Информационная безопасность при организации и проведении ЕГЭ Попова Е.В. Директор ГАУ РК «РИЦОКО»
С чего все начиналось Конвенция совета Европы О защите физических лиц при автоматизированной обработке данных Страсбург, 28 января 1981 г. изменения от 15 июня 1999 г. Подписана Россией 7 ноября 2001г. Федеральный закон 160-ФЗ О ратификации Конвенции Совета Европы, о защите физических лиц при автоматизированной обработке данных. 19 декабря 2005г. Федеральный Закон 152-ФЗ «О персональных данных» от г. Постановление Правительства России 781 "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Утверждено г. Приказ ФСТЭК, ФСБ и МинИнформсвязи России 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных" от 13 февраля 2008 г.
Статья 3 персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; Что определяет закон и его цель? Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
Лицами, участвующими в обмене информации, содержащейся в ФБД(РБД) являются операторы ФБД(РБД), поставщики информации и обладатели информации ФБД(РБД). (п.9) Оператором РБД ЕГЭ является организация на которую возложены функции РЦОИ – ГАУ РК «РИЦОКО» (п. 11) Поставщиками информации в РБД ЕГЭ являются органы исполнительной власти, осуществляющие управление в сфере образования, муниципальные органы управления образованием, образовательные учреждения. (п.14) Обладателем информации, содержащейся в РБД ЕГЭ, является субъект РФ, от его имени орган исполнительной власти, осуществляющий управление в сфере образования – Министерство образования РК (п.17) Пользователями ФБД(РБД) являются заинтересованные органы государственной власти РФ и РК, органы местного самоуправления, образовательные учреждения, а так же организации привлекаемые к организации и проведению ЕГЭ. (п.18) Приказ Минобрнауки России от 15 апреля 133
Доступ к информации и обмен ею Подключение и доступ к информации, содержащейся в РБД обеспечивает оператор РБД ЕГЭ. (п.19) Информация содержащаяся в РБД предоставляется пользователям в объеме, соответствующем их функциям. Технические и организационные требования к обмену информацией, перечень и объем информации, предельные сроки и форма их предоставления определяются обладателем информации – Рособрнадзором и Министерством образования РК (ФЦТ, РИЦОКО) Участник ЕГЭ, его родители (законные представители) имею право на получение сведений об операторе РБД, о наличии у оператора персональных данных участника ЕГЭ, на ознакомление с такими персональными данными. (п.20) Поставщики информации осуществляют ее обработку с помощью технических и программных средств, позволяющих обеспечить автоматизированный ввод информации в РБД ЕГЭ и ФБД ЕГЭ. (п.15)
Доступ к информации и обмен ею Лица участвующие в обработке персональных данных обязаны принимать необходимые организационные и технические меры для защиты персональных данных Лица, участвующие в обмене информацией, при передаче информации с использованием сетей электросвязи применяют сертифицированные средства защиты ФЗ-152 ст.19 п.1 Приказ Минобрнауки РФ 133 п.21
Материалы и документы ограниченного доступа (конфиденциальная информация) База данных участников ЕГЭ База данных лиц, привлекаемых к организации и проведению ЕГЭ Контрольно-измерительные материалы Бланки регистрации и ответов участников ЕГЭ Свидетельства о результатах ЕГЭ Ведомости 5-ППЭ Протоколы результатов ЕГЭ
Материалы и документы ограниченного доступа (служебная информация) Документы из ППЭ о проведении экзамена Материалы проверки развернутых ответов участников ЕГЭ Протоколы ГЭК РК Протоколы результатов экзаменов не содержащие ПД Апелляционные документы Акты приёма-передачи экзаменационных материалов
Система защиты информации включает в себя: организационные меры средства защиты и иные условия защиты информации
Организационные меры Приказ о назначении ответственного за формирование БД на уровне МОУО и образовательных учреждений Приказ о назначении ответственного за приём, передачу, учет, хранение и уничтожение материалов и документов ЕГЭ Приказ о назначении комиссии по приему, передаче и уничтожению документов и материалов ЕГЭ Хранение материалов в специально выделенном и оборудованном помещении, исключающем доступ к ним посторонних лиц. Передача и уничтожение материалов и документов ЕГЭ производится только по АКТАМ Лица, привлекаемые к организации и проведению ЕГЭ должны быть письменно уведомлены о своих полномочиях и мере ответственности
Средства защиты Использование шифровальных (криптографических) средств защиты Электронной цифровой подписи ПО «ViPNet» Защищенной сети передачи данных
Иные условия защиты информации На АРМ где проходит формирование БД должен быть установлен пароль доступа АРМ где проходит формирование БД не должен иметь выход в ИНТЕРНЕТ До 11 марта отправка и получение информации происходит с АРМ, подключенного к сети Интернет с использованием КРИПТО ПРО и ЭЦП. С апреля 2011 года отправка и получение информации происходит с АРМ где происходило формирование БД и установлено ПО «ViPNet»
Сроки хранения и порядок внесения изменений В случае достижения цели обработки ПД оператор (поставщик) обязан незамедлительно прекратить обработку ПД ( ФЗ-152, ст.21.п.4) Сроки хранения информации, содержащейся в РБД ЕГЭ определяет обладатель информации. Сроки хранения информации в ИСПДн: База данных участников ЕГЭ в ОУ – до 10 марта т.г. Информация о результатах ЕГЭ в ОУ (где имеются ПД) – до т.г. База данных участников ЕГЭ, лиц привлекаемых к организации и проведению ЕГЭ в МОУО – до т.г. Информация об участниках ЕГЭ, лицах привлекаемых к организации и проведению ЕГЭ в ППЭ – до завершения экзамена. Записи отсканированных изображений бланков участников ЕГЭ - до завершения всех экзаменов в данном ППЭ- ППОИ ТОМ или ППОИ ТОМ.
Сроки хранения материалов и документов ЕГЭ п / п Материалы и документы ЕГЭСроки храненияМесто хранения 1.Использованные экзаменационные материалы (КИМ, бланки участников ЕГЭ)До текущего годаРИЦОКО/ППОИ ТОМ 2.Некомплектные, имеющие полиграфический брак, испорченные и лишние экзаменационные материалы До текущего годаРИЦОКО/ППОИ ТОМ 3.Документы из ППЭ о проведении экзамена (ф-1-ППЭ, 6-ППЭ, 7-ППЭ.7-1-ППЭ, 14-ППЭ с приложением, черновики) До текущего годаРИЦОКО/ППОИ ТОМ 4.Документы из ППЭ о проведении экзамена (Формы 5-ППЭ. 8-ППЭ, 9-ППЭ, 12- ППЭ с приложением,13-ППЭ, 14-ППЭ) До текущего годаРИЦОКО/ППОИ ТОМ 5.Использованные материалы проверки ответов участников ЕГЭ (протоколы, бланки-копии ответов 2) До текущего годаРИЦОКО 6.Имеющие полиграфические дефекты или испорченные бланки свидетельствДо следующего за годом выдачи РИЦОКО 7.Неиспользованные экзаменационные материалыДо текущего годаРИЦОКО/ППОИ ТОМ 8.Неиспользованные бланки свидетельств о результатах ЕГЭПолежат использованиюРИЦОКО 9.Заполненные бланки свидетельств, не востребованные участниками ЕГЭ5 летОУ/МОУО/РИЦОКО 10.Ведомости учета выдачи свидетельств о результатах ЕГЭ5 летОУ/МОУО/РИЦОКО 11.Ведомости прихода-расхода бланков свидетельств5 летМОУО/РИЦОКО 12.Акты приемки-передачи материалов и документов ЕГЭ2 летМОУО/РИЦОКО 13.Акты об уничтожении материалов и документов ЕГЭ5 летМОУО /РИЦОКО 14.Акты об уничтожении бланков свидетельств о результатах ЕГЭ5 летРИЦОКО 15.Протоколы ГЭК5 летМО РК /РИЦОКО 16.Внешние носители с электронными файлами распределения участников ЕГЭ и организаторов по аудиториям, удаленного сканирования, обработки материалов ЕГЭ 5 летРИЦОКО
Ответственность за нарушение информационной безопасности и конфиденциальности Поставщик информации несет ответственность за достоверность предоставляемой информации. В случае установления недостоверности (изменения) информации незамедлительно информирует об этом оператора РБД ЕГЭ (п.25 приказ Минобрнауки РФ 133) Нарушение порядка обмена информацией, включаемой или содержащейся в РБД ЕГЭ влечет за собой ответственность, установленную законодательством РФ. (п.26 приказ Минобрнауки РФ 133, 152-ФЗ ст.24) Лица, привлекаемые к проведению ЕГЭ, а в период проведения ЕГЭ также лица, сдававшие ЕГЭ, несут в соответствии с законодательством РФ ответственность за разглашение содержащихся в КИМ сведений (ст.15 п.4.1. Закон об образовании) Умышленное искажение результатов государственной (итоговой) аттестации и предусмотренных законодательством РФ в области образования олимпиад школьников, а равно нарушение установленного законодательством РФ в области образования порядка проведения государственной (итоговой) аттестации – влечет наложение административного штрафа (ст.19.30,п.4 Кодекс РФ об административных правонарушениях)