Сеть 5203

Аттестация рабочих мест в сети №5203 (сеть РИС РО "Образование")

В соответствии со федеральным законом 152-ФЗ "О персональных данных", при работе с персональными данными должны применяться меры по защите информации от несанкционированного доступа третьих лиц. Комплекс таких мер именуется аттестацией, при этом аттестуется, как сама система, так и рабочие места пользователей системы. Работы по аттестации рабочих мест выполняются компаниями, лицензированными, для осуществления данного вида деятельности.

 

---

 

ОБРАТИТЕ ОСОБОЕ ВНИМАНИЕ НА СЛЕДУЮЩЕЕ:

 

1. Система делится на открытый и закрытый контур.

В открытом контуре, доступном с любого компьютера по логину-паролю, присутствует функционал, выполнение которого, не предполагает обращений к персональным данным, требующих специальных мер защиты. К данному функционалу, например, относится, электронный журнал, расписание, планирование учебного процесса и многое другое.  

В закрытом контуре, доступном только с аттестованных рабочих мест, присутствует полный функционал системы, включая работу с персональными данными, например, личные дела (портфолио учащихся) , зачисление, администрирование и т.д.

Соответственно аттестовать нужно не все компьютеры, а только те где предполагается работа с закрытым контуром. При этом, общая рекомендация, начать с минимума - 1-2 места, а далее, если в процессе работы выявится, что этого недостаточно, можно аттестовать дополнительные места.

 

2. Поскольку используется исключительно веб-доступ, аттестация рабочих мест проводится по принципу распространения аттестата системы на рабочие места, т.е. отдельный аттестат на каждое рабочее место не требуется, а соответственно и не требуется оформление пакета аттестационной документации на каждое рабочее место (оформляется только "акт соответствия").

 

3. Специализированное программное обеспечение VipNet, SecretNet Studio и антивирус должно быть не только установлено, но и корректно настроено, так, например, vipnet должен исключать входящие незащищенные соединения, secret net studio блокировать использование неучтенных съемных носителей и управлять политикой безопасности, для антивируса настроено регулярное обновление и.т.д. Если компания производившая аттестацию, ограничилась исключительно настройкой VipNet для доступа к закрытому контуру, не выполнив полноценную настройку специализированного ПО, требуйте устранения данного недостатка.

 

4. По завершении процесса аттестации рабочего места, у образовательной организации должен сформироваться следующий комплект документов:                           Документы, разрабатываемые аттестующей организацией   1. Заключение (акт) о соответствии №___ (Аттестат соответствия №2447.00019.2022 от 15.08.2022 г. (распространение)) 2. Акт выполненных работ (акт о вводе в эксплуатацию системы защиты информации)                                 Документы, разрабатываемые образовательной организацией   1. Приказ о сотрудниках, осуществляющих обработку защищаемой информации, не содержащей сведения, составляющие государственную тайну, и имеющих доступ к обрабатываемой защищаемой информации, не содержащей сведения, составляющие государственную тайну Шаблон приказа о сотрудниках>>   2. Приказ об утверждении инструкции по обеспечению безопасности информации, не содержащей сведения, составляющие государственную тайну и форм журналов, используемых при обработке персональных данных, а также при эксплуатации технических средств защиты информации, далее Приказ об утверждении инструкции и форм журналов Шаблон приказа об утверждении инструкции и форм журналов>>   3. Инструкция по обеспечению безопасности информации, не содержащей сведения составляющие государственную тайну «Приложение А» к приказу об утверждении инструкции и форм журналов   4. Журнал учета передачи защищаемой информации, не содержащей сведения, составляющие государственную тайну «Приложение Б» к приказу об утверждении инструкции и форм журналов   5. Журнал учёта обращений субъектов персональных данных о соблюдении их законных прав в области защиты персональных данных «Приложение В» к приказу об утверждении инструкции и форм журналов   6. Журнал учета носителей защищаемой информации, не содержащей сведения, составляющие государственную тайну «Приложение Г» к приказу об утверждении инструкции и форм журналов   7. Журнал уничтожения носителей защищаемой информации, не содержащей сведения, составляющие государственную тайну «Приложение Д» к приказу об утверждении инструкции и форм журналов   8. Журнал учета мероприятий по контролю состояния защиты защищаемой информации, не содержащей сведения, составляющие государственную тайну «Приложение Е» к приказу об утверждении инструкции и форм журналов   9. Журнал учета применяемых средств защиты информации, эксплуатационной и технической документации к ним «Приложение Ж» к приказу об утверждении инструкции и форм журналов   10. Журнал учета нарушений порядка предоставления ЗИ «Приложение З» к приказу об утверждении инструкции и форм журналов   11. Журнал сдачи, выдачи ключей от помещения «Приложение И» к приказу об утверждении инструкции и форм журналов                                 Документы, передаваемые в комплекте со специализированным программным обеспечением:   1. Комплект документации на специализированное программное обеспечение (VipNet, SecretNet Studio) и антивирус

---

Таким образом, в данном случае, аттестация рабочего места заключается в установке и настройке специализированного программного обеспечения (VipNet, SecretNet Studio, антивирус), с передачей вам лицензий и документации к ПО, и оформлении "акта соответствия" и "акта выполненных работ" - производится аттестующей организацией.

Образовательная организация издает приказы и ведет журналы учета (см. перечень выше), также являющиеся частью комплекта документации к аттестованному рабочему месту

  Шаблоны

• Шаблон приказа о сотрудниках (*..doc)
• Шаблон приказа об утверждении инструкции и форм журналов (*..doc)