УТВЕРЖДАЮ
Директор МБОУ «Лицей № 46»
____________ Углицких Т.И.
"__" _____________2016 г.
Политика обработки персональных данных в государственной информационной системе Камчатского края "Сетевой город" (сегмент 100)
-
Общие положения
-
Настоящая Политика обработки персональных данных (далее – Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ "О персональных данных" и действует в отношении персональных данных (далее – ПДн), обрабатываемых в государственной информационной системе Камчатского края "Сетевой город" (сегмент 100) (далее - ГИС «Сетевой город») МБОУ «Лицей № 46» (далее - Учреждение).
-
Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Учреждение.
-
Политика распространяется на ПДн, полученные как до, так и после подписания настоящей Политики.
-
ПДн, обрабатываемые в ГИС «Сетевой город»
-
Учреждение обрабатывает в ГИС «Сетевой город» иные и общедоступные категории ПДн.
-
ПДн обрабатываемые в ГИС «Сетевой город» содержат сведения об учащихся, их родителях или законных представителях, граждан, подавших заявления на зачисление детей в Учреждение, сотрудниках Учреждения.
-
Цели сбора и обработки персональных данных
-
Учреждение осуществляет обработку ПДн с целью оказания в электронном виде услуг в сфере образования, сбора информации о системе образования Камчатского края в статистических и иных исследовательских целях, направленных на повышение качества образования.
-
Условия обработки персональных данных и их передачи третьим лицам
-
Учреждение вправе передать ПДн третьим лицам в случаях, предусмотренных законодательством Российской Федерации.
-
При обработке ПДн субъектов ПДн, Учреждение руководствуется Конституцией Российской Федерации, Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных», законодательством в сфере образования, настоящей Политикой и иной организационно-распорядительной документацией, утвержденной в Учреждении.
-
В Учреждении не производится обработка ПДн, несовместимая с целями их сбора, если иное не предусмотрено федеральным законом.
-
По окончании обработки ПДн, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Учреждением ПДн уничтожаются или обезличиваются.
-
При обработке ПДн обеспечивается их точность, достаточность, а при необходимости – актуальность по отношению к целям обработки. Учреждение принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.
-
Изменение персональных данных
-
Субъекты ПДн имеют право требовать внесение изменений и дополнений своих ПДн, обрабатываемых в Учреждении, обратившись к лицу, ответственному за организацию обработки ПДн, при этом они должны предоставить оригиналы подтверждающих документов, в соответствии с которыми вносятся изменения.
-
Доступ к обрабатываемым персональным данным
-
Доступ к обрабатываемым в Учреждении ПДн имеют лица, уполномоченные приказом Учреждения, а также лица, чьи ПДн подлежат обработке.
-
Доступ сотрудников Учреждения к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Учреждения.
-
Допущенные к обработке ПДн сотрудники под роспись знакомятся с документами Учреждения, устанавливающими порядок обработки ПДн.
-
Меры, применяемые для защиты персональных данных
-
Учреждение принимает необходимые, достаточные технические и организационные меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней со стороны третьих лиц.
-
Учреждение осуществляет внутренний контроль и аудит соответствия обработки ПДн Федеральному закону от 27.07.2006 г. № 152-ФЗ «О персональных данных», настоящей Политике, требованиям к защите ПДн.
-
Учреждением проводится ознакомление сотрудников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, настоящей Политикой и иными внутренними регулятивными документами по вопросам обработки ПДн, и обучение сотрудников по вопросам обработки и защиты ПДн.
-
Изменение Политики. Применимое законодательство
-
Учреждение имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте Учреждения, если иное не предусмотрено новой редакцией Политики.
-
Действующая редакция хранится в месте нахождения Учреждения по адресу: 683000, Камчатский край, г. Петропавловск-Камчатский, ул.Советская, 46.
-
К настоящей Политике и отношениям между субъектом ПДн и Учреждением подлежит применению право Российской Федерации.
-
Обратная связь
-
Лицо, ответственное за обработку ПДн – Колгина Н.В., заместитель директора по УВР .
-
Адрес электронной почты: liceum46-pkgo-41@yandex.ru.
-
Почтовый адрес: 683000, Камчатский край, г. Петропавловск-Камчатский, ул.Советская, 46.
-
Контактный телефон: 89140275100.
УТВЕРЖДАЮ
Директор МБОУ «Лицей № 46»
________ Углицких Т.И.
"__" _____________2016 г.
Положение о персональных данных, обрабатываемых в государственной информационной системе Камчатского края "Сетевой город" (сегмент 100)
-
Назначение и область действия документа
-
Настоящее Положение является основополагающим внутренним документом МБОУ «Лицей № 46» (далее - Учреждение), регулирующим вопросы и правила обработки персональных данных (далее - ПДн) в государственной информационной системе Камчатского края «Сетевой город» (сегмент 100), включающее в себя регламентацию следующих правил и процедур:
-
Правила и процедуры обработки персональных данных с использованием средств автоматизации.
-
Правила и процедуры обработки персональных данных без использования средств автоматизации.
-
Правила и процедуры обработки персональных данных с использованием средств криптографической защиты информации.
-
Правила и процедуры обработки персональных данных с использованием средств автоматизации
-
В Учреждении устанавливаются и соблюдаются следующие правила и процедуры обработки ПДн с использованием средств автоматизации:
-
Правила и процедуры идентификации и аутентификации
субъектов доступа к объектам доступа;
-
Правила и процедуры управления доступом
субъектов доступа к объектам доступа;
-
Правила и процедуры ограничения программной среды;
-
Правила и процедуры защиты машинных носителей информации;
-
Правила и процедуры регистрации событий безопасности;
-
Правила и процедуры антивирусной защиты;
-
Правила и процедуры анализа защищенности информационных систем;
-
Правила и процедуры обеспечения целостности;
-
Правила и процедуры защиты технических средств;
-
Правила и процедуры защиты информационной системы, ее средств, систем связи и передачи данных;
-
Правила и процедуры обеспечения целостности информации;
-
Правила и процедуры управления конфигурацией информационных систем;
-
В Учреждении разрабатываются следующие инструкции:
-
Инструкция администратора информационной безопасности;
-
Инструкция пользователя в части обеспечения безопасности информации;
-
Инструкция лица, ответственного за организацию обработки персональных данных.
-
Документы, указанные в п. 2.1-2.2 разрабатываются администратором информационной безопасности (далее – Администратор ИБ) и утверждаются директором Учреждения.
-
Все лица, допущенные к обработке ПДн с использованием средств автоматизации обязаны под роспись ознакомиться с документами, указанными в п.2.1, и неукоснительно их соблюдать.
-
Правила и процедуры обработки персональных данных без использования средств автоматизации
-
Все лица, допущенные к обработке персональных данных без использования средств автоматизации обязаны ознакомиться с "Положением
об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687).
-
Правила и процедуры обработки персональных данных с использованием средств криптографической защиты информации
-
В Учреждении устанавливаются и соблюдаются следующие правила и процедуры обработки ПДн с использованием средств криптографической защиты информации:
-
Инструкция по работе со средствами криптографической защиты информации, сертификатами ключей подписи, открытыми и закрытыми ключами электронной цифровой подписи.
-
Документы, указанные в п. 4.1 разрабатываются Администратором ИБ и утверждаются руководителем Учреждения.
-
Все лица, допущенные к обработки ПДн с использованием средств криптографической защиты информации обязаны под роспись ознакомиться с документами, указанными в п.4.1, и неукоснительно их соблюдать.
-
Порядок внесения изменений
-
Внесение изменений в настоящие правила и процедуры осуществляется при изменении состава правил и процедур обработки ПДн.
заместитель директора по УВР
|
__________________
подпись
|
Колгина Н.В.
|
УТВЕРЖДАЮ
Директор МБОУ «Лицей № 46»
________ Углицких Т.И.
"__" _____________2016 г.
Правила и процедуры идентификации и аутентификации
субъектов доступа к объектам доступа
-
Назначение и область действия документа
-
В настоящем документе определяются правила и процедуры идентификации и аутентификации в государственной информационной системе Камчатского края "Сетевой город" (сегмент 100) (далее – ГИС) МБОУ «Лицей № 46» (далее - Учреждение), включающие в себя регламентацию следующих правил и процедур:
-
Правила и процедуры идентификации и аутентификации пользователей, являющихся работниками Учреждения;
-
Правила и процедуры управления идентификаторами;
-
Правила и процедуры управления средствами аутентификации (аутентификационной информацией);
-
Правила и процедуры защиты обратной связи при вводе аутентификационной информации;
-
Правила и процедуры идентификации и аутентификации внешних пользователей.
-
Правила и процедуры идентификации и аутентификации пользователей, являющихся работниками Учреждения
-
Идентификация и аутентификация пользователей, являющихся работниками Учреждения (далее – внутренние пользователи), должна производиться техническими средствами и системами, содержащими службы каталогов (Microsoft Active Directory, OpenLDAP, Samba и др.)
-
К внутренним пользователям относятся должностные лица Учреждения, выполняющие свои должностные обязанности с использованием информации, информационных технологий и информационной системы и технических средств информационной системы в соответствии с должностными регламентами и которым в ГИС "Сетевой город" также присвоены учетные записи.
-
Идентификация внутренних пользователей должна осуществляться по уникальным учетным записям, которые однозначно идентифицируют пользователя. Запрещается применять учетные неидентифицируемые учетные записи, например "user", "пользователь", "administrator" и т.д.
-
В качестве идентификаторов внутренних пользователей должен использоваться логин службы каталогов.
-
Допускается использование иных идентификаторов внутренних пользователей, таких как:
-
Уникальное устройство (iButton, eToken, RuToken, iKey, смарт-карты и др.);
-
Электронная подпись;
-
Совокупность идентификаторов, указанных в п.2.3-2.4.
-
Для каждого идентификатора должна быть определена следующая информация о пользователе: фамилия, имя, отчество пользователя, должность.
-
Учет идентификаторов, выданных внутренним пользователям, производится:
-
средствами службы каталогов, для идентификаторов, указанных в п.2.3;
-
в журнале учета, для идентификаторов, указанных в п.2.5.1;
-
в журнале учета средств криптографической защиты информации удостоверяющего центра, для идентификаторов, указанных в п.2.5.2;
-
Типовые формы учета идентификаторов разрабатываются администратором информационной безопасности (далее – Администратор ИБ).
-
Для аутентификации внутренних пользователей могут использоваться следующие факторы аутентификации:
-
пароль, пин-код.;
-
уникальное устройство аутентификации: iButton, eToken, RuToken, iKey, смарт-карты и др.;
-
биометрия;
-
Допускается в качестве усиления процедур аутентификации использовать комбинации факторов аутентификации информационных систем.
-
Правила и процедуры управления идентификаторами
-
Администратор ИБ является лицом, ответственным за создание, присвоение и уничтожение идентификаторов пользователей.
-
Запрещается повторно использовать идентификатор пользователя в течение не менее 1 года.
-
Администратор ИБ обязан блокировать или инициировать блокировку идентификаторов пользователей через период времени неиспользования не более 90 дней.
-
Правила и процедуры управления средствами аутентификации (аутентификационной информацией)
-
Администратор ИБ является лицом, ответственным за хранение, выдачу, инициализацию, блокирование средств аутентификации.
-
На всех средствах вычислительной техники Администратор ИБ должен осуществлять изменение аутентификационной информации (средств аутентификации), заданной их производителями.
-
Администратор ИБ устанавливает и регистрирует в техническом паспорте следующие характеристики паролей:
-
длина пароля;
-
алфавит пароля (при наличии соответствующих механизмов);
-
максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки программно-технического средства или учетной записи пользователя;
-
время блокировки программно-технического средства или учетной записи пользователя после превышения количества неуспешных попыток аутентификации (ввода неправильного пароля);
-
максимальное время действия пароля;
-
минимальное время действия пароля;
-
В случае компрометации или подозрения компрометации паролей, пользователь ГИС обязан незамедлительно обратиться к Администратору ИБ.
-
Администратор ИБ после сообщения о компрометации обязан осуществить незамедлительное блокирование скомпрометированных средств аутентификации. При необходимости, информация о компрометации сообщается руководителю Учреждения или его заместителю.
-
Доступ к администрированию технических средств и систем, содержащим службы каталогов, должен быть предоставлен только Администратору ИБ.
-
Правила и процедуры защиты обратной связи при вводе аутентификационной информации;
-
Администратор ИБ обеспечивает исключение отображения для пользователя ГИС действительного значения аутентификационной информации (пароля) путем:
-
использования встроенных средств защиты обратной связи (вводимые символы отображаются условными знаками "*", "|");
-
доработки прикладного программного обеспечения с целью установления средства защиты обратной связи (вводимые символы отображаются условными знаками "*", "|").
-
Пользователю ГИС запрещается ввод аутентификационной информации в случае, если существует возможность наблюдения за вводом со стороны посетителей или посторонних лиц.
-
Правила и процедуры идентификации и аутентификации внешних пользователей
-
В ГИС может быть предоставлен доступ внешним пользователям – сотрудникам Учреждения, обеспечивающего информационно-аналитическое и организационно-технологическое обеспечение оказания в электронной форме услуг в сфере образования, при этом доступ предоставляется только под собственными учетными записями прикладного программного обеспечения.
-
В ГИС предоставляется доступ граждан для получения услуг в сфере образования в электронном виде с использованием единой системы идентификации и аутентификации, созданной в соответствии с постановлением Правительства Российской Федерации от 28.11.2011 № 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".
-
Порядок внесения изменений
-
Внесение изменений в настоящие правила и процедуры осуществляется при изменении правил и процедур идентификации и аутентификации субъектов доступа к объектам доступа.
заместитель директора по УВР
|
__________________
подпись
|
Колгина Н.В.
|
Лист ознакомления с правилами и процедурами идентификации и аутентификации субъектов доступа к объектам доступа
№
|
ФИО
|
Дата
|
Подпись
|
1
|
2
|
3
|
4
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
УТВЕРЖДАЮ
Директор МБОУ «Лицей № 46»
________ Углицких Т.И.
"__" _____________2016 г.
Поделитесь с Вашими друзьями: |