Автор Тема: Персональные данные в образовательных учреждениях  (Прочитано 39741 раз)

Оффлайн ximik666

  • Завсегдатай
  • *
  • Сообщений: 8
    • Email
Не знаю полезная вещь или нет, но для свой школы я написал небольшую программу, в которую заносятся сведения из мед.книжки ( например дата последней флюорографии и т.д.), и там же указывается  периодичность этого обследования и в случай просрочки создает отчет.
Так же не давно по школам прошел приказ о защите конфед. информации. Как дела обстоят с этим?
« Последнее редактирование: 04.02.2010 15:25:24 от Skull »

Оффлайн mk

  • Давно тут
  • **
  • Сообщений: 720
  • М.Э.Кушнир
    • M.Kushnir Sites
Re: Система администрирования школы
« Ответ #1 : 22.07.2009 01:18:20 »
для свой школы я написал небольшую программу, в которую заносятся сведения из мед.книжки...
Так же не давно по школам прошел приказ о защите конфед. информации. Как дела обстоят с этим?
Непросто. Особенно в отношении мед.информации.
cogito, ergo sum

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 30 559
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: Система администрирования школы
« Ответ #2 : 22.07.2009 08:57:03 »
Как я понимаю, система должна быть сертифицирована по 4 или 5 классу безопасности от несанкционированного доступа. т.е. требуется что-то типа http://www.altlinux.ru/products/certified-systems/desktop-personal-cert/

Оффлайн mk

  • Давно тут
  • **
  • Сообщений: 720
  • М.Э.Кушнир
    • M.Kushnir Sites
Re: Система администрирования школы
« Ответ #3 : 22.07.2009 10:07:29 »
Как я понимаю, система должна быть сертифицирована по 4 или 5 классу безопасности
Почему именно по 4 или 5? Особенно в отношении мед. данных!
Сертифицируются система пользователя, а не продукт (здорово, если продукт сертифицирован - видимо, это заметно облегчает сертификацию).
Как быть с пользовательскими программами, установленными ПОВЕРХ "сертифицированной системы"? Состав комплекса изменен

Не нужно упрощать! Непоняток еще достаточно, к сожалению, хотя наличие сертификатов у АЛЬТов радует - в тумане ПД это может оказаться достаточно для поверхностных "наездов".
cogito, ergo sum

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 30 559
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: Система администрирования школы
« Ответ #4 : 22.07.2009 10:17:49 »
Как быть с пользовательскими программами, установленными ПОВЕРХ "сертифицированной системы"? Состав комплекса изменен
Они должны быть то-же сертифицированы.
Почему именно по 4 или 5
Это самый низкий класс.

Оффлайн ximik666

  • Завсегдатай
  • *
  • Сообщений: 8
    • Email
Re: Система администрирования школы
« Ответ #5 : 22.07.2009 10:53:20 »
Мы вот с директором школы тоже подумали, что нужно составить отдельный документ, который бы подписывали родители и где было бы согласие по поводу использования информации в школьных целях. Может уже кто-то внедрил?

Оффлайн mk

  • Давно тут
  • **
  • Сообщений: 720
  • М.Э.Кушнир
    • M.Kushnir Sites
Re: Система администрирования школы
« Ответ #6 : 22.07.2009 11:11:08 »
Как быть с пользовательскими программами, установленными ПОВЕРХ "сертифицированной системы"? Состав комплекса изменен
Они должны быть то-же сертифицированы.
Почему именно по 4 или 5
Это самый низкий класс.
Про "низкий" понятно - непонятно, почему именно он :)   Это отдельная песня, совершенно неочевидная подавляющему большинству.
И даже в этом раскладе, даже при наличии всех сертификатов на комплектующие элементы, как я понимаю (возможно, ошибаюсь), условий для уверенной жизни недостаточно. Нужно сертифицировать комплект, причем, его держателю. Очень хотелось бы лицезреть вменяемый и прозрачный официальный документ. Пока необходимо разбираться самостоятельно в туче нормативных и подзаконных актов - я уже слегка утонул :)
« Последнее редактирование: 22.07.2009 11:16:02 от mk »
cogito, ergo sum

Оффлайн mk

  • Давно тут
  • **
  • Сообщений: 720
  • М.Э.Кушнир
    • M.Kushnir Sites
Re: Система администрирования школы
« Ответ #7 : 22.07.2009 11:13:21 »
Может уже кто-то внедрил?
Пермь, Казань - смотрите подробнее в подборке по моей ссылке (там есть еще обзор по разным ЭЖ через "Прожекты" в левой панели)
cogito, ergo sum

Оффлайн mk

  • Давно тут
  • **
  • Сообщений: 720
  • М.Э.Кушнир
    • M.Kushnir Sites
Re: Система администрирования школы
« Ответ #8 : 22.07.2009 20:43:57 »
Как я понимаю, система должна быть сертифицирована по 4 или 5 классу безопасности от несанкционированного доступа.
Кстати, не рискнул сразу возражать, но сейчас перепроверил - классов всего 4.
http://www.zki.infosec.ru/law/personal/doc/146/
Оценил требования к ЭЖ типа РУЖЭЛЬ - получил необходимость сертификации по классу 3:
- категория Хпд - 3 (идентификация)/ 2 (+доп.инф-ия - отметки?)
- объем Хнпд - 3 (менее 1000 объектов)
- хар-ки безопасности - специальные (требуется обеспечить защищенность от удаления отметок)
- структура ИС - комплекс с удаленным доступом
- сети общего пользования - имеются подключения
- режим обработки - многопользовательские
- права доступа - с разграничением
- расположение - в пределах РФ
-------
= класс 3 - приводит к незначительным негативным последствиям
cogito, ergo sum

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 30 559
  • Учиться .... Телепатами не рождаются, ими ....
    • Email

Оффлайн mk

  • Давно тут
  • **
  • Сообщений: 720
  • М.Э.Кушнир
    • M.Kushnir Sites
Re: Система администрирования школы
« Ответ #10 : 22.07.2009 22:20:34 »
Это не те классы :)
Там их куча :
Во-во, "у кого чего болит ..." :)
Коллегу волнует защита "конфед.информации" - скорее всего, персональных данных (ПД). Ему в ответ рассказывают сначала про классы на средства вычислительной техники (СВТ), потом про классы на ИСПД. Какие-то из классов оказываются "не те" ... :)
Я и говорю - не так все это просто!
Решение по работе с ПД, пока нет четкого и простого ОТРАСЛЕВОГО документа от МинОбрНауки, вижу в получении разрешений от родителей на ОБЩЕДОСТУПНОСТЬ данных в обмен на обязательство предпринять меры по ограничению доступа к ним.
А сертификат на СВТ у Альтов - явно не помешает! :)
« Последнее редактирование: 22.07.2009 23:05:14 от mk »
cogito, ergo sum

Оффлайн mk

  • Давно тут
  • **
  • Сообщений: 720
  • М.Э.Кушнир
    • M.Kushnir Sites
Re: Система администрирования школы
« Ответ #11 : 20.08.2009 00:56:20 »
Так же не давно по школам прошел приказ о защите конфед. информации. Как дела обстоят с этим?
Письмо Рособразования от 29.07.2009 N 17-110 "Об обеспечении защиты персональных данных" (.pdf - 400KB, Консультант)
cogito, ergo sum

Оффлайн HAW

  • Давно тут
  • **
  • Сообщений: 1 247
    • Email
Re: Система администрирования школы
« Ответ #12 : 20.08.2009 10:54:23 »
Письмо Рособразования от 29.07.2009 N 17-110 "Об обеспечении защиты персональных данных" (.pdf - 400KB, Консультант)

Цитировать
Установлены следующие категории персональных данных (ПД):
Категория 1 - ПД, касающиеся расовой, национальной принадлежности,
политических взглядов, религиозных и философских убеждений, состояния здоровья,
интимной жизни;
Категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем
дополнительную информацию, за исключением ПД, относящихся к категории 1;
Категория 3 - персональные данные, позволяющие идентифицировать субъекта
Категория 4 - обезличенные и (или) общедоступные персональные данные.

Цитировать
Информационные системы персональных данных подразделяются на типовые и
специальные. К типовым системам относятся системы, в которых требуется обеспечить
только конфиденциальность персональных данных. Все остальные системы относятся к
специальным.
В зависимости от последствий нарушений заданной характеристики безопасности
персональных данных, типовой информационной системе присваивается один из классов:
класс 1 (К1) – информационные системы, для которых нарушения могут привести
к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушения могут привести
к негативным последствиям для субъектов персональных данных;
класс 3 (К3) - информационные системы, для которых нарушения могут привести
к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушения не приводят к
негативным последствиям для субъектов персональных данных.

Цитировать
Устанавливается следующий порядок оценки соответствия степени защищенности
информационных систем требованиям безопасности:
- для информационных систем 1 и 2 класса соответствие степени защищенности
требованиям безопасности устанавливается путем обязательной сертификации
(аттестации);
- для информационных систем 3 класса соответствие требованиям безопасности
подтверждается путем сертификации (аттестации) или (по выбору оператора)
декларированием соответствия, проводимым оператором персональных данных;
- для информационных системы 4 класса оценка соответствия не регламентируется и
осуществляется по решению оператора персональных данных.

Цитировать
Система защиты персональных данных должна строиться только на основе
сертифицированных ФСТЭК России и ФСБ России средствах защиты (технических,
программных, программно-аппаратных и криптографических).

Цитировать
5. Основные мероприятия по обеспечению безопасности персональных данных в
учреждениях образования
Исходя из требований законодательства образовательным учреждениям в течение
2009 года необходимо.
1. Определить (или уточнить) состав и категории обрабатываемых
персональных данных.
2. Осуществить (или уточнить) классификацию действующих информационных
систем, обрабатывающих персональные данные.
3. Провести необходимые организационные и технические мероприятия для
обеспечения защиты:
- персональных данных, обрабатываемых без использования средств
автоматизации;
- информационных систем, обрабатывающих персональные данные.
4. Декларировать соответствие или провести аттестационные
(сертификационные) испытания информационных систем, обрабатывающих
персональные данные.

А секретарь приказ с указанием ФИО на линуксе без сертификата ФСТЭК может напечатать?


Оффлайн mk

  • Давно тут
  • **
  • Сообщений: 720
  • М.Э.Кушнир
    • M.Kushnir Sites
Re: Система администрирования школы
« Ответ #13 : 20.08.2009 13:53:27 »
Цитировать
Устанавливается следующий порядок оценки соответствия степени защищенности
информационных систем требованиям безопасности:
- для информационных систем 1 и 2 класса соответствие степени защищенности
требованиям безопасности устанавливается путем обязательной сертификации
(аттестации);
- для информационных систем 3 класса соответствие требованиям безопасности
подтверждается путем сертификации (аттестации) или (по выбору оператора)
декларированием соответствия, проводимым оператором персональных данных;
- для информационных системы 4 класса оценка соответствия не регламентируется и
осуществляется по решению оператора персональных данных.

А секретарь приказ с указанием ФИО на линуксе без сертификата ФСТЭК может напечатать?

Если система, на которой он(а) будет это делать, отвечает к3 (при наличии декларации) или к4- пожалуйста !!!
:(
« Последнее редактирование: 20.08.2009 13:55:49 от mk »
cogito, ergo sum

Оффлайн HAW

  • Давно тут
  • **
  • Сообщений: 1 247
    • Email