В обеспечении информационной безопасности образовательной орагнизации можно выделить 4 компонента: интернет-сайт, доступ в Интернет, работа с персональными данными и беспроводную сеть.
Официальный сайт образовательной организации
- Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»
- Правила размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети Интернет и обновления информации об образовательной организации, утв. постановлением Правительства РФ от 10.07.2013 № 582;
- Требования к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети Интернет и формату предоставления на нем информации, утв.
a. приказом Рособрнадзора от 29.05.2014 № 785,
b. письмо Рособрнадзора от 25 марта 2015 г. № 07-675 (методические рекомендации для высшего образования) - ГОСТ Р 52872-2012 «Интернет-ресурсы. Требования доступности для инвалидов по зрению»
- Указ Президента Российской Федерации от 17 апреля 2017 г. № 171 «О мониторинге и анализе результатов рассмотрения обращений граждан и организаций»
- Письмо Министерства образования и науки РФ от 14.05.2018 № 08-1184 «О направлении информации» (вместе с «Методическими рекомендациями о размещении на информационных стендах, официальных интернет-сайтах и других информационных ресурсах общеобразовательных организаций и органов, осуществляющих управление в сфере образования, информации о безопасном поведении и использовании сети «Интернет»)
- Письмо Федеральной службы по надзору в сфере образования и науки от 25 марта 2015 г. № 07-675 «О направлении методических рекомендаций представления информации об образовательной организации в открытых источниках с учетом соблюдения требований законодательств в сфере образования»
- Письмо Министерства образования и науки РФ от 22.07.2013 № 09-889 «О размещении на официальном сайте образовательной организации информации».
- Приложение к Письму Федеральной службы по надзору в сфере образования и науки от 25 марта 2015 г. N 07-675 «О направлении для использования в деятельности образовательной организации Методических рекомендации представления информации об образовательной организации в открытых источниках с учетом соблюдения требований законодательства в сфере образования (для образовательных организаций высшего образования)».
Доступ в Интернет
- ФЗ № 149 Федеральный закон «Об информации, информационных технологиях и о защите информации”
- ФЗ № 436 “О защите детей от информации, причиняющей вред их здоровью и развитию”
- Письмо Минобрнауки России от 28.04.2014 № ДЛ-115/03 «О направлении методических материалов для обеспечения информационной безопасности детей при использовании ресурсов сети Интернет» (вместе с «Методическими рекомендациями по ограничению в образовательных организациях доступа обучающихся к видам информации, распространяемой посредством сети «Интернет», причиняющей вред здоровью и (или) развитию детей, а также не соответствующей задачам образования», «Рекомендациями по организации системы ограничения в образовательных организациях доступа обучающихся к видам информации, распространяемой посредством сети Интернет, причиняющей вред здоровью и (или) развитию детей, а также не соответствующей задачам образования»)
- Типовая инструкция для сотрудников образовательных учреждений о порядке действий при осуществлении контроля использования обучающимися сети Интернет
- Типовые правила использования сети Интернет в общеобразовательном учреждении
- Инструкция о порядке действий при осуществлении контроля использования учащимися сети Интернет для сотрудников ОУ
- Классификатор информации, распространение которой запрещено либо ограничено в соответствии с законодательством Российской Федерации
- Правила использования сети Интернет в ОУ (с жестким ограничнением доступа обучающимся)
- Приказ по ОУ «О мерах обеспечивающих ограничение доступа к интернет-ресурсам, не совместимым с задачами образования и воспитания обучающихся»
- Примерные формулировки для внесения изменений в должностные инструкции отдельных работников образовательных учреждений
Работа с персональными данными
- Федеральный закон № 152 «О персональных данных»
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Приказ ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении сотсава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
- Приказ ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
- ПДн без автоматизации: Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации«
- ПДн в ИСПДн: Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных«
- Частные информационные системы персональных данных: Приказ ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении сотсава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (4 класса защищенности)
- Государственные информационные системы персональных данных (ГИС, МИС): Приказ ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. (3 класса защищенности, сертифицированное ПО)
ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Для соотнесения типа информационной системы персональных данных (ИСПДн) к тому или иному уровню защищенности необходимо:
- Определить категорию обрабатываемых персональных данных:
- категория 4 — обезличенные и (или) общедоступные персональные данные;
- категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
- категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
- категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
- Определить объем персональных данных, обрабатываемых в информационной системе:
- объем 3 — одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации;
- объем 2 — одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования;
- объем 1 — одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных в пределах РФ или субъекта РФ.
- По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов защищенности (см. табл.):
- класс защищенности (К-4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
- класс защищенности (К-З) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
- класс защищенности (К-2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
- класс защищенности К-1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.
Объем / Категория | Объем 3 (<1 000, организация) |
Объем 2 (1 000-100 000, отрасль, город) |
Объем1 (>100 000, субъект Федерации) |
Категория 4 (обезличенные, общедоступные) | Класс-4 | Класс-4 | Класс-4 |
Категория 3 (идентификационные) | Класс-3 | Класс-3 | Класс-2 |
Категория 2 (идентификационные и еще) | Класс-3 | Класс-2 | Класс-1 |
Категория 1 (медицинские, социальные) | Класс-1 | Класс-1 | Класс-1 |
Персональные данные в ИСПДн
- Сегментация сети с выделением ИСПДн
- Разделение сетей межсетевым экраном
- Использование средств защиты информации
- Ответственное лицо, журналы, ОРД по обработке персональных данных
Беспроводная сеть (гостевой Wi-Fi)
С января 2016 года владельцев открытых сетей Wi-Fi штрафуют за отсутствие обязательной идентификации пользователей. Запрет на анонимный Wi-Fi изложен в Постановлении Правительства РФ № 758 о доступе к публичному Интернету.
Идентифицировать пользователей предлагается с помощью:
- документа, удостоверяющего личность;
- учетной записи на сайте госуслуг;
- номера мобильного телефона.
За предоставление анонимного доступа к Wi-Fi юридическим лицам грозит штраф от 100 до 200 тыс р.
Свободный дистрибутив pfSence — там есть регистрация по ваучерам.