1 / 43

Обеспечение информационной безопасности в образовательном учреждении

Обеспечение информационной безопасности в образовательном учреждении. Кокорин Сергей Викторович заместитель директора МОУДПОС Центр информационных технологий +7 (8482) 22-34-81 svk@itc.tgl.ru. Безопасный доступ в Интернет.

amaris
Download Presentation

Обеспечение информационной безопасности в образовательном учреждении

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Обеспечение информационной безопасности в образовательном учреждении Кокорин Сергей Викторовичзаместитель директораМОУДПОС Центр информационных технологий+7 (8482) 22-34-81svk@itc.tgl.ru

  2. Безопасный доступв Интернет

  3. Пакет документов, регламентирующих организацию и обеспечение информационной безопасности • Комплекс программно-аппаратных средств

  4. Приказ Департамента образования г.о.Тольятти от 16.02.2007 г № 49 «Об информационной безопасности». • Распоряжение МОиН СО от 16.04.2007 №200-р «О внедрении системы контентной фильтрации доступа общеобразовательных учреждений Самарской области к ресурсам сети Интернет».

  5. Пакет документов • Правила использования сети Интернет в образовательном учреждении • Документ ознакомления и согласия с Правилами использования сети Интернет в образовательном учреждении, удостоверенное подписью в документе ознакомления и согласия с правилами • Регулярное (периодичное) заполнение документа ознакомления…

  6. Пакет документов • Инструкция для сотрудников ОУ о порядке действий при осуществлении контроля за использованием учащимися и работниками учреждения ресурсов Интернет • Администратор точки доступа к сети Интернет • Должностная инструкция администратора точки доступа к сети Интернет в ОУ.

  7. Пакет документов • Положение о Совете образовательного учреждения по вопросам регламентации доступа к ресурсам сети Интернет • Персональный состав Совета • Поддержание актуальности персонального состава Совета • Регламент работы учащихся, учителей (преподавателей) и сотрудников ОУ.

  8. Пакет документов • Документ регистрации посетителей точки доступа к сети Интернет в образовательном учреждении • Документ регистрации ресурсов, посещаемых с точки доступа к сети Интернет в образовательном учреждении • Регулярное (периодичное) заполнение документов регистрации

  9. Пакет документов • Ответственный за антивирусную безопасность ОУ • Локальные акты регламентирующие обязанности ответственных за антивирусную безопасность ОУ

  10. Пакет документов, регламентирующих организацию и обеспечение информационной безопасности • Комплекс программно-аппаратных средств

  11. Антивирусная безопасность • Лицензионное антивирусное программное обеспечение на ВСЕ АРМ в ОУ • Регулярное обновление антивирусных баз (сигнатур и т.п.)

  12. Контентная фильтрация • Программный комплекс СКФ • Коммуникационный сервер с удаленным централизованным администрированием

  13. http://itc.tgl.ru

  14. Персональные данные

  15. Персональные данные. Определения персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

  16. Персональные данные. Определения оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

  17. Персональные данные. Определения обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

  18. Персональные данные. Определения ПДн – персональные данные ИСПДн – информационная система персональных данных. ФСБ России – Федеральная служба безопасности России. ФСТЭК России – Федеральная служба по техническому и экспортному контролю России. ДСП – для служебного пользования

  19. Документы: • ФЗ №152 «О персональных данных» от 27.07.2006 «Информационные системы персональных данных … должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года». • Аналогичные законы в других странах: • США «The Privacy Act of 1974» • Франция «Data Protection Act of 1978» • Канада «ThePrivacyAct», 1983 • Швейцария «The Federal Law on Data Protection of 1992» • Евросоюз «European Union Data Protection Directive of 1995» • Чехия «Act on Protection of Personal Data», 2000

  20. Документы • Постановление правительства РФ №781; «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» • Постановление правительства РФ №687; «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» • Приказ №55/86/20; «Порядок проведения классификации информационных систем персональных данных» • «Четверокнижие» ФСТЭК (гриф ДСП);

  21. «Четверокнижие» ФСТЭК (ДСП) • Рекомендации по обеспечению безопасности ПД при их обработке в ИСПДн; • Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПДн; • Базовая модель угроз безопасности ПД при их обработке в ИСПДн; • Методика определения актуальных угроз безопасности ПД при их обработке в ИСПДн;

  22. Классификация ИСПДн • Сбор и анализ исходных данных по информационной системе (инвентаризация ресурсов) • Присвоение информационной системе соответствующего класса и его документальное оформление (Составление акта).

  23. Классификация ИСПДн

  24. Классификация ИСПДн • Типовые информационные системы – системы, в которых требуется обеспечение только конфиденциальности персональных данных . • Специальные информационные системы – системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)

  25. Классификация ИСПДн

  26. Классификация ИСПДн • Типовые (конфиденциальность) • Специальные (+целостность, +доступность)

  27. Классификация ИСПДн. Примеры

  28. Классификация ИСПДн. Примеры

  29. Классификация ИСПДн. Примеры

  30. Классификация ИСПДн • Типовые (конфиденциальность)

  31. Классификация ИСПДн. Примеры ИСПДн1 «Кадры» Цель: ТК Класс: 3 ИСПДн 2 «Обучающиеся» Цель: Закон об образовании Класс: 1 ИСПДн 3 «Библиотека» Цель: Закон об образовании Класс: 2

  32. Основные требования • Уведомление об обработке персональных данных • Защита ИСПДн и подтверждение ее эффективности: • К3 – декларация соответствия; • К1 и K2 – аттестация; • K1, K2 и распределенные K3 – лицензия на ТЗКИ. • Согласие субъекта на обработку его персональных данных; • Права субъекта на информацию о его ПДн; • Регламентация обращения с ПДн у оператора; • Уничтожение ПДн после достижения целей обработки.

  33. Уведомление об обработке Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (www.rsoc.ru) Управление Роскомнадзора по Самарской области: 443099, г. Самара, ул. А. Толстого, 118 Телефон: (846) 3325326, факс: (846) 2704400, e-mail ugnsi@smr.ru, http://63.rsoc.ru рекомендуется запросить выписку из приказа о внесении в Реестр Операторов или выписку из Реестра

  34. Документация во ОУ • Положение о персональных данных. • Внесение изменений в договора. • Внесение изменений в должностные инструкции. • Согласие субъектов ПДн на обработку ПДн. • Согласие на передачу/получение ПДн. • Согласие на публикацию в Интернет. • …

  35. Ответственность • «ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ» • Статья 81. Расторжение трудового договора по инициативе работодателя • Статья 85. Понятие персональных данных работника. Обработка персональных данных работника • Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты • Статья 87. Хранение и использование персональных данных работников • Статья 88. Передача персональных данных работника • Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

  36. Ответственность • «ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ» • Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника • Статья 195. Привлечение к дисциплинарной ответственности руководителя организации, руководителя структурного подразделения организации, их заместителей по требованию представительного органа работников • Статья 237. Возмещение морального вреда, причиненного работнику • Статья 391. Рассмотрение индивидуальных трудовых споров в судах

  37. Ответственность • «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ» Федеральный закон № 195-ФЗ от 30.12.2001 г. (с изменениями): • Статья 5.27. Нарушение законодательства о труде и об охране труда • Статья 5.39. Отказ в предоставлении гражданину информации • Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) • Статья 13.12. Нарушение правил защиты информации • Статья 13.13. Незаконная деятельность в области защиты информации

  38. Ответственность • «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ» Федеральный закон № 195-ФЗ от 30.12.2001 г. (с изменениями): • Статья 13.14. Разглашение информации с ограниченным доступом • Статья 13.19. Нарушение порядка представления статистической информации • Статья 19.4. Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль) • Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) • Статья 19.6. Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения

  39. Ответственность • «КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ» Федеральный закон № 195-ФЗ от 30.12.2001 г. (с изменениями): • Статья 19.7. Непредставление сведений (информации) • Статья 19.20. Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии) • Статья 20.25. Неуплата административного штрафа либо самовольное оставление места отбывания административного ареста • Статья 32.2. Исполнение постановления о наложении административного штрафа

  40. Ответственность • «УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ» • Федеральный закон № 63-ФЗ от 13.06.1996 г. (с изменениями): • Статья 137. Нарушение неприкосновенности частной жизни • Статья 140. Отказ в предоставлении гражданину информации • Статья 155. Разглашение тайны усыновления (удочерения) • Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну • Статья 272. Неправомерный доступ к компьютерной информации • Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

  41. Ответственность • «УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ» • Федеральный закон № 63-ФЗ от 13.06.1996 г. (с изменениями): • Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети • Статья 292. Служебный подлог • Статья 293. Халатность

  42. Контакты • Копылова Галина Владимировна+7 (8482) 22-19-40, 22-37-73kgv@itc.tgl.ru • Кокорин Сергей Викторович+7 (8482) 22-34-81, 22-37-73svk@itc.tgl.ru • http://itc.tgl.ruраздел: «Информационная безопасность»

  43. ? Спасибо за внимание!

More Related