CC BY
109
УДК 34
СИСТЕМА НОРМАТИВНО-ПРАВОВОГО ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБРАЗОВАТЕЛЬНОЙ
ОРГАНИЗАЦИИ
А.В. Гнедков, А.Б. Захаров, Е.С. Мухаметьева, И.В. Худорожков
Статья посвящена анализу Федеральных законов, Постановлений Правительства, Указов Президента, ведомственных приказов контрольно-надзорных органов в области обеспечения информационной безопасности и иных нормативных актов Российской Федерации, формирующих современную систему нормативно-правового обеспечения информационной безопасности в образовательной организации.
Ключевые слова: безопасность, защита информации, криптографические средства защиты информации, персональные данные.
В современном информационном обществе деятельность любой образовательной организации неизбежно связанна с созданием, хранением, распространением, передачей, обработкой и использованием большого количества информации [2]. С одной стороны, информационная открытость и публичность отчетности образовательных организаций закреплены на законодательном уровне [11], однако, с другой стороны, увеличение роли и объема информационных потоков ставят новые задачи, связанные с обеспечением информационной безопасности. В данной статье представлен анализ системы нормативно-правового обеспечения информационной безопасности Российской Федерации с целью определения перечня сведений, подлежащих защите в образовательной организации и формирования базы нормативно-правовых актов, регламентирующих процесс обеспечения информационной безопасности данных в образовательной организации.
Перечень сведений конфиденциального характера закреплен в Указе Президента Российской Федерации от 6 марта 1997 г. .№188 [10]. Перечень представлен следующими позициями: персональные данные; тайна следствия и судопроизводства; служебные сведения; сведения, связанные с профессиональной деятельностью; сведения, связанные
с коммерческой деятельностью; сведения о сущности изобретения; сведения, содержащиеся в личных делах осужденных. Проанализировав представленный перечень и сопоставив его с информацией, обрабатываемой в образовательной организации, получаем, что из всего перечня наиболее актуальными являются сведения, составляющие персональные данные, служебная и коммерческая тайна, а также сведения о сущности изобретения.
Естественно, специфика некоторых образовательных организаций может быть связана и с обработкой других сведений конфиденциального характера, однако в данной статье эти случаи рассматриваться не будут. Проведя анализ существующих нормативных документов в области обеспечения информационной безопасности по каждому из пунктов сведений конфиденциального характера, обрабатываемых в образовательной организации, делаем вывод, что наиболее требовательной является обработка персональных данных. Дальнейший анализ нормативно-правового обеспечения информационной безопасности в образовательной организации будет рассмотрен в рамках обработки персональных данных.
Отношения, связанные с обработкой персональных данных, закреплены Федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных» [11]. Федеральный закон определяет принципы и условия обработки персональных данных, права, обязанности и ответственность всех участников обработки персональных данных. Одной из обязанностей оператора персональных данных, то есть государственного органа, муниципального органа, юридического или физического лицо, самостоятельно или совместно с другими лицами организующего и (или) осуществляющего обработку персональных данных, а также определяющего цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, является обеспечение безопасности.
К мерам по обеспечению безопасности персональных данных можно отнести и обязанность оператора уведомлять уполномоченный орган о начале обработки персональных данных. Порядок направления оператором персональных данных уведомления о начале обработки персональных данных в уполномоченный орган закреплен в Приказе Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения» [8]. Изменения в форме уведомления отражены в Приказе Роскомнадзора от 30.10.2018 № 159 «О внесении изменений в Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утверждённые приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94» [9].
Федеральный закон от 27.07.2006 №152 определяет только меры по обеспечению безопасности персональных данных, требования закреплены в Постановлении Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»[3]. Постановление Правительства №1119 [3]устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищенности таких данных. Особенности обработки персональных данных без использования средств автоматизации, то есть только на бумажных носителях, в свою очередь закреплено в Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»[4]. Нормативно-правовая база обработки персональных данных без использования средств автоматизации ограничивается Постановлением Правит-ельства№687 [4], чего не скажешь об обработ-
ке персональных данных в информационных системах. При обработке сведений, содержащих персональные данные, в информационных системах необходимо первоначально определить уровень защищённости этих сведений и уже в зависимости от этого выполнять требования, закрепленные в Постановлении Правительства [3] и иных нормативных актах, раскрывающих требования данного Постановления.
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных закреплен в Приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [7]. Данный приказ рассматривает как организационные, так и технические меры по обеспечению безопасности персональных данных, однако он не затрагивает вопросы применения средств криптографической защиты информации, то есть средств шифрования.
Все образовательные организации в той или иной мере применяют средства криптографической защиты информации, к которым относятся и средства электронной подписи. Условия и порядок использования средств криптографической защиты информации закреплены в Приказе ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» [5] и Приказе Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты
информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» [6].
Система нормативно-правового обеспечения информационной безопасности образовательной организации состоит из нормативных актов различного уровня: Федеральные законы, Указы президента, Постановления Правительства, ведомственные приказы ФАПСИ, ФСТЭК, ФСБ и Роскомнадзора. Помимо этого, существуют и нормативно-правовые акты регионального уровня, которые также регламентируют процедуры обеспечения информационной безопасности в каждом субъекте Российской Федерации. Для формирования общей картины требований и необходимых мер по обеспечению информационной безопасности конфиденциальной информации, в том числе персональных данных, необходимы ознакомление и анализ более десяти нормативно-правовых актов. Таким образом деятельность по обеспечению безопасности конфиденциальной информации должна носить системный характер, должна быть включена в общую систему менеджмента образовательной организации, а работники образовательной организации - обладать соответствующей квалификацией.
Список литературы
1. Автоматизированная информационная система «Образование Челябинской области» как эффективный механизм обеспечения информационной открытости в сфере образования [Текст] / И.С Боровых, Т.А. Орехова, Т.Б. Белякова, Д.А. Югова // Научно-методическое обеспечение оценки качества образования -2018 - № 1(4). - С.118-122.
2. Ильин, А.С. Обеспечение безопасности информации в образовательной организации в современных условиях [Текст] / А.С. Ильин, Д.С. Ильина // Научно-методическое обеспечение оценки качества образования - 2016. - № 1. - С.48-51.
3. Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных
данных» [Электронный ресурс] - Режим до ступа: http://www.consultant.ru/document/co ns_doc_LAW_137356/ Дата обращения: 18.03.2019.
4. Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» [Электронный ресурс] - Режим доступа: http://base.garant.ru/193875/ Дата обращения: 18.03.2019.
5. Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» [Электронный ресурс] -Режим доступа: http://base.garant.ru/183628/ Дата обращения: 18.03.2019.
6. Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» » [Электронный ресурс] - Режим доступа: http://ivo.garant.ru/#/document/707271 18/paragraph/9:0 Дата обращения: 18.03.2019.
7. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. N 21 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс] - Режим доступа: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691 -prikaz-fstek-rossii-ot-18-fevralya-2013^-п-21 Дата обращения: 18.03.2019.
8. Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекоменда-
ций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения» [Электронный ресурс] - Режим доступа: http://base.garant.ru/71752212/ Дата обращения: 18.03.2019.
9. Приказ Роскомнадзора от 30.10.2018 № 159 «О внесении изменений в Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утверждённые приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94» [Электронный ресурс] - Режим доступа: https://pd.rkn.gov.ru/law/p132/p137/ Дата обращения: 18.03.2019.
10. Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера» [Электронный ресурс] - Режим доступа: http://base.garant.ru/10200083/ Дата обращения: 18.03.2019.
11. Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» [Электронный ресурс] - Режим доступа: http://www.consultant.ru/document/cons_doc_L AW_61801/ Дата обращения: 18.03.2019.
References
1. Avtomatizirovannaya informatsionnaya sistema «Obrazovanie CHelyabinskoy oblasti» kak effektivnyy mekhanizm obespecheniya informatsionnoy otkrytosti v sfere obrazovaniya [Tekst] / I.S Borovykh, T.A. Orekhova, T.B. Belyakova, D.A. Yugova // Nauchno-metodicheskoe obespechenie otsenki kachestva obrazovaniya - 2018 - № 1(4). - S.118-122.
2. Il'in, A.S. Obespechenie bezopasnosti informatsii v obrazovatel'noy organizatsii v sovremennykh usloviyakh [Tekst] / A.S. Il'in, D.S. Il'ina // Nauchno-metodicheskoe obespechenie otsenki kachestva obrazovaniya - 2016. - № 1. -S.48-51.
3. Postanovlenie Pravitel'stva Rossiyskoy Federatsii ot 1 noyabrya 2012 g. N 1119 g. Moskva «Ob utverzhdenii trebovaniy k zashchite personal'nykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personal'nykh
dannykh» [Elektronnyy resurs] - Rezhim dostupa: http://www.consultant.ru/document/cons_doc_L AW_137356/ Data obrashcheniya: 18.03.2019.
4. Postanovlenie Pravitel'stva Rossiyskoy Federatsii ot 15.09.2008 №° 687 «Ob utverzhdenii polozheniya ob osobennostyakh obrabotki personal'nykh dannykh, osushchestvlyaemoy bez ispol'zovaniya sredstv avtomatizatsii» [Elektronnyy resurs] - Rezhim dostupa: http://base.garant.ru/193875/ Data obrashcheniya: 18.03.2019.
5. Prikaz FAPSI ot 13 iyunya 2001 g. N 152 «Ob utverzhdenii Instruktsii ob organizatsii i obespechenii bezopasnosti khraneniya, obrabotki i peredachi po kanalam svyazi s ispol'zovaniem sredstv kriptograficheskoy zashchity informatsii s ogranichennym dostupom, ne soderzhashchey svedeniy, sostavlyayushchikh gosudarstvennuyu taynu» [Elektronnyy resurs] - Rezhim dostupa: http://base.garant.ru/183628/ Data obrashcheniya: 18.03.2019.
6. Prikaz Federal'noy sluzhby bezopasnosti Rossiyskoy Federatsii ot 10 iyulya 2014 g. N 378 g. Moskva «Ob utverzhdenii Sostava i soderzhaniya organizatsionnykh i tekhnicheskikh mer po obespecheniyu bezopasnosti personal'nykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personal'nykh dannykh s ispol'zovaniem sredstv kriptograficheskoy zashchity informatsii, neobkhodimykh dlya vypolneniya ustanovlennykh Pravitel'stvom Rossiyskoy Federatsii trebovaniy k zashchite personal'nykh dannykh dlya kazhdogo iz urovney zashchishchennosti» » [Elektronnyy resurs] -Rezhim dostupa: http://ivo.garant.ru/#/document/ 70727118/paragraph/9:0 Data obrashcheniya: 18.03.2019.
7. Prikaz Federal'noy sluzhby po tekhnicheskomu i eksportnomu kontrolyu (FSTEK Rossii) ot 18 fevralya 2013 g. N 21 g. Moskva «Ob utverzhdenii Sostava i soderzhaniya organizatsionnykh i tekhnicheskikh mer po obespecheniyu bezopasnosti personal'nykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personal'nykh dannykh» [Elektronnyy resurs] - Rezhim dostupa: https ://fstec. ru/normotvorcheskaya/akty/53-prikazy/691 -prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 Data obrashcheniya: 18.03.2019.
8. Prikaz Roskomnadzora ot 30.05.2017 № 94 «Ob utverzhdenii metodicheskikh rekomendatsiy po uvedomleniyu upolnomochennogo organa o nachale obrabotki personal'nykh dannykh i o vnesenii izmeneniy v ranee predstavlennye svedeniya» [Elektronnyy resurs] - Rezhim dostupa: http://base.garant.ru/71752212/ Data obrashcheniya: 18.03.2019.
9. Prikaz Roskomnadzora ot 30.10.2018 № 159 «O vnesenii izmeneniy v Metodicheskie rekomendatsii po uvedomleniyu upolnomochennogo organa o nachale obrabotki personal'nykh dannykh i o vnesenii izmeneniy v ranee predstavlennye svedeniya, utverzhdyonnye prikazom Federal'noy sluzhby po nadzoru v sfere svyazi, informatsionnykh tekhnologiy i massovykh kommunikatsiy ot 30 maya 2017 goda № 94» [Elektronnyy resurs] - Rezhim dostupa: https://pd.rkn.gov.ru/law/p132/p137/ Data obrashcheniya: 18.03.2019.
10. Ukaz Prezidenta RF ot 6 marta 1997 g. N 188 «Ob utverzhdenii perechnya svedeniy konfidentsial'nogo kharaktera» [Elektronnyy resurs] - Rezhim dostupa: http://base.garant.ru/10200083/ Data obrashcheniya: 18.03.2019.
11. Federal'nyy zakon ot 27 iyulya 2006 g. N 152-FZ «O personal'nykh dannykh» [Elektronnyy resurs] - Rezhim dostupa: http://www.consultant.ru/document/cons_doc_L AW_61801/ Data obrashcheniya: 18.03.2019.
Сведения об авторах
Гнедков Андрей Владимирович - инженер по защите информации отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск
Захаров Алексей Борисович - методист отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск
Мухаметьева Елена Сергеевна - специалист по защите информации отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск
Худорожков Иван Владимирович -специалист по защите информации отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск
Information about authors Gnedkov A.V. - Information Security Engineer of the Department of Ensuring Information Security, Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk
Zakharov A.B. - Methodologist of the Department of Ensuring Information Security, Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk
Mukhametyeva E.S. - Information Security Specialist of the Department of Ensuring Information Security, Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk
Hudorozhkov I.V. - Information Security Specialist of the Department of Ensuring Information Security, Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk
