18:22
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ – защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.
Защита информации – комплекс мероприятий, направленных на обеспечение информационной безопасности.
Оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязан обеспечить (ст. 16 Федерального Закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»):
предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
своевременное обнаружение фактов несанкционированного доступа к информации;
предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
постоянный контроль за обеспечением уровня защищенности информации.
Применительно к образовательному учреждению информацией, подлежащей защите, являются персональные данные – «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация» (ч. 1 ст. 3 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).
Особенностью персональных данных образовательного учреждения является наличие двух групп персональных данных:
персональных данных работников;
персональных данных учащихся и их родителей (законных представителей)).
Причем большинство работников образовательного учреждения, во всяком случае педагогических, выступают сразу в двух статусах:
во-первых, как субъекты персональных данных (по отношению к своим собственным персональным данным);
во-вторых, как операторы (по отношению к персональным данным учащихся и их законных представителей).
Поэтому работники образовательного учреждения должны знать не только права и обязанности субъектов персональных данных, но и обязанности и ответственность операторов при обработке персональных данных.
Обработка персональных данных – их сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение (ч. 3 ст. 3 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).
Оператор – юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных (ч. 2 ст. 3 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).
При обработке персональных данных применительно к образовательному учреждению «согласия субъекта персональных данных … не требуется», если  «обработка персональных данных осуществляется в целях исполнения договора (трудового, подряда, возмездного оказания услуг, с родителями и т.д.), одной из сторон которого является субъект персональных данных (работник, обучающийся и т.д.) (ст. 6 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).
Применительно к образовательному учреждению «оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных (ст. 22 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»):
относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
являющихся общедоступными персональными данными;
включающих в себя только фамилии, имена и отчества субъектов персональных данных;
необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных».
Таким образом, для того, чтобы осуществлять обработку персональных данных учащихся без их (или их законных представителей) письменного разрешения, а также без уведомления уполномоченного органа по защите прав субъектов персональных данных образовательное учреждение, как минимум, должно заключить договор с родителями (законными представителями) учащегося (компакт-диск издательской фирмы «Сентябрь» «Локальные акты»).
«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» (ст. 19 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).
Кроме того, «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области» (ч. 8 ст. 86 Трудового кодекса РФ).
Чтобы обеспечить выполнение требований действующего законодательства руководителю образовательного учреждения целесообразно принять локальный акт, регламентирующий работу с персональными данными (например, Положение о работе с персональными данными) и издать приказ о допуске к работе с персональными данными.
Ведь, помимо всего прочего, «лица, виновные в нарушении правил обработки персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность» (ст. 24 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).

Просмотров: 935 | Добавил: kuhta | Рейтинг: 0.0/0