3.Права и обязанности участников образовательного процесса при работе с электронными журналами
3.1.Директор имеет право:
просматривать все электронные журналы с 1-11 класс без права редактирования.
распечатывать страницы электронных журналов;
заверять распечатанный вариант электронного журнала подписью и гербовой печатью.
3.2.Директор обязан:
создавать логины своим заместителям для доступа в личный кабинет в системе;
контролировать внесение информации в систему и ведение электронных журналов.
3.3.Заместители директора имеют право:
просматривать все электронные журналы без права редактирования;
распечатывать страницы электронных журналов.
3.4.Заместители директора обязаны:
создавать логины учителям, которых они курируют, для доступа в личный кабинет системы (по согласованию с координатором проекта);
следить за заполнением электронных журналов учителям;
заполнять текущий учебный план до начала учебного года.
3.5.Учитель-предметник имеет право:
просматривать и редактировать электронный журнал лишь тех классов, в которых он преподает.
3.6.Учитель-предметник обязан:
своевременно заполнять темы уроков, виды уроков на уроке, домашнее задания;
выставлять отметки и отмечать отсутствующих на уроке.
3.7.Классный руководитель имеет право:
просматривать журнал своего класса по всем предметам без права редактирования.
3.8.Классный руководитель обязан:
информировать родителей о существовании электронных дневников;
разделить до начала учебного года класс на группы (при наличии разукрупнения по предметам).
3.9.Ученик имеет право:
просматривать свою успеваемость;
просматривать домашние задания.
3.10.Ученик обязан:
оповещать учителя об ошибочно выставленной отметке.
3.11.Родители имеют право:
просматривать успеваемость ребенка в электронном дневнике ребенка.
3.12.Диспетчер расписания обязан:
составить шаблон расписания до начала учебного года;
своевременно формировать расписание уроков;
своевременно вносить изменения в шаблон расписания и расписание уроков.
4. Условия хранения данных в электронном виде и совмещенного хранения данных в электронном виде и на бумажных носителях
4.1. Архивное хранение учетных данных предусматривает контроль за их целостностью и достоверностью на протяжении всего необходимого срока. Электронное хранение архивных данных осуществляется минимально на двух носителях: ПК заместителя директора гимназии по УВР, ответственного за работу электронного журнала, и на CD-диске, хранящемся в школьном архиве. Архивирование данных электронного журнала производится системным администратором ежедневно (кроме выходных и праздничных дней) в автоматическом режиме в период с 01:00 до 06:00 . Внесение изменений в данные электронного журнала учителями школы в этот период категорически запрещается.
4.2. В случае необходимости использования данных электронного журнала из электронной формы в качестве печатного документа информация выводится на печать и заверяется подписью директора гимназии и гербовой печатью образовательной организации. Архивное хранение учетных данных на бумажных носителях осуществляется в соответствии с действующим Административным регламентом Рособрнадзора, утвержденным приказом Минобрнауки РФ от 21 января 2009 г. № 9.
4.3. Сводная ведомость итоговой успеваемости класса за учебный год выводится из системы учета в том виде, который предусмотрен действующими требованиями архивной службы. Если данные по учебному году хранятся в электронном виде, сводная ведомость может быть передана в архив сразу по завершении ведения учета в соответствующем классном журнале.
4.4. При ведении учета в электронном виде необходимость вывода данных на печать для использования в качестве документа определяется соответствием используемой информационной системы ГОСТ Р ИСО 15489-1-2007 «Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования».
4.5.Архивное хранение учетных данных в электронном виде предусматривает контроль за их целостностью и достоверностью на протяжении всего срока.
5. Ограничения для участников образовательного процесса при работе с электронными журналами и дневниками.
5.1. Участникам образовательного процесса, указанным в разделе 3 настоящего Порядка, запрещается передавать персональные логины и пароли для входа в АИС «Электронная школа» другим лицам и допускать к работе в системе других лиц под своим логином (от своего лица).
Приложение 8 к приказу директора
гимназии от 12.08.2014 года №233п3
Правила информационной безопасности и корректной работы в АИС «Электронная школа» МБОУ «Гимназия № 24»
В целях соблюдения мер информационной безопасности при работе в автоматизированной информационной системе «Электронная школа» (далее - Система) необходимо соблюдать следующие правила:
Обязательно смените пароль после первого входа в систему (Руководство пользователя, п. 3.2.2. стр. 15), причём пароль должен быть составлен так, чтобы его было непросто подобрать (не стоит использовать в качестве пароля свою фамилию или дату рождения).
Если доступ к вашему компьютеру имеют несколько пользователей, то периодически меняйте пароль.
Соблюдайте конфиденциальность пароля, т.е. организуйте свою работу в Системе таким образом, чтобы другие пользователи не смогли узнать Ваш пароль. Не сообщайте кому-либо логин\пароль.
Ваш конфиденциальный пароль не должен оставаться в вашем браузере. Обратитесь к системному администратору за помощью.
Не забывайте свои имя пользователя для входа в личный кабинет (логин\пароль).
Если Вы забыли свой пароль, то он не может быть восстановлен. Обратитесь к системному администратору или администратору упреждения за новым паролем.
Если вы обнаружили исправления в классном журнале, срочно обратитесь к системному администратору или администратору учреждения.
Классный руководитель не должен сообщать свой логин\пароль ученикам и допускать их к компьютеру, на котором установлена АИС «БАРС.Web-Электронная Школа».
Учитель-предметник не должен передавать свой логин и пароль другому учителю.
Заполненные шаблоны «Ученики и «Родители» не храните на рабочем столе компьютера. После их передачи для импорта в Систему удалите с флеш-накопителя и с рабочего стола компьютера.
В соответствии с действующим законодательством учитель школы несет личную ответственность за невыполнение норм и правил информационной безопасности при работе в автоматизированной информационной системеуправления«БАРС.Web-Электронная Школа».
Учителю, ответственному за кабинет, на компьютере с установленной Системой необходимо контролировать средства антивирусной защиты, обеспечивая при этом регулярное обновление антивирусных баз, а также еженедельную полную антивирусную проверку.
Приложение 9 к приказу директора
гимназии от 12.08.2014 года №233п3
Памятка
по безопасности для участников образовательного процесса
при работе с АИС «Электронная школа»,
обеспечивающей предоставление государственной услуги.
Участники образовательного процесса не имеют права передавать персональные логины и пароли для входа в АИС «Электронная школа» другим лицам. Передача персонального логина и пароля для входа в Систему другим лицам влечет за собой ответственность в соответствии с законодательством Российской Федерации о защите персональных данных.
Участники образовательного процесса соблюдают конфиденциальность условий доступа в свой личный кабинет (логин и пароль).
Участники образовательного процесса в случае нарушения конфиденциальности условий доступа в личный кабинет, уведомляют в течение не более чем одного рабочего дня со дня получения информации о таком нарушении руководителя общеобразовательного учреждения, заместителя директора по УВР, службу технической поддержки информационной системы.
Все операции, произведенные участниками образовательного процесса с момента получения информации руководителем общеобразовательного учреждения и службой технической поддержки о нарушении, указанном в п.3, признаются недействительными.
В случае восстановления или замены логина и пароля обучающийся пишет заявление на имя руководителя общеобразовательного учреждения или его заместителей.
-
Обучающиеся обязаны информировать классного руководителя, учителя, службу поддержку в случаях:
неправильного выставления оценки в ЭЖ;
утери полученного логина/пароля;
выполнения требований безопасности по отношению к защите информации и персональных данных.
Приложение 10 к приказу директора
гимназии от 12.08.2014 года №233п3
Должностная инструкция ответственного лица по вопросам информационной безопасности в МБОУ «Гимназия №24»
1. Общие положения
1.1. Должностная инструкция ответственного лица по вопросам информационной безопасности в МБОУ «Гимназия №24» (далее – ответственный в Гимназии) определяет основные обязанности и права ответственного лица по вопросам информационной безопасности в Гимназии.
1.2. Должностная инструкция регулирует отношения и порядок взаимодействия между ответственным в Гимназии и сотрудниками организации, которые обрабатывают персональные данные в автоматизированных информационных системах Гимназии (далее- ИСПДн), в связи с реализацией трудовых отношений, в связи с оказанием муниципальных услуг и осуществлением муниципальных функций, а также в соответствии с действующим законодательством Российской Федерации, за исключением случаев, перечисленных в части 2 статьи 1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.3. Ответственное в Гимназии в своей деятельности руководствуется действующим законодательством Российской Федерации, правовыми актами Удмуртской Республики, а также настоящей должностной инструкцией.
2. Должностные обязанности
2.1. Ответственный в Гимназии обязан:
2.1.1 организовывать работу по разработке и принятию организационно-распорядительной документации, устанавливать правила обработки персональных данных в ИСПДн Гимназии.
2.1.2 обеспечивать своевременное размещение на официальном сайте Гимназии организационно-распорядительной документации, устанавливающей правила обработки персональных данных в ИСПДн, в течение 10 дней после их утверждения директором Гимназии;
2.1.3 организовывать ознакомление сотрудников Гимназии непосредственно осуществляющих обработку персональных данных в ИСПДн, с действующим законодательством Российской Федерации о персональных данных и организационно-распорядительной документации, определяющими правила обработки персональных данных и требования по защите персональных данных;
2.1.4 руководить осуществлением приема необходимых правовых, организационных и технических мер для защиты персональных данных в ИСПДн Гимназии в соответствии с действующим законодательством Российской Федерации о персональных данных;
2.1.5 осуществлять согласование мероприятий при создании в Гимназии новых ИСПДн;
2.1.6 координировать работу в Гимназии по формированию и ведению перечней:
- - персональных данных, обрабатываемых в Гимназии в ИСПДн;
- информационных систем персональных данных (ИСПДн) Гимназии;
- лиц, допущенных к обработке персональных данных вИСПДн Гимназии.
2.1.7 организовывать и руководить проведением внутренних проверок организации состояния работ по вопросам информационной безопасности в Гимназии для осуществления периодического контроля:
- условий обработки персональных данных в Гимназии и их соответствие действующему законодательству Российской Федерации о персональных данных и принятыми в соответствии с ним организационно-распорядительной документации;
- организации приема и обработки в Гимназии запросов субъектов персональных данных или их представителей;
- выполнения установленных в соответствии с действующим законодательством Российской Федерации и организационно-распорядительной документации Гимназии требований к защите персональных данных, обрабатываемых вИСПДн Гимназии;
- соотношения оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения действующего законодательства Российской Федерации о персональных данных и принимаемых в Гимназии мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством Российской Федерации и организационно-распорядительной документацией Гимназии;
2.1.9 представлять информацию директору Гимназии о результатах проведенных внутренних проверок организации состояния работ по вопросам информационной безопасности и мерах, необходимых для устранения выявленных нарушений;
2.1.10 координировать работу в Гимназии по принятию мер, направленных на совершенствование защиты персональных данных, обрабатываемых в ИСПДн Гимназии;
2.1.11 осуществлять методическое руководство работой при разработке условий обработки персональных данных и эффективности мер по защите персональных данных в ИСПДн Гимназии;
2.1.12 организовывать работу по планированию прохождения обучения сотрудников Гимназии по вопросам обеспечения защиты персональных данных, обрабатываемых в ИСПДн Гимназии;
2.1.13 представлять директору Гимназии ежегодный отчет о своей деятельности по организации обработки персональных данных.
3. Права
3.1. Ответственный в Гимназии имеет право:
3.1.1 запрашивать у сотрудников Гимназии любые сведения, необходимые для организации условий обработки персональных данных и принятия необходимых правовых, организационных и технических мер для защиты персональных данных в ИСПДн Гимназии;
3.1.2 принимать участие в рассмотрении жалоб и обращений граждан или юридических лиц по вопросам, связанным с обработкой персональных данных вИСПДн Гимназии, а также вырабатывать предложения для принятия в пределах своих полномочий решений по результатам рассмотрения указанных жалоб и обращений;
3.1.3 участвовать в расследовании нарушений в области защиты персональных данных в ИСПДн Гимназии и разрабатывать предложения по устранению недостатков и предупреждению подобного рода нарушений;
3.1.4 требовать от отделов Гимназии уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных, при обращении (запросе) субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных либо по результатам проведенной внутренней проверки организации состояния работ по вопросам информационной безопасности;
3.1.5 принимать меры по приостановлению или прекращению обработки персональных данных в ИСПДн Гимназии, осуществляемой с нарушением требований действующего законодательства Российской Федерации о персональных данных;
3.1.6 вносить предложения о совершенствовании нормативного правового регулирования обработки и защиты персональных данных в ИСПДн Гимназии.
4. Взаимоотношения
Ответственный за взаимодействует с должностными лицами других организаций всех организационно-правовых форм – по вопросам организации и выполнения условий обработки и защиты персональных данных в ИСПДн.
5. Ответственность
5.1. Ответственный несет ответственность за ненадлежащее выполнение возложенных на него обязанностей, изложенных в настоящей должностной инструкции, в соответствии с действующим законодательством Российской Федерации и организационно-распорядительными документами Гимназии.
6. Заключительные положения
Должностная инструкция подлежит пересмотру в случае изменения законодательства Российской Федерации о персональных данных, определяющего настоящие должностные обязанности ответственного в Гимназии.
Приложение 11 к приказу директора
гимназии от 12.08.2014 года №233п3
План работы ответственного лица по вопросам информационной безопасности
МБОУ «Гимназия №24»
№п/п
|
Название мероприятия
|
Срок
|
|
Внутренняя проверка ИСПДн Гимназии
|
Июнь 2014г.
|
|
Оформление пакета документов «Отчет по результатам проведения внутренней проверки»
|
Июль-август 2014г.
|
|
Составление проекта приказа «Об итогах внутренней проверки ИСПДн МБОУ «Гимназия №24
|
Август 2014г.
|
|
Определение состава рабочих групп по организации обработки и обеспечению защиты персональных данных при работе в ИСПДн МБОУ «Гимназия №24» в 2014-2015 учебном году
|
Август 2014г
|
|
Разработать пакет нормативных документов, регламентирующих введение в работу Автоматизированной информационной системы «Электронная школа» в 2014-2015 учебном году
|
Август 2014г.
|
|
Организовать реализацию Плана подготовки и поэтапного введения АИС «Электронная школа».
|
Август 2014 –
май 2015г.
|
|
Построение системы информационной безопасности (разработка организационных, нормативных мер обеспечения информационной безопасности и технической защиты АИС «Электронная школа»)
|
Май-август
|
|
Обучение сотрудников правилам работы в АИС «Электронная школа» в соответствии с должностными обязанностями и ролями в информационной системе
|
Июнь, август, ноябрь
2014г
|
|
Организация проведения консультаций сотрудников по вопросам работы в АИС «Электронная школа» в соответствии с должностными обязанностями и ролями в информационной системе
|
По мере необходимости
|
|
Организация размещения руководств, инструкций и правил работы в АИС «Электронная школа» в корпоративной ИТ - инфраструктуре на основе облачных технологий MicrosoftOffice 365
|
Июнь, июль
|
|
Обеспечение работы кабинетов информатики, библиотеки, методического кабинета №204 для свободного доступа в АИС «Электронная школа» педагогических работников во внеурочное время.
|
Постоянно
|
|
Контроль вопроса «Создание резервных копий базы данных для введения АИС «Электронная школа»
|
Постоянно
|
|
Организовать информационно-просветительскую работу с участниками образовательных отношений по вопросу использования компьютерного программного обеспечения в МБОУ «Гимназия №24»
|
Сентябрь, декабрь, март 2014г.
|
|
Организовать инвентаризацию программного обеспечения в МБОУ «Гимназия №24»
|
Ноябрь 2014
Июнь 2015
|
|
Провести проверку деятельности лиц, ответственных за программное обеспечение в МБОУ «Гимназия №24»
|
Январь 2015г.
|
|
Контроль вопроса «Настройка локальной сети и поддержка работы сервера»
|
постоянно
|
|
Разработать пакет нормативных документов, регламентирующих работу информационной системы персональных данных «Бухгалтерия».
|
Февраль 2014г.
|
|
Составление отчета работы по вопросам информационной безопасности
|
Декабрь 2014, май2015
|
Приложение 12 к приказу директора
гимназии от 12.08.2014 года №233п3
Должностная инструкция администратора ИСПДнв МБОУ «Гимназия №24»
МУНИЦИПАЛЬНОЕ БЮДЖЕТНОЕ ОБЩЕОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ 1
ОБЩИЕ СВЕДЕНИЯ ОБ ОБЪЕКТЕ. 15
СОСТАВ ОБОРУДОВАНИЯ ОБЪЕКТА. 15
Система электропитания и заземления: 16
СОСТАВ СЗИ И ПО. 16
Состав средств защиты: 16
ПО и программные средства защиты 16
1.ИСПДн «Электронная школа»; 48
2.ИСПДн «Бухгалтерия». 48
1ИСПДн<�Электронная школа> 49
1.1Структура ИСПДн 49
1.2Состав и структура персональных данных 49
1.3Конфигурация ИСПДн 50
1.4Структура обработки ПДн 51
1.5Режим обработки ПДн 51
1.6Классификация нарушителей 52
1.7Исходный уровень защищенности ИСПДн 55
1.8Вероятность реализации УБПДн 55
1.9Реализуемость угроз 63
1.10Оценка опасности угроз 65
1.11Определение актуальности угроз в ИСПДн 66
1.По возможности исключить визуальный доступ к мониторам. 68
2.Установка жалюзи 68
Поддержка парольной политики, отслеживание сложности паролей и периодическую его смену, защита паролем антивирусных программ. 68
3.Введение политики «чистого стола» 68
4.Контрольза выполнением правил политик. 68
5.Инструктаж о парольной политике и о действиях в случаях утраты или компрометации паролей 68
6.Поддержка в хорошем рабочем состоянии охранной сигнализации 68
7.Контрольдоступа в контролируемую зону 68
8.Закрытиедверей на замок. 68
9.Ограничения использования съемных носителей информации. 68
10.Инструктаж пользователей о мерах предотвращения вирусного заражения. 68
11.Поддержка антивирусной защиты 68
12.Разграничение прав пользователей на установку ПО 68
13.Контроль, инструктаж о политике установки ПО 69
14.Контроль действий, выявление используемых протоколов, доступных портов сетевых служб, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей. 69
15.Инструктажпользователей о действиях при обнаружении входа с систему и несанкционированное изменение данных в журнале, дневнике. 69
16.Подписание Согласия сотрудниками о неразглашении ПДн 69
17.Инструктаж пользователей о порядке работы с персональными данными 69
18.Проведение процедуры удаления устаревших, неучтенных или недействующих учетных записей пользователей или несанкционированного предоставления прав доступа. 69
19.Резервное копирование обрабатываемых ПДн 69
20.Инструктаж пользователей о работе с ИСПДн 69
21.Систематическая проверка средств защиты 69
1.12Модель угроз безопасности 70
Парольная политика, сложность пароля и периодическую его смену, защита паролем антивирусных программ. 71
2Заключение 77
1 Назначение и область действия 79
3.1 Технические меры 79
3.2 Организационные меры 80
-
Общие положения
1.1. Администратор ИСПДн в МБОУ «Гимназия №24» назначается приказом директора.
1.2. Администратор ИСПДн в МБОУ «Гимназия №24» подчиняется заместителю директора, курирующим вопросы информатизации.
1.3. Администратор ИСПДн в своей работе руководствуется настоящей инструкцией, руководящими и нормативными документами ФСТЭК России и регламентирующими документами МБОУ «Гимназия №24».
1.4. Администратор ИСПДн отвечает за поддержание необходимого уровня безопасности объектов защиты.
1.5. Администратор ИСПДн является уполномоченным на проведение работ по технической защите информации и поддержанию достигнутого уровня защиты ИСПДн и ее ресурсов на этапах промышленной эксплуатации и модернизации.
1.6. Администратор ИСПДн должен иметь специальное рабочее место, размещенное в здании МБОУ «Гимназия №24» так, что бы исключить несанкционированный доступ к нему посторонних лиц и других пользователей.
1.7. Рабочее место Администратор ИСПДн должно быть оборудовано средствами физической защиты (закрываемый на ключ кабинет), подключением к ИСПДн, а так же средствами контроля за техническими средствами защиты.
1.8. Администратор ИСПДн осуществляет методическое руководство Операторов и Администраторов ИСПДн, в вопросах обеспечения безопасности персональных данных.
1.9. Требования Ответственного лица по вопросам информационной безопасности, связанные с выполнением им своих должностных обязанностей, обязательны для исполнения всеми пользователями ИСПДн.
1.10. Администратор ИСПДн несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в ИСПДн, состояние и поддержание установленного уровня защиты ИСПДн.
-
Администратор ИСПДн обязан:
-
Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства гимназии по защите информации, распоряжений, регламентирующих порядок действий по защите информации;
Давать распоряжения или осуществлять установку, настройку и сопровождение технических средств защиты;
Участвовать в контрольных и тестовых испытаниях и проверках элементов ИСПДн;
Участвовать в приеме новых программных средств;
Обеспечить доступ к защищаемой информации пользователям ИСПДн согласно их правам доступа при получении оформленного соответствующим образом разрешения;
Уточнять в установленном порядке обязанности пользователей ИСПДн по обработке объектов защиты;
Вести контроль над процессом осуществления резервного копирования объектов защиты;
Осуществлять контроль над выполнением Плана мероприятий по защите персональных данных;
Анализировать состояние защиты ИСПДн и ее отдельных подсистем;
Контролировать неизменность состояния средств защиты их параметров и режимов защиты;
Контролировать физическую сохранность средств и оборудования ИСПДн;
Контролировать исполнение пользователями ИСПДн введенного режима безопасности, а так же правильность работы с элементами ИСПДн и средствами защиты;
Контролировать исполнение пользователями парольной политики;
Контролировать работу пользователей в сетях общего пользования и (или) международного обмена;
Своевременно анализировать журнал учета событий, регистрируемых средствами защиты, с целью выявления возможных нарушений;
Не допускать установку, использование, хранение и размножение в ИСПДн программных средств, не связанных с выполнением функциональных задач;
Не допускать к работе на элементах ИСПДн посторонних лиц;
осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования средств защиты ИСПДн;
Оказывать помощь пользователям ИСПДн в части применения средств защиты и консультировать по вопросам введенного режима защиты;
Периодически представлять руководству отчет о состоянии защиты ИСПДн и о нештатных ситуациях на объектах ИСПДн и допущенных пользователями нарушениях установленных требований по защите информации;
В случае отказа работоспособности технических средств и программного обеспечения ИСПДн, в том числе средств защиты принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности;
Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.
-
Права и ответственность администратора ИСПДн
3.1 Администратор ИСПДн имеет право в отведенное ему время решать поставленные задачи в соответствии с его полномочиями в отношениях к ресурсам ИСПДн и вверенным ему техническим и программным средствам. В частности, Администратор безопасности имеет право:
- проверять электронный журнал обращений
- вносить изменения в конфигурацию аппаратно-программных средств
- проверять соблюдение условий использования средств защиты информации
- требовать прекращения обработки информации, как в целом, так и отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования АРМ
3.2 Администратор ИСПДн, виновный в несоблюдении Настоящей инструкции расценивается как нарушитель Федерального закона РФ 27.07.2006 г. N 152-ФЗ "О персональных данных" и несет гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Приложение 13 к приказу директора
гимназии от 12.08.2014 года №233п3
модель угроз испдн
МБОУ «Гимназия №24»
На 44 листах
Ижевск, 2014
Содержание
МУНИЦИПАЛЬНОЕ БЮДЖЕТНОЕ ОБЩЕОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ 1
ОБЩИЕ СВЕДЕНИЯ ОБ ОБЪЕКТЕ. 15
СОСТАВ ОБОРУДОВАНИЯ ОБЪЕКТА. 15
Система электропитания и заземления: 16
СОСТАВ СЗИ И ПО. 16
Состав средств защиты: 16
ПО и программные средства защиты 16
1.ИСПДн «Электронная школа»; 48
2.ИСПДн «Бухгалтерия». 48
1ИСПДн<�Электронная школа> 49
1.1Структура ИСПДн 49
1.2Состав и структура персональных данных 49
1.3Конфигурация ИСПДн 50
1.4Структура обработки ПДн 51
1.5Режим обработки ПДн 51
1.6Классификация нарушителей 52
1.7Исходный уровень защищенности ИСПДн 55
1.8Вероятность реализации УБПДн 55
1.9Реализуемость угроз 63
1.10Оценка опасности угроз 65
1.11Определение актуальности угроз в ИСПДн 66
1.По возможности исключить визуальный доступ к мониторам. 68
2.Установка жалюзи 68
Поддержка парольной политики, отслеживание сложности паролей и периодическую его смену, защита паролем антивирусных программ. 68
3.Введение политики «чистого стола» 68
4.Контрольза выполнением правил политик. 68
5.Инструктаж о парольной политике и о действиях в случаях утраты или компрометации паролей 68
6.Поддержка в хорошем рабочем состоянии охранной сигнализации 68
7.Контрольдоступа в контролируемую зону 68
8.Закрытиедверей на замок. 68
9.Ограничения использования съемных носителей информации. 68
10.Инструктаж пользователей о мерах предотвращения вирусного заражения. 68
11.Поддержка антивирусной защиты 68
12.Разграничение прав пользователей на установку ПО 68
13.Контроль, инструктаж о политике установки ПО 69
14.Контроль действий, выявление используемых протоколов, доступных портов сетевых служб, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей. 69
15.Инструктажпользователей о действиях при обнаружении входа с систему и несанкционированное изменение данных в журнале, дневнике. 69
16.Подписание Согласия сотрудниками о неразглашении ПДн 69
17.Инструктаж пользователей о порядке работы с персональными данными 69
18.Проведение процедуры удаления устаревших, неучтенных или недействующих учетных записей пользователей или несанкционированного предоставления прав доступа. 69
19.Резервное копирование обрабатываемых ПДн 69
20.Инструктаж пользователей о работе с ИСПДн 69
21.Систематическая проверка средств защиты 69
1.12Модель угроз безопасности 70
Парольная политика, сложность пароля и периодическую его смену, защита паролем антивирусных программ. 71
2Заключение 77
1 Назначение и область действия 79
3.1 Технические меры 79
3.2 Организационные меры 80
|
