных.

Формы согласий на обработку персональных данных сотрудников образовательных организаций, учащихся и их законных представителей, используемые при подключении к Дневник.ру, полностью соответствуют вышеуказанным требованиям.

Подписанные согласия хранятся в образовательных организациях и могут быть предоставлены только по требованию регуляторов и других уполномоченных органов РФ.

Этап 4. Формирование модели угроз безопасности персональных данных

Частная модель угроз безопасности персональных данных, хранящихся в информационной системе, формируется на основании следующих документов, утвержденных Федеральной службой по техническому и экспортному контролю (ФСТЭК):

• Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн.
• Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн.
• Частная модель угроз безопасности персональных данных, хранящихся в информационной системе «Дневник.ру», была сформирована ФГУП «ЗащитаИнфоТранс». Она показывает, что персональные данные пользователей, обрабатываемые в Дневник.ру, подвергаются низкой степени угрозы несанкционированного доступа к ним.

На данном этапе следует сформировать модель угроз безопасности персональных данных, обрабатываемых и хранящихся в образовательной организации.

Этап 5. Классификация ИСПДн

На данном этапе следует составить акты классификации используемых в образовательной организации информационных систем персональных данных.

Этап 6. Составление и отправка в уполномоченный орган уведомления

Уведомление об обработке персональных данных оформляется на бланке оператора и направляется в территориальный орган Роскомнадзора Министерства связи и массовых коммуникаций РФ на бумажном носителе или в форме электронного документа с подписью уполномоченного лица. В форме указываются данные об обработчике, цель обработки, категории данных, категории субъектов, данные которых обрабатываются, правовое основание обработки, дата ее начала, срок (условие) ее прекращения и прочее.

На данном этапе следует: на сайте Уполномоченного органа по защите прав субъектов персональных данных http://www.pd.rsoc.ru/operators-registry/notification/form/ заполнить и отправить форму уведомления в электронном виде или распечатать на бумажном носителе.

Этап 7. Приведение системы в соответствие с требованиями регуляторов

В ФЗ №152 «О персональных данных» сказано, что оператор персональных данных обязан принимать все необходимые меры по защите безопасности ПДн. Это означает потребность оператора в использовании современных высокотехнологичных способов хранения ПДн. Персональные данные, обрабатываемые системой Дневник.ру, хранятся в одном из лучших дата-центров России - Селектел, который находится в городе Санкт-Петербурге. Многоуровневая система доступа, отвечающая самым жестким требованиям банковских и государственных структур, обеспечивает безопасное хранение данных.

На данном этапе следует:

• создать перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним;
• создать положение о подразделении по защите информации;
• подготовить методические рекомендации для организации защиты информации при обработке персональных данных;
• создать инструкцию пользователя по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций;
• утвердить план мероприятий по защите ПДн.

Этап 8. Аттестация (сертификация) ИСПДн

Для обеспечения безопасности ИСПДн требуется проводить мероприятия по организации и техническому сопровождению защиты обрабатываемых персональных данных. В качестве оценки соответствия ИСПДн 1 и 2 классов требованиям к безопасности ПДн используется обязательная сертификация (аттестация).

На данном этапе следует:

• создать эскизный проект системы обеспечения безопасности информации объекта вычислительной техники;
• создать типовое техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники;
• определить порядок резервирования технических средств защиты информации.

Перечень объектов информатизации, подлежащих аттестации

Обязательной аттестации подлежат следующие объекты информатизации:

• Автоматизированные системы различного  уровня и  назначения. 
• Системы связи, приема, обработки  и передачи  данных.
• Системы отображения и размножения.       
• Помещения, предназначенные  для  ведения конфиденциальных  переговоров.

Этап 9. Организация эксплуатации ИСПДн и контроля за безопасностью

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

• контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
• разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн.

На данном этапе следует: 

• Разработать проект приказа о положении об электронном журнале обращений пользователей информационных систем персональных данных  → создать журнал учета обращений субъектов ПДн о выполнении их законных прав и журнал учета мероприятий по контролю.
• Сформировать план внутренних проверок → издать приказ о проведении внутренней проверки → составить отчет о результатах проведения внутренней проверки.

Поддержание эффективной системы защиты ПДн

Для поддержания системы защиты персональных данных на высоком уровне требуется проведение следующих мероприятий:

• Развертывание полноценной системы обработки ПДн. Система «Дневник.ру» обладает качественными техническими ресурсами, применение которых позволяет осуществлять безопасную обработку персональных данных в образовательной организации.
• Полномасштабное внедрение средств защиты. Высококвалифицированные специалисты Дневник.ру обеспечивают постоянный контроль и необходимое техническое обслуживание системы защиты персональных данных пользователей.
• Аттестация ИСПДн. Информационная система «Дневник.ру» имеет все необходимые лицензии и сертификаты для обработки персональных данных.
• Приведение всех процессов обработки ПДн в соответствие с требованиями закона. Дневник.ру отвечает требованиям законодательства в области защиты персональных данных.
• Реакция на регулярные проверки и прочее.

Ответственность за нарушение ФЗ №152 «О персональных данных»

• Административная ответственность: штраф или штраф с конфискацией несертифицированных средств обеспечения безопасности и шифровальных средств. Административный кодекс, ст. 13.11, 13.12, 13.14.