1. НОРМАТИВНО-ПРАВОВАЯ ДОКУМЕНТАЦИЯ

Ссылки на Федеральное законодательство в сфере защиты информации и персональных данных:

1. Федеральный закон "Об информации, информационных технологиях и о защите информации от 27.07.2006 г. №149-ФЗ

2. Федеральный закон "О персональных данных" от 27.07.2006 г. №152-ФЗ

Ссылка на информацию об организации, находящуюся в реестре операторов персональных данных:

1. Данные об организации в реестре операторов персональных данных  Роскомнадзора

Ссылки на локально-нормативную документацию:

1. Концепция информационной безопасности ИСПДн в ОГБПОУ СПТ

2. Политика обработки персональных данных в ОГБПОУ СПТ

3. Положение о комиссии по обработке и защите персональных данных

4. Положение о работе с персональными данными в ОГБПОУ СПТ

5. Положение об обработке персональных данных в ОГБПОУ СПТ

6. Положение по организации и проведению работ по обеспечению безопасности ПДн при обработке в ИСПДн

7. Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных

8. План мероприятий по защите персональных данных на 2019 год

9. План по организации безопасной работы в сети Интернет

Формы согласия на обработку персональных данных для обучающихся, родителей (законных представителей) обучающихся:

1. Согласие на обработку персональных данных родителей (законных представителей) обучающихся

2. Согласие на обработку персональных данных обучающихся

 

2. Функциональная организационная структура управления режимом обработки и защиты персональных данных

в Областном государственном бюджетном профессиональном образовательном учреждении

«Сенгилеевский педагогический техникум»

И ЕЕ ОПИСАНИЕ

Описание функциональной организационной структуры управления режимом обработки и защиты ПДн в ОГБПОУ СПТ:

Структура имеет линейно-функциональный принцип взаимодействия.

  1. Лицом, осуществляющим контроль режима обработки и защиты персональных данных является директор ОГБПОУ СПТ. В его обязанности входит проведение контроля за исполнением Федеральных и локально-нормативных актов (положения, регламенты и инструкции, планы) по обработке и защите ПДн, утверждение организационно-распорядительной и иной документации, а также разработка необходимых мер для исполнения задач по эффективности режима обработки и защиты ПДн.

 

  1. Ведущим органом управления режимом обработки и защиты ПДн в ОГБПОУ СПТ является Комиссия по обработке и защите ПДн, назначаемая Приказом директора и действует бессрочно.

В данную комиссию входят:

- председатель – заместитель директора по учебной работе;

- члены комиссии – программист, специалист по кадрам и секретарь учебной части.

Функциональными обязанностями комиссии являются:

- контроль за режимом обработки и защиты персональных данных работников, обучающихся, родителей (законных представителей) обучающихся;

- контроль за ограничением доступа иных лиц к носителям персональных данных и в ИСПДн;

- разработка и согласование организационно-распорядительной документации (положения, регламенты и инструкции, планы) по обработке и защите ПДн;

- разработка мероприятий по защите персональных данных при автоматизированной и неавтоматизированной обработке;

- проведение внутреннего аудита режима обработки и защиты персональных данных;

- проведение внутреннего аудита процессов обработки информации в ИСПДн;

- проведение аудита нововведенных ИСПДн;

- проведение инструктажа работников, осуществляющих неавтоматизированную и автоматизированную обработку ПДн;

- проведение инструктажа пользователей СКЗИ;

- контроль использования СКЗИ пользователями, допущенными к работе с ними.

После проведения мероприятий по аудиту режима обработки и защиты ПДн комиссией оформляется отчет о проверке на определенную тематику, согласно утвержденному Плану проверок режима обработки и защиты ПДн.

Данная комиссия взаимодействует с программистом, который является лицом, ответственным за обеспечение безопасности ПДн в ИСПДн. Комиссия устанавливает срок проведения классификации ИСПДн, также согласовывает разработанные программистом Модели угроз безопасности персональных данных при обработке в ИСПДн.

Комиссия осуществляет контроль за лицами, ответственными за автоматизированную и неавтоматизированную обработку ПДн, а также лицами, осуществляющими данную обработку.

Комиссия также осуществляет контроль над использованием СКЗИ.

Комиссия также включена в схему общей организационной структуры ОГБПОУ СПТ. Контроль за деятельностью комиссии осуществляет директор ОГБПОУ СПТ.

 

3. Органом, определяющим защищенность информационно-коммуникационной системы ОГБПОУ СПТ, а также уровень защищенности ПДн при обработке в ИСПДн является Комиссия по определению уровня защищенности ПДн при обработке в ИСПДн.

Комиссия назначается Приказом директора и действует бессрочно.

В состав комиссии входят:

            - председатель комиссии – программист, ответственный за обеспечение безопасности ПДн в ИСПДн;

- члены комиссии – главный бухгалтер, ведущий бухгалтер и методист.

            Данная комиссия проводит классификацию ИСПДн в соответствии с Постановлением Правительства РФ от 01 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:

            - тип информационной системы;

            - актуальные угрозы ИСПДн;

            - объем обрабатываемых данных;

            - определение уровня защищенности ПДн при обработке в ИСПДн.

            Данная комиссия проводит классификацию ИСПДн при:

            - вводе новой ИСПДн в управленческую и/или образовательную деятельность;

            - при изменении типа существующей ИСПДн, появления новых актуальных угроз, объема обрабатываемых данных.

            После проведения анализа защищенности ПДн при обработке в ИСПДн комиссией составляется Акт классификации и утверждается директором.

             Контроль за деятельностью данной комиссии осуществляет Комиссия по обработке и защите ПДн.

 

4. Органом, осуществляющим уничтожение персональных данных на бумажных и машинных носителях информации является Комиссия по уничтожению персональных данных.

Комиссия назначается Приказом директора и действует бессрочно.

В состав комиссии входят:

- председатель комиссии - заведующая архивом

Члены комиссии - специалист по кадрам, ведущий бухгалтер, секретарь учебной части.

Уничтожение персональных данных производится согласно Федеральному закону №152-ФЗ:

- если субъект данных потребовал уничтожить их, компания обязана сделать это в течение семи рабочих дней с момента поступления соответствующего заявления (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ);

- если были выявлены нарушения в использовании информации, срок уничтожения персональных данных - 10 рабочих дней с момента обнаружения (ч. 3 ст. 21 закона № 152-ФЗ);

- когда Оператор ПДн достигает цели обработки данных, потребности в такой информации больше не возникает. В этом случае уничтожить данные нужно в течение 30 дней с даты, когда цель использования данных была достигута (ч. 4 ст. 21 закона № 152-ФЗ).

- если владелец данных отказался от дальнейшей обработки и отозвал согласие, комиссия ликвидирует информацию о нем в течение 30 дней с даты отзыва согласия, если для целей обработки сохранять данные больше не нужно (ч. 5 ст. 21 Закона о персональных данных).

После проведения мероприятий по уничтожению персональных данных комиссией составляется соответствующий Акт.

Контроль за деятельностью данной комиссии осуществляет Комиссия по обработке и защите ПДн.

 

5. Лицом, ответственным за обеспечение безопасности ПДн в ИСПДн является программист. Данное лицо имеет документ о прохождении курсов по профессиональной переподготовке или повышению квалификации в области обеспечения защиты ПДн при обработке в ИСПДн.

            В его функциональные обязанности по защите ПДн входит:

- разработка необходимой документации в области защиты ПДн при обработке в ИСПДн (организационно-распорядительная документация, технические паспорта ИСПДн, Модели угроз безопасности персональных данных на каждую ИСПДн, журналы учета и иная документация);

- информационная безопасность информационно-коммуникационной системы ОГБПОУ СПТ;

- принятие необходимых мер по защите ПДн при обработке в ИСПДн;

- установка и настройка СЗИ и антивирусной защиты;

- администрирование ИСПДн на предмет безопасности;

- устранение угроз безопасности ПДн в ИСПДн;

- проведение мониторинга использования ИСПДн;

- резервное копирование баз данных ИСПДн;

- устранение программных и системных неисправностей в ИСПДн;

- анализ использования ИСПДн пользователей;

- проведение инструктажа пользователей ИСПДн.

Программист также является ответственным пользователем СКЗИ.

            В функциональные обязанности ответственного пользователя СКЗИ входят:

- профилактическая деятельность по соблюдению требований руководящих документов, технической, эксплуатационной документации с сотрудниками ОГБПОУ СПТ, назначенными пользователями СКЗИ;

- проведение служебных расследований по фактам нарушения требований по обращению с СКЗИ;

- принятие мер к предотвращению разглашения и утечки информации ограниченного доступа при эксплуатации и хранении специальных технических средств, предназначенных для передачи, приема и обработки конфиденциальной информации, а также при использовании незащищенных каналов связи.

- участие в разработке методических и нормативных материалов и оказании необходимой методической помощи в проведении работ по защите информации при обращении с СКЗИ.

Ответственный за обеспечение безопасности ПДн в ИСПДн имеет непосредственное взаимодействие со следующими лицами:

- лицо, ответственное за автоматизированную обработку ПДн сотрудников в ИСПДн «1С. Предприятие», «СБиС++Электронная отчетность»;

- лица, осуществляющие автоматизированную обработку ПДн в ИСПДн «1С. Предприятие», «СБиС++Электронная отчетность»;

- взаимодействие с пользователями СКЗИ;

- членами комиссии по определению уровня защищенности ПДн при обработке в ИСПДн (является председателем данной комиссии).

 

3. Организационное и техническое обеспечение безопасности обработки и хранения персональных данных

1. Комплекс организационных мер:

- поддержание локально-нормативной документации в сфере обработки и защиты персональных данных (ПДн);

- проведение внутреннего аудита по обработке и защите персональных данных в ОГБПОУ СПТ председателем и членами Комиссии по обработке и защите персональных данных, согласно Плану проведения внутренних проверок;

- классификация информационных систем персональных данных (ИСПДн), согласно 5 пункту Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- разработка Моделей угроз безопасности ПДн при обработке в ИСПДн;

- ограничение доступа третьих лиц в помещения, которые предназначены для обработки и хранения ПДн сотрудников и участников образовательного процесса (обучающихся, родителей (законных представителей) обучающихся);

- опечатывание помещений с ограниченным доступом после рабочего дня;

- закрытие и опечатывание сейфов и шкафов, в которых хранятся носители с ПДн и ключи электронно-цифровых подписей;

- разъяснение субъекту ПДн целей и намерений в необходимости обработки ПДн в соответствии с нормативными Актами: Конституция РФ, Трудовой Кодекс РФ, ФЗ «Об образовании в РФ», ФЗ «О персональных данных»;

- обработка ПДн субъекта ПДн при его письменном согласии;

- передача персональных данных третьим лицам при получении письменного согласия на обработку ПДн субъектом ПДн;

- длительное хранение ПДн в строго определенных помещениях с ограниченным доступом;

- уничтожение ПДн Комиссией по уничтожению персональных данных по истечению целей их обработки с составлением Акта об уничтожении.

 

2. Комплекс технических мер по обеспечению безопасности обработки ПДн в ИСПДн:

 - организация Межсетевого экрана, сертифицированного ФСТЭК России;

- организация антивирусной защиты, сертифицированной ФСТЭК России;

- использование средств защиты информации в ИСПДн, сертифицированных ФСТЭК России;

- организация дополнительных программных средств для шифрования электронных документов, содержащих ПДн;

- организация парольной защиты автоматизированных рабочих мест (АРМ) с автоматической блокировкой экрана, в которых организованы базы данных ИСПДн, либо доступ к ним;

- организация парольной защиты доступа в ИСПДн;

- организация парольной защиты в АРМ, в которых установлены средства криптографической защиты информации (СКЗИ);

- организация периодического резервного копирования баз данных ИСПДн.

 

3. Задачи по обеспечению безопасности обработки информации, в том числе ПДн в ИСПДн:

  • Поддержание актуальности оборудования с учетом современных требований к его ресурсам;
  • Использование лицензионного программного обеспечения для обеспечения стабильности его работы;
  • Периодическое проведение регламентных работ по оптимизации функционирования сервера и рабочих станций;
  • Создание защитных процедур и защищенной среды, предотвращающей попытки вторжения злоумышленников и снижающей потенциальный риск или потери;
  • Отслеживание действий, выполняемых в Интернете, для немедленного выявления изменений в событиях, связанных с безопасностью;
  • Периодическое проведение антивирусной проверки файловых систем сервера и рабочих станций;
  • Выполнение мероприятий по контролю или пресечению вредоносных действий при обнаружении атаки или вторжения;
  • Регулярный инструктаж пользователей инфокоммуникационной системы (ИКС) по технике безопасности при работе с персональным компьютером;
  • Регулярный инструктаж пользователей ИКС по использованию ее ресурсов;
  • Регулярный инструктаж пользователей ИКС безопасности обработки информации, в том числе персональных данных в ИСПДн;
  • Регулярная проверка использования СКЗИ пользователями;
  • Регулярный инструктаж пользователей СКЗИ.

 

4. ПОЛЕЗНАЯ ИНФОРМАЦИЯ

Памятки для обучающихся и их родителей:

1. ПАМЯТКА ДЛЯ ОБУЧАЮЩИХСЯ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ;

2. ИНФОРМАЦИОННАЯ ПАМЯТКА ДЛЯ ОБУЧАЮЩИХСЯ ПРИ ПОСЕЩЕНИИ ИНТЕРНЕТ-РЕСУРСОВ;

3. ПАМЯТКА ДЛЯ РОДИТЕЛЕЙ ОБ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЕТЕЙ