В соответствии с законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных» 

«Единая образовательная сеть «Дневник.ру» — это официально зарегистрированное и сертифицированное программное средство (информационная система) для обработки персональных данных учеников образовательных учреждений (обучающихся).

Цель обработки — ведение электронного журнала и   регистрация сопутствующих сведений об успеваемости  обучающихся,  необходимые для реализации информационно-справочного обеспечения пользователей.

Компания ООО «Дневник.ру» является владельцем и разработчиком информационной системы «Единая образовательная сеть «Дневник.ру».

Специалистами компании в ходе подготовки программного средства  к сертификационным испытаниям встроенных средств защиты на соответствие требованиям, предъявляемым  при обработке персональных данных класса К2, были изучены следующие нормативные материалы:

— Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

— Постановление Правительства от 17-го ноября 2007 г. N781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

— Совместный приказ Федеральной службы по техническому и экспортному контролю N55, Федеральной службы безопасности Российской Федерации N86 и Министерства информационных технологий и связи Российской Федерации N20 от 13 февраля 2008 г. «Об утверждении порядка проведения классификации информационных систем персональных данных»;

— «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждённая Заместителем директора ФСТЭК России от 14.02.2008 г.;

— Письмо Министерства образования и науки Российской Федерации Федеральное агентство по образованию от 29 июля 2009 г N17-110 «Об обеспечении защиты персональных данных»;

— Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных».

На основании указанных документов была разработана схема работы  в информационной системе «Дневник.ру», не требующая проведения аттестационных и (или) сертификационных мероприятий на рабочих местах конечных пользователей, для максимального упрощения процесса внедрения  в образовательные учреждения.

Указанная схема была одобрена двумя независимыми компаниями, а именно, ФГУП «ЗащитаИнфоТранс», обеспечивающая  экспертизу встроенных средств защиты информационной системы «Дневник.ру» на основании договора 10049/СФ-о6 от 19 мая 2010, и ЗАО «Лаборатория противодействия промышленному шпионажу», являющимися лицензиатами ФСБ и ФСТЭК России и  имеющими лицензии на проведение работ, связанных с:

  • созданием средств защиты информации;
  • разработкой и (или) производством средств защиты конфиденциальной информации;
  • технической защитой конфиденциальной информации;
  • осуществлением мероприятий и (или) оказание услуг в области защиты государственной тайны.

Данная схема так же была согласована и одобрена представителями ФСТЭК в связи с её простотой и прозрачностью для понимания, внедрения и последующего обслуживания.

В ходе сертификации компанией ООО «Дневник.ру» были получены следующие документы:

— Запись в реестре операторов персональных данных под номером 09-0062296;

Свидетельства о государственной регистрации программ для ЭВМ;

Лицензия на деятельность по технической защите конфиденциальной информации;

Лицензия на деятельность по разработке средств защиты конфиденциальной информации;

Сертификат соответствия № 2309  от 28.03.2011 г. требованиям руководящего документа Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» для 5-го класса защищенности.

 

Примечание:

Классификация персональных данных:

класс 1 (К1) — ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) — ИС, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) — ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) — ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.