ПОЛОЖЕНИЕ
о порядке защиты информации в государственном учреждении образования «Детский сад №6
|
УТВЕРЖДЕНО
Приказ заведующего от 03.02.2022 № 12а-о.д. |
- В настоящем Положении, разработанном в соответствии с пунктом 3 Плана по реализации на территории Минской области Комплексного плана мероприятий, направленных на принятие эффективных мер по противодействию киберпреступлениям, профилактике их совершения, повышению цифровой грамотности населения на 2021 – 2022 годы, утвержденного заместителем председателя Минского областного исполнительного комитета 28 апреля 2021 года, устанавливается комплекс организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступностии сохранности информации, обрабатываемой в государственном учреждении образования «Детский сад №6 г. Смолевичи «Радуга».
- Для целей настоящего Положения термины и их определения применяются в значениях, установленных Законом Республики Беларусь от 10 ноября 2008 года № 455-З «Об информации, информатизациии защите информации» (Национальный реестр правовых актов Республики Беларусь, 2008 г., № 279, 2/1552) и Законом Республики Беларусь от 7 мая 2021 года № 99-З «О защите персональных данных» (Национальный реестр правовых актов Республики Беларусь, 2021 г., № 2/2819).
- Действие настоящего Положения направлено на защиту общедоступной информации, информации о частной жизнии персональных данных обучающихся, их законных представителей, педагогических работников и иных работников учреждения образования, а также информации, составляющей служебную и коммерческую тайну учреждения образования.
- За общее состояние, организацию и контроль работпо реализации комплекса мер по защите информации отвечает заместитель заведующего по основной деятельности уполномоченное приказом руководителя учреждения дошкольного образования.
- Для недопущения неправомерного доступа, уничтожения, модификации (изменения), копирования, распространенияи (или) предоставления информации, блокирования правомерного доступа к информации, а также иных неправомерных действий должны выполняться мероприятия по защите объектов информационной среды (далее – ОИС) учреждения образования.
- Под ОИС понимаются средства вычислительной техники (далее – СВТ), сетевое оборудование, системное и прикладное программное обеспечение, информационные ресурсы и системы учреждения образования.
- Субъектами информационной среды учреждения образования являются педагогические работники, иные работники учреждения образования, обучающиеся и их законные представители (далее – пользователи).
- Защита ОИС должна содержать:
обеспечение защиты СВТ от вредоносного программного обеспечения;
отключение функции автозагрузки внешних машинных носителей информации при их подключении к СВТ;
использование ОИС с правами пользовательских учетных записей;
обеспечение управления (централизованного) (создание, активация, блокировка, уничтожение) учетными записями пользователей для доступа к ОИС;
ограничение возможности использования общих учетных записей пользователей для доступа к ОИС;
разграничение доступа пользователей к ОИС;
ограничение возможности установки программного обеспечения под учетными записями пользователей;
обеспечение идентификации и аутентификации пользователей информационных ресурсов учреждения образования для организации заочного (дистанционного) обучения;
своевременную блокировку (уничтожение) неиспользуемых (временно неиспользуемых) учетных записей пользователей;
обеспечение доступа пользователей к ОИС на основе ролей;
блокирование доступа к ОИС после истечения установленного времени бездействия (неактивности) пользователя или по его запросу;
обеспечение управления физическим доступом в помещения, а также к шкафам со СВТ, сетевым и другим оборудованием;
предоставление уникальных учетных записей привилегированным пользователям для авторизованного доступа к сетевому оборудованию
и установки программного обеспечения;
предоставление пользователям авторизованного доступа
при подключении к ОИС из-за ее пределов;
использование услуг хостинга уполномоченных поставщиков интернет-услуг;
размещение существующих, создаваемых (приобретаемых, модернизируемых) информационных ресурсов и систем учреждения образования в республиканском центре обработки данных;
регламентирование порядка работы с интернет-сайтом учреждения образования и корпоративной электронной почтой;
обеспечение в реальном масштабе времени автоматической антивирусной проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживания обнаруженных вредоносных программ;
обеспечение спам-фильтрации почтовых сообщений;
ограничение входящего и исходящего трафика (фильтрация) определенных приложений и сервисов (мессенджеры, социальные сети, онлайн-маркеты, анонимайзеры и др.);
обеспечение доступа пользователей в сеть Интернет с применением технологии проксирования сетевого трафика;
использование ОИС локальной системы доменных имен
(DNS-сервер), в том числе для доступа в сеть Интернет, либо системы доменных имен, расположенной на территории Республики Беларусь;
определение состава и содержания информации, подлежащей резервированию (в том числе конфигурационных файлов сетевого оборудования, лог-файлов служб и сервисов);
обеспечение резервирования информации;
осуществление синхронизации системного времени от единого источника;
обеспечение защиты виртуальной инфраструктуры
от несанкционированного доступа и сетевых атак из виртуальной
и физической сети, а также виртуальных машин;
обучение работников учреждения образования правилам использования почтовых сервисов, определения фишинговых сообщений и т.п.;
проведение не менее одного раза в год с работниками учреждения образования практических занятий по правилам безопасной работы
с ОИС.
- Управление полномочиями доступа пользователей либо групп пользователей к ОИС осуществляется привилегированными пользователями (администраторами) из числа работников учреждения образования, имеющих соответствующую профессиональную подготовку и (или) опыт работы.
- Учреждение образования выступает в роли оператора персональных данных педагогических работников, иных работников учреждения образования, обучающихся и их законных представителейи осуществляет обработку персональных данных в соответствии
с действующим законодательством.
- Внутренний контроль за обработкой персональных данных выполняет ответственный за общее состояние, организацию и контроль работ по реализации комплекса мер по защите информации.
- Обеспечение защиты персональных данныхот несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий
в отношении персональных данных должно включать:
издание в учреждении образования регламента обработки персональных данных;
ознакомление работников учреждения образования, непосредственно осуществляющих обработку персональных данных,
с положениями законодательства о персональных данных, в том числе
с требованиями по защите персональных данных, регламентом обработки персональных данных, а также обучение указанных работников и лица, осуществляющего внутренней контроль за обработкой персональных данных, в порядке, установленном законодательством;
установление порядка доступа к персональным данным;
при передаче технических средств для проведения ремонта из этих технических средств изымаются все носители информации, содержащие персональные данные, либо должно быть произведено гарантированное уничтожение информации.
- В целях недопущения уничтожения, модификации (изменения), блокирования правомерного доступа к общедоступной информации на интернет-сайте учреждения образования из числа работников учреждения образования назначаются лица, уполномоченные осуществлять администрирование и размещение информации на интернет-сайте,и устанавливается их персональная ответственность за использование интернет-сайта для целей, не предназначенных для выполнения служебных задач.
- Для официальной переписки с вышестоящими государственными органами и (или) организациями используется система межведомственного оборота и корпоративная электронная почта.В учреждении образования определяются технические средства,
на которых выполняется работа по официальной переписке, из числа работников учреждения образования назначаются лица, уполномоченные осуществлять эту работу.
- Требования настоящего Положения являются обязательнымидля исполнения всеми работниками учреждения образования.
- Работники учреждения образования:
не имеют права разглашать, передавать другим лицам свои пароли
от учетных записей для доступа к техническим средствам, информационным ресурсам и системам;
несут персональную ответственность за действия, совершенные
под их учетными записями, за исключением случаев несанкционированного использования паролей.
- В должностные инструкции работников учреждения образования вносятся дополнения в соответствии с пунктами 4, 9, 11, 13– 16 настоящего Положения.
- Пункты 10 – 12 настоящего Положения вступают в силус 15 ноября 2021 года.