Защита ПДн

 ВОПРОСЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОРГАНИЗАЦИЙ, ОСУЩЕСТВЛЯЮЩИХ ОБРАЗОВАТЕЛЬНУЮ ДЕЯТЕЛЬНОСТЬ

Раскрыть список документов

 Указ Президента РФ 6.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»

Федеральный закон РФ 27.07.2006 г. N 152-ФЗ «О персональных данных»

Постановление Правительства РФ 15.09.08г. N 687

Приказ ФСТЭК, ФСБ, Мининформсвязи 13.02.08 г. N 55/86/20

Приказ ФСТЭК России №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Приказ ФСТЭК России №58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»

Кодекс Российской Федерации об административных правонарушениях № 195-ФЗ — Глава 13.

Трудовой кодекс РФ № 197-ФЗ — Глава 14 «Защита персональных данных работника»

ГОСТ Р ИСО/МЭК 27001-2006

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России) — выписка

Типовые требования по организации и обеспечению .. (8 Центр ФСБ России)

Федеральный закон РФ №262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации»

Приказ ФСБ России №66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. (Положение ПКЗ 2005)»

Федеральный закон РФ №128-ФЗ «О лицензировании отдельных видов деятельности»

Федеральный закон РФ №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации»

Федеральный закон от 10 января 2002 г. No 1-ФЗ «Об электронной цифровой подписи»

Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия №154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России)

Положение о сертификации средств защиты информации по требованиям безопасности информации

Постановление Правительства РФ №538 «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность»

Постановление Правительства РФ №532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»

Федеральный закон №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем»

Федеральный закон от 07 июля 2003 г. No 126-ФЗ «О связи»

Указ Президента РФ №1085 «Вопросы Федеральной службы по техническому и экспортному контролю»

Федеральный закон №98-ФЗ «О коммерческой тайне»

Федеральный закон №218-ФЗ «О кредитных историях»

Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей  еждународного информационного обмена»

Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций №08 «Об утверждении образца формы уведомления об обработке персональных данных»

Постановление Правительства РФ №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Постановление Правительства РФ №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Указ Президента РФ №609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;

Распоряжение Президента РФ N 366-рп «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»

Положение по аттестации объектов информатизации по требованиям безопасности информации

Федеральный закон РФ №395-I «О банках и банковской деятельности»

Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.)

Уголовный кодекс Российской Федерации (УК РФ) №63-ФЗ

Гражданский кодекс Российской Федерации №230-ФЗ, часть 4

Гражданский кодекс Российской Федерации (ГК РФ) №14-ФЗ, часть вторая

Постановление Правительства Российской Федерации №504 «О лицензировании деятельности по технической защите конфиденциальной информации»

Федеральный закон от 9 февраля 2007 г. No 16-ФЗ «О транспортной безопасности»

Положение о Федеральной службе по надзору в сфере связи и массовых коммуникаций. Утверждено постановлением Правительства РФ №419 «О Федеральной службе по надзору в сфере связи и массовых коммуникаций»

Постановление Правительства РФ №418 «О Министерстве связи и массовых коммуникаций Российской Федерации»

Указ Президента РФ №960 «Вопросы Федеральной службы безопасности Российской Федерации»

Указ Президента РФ №724 «Вопросы системы и структуры федеральных органов исполнительной власти»

NIST Special Publication 800-122. Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)

BS 10012:2009 «Защита данных — Спецификация системы управления персональными данными»

Пакет документов по обработке персональных данных в «СПК»:

  1. Положение об обработке персональных данных работников «СПК».
  2. Согласие работника «СПК» на обработку своих персональных данных.
  3. Положение об обработке персональных данных обучающихся в «СПК».
  4. Согласие обучающегося (18 лет и старше) в «СПК» на обработку своих персональных данных.
  5. Согласие законного представителя обучающегося (до 18 лет) в «СПК» на обработку персональных данных обучающегося.
  6. Дополнение в договор об оказании услуг.
  7. Положение об ответственном лице информационной безопасности «СПК».
  8. Форма журнала регистрации выявленных нарушений.
  9. Форма акта выявленных нарушений.
  10. Положение о конфиденциальной информации в «СПК».
  11. Перечень сведений конфиденциального характера в «СПК».
  12. Положения об ответственности работников, допущенных к обработке персональных данных и иной конфиденциальной информации.
  13. Дополнительное соглашение с работником, допущенным к обработке персональных данных.
  14. Обязательство работника о неразглашении персональных данных.
  15. Дополнение в должностные инструкции.
  16. Положение об обеспечении безопасности автоматизированной информационной системы «СПК».
  17. Положение о парольной защите при обработке персональных данных и иной конфиденциальной информации.
  18. Инструкция о применении средств антивирусной защиты информации.
  19. Регламент использования программного обеспечения.
  20. Форма журнала регистрации используемого программного обеспечения.
  21. Регламент использования электронной почты в «СПК».
  22. Памятка по работе с корпоративной электронной почтой «СПК».
  23. Регламент доступа и использования ресурсов сети Интернет в «СПК».
  24. Порядок учета машинных носителей информации с персональными данными.
  25. Форма журнала по учёту носителей информации с персональными данными.
  26. Порядок уничтожения, блокирования персональных данных.
  27. Форма акта об уничтожении.
  28. Требования к оборудованию помещений и размещению технических средств, используемых для обработки персональных данных.
Единая информационная система  «СПК» NetSchool:  Модуль защиты информации «IRTech Security» (сертифицирован ФСТЭК до первого класса включительно) и другие способы защиты

Защита персональных данных (ПДн) в информационных системах для сферы образования «NetSchool», «Сетевой Город. Образование», «Сетевой Регион. Образование», «Е-услуги. Образование», «Школьное питание», разработанных ЗАО «ИРТех», полностью соответствует требованиям, методам и средствам защиты ПДн при их обработке в информационных системах персональных данных (ИСПДн), определённых в Федеральном законе № 152-ФЗ от 27.07.2006 «О персональных данных», постановлениях правительства РФ, документах Регуляторов.

irtech-fstek

Сертификат
ФСТЭК

Основой защиты информации в указанных системах является модуль защиты информации от несанкционированного доступа «IRTech Security», который прошёл все необходимые сертификационные испытания и получил сертификат ФСТЭК (Сертификат соответствия №2813 от 15 января 2013 по требованиям безопасности информации).

 

Сертификат ФСТЭК удостоверяет, что модуль «IRTech Security»:

  • Соответствует требованиям руководящих документов:
    • «Защита от несанкционированного доступа к информации. Программное обеспечение средств защиты информации. Часть 1. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по четвёртому уровню контроля.
    • «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по пятому классу защищённости.
  • Может использоваться для защиты информации в информационных системах обработки персональных данных до 1 класса включительно.
  • Производство изделия соответствует требованиям по обеспечению качества выпускаемой продукции и неизменности сертифицированных параметров.

Обращаем ваше внимание, что:

  • В соответствии с постановлениями Правительства РФ и Руководящими документами регуляторов, «процедуру оценки соответствия требованиям безопасности информации» проходит не полностью вся ИСПДн, а средства защиты информации в ИСПДн. Именно поэтому сертификационные испытания прошел модуль «IRTech Security», являющийся средством защиты информации от несанкционированного доступа в ИСПДн.
  • Модуль «IRTech Security» прошёл сертификационные испытания как серийный образец, а не как единичный экземпляр. Его производство соответствует требованиям по обеспечению качества выпускаемой продукции и неизменности сертифицированных параметров. Именно поэтому ЗАО «ИРТех» может передавать модуль заказчикам как в составе своих информационных систем, так и как самостоятельное изделие. В этом случае модуль может использоваться для защиты информации в других ИСПДн заказчика.

Отмечаем, что в информационных системах ЗАО «ИРТех» применяются и другие способы защиты информации, а именно:

  • шифрование паролей, их хранение и передача по каналам связи только в шифрованном виде;
  • ограничение минимальной длины пароля;
  • защита от попыток подбора пароля;
  • проверка пароля на надёжность с целью исключения легко подбираемых паролей;
  • защита от одновременной работы нескольких пользователей в системе под одним и тем же именем пользователя;
  • настройка прав доступа и ролей пользователей только уполномоченным Администратором системы;
  • отсутствие прямого доступа пользователей в систему управления базами данных;
  • принудительное завершение сеанса работы пользователя при его неактивности;
  • возможность ограничения диапазона IP-адресов, с которых разрешён вход в систему;
  • исключение записи или хранения объектов системы на персональном компьютере пользователя.

Следует отметить, что защита ПДн в ИСПДн – это комплекс мер, включающих в себя организационные и (или) технические меры. В соответствии с вышесказанным, ЗАО «ИРТех» рекомендует:

  • На сервере, где установлена ИСПДн, кроме использования модуля «IRTech Security» использовать (как минимум) сертифицированные ФСТЭК межсетевой экран и антивирус, провести организационные меры по защите информации;
  • На компьютерах пользователей организационные меры проводить в случае необходимости, исходя из модели угроз безопасности. (Технические меры защиты на компьютерах пользователей не проводятся).

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *