Разъяснения по безопасности для муниципальных органов управления образованием и общеобразовательных организаций Московской области
25 августа 2015 г. была завершена аттестация ИСУОД. В соответствии с требованиями п.8 Приказа ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах персональных данных». Система аттестована в составе: серверная часть Системы и три типовых сегмента. Типовые сегменты это:
- общеобразовательная организация в Московской области;
- муниципальный орган управления образованием Московской области;
- Министерство образования Московской области.
Главная задача подготовки муниципальных органов управления образованием Московской области и общеобразовательных организаций в Московской области (далее – организации) к распространению действия аттестата на Систему – это приведение в соответствие требованиям законодательства по защите персональных данных (далее – ПДн) рабочих мест сотрудников. Рекомендуется начать с рабочего места администратора Системы в организации, так как сотрудник организации с этой ролью имеет максимально возможное количество прав и привилегий в Системе, а также доступ ко всем ПДн в Системе. Для корректной работы и обеспечения информационной безопасности в организации необходимо защитить все рабочие места сотрудников, или организационными методами ограничить возможность работы в Системе сотрудников только с защищенного рабочего места.
Для оптимизации работ по приведению системы безопасности в организации в соответствие требованиям законодательства в приложении к данному разъяснению приведены следующие документы:
- Требования к типовым сегментам Системы.
- Регламент подключения типовых сегментов к Системе.
- Пакет шаблонов организационно-распорядительных документов.
- Проект акта соответствия сегмента информационной системы «Единая информационная система учета и мониторинга образовательных достижений обучающихся общеобразовательных организаций Московской области» условиям распространения аттестата соответствия №1033.
Для обеспечения безопасности Системы и соответствия требованиям законодательства у руководителя организации есть два варианта действий:
- Организовать систему информационной безопасности в организации в соответствии с требованиями к типовым сегментам и получить акт распространения аттестата соответствия на сегмент ГИС ИСУОД, расположенный в организации (далее – Сегмент).
- Организовать систему информационной безопасности и провести аттестационные испытания собственной Муниципальной информационной системы (далее – МИС). Аттестовать необходимо рабочее место администратора Системы с учетом его информационного взаимодействия с серверной частью ГИС ИСУОД, размещенной в Центре обработке данных Правительства Московской области (далее – ЦОД). В целях обеспечения информационного взаимодействия МИС с серверной частью ГИС ИСУОД, проведение аттестационных испытаний предварительно необходимо согласовать с Министерством образования Московской области.
Подробно процедура организации этого процесса описана в документе «Разъяснения по ИБ».
В приложении к статье размещены следующие документы:
- Разъяснения по ИБ.
- Требования к типовым сегментам Системы.
- Регламент подключения типовых сегментов к Системе.
- Пакет шаблонов организационно-распорядительных документов.
- Форма акта соответствия сегмента информационной системы «Единая информационная система учета и мониторинга образовательных достижений обучающихся общеобразовательных организаций Московской области» условиям распространения аттестата соответствия №1033 на 2 л. в 1 экз.
- Примерный план работ по обеспечению соблюдения требований законодательства при обработке персональных данных в Единой информационной системе учета и мониторинга образовательных достижений обучающихся общеобразовательных организаций Московской области.
- Шаблон приказа о введении в действие плана работ (из п.6).
Образцы согласий на обработку персональных данных доступны по ссылке.