Версия для слабовидящих
Размер: A A A Цвет: Изображения: вкл.   выкл.   ч/б обычная версия сайта
КГАУ КЦИОКО

краевое государственное автономное учреждение

камчатский центр информатизации и оценки качества образования

Аттестация образовательных учреждений

Что такое аттестация и для чего она нужна?

Аттестация образовательных организаций — это комплекс организационно-технических мероприятий по приведению информационной системы организации к требованиям Законодательства РФ в части информационной безопасности.

Законодательство в сфере ИБ
  • Федеральный закон Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных»;
  • Федеральный закон Российской Федерации от 27.07.2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон РФ «Об электронной подписи» от 06.04.2011 N 63-ФЗ;
  • Приказ ФСТЭК России от 11.02.2013 г. N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
  • Приказ ФСТЭК России от 18.02.2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  • Постановление Правительства РФ от 01.11.2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  • Указ Президента Российской Федерации от 17.03.2008 г. N 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
  • Указ Президента Российской Федерации от 06.03.1997 г. N 188 «Об утверждении Перечня сведений конфиденциального характера»;
  • Доктрина от 09.09.2000 г. N Пр-1895 «Информационной безопасности Российской Федерации»;
  • Положение от 25.11.1994 г. «По аттестации объектов информатизации по требованиям безопасности информации»;
  • Методический документ. Утвержден ФСТЭК России 11.02.2014 г. «Меры защиты информации в государственных информационных системах»;
  • "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Выписка) (утв. ФСТЭК РФ 15.02.2008);
  • "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 14.02.2008);
  • Приказ ФСБ России от 10.07.2014 г. N 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством российской федерации требований к защите персональных данных для каждого из уровней защищенности»
  • Приказ ФСБ от 09.02.2005 г. N 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21.02.2008 №149/6/6-622;
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30.08.2002 № 282;

Цель аттестации — проверка соответствия государственной информационной системы требованиям стандартов и других нормативных документов по защите информации, утвержденных ФСТЭК России.

В соответствии с Приказом ФСТЭК России от 11.02.2013 г. N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», организация, которая подключена к государственной информационной системе (ГИС), должна использовать аттестованную информационную систему, а для защиты информации в ней должны применяться только сертифицированные средства защиты, имеющие действующие сертификаты ФСТЭК и(или) ФСБ.

Если образовательная организация подключена к ГИС "Сетевой город" — аттестация проводится обязательно раз в 3 года. При изменении технических решений, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.

Как подать уведомление в Роскомнадзор?
Уведомление подается в виде online-анкеты на сайте Роскомнадзора. Данное уведомление информирует Роскомнадзор о том, что ваша организация обрабатывает (или намеревается осуществлять обработку) персональных данных в электронном виде. На основании этого Роскомнадзор включает организацию в реестр операторов ПДн. При переаттестации повторно подавать уведомление не требуется.
Как привести ГИС "Сетевой город" в соответствие?
Необходимо иметь и вести организационно-распорядительные документы:
  • Приказ о проведении мероприятий по защите персональных данных;
  • Политика обработки персональных данных;
  • Положение о персональных данных;
  • Типовая форма согласия на обработку персональных данных;
  • Типовая форма обязательства о неразглашении информации, содержащей персональные данные;
  • Перечень должностей сотрудников, допущенных к обработке персональных данных;
  • Перечень персональных данных;
  • План работ по обеспечению безопасности персональных данных на текущий год;
  • Список сотрудников, имеющих допуск в помещения, предназначенные для обработки ПДн;
  • Список лиц, допущенных к обработке персональных данных;
  • Матрица доступа пользователей к защищаемым информационным ресурсам;
  • Инструкция пользователя;
  • Инструкция администратора информационной безопасности;
  • Инструкция по антивирусной защите;
  • Инструкция по резервированию и восстановлению работоспособности технических средств и средств защиты информации;
  • Инструкция по порядку учета машинных и съемных носителей информации;
  • Инструкция лица, ответственного за организацию обработки персональных данных;
  • Инструкция по организации парольной защиты;
  • Инструкция по работе с СКЗИ;
  • Журнал учета мероприятий по защите персональных данных;
  • Журнал учета съемных носителей информации;
  • Журнал учета и выдачи носителей с ключевой информацией;
  • Журнал учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных (Типовая форма);
  • Журнал учета проведения инструктажа пользователя, допущенного к работе с СКЗИ;
  • Журнал учета и выдачи персональных идентификаторов (ПИ) (Типовая форма)
  • Акт уничтожения съемных носителей ПДн (типовая форма);

Соблюдение требований информационной безопасности

1 Подать уведомление в Роскомнадзор об обработке персональных данных.
2 Обеспечивать выполнение организационных требований по информационной безопасности в соответствии с законодательством РФ.
3 Проводить работы по технической защите информации.