Видеонаблюдение
Домофоны
Системы контроля доступа
Сигнализации
Главная » Блог » Приказ о назначении ответственного за информационную безопасность

Приказ о назначении ответственного за информационную безопасность


Назначение ответственных

Автор SecFAll-info, Март 21st, 2017

Назначение ответственных

5 (100%) 1 голос(а)

Очень важный этап. Нужно назначить ответственность и распределить обязанности.

Нам понадобиться несколько ответственных:

Зачем нужен Кого назначить Как лучше назначить
Ответственный за защиту информации в организации

Отвечает за организацию мероприятий, направленных на защиту информации глобально во всей организации:

  • организацию обработки защищаемой информации (как с применением средств автоматизации, так и без них) в соответствии с требованиями Политики ИБ, в том числе разработка документов на основе Политики ИБ, планирование мероприятий, согласование документов, влияющих на информационную безопасность;
  • контроль исполнения требований Политики ИБ в структурных подразделениях Общества.

На эту роль может быть назначен как отдельный сотрудник, так специализированное структурное подразделение (например отдел защиты информации).

Не рекомендуется назначать на эту роль тех сотрудников, которые отвечают за эксплуатацию информационных систем (системные администраторы, ИТ отделы). Подобное назначение может привести к саботированию исполнения требований ИБ, так требования эти зачастую усложняют жизнь таким сотрудникам.

Мы уже назначили его в Политике ИБ. Но если Вы решили исключить эту норму из документа, то целесообразно назначить ответственного отдельным документом.

В случае, если на роль назначается отдельный сотрудник, то его права, обязанности и ответственность лучше прописать в должностной инструкции. В этом случае ответственного назначаем приказом.

В случае, если на роль назначается специализированное подразделение, то рекомендуется разработать отдельное положение, раскрывающее права и обязанности такого подразделение (Положение об отделе, Положение о департаменте). Приказ о вводе положения и будет документом о назначении ответственного.
Ответственный за эксплуатацию информационных систем.

Отвечает за правильную эксплуатацию и техническое обслуживание прикладных программных и аппаратных компонентов, поддержание их в работоспособном состоянии. Либо отвечает за организацию такой эксплуатации (зависит от масштабов организации).

Это может быть как отдельный сотрудник, так и подразделение. Зависит от масштабов организации. (Директор ИТ департамента, ИТ отдел, системный администратор).

Вполне возможно, что в Вашей организации есть несколько сложных информационных систем. Вполне возможно, что у Вас есть специализированные отделы по эксплуатации каждой из систем (например отдел 1С, отдел СЭД и пр.). В этом случае целесообразно назначить нескольких ответственных. Каждый будет отвечать за свою систему (группу систем).

В случае, если на роль назначается отдельный сотрудник, то его права, обязанности и ответственность лучше прописать в должностной инструкции. В этом случае ответственного назначаем приказом.

В случае, если на роль назначается специализированное подразделение, то рекомендуется разработать отдельное положение, раскрывающее права и обязанности такого подразделение (Положение об отделе, Положение о департаменте). Приказ о вводе положения и будет документом о назначении ответственного.
Ответственный за организацию обработки персональных данных

Отвечает за организацию обработки персональных данные в соответствии с требования законодательства, нормативных документов регуляторов и внутренних документов организации:

  • организацию обработки персональных данных (как с применением средств автоматизации, так и без них) в соответствии с требованиями законодательства, нормативных документов регуляторов и внутренних документов организации, в том числе разработка документов на основе Политики ИБ, планирование мероприятий, согласование документов, влияющих на интересы субъектов персональных данных;
  • контроль исполнения требований по работе с персональными данными, контроль исполнения Политики ИБ (в части защиты персональных данных) в структурных подразделениях Общества.

ФЗ-152 устанавливает общие требования по обеспечению безопасности персональных данных.

Требования к защите персональных данных при их обработке в информационных системах персональных данных, утверждённые Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 детализирует требования по безопасности при автоматизированной обработке персональных данных.

Пункт 14 Требований предусматривает необходимость назначения должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

Исходя из требований ПП-1119 это должен быть именно отдельный сотрудник (работник). Возложить ответственность на подразделение в данном случае не возможно.

Ответственный назначается приказом руководителя организации. Пример приказа приведён ниже.

Его права и обязанности можно вписать в должностную инструкцию, а можно сделать отдельный документ — Положение об ответственном за организацию обработки персональных.
Ответственный за ведение конфиденциального делопроизводства
Отвечает за ведение конфиденциального делопроизводства (получение, учёт, передача, отправка, хранение документов, содержащих коммерческую тайну) На эту роль целесообразно назначить того же работника, который ведет обычное делопроизводство в вашей организации. Или нескольких работников, если у Вас очень интенсивный обмен конфиденциальными документами. Назначается приказом руководителя. Руководствуется Инструкцией по конфиденциальному делопроизводству и иными документами по режиму коммерческой тайны.

Шаблон приказа здесь.

Вы можите оставить комментарий, или поставить трэкбек со своего сайта.

О назначении ответственного за обеспечение безопасности персональных данных информационных систем персональных данных

Главная» Образцы ОРД» Приказы»О назначении ответственного за обеспечение безопасности персональных данных информационных систем персональных данных Можно скачать этот документ в формате MS Word. Скачивание доступно только зарегистрированным пользователям.

__________________________________________________________________________________________________________________

ПРИКАЗ

«___» __________ 201_ г.

№ _______

О назначении ответственного за обеспечение безопасности персональных данных информационных систем персональных данных _________________________

В целях исполнения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119,

п р и к а з ы в а ю:

Директор

фамилия и инициалы
Войдите или зарегистрируйтесь, чтобы оставлять комментарии.Забыли пароль?

Приказ об информационной безопасности

1. Общие положения

1.1. Использование сети Интернет в школе направлено на решение задач учебно-воспитательного процесса.

1.2. Настоящие Правила регулируют условия и порядок использования сети Интернет в школе.

1.3. Настоящие Правила имеют статус локального нормативного акта школы.

2. Организация использования сети Интернет в общеобразовательном учреждении

2.1. Вопросы использования возможностей сети Интернет в учебно-образовательном процессе рассматриваются на педагогическом совете школы. Педагогический совет утверждает Правила использования сети Интернет на учебный год. Правила вводится в действие приказом директора школы. 

2.2. При разработке правил использования сети Интернет педагогический совет руководствуется:

- законодательством Российской Федерации;

- опытом целесообразной и эффективной организации учебного процесса с использованием информационных технологий и возможностей Интернета;

- интересами обучающихся;

- целями образовательного процесса;

- рекомендациями профильных органов и организаций в сфере классификации ресурсов Сети.

2.3. Директор отвечает за обеспечение эффективного и безопасного доступа к сети Интернет в школе, а также за выполнение установленных правил. Для обеспечения доступа участников образовательного процесса к сети Интернет в соответствии с установленным в школе правилами директор   назначает своим приказом ответственного за организацию работы с Интернетом и ограничение доступа.

2.4. Во время уроков и других занятий в рамках учебного плана контроль использования обучающимися сети Интернет осуществляет учитель, ведущий занятие.

При этом учитель:

- наблюдает за использованием компьютера и сети Интернет обучающимися;

- принимает меры по пресечению обращений к ресурсам, не имеющим отношения к образовательному процессу.

2.5. Во время свободного доступа обучающихся к сети Интернет вне учебных занятий, контроль использования ресурсов Интернета осуществляют работники  МБОУ Октябрьская СОШ, определенные приказом его руководителя.

Работник образовательного учреждения:

- наблюдает за использованием компьютера и сети Интернет обучающимися;

- принимает меры по пресечению  обращений к ресурсам, не имеющих отношения к образовательному процессу;

- сообщает классному руководителю о преднамеренных попытках обучающегося осуществить обращение к ресурсам, не имеющим отношения к образовательному процессу.

2.6. При использовании сети Интернет в школе обучающимся предоставляется доступ только к тем ресурсам, содержание которых не противоречит законодательству Российской Федерации и которые имеют прямое отношения к образовательному процессу. Проверка выполнения такого требования осуществляется с помощью специальных технических средств и программного обеспечения контентной фильтрации, установленного в школе или предоставленного оператором услуг связи.

2.7. Отнесение определенных ресурсов и (или) категорий ресурсов в соответствующие группы, доступ к которым регулируется техническим средствами и программным обеспечением контентной фильтрации, в соответствии с принятыми в школе правилами обеспечивается работником МБОУ Октябрьская СОШ, назначенным его директором.

2.8. Принципы размещения информации на интернет-ресурсах МБОУ Октябрьская СОШ  призваны обеспечивать:

- соблюдение действующего законодательства Российской Федерации, интересов и прав граждан;

- защиту персональных данных обучающихся, учителей и сотрудников;

- достоверность и корректность информации.

2.9. Персональные данные обучающихся (включая фамилию и имя, класс/год обучения, возраст, фотографию, данные о месте жительства, телефонах и пр., иные сведения личного характера) могут размещаться на интернет-ресурсах, создаваемых МБОУ Октябрьская СОШ, только с письменного согласия родителей или иных законных представителей обучающихся. Персональные данные учителей и сотрудников МБОУ Октябрьская СОШ  размещаются на его интернет-ресурсах только с письменного согласия лица, чьи персональные данные размещаются.

2.10. В информационных сообщениях о мероприятиях, размещенных на сайте МБОУ Октябрьская СОШ без уведомления и получения согласия упомянутых лиц или их законных представителей, могут быть указаны лишь фамилия и имя обучающегося либо фамилия, имя и отчество учителя, сотрудника или родителя.

2.11. При получении согласия на размещение персональных данных представитель МБОУ Октябрьская СОШ  обязан разъяснить возможные риски и последствия их опубликования. МБОУ Октябрьская СОШ  не несет ответственности за такие последствия, если предварительно было получено письменное согласие лица (его законного представителя) на опубликование персональных данных.

 3. Использование сети Интернет

3.1. Использование сети Интернет в МБОУ Октябрьская СОШ  осуществляется, как правило, в целях образовательного процесса.

3.2. По разрешению лица, ответственного за организацию в МБОУ Октябрьская СОШ работы сети Интернет и ограничение доступа, учителя, сотрудники и обучающиеся вправе:

- размещать собственную информацию в сети Интернет на интернет-ресурсах школы;

- иметь учетную запись электронной почты на интернет-ресурсах школы.

3.3. Обучающемуся запрещается:

- обращаться к ресурсам, содержание и тематика которых не допустимы для несовершеннолетних и/или нарушают законодательство Российской Федерации (эротика, порнография, пропаганда насилия, терроризма, политического или религиозного экстремизма, национальной, расовой и т.п. розни, иные ресурсы схожей направленности);

- осуществлять любые сделки через Интернет;

 - осуществлять загрузки файлов на компьютер школы без специального разрешения;

- распространять оскорбительную, не соответствующую действительности, порочащую других лиц информацию, угрозы.

3.4. При случайном обнаружении ресурса, содержание которого не имеет отношения к образовательному процессу, обучающийся обязан незамедлительно сообщить об этом учителю, проводящему занятие. Учитель обязан зафиксировать доменный адрес ресурса и время его обнаружения и сообщить об этом лицу, ответственному за работу локальной сети и ограничение доступа к информационным ресурсам.

Ответственный обязан:

- принять информацию от учителя;

- направить информацию о некатегоризированном ресурсе оператору технических средств и программного обеспечения технического ограничения доступа к информации (в течение суток);

- в случае явного нарушения обнаруженным ресурсом законодательства Российской Федерации сообщить о нем по специальной «горячей линии» для принятия мер в соответствии с законодательством Российской Федерации (в течение суток).

Передаваемая информация должна содержать:

- доменный адрес ресурса;

- сообщение о тематике ресурса, предположения о нарушении ресурсом законодательства Российской Федерации либо его несовместимости с задачами образовательного процесса;

- дату и время обнаружения;

- информацию об установленных в МБОУ Октябрьская СОШ технических средствах технического ограничения доступа к информации.

Приказ о назначении ответственного по информационной безопасности — Советы юристов

В целях обеспечения режима конфиденциальности проводимых работ и в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,

Назначить Ответственным за организацию обработки персональных данных на объектах информатизации, а также Ответственным за обеспечение безопасности персональных данных в информационной системе персональных данных МАОУ «Средняя общеобразовательная школа № 30 г. Йошкар-Олы» руководителя УМЦИТиМ В.Э. Цвирко.

Назначить Администратором информационной безопасности МАОУ «Средняя общеобразовательная школа № 30 г. Йошкар-Олы» администратора вычислительной сети (системного администратора) И.Г. Сергеева.

Назначить Администратором информационной системы персональных данных «Средняя общеобразовательная школа № 30 г. Йошкар-Олы» лаборанта М.Ю. Горшенину.

Возложить ответственность за эксплуатацию объектов вычислительной техники МАОУ «Средняя общеобразовательная школа № 30 г. Йошкар-Олы» на заместителя директора (учебная работа начальной школы), заместителя директора (учебная работа основной и средней школы), руководителя УМЦИТиМ, главного бухгалтера, документоведа, специалиста по кадрам.

Назначить Ответственными за защиту информации при неавтоматизированной обработке персональных данных МАОУ «Средняя общеобразовательная школа № 30 г. Йошкар-Олы» заместителя директора (учебная работа начальной школы), заместителя директора (учебная работа основной и средней школы), заместителя директора (воспитательная работа), руководителя УМЦИТиМ, педагог – библиотекарь, главного бухгалтера, документоведа, специалиста по кадрам, медицинскую сестру.

Неавтоматизированную обработку персональных данных осуществлять с учетом требований Положения «Об особенностях обработки персональных данных без использования средств автоматизации», утвержденного Постановлением Правительства № 687 от 15 сентября 2008 г.

Обработку информации, отнесенной законами Российской Федерации к персональным данным, производить на объектах информатизации, в соответствии с Приказом № ___ от 5 декабря 2013 г. «О вводе в эксплуатацию объектов вычислительной техники» и Списком должностей работников, уполномоченных на автоматизированную обработку персональных данных работников, обучающихся и родителей (законных представителей) обучающихся.

Специалисту по кадрам, документоведу ознакомить с настоящим Приказом всех вышеуказанных лиц под личную подпись.

Контроль за исполнением настоящего Приказа оставляю за собой.

rme30school.ru

Приказ о назначении ответственного по информационной безопасности

Отвечает за организацию мероприятий, направленных на защиту информации глобально во всей организации:

  • организацию обработки защищаемой информации (как с применением средств автоматизации, так и без них) в соответствии с требованиями Политики ИБ, в том числе разработка документов на основе Политики ИБ, планирование мероприятий, согласование документов, влияющих на информационную безопасность;
  • контроль исполнения требований Политики ИБ в структурных подразделениях Общества.

    • На эту роль может быть назначен как отдельный сотрудник, так специализированное структурное подразделение (например отдел защиты информации).

    Не рекомендуется назначать на эту роль тех сотрудников, которые отвечают за эксплуатацию информационных систем (системные администраторы, ИТ отделы). Подобное назначение может привести к саботированию исполнения требований ИБ, так требования эти зачастую усложняют жизнь таким сотрудникам.

    Мы уже назначили его в Политике ИБ. Но если Вы решили исключить эту норму из документа, то целесообразно назначить ответственного отдельным документом.

    В случае, если на роль назначается отдельный сотрудник, то его права, обязанности и ответственность лучше прописать в должностной инструкции. В этом случае ответственного назначаем приказом.

    В случае, если на роль назначается специализированное подразделение, то рекомендуется разработать отдельное положение, раскрывающее права и обязанности такого подразделение (Положение об отделе, Положение о департаменте). Приказ о вводе положения и будет документом о назначении ответственного.

    Отвечает за правильную эксплуатацию и техническое обслуживание прикладных программных и аппаратных компонентов, поддержание их в работоспособном состоянии. Либо отвечает за организацию такой эксплуатации (зависит от масштабов организации).

    Это может быть как отдельный сотрудник, так и подразделение. Зависит от масштабов организации. (Директор ИТ департамента, ИТ отдел, системный администратор).

    Вполне возможно, что в Вашей организации есть несколько сложных информационных систем. Вполне возможно, что у Вас есть специализированные отделы по эксплуатации каждой из систем (например отдел 1С, отдел СЭД и пр.). В этом случае целесообразно назначить нескольких ответственных. Каждый будет отвечать за свою систему (группу систем).

    Отвечает за организацию обработки персональных данные в соответствии с требования законодательства, нормативных документов регуляторов и внутренних документов организации:

  • организацию обработки персональных данных (как с применением средств автоматизации, так и без них) в соответствии с требованиями законодательства, нормативных документов регуляторов и внутренних документов организации, в том числе разработка документов на основе Политики ИБ, планирование мероприятий, согласование документов, влияющих на интересы субъектов персональных данных;
  • контроль исполнения требований по работе с персональными данными, контроль исполнения Политики ИБ (в части защиты персональных данных) в структурных подразделениях Общества.

    • ФЗ-152 устанавливает общие требования по обеспечению безопасности персональных данных.

    Требования к защите персональных данных при их обработке в информационных системах персональных данных, утверждённые Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 детализирует требования по безопасности при автоматизированной обработке персональных данных.

    Пункт 14 Требований предусматривает необходимость назначения должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

    Исходя из требований ПП-1119 это должен быть именно отдельный сотрудник (работник). Возложить ответственность на подразделение в данном случае не возможно.

    Ответственный назначается приказом руководителя организации. Пример приказа приведён ниже.

    Его права и обязанности можно вписать в должностную инструкцию, а можно сделать отдельный документ — Положение об ответственном за организацию обработки персональных.

    secfall.com

    МБОУ СОШ №31 г.Кирова

    Приветствуем вас и благодарим за то, что вы нашли время зайти на наш сайт! Очень надеемся, что знакомство с нашей образовательной организацией будет для вас интересным.

    Подробнее. Директор школы КирилловыхНина Борисовна.

    Информационным системам и сетям угрожают такие опасности, как: компьютерное мошенничество, компьютерные вирусы, хакеры, вандализм, хищение, разглашение конфиденциальной информации и другие виды угроз. В процентном отношении, по различным оценкам специалистов, данные угрозы в среднем распределяются следующим образом:

  • разглашение информации в результате подкупа работников;
  • копирование программ и данных;
  • проникновение в ПЭВМ;
  • подслушивание переговоров.

    • Анализ состояния дел в области информационной безопасности позволяет сделать вывод, что система мер, обеспечивающая защиту информации, значительно уменьшает возможность ее утечки, несанкционированного доступа, разглашения и потери информации. Главным является обеспечение бесперебойной работы организации и сведение к минимуму ущерба от событий, таящих угрозу информационной безопасности.

    Тем не менее опыт показывает, что число попыток, направленных на несанкционированное получение информации, не сокращается, а имеет устойчивую тенденцию к росту. Для успешного противодействия этой тенденции необходима стройная и управляемая система информационной безопасности (далее – СИБ).

    СИБ должна обязательно обеспечивать:

  • конфиденциальность (защиту информации от несанкционированного раскрытия или перехвата);
  • целостность (точность и полноту информации и компьютерных программ);
  • доступность (возможность получения пользователями информации в пределах их компетенции).

    • С учетом зарубежного и отечественного опыта обеспечение информационной безопасности осуществляется по следующим направлениям:

  • правовая защита – это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;
  • организационная защита – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба;
  • инженерно-техническая защита – это использование различных технических средств, препятствующих нанесению ущерба.

    • При построении системы информационной безопасности решающую роль играет организационная защита. В первую очередь необходимо учесть следующие аспекты:

    1. Безопасность информации может быть обеспечена при комплексном использовании всего арсенала имеющихся средств защиты.
    2. Никакая система защиты информации не может обеспечить требуемого уровня безопасности информации без соответствующей подготовки пользователей и соблюдения ими установленных правил.
    3. Процесс построения системы информационной безопасности не является разовым мероприятием. Он должен постоянно совершенствоваться, быть управляемым. Такой подход является главным стратегическим звеном во всей системе информационной безопасности, а информация – главным элементом защиты.

      4. Следует помнить, что информация существует в различных формах. Ее можно хранить на компьютерах, передавать по локальным сетям и через Интернет, распечатывать на бумажных носителях, копировать, сканировать, а также озвучивать в разговорах. В целях безопасности все виды носителей информации (документы, пленки, магнитные ленты, дискеты, диски и др.), используемые для ее хранения, должны быть надлежащим образом защищены.

      Очень часто, рассматривая информационную безопасность, путают и отождествляют два понятия: «компьютерная безопасность» и «информационная безопасность». Это неверно. «Компьютерная безопасность» очень важна, но она является только одной из составляющих «информационной безопасности».

      Какую же работу необходимо проделать образовательному учреждению (далее – ОУ) для обеспечения компьютерной безопасности?

      Во-первых, целесообразно обеспечить защиту компьютеров от внешних несанкционированных воздействий (компьютерные вирусы, логические бомбы, атаки хакеров и т. д.). Решение данной проблемы возможно только при условии, исключающем вывод локальных сетей ОУ на Интернет, либо размещение своего сайта у удаленного провайдера.

      Во-вторых, необходимо иметь как минимум два сервера. Наличие хороших серверов позволит протоколировать любые действия работников ОУ в вашей локальной сети.

      В-третьих, необходимо установить строгий контроль за электронной почтой, обеспечив постоянный контроль за входящей и исходящей корреспонденцией.

      Нелишним будет установка соответствующих паролей на персональные ЭВМ, а также определение работы с информацией на съемных носителях ЭВМ (дискеты, диски). И самое главное, класс информатики не должен быть подключен к локальным сетям ОУ.

      В дальнейшем могут быть применены и аппаратные средства защиты информации, в т. ч. и ПЭВМ.

      В свою очередь, ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях по защите информации» определяет порядок защиты информации. В соответствии с данной статьей защита информации представляет собой принятие правовых, организационных и технических мер. Меры должны быть направлены на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.

      Кроме того, определяется и ответственность граждан за защиту информации. Так, п. 5 ст. 9 Закона № 149-ФЗ гласит: «Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению такой информации».

      Такая обязанность возлагается Трудовым кодексом РФ (далее – ТК РФ), гл. 14 которого определяет защиту персональных данных работника. В соответствии со ст. 90 ТК РФ: «Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами».

      Для развития данных положений в РФ 27.07.2006 принят Федеральный закон № 152-ФЗ «О персональных данных», который вступил в силу с 1 января 2008 г. Его основной целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в т. ч. защиты прав на неприкосновенность частной жизни, личную и семейную тайны.

      Статья 3 данного закона определяет: «Персональные данные – любая информация, относящаяся к определенному или неопределенному на основании такой информации лицу (субъекту персональных данных), в т. ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».

      Оценивая законодательную базу, следует обратить внимание, что к объектам информационной безопасности в Минобрнауки России, региональных министерствах (департаментах) образования, муниципальных органах управления образованием и в ОУ относят:

    4. сведения, составляющие государственную тайну, в соответствии с выпи­сками из перечня сведений, подлежащих засекречиванию в министерствах, ведомствах и организациях;
    5. информационные ресурсы, содержащие документированную информацию, в соответствии с перечнем сведений конфиденциального характера;
    6. информацию, защита которой предусмотрена законодательными актами РФ, в т. ч. и персональные данные;
    7. средства и системы информатизации, программные средства, автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации с ограниченным доступом.

      8. Таким образом, можно сделать вывод, что информационная безопасность является одним из составных элементов комплексной безопасности ОУ. Уже сегодня назрела необходимость рассматривать ее как одну из основных составляющих безопасности ОУ.

      Учитывая изложенное, под информационной безопасностью ОУ следует понимать состояние защищенности информационных ресурсов, технологий их формирования и использования, а также прав субъектов информационной деятельности.

      Построение системы информационной безопасности ОУ происходит следующим образом. На первом этапе определяется, что подлежит защите. На втором этапе выявляются возможные каналы утечки информации и определяются возможные угрозы информационным системам. Далее вырабатываются меры по защите информации и технологических систем. На основе выработанных мер защиты разрабатываются нормативно-правовые документы, регламентирующие информационную безопасность. В последующем организуется контроль за соблюдением установленных правил. При таком подходе система информационной безопасности будет направлена на предупреждение угроз, их своевременное выявление, обнаружение, локализацию и ликвидацию.

      В целях обеспечения информационной безопасности и ее организации, на основании законодательных документов, в ОУ следует разрабатывать соответствующие нормативно-правовые акты.

      Правовые нормы обеспечения информационной безопасности в конкретном ОУ фиксируются в учредительных, организационных и функциональных документах.

      Требования обеспечения информационной безопасности отражаются в уставе (учредительном договоре) в виде следующих положений:

    8. ОУ имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, персональных данных учащихся, работников ОУ, требовать от своих сотрудников обеспечения сохранности и защиты этих сведений от внешних и внутренних угроз;
    9. ОУ обязано обеспечить сохранность конфиденциальной информации.

      10. Такие требования дают право администрации ОУ:

    10. назначить ответственного за обеспечение информационной безопасности;
    11. издавать нормативные и распорядительные документы, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты;
    12. включать требования по обеспечению информационной безопасности в коллективный договор;
    13. включать требования по защите информации в договоры по всем видам деятельности;
    14. разрабатывать перечень сведений конфиденциального характера;
    15. требовать защиты интересов ОУ со стороны государственных и судебных инстанций.

      16. К организационным и функциональным документам следует отнести:

    16. приказ руководителя ОУ о назначении ответственного за обеспечение информационной безопасности;
    17. должностные обязанности ответственного за обеспечение информационной безопасности;
    18. перечень защищаемых информационных ресурсов и баз данных;
    19. инструкцию, определяющую порядок предоставления информации сторонним организациям по их запросам, а также по правам доступа к ней сотрудников ОУ.

      20. Данный перечень документов не является исчерпывающим. В зависимости от особенностей, специфики и характера ОУ он может быть расширен и дополнен.

      Кроме того, должен быть определен порядок допуска сотрудников ОУ к информации. Такой допуск предусматривает:

      • принятие работником обязательств о неразглашении доверенных ему сведений конфиденциального характера;
      • ознакомление работника с нормами законодательства РФ и ОУ об информационной безопасности и ответственности за разглашение информации конфиденциального характера;
      • инструктаж работника специалистом по информационной безопасности;
      • контроль работника ответственным за информационную безопасность при работе с информацией конфиденциального характера.

        • Как показала практика, при проверке организации системы информационной безопасности, как правило, отмечаются следующие недостатки:

      • отсутствует перечень сведений, составляющий конфиденциальную информацию;
      • отсутствуют должностные обязанности ответственного за информационную безопасность;
      • не соблюдается порядок учета носителей информации конфиденциального характера;
      • нарушен порядок делопроизводства.

        • Самым серьезным недостатком в организации информационной безопасности является отсутствие взаимопонимания между теми, кто обеспечивает информационную безопасность, и теми, кто пользуется данной информацией. Нередко пользователи информации нарушают порядок обращения с ней и не соблюдают требования нормативно-правовых документов, регламентирующих информационную безопасность. Решение данной проблемы возможно только при соблюдении принципов информационной безопасности, постоянной требовательности по соблюдению конфиденциальности со стороны руководителя ОУ.

        С учетом этих недостатков для обеспечения информационной безопасности в ОУ требуется проведение следующих первоочередных мероприятий:

      • защита интеллектуальной собственности ОУ;
      • защита компьютеров, локальных сетей и сети подключения к системе Интернета в классе информатики ОУ;
      • организация защиты конфиденциальной информации, в т. ч. персональных данных работников и учащихся ОУ;
      • учет всех носителей конфиденциальной информации.

        • Реализация данного комплекса мер вносит кардинальные изменения в организацию работы с информационными ресурсами и технологиями, а также делопроизводства, в т. ч. и по вопросам безопасности.

        При таком подходе, основными составными задачами делопроизводства станут: документирование информации, учет документов, организация документооборота, обеспечение надежного хранения документов, своевременное их уничтожение, проверка наличия хранящихся документов, контроль за своевременным и правильным их исполнением.

        Необходимо помнить, что не на всяком документе имеется гриф «Для служебного пользования» («Ограниченного пользования»), однако это не означает, что такой документ не представляет никакой ценности. Не бывает важных или не очень важных документов. Самый малозначительный, на первый взгляд документ, при определенных обстоятельствах может оказаться чрезвычайно важным. Организация вышеперечисленных мероприятий позволит избежать непредвиденных ситуаций, путаницы и неразберихи.

        Следует отметить, что при организации делопроизводства необходимо выявить и учесть все возможные каналы утечки информации. Наиболее характерными каналами утечки информации для ОУ могут стать разглашение, хищение и несанкционированный доступ.

        Учитывая эти аспекты, систему организации делопроизводства можно представить в следующем виде:

      • учет всей документации ОУ, в т. ч. и на электронных носителях, с классификацией по сфере применения, дате, содержанию;
      • регистрация и учет всех входящих (исходящих) документов ОУ в специальном журнале информации о дате получения (отправления) документа, откуда поступил или куда отправлен, классификация (письмо, приказ, распоряжение и т. д.);
      • регистрация документов, с которых делаются копии, в специальном журнале (дата копирования, количество копий, для кого или с какой целью производится копирование);
      • особый режим уничтожения документов.

        • Уничтожать документы можно с помощью уничтожителя бумаг, или сжиганием. В обязательном порядке нужно составлять об этом акт, подписываемый комиссией, назначенной приказом руководителя ОУ.

        Для облегчения контроля все документы следует разделить на две группы: для общего пользования и для служебного пользования (ограниченного пользования).

        Документам каждой категории необходимо присвоить свой гриф. Это можно сделать при помощи штампов, специальных отметок или цветового выделения (для общего пользования – зеленый цвет, для служебного – красный).

        При присвоении соответствующего грифа соблюдаются определенные правила, которые необходимо учитывать в своей работе:

      • ответственность за присвоение соответствующего грифа несет исполнитель документа, а субъектом оценки его присвоения является руководитель ОУ;
      • ценность информации определяется с помощью таких критериев, как полезность, своевременность, актуальность, достоверность, конфиденциальность;
      • информация подлежит защите при условии, что доступ к ней закрыт на законном основании.

        • В ходе использования, передачи, копирования и исполнения документов также необходимо соблюдать определенные правила:

      • Все документы, независимо от грифа, передаются исполнителю под роспись в журнале учета документов.
      • Документы, дела и издания с грифом «Для служебного пользования» («Ограниченного пользования») должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах. При этом должны быть созданы условия, обеспечивающие их физическую сохранность.
      • Выданные для работы дела и документы с грифом «Для служебного пользования» («Ограниченного пользования») подлежат возврату в канцелярию в тот же день.
      • Передача документов исполнителю производится только через канцелярию или ответственного за организацию делопроизводства.
      • Запрещается выносить документы с грифом «Для служебного пользования» за пределы ОУ.
      • При смене работников, ответственных за учет и хранение документов, дел и изданий, составляется по произвольной форме акт приема-передачи документов.

    Для организации делопроизводства приказом руководителя ОУ назначается ответственное лицо. Делопроизводство ведется на основании инструкции по организации делопроизводства, утвержденной руководителем ОУ. Контроль за порядком его ведения возлагается на ответственного за информационную безопасность.

    Контроль за выполнением требований по организации делопроизводства осуществляется в целях изучения и оценки фактического состояния сохранности документов, выявления недостатков, их устранения, установления причин таких недостатков и нарушений и выработки предложений по совершенствованию системы делопроизводства.

    school31-kirov.ru

    Интернет-ресурсы для педагогических работников:

  • http://www.fid.su/projects/deti-v-internete сайт Фонда Развития Интернет.
  • http://www.ligainternet.ru/ Лига безопасного Интернета.
  • http://ppt4web.ru/informatika/bezopasnyjj-internet.html презентации о безопасном Интернете.
  • http://www.microsoft.com/ru-ru/security/default.aspx сайт Центра безопасности Майкрософт.
  • http://i-deti.org/ портал «Безопасный инет для детей», ресурсы, рекомендации, комиксы
  • http://сетевичок.рф/ сайт для детей — обучение и онлайн-консультирование по вопросам кибербезопасности сетевой безопасности
  • http://www.safe-internet.ru/ — сайт Ростелеком «Безопасно c ть детей в Интернете, библиотека с материалами, памятками, рекомендациями по возрастам
  • http://www.saferunet.ru/ — Центр Безопасного Интернета в России. Сайт посвящен проблеме безопасной, корректной и комфортной работы в Интернете. Интернет-угрозы и эффективное противодействием им в отношении пользователей.
  • http://www.fid.su/ — Фонд развития Интернет. Информация о проектах, конкурсах, конференциях и др. по компьютерной безопасности и безопасности Интернета.
  • 1. Всем подряд сообщать свою частную информацию (настоящие имя, фамилию, телефон, адрес, номер школы, а также фотографии свои, своей семьи и друзей);
  • 2. Открывать вложенные файлы электронной почты, когда не знаешь отправителя;
  • 3. Грубить, придираться, оказывать давление — вести себя невежливо и агрессивно;
  • 4. Не распоряжайся деньгами твоей семьи без разрешения старших – всегда спрашивай родителей;
  • 5. Не встречайся с Интернет-знакомыми в реальной жизни — посоветуйся со взрослым, которому доверяешь.
  • 1. Не все пишут правду. Читаешь о себе неправду в Интернете — сообщи об этом своим родителям или опекунам;
  • 2. Приглашают переписываться, играть, обмениваться- проверь, нет ли подвоха;
  • 3. Незаконное копирование файлов в Интернете- воровство;
  • 4. Всегда рассказывай взрослым о проблемах в сети- они всегда помогут;
  • 5. Используй настройки безопасности и приватности, чтобы не потерять свои аккаунты в соцсетях и других порталах.
  • 1. Уважай других пользователей;
  • 2. Пользуешься Интернет-источником -делай ссылку на него;
  • 3. Открывай только те ссылки, в которых уверен;
  • 4. Общаться за помощью взрослым — родители, опекуны и администрация сайтов всегда помогут;
  • 5. Пройди обучение на сайте «Сетевичок»

    • nv-pk.ru

    Информационная безопасность

    Форма заявления родителей о доступе к сети Интернет

    [attachment=538:forma-zayavleniya-roditeley-o-dostupe-k-seti-internet.pdf]

    Приказ о назначении ответственных за осуществление контентной фильтрации

    [attachment=516:prikaz-o-naznachenii-otvetstvennyh-za-osuschestvlenie-kontentnoy-filtracii.pdf]

    Типовой регламент работ (воспитанников, преподавателей) в интернет пространстве

    [attachment=515:pravila-ispolzovaniya-seti-internet-v-centre.pdf]

    Система классификации информации не имеющие отношение к образовательному процессу

    [attachment=517:sayty-ne-imeyuschie-otnosheniya-k-obrazovatelnomu-processu.pdf]

    Информация об осуществлении контентной фильтрации: Контентная фильтрация осуществляется средствами, установленого на сервеном компьютере, прокси-сервера UserGate

    Локальные нормативные акты, приказы, положения, принятые на уровне Центра в рамках 152-ФЗ «О персональных данных»

    Концепция информационной безопасности

    [attachment=497:koncepciya-informacionnoy-bezopasnosti-ispd.pdf]

    Перечень персональных данных, подлежащих защите

    [attachment=498:perechen-personalnyh-dannyh-podlezhaschih-zaschite.pdf]

    Положение о разграничении прав доступа к обрабатываемым персональным данным

    [attachment=500:polozhenie-o-razgranichenii-prav-dostupa-k-obrabatyvaemym-personalnym-dannym.pdf]

    Положение о политике безопасности

    [attachment=499:polozhenie-o-politike-bezopasnosti.pdf]

    Приказ о назначении ответственного за обеспечение безопасности обработки персональных данных в Центре

    [attachment=501:prikaz-o-naznachenii-otvetstvennogo-za-obespechenie-bezopasnosti-obrabotki-personalnyh-dannyh-v-centre.pdf]

    Информация о регистрации Центра в перечне операторов обрабатывающих персональные данные

    [attachment=496:informaciya-o-registracii-centra-v-perechne-operatorov-obrabatyvayuschih-personalnye-danny.pdf]

    24unior.ru

    Смотрите также