• +7 (800) 100-99-61
  • support@gauro-riacro.ru
   РИС Образование   |    ФИС ФРДО   |    Сеть 5203   |    Мероприятия   |    Сопровождение   |

Сеть 5203


Аттестация рабочих мест в сети 5203 (РИС "Образование")

В соответствии со федеральным законом 152-ФЗ "О персональных данных", при работе с персональными данными должны применяться меры по защите информации от несанкционированного доступа третьих лиц. Комплекс таких мер именуется аттестацией, при этом аттестуется, как сама система (аттестована компанией Кредо-С 30.10.2016 г.), так и рабочие места пользователей системы. Работы по аттестации рабочих мест выполняются компаниями, лицензированными, для осуществления данного вида деятельности. Коммерческие предложения, предоставляемые нам компаниями, размещаются на данном сайте, при этом факт отсутствия коммерческого предложения компании на сайте не является препятствием для заключения договора с данной компанией - это говорит лишь о том что данная компания не предоставила коммерческое предложение для размещения на сайте.

 


 

ОБРАТИТЕ ОСОБОЕ ВНИМАНИЕ НА СЛЕДУЮЩЕЕ:

 

1. Система делится на открытый и закрытый контур.

В открытом контуре, доступном с любого компьютера по логину-паролю, присутствует функционал, выполнение которого, не предполагает обращений к персональным данным, требующих специальных мер защиты. К данному функционалу, например, относится, электронный журнал, расписание, планирование учебного процесса и многое другое.  

В закрытом контуре, доступном только с аттестованных рабочих мест, присутствует полный функционал системы, включая работу с персональными данными, например, личные дела (портфолио учащихся) , зачисление, администрирование и т.д.

Соответственно аттестовать нужно не все компьютеры, а только те где предполагается работа с закрытым контуром. При этом, общая рекомендация, начать с минимума - 1-2 места, а далее, если в процессе работы выявится, что этого недостаточно, можно аттестовать дополнительные места.

 

2. Поскольку используется исключительно веб-доступ аттестация рабочих мест проводится по принципу распространения аттестата системы на рабочие места, т.е. отдельный аттестат на каждое рабочее место не выдается, а соответственно и не требуется оформление пакета аттестационной документации на каждое рабочее место (оформляется только "акт соответствия"). Помимо экономии финансовых средств непосредственно при проведении аттестации, данный подход исключает затраты образовательных организаций, при переоформлении пакета аттестационной документации (осуществляется, в соответствии с законодательством по истечении трехлетнего периода) - так как используется единый аттестат и аттестационная документация на уровне всей системы.

 

3. Программное обеспечение vipnet, secretnet и антивирус должно быть не только установлено, но и корректно настроено, так, например, vipnet должен исключать входящие незащищенные соединения, secretnet блокировать использование неучтенных съемных носителей и управлять политикой безопасности, для антивируса настроено регулярное обновление и.т.д. Если компания производившая аттестацию, ограничилась исключительно настройкой vipnet для доступа к закрытому контуру, не выполнив полноценную настройку специализированного ПО, требуйте устранения данного недостатка.

 

4. По завершении процесса аттестации рабочего места, у образовательной организации должен сформироваться следующих комплект документов:

 

   

                    Документы, разрабатываемые аттестующей организацией

 

1. Заключение (акт) о соответствии №___ (Аттестат соответствия № АСп0194 от 31.10.2016 г. (распространение))

2. Акт выполненных работ (акт о вводе в эксплуатацию системы защиты информации)

 

     
   

                    Документы, разрабатываемые образовательной организацией

 

1. Приказ о сотрудниках, осуществляющих обработку защищаемой информации, не содержащей сведения, составляющие государственную тайну, и имеющих доступ к обрабатываемой защищаемой информации, не содержащей сведения, составляющие государственную тайну

Шаблон приказа о сотрудниках>>

 

2. Приказ об утверждении инструкции по обеспечению безопасности информации, не содержащей сведения, составляющие государственную тайну и форм журналов, используемых при обработке персональных данных, а также при эксплуатации технических средств защиты информации, далее Приказ об утверждении инструкции и форм журналов

Шаблон приказа об утверждении инструкции и форм журналов>>

 

3. Инструкция по обеспечению безопасности информации, не содержащей сведения составляющие государственную тайну

«Приложение А» к приказу об утверждении инструкции и форм журналов

 

4. Журнал учета передачи защищаемой информации, не содержащей сведения, составляющие государственную тайну

«Приложение Б» к приказу об утверждении инструкции и форм журналов

 

5. Журнал учёта обращений субъектов персональных данных о соблюдении их законных прав в области защиты персональных данных

«Приложение В» к приказу об утверждении инструкции и форм журналов

 

6. Журнал учета носителей защищаемой информации, не содержащей сведения, составляющие государственную тайну

«Приложение Г» к приказу об утверждении инструкции и форм журналов

 

7. Журнал уничтожения носителей защищаемой информации, не содержащей сведения, составляющие государственную тайну

«Приложение Д» к приказу об утверждении инструкции и форм журналов

 

8. Журнал учета мероприятий по контролю состояния защиты защищаемой информации, не содержащей сведения, составляющие государственную тайну

«Приложение Е» к приказу об утверждении инструкции и форм журналов

 

9. Журнал учета применяемых средств защиты информации, эксплуатационной и технической документации к ним

«Приложение Ж» к приказу об утверждении инструкции и форм журналов

 

10. Журнал учета нарушений порядка предоставления ЗИ

«Приложение З» к приказу об утверждении инструкции и форм журналов

 

11. Журнал сдачи, выдачи ключей от помещения

«Приложение И» к приказу об утверждении инструкции и форм журналов

 

     
   

                    Документы, передаваемые в комплекте со специализированным программным обеспечением:

 

1. Комплект документации VipNet Client 4

2. Комплект документации SecretNet 7

3. Комплект документации Касперский 10

 

     

Таким образом, в данном случае, аттестация рабочего места заключается в установке и настройке специализированного программного обеспечения (vipnet, secretnet, антивирус), с передачей вам лицензий и документации к ПО, и оформлении "акта соответствия" и "акта выполненных работ" - производится аттестующей организацией.

Образовательная организация издает приказы и формирует журналы учета (см. перечень выше), также являющиеся частью комплекта документации к аттестованному рабочему месту