1. НОРМАТИВНО-ПРАВОВАЯ ДОКУМЕНТАЦИЯ
Ссылки на Федеральное законодательство в сфере защиты информации и персональных данных:
2. Федеральный закон "О персональных данных" от 27.07.2006 г. №152-ФЗ
Ссылка на информацию об организации, находящуюся в реестре операторов персональных данных:
1. Данные об организации в реестре операторов персональных данных Роскомнадзора
Ссылки на локально-нормативную документацию:
1. Концепция информационной безопасности ИСПДн в ОГБПОУ СПТ
2. Политика обработки персональных данных в ОГБПОУ СПТ
3. Положение о комиссии по обработке и защите персональных данных
4. Положение о работе с персональными данными в ОГБПОУ СПТ
5. Положение об обработке персональных данных в ОГБПОУ СПТ
6. Положение по организации и проведению работ по обеспечению безопасности ПДн при обработке в ИСПДн
8. План мероприятий по защите персональных данных на 2019 год
9. План по организации безопасной работы в сети Интернет
Формы согласия на обработку персональных данных для обучающихся, родителей (законных представителей) обучающихся:
1. Согласие на обработку персональных данных родителей (законных представителей) обучающихся
2. Согласие на обработку персональных данных обучающихся
2. Функциональная организационная структура управления режимом обработки и защиты персональных данных
в Областном государственном бюджетном профессиональном образовательном учреждении
«Сенгилеевский педагогический техникум»
И ЕЕ ОПИСАНИЕ
Описание функциональной организационной структуры управления режимом обработки и защиты ПДн в ОГБПОУ СПТ:
Структура имеет линейно-функциональный принцип взаимодействия.
- Лицом, осуществляющим контроль режима обработки и защиты персональных данных является директор ОГБПОУ СПТ. В его обязанности входит проведение контроля за исполнением Федеральных и локально-нормативных актов (положения, регламенты и инструкции, планы) по обработке и защите ПДн, утверждение организационно-распорядительной и иной документации, а также разработка необходимых мер для исполнения задач по эффективности режима обработки и защиты ПДн.
- Ведущим органом управления режимом обработки и защиты ПДн в ОГБПОУ СПТ является Комиссия по обработке и защите ПДн, назначаемая Приказом директора и действует бессрочно.
В данную комиссию входят:
- председатель – заместитель директора по учебной работе;
- члены комиссии – программист, специалист по кадрам и секретарь учебной части.
Функциональными обязанностями комиссии являются:
- контроль за режимом обработки и защиты персональных данных работников, обучающихся, родителей (законных представителей) обучающихся;
- контроль за ограничением доступа иных лиц к носителям персональных данных и в ИСПДн;
- разработка и согласование организационно-распорядительной документации (положения, регламенты и инструкции, планы) по обработке и защите ПДн;
- разработка мероприятий по защите персональных данных при автоматизированной и неавтоматизированной обработке;
- проведение внутреннего аудита режима обработки и защиты персональных данных;
- проведение внутреннего аудита процессов обработки информации в ИСПДн;
- проведение аудита нововведенных ИСПДн;
- проведение инструктажа работников, осуществляющих неавтоматизированную и автоматизированную обработку ПДн;
- проведение инструктажа пользователей СКЗИ;
- контроль использования СКЗИ пользователями, допущенными к работе с ними.
После проведения мероприятий по аудиту режима обработки и защиты ПДн комиссией оформляется отчет о проверке на определенную тематику, согласно утвержденному Плану проверок режима обработки и защиты ПДн.
Данная комиссия взаимодействует с программистом, который является лицом, ответственным за обеспечение безопасности ПДн в ИСПДн. Комиссия устанавливает срок проведения классификации ИСПДн, также согласовывает разработанные программистом Модели угроз безопасности персональных данных при обработке в ИСПДн.
Комиссия осуществляет контроль за лицами, ответственными за автоматизированную и неавтоматизированную обработку ПДн, а также лицами, осуществляющими данную обработку.
Комиссия также осуществляет контроль над использованием СКЗИ.
Комиссия также включена в схему общей организационной структуры ОГБПОУ СПТ. Контроль за деятельностью комиссии осуществляет директор ОГБПОУ СПТ.
3. Органом, определяющим защищенность информационно-коммуникационной системы ОГБПОУ СПТ, а также уровень защищенности ПДн при обработке в ИСПДн является Комиссия по определению уровня защищенности ПДн при обработке в ИСПДн.
Комиссия назначается Приказом директора и действует бессрочно.
В состав комиссии входят:
- председатель комиссии – программист, ответственный за обеспечение безопасности ПДн в ИСПДн;
- члены комиссии – главный бухгалтер, ведущий бухгалтер и методист.
Данная комиссия проводит классификацию ИСПДн в соответствии с Постановлением Правительства РФ от 01 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:
- тип информационной системы;
- актуальные угрозы ИСПДн;
- объем обрабатываемых данных;
- определение уровня защищенности ПДн при обработке в ИСПДн.
Данная комиссия проводит классификацию ИСПДн при:
- вводе новой ИСПДн в управленческую и/или образовательную деятельность;
- при изменении типа существующей ИСПДн, появления новых актуальных угроз, объема обрабатываемых данных.
После проведения анализа защищенности ПДн при обработке в ИСПДн комиссией составляется Акт классификации и утверждается директором.
Контроль за деятельностью данной комиссии осуществляет Комиссия по обработке и защите ПДн.
4. Органом, осуществляющим уничтожение персональных данных на бумажных и машинных носителях информации является Комиссия по уничтожению персональных данных.
Комиссия назначается Приказом директора и действует бессрочно.
В состав комиссии входят:
- председатель комиссии - заведующая архивом
Члены комиссии - специалист по кадрам, ведущий бухгалтер, секретарь учебной части.
Уничтожение персональных данных производится согласно Федеральному закону №152-ФЗ:
- если субъект данных потребовал уничтожить их, компания обязана сделать это в течение семи рабочих дней с момента поступления соответствующего заявления (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ);
- если были выявлены нарушения в использовании информации, срок уничтожения персональных данных - 10 рабочих дней с момента обнаружения (ч. 3 ст. 21 закона № 152-ФЗ);
- когда Оператор ПДн достигает цели обработки данных, потребности в такой информации больше не возникает. В этом случае уничтожить данные нужно в течение 30 дней с даты, когда цель использования данных была достигута (ч. 4 ст. 21 закона № 152-ФЗ).
- если владелец данных отказался от дальнейшей обработки и отозвал согласие, комиссия ликвидирует информацию о нем в течение 30 дней с даты отзыва согласия, если для целей обработки сохранять данные больше не нужно (ч. 5 ст. 21 Закона о персональных данных).
После проведения мероприятий по уничтожению персональных данных комиссией составляется соответствующий Акт.
Контроль за деятельностью данной комиссии осуществляет Комиссия по обработке и защите ПДн.
5. Лицом, ответственным за обеспечение безопасности ПДн в ИСПДн является программист. Данное лицо имеет документ о прохождении курсов по профессиональной переподготовке или повышению квалификации в области обеспечения защиты ПДн при обработке в ИСПДн.
В его функциональные обязанности по защите ПДн входит:
- разработка необходимой документации в области защиты ПДн при обработке в ИСПДн (организационно-распорядительная документация, технические паспорта ИСПДн, Модели угроз безопасности персональных данных на каждую ИСПДн, журналы учета и иная документация);
- информационная безопасность информационно-коммуникационной системы ОГБПОУ СПТ;
- принятие необходимых мер по защите ПДн при обработке в ИСПДн;
- установка и настройка СЗИ и антивирусной защиты;
- администрирование ИСПДн на предмет безопасности;
- устранение угроз безопасности ПДн в ИСПДн;
- проведение мониторинга использования ИСПДн;
- резервное копирование баз данных ИСПДн;
- устранение программных и системных неисправностей в ИСПДн;
- анализ использования ИСПДн пользователей;
- проведение инструктажа пользователей ИСПДн.
Программист также является ответственным пользователем СКЗИ.
В функциональные обязанности ответственного пользователя СКЗИ входят:
- профилактическая деятельность по соблюдению требований руководящих документов, технической, эксплуатационной документации с сотрудниками ОГБПОУ СПТ, назначенными пользователями СКЗИ;
- проведение служебных расследований по фактам нарушения требований по обращению с СКЗИ;
- принятие мер к предотвращению разглашения и утечки информации ограниченного доступа при эксплуатации и хранении специальных технических средств, предназначенных для передачи, приема и обработки конфиденциальной информации, а также при использовании незащищенных каналов связи.
- участие в разработке методических и нормативных материалов и оказании необходимой методической помощи в проведении работ по защите информации при обращении с СКЗИ.
Ответственный за обеспечение безопасности ПДн в ИСПДн имеет непосредственное взаимодействие со следующими лицами:
- лицо, ответственное за автоматизированную обработку ПДн сотрудников в ИСПДн «1С. Предприятие», «СБиС++Электронная отчетность»;
- лица, осуществляющие автоматизированную обработку ПДн в ИСПДн «1С. Предприятие», «СБиС++Электронная отчетность»;
- взаимодействие с пользователями СКЗИ;
- членами комиссии по определению уровня защищенности ПДн при обработке в ИСПДн (является председателем данной комиссии).
3. Организационное и техническое обеспечение безопасности обработки и хранения персональных данных
1. Комплекс организационных мер:
- поддержание локально-нормативной документации в сфере обработки и защиты персональных данных (ПДн);
- проведение внутреннего аудита по обработке и защите персональных данных в ОГБПОУ СПТ председателем и членами Комиссии по обработке и защите персональных данных, согласно Плану проведения внутренних проверок;
- классификация информационных систем персональных данных (ИСПДн), согласно 5 пункту Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- разработка Моделей угроз безопасности ПДн при обработке в ИСПДн;
- ограничение доступа третьих лиц в помещения, которые предназначены для обработки и хранения ПДн сотрудников и участников образовательного процесса (обучающихся, родителей (законных представителей) обучающихся);
- опечатывание помещений с ограниченным доступом после рабочего дня;
- закрытие и опечатывание сейфов и шкафов, в которых хранятся носители с ПДн и ключи электронно-цифровых подписей;
- разъяснение субъекту ПДн целей и намерений в необходимости обработки ПДн в соответствии с нормативными Актами: Конституция РФ, Трудовой Кодекс РФ, ФЗ «Об образовании в РФ», ФЗ «О персональных данных»;
- обработка ПДн субъекта ПДн при его письменном согласии;
- передача персональных данных третьим лицам при получении письменного согласия на обработку ПДн субъектом ПДн;
- длительное хранение ПДн в строго определенных помещениях с ограниченным доступом;
- уничтожение ПДн Комиссией по уничтожению персональных данных по истечению целей их обработки с составлением Акта об уничтожении.
2. Комплекс технических мер по обеспечению безопасности обработки ПДн в ИСПДн:
- организация Межсетевого экрана, сертифицированного ФСТЭК России;
- организация антивирусной защиты, сертифицированной ФСТЭК России;
- использование средств защиты информации в ИСПДн, сертифицированных ФСТЭК России;
- организация дополнительных программных средств для шифрования электронных документов, содержащих ПДн;
- организация парольной защиты автоматизированных рабочих мест (АРМ) с автоматической блокировкой экрана, в которых организованы базы данных ИСПДн, либо доступ к ним;
- организация парольной защиты доступа в ИСПДн;
- организация парольной защиты в АРМ, в которых установлены средства криптографической защиты информации (СКЗИ);
- организация периодического резервного копирования баз данных ИСПДн.
3. Задачи по обеспечению безопасности обработки информации, в том числе ПДн в ИСПДн:
- Поддержание актуальности оборудования с учетом современных требований к его ресурсам;
- Использование лицензионного программного обеспечения для обеспечения стабильности его работы;
- Периодическое проведение регламентных работ по оптимизации функционирования сервера и рабочих станций;
- Создание защитных процедур и защищенной среды, предотвращающей попытки вторжения злоумышленников и снижающей потенциальный риск или потери;
- Отслеживание действий, выполняемых в Интернете, для немедленного выявления изменений в событиях, связанных с безопасностью;
- Периодическое проведение антивирусной проверки файловых систем сервера и рабочих станций;
- Выполнение мероприятий по контролю или пресечению вредоносных действий при обнаружении атаки или вторжения;
- Регулярный инструктаж пользователей инфокоммуникационной системы (ИКС) по технике безопасности при работе с персональным компьютером;
- Регулярный инструктаж пользователей ИКС по использованию ее ресурсов;
- Регулярный инструктаж пользователей ИКС безопасности обработки информации, в том числе персональных данных в ИСПДн;
- Регулярная проверка использования СКЗИ пользователями;
- Регулярный инструктаж пользователей СКЗИ.
4. ПОЛЕЗНАЯ ИНФОРМАЦИЯ
Памятки для обучающихся и их родителей:
1. ПАМЯТКА ДЛЯ ОБУЧАЮЩИХСЯ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ;
2. ИНФОРМАЦИОННАЯ ПАМЯТКА ДЛЯ ОБУЧАЮЩИХСЯ ПРИ ПОСЕЩЕНИИ ИНТЕРНЕТ-РЕСУРСОВ;
3. ПАМЯТКА ДЛЯ РОДИТЕЛЕЙ ОБ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЕТЕЙ