Личный кабинет

Фемида-152

Выделено из Фемида про 152-ФЗ (ПДн)
Андрей Лукутин ( Пользователь )
(МЭК @ 30.07.2008, 01:53) <{POST_SNAPBACK}>
Ну, вот, хватило smile.gif

Михаил Эдуардович! Вопрос: как с защитой информации?
Михаил Кушнир ( Пользователь )
(Андрей Лукутин @ 30.07.2008, 05:22) <{POST_SNAPBACK}>
Вопрос: как с защитой информации?

Как всегда smile.gif
Современные операционные системы обеспечивают весьма высокий уровень защищенности информации, который несопоставимо выше, чем в случае бумажного классного журнала.
Статистика утечек информации гласит, что свыше 90% оных происходит изнутри, а не снаружи.
Разработчики ПО, как правило, имеют некоторое представление об этой проблеме, закладывают ее в логику работы и в инструкцию по эксплуатации.

Я могу с уверенностью назвать главный источник опасности - легкомысленные пароли у учителей/ администраторов. Если хотя бы администраторы школы осознают это и поддержат администратора сети в заботе об адекватности паролей, проблем не вижу.

С другой стороны, сегодня журналы по всем углам школы таскают дети - такой уровень защищенности не требует никаких паролей.
Михаил Кушнир ( Пользователь )
Цитата (mbogdanov, 21.03.2009, 04:59) <{POST_SNAPBACK}>
Михаил, а могли бы Вы скинуть тут или в личку перечень основополагающих нормативных актов, на основании которых, вообще, введен ЭЖ в Вашем ОУ? Хочу на досуге разобраться с правовыми аспектами, в частности, с проблемой публикования личных данных и процедурами организации доступа к ним....

Я уже давал ссылку на свою подборку документов - могу повторить.
У нас обычный журнал еще не отменяли, поэтому никаких особых документов не было. Единственное - приказ о работе с персональными данными: обязывает кл. руководителей
- вести подборку письменных заявлений родителей с просьбой об информировании их по указанным электронным адресам
- следить за актуальностью этих адресов
- следить за нераспространением персональных данных

До вступления в силу закона (1.1.2010) это можно считать пропедевтикой. Надеюсь, ближе к времени Х появятся более четкие рекомендации и распоряжения "сверху". На пермском сайте есть их форма заявления от родителей.
У нас доступ к персональным данным предусмотрен ТОЛЬКО для педсостава, причем, к контактным данным - только кл.руководителей и администрации. Правда, мы обязаны 3 раза за уч.год отправлять отчет о контингенте в ДОМ, что не очень вяжется с законом ... :)

PS. Попутно, раз уж повторил ссылку, могу проинформировать интересующихся, что на сайте появилась страница "Презентации". На нее перенесли все медиа-материалы, в том числе, несколько видео-инструкций по работе с РУЖЭЛЬ. Видимо, коллекция этих файлов будет постепенно пополняться.
Михаил Богданов ( Пользователь )
Цитата (МЭК, 21.03.2009, 14:42) <{POST_SNAPBACK}>
Я уже давал ссылку на свою подборку документов - могу повторить.
У нас обычный журнал еще не отменяли, поэтому никаких особых документов не было. Единственное - приказ о работе с персональными данными: обязывает кл. руководителей
- вести подборку письменных заявлений родителей с просьбой об информировании их по указанным электронным адресам
- следить за актуальностью этих адресов
- следить за нераспространением персональных данных

До вступления в силу закона (1.1.2010) это можно считать пропедевтикой....

Во-первых, спасибо!
Во-вторых, возникло 2 вопроса:

первый: приказ о работе с персональными данными должен, по-видимому, быть согласованным с положениями ФЗ "О персональных данных", а там прописаны довольно жесткие требования к их сохранности... как это согласовать с должностными инструкциями работника ОУ - там же уголовная ответственность предусмотрена.. и как в реальной жизни обеспечить сохранность баз данных, информации о ключах доступа и т.п. работа не шуточная и требующая специальной квалификации от работника.
Если разбираться, то тут за вредность надо платить ИТ службе школы при подписании такого приказа...)))

и второй вопрос - о каком законе, вступающем в силу 1.1.2010 идет речь?
Михаил Кушнир ( Пользователь )
Цитата (mbogdanov, 25.03.2009, 16:21) <{POST_SNAPBACK}>
первый: приказ о работе с персональными данными должен, по-видимому, быть согласованным с положениями ФЗ "О персональных данных", а там прописаны довольно жесткие требования к их сохранности...

Не нашел я особых строгостей и проблем. Грамотное использование стандартных системных средств, на мой взгляд, вполне отвечает требованию безопасности. Архивы можно хранить в сейфах администрации с указанием ответственных за хранение в приказе - это банально.
Что важно - письменное согласие с указанием длинной череды параметров. Если примут Федеральный закон о правилах работы с персональными данными в госучреждениях, эта проблема отпадет, т.к. по закону из под него выпадают федеральные законы.

Цитата (mbogdanov, 25.03.2009, 16:21) <{POST_SNAPBACK}>
и второй вопрос - о каком законе, вступающем в силу 1.1.2010 идет речь?

Цитата
Глава 6. Заключительные положения
Статья 25. Заключительные положения
...
3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

Добавил этот закон в свою подборку
Михаил Кушнир ( Пользователь )
Цитата (mbogdanov, 21.03.2009, 04:59) <{POST_SNAPBACK}>
Хочу на досуге разобраться с правовыми аспектами, в частности, с проблемой публикования личных данных и процедурами организации доступа к ним....

Я дополнил свою правовую коллекцию ссылками на более крутые документы по ПД. Коллеги сообщают, что вокруг них идут яростные дебаты: надо ли иметь спецсертификаты на сервер, серверную ОС или так обойдется. Я думаю, проще правильно составить соглашение с родителями, т.к. они дают разрешение.
Но, действительно, все оказывается не так просто, как казалось :)
Михаил Кушнир ( Пользователь )
Цитата (МЭК, 16.04.2009, 19:29) <{POST_SNAPBACK}>
Я дополнил свою правовую коллекцию ссылками на более крутые документы по ПД. Коллеги сообщают, что вокруг них идут яростные дебаты: надо ли иметь спецсертификаты на сервер, серверную ОС или так обойдется. Я думаю, проще правильно составить соглашение с родителями, т.к. они дают разрешение.
Но, действительно, все оказывается не так просто, как казалось :)

Туда-же рядышком добавил ссылку на свой результат изучения Закона О ПД - ЭЖ-сага. Теперь мы все (возможно, за редким исключением) нарушаем этот закон, т.к. он касается не только электронных средств.
Будем надеяться, что какие-то изменения в него или в другие федеральные законы, облегчающие нам его выполнение, все же внесут. :)
Михаил Кушнир ( Пользователь )
29 июля выпущено письмо Рособра с рекомендациями по работе с ПД. В нем, в том числе, ссылаются на постановление правительства 2008 года о работе с ПД без использования средств автоматизации - оно было принято в блоке с известным постановлением о ПД, но я тогда не обратил на него должного внимания. А зря!

Оба документа добавлены в мою копилку. Есть еще одно полезное обсуждение этой темы
Оксана С. ( Пользователь )
добрый день.

подскажите по закону о защите персональных данных касательно электронных журналов.
1. что должен обеспечить поставщик журнала, т.е. какие вопросы ему нужно задать, чтобы убедиться в соответствии требованиям. тем более, что передача данных идет через интернет.
2. если школа пользуется системой, а разработчик что-то не выполнил по требованиям закона - школа несет ответственность или нет?
3. что нужно делать в самой школе - заявления собирать или т.п., на что конкретно должны давать согласие родители (есть ли сведения, на которые не требуется согласие) и как быть если кто-то отказывается?

может быть что-то не правильно описала - просто не очень в этом разбираюсь, надеюсь поможете!
Михаил Кушнир ( Пользователь )
Цитата (Ксения Сергеева, 21.08.2009, 11:30) <{POST_SNAPBACK}>
подскажите по закону о защите персональных данных касательно электронных журналов.
1. что должен обеспечить поставщик журнала, т.е. какие вопросы ему нужно задать, чтобы убедиться в соответствии требованиям. тем более, что передача данных идет через интернет.
2. если школа пользуется системой, а разработчик что-то не выполнил по требованиям закона - школа несет ответственность или нет?
3. что нужно делать в самой школе - заявления собирать или т.п., на что конкретно должны давать согласие родители (есть ли сведения, на которые не требуется согласие) и как быть если кто-то отказывается?

1. С точки зрения закона о ПД и подготовки условий для использования ЭЖ ничего полезного поставщик вам не скажет, т.к.
2. Ответственность за ПД и информационную систему несет по закону оператор, т.е. школа
3. Ответ на вопрос содержится в письме Рособразования

К сожалению, трудно назвать данное письмо исчерпывающе разъясняющим все необходимые действия, но оно интегрирует множественные документы и неплохо формирует представление о необходимых действиях. Чтобы легче его воспринять, советую СНАЧАЛА прочитать 2 мои статьи в подборке документов: ЭЖ-сага и Простое решение. Ссылки на них находятся в сообщении, посвященном этому письму о ПД (в нижней строке за словом "Школам").


(ссылку на свою подборку документов я разместил на 1 странице этой ветки в начале 3-го сообщения,
хотя она-же есть в первом сообщении и на этой странице)

Готов ответить на другие вопросы после прочтения в меру своего понимания проблемы :)

footer logo © Образ–Центр, 2017. 12+