УМС ИМО УО ИК МО "Город Казань" по Советскому району

СИМВОЛЫ-2024

Меню сайта

Разделы новостей

Срочные объявления!!! [220]

Для ознакомления [836]

План работы [123]

Информатизация [47]

Информация от РОО [39]

Информация УДО [81]

Информация ДОУ [64]

Президентские состязания [1]

Информация ГИБДД [84]

Тьюторское сопровождение [14]

Информационная безопасность

Во исполнение приказа Министерства образования и науки Республики Татарстан № 3774/9 от 27.05.2009г. "О мероприятиях по обеспечению информационной безопасности информационных систем персональных данных в образовательных учреждениях Республики Татарстани" и Федерального Приказа № 55/86/20 от 13.02.2008г. "Об утверждении порядка классификации информационных систем персональных данных", в срок до 16 июня 2009 года, каждое учреждение образования района обязано выполнить комплекс работ по оформлению документации по ОРГАНИЗАЦИИ работы по информационной безопасности. Каждому учреждению был был выслан 29 мая 2009г. в 16:15 пакет документации, содержащий Приказ МОиН РТ и комплект необходимой сопроводительной и методической документации и инструкции (см. приложенный к письму файл "Письмо руководителю.doc").

До 16 июня 2009 года необходимо выполнить следующее:
1. Издать приказ по учреждению "О назначении ответственного за информационную безопасность"
2. Издать приказ по учреждению "О создании комиссии для классификации ИСПД"
3. Издать АКТ по учреждению "Акт классификации ИСПД" (см. пример в приложении № 3 после приказа)
4. Заполнить "Перечень информационных систем персональных данных (ИСПДн), в которых должна быть обеспечена безопасность информации" (форма и образец для заполнения - см. Приложение №2).
5. До 16 июня 2009 года заполнить форму отчёта (приложение №4) и прислать её на адрес ИМЦ Советского района email@sovedu.ru
Форма отчёта в отдельном приложенном файле ("Приложение 4.doc").
6. Обратите внимание !!! Кроме п.1-5, до 16 июня 2009г. - каждому учреждению необходимо обязательно заполнить специальные формы отчёта на сайте ИМЦ Советского района на странице http://www.sovedu.ru/index/0-28 Заполнение форм на сайте является ПРИОРИТЕТНОЙ задачей !!!

Скачать...

Приложения.

1. Совместный приказ Министерства образования и науки Республики Татарстан и ГУ «Центр информационных технологий Республики Татарстан» №1156/09/29-о от 18.05.2009 в 1 экз. на 3 л.
2. Приказ № 55/86/20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных» в 1 экз. на 8 л.
3. Пример приказа о создании комиссии и акта классификации в 1 экз. на 3 л.
4. Форма «Сведения об информационных системах персональных данных» в 1 экз. на 1 л.

Формы № 1 и № 2 необходимо заполнить до 16 июня 2009года.

А до 16 июня осталось всего:

Убедительная просьба с особой внимательностью отнестись к заполнению !!!

1. Форма для заполнения № 1 (Приложение №4)

Примечания для Формы № 1:

а) Объяснение и примеры для каждого пункта приведены непосредственно в окошке для заполенения соответствующей графы. Внимание!!! Перед заполнением своих данных не забудьте стереть пример и описание.

б) «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» утверждено Постановлением Правительства РФ от 17 ноября 2007 г. №781 и Федеральным приказом № 55/86/20 от 13 февраля 2008г. "Об утверждении порядка классификации информационных систем персональных данных"

в) * - обязательные для заполнения поля

Наименование учреждения *:
E-MAIL адрес учреждения *:
Фамилия И.О. директора школы *:
1. Наименование Информационных Систем Персональных Данных (далее - ИСПД), разработчик системы *:	Например: «1С Управление школой», фирма 1С; RCMConsole, Федеральный центр тестирования; NetSchool, ООО "..." (г.Самара); MS Office, Microsoft; Барс-Бюджет; Ак-Барс Мед; ПКФ, Пенсионный фонд; Lotus Notes, IBM; и т.д. ВНИМАНИЕ!!! ИЗМЕНЕНИЕ !!! Форму № 1 заполнять ПО КАЖДОЙ ИСПД (программе) ОТДЕЛЬНО!!!! т.е. вы отправляете столько форм №1, сколько ИСПД есть в школе!!!
2. Класс ИСПДн *:
3. Цели и статус ИСПДн *:	Указать для чего и на основании чего созданы (в соответствии с законодательством (для кадрового, пенсионного. страхового учета), для исполнения договора со страховой компанией либо пенсионным фондом, сбор списков по собственной инициативе и т.д.) Пример: Lotus - ведение кадрового и бухгалтерского учета сотрудников, создана в соответствии с законодательством, RCMConsole - сбор базы данных учеников, сдающих ЕГЭ,создана в соответствии с законодательством
4. Объем и состав ИСПДн *:	Указать количество субъектов персональных данных, обрабатываемых в системе, и содержание информации (Ф.И.О., адрес, ИНН, национальность, пр.)
5. Источники ИСПДн *:	Указать источники получения персональных данных (от учащегося, от родителей, от других образовательных учреждений, от третьих лиц, от МВД и КДН, от центра занятости, от служб опеки и попечительства и т.д.)
6. Режим обработки и доступ к ИСПДн:	Указать режим обработки (однопользовательский, многопользовательский), порядок доступа (с разграничением или без) и наименование документа регламентирующего доступ если таковой имеется. Пример: многопользовательский,без разграничения доступа, регламент отсутствует.(почти в каждой школе)
7. Пользователи ИСПДн. *:	Пример: внутренние пользователи (отделы, структурные подразделения). Внешние пользователи (наименование организаций: РОО, ИМЦ, МОиН РТ, АкБарс-Мед, Пенсионный фонд РТ, Служба занятости, МВД (в случаях, установленных законом), УФНС по РТ).
8. Способы передачи информации пользователям *:	Пример: На бумажных носителях, на магнитных носителях информации(дискеты), на оптических носителях информации(CD-диски), на устройствах с flash-памятью(флешки, SD,MMC-карты),по защищенным каналам связи, через Интернет без защищеного канала(e-mail), заполнение форм на сайте(БАРС-мониторинг), пр.
9. Оператор или лицо, которому поручена обработка Персональных Данных (далее - ПД) *:	Указать полное наименование (по уставу) и почтовый адрес организации, документы, на основании которых функционирует учреждение. Пример: Средняя общеобразовательная школа № 15 Советского района г.Казани Постановлние либо приказ о создании № Устав Средней общеобразовательной школы № 15
10. Дата начала обработки ПДн (дата открытия школы) *:	Полная дата открытия школы
11. Сроки хранения *:	Установить сроки хранения данных для каждой из ИСПД, если продолжительность не установлена законодательством. !!! Пример: Кадровая документация - 25 лет, списки учащихся - до выбытия из школы
12. Сроки или условия прекращения обработки *:	Установить сроки обработки данных для каждой из ИСПД, если продолжительность не установлена законодательством !!! Пример: Кадровая документация - 25 лет, списки учащихся - до выбытия из школы. В случае окончания школы, увольнения, смерти.
13. Сведения о включении ИСПД в государственный реестр баз данных *:	Чаще всего - НЕТ, но если Вы самостоятельно заполняли уведомление о сборе персональных данных (например, полученное из РОО 2 недели назад), и в школу пришло официальное уведомление о включении в реестр - указать № и дату включения

2. Форма для заполнения № 2

Примечания для Формы № 2:

а) Подробное объяснение для каждого из пунктов формы (1-8) приведены ниже в документе "Порядок проведения классификации информационных систем персональных данных". Т.е. ссылка в скобках указывает на пункт документа. Пример: в вопросе 4. формы №2 ссыка (пункт 9) указывает на Пункт 9 документа, приведенного ниже формы №2.

б) * - обязательные для заполнения поля.

Наменование учреждения *:
E-MAIL адрес учреждения *:
Фамилия И.О. директора школы *:
Приказ по учреждению {О назначении ответственного} - № и Дата *:
Фамилия И.О. ответственного за информационную безопасность ПО ПРИКАЗУ *:
1. Высшая категория обрабатываемых в ИСПД данных - Xпд (пункт 6) *:
2. Наибольший объем обрабатываемых персональных данных- Xндп (пункт 7) *:
3. Информационной системе в целом присваивается класс (пункты 14 и 15) *:
4. Структура ИСПДн (пункт 9) *:
5. Наличие подключений к Интернет (пункт 10) *:
6. Режим обработки персональных данных в учреждении (пункт 11) *:
7. Разграничение доступа пользователей к обработке данных (пункт 12) *:
8. Нахождение ИСПДн в РФ/ за пределами РФ (пункт 13) *:
Фамилия И.О. исполнителя *:
Телефон исполнителя (раб./моб.) *:

Порядок
проведения классификации информационных систем персональных данных

Зарегистрирован в Минюсте России 3 апреля 2008 г. № 11462

УТВЕРЖДЕН приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20

Пункт 1. Настоящий Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы)

Пункт 2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор)

Пункт 3. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

Пункт 4. Проведение классификации информационных систем включает в себя следующие этапы:
сбор и анализ исходных данных по информационной системе; присвоение информационной системе соответствующего класса и его документальное оформление.

Пункт 5. При проведении классификации информационной системы учитываются
следующие исходные данные:
категория обрабатываемых в информационной системе персональных данных - ХПд;
объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - ХНпд;
заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
структура информационной системы;
наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена; режим обработки персональных данных;
режим разграничения прав доступа пользователей информационной системы;
местонахождение технических средств информационной системы.

Пункт 6. Определяются следующие категории обрабатываемых в
информационной системе персональных данных (ХПд):
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.

Пункт 7. Хнпд может принимать следующие значения:
значение 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
значение 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
значение 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Пункт 8. По заданным оператором характеристикам безопасности персональных
данных, обрабатываемых в информационной системе, информационные системы
подразделяются на типовые и специальные информационные системы.
- Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
- Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
- К специальным информационным системам должны быть отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Пункт 9. По структуре информационные системы подразделяются:
на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

Пункт 10. По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.

Пункт 11. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.

Пункт 12. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.

Пункт 13. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

Пункт 14. По результатам анализа исходных данных типовой информационной
системе присваивается один из следующих классов:
класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (КЗ) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Пункт 15. Класс типовой информационной системы определяется в соответствии с таблицей.

Хпд	Хнпд
		значение 3	значение 2	значение 1
	Категория 1	К4	К4	К4
	Категория 2	К3	К3	К2
	Категория 3	К3	К2	К1
	Категория 4	К1	К1	К1

Пункт 16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Пункт 17. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем

Пункт 18. Результаты классификации информационных систем оформляются соответствующим актом оператора.

Пункт 19. Класс информационной системы может быть пересмотрен:
- по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
- по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

Copyright © 2006—2024 УМС ИМО УО ИКМО "Город Казань" в Советском районе г.Казани. При полном или частичном использовании материалов сайта ссылка на sovedu.ru обязательна. Почтовый адрес: 420073, Республика Татарстан, г.Казань, ул. Шуртыгина, д.1

Календарь новостей

Форма входа

ССЫЛКИ

Статистика