Управление народного образования
Администрации МО «Ярский район»
ПРИКАЗ
Об обеспечении информационной безопасности при сборе, формировании и доступе
к базе данных региональной информационной системы обеспечения проведения
государственной итоговой аттестации обучающихся освоивших основные образовательные программы основного общего и среднего общего образования
Во исполнение постановлений Правительства Российской Федерации от 31.08.2013 года № 755 «О федеральной информационной системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приема граждан в образовательные организации для получения среднего профессионального и высшего профессионального образования и региональных информационных систем обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования», от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа Федеральной службы по техническому и экспертному контролю от 11.02.2013г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», Федеральный закон от 24.07.2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон от 27.07.2006г. №152-ФЗ «О персональных данных» и в целях обеспечения мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных во время подготовки и проведения государственной итоговой аттестации ПРИКАЗЫВАЮ:
1. Назначить ответственными за организацию обработки персональных данных в Управлении народного образования при сборе баз данных региональной информационной системы обеспечения проведения государственной итоговой аттестации обучающихся освоивших основные образовательные программы основного общего и среднего общего образования Барышникову Ирину Феликсовну, системного администратора Управления народного образования, по программам основного общего образования Барышникову Наталью Всеволодовну, ведущего эксперта Управления народного образования, по программам среднего общего образования Велькову Ольгу Александровну, заместителя начальника Управления народного образования.
2. Назначить ответственным за защиту информации Матвеева Алексея Владимировича, программиста Управления народного образования.
3. Назначить Матвеева Алексея Владимировича, программиста Управления народного образования, администратором безопасности в автоматизированной информационной системе обеспечения проведения государственной итоговой аттестации (далее ГИА) обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования для технического функционирования защиты информации и принятия организационных мер:
3.1. Обеспечения безопасности персональных данных в информационной системе.
3.2. Создания, присвоения и уничтожения персональных идентификаторов.
3.3. Хранения, выдачи, инициализации, блокирования средств аутентификации, в том числе паролей.
3.4. Предоставления доступа к записям аудита обеспечения безопасности информации только уполномоченным должностным лицам.
4. Утвердить форму журнала учета паролей (Приложение 1).
5. Определить перечень должностных лиц, имеющих доступ к региональной базе данных (далее РБД):
- Велькова О.А., ответственный за организацию и проведение ГИА по программам среднего общего образования;
- Барышникова Н.В., ответственный за организацию и проведение ГИА по программам основного общего образования;
- Барышникова И.Ф., ответственный системный администратор за организацию обработки персональных данных;
- Матвеев А.В., ответственный за защиту информации, администратор безопасности в автоматизированной информационной системе обеспечения проведения государственной итоговой аттестации.
6. За обеспечение технических мер безопасности, установку и работу информационных программ, установку оборудования и программ по обработке персональных данных на уровне Управления народного образования и внесения записи собранных и обработанных данных в Региональную информационную систему Барышникову Ирину Феликсовну, системного администратора Управления народного образования.
7.Утвердить Инструкцию по работе с персональными данными при проведении государственной итоговой аттестации (Приложение 2).
8. Утвердить схему сбора и внесения сведений в РИС (Приложение 3).
9.Определить кабинет с отдельным автоматизированным рабочим местом (стационарный компьютер) в кабинете Управления народного образования, где осуществляется сбор, обработка, внесение персональных данных обучающихся и работников, принимающих участие в государственной итоговой аттестации 9,11, (12) классов (Приложение 4).
10. Утвердить съемный флеш –носитель №451, модель Kingston 4 GB содержащий данные для передачи сведений в региональную информационную систему и определить место хранения носителя в сейфе Управления народного образования.
11. Утвердить схему передачи персональных данных из Управления народного образования и в РЦОИ для передачи данных в региональную информационную систему (Приложение 5).
12.Установить передачу данных на электронном носителе (флеш-накопителе) в специальных журналах (Приложение 6).
13. Утвердить соглашение о неразглашении персональных данных (Приложение №7)
14.Обеспечить лицам, имеющим доступ к базе данных региональной информационной системы по обучающимся, работникам, экспертам защиту персональных данных в соответствии с требованиями законодательства РФ.
15. Признать утратившим силу приказ №237 от 27.10.2015 года «Об обеспечении информационной безопасности при сборе, формировании и доступе к базе данных региональной информационной системы обеспечения проведения государственной итоговой аттестации обучающихся освоивших основные образовательные программы основного общего и среднего общего образования».
16. Контроль за исполнением приказа оставляю за собой.
Начальник Е.М. Сунцова
С приказом ознакомлены:
Дата ознакомления
|
Подпись
|
Расшифровка подписи
|
|
|
И.Ф. Барышникова
|
|
|
Н.В. Барышникова
|
|
|
О.А. Велькова
|
|
|
А.В. Матвеев
|
|
Приложение №1
к приказу УНО Ярского района
№ 238 от 26.10.2016
№
|
Журнал учета паролей
№
п/п
|
ФИО
|
Должность
|
Идентификатор
|
Пароль
|
Подпись
|
Дата
|
ФИО
(специалиста)
|
Подпись
|
Дата
|
1
|
|
|
|
|
|
|
|
|
|
|
Приложение №2
к приказу УНО Ярского района
№ 238 от 26.10.2016
№
|
Инструкция по работе с персональными данными
при организации проведения государственной итоговой аттестации
1.Общие положения.
Инструкция по работе с персональными данными при проведении государственной (итоговой) аттестации по образовательным программам основного и среднего общего образования (далее - Инструкция) определяет требования к обеспечению безопасности персональных данных выпускников 9, 11 (12) классов общеобразовательных организаций (далее – участники), работников пунктов проведения экзаменов (далее работники), экспертов, привлекаемых к работе в муниципальных конфликтных комиссиях (далее эксперты) при их обработке в информационной системе персональных данных, содержащихся в региональной базе данных (далее – РБД).
Под персональными данными работника, эксперта понимается информация, касающаяся конкретного работника, привлекаемого к организации, проведению ГИА по образовательным программам основного и среднего общего образования (далее ГИА), необходимая оператору для формирования базы данных по работникам и экспертам.
Под персональными данными участников понимается информация, касающаяся конкретного обучающегося выпускников 9, 11 (12) классов общеобразовательных организаций, выпускника общеобразовательных организаций прошлых лет, которая необходима системному администратору для формирования базы данных об участниках и результатах ГИА.
Персональные данные участников, работников, экспертов содержатся в РБД, которая формируется для проведения ГИА.
Лица, которые имеют доступ, обеспечивают обработку, защиту и передачу персональных данных, назначаются приказом Управления народного образования и подписывают соглашение о неразглашении персональных данных субъектов ГИА.
Обработка персональных данных в информационных системах включает сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу, защиту, блокирование, уничтожение персональных данных участников, работников и экспертов.
2.Документы, содержащие сведения, составляющие персональные данные
2.1.К документам, содержащим сведения, составляющие персональные данные работников ППЭ, относятся:
-документ, удостоверяющий личность (паспорт гражданина Российской Федерации);
-документы об уровне образования (квалификации), профессиональной подготовке;
- документ содержащий сведения о стаже, месте работы, занимаемой должности (трудовая книжка);
2.2.К документам, содержащим сведения, составляющие персональные данные участников ГИА, относятся:
-документ, удостоверяющий личность (паспорт гражданина Российской Федерации, свидетельство о рождении);
-заключение центральной психолого-медико-педагогической комиссии;
-справка об установлении инвалидности, выданная федеральным учреждением медико-социальной экспертизы;
-документ об уровне образования (при наличии);
-СНИЛС.
3.Принципы и условия проведения обработки персональных данных в региональных информационных системах
3.1.Обработка персональных данных участников ГИА, работников ППЭ, экспертов привлекаемых к работе в муниципальных конфликтных комиссиях может осуществляться исключительно в целях обеспечения соблюдения требований законодательных и иных нормативных правовых актов по вопросам организации и проведения ГИА.
3.2.Обработка персональных данных участников ГИА, работников и экспертов осуществляется на принципах достоверности и достаточности персональных данных для целей обработки, соблюдения конфиденциальности персональных данных и безопасности при их обработке.
3.3.Обработка персональных данных участников ГИА, осуществляется в целях формирования региональной информационной системы для последующей обработки результатов ГИА.
3.4.Внесение и изменение данных в РБД осуществляется: получение от ответственного лица системным администратором фэш-накопителя с РБД - установка РБД на персональный компьютер, который на период работы отключен от локальной сети и сети-интернет – работа с РБД – перенос с РБД на фэш-накопитель, с последующим удалением РБД с персонального компьютера – передача фэш-накопителя на хранение ответственному лицу.
3.5. Обеспечение защиты от несанкционированного доступа к информации через устройства отображения информации. В помещении во время работы в автоматизированной системе находятся лица, имеющие доступ к РБД. Монитор персонального компьютера обращен в стену, расположен так, что видеоинформация, отображаемая на нем не доступна для лиц, не имеющих полномочий. На окна в помещении, где осуществляется работа с информационной системой, устанавливаются плотные шторы или жалюзи. (Схема расположения помещения, в котором осуществляется работа с персональными данными – Приложение).
4.Сбор персональных данных
4.1.В период подготовки, проведения и анализа результатов ГИА используются автоматизированные системы.
4.2.Состав и формат баз данных, назначение и порядок формирования файлов используемых для обмена информацией между автоматизированными системами, определяются нормативными документами Федеральной службой по надзору в сфере образования и науки (далее Рособнадзор).
4.3.Порядок сбора данных для формирования РБД (в том числе обработка персональных данных участников, работников и экспертов) определяется соответствующими инструкциями Федерального центра тестирования и Федерального института педагогических измерений.
4.4.Для обеспечения достоверности персональных данных участники ГИА, работники, эксперты обязаны предоставлять системному администратору или уполномоченному лицу точные сведения о себе.
4.5.В случае изменения сведений, составляющие персональные данные, участников ГИА, работников, экспертов поставщики информации обязаны незамедлительно сообщить об этом системному администратору или уполномоченному лицу.
4.6.Право доступа к персональным данным участников ГИА, работников, экспертов имеет только системный администратор или уполномоченное системным администратором лицо, а также лица, уполномоченные действующим законодательством.
5.Хранение, уточнение и использование персональных данных
5.1.Персональные данные участников ГИА, работников и экспертов хранятся у системного администратора или уполномоченного лица на электронных и бумажных носителях.
5.2.Личные заявления участников ГИА хранятся в образовательном учреждении согласно номенклатуре дел.
5.3.Доступ к персональным данным участников, работников и экспертов без получения специального разрешения имеют лица, назначенные распорядительным актом.
5.4.Участники ГИА, работники имеют право на ознакомление со своими персональными данными, вправе требовать у системного администратора уточнения, исправления персональных данных, а также их уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными.
5.5.С целью проверки достоверности персональных данных участников системный администратор предоставляет возможность участникам ГИА ознакомиться с информацией, содержащей персональные данные, на бумажных носителях, распечатках с базы данных региональной информационной системы.
В случае выявления недостоверных персональных данных системный администратор обязан изменить или уничтожить такие данные и уведомить об этом участников, работника, эксперта.
5.7. Системный администратор обязан использовать персональные данные участников ГИА, работников и экспертов лишь в целях, для которых они были предоставлены.
6.Распространение (в том числе передача) персональных данных
6.1. РБД содержит персональные данные участников, работников и экспертов.
6.2. Передача системным администратором или уполномоченным лицом персональных данных участников, работников и экспертов осуществляется на электронных и (или) по средством электронного документооборота системы DIRECTUM, бумажных носителях. Системный администратор (уполномоченное лицо) несет ответственность за своевременность передачи данных, соблюдение конфиденциальности персональных данных в соответствии с законодательством Российской Федерации.
6.3. Персональные данные не могут быть сообщены третьей стороне без письменного согласия участника, работника, эксперт, за исключением случаев, когда это установлено федеральным законом.
6.4. Передача персональных данных участников после обработки результатов экзаменов производится на электронных (результаты экзаменов) и бумажных носителях (копии протоколов государственной экзаменационной комиссии об утверждении результатов экзаменов, данные о результатах ГИА).
6.5. Распространение данных участников после обработки результатов экзаменов осуществляется через уполномоченных лиц, ответственных за доставку и выдачу экзаменационных материалов.
7. Обеспечение безопасности персональных данных при их обработке
в информационных системах
7.1.Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным участников ГИА, работников, экспертов.
7.2.Безопасность персональных данных участников ГИА, работников, экспертов при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающих организационные мероприятия и технические средства.
7.3.Организационные мероприятия включают:
-утверждение ответственного лица за обработку персональных данных;
-установку оборудования и программ по обработке персональных данных;
-охрану помещений, в которых ведется работа с персональными данными;
-сохранность носителей персональных данных в специально оборудованных местах.
7.4.Технические средства включают:
-установку персонального идентификатора и пароля на компьютере системного администратора или уполномоченного лица и запрет на его передачу другим лицам;
-блокирование системным администратором или уполномоченным лицом компьютера на время отсутствия;
-установку пароля при входе в базу данных, содержащую персональные данные участников ГИА, работников, экспертов.
7.5. Обеспечение защиты от несанкционированного доступа к информации, в том числе к персональным данным из сети Интернет осуществляется путем:
Блокирования доступа к глобальной информационно-телекоммуникационной сети Интернет на персональных компьютерах пользователей, имеющих доступ к информационной системе сбора данных.
- Установки лицензионного системного и прикладного программного обеспечения, в том числе лицензионного антивирусного.
- Удаления или блокировки на персональном компьютере пользователя средства беспроводного доступа (Wi-Fi), локальной сети.
|
Приложение №3
к приказу УНО Ярского района
№ 238 от 26.10.2016
№
|
Схема сбора и внесения сведений в региональную информационную систему
Общеобразовательная организация
|
Способ передачи информации в Управление народного образования
|
Управление народного образования Администрации
МО «Ярский район»
|
Способ передачи информации в РЦОИ
|
Лица, ответственные за сбор и внесение сведений в РИС, осуществляют сбор, хранение и передачу информации в Управление образованием
|
На бумажном носителе
|
Ответственное лицо осуществляет внесение полученных сведений в РИС с бумажного носителя, хранение и передачу сведений в РИС в РЦОИ
|
Съёмный диск,
акт приёма-передачи сведений
|
|
Приложение №4
к приказу УНО Ярского района
№ 238 от 26.10.2016
№
|
Схема передачи данных для сбора информации для региональной
информационной системы
1.Схема передачи информации из Управления народного образования в региональный центр обработки информации:
1.1.Передача данных осуществляется ответственным лицом за сбор, обработку и хранение информации по персональным данным ГИА или лицами, имеющими доступ.
1.2.Передача данных осуществляется только на флеш-накопители и (или) посредством электронного документооборота системы DIRECTUM.
1.3.Обрабатываемые и передаваемые данные хранятся на флеш-накопителях, по истечение срока хранения осуществляется удаление с последующим форматированием флеш-накопителя.
1.4.Персональные данные участников передаются из общеобразовательных учреждений на бумажном носителе ответственным лицом в Управление народного образования, уполномоченным лицам. Данные с бумажного носителя заносятся в РБД.
1.5.Сбор и сдача информации осуществляется в установленные сроки.
1.6.После получения и обработки персональных данных в специальной региональной программе сбора данных «РБД» муниципальный оператор осуществляет экспорт данных и помещает на специальный флеш-накопитель.
1.7.Ответственное лицо Управления народного образования или лицо имеющее право доступа к персональным данным передает в РЦОИ данные через флеш-накопитель.
1.8.Факт передачи данных из Управления народного образования в РЦОИ фиксируется в специальном журнале.
|
Приложение №5
к приказу УНО Ярского района
№ 238 от 26.10.2016
№
|
Журнал
учета носителей информации, содержащих персональные данные
№
п/п
|
Метка съемного
носителя
(учетный
номер)
|
Ф.И.О
|
(Получил,
вернул,
передал)
|
Дата записи информации
|
Подпись
|
Примечание
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение №6
к приказу УНО Ярского района
№ 238 от 26.10.2016
№
|
Журнал
регистрации актов приема-передачи конфиденциальной информации
Наименование передаваемой документации
|
Дата выгрузки РБД
|
Документация, содержащая информацию
|
Тип носителя
|
Ф.И.О. ответственного технического специалиста (оператора)
|
Подпись ответственного оператора
|
Ф.И.О. ответственного за сбор РБД/за проведение ГИА в МСУ/члена ГЭК
|
Подпись ответственного за сбор РБД/за проведение ГИА в МСУ/члена ГЭК
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение №7
к приказу УНО Ярского района
№ 238 от 26.10.2016
№
|
|
Начальнику УНО Ярского района
Е.М. Сунцовой
|
|
|
Соглашение о неразглашении персональных данных субъекта
Я, _______________________________________________________________, паспорт серии _________________, номер _________________________, выданный ____________________________________________________________________ « ___ » ___________ _____ года, понимаю, что получаю доступ к персональным данным работников УНО Ярского района и подведомственных организаций и/или обучающихся образовательных организаций, подведомственных УНО Ярского района.
Я также понимаю, что во время исполнения своих обязанностей, мне приходится заниматься сбором, обработкой, хранением, передачей персональных данных.
Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональных данных, как прямой, так и косвенный.
В связи с этим, даю обязательство, при работе (сбор, обработка, хранение, передача, уничтожение) с персональными данными соблюдать все описанные в «Положении об обработке персональных данных» требования.
Я подтверждаю, что не имею права разглашать сведения:
сведения об образовании;
сведения о трудовом и общем стаже;
паспортные данные;
специальность, квалификация;
занимаемая должность;
состояние здоровья;
сведения, содержащие материалы по повышению квалификации и переподготовке, их аттестации;
СНИЛС
Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я несу ответственность в соответствии со ст. 90 Трудового Кодекса Российской Федерации.
« ___ » __________ 20__ г. ____________________
(подпись)
|
