Пакет документов по защите персональных данных для образовательных организаций

Готовые шаблоны документов для государственной образовательной организации (ВУЗ, школа, детский сад) есть в двух вариантах - с самостоятельной бухгалтерией и централизованной бухгалтерией. 2 ИСПДн - работников и учеников - 4-го уровня защищенности. Для ГИС "ГИА и ЕГЭ" и "Контингент" определены уровни защищенности.

Государственные образовательные организации (школы, детские сады, колледжи и пр.)
В данной категории операторов персональных данных (далее - ПД) обработка ПД осуществляется в информационных системах из-за необходимости исполнять ряд постановлений Правительства РФ. Поэтому в каждом регионе (субъекте РФ) есть установленные региональными Департаментами Образования требования и рекомендации к выбору ИС, работа в которой зачастую предоставляется ОУ в удаленном режиме. Обработка ПД в таких системах регламентируется не только 152-ФЗ и прочими документами по защите ПД, но и документами, регламентирующими работу в Государственных информационных системах (ГИС). Подключение к таким системам производится лицензиатами ФСТЭК и ФСБ, которые обычно одновременно с построением защищенных каналов передачи данных разрабатывают необходимую документацию по работе с криптографическими средствами защиты информации и как дополнительную услугу предлагают и защиту персональных данных.

Если все же никаких рекомендаций, готовых шаблонов документов и прочего Вы от своего Департамента Образования не получили, или региональный Департамент сообщил, что Вы должны побеспокоиться о разработке документов самостоятельно, то следует учитывать следующие моменты.

Когда вас подключили к какой-либо ГИС (например, "ГИА", "ЕГЭ", "ФРДО", "Контингент обучающихся"), вы не должны рассматривать ее как свою систему, и иметь в виду, что вы передаете в нее ПД на основании законодательных актов. Вам нужно контролировать доступ к компьютеру, с которого вы работаете в ГИС. У вас будет своя ИСПДн, если на каком-либо компьютере вы храните данные о преподавателях и обучающихся в какой-либо программе. Эти данные вы можете затем передавать в ГИС или никуда не передавать. Это важно понимать, чтобы правильно нарисовать схему потоков передачи ПД.

Другая особенность. Некоторые образовательные учреждения ведут бухгалтерию самостоятельно, чаще же в регионах персональные данные работников передаются в централизованную бухгалтерию. Это учитывается в согласии на обработку персональных данных.

Т.к. все-таки много работы с ПД ведется прежде всего на бумажных носителях, нужно обратить внимание на правильное хранение документов. Впрочем, обычно ОУ получают много рекомендаций Департамента относительно правил безопасности при работе с документами.

Готовый пакет документов по защите ПДн для школы - что это за документы?

В настоящее время все образовательные учреждения (далее – ОУ) подключаются к информационной системе «Контингент обучающихся» (далее – ИС). В разных регионах это происходит с разной скоростью и региональные сегменты ИС могут иметь различные названия, но основное, что необходимо сделать, во всех регионах одинаково. Для подключения к ИС «Контингент обучающихся» нужно подготовить рабочие места (далее – АРМ), установив на них необходимые средства защиты информации, а также проведя аттестацию на соответствие требованиям ФСТЭК для ИСПДн 3-го уровня защищенности (далее – УЗ) или ГИС 3 класса. Аттестацию выполняют организации– лицензиаты ФСТЭК, которые по итогам выдают документы: «Программа и методики аттестационных испытаний…», «Протокол аттестационных испытаний…», «Заключение по итогам аттестационных испытаний…», «Аттестат соответствия…». Некоторые лицензиаты при этом разрабатывают и выдают ОУ ряд организационно-распорядительных документов, которые должны быть в наличии для аттестуемой ИС. Среди них набор инструкций, которые должны иметься в организации, журналы, которые должны вестись в ОУ, а также «Описание технологического процесса обработки…», «Описание определения мер обеспечения безопасности информации…», Модель угроз, Технический паспорт на объект информатизации. Заказывая услугу аттестации проверяйте, входят ли в перечень разрабатываемых лицензиатом документов перечисленные выше. При этом некоторые лицензиаты дополнительно просят предоставить документы по защите персональных данных, имеющиеся в ОУ, которые нужны для аттестации. Это документы как общие, принятые в ОУ с целью соблюдения требований закона 152-ФЗ «О персональных данных», так и различные для каждой имеющейся в ОУ ИСПДн. Если таких документов в ОУ нет, то предлагаемый нами пакет документов закроет этот пробел.

В предлагаемом пакете документов рассматривается 2 ИСПДн:

1) работников (в 2-х вариантах – при централизованной бухгалтерии и при самостоятельном ведении бухгалтерии),

2) обучающихся и их законных представителей.

Пакет организационно-распорядительной документации для ОУ содержит следующие документы:

1. Приказ о создании комиссии по вопросам обеспечения защиты персональных данных и конфиденциальной информации и Положение о комиссии План мероприятий по обеспечению защиты персональных данных

2. Приказ об организации работ по защите информации и персональных данных

3. Акт обследования ИСПДн (приводится описание всех ИСПДн)

4. Приказ об определении границ контролируемой зоны

5. Перечень персональных данных, обрабатываемых в ИСПДн ОУ

6. Перечень персональных данных, обрабатываемых без использования средств автоматизации (без использования средств автоматизации обрабатывается больше ПД, включая медицинские сведения)

7. Перечень защищаемых информационных ресурсов

8. Акты определения уровня защищенности для каждой ИСПДн (ИСПДн работников и ИСПДн обучающихся – 4-й УЗ, ИСПДн «Контингент» - 3-й УЗ)

9. Требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ОУ (Меры обеспечения безопасности для 4-го УЗ. Аналог документа «Описание определения мер обеспечения безопасности информации…», который делается некоторыми лицензиатами для аттестуемой ИСПДн 3-го УЗ)

10. Модель угроз безопасности персональных данных (Для ИСПДн работников и обучающихся. Для ИСПДн «Контингент» модель угроз делает лицензиат перед аттестацией)

11. Положение по обработке персональных данных в ОУ (В 2-х вариантах – при централизованной бухгалтерии и без нее, с образцами согласий на обработку ПДн для работников, представителей учащихся и учащихся, достигших 18 лет)

12. Приказ об утверждении списка должностных лиц, которым необходим доступ к персональным данным, обрабатываемым в ОУ

13. Приказ об утверждении списка должностей, которым необходим доступ к персональным данным, обрабатываемым в ОУ на бумажных носителях (Список сотрудников, работающих с ПД в ИСПДн работников, обучающихся, в ГИС «Контингент», в ГИС «ГИА и ЕГЭ». И список должностей, работающих с ПД без средств автоматизации)

14. Приказы о назначении ответственных (в т.ч. за обработку ПДн, администратора защиты)

15. Инструкция администратора защиты

16. Положение о защите ПДн (Общее положение, которое должно быть на сайте)

17. Инструкция пользователя ИСПДн (Общая инструкция для допущенных к работе с ПДн)

18. Регламент использования Интернет

19. Приказ о принятии «Положения об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных в ОУ» (в Положении описан порядок обеспечения безопасности: правила парольной защиты, антивирусной защиты, резервирования, обновления, обучения и доступа пользователей к работе в ИСПДн, порядок контроля защиты и действий при обнаружении нарушений, удаления информации, управления носителями и др. Даны формы всех необходимых журналов учета)

20. Матрица доступа (для аттестуемой ИС обычно делается лицензиатом)

21. Приказ об организации учета обращений субъектов ПДн о выполнении их законных прав в области защиты ПДн, при обработке ПДн... (включает форму запроса и форму журнала учета обращений)

22. Форма акта уничтожения бумажных носителей ПДн

23. Приказ об утверждении мест хранения материальных носителей

Данных документов обычно бывает достаточно для успешного прохождения проверки Роскомнадзора.

К документам прилагается инструкция и форма с полями. После заполнения полей нужно зайти в документ, выполнить действия из инструкции, и документ заполнится автоматически. Однако документ все равно необходимо прочитать и отредактировать выделенные места уникальной для вашего ОУ информацией.

При использовании шаблонов оказываем бесплатные консультации -
позвоните для этого по телефону +7-961-7500-977.

Для успешного прохождения проверок кто-то из персонала должен быть в теме защиты ПДн, чтобы суметь показать проверяющим наличие того или иного документа и сформулировать пояснительную записку в ответ на запрос проверяющего.

Особое внимание следует обратить на «Перечень ПДн» – он большой, и сокращать его рекомендуется только в случае, если вы абсолютно уверены в том, что удаляемые данные не обрабатываются. Этот перечень должен быть равен тому, что содержится в реестре Роскомнадзора (т.е. был передан вами в РКН ранее), и должен быть равен тому, что указывается в согласии субъектов на обработку ПДн. Если они не равны, нужно привести все в соответствие и при необходимости подать изменения в РКН.

Также важно при смене ответственного за обработку ПДн в ОУ своевременно уведомить об этом РКН.

Готовый пакет шаблонов документов для образовательного учреждения стоит 2900 руб.

Все готовые пакеты содержат обезличенные документы, созданные для реальных заказчиков.

Разработка пакета документов дистанционно под вашу организацию - 10000 руб.

Чтобы заказать пакет документов, свяжитесь по телефону +7-961-7500-977 или электронной почте it45@it45.ru

Контакты

Адрес

г. Курган, ул. Ленина, д. 50, оф. 102

Телефон

+7-961-7500-977

Email

it45@it45.ru