Информационная безопасность образовательной организации

В обеспечении информационной безопасности образовательной орагнизации можно выделить 4 компонента: интернет-сайт, доступ в Интернет, работа с персноальными данными и беспроводную сеть.

Официальный сайт образовательной организации
Перечень основных документов, регламентирующих требования к структуре и контенту официального сайта  образовательной организации

  1. Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»
  2. Правила размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети Интернет и обновления информации об образовательной организации, утв. постановлением Правительства РФ от 10.07.2013 № 582;
  3. Требования к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети Интернет и формату предоставления на нем информации, утв.
    a. приказом Рособрнадзора от 29.05.2014 № 785,
    b. письмо Рособрнадзора от 25 марта 2015 г. № 07-675 (методические рекомендации для высшего образования)
  4. ГОСТ Р 52872-2012 «Интернет-ресурсы. Требования доступности для инвалидов по зрению»
  5. Указ Президента Российской Федерации от 17 апреля 2017 г. № 171 «О мониторинге и анализе результатов рассмотрения обращений граждан и организаций»

[свернуть]
Методические рекомендации, примерные документы

  1. Письмо Министерства образования и науки РФ от 14.05.2018 № 08-1184 «О направлении информации» (вместе с «Методическими рекомендациями о размещении на информационных стендах, официальных интернет-сайтах и других информационных ресурсах общеобразовательных организаций и органов, осуществляющих управление в сфере образования, информации о безопасном поведении и использовании сети «Интернет»)
  2. Письмо Федеральной службы по надзору в сфере образования и науки от 25 марта 2015 г. № 07-675 «О направлении методических рекомендаций представления информации об образовательной организации в открытых источниках с учетом соблюдения требований законодательств в сфере образования»
  3. Письмо Министерства образования и науки РФ от 22.07.2013 № 09-889 «О размещении на официальном сайте образовательной организации информации».
  4. Приложение к Письму Федеральной службы по надзору в сфере образования и науки от 25 марта 2015 г. N 07-675 «О направлении для использования в деятельности образовательной организации Методических рекомендации представления информации об образовательной организации в открытых источниках с учетом соблюдения требований законодательства в сфере образования (для образовательных организаций высшего образования)».

[свернуть]
Доступ в Интернет
Перечень основных документов, регламентирующих систему контентной фильтрации в ОУ

  1. ФЗ № 149 Федеральный закон «Об информации, информационных технологиях и о защите информации”
  2. ФЗ № 436 “О защите детей от информации, причиняющей вред их здоровью и развитию”
  3. Письмо Минобрнауки России от 28.04.2014 № ДЛ-115/03 «О направлении методических материалов для обеспечения информационной безопасности детей при использовании ресурсов сети Интернет» (вместе с «Методическими рекомендациями по ограничению в образовательных организациях доступа обучающихся к видам информации, распространяемой посредством сети «Интернет», причиняющей вред здоровью и (или) развитию детей, а также не соответствующей задачам образования», «Рекомендациями по организации системы ограничения в образовательных организациях доступа обучающихся к видам информации, распространяемой посредством сети Интернет, причиняющей вред здоровью и (или) развитию детей, а также не соответствующей задачам образования»)

[свернуть]
Методические рекомендации, примерные документы

[свернуть]

http://ligainternet.ru/

Работа с персональными данными
Перечень основных документов, регламентирующих работу с персональными данными в ОУ

  1. Федеральный закон № 152 «О персональных данных»
  2. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
  3. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  4. Приказ ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении сотсава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  5. Приказ ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

[свернуть]
Применимость приказов ФСТЭК к информационным системам

  • ПДн без автоматизации: Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации«
  • ПДн в ИСПДн: Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных«
    • Частные информационные системы персональных данных: Приказ ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении сотсава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (4 класса защищенности)
    • Государственные информационные системы персональных данных (ГИС, МИС): Приказ ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. (3 класса защищенности, сертифицированное ПО)

[свернуть]
Информационная система персональных данных

ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Для соотнесения типа информационной системы персональных данных (ИСПДн) к тому или иному уровню защищенности необходимо:

  • Определить категорию обрабатываемых персональных данных:
    • категория 4 — обезличенные и (или) общедоступные персональные данные;
    • категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
    • категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
    • категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
  • Определить объем персональных данных, обрабатываемых в информационной системе:
    • объем 3 — одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации;
    • объем 2 — одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования;
    • объем 1 — одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных в пределах РФ или субъекта РФ.
  • По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов защищенности (см. табл.):
    • класс защищенности (К-4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
    • класс защищенности (К-З) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
    • класс защищенности (К-2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
    • класс защищенности К-1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.
Объем / Категория Объем 3
(<1 000, 
организация)
Объем 2
(1 000-100 000,
отрасль, город)
Объем1  
(>100 000,
субъект Федерации)
Категория 4 (обезличенные, общедоступные) Класс-4 Класс-4 Класс-4
Категория 3 (идентификационные) Класс-3 Класс-3 Класс-2
Категория 2 (идентификационные и еще) Класс-3 Класс-2 Класс-1
Категория 1 (медицинские, социальные) Класс-1 Класс-1 Класс-1

[свернуть]

Персональные данные в ИСПДн

  • Сегментация сети с выделением ИСПДн
  • Разделение сетей межсетевым экраном
  • Использование средств защиты информации
  • Ответственное лицо, журналы, ОРД по обработке персональных данных
Беспроводная сеть (гостевой Wi-Fi)

С января 2016 года владельцев открытых сетей Wi-Fi штрафуют за отсутствие обязательной идентификации пользователей. Запрет на анонимный Wi-Fi изложен в Постановлении Правительства РФ № 758 о доступе к публичному Интернету.

Идентифицировать пользователей предлагается с помощью:

  1. документа, удостоверяющего личность;
  2. учетной записи на сайте госуслуг;
  3. номера мобильного телефона.

За предоставление анонимного доступа к Wi-Fi юридическим лицам грозит штраф от 100 до 200 тыс р.

Свободный дистрибутив pfSence — там есть регистрация по ваучерам.