Политика обработки персональных данных в государственной информационной системе Камчатского края "Сетевой город" (сегмент 100)

УТВЕРЖДАЮ

Директор МБОУ «Лицей № 46»

____________ Углицких Т.И.

1. 
   Общие положения
   

1. 
   Настоящая Политика обработки персональных данных (далее – Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ "О персональных данных" и действует в отношении персональных данных (далее – ПДн), обрабатываемых в государственной информационной системе Камчатского края "Сетевой город" (сегмент 100) (далее - ГИС «Сетевой город») МБОУ «Лицей № 46» (далее - Учреждение).
   
2. 
   Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Учреждение.
   
3. 
   Политика распространяется на ПДн, полученные как до, так и после подписания настоящей Политики.
   
1. 
   ПДн, обрабатываемые в ГИС «Сетевой город»
   
   1. 
      Учреждение обрабатывает в ГИС «Сетевой город» иные и общедоступные категории ПДн.
      
   2. 
      ПДн обрабатываемые в ГИС «Сетевой город» содержат сведения об учащихся, их родителях или законных представителях, граждан, подавших заявления на зачисление детей в Учреждение, сотрудниках Учреждения.
      
2. 
   Цели сбора и обработки персональных данных
   
   1. 
      Учреждение осуществляет обработку ПДн с целью оказания в электронном виде услуг в сфере образования, сбора информации о системе образования Камчатского края в статистических и иных исследовательских целях, направленных на повышение качества образования.
      
3. 
   Условия обработки персональных данных и их передачи третьим лицам
   
   1. 
      Учреждение вправе передать ПДн третьим лицам в случаях, предусмотренных законодательством Российской Федерации.
      
   2. 
      При обработке ПДн субъектов ПДн, Учреждение руководствуется Конституцией Российской Федерации, Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных», законодательством в сфере образования, настоящей Политикой и иной организационно-распорядительной документацией, утвержденной в Учреждении.
      
   3. 
      В Учреждении не производится обработка ПДн, несовместимая с целями их сбора, если иное не предусмотрено федеральным законом.
      
   4. 
      По окончании обработки ПДн, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Учреждением ПДн уничтожаются или обезличиваются.
      
   5. 
      При обработке ПДн обеспечивается их точность, достаточность, а при необходимости – актуальность по отношению к целям обработки. Учреждение принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.
      
4. 
   Изменение персональных данных
   
   1. 
      Субъекты ПДн имеют право требовать внесение изменений и дополнений своих ПДн, обрабатываемых в Учреждении, обратившись к лицу, ответственному за организацию обработки ПДн, при этом они должны предоставить оригиналы подтверждающих документов, в соответствии с которыми вносятся изменения.
      
5. 
   Доступ к обрабатываемым персональным данным
   
   1. 
      Доступ к обрабатываемым в Учреждении ПДн имеют лица, уполномоченные приказом Учреждения, а также лица, чьи ПДн подлежат обработке.
      
   2. 
      Доступ сотрудников Учреждения к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Учреждения.
      
   3. 
      Допущенные к обработке ПДн сотрудники под роспись знакомятся с документами Учреждения, устанавливающими порядок обработки ПДн.
      
   
   
   
6. 
   Меры, применяемые для защиты персональных данных
   
   1. 
      Учреждение принимает необходимые, достаточные технические и организационные меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней со стороны третьих лиц.
      
   2. 
      Учреждение осуществляет внутренний контроль и аудит соответствия обработки ПДн Федеральному закону от 27.07.2006 г. № 152-ФЗ «О персональных данных», настоящей Политике, требованиям к защите ПДн.
      
   3. 
      Учреждением проводится ознакомление сотрудников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, настоящей Политикой и иными внутренними регулятивными документами по вопросам обработки ПДн, и обучение сотрудников по вопросам обработки и защиты ПДн.
      
7. 
   Изменение Политики. Применимое законодательство
   
   1. 
      Учреждение имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте Учреждения, если иное не предусмотрено новой редакцией Политики.
      
   2. 
      Действующая редакция хранится в месте нахождения Учреждения по адресу: 683000, Камчатский край, г. Петропавловск-Камчатский, ул.Советская, 46.
      
   3. 
      К настоящей Политике и отношениям между субъектом ПДн и Учреждением подлежит применению право Российской Федерации.
      
8. 
   Обратная связь
   
   1. 
      Лицо, ответственное за обработку ПДн – Колгина Н.В., заместитель директора по УВР .
      
   2. 
      Адрес электронной почты: liceum46-pkgo-41@yandex.ru.
      
   3. 
      Почтовый адрес: 683000, Камчатский край, г. Петропавловск-Камчатский, ул.Советская, 46.
      
   4. 
      Контактный телефон: 89140275100.
      

УТВЕРЖДАЮ

Директор МБОУ «Лицей № 46»

________ Углицких Т.И.

1. 
   Назначение и область действия документа
   
   1. 
      Настоящее Положение является основополагающим внутренним документом МБОУ «Лицей № 46» (далее - Учреждение), регулирующим вопросы и правила обработки персональных данных (далее - ПДн) в государственной информационной системе Камчатского края «Сетевой город» (сегмент 100), включающее в себя регламентацию следующих правил и процедур:
      
      1. 
         Правила и процедуры обработки персональных данных с использованием средств автоматизации.
         
      2. 
         Правила и процедуры обработки персональных данных без использования средств автоматизации.
         
      3. 
         Правила и процедуры обработки персональных данных с использованием средств криптографической защиты информации.
         
2. 
   Правила и процедуры обработки персональных данных с использованием средств автоматизации
   
   1. 
      В Учреждении устанавливаются и соблюдаются следующие правила и процедуры обработки ПДн с использованием средств автоматизации:
      
      1. 
         Правила и процедуры идентификации и аутентификации
         субъектов доступа к объектам доступа;
         
      2. 
         Правила и процедуры управления доступом
         субъектов доступа к объектам доступа;
         
      3. 
         Правила и процедуры ограничения программной среды;
         
      4. 
         Правила и процедуры защиты машинных носителей информации;
         
      5. 
         Правила и процедуры регистрации событий безопасности;
         
      6. 
         Правила и процедуры антивирусной защиты;
         
      7. 
         Правила и процедуры анализа защищенности информационных систем;
         
      8. 
         Правила и процедуры обеспечения целостности;
         
      9. 
         Правила и процедуры защиты технических средств;
         
      10. 
          Правила и процедуры защиты информационной системы, ее средств, систем связи и передачи данных;
          
      11. 
          Правила и процедуры обеспечения целостности информации;
          
      12. 
          Правила и процедуры управления конфигурацией информационных систем;
          
   2. 
      В Учреждении разрабатываются следующие инструкции:
      
      1. 
         Инструкция администратора информационной безопасности;
         
      2. 
         Инструкция пользователя в части обеспечения безопасности информации;
         
      3. 
         Инструкция лица, ответственного за организацию обработки персональных данных.
         
   3. 
      Документы, указанные в п. 2.1-2.2 разрабатываются администратором информационной безопасности (далее – Администратор ИБ) и утверждаются директором Учреждения.
      
   4. 
      Все лица, допущенные к обработке ПДн с использованием средств автоматизации обязаны под роспись ознакомиться с документами, указанными в п.2.1, и неукоснительно их соблюдать.
      
3. 
   Правила и процедуры обработки персональных данных без использования средств автоматизации
   
   1. 
      Все лица, допущенные к обработке персональных данных без использования средств автоматизации обязаны ознакомиться с "Положением
      об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687).
      
4. 
   Правила и процедуры обработки персональных данных с использованием средств криптографической защиты информации
   
   1. 
      В Учреждении устанавливаются и соблюдаются следующие правила и процедуры обработки ПДн с использованием средств криптографической защиты информации:
      
      1. 
         Инструкция по работе со средствами криптографической защиты информации, сертификатами ключей подписи, открытыми и закрытыми ключами электронной цифровой подписи.
         
   2. 
      Документы, указанные в п. 4.1 разрабатываются Администратором ИБ и утверждаются руководителем Учреждения.
      
   3. 
      Все лица, допущенные к обработки ПДн с использованием средств криптографической защиты информации обязаны под роспись ознакомиться с документами, указанными в п.4.1, и неукоснительно их соблюдать.
      
5. 
   Порядок внесения изменений
   
   1. 
      Внесение изменений в настоящие правила и процедуры осуществляется при изменении состава правил и процедур обработки ПДн.
      

заместитель директора по УВР

__________________ ­­подпись

Колгина Н.В.

УТВЕРЖДАЮ

Директор МБОУ «Лицей № 46»

________ Углицких Т.И.

1. 
   Назначение и область действия документа
   
   1. 
      В настоящем документе определяются правила и процедуры идентификации и аутентификации в государственной информационной системе Камчатского края "Сетевой город" (сегмент 100) (далее – ГИС) МБОУ «Лицей № 46» (далее - Учреждение), включающие в себя регламентацию следующих правил и процедур:
      
      1. 
         Правила и процедуры идентификации и аутентификации пользователей, являющихся работниками Учреждения;
         
      2. 
         Правила и процедуры управления идентификаторами;
         
      3. 
         Правила и процедуры управления средствами аутентификации (аутентификационной информацией);
         
      4. 
         Правила и процедуры защиты обратной связи при вводе аутентификационной информации;
         
      5. 
         Правила и процедуры идентификации и аутентификации внешних пользователей.
         
2. 
   Правила и процедуры идентификации и аутентификации пользователей, являющихся работниками Учреждения
   
   1. 
      Идентификация и аутентификация пользователей, являющихся работниками Учреждения (далее – внутренние пользователи), должна производиться техническими средствами и системами, содержащими службы каталогов (Microsoft Active Directory, OpenLDAP, Samba и др.)
      
   2. 
      К внутренним пользователям относятся должностные лица Учреждения, выполняющие свои должностные обязанности с использованием информации, информационных технологий и информационной системы и технических средств информационной системы в соответствии с должностными регламентами и которым в ГИС "Сетевой город" также присвоены учетные записи.
      
   3. 
      Идентификация внутренних пользователей должна осуществляться по уникальным учетным записям, которые однозначно идентифицируют пользователя. Запрещается применять учетные неидентифицируемые учетные записи, например "user", "пользователь", "administrator" и т.д.
      
   4. 
      В качестве идентификаторов внутренних пользователей должен использоваться логин службы каталогов.
      
   5. 
      Допускается использование иных идентификаторов внутренних пользователей, таких как:
      
      1. 
         Уникальное устройство (iButton, eToken, RuToken, iKey, смарт-карты и др.);
         
      2. 
         Электронная подпись;
         
      3. 
         Совокупность идентификаторов, указанных в п.2.3-2.4.
         
   6. 
      Для каждого идентификатора должна быть определена следующая информация о пользователе: фамилия, имя, отчество пользователя, должность.
      
   7. 
      Учет идентификаторов, выданных внутренним пользователям, производится:
      
      1. 
         средствами службы каталогов, для идентификаторов, указанных в п.2.3;
         
      2. 
         в журнале учета, для идентификаторов, указанных в п.2.5.1;
         
      3. 
         в журнале учета средств криптографической защиты информации удостоверяющего центра, для идентификаторов, указанных в п.2.5.2;
         
   8. 
      Типовые формы учета идентификаторов разрабатываются администратором информационной безопасности (далее – Администратор ИБ).
      
   9. 
      Для аутентификации внутренних пользователей могут использоваться следующие факторы аутентификации:
      
      1. 
         пароль, пин-код.;
         
      2. 
         уникальное устройство аутентификации: iButton, eToken, RuToken, iKey, смарт-карты и др.;
         
      3. 
         биометрия;
         
   10. 
       Допускается в качестве усиления процедур аутентификации использовать комбинации факторов аутентификации информационных систем.
       

3. 
   Правила и процедуры управления идентификаторами
   
   1. 
      Администратор ИБ является лицом, ответственным за создание, присвоение и уничтожение идентификаторов пользователей.
      
   2. 
      Запрещается повторно использовать идентификатор пользователя в течение не менее 1 года.
      
   3. 
      Администратор ИБ обязан блокировать или инициировать блокировку идентификаторов пользователей через период времени неиспользования не более 90 дней.
      
4. 
   Правила и процедуры управления средствами аутентификации (аутентификационной информацией)
   
   1. 
      Администратор ИБ является лицом, ответственным за хранение, выдачу, инициализацию, блокирование средств аутентификации.
      
   2. 
      На всех средствах вычислительной техники Администратор ИБ должен осуществлять изменение аутентификационной информации (средств аутентификации), заданной их производителями.
      
   3. 
      Администратор ИБ устанавливает и регистрирует в техническом паспорте следующие характеристики паролей:
      
      1. 
         длина пароля;
         
      2. 
         алфавит пароля (при наличии соответствующих механизмов);
         
      3. 
         максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки программно-технического средства или учетной записи пользователя;
         
      4. 
         время блокировки программно-технического средства или учетной записи пользователя после превышения количества неуспешных попыток аутентификации (ввода неправильного пароля);
         
      5. 
         максимальное время действия пароля;
         
      6. 
         минимальное время действия пароля;
         
   4. 
      В случае компрометации или подозрения компрометации паролей, пользователь ГИС обязан незамедлительно обратиться к Администратору ИБ.
      
   5. 
      Администратор ИБ после сообщения о компрометации обязан осуществить незамедлительное блокирование скомпрометированных средств аутентификации. При необходимости, информация о компрометации сообщается руководителю Учреждения или его заместителю.
      
   6. 
      Доступ к администрированию технических средств и систем, содержащим службы каталогов, должен быть предоставлен только Администратору ИБ.
      
5. 
   Правила и процедуры защиты обратной связи при вводе аутентификационной информации;
   
   1. 
      Администратор ИБ обеспечивает исключение отображения для пользователя ГИС действительного значения аутентификационной информации (пароля) путем:
      
      1. 
         использования встроенных средств защиты обратной связи (вводимые символы отображаются условными знаками "*", "|");
         
      2. 
         доработки прикладного программного обеспечения с целью установления средства защиты обратной связи (вводимые символы отображаются условными знаками "*", "|").
         
   2. 
      Пользователю ГИС запрещается ввод аутентификационной информации в случае, если существует возможность наблюдения за вводом со стороны посетителей или посторонних лиц.
      
6. 
   Правила и процедуры идентификации и аутентификации внешних пользователей
   
   1. 
      В ГИС может быть предоставлен доступ внешним пользователям – сотрудникам Учреждения, обеспечивающего информационно-аналитическое и организационно-технологическое обеспечение оказания в электронной форме услуг в сфере образования, при этом доступ предоставляется только под собственными учетными записями прикладного программного обеспечения.
      
   2. 
      В ГИС предоставляется доступ граждан для получения услуг в сфере образования в электронном виде с использованием единой системы идентификации и аутентификации, созданной в соответствии с постановлением Правительства Российской Федерации от 28.11.2011 № 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".
      

7. 
   Порядок внесения изменений
   
   1. 
      Внесение изменений в настоящие правила и процедуры осуществляется при изменении правил и процедур идентификации и аутентификации субъектов доступа к объектам доступа.
      

УТВЕРЖДАЮ

Директор МБОУ «Лицей № 46»

________ Углицких Т.И.