Создать бесплатный сайт с uCoz
                                                             

ОГБПОУ "Сенгилеевский педагогический техникум"

                                                    
       




Основные разделы сайта:



Поиск по сайту:



Страницы сайта:

Информационная безопасность, обработка и защита ПДн


Контрольные цифры приема


Вакансии на трудоустройство


Деятельность студенческого совета


Антикоррупционная деятельность


Профилактика терроризма и экстремизма

Педагогическая мастерская


Полезные ссылки


Обратная связь




Информационный портал
Куда пойти учиться в Ульяновской области"
(для входа на сайт, нажмите на эмблему ниже)


Уважаемые потребители!

Просим Вас, пожалуйста, станьте участником независимой оценки качества образовательной деятельности ОГБПОУ «Сенгилеевский педагогический техникум».

Для этого создана возможность электронного он-лайн опроса (голосования), расположенного в сети Интернет на Сайте Рейтинг образовательных организаций Ульяновской области по адресу: http://рейтинг-образование73.рф/ .

Вы можете проголосовать прямо здесь, у нас на сайте, всего лишь нажав на ссылку ниже. Оцените нас! Ваш голос очень важен!



Версия


1. НОРМАТИВНО-ПРАВОВАЯ ДОКУМЕНТАЦИЯ

Ссылки на Федеральное законодательство в сфере защиты информации и персональных данных:

1. Федеральный закон "Об информации, информационных технологиях и о защите информации от 27.07.2006 г. №149-ФЗ

2. Федеральный закон "О персональных данных" от 27.07.2006 г. №152-ФЗ

Ссылка на информацию об организации, находящуюся в реестре операторов персональных данных:

1. Данные об организации в реестре операторов персональных данных  Роскомнадзора

Ссылки на локально-нормативную документацию:

1. Концепция информационной безопасности ИСПДн в ОГБПОУ СПТ

2. Политика обработки персональных данных в ОГБПОУ СПТ

3. Положение о комиссии по обработке и защите персональных данных

4. Положение о работе с персональными данными в ОГБПОУ СПТ

5. Положение об обработке персональных данных в ОГБПОУ СПТ

6. Положение по организации и проведению работ по обеспечению безопасности ПДн при обработке в ИСПДн

7. План мероприятий по защите персональных данных на 2019 год

8. План по организации безопасной работы в сети Интернет

Формы согласия на обработку персональных данных для обучающихся, родителей (законных представителей) обучающихся:

1. Согласие на обработку персональных данных родителей (законных представителей) обучающихся

2. Согласие на обработку персональных данных обучающихся

 

2. Функциональная организационная структура управления режимом обработки и защиты персональных данных

в Областном государственном бюджетном профессиональном образовательном учреждении

«Сенгилеевский педагогический техникум»

И ЕЕ ОПИСАНИЕ

Описание функциональной организационной структуры управления режимом обработки и защиты ПДн в ОГБПОУ СПТ:

Структура имеет линейно-функциональный принцип взаимодействия.

  1. Лицом, осуществляющим контроль режима обработки и защиты персональных данных является директор ОГБПОУ СПТ. В его обязанности входит проведение контроля за исполнением Федеральных и локально-нормативных актов (положения, регламенты и инструкции, планы) по обработке и защите ПДн, утверждение организационно-распорядительной и иной документации, а также разработка необходимых мер для исполнения задач по эффективности режима обработки и защиты ПДн.

 

  1. Ведущим органом управления режимом обработки и защиты ПДн в ОГБПОУ СПТ является Комиссия по обработке и защите ПДн, назначаемая Приказом директора и действует бессрочно.

В данную комиссию входят:

- председатель – заместитель директора по учебной работе;

- члены комиссии – программист, специалист по кадрам и секретарь учебной части.

Функциональными обязанностями комиссии являются:

- контроль за режимом обработки и защиты персональных данных работников, обучающихся, родителей (законных представителей) обучающихся;

- контроль за ограничением доступа иных лиц к носителям персональных данных и в ИСПДн;

- разработка и согласование организационно-распорядительной документации (положения, регламенты и инструкции, планы) по обработке и защите ПДн;

- разработка мероприятий по защите персональных данных при автоматизированной и неавтоматизированной обработке;

- проведение внутреннего аудита режима обработки и защиты персональных данных;

- проведение внутреннего аудита процессов обработки информации в ИСПДн;

- проведение аудита нововведенных ИСПДн;

- проведение инструктажа работников, осуществляющих неавтоматизированную и автоматизированную обработку ПДн;

- проведение инструктажа пользователей СКЗИ;

- контроль использования СКЗИ пользователями, допущенными к работе с ними.

После проведения мероприятий по аудиту режима обработки и защиты ПДн комиссией оформляется отчет о проверке на определенную тематику, согласно утвержденному Плану проверок режима обработки и защиты ПДн.

Данная комиссия взаимодействует с программистом, который является лицом, ответственным за обеспечение безопасности ПДн в ИСПДн. Комиссия устанавливает срок проведения классификации ИСПДн, также согласовывает разработанные программистом Модели угроз безопасности персональных данных при обработке в ИСПДн.

Комиссия осуществляет контроль за лицами, ответственными за автоматизированную и неавтоматизированную обработку ПДн, а также лицами, осуществляющими данную обработку.

Комиссия также осуществляет контроль над использованием СКЗИ.

Комиссия также включена в схему общей организационной структуры ОГБПОУ СПТ. Контроль за деятельностью комиссии осуществляет директор ОГБПОУ СПТ.

 

3. Органом, определяющим защищенность информационно-коммуникационной системы ОГБПОУ СПТ, а также уровень защищенности ПДн при обработке в ИСПДн является Комиссия по определению уровня защищенности ПДн при обработке в ИСПДн.

Комиссия назначается Приказом директора и действует бессрочно.

В состав комиссии входят:

            - председатель комиссии – программист, ответственный за обеспечение безопасности ПДн в ИСПДн;

- члены комиссии – главный бухгалтер, ведущий бухгалтер и методист.

            Данная комиссия проводит классификацию ИСПДн в соответствии с Постановлением Правительства РФ от 01 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:

            - тип информационной системы;

            - актуальные угрозы ИСПДн;

            - объем обрабатываемых данных;

            - определение уровня защищенности ПДн при обработке в ИСПДн.

            Данная комиссия проводит классификацию ИСПДн при:

            - вводе новой ИСПДн в управленческую и/или образовательную деятельность;

            - при изменении типа существующей ИСПДн, появления новых актуальных угроз, объема обрабатываемых данных.

            После проведения анализа защищенности ПДн при обработке в ИСПДн комиссией составляется Акт классификации и утверждается директором.

             Контроль за деятельностью данной комиссии осуществляет Комиссия по обработке и защите ПДн.

 

4. Органом, осуществляющим уничтожение персональных данных на бумажных и машинных носителях информации является Комиссия по уничтожению персональных данных.

Комиссия назначается Приказом директора и действует бессрочно.

В состав комиссии входят:

- председатель комиссии - заведующая архивом

Члены комиссии - специалист по кадрам, ведущий бухгалтер, секретарь учебной части.

Уничтожение персональных данных производится согласно Федеральному закону №152-ФЗ:

- если субъект данных потребовал уничтожить их, компания обязана сделать это в течение семи рабочих дней с момента поступления соответствующего заявления (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ);

- если были выявлены нарушения в использовании информации, срок уничтожения персональных данных - 10 рабочих дней с момента обнаружения (ч. 3 ст. 21 закона № 152-ФЗ);

- когда Оператор ПДн достигает цели обработки данных, потребности в такой информации больше не возникает. В этом случае уничтожить данные нужно в течение 30 дней с даты, когда цель использования данных была достигута (ч. 4 ст. 21 закона № 152-ФЗ).

- если владелец данных отказался от дальнейшей обработки и отозвал согласие, комиссия ликвидирует информацию о нем в течение 30 дней с даты отзыва согласия, если для целей обработки сохранять данные больше не нужно (ч. 5 ст. 21 Закона о персональных данных).

После проведения мероприятий по уничтожению персональных данных комиссией составляется соответствующий Акт.

Контроль за деятельностью данной комиссии осуществляет Комиссия по обработке и защите ПДн.

 

5. Лицом, ответственным за обеспечение безопасности ПДн в ИСПДн является программист. Данное лицо имеет документ о прохождении курсов по профессиональной переподготовке или повышению квалификации в области обеспечения защиты ПДн при обработке в ИСПДн.

            В его функциональные обязанности по защите ПДн входит:

- разработка необходимой документации в области защиты ПДн при обработке в ИСПДн (организационно-распорядительная документация, технические паспорта ИСПДн, Модели угроз безопасности персональных данных на каждую ИСПДн, журналы учета и иная документация);

- информационная безопасность информационно-коммуникационной системы ОГБПОУ СПТ;

- принятие необходимых мер по защите ПДн при обработке в ИСПДн;

- установка и настройка СЗИ и антивирусной защиты;

- администрирование ИСПДн на предмет безопасности;

- устранение угроз безопасности ПДн в ИСПДн;

- проведение мониторинга использования ИСПДн;

- резервное копирование баз данных ИСПДн;

- устранение программных и системных неисправностей в ИСПДн;

- анализ использования ИСПДн пользователей;

- проведение инструктажа пользователей ИСПДн.

Программист также является ответственным пользователем СКЗИ.

            В функциональные обязанности ответственного пользователя СКЗИ входят:

- профилактическая деятельность по соблюдению требований руководящих документов, технической, эксплуатационной документации с сотрудниками ОГБПОУ СПТ, назначенными пользователями СКЗИ;

- проведение служебных расследований по фактам нарушения требований по обращению с СКЗИ;

- принятие мер к предотвращению разглашения и утечки информации ограниченного доступа при эксплуатации и хранении специальных технических средств, предназначенных для передачи, приема и обработки конфиденциальной информации, а также при использовании незащищенных каналов связи.

- участие в разработке методических и нормативных материалов и оказании необходимой методической помощи в проведении работ по защите информации при обращении с СКЗИ.

Ответственный за обеспечение безопасности ПДн в ИСПДн имеет непосредственное взаимодействие со следующими лицами:

- лицо, ответственное за автоматизированную обработку ПДн сотрудников в ИСПДн «1С. Предприятие», «СБиС++Электронная отчетность»;

- лица, осуществляющие автоматизированную обработку ПДн в ИСПДн «1С. Предприятие», «СБиС++Электронная отчетность»;

- взаимодействие с пользователями СКЗИ;

- членами комиссии по определению уровня защищенности ПДн при обработке в ИСПДн (является председателем данной комиссии).

 

3. Организационное и техническое обеспечение безопасности обработки и хранения персональных данных

1. Комплекс организационных мер:

- поддержание локально-нормативной документации в сфере обработки и защиты персональных данных (ПДн);

- проведение внутреннего аудита по обработке и защите персональных данных в ОГБПОУ СПТ председателем и членами Комиссии по обработке и защите персональных данных, согласно Плану проведения внутренних проверок;

- классификация информационных систем персональных данных (ИСПДн), согласно 5 пункту Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- разработка Моделей угроз безопасности ПДн при обработке в ИСПДн;

- ограничение доступа третьих лиц в помещения, которые предназначены для обработки и хранения ПДн сотрудников и участников образовательного процесса (обучающихся, родителей (законных представителей) обучающихся);

- опечатывание помещений с ограниченным доступом после рабочего дня;

- закрытие и опечатывание сейфов и шкафов, в которых хранятся носители с ПДн и ключи электронно-цифровых подписей;

- разъяснение субъекту ПДн целей и намерений в необходимости обработки ПДн в соответствии с нормативными Актами: Конституция РФ, Трудовой Кодекс РФ, ФЗ «Об образовании в РФ», ФЗ «О персональных данных»;

- обработка ПДн субъекта ПДн при его письменном согласии;

- передача персональных данных третьим лицам при получении письменного согласия на обработку ПДн субъектом ПДн;

- длительное хранение ПДн в строго определенных помещениях с ограниченным доступом;

- уничтожение ПДн Комиссией по уничтожению персональных данных по истечению целей их обработки с составлением Акта об уничтожении.

 

2. Комплекс технических мер по обеспечению безопасности обработки ПДн в ИСПДн:

 - организация Межсетевого экрана, сертифицированного ФСТЭК России;

- организация антивирусной защиты, сертифицированной ФСТЭК России;

- использование средств защиты информации в ИСПДн, сертифицированных ФСТЭК России;

- организация дополнительных программных средств для шифрования электронных документов, содержащих ПДн;

- организация парольной защиты автоматизированных рабочих мест (АРМ) с автоматической блокировкой экрана, в которых организованы базы данных ИСПДн, либо доступ к ним;

- организация парольной защиты доступа в ИСПДн;

- организация парольной защиты в АРМ, в которых установлены средства криптографической защиты информации (СКЗИ);

- организация периодического резервного копирования баз данных ИСПДн.

 

3. Задачи по обеспечению безопасности обработки информации, в том числе ПДн в ИСПДн:

  • Поддержание актуальности оборудования с учетом современных требований к его ресурсам;
  • Использование лицензионного программного обеспечения для обеспечения стабильности его работы;
  • Периодическое проведение регламентных работ по оптимизации функционирования сервера и рабочих станций;
  • Создание защитных процедур и защищенной среды, предотвращающей попытки вторжения злоумышленников и снижающей потенциальный риск или потери;
  • Отслеживание действий, выполняемых в Интернете, для немедленного выявления изменений в событиях, связанных с безопасностью;
  • Периодическое проведение антивирусной проверки файловых систем сервера и рабочих станций;
  • Выполнение мероприятий по контролю или пресечению вредоносных действий при обнаружении атаки или вторжения;
  • Регулярный инструктаж пользователей инфокоммуникационной системы (ИКС) по технике безопасности при работе с персональным компьютером;
  • Регулярный инструктаж пользователей ИКС по использованию ее ресурсов;
  • Регулярный инструктаж пользователей ИКС безопасности обработки информации, в том числе персональных данных в ИСПДн;
  • Регулярная проверка использования СКЗИ пользователями;
  • Регулярный инструктаж пользователей СКЗИ.

 

4. ПОЛЕЗНАЯ ИНФОРМАЦИЯ

Памятки для обучающихся и их родителей:

1. ПАМЯТКА ДЛЯ ОБУЧАЮЩИХСЯ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ;

2. ИНФОРМАЦИОННАЯ ПАМЯТКА ДЛЯ ОБУЧАЮЩИХСЯ ПРИ ПОСЕЩЕНИИ ИНТЕРНЕТ-РЕСУРСОВ;

3. ПАМЯТКА ДЛЯ РОДИТЕЛЕЙ ОБ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЕТЕЙ

 

ОГБПОУ "Сенгилеевский педагогический техникум"