Методические рекомендации для руководителя оо информационная безопасность
Скачать 1.47 Mb.
|
| МБУ ЦРО БГО МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ДЛЯ РУКОВОДИТЕЛЯ ОО ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ – защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий. Защита информации – комплекс мероприятий, направленных на обеспечение информационной безопасности. Оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязан обеспечить (ст. 16 Федерального Закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»):
Применительно к образовательному учреждению информацией, подлежащей защите, являются персональные данные – «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация» (ч. 1 ст. 3 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»). Особенностью персональных данных образовательного учреждения является наличие двух групп персональных данных:
Причем большинство работников образовательного учреждения, во всяком случае, педагогических, выступают сразу в двух статусах:
Поэтому работники образовательного учреждения должны знать не только права и обязанности субъектов персональных данных, но и обязанности и ответственность операторов при обработке персональных данных. Обработка персональных данных – их сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение (ч. 3 ст. 3 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»). Оператор – юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных (ч. 2 ст. 3 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»). При обработке персональных данных применительно к образовательному учреждению «согласия субъекта персональных данных … не требуется», если «обработка персональных данных осуществляется в целях исполнения договора (трудового, подряда, возмездного оказания услуг, с родителями и т.д.), одной из сторон которого является субъект персональных данных (работник, обучающийся и т.д.) (ст. 6 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»). Применительно к образовательному учреждению «оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных (ст. 22 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»):
Таким образом, для того, чтобы осуществлять обработку персональных данных учащихся без их (или их законных представителей) письменного разрешения, а также без уведомления уполномоченного органа по защите прав субъектов персональных данных образовательное учреждение, как минимум, должно заключить договор с родителями (законными представителями) учащегося «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» (ст. 19 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»). Кроме того, «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области» (ч. 8 ст. 86 Трудового кодекса РФ). Чтобы обеспечить выполнение требований действующего законодательства руководителю образовательного учреждения целесообразно принять локальный акт, регламентирующий работу с персональными данными (например, Положение о работе с персональными данными) и издать приказ о допуске к работе с персональными данными. Ведь, помимо всего прочего, «лица, виновные в нарушении правил обработки персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность» (ст. 24 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»). Нормативное регулирование работы с персональными данными Защита персональных данных физических лиц осуществляется в соответствии с несколькими основными законодательными актами, а также рядом подзаконных документов, которые регламентируют более частные вопросы. Основной задачей законодательства в этой сфере является охрана интересов физических лиц, поскольку бесконтрольное распространение информации о них может поставить под угрозу не только приватность частной жизни, но и безопасность гражданина. С принятием Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ), внесением соответствующей главы в Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (далее – ТК РФ) появились первые реальные механизмы защиты граждан от бесконтрольного распространения информации о них. Указанные нормативные акты появились в связи с принятием Федерального закона от 19.12.2005 № 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных", и в этом смысле во многом являются выполнением международных обязательств Российской Федерации в части защиты граждан при автоматизированной обработке данных. Базовый документ по данному вопросу – Закон № 152-ФЗ. В отношении персональных данных работников образовательных учреждений базовым документом также является гл. 14 ТК РФ. Внимание Можно назвать основные подзаконные документы, положения которых также должны учитываться в ходе работы: 1) постановление Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"; 2) постановление Правительства РФ от 06.07.2008 № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных"; 3) постановление Правительства РФ от 01.11.2012 №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; 4) приказ Россвязькомнадзора от 16.07.2010 № 482"Об утверждении образца формы уведомления об обработке персональных данных"; 5) приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Существует также довольно много актов, регулирующих специфические требования, направленные на защиту персональных данных, которые содержатся в информационных системах. В качестве примера можно привести: 1) постановление Правительства РФ от 16.04.2012 № 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"; 2) постановление Правительства РФ от 03.02.2012 № 79 "О лицензировании деятельности по технической защите конфиденциальной информации"; 3) постановление Правительства РФ от 16.03.2009 № 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций"; 4) приказ ФСБ России от 09.02.2005 № 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации"; 5) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСБ России от 21.02.2008 № 149/6/6-622); 6) приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5.09.2013 № 996 "Об утверждении требований и методов по обезличиванию персональных данных". Федеральной службой по техническому и экспортному контролю приняты методические документы: 1) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 15.02.2008); 2) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных утв. ФСТЭК России 14.02.2008). Кроме того, можно ознакомиться с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ России от 21.02.2008 № 149/54-144). Рособразованием было издано письмо от 29.07.2009 № 17-110 "Об обеспечении защиты персональных данных", разъясняющее отдельные положения нормативных правовых актов. Какая информация относится к персональным данным? Чем персональные данные работника отличаются от персональных данных обучающегося или воспитанника? Определение термина "персональные данные" можно найти в Федеральном законе от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Согласно ст. 3 Закона № 152-ФЗ персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К персональным данным лица относится информация (т. е. самые разнообразные данные), которая позволяет идентифицировать лицо. Если информация представлена в такой форме, что невозможно определить, к какому гражданину она относится – она не является персональными данными. Возможность идентификации лица, к которому относятся сведения, – это ключевой момент в обоих определениях. Не всякая информация позволяет определить конкретное физическое лицо. Фамилия, имя, отчество чаще всего в достаточной мере идентифицируют человека (хотя могут быть и исключения, например, при наличии однофамильцев). Информация же о семейном положении, доходах, профессии, образовании и т. п. сама по себе недостаточна, чтобы понять, о каком лице идет речь. Это безличные сведения, которые нельзя отнести к персональным данным. Только в исключительных случаях такой информации бывает достаточно для определения лица. |
Похожие:
 | «Информационная безопасность» (в соответствии с Учебным планом подготовки бакалавра по профессионально-образовательной программе... |  | Татаринова С. Б. Методическое пособие по дисциплине «Информационная безопасность» по теме «Локальные и глобальные компьютерные сети»–... |
| Рабочая программа составлена в соответствии с фгос впо по направлению 090900. 62 «Информационная безопасность», утвержденным приказом... | | Методические указания по выполнению лабораторно-практического цикла работ для студентов специальности 010502 (351400) –Прикладная... |
| Методические рекомендации предназначены для мастеров производственного обучения техникума, председателей методических объединений,... | | Информационная безопасность автоматизированных систем среднего профессионального образования |
| Методические рекомендации предназначены для следующего использования: органами, осуществляющими руководство учреждениями культуры,... | | Методические рекомендации составлены на основе гос впо по специальности 071201 «Библиотечно-информационная деятельность», утвержденного... |
| ... | | Методические рекомендации призваны оказать помощь руководителям, преподавателям и лицам, ответственным за пожарную безопасность в... |