ИСПДн в школе - Форум по вопросам информационной безопасности

Добрый день. Прошу помощи.

В связи с тотальнейшей информатизацией школ, а также кучей нюансов в обработке ПДн стали возникать вопросы:

В школе используется электронный журнал, который является частью внешней окружной информационной системой. Соответственно учителя, завучи и т.д. ведут в журнале работу со своих АРМ в кабинетах школы через веб-браузеры.
1) Правильно ли я понимаю, что все учителя являются сотрудниками, осуществляющими обработку ПДн?
2) Правильно ли я понимаю, что все АРМ в школе, с которых происходит работа в электронном журнале (учитель как видит списочный состав классов, выставляет оценки) (через сеть Интернет) по факту должны входить в состав школьной ИСПДн?
3) Если это так, то по логике вещей, все помещения в школе, в которых учитель работает с электронным журналом должны тоже относиться к защищаемым помещениям, а также входить в контролируемую зону. Я правильно понимаю? Или я не прав?

P.s. Вопрос возник в связи с тем, что почти у всех школ в качестве защищаемых помещений указываются такие стандартные кабинеты, как бухгалтерия, кадры, кабинет завучей и т.п. И всё. Более того у большинства школ, документы которых я нагуглил, учитель вообще не фигурирует как лицо, обрабатывающее ПДн, там всё заканчивается на завучах.

Буду благодарен за помощь.

Учитель заведомо обрабатывает ПДн. В бумажном виде уже сотни лет.
Поэтому его полномочия должны быть прописаны в этой ИСПДн.
Весь фокус в полномочиях (например, ФИО и класс вполне можно отнести к общедоступным данным).
Завучи и т.д. - это лица, ОТВЕТСТВЕННЫЕ за организацию работ в ИСПДн, а доступ к ней имеет гораздо больше людей, как Вы правильно отметили.
Бухгалтерия, администрация и т.д. имеюет доступ к обобщенным ПДн, включая (возможно) и специальные категории, типа медицинских, а то и КТ

РКН присылал бумагу - убрать все ФИО и фото детей со школьных сайтов (призеры олимпиад и т.д.), несмотря на собранные согласия. Поэтому ФИО и класс мы наврятли можем отнести к общедоступным данным.

Помимо работы в электронном журнале, учителя, являющиеся классными руководителями, заполняют заявки по питанию детей в определенной ИС, также со своих учебных кабинетов, используся СКЗИ Континент TLS VPN и личные сертификаты.

То есть вопрос у меня остался один: корректно ли будет отнести все учебные кабинеты, откуда идет работа с данными ИСПДн к защищаемым, в которых должен соблюдаться внутриобъектовый режим? (фактически 90% помещений школы)

to Денис
Защищаемое помещение (ЗП) - это нечто иное с позиции устоявшейся терминологии закона (помещение, в котором обрабатывается конф.инф. в акустическом/речевом варианте)...
"Внутриобъектовый режим" (тоже нечто иное, но для ясности будем использовать такое обозначение) должен соблюдаться там, где имеются штатные средства доступа к ИСПДн. Читай, в помещениях с размещением ПЭВМ, серверов, коммутационки, терминалов и проч., проч. В это все хреново вписывается WiFi (а также удаленный доступ через ИТКС Интернет, ага), но в такой ситуации правильнее WiFi сети изолировать от сетей, связанных с ИСПДн...
От вышесказанного и отталкивайтесь. С одной стороны, вам много проще (с позиции решения, с позиции ликвидации потенциальных каналов утечки и угроз безопасности, с позиции масштабирования на будущее, ага) ввести режимные мероприятия в действие на всей территории школы. Вот только как это все будет исполняться по факту - опять-таки, надо прикидывать и продумывать на месте, зная все от реалии...

2 Денис
в _дополнение_ к oko
Вы обязаны)))) согласовать с РКН (хотя бы известить) свои режимно-технические меры по доступу, раз они вмешиваются в вашу систему защиты (на всякий входящий обязан быть исходящий ;-)
И, действительно, нужно сделать вход в служебные учётные записи с парольным носителем (грубо говоря, учтеной флешкой и парольным файлом, оно же ЭП). Чтобы утечка пароля учителя не стала причиной полного развала системы, и ручного восстановления из архива непонятной давности.
Идеально, конечно, сертифицированную СЗИ, но на это денег не дадут.
И, конечно, инструкции, правила и с согласия под роспись.
К сожалению, остаётся актуальным:
'Листок бумаги тоньше волоса, но прикрывает жопу лучше броневого листа.'

to: Evgeniy D

Электронный журнал - это не ИСПДн школы, а сторонняя.
У школы должен быть договор (или другое требование/основание на его использование).
Владелец ИС должен был оценить угрозы и разработать систему защиты серверов и требования к подключаемым рабочим станциям, а школа только их выполнить...

Кроме того, раз обработка осуществляется сторонним оператором, то оператор должен озаботиться о сборе согласий (или обязать школу выполнить это требование) на передачу ПДн им.