Что должно получиться?
В результате работы по проведению инвентаризации информационных ресурсов, выбору требуемого уровня защищенности персональных данных, определения набора мер защиты, должен появиться следующий набор документов:
Модель актуальных угроз безопасности персональным данным;
Перечень персональных данных, обрабатываемых в образовательном учреждении;
Перечень персональных данных, обрабатываемых без использования средств автоматизации;
Перечень школьных информационных систем, обрабатывающих персональные данные с указанием требуемого уровня защищенности;
Состав средств обработки персональных данных, входящих в состав информационных систем;
Перечень мер защиты, подлежащих реализации при обработке персональных данных в образовательном учреждении;
Перечень типов средств защиты информации, которые необходимо использовать в школьных информационных системах для реализации мер защиты персональных данных.
Таким образом, в результате реализации первых этапов, собраны необходимые исходные данные, определен требуемый уровень безопасности персональных данных и выбраны необходимые меры защиты. Этого вполне достаточно, чтобы приступить непосредственно к созданию в школе системы защиты персональных данных. Как уже отмечалось, такая система должна объединять организационную и техническую составляющие.
Организационная составляющая.
Организационная составляющая представляет собой систему локальных нормативных актов, определяющих политику обработки и защиты персональных данных в школе и направленных на реализацию выбранных организационных мер защиты. Эти документы формируют политику школы в части обработки и обеспечения безопасности персональных данных. В общем случае, документы, формирующие политику безопасности персональных данных должны разрабатываться на основе принципов:
максимальной дружественности к персоналу,
персональной ответственности,
минимизации привилегий,
разделения обязанностей,
разумной достаточности.
Каждая школа имеет устоявшуюся организационную структуру, управление, подчинение подразделений, распределение функциональных обязанностей, сложившиеся традиции делового общения и обмена информацией в ходе обеспечения учебного процесса и жизнедеятельности школы. Формирование организационной составляющей, как правило, сводится к тому, что в рамках существующей организационной структуры школы уточняются роли каждого субъекта в решении задач защиты персональных данных, пересматриваются функциональные обязанности и должностные инструкции, устанавливается персональная ответственность, налаживается взаимодействие.
Состав основных организационно-распорядительных документов.
Документы, формирующие политику безопасности персональных данных должны охватить множество аспектов, в том числе:
нормативное урегулирование процесса обмена персональными данными между участниками информационного обмена;
установление организационно-правового режима использования информационных ресурсов и ответственности субъектов за соблюдение этого режима;
реализацию комплекса организационных и технических мер обеспечению конфиденциальности целостности и доступности персональных данных;
предоставление персоналу школы необходимых сведений для сознательного поддержания установленного уровня защищенности персональных данных;
организацию постоянного контроля эффективности принятых мер защиты и функционирования системы защиты персональных данных;
создание резервов и возможностей по ликвидации последствий нарушения режима защиты персональных данных и восстановления их безопасности.
Примерный состав документов, необходимых для организации защиты персональных данных в школе приведен в Приложении № 9.
Регламент обеспечения безопасности информации.
Одним из важнейших документов является Регламент обеспечения безопасности информации. Именно этот документ определяют общие правила разграничения доступа к информационным ресурсам, основные обязанности и ответственность конкретных субъектов за обеспечение безопасности персональных данных с учетом сложившегося делового стиля общения при информационном обмене. Как правило, Регламент устанавливает:
правила обеспечения режима защиты персональных данных;
роли и ответственность персонала школы за обеспечение безопасности персональных данных, требования по соблюдению конфиденциальности;
правила регистрации пользователей школьных информационных систем и назначения им прав доступа;
процедуры управления информационными ресурсами в соответствии с установленными правилами разграничения доступа;
правила работы пользователей с защищаемыми информационными ресурсами, меры по поддержанию требуемого порядка допуска к операциям с информацией
порядок организации физической защиты средств обработки персональных данных;
порядок проведения регламентных работ и сервисного обслуживания на оборудовании школьных информационных систем;
порядок контроля режима защиты персональных данных и реагирования на нарушения режима защиты (разбор инцидентов);
порядок ликвидации последствий при возникновении нештатных ситуаций и нарушении установленного режима защиты.
Рекомендации по разработке организационно-распорядительных документов.
Чтобы не запутаться и чего-нибудь не пропустить, при подготовке организационно-распорядительных документов:
уясните какие вопросы обеспечения безопасности персональных данных подлежат регулированию предполагаемым к разработке локальным нормативным актом;
уясните с учетом правомочий субъектов информационных отношений к чьей компетенции относятся вопросы, подлежащие регулированию;
выберите, тип организационно-распорядительного документа, подлежащего к разработке;
ознакомьтесь с «Примерным рекомендуемым перечнем документов, которые необходимы для обеспечения защиты персональных данных» (см. Приложение) и уточните какие из уже разработанных в школе локальных нормативных актов могут содержать нормы, затрагивающие предполагаемую область регулирования;
сформулируйте необходимые для регулирования отношений нормы, учитывая требуемый состав мер защиты, уже имеющиеся документы, и подготовьте проект локального нормативного акта;
проверьте, есть ли действующие нормативные документы, регулирующие аналогичные или смежные вопросы, оцените необходимость внесения в них изменений и подготовьте такие изменения;
определите (при необходимости) состав дополнительных документов более низкого уровня, которые необходимо разработать в развитие положений проекта локального нормативного акта.
Техническая составляющая
Техническая составляющая системы защиты персональных данных направлена на реализацию технических мер защиты информации и формируется на следующих основных принципах:
системности и комплексности;
максимальной дружественности к персоналу;
оптимальности и разумной разнородности;
простоты применения;
разумной достаточности.
В состав технической составляющей включаются различные технические программные и программно-аппаратные устройства, в том числе и криптографические, а также средства контроля и управления, реализующие те или иные механизмы защиты информации. Формирование этой составляющей в основном, сводится к техническому проектированию и построению системы защиты информационной системы , соответствующей установленному уровню защищенности персональных данных. Средства защиты позволяют локализовать защищаемые информационные ресурсы, обеспечить к ним санкционированный доступ, защитить персональные данные при передаче по каналам связи. Результатом реализации технических мер защиты персональных данных должно быть:
снижение вероятности реализации актуальных угроз персональным данным;
поддержание полноты и неизменности информационных ресурсов, задействованных в обработке персональных данных;
определение подлинности субъекта доступа и отслеживание действий всех субъектов информационных отношений.
Проектирование системы защиты, реализующей установленные технические меры – процесс сложный. В частности он предполагает:
разработку решений по применению средств защиты и средств контроля;
разработку технического проекта системы защиты информации;
разработку рабочей документации системы защиты информации;
организацию поставки средств защиты информации;
тестирование технических средств и программного обеспечения.
реализацию проектных решений;
проверку способности персонала обеспечить функционирование системы защиты;
настройка и наладка технических и программных средств защиты информации;
Оценка эффективности реализованных технических мер защиты.
Разработка проектной и рабочей конструкторской документации систему защиты персональных данных, реализующую технические меры крайне важна и этим этапом нельзя пренебрегать. Она не только фиксирует состояние системы на момент ее создания, но и все изменения, которые могут произойти в процессе ее эксплуатации. С одной стороны наличие такой документации позволит обосновать перед надзорными органами правильность реализации технических мер защиты в случае возникновения инцидентов, а с другой стороны – позволит найти и устранить любые неисправности в системе защиты персональных данных даже в случае увольнения сотрудников, непосредственно участвовавших в ее создании, настройке и наладке. Кроме того, такая документация позволяет производить периодическую проверку работоспособности и правильности настройки средств защиты, которая определена документами регуляторов46.
Отметим, что несмотря на то, что в настоящее время многими производителями средств защиты разработаны различные типовые решения по защите информации, в школе не всегда имеются специалисты, способные правильно и грамотно спроектировать систему защиты персональных данных. Поэтому, по всей вероятности, для выполнения данных работ потребуется привлечение специализированных организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
|
