Защита информации

 Муниципальное бюджетное общеобразовательное учреждение

"Средняя общеобразовательная школа №4" 

адрес: 142201, Московская область,

город Серпухов,  улица Коншиных, дом 145;

телефон: 8(496) 7723442;   email: school406@bk.ru

 

Защита информации

 

«Кто владеет информацией, тот правит миром»

- эти слова Н. Ротшильда приобретают все более весомое значение в наше время.

 

 В  МБОУ СОШ №4 информация, информационная инфраструктура – один из главных компонентов учебного процесса. Школа  оснащена компьютерной техникой и её качественное бесперебойное функционирование существенно определяет качество полученных знаний, способствует формированию компетенций учащихся, педагогов. Обеспечение  информационной безопасности учебного процесса осуществляется по  техническому, организационному и документационному направлениям. Технический аспект связан с выбором программного обеспечения, организационный – с проведением мероприятий для реализации закона № 152-ФЗ «О персональных данных», а документационный – с созданием локальных актов.

Технически защита информации организована частично с помощью программы «Интернет-цензор», частично с помощью системы контент-фильтрации «SkyDNS», работает система антивирусной защиты «Kaspersky Endpoint Security 10 for Windows». Электронная  почта организована на почтовом сервере Mail.Ru. Криптографическая  защита осуществляется программными и аппаратными средствами организаций, информационных систем, с которыми происходит информационный обмен конфиденциальной информацией. Организовано  разграничение прав доступа к информации и к ресурсам компьютера (две учетные записи: одна с ограниченными правами – основная, а вторая с правами администратора – только для настроек, под паролем).

Организационная защита -  регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба.

 

 

Политика обработки персональных данных

 

Политика МБОУ СОШ №4

в отношении обработки персональных данных

 

1. Термины и  определения

 

Термин/Сокращение

Определение

Автоматизированная обработка персональных данных

Обработка персональных данных с помощью средств вычислительной техники

Блокирование персональных данных

 

Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)

Доступ к персональным данным

Возможность получения персональных данных и их использования

Информационная система персональных данных

Совокупность содержащихся н базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Конфиденциальность персональных данных

Обязательное для выполнения Операторам и иными лицами, получившим доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федералы ним законом

Обезличивание персональных данных

Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Обработка персональных данных

Любое действие (операция) пли совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, храпение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Персональные данные

Любая информация, относящийся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Предоставление персональных данных

Действия, направленные на получение персональных данных определенным кругом лиц или передачу персональных данных определенному кругу лиц

Распространение персональных данных

Действия, направленные па раскрытие персональных данных неопределенному кругу лиц

Уничтожение персональных данных

Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

 

Трансграничная передача персональных данных

 

Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

 

 

целостность

информации

Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право

 

2. Назначение и область применения

Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет принципы обработки и обеспечения безопасности персональных данных в МБОУ СОШ № 4 (далее – Оператор).

 Действие настоящей Политики распространяется на все процессы обработки персональных данных Оператором, как с использованием средств автоматизации, так и без использования таких средств, на всех работников школы, участвующих в таких процессах, а также на информационные системы школы, используемые в процессах обработки персональных данных.

 

3. Принципы обработки персональных данных

Обработка персональных данных осуществляется Оператором на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. школы не допускается обработка персональных данных, несовместимая с целями сбора персональных данных и объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.

При обработке персональных данных обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Оператором принимаются необходимые меры (обеспечивается их принятие) по удалению или уточнению неполных или неточных персональных данных.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодно приобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

При определении состава обрабатываемых персональных данных субъектов персональных данных руководствуется минимально необходимым составом персональных данных для достижения целей получения персональных данных.

 

4. Условия обработки персональных данных

Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями Оператора, определенными действующим законодательством Российской Федерации и договорными отношениями с Оператором.

Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», осуществляется Оператором только с письменного согласия субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом от 27.07.2006  № 152-ФЗ «О персональных данных». В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.

Оператор вправе обрабатывать персональные данные без согласия субъекта персональных данных (или при отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператор не осуществляется.

Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные) и сведения о состоянии здоровья, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных или иных оснований, предусмотренных федеральным законодательством.

Персональные данные субъекта могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии предоставления Оператором подтверждения наличия оснований, указанных в Федеральном законе от

27.07.2006   №152-ФЗ «О персональных данных» или иных оснований, предусмотренных федеральным законодательством.

Право доступа к персональным данным субъектов персональных данных на бумажных и электронных носителях имеют сотрудники школы в соответствии с их должностными обязанностями.

Оператор не осуществляет трансграничная передача персональных данных и не принимаются решения, основанные исключительно на автоматизированной обработке персональных данных субъекта.

 

5. Цели обработки персональных данных

В соответствии с принципами и условиями обработки персональных данных, школы определены следующие цели обработки персональных данных:

-                    организация учебного процесса и контроль качества образования;

-                    учет и анализ успеваемости учащихся, организация информирования родителей (законных представителей) об успеваемости детей;

-                    выполнение обязательств, предусмотренных Трудовым договором;

-                    выполнение требований Трудового кодекса РФ и других нормативных актов РФ (в том числе предоставление персональных данных в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования);

-                    принятие решений и выполнение обязательств по обращениям граждан Российской Федерации в соответствии с законодательством РФ;

-                    оказание государственных услуг гражданам.

 

6. Особенности обработки персональных данных и их передачи третьим   лицам

Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таких средств.

При обработке персональных данных Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Передача персональных данных субъектов персональных данных третьим лицам осуществляется Оператором в соответствии с требованиями действующего законодательства.

Оператор вправе поручить обработку персональных данных третьей стороне с согласия субъекта персональных данных и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора, (далее - поручение). Третья сторона, осуществляющая обработку персональных данных по поручению директора школы, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», обеспечивая конфиденциальность и безопасность персональных данных при их обработке.

 

7. Права субъектов персональных данных

Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

-                    подтверждение факта обработки персональных данных;

-                    правовые основания и цели обработки персональных данных;

-                    цели и применяемые способы обработки персональных данных;

-                    наименование и место нахождения Оператора, сведения о лицах (за исключением работников школы), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

-                    обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

-                    сроки обработки персональных данных, в том числе сроки их хранения;

-                    порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

-                    информацию обосуществленной или о предполагаемой трансграничной передаче данных;

-                    наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению директора школы, если обработка поручена или будет поручена такому лицу;

-                    иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

 

8. Реализованные меры обеспечения безопасности персональных данных

Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К таким мерам, в частности, относятся:

-                    назначение лица, ответственного за организацию обработки персональных данных;

-                    осуществление внутреннего контроля за соблюдением законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

-                    ознакомление работников с положениями законодательства Российской Федерации о персональных данных, локальными актами по вопросам обработки персональных данных, требованиями к защите персональных данных;

-                    издание локальных актов по вопросам обработки персональных данных и локальных актов, устанавливающих процедуры, направленные на предотвращение и выявления нарушений законодательства РФ;

-                    определение угроз безопасности персональных данных и необходимого уровня защищённости персональных данных, при их обработке в информационных системах персональных данных;

-                    применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;

-                    использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации;

-                    осуществление оценки эффективности применяемых мер по обеспечению безопасности персональных данных.

 

 

закон "Об информации, информационных технологиях и о защите информации";

 

Безопасность информации обеспечивается при комплексном использовании всех средств защиты. Система информационной безопасности не является разовым мероприятием, процесс управляемый, постоянно совершенствуемый.

 

План мероприятий по осуществлению информационной безопасности

 

 

 

 

 

 

 

 

 

 

Дата последнего обновления страницы 09.12.2017
Сайт создан по технологии «Конструктор сайтов e-Publish»