Информационная безопасность образовательной организации

В обеспечении информационной безопасности образовательной орагнизации можно выделить 4 компонента: интернет-сайт, доступ в Интернет, работа с персональными данными и беспроводную сеть.

Официальный сайт образовательной организации
Перечень основных документов, регламентирующих требования к структуре и контенту официального сайта  образовательной организации

  1. Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»
  2. Правила размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети Интернет и обновления информации об образовательной организации, утв. постановлением Правительства РФ от 10.07.2013 № 582;
  3. Требования к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети Интернет и формату предоставления на нем информации, утв.
    a. приказом Рособрнадзора от 29.05.2014 № 785,
    b. письмо Рособрнадзора от 25 марта 2015 г. № 07-675 (методические рекомендации для высшего образования)
  4. ГОСТ Р 52872-2012 «Интернет-ресурсы. Требования доступности для инвалидов по зрению»
  5. Указ Президента Российской Федерации от 17 апреля 2017 г. № 171 «О мониторинге и анализе результатов рассмотрения обращений граждан и организаций»

[свернуть]
Методические рекомендации, примерные документы

  1. Письмо Министерства образования и науки РФ от 14.05.2018 № 08-1184 «О направлении информации» (вместе с «Методическими рекомендациями о размещении на информационных стендах, официальных интернет-сайтах и других информационных ресурсах общеобразовательных организаций и органов, осуществляющих управление в сфере образования, информации о безопасном поведении и использовании сети «Интернет»)
  2. Письмо Федеральной службы по надзору в сфере образования и науки от 25 марта 2015 г. № 07-675 «О направлении методических рекомендаций представления информации об образовательной организации в открытых источниках с учетом соблюдения требований законодательств в сфере образования»
  3. Письмо Министерства образования и науки РФ от 22.07.2013 № 09-889 «О размещении на официальном сайте образовательной организации информации».
  4. Приложение к Письму Федеральной службы по надзору в сфере образования и науки от 25 марта 2015 г. N 07-675 «О направлении для использования в деятельности образовательной организации Методических рекомендации представления информации об образовательной организации в открытых источниках с учетом соблюдения требований законодательства в сфере образования (для образовательных организаций высшего образования)».

[свернуть]
Доступ в Интернет
Перечень основных документов, регламентирующих систему контентной фильтрации в ОУ

  1. ФЗ № 149 Федеральный закон «Об информации, информационных технологиях и о защите информации”
  2. ФЗ № 436 “О защите детей от информации, причиняющей вред их здоровью и развитию”
  3. Письмо Минобрнауки России от 28.04.2014 № ДЛ-115/03 «О направлении методических материалов для обеспечения информационной безопасности детей при использовании ресурсов сети Интернет» (вместе с «Методическими рекомендациями по ограничению в образовательных организациях доступа обучающихся к видам информации, распространяемой посредством сети «Интернет», причиняющей вред здоровью и (или) развитию детей, а также не соответствующей задачам образования», «Рекомендациями по организации системы ограничения в образовательных организациях доступа обучающихся к видам информации, распространяемой посредством сети Интернет, причиняющей вред здоровью и (или) развитию детей, а также не соответствующей задачам образования»)

[свернуть]
Методические рекомендации, примерные документы

[свернуть]

http://ligainternet.ru/

Работа с персональными данными
Перечень основных документов, регламентирующих работу с персональными данными в ОУ

  1. Федеральный закон № 152 «О персональных данных»
  2. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
  3. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  4. Приказ ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении сотсава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  5. Приказ ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

[свернуть]
Применимость приказов ФСТЭК к информационным системам

  • ПДн без автоматизации: Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации«
  • ПДн в ИСПДн: Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных«
    • Частные информационные системы персональных данных: Приказ ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении сотсава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (4 класса защищенности)
    • Государственные информационные системы персональных данных (ГИС, МИС): Приказ ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. (3 класса защищенности, сертифицированное ПО)

[свернуть]
Информационная система персональных данных

ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Для соотнесения типа информационной системы персональных данных (ИСПДн) к тому или иному уровню защищенности необходимо:

  • Определить категорию обрабатываемых персональных данных:
    • категория 4 — обезличенные и (или) общедоступные персональные данные;
    • категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
    • категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
    • категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
  • Определить объем персональных данных, обрабатываемых в информационной системе:
    • объем 3 — одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации;
    • объем 2 — одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования;
    • объем 1 — одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных в пределах РФ или субъекта РФ.
  • По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов защищенности (см. табл.):
    • класс защищенности (К-4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
    • класс защищенности (К-З) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
    • класс защищенности (К-2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
    • класс защищенности К-1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.
Объем / Категория Объем 3
(<1 000, 
организация)
Объем 2
(1 000-100 000,
отрасль, город)
Объем1  
(>100 000,
субъект Федерации)
Категория 4 (обезличенные, общедоступные) Класс-4 Класс-4 Класс-4
Категория 3 (идентификационные) Класс-3 Класс-3 Класс-2
Категория 2 (идентификационные и еще) Класс-3 Класс-2 Класс-1
Категория 1 (медицинские, социальные) Класс-1 Класс-1 Класс-1

[свернуть]
Защита Персональных данных

Полный комплект документов

Наименование документа Правовые основания
1. Уведомление в Роскомнадзор* об обработке (о намерении осуществлять обработку) персональных данных (информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных).
*http://rkn.gov.ru/
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Приказ Минкомсвязи России от 21.12.2011 № 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»
Утверждена форма Уведомления об обработке (о намерении осуществить обработку) персональных данных
Роскомнадзор от 03.08.2017 «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных»
2. Модель угроз и модель нарушителя безопасности информации (БИ)
(Описание актуальных для организации источников угроз БИ; методов реализации угроз БИ; объектов, пригодных для реализации угроз БИ; уязвимостей, используемых источниками угроз БИ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба)
Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282.
3.8. На предпроектной стадии по обследованию объекта информатизации:
определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта
3. Утверждение границ контролируемой зоны информационных систем персональных данных (ИСПДН) (схема).
Контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа или рабочая площадь организации (помещения), прилегающая к ней территория и расположенные вблизи здания или часть их, доступ в которые контролируется или размер зоны для работы с ИСПДН без применения дополнительных мер защиты)
«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282.
3.8. На предпроектной стадии по обследованию объекта информатизации:
определяются условия расположения объекта информатизации относительно границ КЗ.
4. Перечень сведений конфиденциального характера (сведения, отнесенные к категории ограниченного доступа, обрабатываемых в организации) «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282.
5.1.3. В качестве основных мер защиты информации рекомендуются:
Документальное оформление перечня сведений конфиденциального характера, в том числе с учетом ведомственной и отраслевой специфики этих сведений;
Распоряжение Администрации Санкт-Петербурга от 08.08.2001 № 616-ра «О мерах, обеспечивающих отнесение сведений, содержащихся в государственных информационных ресурсах исполнительных органов государственной власти Санкт-Петербурга, к категории конфиденциальной информации»
5. Положение о порядке организации и проведения работ по защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну (конфиденциальная информация) ст. 18.1, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений
ст. 68, «Трудовой кодекс Российской Федерации» от 30.12.2001 №197-ФЗ
При приеме на работу (до подписания трудового договора) работодатель обязан ознакомить работника под роспись с правилами внутреннего трудового распорядка, иными локальными нормативными актами, непосредственно связанными с трудовой деятельностью работника, коллективным договором.
ст.86 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
6. Назначение ответственного за организацию обработки персональных данных. ст. 18.1, Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
п. 1 а) назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа государственных или муниципальных служащих (далее – служащие) данного органа
7. Оформление дополнительного соглашения к трудовому договору (служебному контракту), в связи с назначением ответственным за организацию обработки персональных данных. ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных.
р. III, «Трудовой кодекс Российской Федерации» от 30.12.2001 № 197-ФЗ
Статья 72. Изменение определенных сторонами условий трудового договора. Изменение определенных сторонами условий трудового договора, в том числе перевод на другую работу, допускается только по соглашению сторон трудового договора, за исключением случаев, предусмотренных настоящим Кодексом. Соглашение об изменении определенных сторонами условий трудового договора заключается в письменной форме.
8. Инструкция ответственного за организацию обработки персональных данных. Постановление Правительства РФ от 21.03.2012 № 211«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
п.1б должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе
9. Назначение администратора безопасности информации. «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282.
1.5. Администратор защиты (безопасности) информации — лицо, ответственное за защиту АС от несанкционированного доступа к информации.
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка)(утв. ФСТЭК РФ 15.02.2008)
Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор
10. Инструкция администратора безопасности информации. «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282.
1.5. Администратор защиты (безопасности) информации — лицо, ответственное за защиту АС от несанкционированного доступа к информации.
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка)(утв. ФСТЭК РФ 15.02.2008)
Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор
11. Перечень информационных систем персональных данных в которых должна быть обеспечена безопасность информации. Постановление Правительства РФ от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
п.1б перечень информационных систем персональных данных
12. Перечень персональных данных подлежащих защите, в информационных системах персональных данных. ст. 19, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных
13. Назначение ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных (возможно для каждой ИСПДн). Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
14. Инструкция ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных (возможно для каждой ИСПДн). Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
9. Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.
15. Назначение комиссии по классификации информационных систем персональных данных по требованиям защиты информации. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных»
Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
14.2. Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый).
«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282.
5.1.4. В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, осуществляемого в целях разработки и применения необходимых и достаточных мер, оптимизации выбора средств защиты информации и затрат на защиту информации, проводится классификация автоматизированных систем (форма акта классификации АС приведена в приложении Ж).
16. Акты классификации уровня и класса защищенности информационных систем персональных данных. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных»
Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
14.2. Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый).
«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282.
5.1.4. В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, осуществляемого в целях разработки и применения необходимых и достаточных мер, оптимизации выбора средств защиты информации и затрат на защиту информации, проводится классификация автоматизированных систем (форма акта классификации АС приведена в приложении Ж).
17. Правила обработки персональных данных. Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
б) утверждают актом руководителя государственного или муниципального органа следующие документы:
правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных,
18. Политика оператора персональных данных в отношении обработки персональных данных. (опубликована на сайте оператора)
УКАЗАТЬ ССЫЛКУ НА АДРЕС САЙТА
ст. 18.1, Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
2. Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.
19. Политика информационной безопасности. «ГОСТ Р 53114-2008. Национальный стандарт Российской Федерации. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»
3.2.18. #Политика информационной безопасности (организации)#; политика ИБ (организации): формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности. Примечание. Политики должны содержать:
– предмет, основные цели и задачи политики безопасности;
– условия применения политики безопасности и возможные ограничения;
– описание позиции руководства организации в отношении выполнения политики безопасности и организации режима информационной безопасности организации в целом;
– права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности организации;
– порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности..
20. Перечень (сотрудников, работников) государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы, допущенных к работе с персональными данными. ст. 2, Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»
5) обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам
«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282.
3.6. В организации должен быть документально оформлен перечень сведений конфиденциального характера (приложение Б), подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.
«Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения» (утв. Гостехкомиссией РФ 30.03.1992)
8. Матрица доступа – Таблица, отображающая правила разграничения доступа
21. Перечень помещений, предназначенных для обработки персональных данных. Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
п.1б порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных
«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282.
4.2.1. В организации должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации,
22. Порядок доступа (сотрудников, работников) государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы, в помещения, в которых ведется обработка персональных данных. Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
п.1б порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных
23. Положение о разрешительной системе доступа (сотрудников, работников) государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы, к защищаемым информационным ресурсам. ст. 2, Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»
5) обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам

«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282.
3.6. В организации должен быть документально оформлен перечень сведений конфиденциального характера (приложение Б), подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.
«Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения» (утв. Гостехкомиссией РФ 30.03.1992)
8. Матрица доступа – Таблица, отображающая правила разграничения доступа

24. Перечень (сотрудников, работников) государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы, осуществляющих обработку персональных данных без использования средств автоматизации. Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
25. Инструкция по обработке персональных данных, осуществляемой без использования средств автоматизации. Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
26. Ведомость ознакомления (инструкция) лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии) Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
27. Журнал (реестр, книга), содержащая персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор. Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:
а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных
28. Инструкция пользователя автоматизированной системы обработки информации, доступ к которой ограничен в соответствии с федеральными законами (конфиденциальной информации) и персональных данных. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка) (утв. ФСТЭК РФ 15.02.2008)
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования
29. Определение мест хранения персональных данных, обработка которых осуществляется без использования средств автоматизации, и их материальных носителей. Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
30. Правила работы с обезличенными данными. (при необходимости) Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
п.1б правила работы с обезличенными данными
31. Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
(при необходимости)
Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
п.1б перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
32. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами Российской Федерации и организационно-распорядительными актами организации. Постановление Правительства РФ от 21.03.2012 № 211«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
б) утверждают актом руководителя государственного или муниципального органа следующие документы:
правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора
33. План внутренних проверок обеспечения безопасности персональных данных. ст. 18.1, Федеральный закон от 27.07.2006 № 152-ФЗ«О персональных данных»
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора
34. Акты внутренних проверок обеспечения безопасности персональных данных. ст. 18.1, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора
35. Инструкция о порядке проведения разбирательств по фактам нарушений обеспечения безопасности персональных данных. ст. 18.1, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
36. Правила рассмотрения запросов субъектов персональных данных или их представителей. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
ст.14 . Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав,
ст. 22.1
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов
.
37. Инструкция о действиях лиц, допущенных к информации, содержащей персональные данные, в случае возникновения нештатных ситуаций. Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций
38. Инструкция по порядку учета и хранению съемных машинных носителей информации, доступ к которой ограничен в соответствии с федеральными законами. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
IV. Защита машинных носителей информации (ЗНИ)
ЗНИ. 1 Учет машинных носителей информации
«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2002 № 282.
учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение;
39. Инструкция по уничтожению материальных носителей информации и информации с материальных носителей информации, доступ к которой ограничен в соответствии с федеральными законами, в том числе персональных данных. ст. 3, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
40. Журнал учета машинных носителей информации, доступ к которой ограничен в соответствии с федеральными законами. «Методический документ. Меры защиты информации в государственных информационных системах» (утв. ФСТЭК России 11.02.2014)
3.4. ЗАЩИТА МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ (ЗНИ)
ЗНИ.1 УЧЕТ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ
Учет съемных машинных носителей информации ведется в журналах учета машинных носителей информации.
41. Акт об уничтожении материальных (машинных, бумажных носителей) носителей информации, доступ к которой ограничен в соответствии с федеральными законами. ст. 3, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
42. Положение о порядке использования информационно-телекоммуникационных сетей международного информационного обмена и электронной почты. Указ Президента РФ от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
б) при необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте «а» настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники;
43. Инструкция о порядке резервного копирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации информационных систем персональных данных. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры
44. Инструкция пользователя персонального компьютера при работе в локальной вычислительной сети. Федеральный закон от 27.07.2006 №149-ФЗ “Об информации, информационных технологиях и о защите информации”, Федеральный закон от 27.07.2006 №152-ФЗ “О персональных данных”,ГОСТ Р ИСО/МЭК 27002-2012 “Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности”, ГОСТ Р 53245-2008 “Информационные технологии. Системы кабельные структурированные. Монтаж основных узлов системы. Методы испытания”, ГОСТ Р 53246-2008 “Информационные технологии. Системы кабельные структурированные. Проектирование основных узлов системы. Общие требования”.
45. Инструкция по организации антивирусной защиты. Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
20.6. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
46. Форма согласия на обработку персональных данных. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
п.1б типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
47. Форма обязательства (сотрудников, работников) государственного гражданского служащего и работника, замещающего должность, не являющуюся должностью государственной гражданской службы, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи исполнения должностных обязанностей. Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
п.1б типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей
48. Форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в связи с поступлением на государственную гражданскую службу. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
п.1б типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные
49. Журнал учета обращений граждан и запросов субъектов персональных данных (или их представителей) по вопросам обработки персональных данных. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» ст. 23,
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
50. Инструкция по работе с обращениями субъектов персональных данных. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
ст. 20 Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

[свернуть]

Персональные данные в ИСПДн

  • Сегментация сети с выделением ИСПДн
  • Разделение сетей межсетевым экраном
  • Использование средств защиты информации
  • Ответственное лицо, журналы, ОРД по обработке персональных данных
Беспроводная сеть (гостевой Wi-Fi)

С января 2016 года владельцев открытых сетей Wi-Fi штрафуют за отсутствие обязательной идентификации пользователей. Запрет на анонимный Wi-Fi изложен в Постановлении Правительства РФ № 758 о доступе к публичному Интернету.

Идентифицировать пользователей предлагается с помощью:

  1. документа, удостоверяющего личность;
  2. учетной записи на сайте госуслуг;
  3. номера мобильного телефона.

За предоставление анонимного доступа к Wi-Fi юридическим лицам грозит штраф от 100 до 200 тыс р.

Свободный дистрибутив pfSence — там есть регистрация по ваучерам.