Transcript zashchita_pdn_v_ispdn_sfery_obrazovaniya_krasnodar_2013

Защита ПДн в ИСПДн сферы образования
или
5 шагов к счастью
Александр Фрадков
ЗАО «ИРТех», Самара,
Первый заместитель генерального директора
[email protected],
www.ir-tech.ru
На примере защиты ПДн в автоматизированных
информационных системах ЗАО «ИРТех»
•NetSchool (Сетевая школа)
•Сетевой город. Образование
•Сетевой регион. Образование
Единое информационное образовательное пространство
ОО, города, региона
«NetSchool (Сетевая школа)»
«Сетевой город. Образование»
«Сетевой регион. Образование»
Преподаватели
Учащиеся
Родители
Расписание
АИС «NetSchool»
Администрация
ОО
Интернет, интранет
Образовательная
организация (ОО)
Электронный
журнал, дневник
Тематическое
планирование
Учебные курсы
База данных
Отчеты ОО
Нормативная
док-ция
Корпоративная
почта, чат
Движение учащихся – в рамках одной ОО
Единое информационное образовательное пространство
ОО, города, региона
«Сетевой город. Образование»
Администрация
ОО
Преподаватели
Учащиеся
Родители
Образовательная организация 2
Образовательная организация N
Портал госуслуг, СМЭВ
Интернет
Образовательная
организация 1
Управление образования
«Сетевой регион. Образование»
АИС «Сетевой город. Образование»
«NetSchool (Сетевая школа)»
Электронный
журнал, дневник
Расписание
Тематическое
планирование
Учебные курсы
База данных
Отчеты ОО
Нормативная
док-ция
Корпоративная
почта, чат
Отчеты УО
Движение учащихся – в рамках всех ОО города
Единое информационное образовательное пространство
ОО, города, региона
«Сетевой город. Образование»
Администрация
ОО
Преподаватели
Учащиеся
Родители
Управление обр-я
Сетевой город. Образование 2
Сетевой город. Образование N
Портал госуслуг, СМЭВ
Интернет
Сетевой город.Образование1
Министерство образования региона
«Сетевой регион. Образование»
АИС «Сетевой регион. Образование»
«NetSchool (Сетевая школа)»
Электронный
журнал, дневник
Расписание
Тематическое
планирование
Учебные курсы
База данных
Отчеты ОО
Нормативная
док-ция
Корпоративная
почта, чат
Отчеты УО
Отчеты Мин обр
Движение учащихся – в рамках всех ОО региона
ФЗ 152
Статья 3. Основные понятия, используемые в настоящем
Федеральном законе
1) персональные данные –
любая информация, относящаяся к прямо или косвенно определенному
или определяемому физическому лицу (субъекту персональных данных);
2) оператор –
государственный орган, муниципальный орган, юридическое или
физическое лицо, самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие обработку персональных
данных, а также определяющие цели обработки персональных данных,
состав персональных данных, подлежащих обработке,
действия (операции), совершаемые с персональными данными;
10) информационная система персональных данных –
совокупность содержащихся в базах данных персональных данных
и обеспечивающих их обработку информационных технологий и
технических средств
ФЗ 152
Статья 5. Принципы обработки персональных данных
15. В случае, если оператор поручает обработку персональных данных
другому лицу, ответственность перед субъектом персональных данных
за действия указанного лица несет оператор. Лицо, осуществляющее
обработку персональных данных по поручению оператора, несет
ответственность перед оператором
Пример: размещение системы на собственных серверах, на сторонних
серверах (на примере NetSchool, СГО)
Пример: использование платных и условно бесплатных сервисов типа
«Электронный дневник»
ФЗ 152
Статья 6. Условия обработки персональных данных
1.Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта
персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей,
предусмотренных международным договором Российской Федерации,
или законом, для осуществления и выполнения возложенных
законодательством Российской Федерации на оператора функций,
полномочий и обязанностей;
3)……
4) …..
Пример.
В АИС «NetSchool», «СГО» цель обработки ПДн – исполнение
федеральных законов.
Цель обработки персональных данных: обеспечение получения учениками
образования в соответствии с реализуемыми образовательными программами
начального общего, основного общего и среднего (полного) общего
образования, организация образовательного процесса, информационное
обеспечение проведения единого государственного экзамена, исполнение
обязанностей, вытекающих из требований ФЗ «Об образовании», обеспечение
возможности для исполнения обязанностей, предусмотренных Семейным
кодексом РФ, Гражданским кодексом РФ и ФЗ «Об опеке и попечительстве», по
защите прав и интересов детей, по обеспечению получения детьми основного
общего образования и созданию условий для получения ими среднего
(полного) общего образования.
Пример: использование платных и условно бесплатных сервисов типа
«Электронный дневник»
Одна из известных компаний.
Цель обработки персональных данных: ведение электронного
журнала и регистрация сопутствующих сведений об успеваемости
обучающихся,
необходимые для реализации информационносправочного обеспечения пользователей.
ФЗ 152
Статья 18.1. Меры, направленные на обеспечение выполнения оператором
обязанностей, предусмотренных настоящим Федеральным законом
Оператор обязан принимать меры, необходимые и достаточные для обеспечения
выполнения обязанностей, предусмотренных настоящим Федеральным законом
и принятыми в соответствии с ним нормативными правовыми актами. Оператор
самостоятельно определяет состав и перечень мер, необходимых и достаточных
для обеспечения выполнения обязанностей, предусмотренных настоящим
Федеральным законом и принятыми в соответствии с ним нормативными
правовыми актами, если иное не предусмотрено настоящим Федеральным
законом или другими федеральными законами. К таким мерам могут, в
частности, относиться: (внимательно изучите эти меры)
Для защиты ПДн в ИСПДн применяются
организационные и технические меры
Защита информации: что делать?
Шаг 1.
1. Определить границы контролируемой зоны. То есть, границы ИСПДн.
Пример: границы NetSchool, СГО
2. Определить список обрабатываемых ПДн, их объем (количество).
Пример: родитель, учитель, сотрудник органа управления образованием и
др.
В результате – ясное понимание того, какую конкретно информацию и в
какой конкретно ИСПДн вы защищаете.
Защита информации: что делать?
Шаг 2.
Организационные меры защиты
Разработать и ввести в действие организационно-распорядительную
документацию (инструкции, локальные акты, приказы и др.).
Пример: «Политика безопасности» для СГО
Защита информации: что делать?
Шаг 3.
Технические средства защиты
Пример: технические средства защиты ПДн для NetSchool, СГО.
Технические средства защиты – только на сервере.
Средства защиты сервера.
Это у вас все равно уже есть, только не сертифицированное ФСТЭК:
•
файервол (нужно сертифицированный ФСТЭК);
•
антивирус (нужно сертифицированный ФСТЭК);
•
шифрование каналов (HTTPS);
•
средство обнаружения вторжений (по возможности).
Средства защиты ИСПДн.
Защита от несанкционированного доступа в ИСПДн.
•
сертифицированный ФСТЭК по К1 модуль защиты от НСД «IRTech
Security» (разработка ЗАО «ИРТех», интегрирован в системы NetSchool,
СГО).
Защита ПДн на компьютерах пользователей – только организационными
мерами.
Сертификат ФСТЭК: о чем это?
ФЗ 152
Статья 19. Меры по обеспечению безопасности персональных данных
при их обработке
2. Обеспечение безопасности персональных данных достигается, в
частности:
3) применением прошедших в установленном порядке процедуру оценки
соответствия средств защиты информации;
__________________________________________________
(Единственная официальная «процедура оценки» - сертификация во ФСТЭК.
Система защиты информации от НСД в NetSchool и СГО имеет сертификат
ФСТЭК).
Сертификат ФСТЭК: о чем это?
Внимательно читайте сертификат ФСТЭК на ту систему, которая его
имеет, и которую вы собираетесь приобретать!!! Там написано много
интересного
Пример.
В сертификате ФСТЭК на средство защиты от несанкционированного
доступа «IRTech Security» (для NetSchool, СГО) написано:
1. Соответствует требованиям руководящих документов
•«Защита от несанкционированного доступа к информации.
Программное обеспечение средств защиты информации. Часть 1.
Классификация по уровню контроля отсутствия недекларированных
возможностей» (Гостехкомиссия России, 1999) – по четвертому уровню
контроля.
•«Средства вычислительной техники. Защита от несанкционированного
доступа к информации. Показатели защищенности от
несанкционированного доступа к информации» (Гостехкомиссия России,
1992) – по пятому классу защищенности.
2. Может использоваться для защиты информации в информационных
системах обработки персональных данных до 1 класса включительно.
3. Производство изделия соответствует требованиям по обеспечению
качества выпускаемой продукции и неизменности сертифицированных
параметров.
Защита информации: что делать?
Шаг 4.
Установить технические средства защиты, разработать организационные
меры защиты и ввести все это в эксплуатацию (оформить актами,
приказами и т.п.).
Защита информации: что делать?
Шаг 5.
Наличие администратора информационной безопасности, или структурного
подразделения по ИБ.
Основная его роль – разговоры с проверяющими и иными «безопасниками»
(шутка, а может и не шутка).
Желательно его обучение на специализированных курсах.
Выводы.
Ответственность перед субъектом ПДн несет оператор, то есть школа,
садик.
Может ли сама школа, садик сделать все работы по защите ПДн? Нет.
Однако, практически во всех школах – однотипные процессы обработки
ПДн, следовательно им нужны и одинаковые системы защиты ПДн.
Вывод – это работа для спец-тов органов управления образования, кот.
вместе с «безопасниками» сделают типовую систему защиты ПДн и
передадут ее в школы.
Поручать эту работу только профессиональным «безопасникам», не
специалистам в сфере образования – крайне неосмотрительно. Как
правило, вам насчитают и за работу, и за технические средства защиты
оооочень серьезную сумму. (Пришли к хирургу лечить насморк, а он
вам голову то и отрезал. Насморк прошел при этом? Конечно!)
Спасибо за внимание
Александр Фрадков
ЗАО «ИРТех», Самара
[email protected],
www.ir-tech.ru