5. Основные мероприятия по обеспечению безопасности персональных данных в учреждениях образования

Исходя из требований законодательства образовательным учреждениям в течение 2009 года необходимо:

1. Определить (или уточнить) состав и категории обрабатываемых персональных данных;

2. Осуществить (или уточнить) классификацию действующих информационных систем, обрабатывающих персональные данные;

3. Провести необходимые организационные и технические мероприятия для обеспечения защиты:

- персональных данных, обрабатываемых без использования средств автоматизации;

- информационных систем, обрабатывающих персональные данные.

4. Декларировать соответствие или провести аттестационные (сертификационные) испытания информационных систем, обрабатывающих персональные данные.

Мероприятия по обеспечению безопасности персональных данных осуществляются на основе законодательства Российской Федерации, нормативных и методических документов.

В части предварительных организационных мероприятий по защите персональных данных всем подведомственным Рособразованию учреждениям и организациям следует:

- определить перечень, цели и порядок обработки персональных данных;

- назначить ответственных за работу с персональными данными;

- подготовить должностные инструкции сотрудников, обрабатывающих персональные данные;

- обеспечить размещение и охрану средств хранения и обработки персональных данных.

Для информационных систем классов К1 и К2 дополнительно потребуется принять предусмотренные методическими документами ФСТЭК России и ФСБ России меры по защите информации от утечки по техническим каналам.