Обеспечение безопасности персональных данных


Программа «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» разработана с учетом требований Федерального закона от 28.12.2010 № 390-ФЗ «О безопасности», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Основой для разработки программы являются Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные приказом ФСТЭК России от 18.02.2013 № 21, а также документы регламентирующие вопросы обеспечения безопасности персональных данных: «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

При разработке программы выполнены требования по разработке дополнительных профессиональных программ, утвержденные приказом Минобразования России от 05.12.2013 № 1310

Цель обучения: освоение специалистами актуальных изменений в вопросах профессиональной деятельности, обновление их теоретических знаний и умений, развитие навыков практических действий по планированию, организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах в условиях существования угроз безопасности информации.

Поставленная цель достигается решением следующих задач:

  • изучением нормативных правовых и организационных основ обеспечения безопасности персональных данных в информационных системах персональных данных;
  • изучением методов и процедур выявления угроз безопасности персональных данных в информационных системах персональных данных и оценки степени их опасности;
  • практической отработкой способов и порядка проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Категория слушателей: специалисты органов власти, организаций и предприятий по защите информации, осуществляющие разработку и эксплуатацию автоматизированных информационных систем, обеспечивающих обработку, хранение и передачу персональных данных.

Общая трудоемкость программы: 72 часа.
Форма обучения: очная, дистанционная, очно-заочная.
Режим занятий: по согласованию с заказчиком.

В результате реализации программы обучаемые должны:

быть ознакомлены:

  • с нормативными правовыми и организационными основами защиты информации и обеспечения безопасности персональных данных в Российской Федерации;
  • с порядком организации и проведения лицензирования деятельности в области защиты информации;
  • с документами национальной системы стандартизации, действующими в области защиты информации;
знать:
  • содержание основных нормативных правовых актов, регламентирующих вопросы обеспечения безопасности персональных данных;
  • основные виды угроз безопасности персональных данных в информационных системах персональных данных;
  • содержание и порядок организации работ по выявлению угроз безопасности персональных данных;
  • процедуры задания и реализации требований по защите информации в информационных системах персональных данных;
  • меры обеспечения безопасности персональных данных;
  • требования по обеспечению безопасности персональных данных;
  • порядок применения организационных мер и технических мер обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных;
уметь:
  • планировать мероприятия по обеспечению безопасности персональных данных;
  • разрабатывать необходимые документы в интересах организации работ по обеспечению безопасности персональных данных;
  • обосновывать и задавать требования по обеспечению безопасности персональных данных в информационных системах персональных данных;
  • проводить оценки актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • определять состав и содержание мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для блокирования угроз безопасности персональных данных;
иметь навык:
  • определения уровня защиты персональных данных;
  • выявления угроз безопасности персональных данных в информационных системах персональных данных.

1. Перечень тем

№ темыНаименование тем
1.Раздел № 1. Общие вопросы технической защиты информации
2.Тема № 1. Правовые и организационные вопросы технической защиты информации ограниченного доступа.
3.Тема № 2. Выявление угроз безопасности информации на объектах информатизации, основные организационные меры, аппаратные и программные средства защиты информации от несанкционированного доступа.
4.Раздел № 2. Организация обеспечения безопасности персональных данных в информационных системах персональных данных.
5.Тема № 3. Угрозы безопасности персональных данных при их обработке в информационных системах персональных данных, организационные и технические меры защиты информации в информационных системах персональных данных.
6.Тема № 4. Основы организации и ведения работ по обеспечению безопасности персональных данных
7.Тема № 5. Практические реализации типовых моделей защищенных информационных систем обработки персональных данных.

2. Реферативное описание тем

Раздел № 1. Общие вопросы технической защиты информации
Тема № 1. Правовые и организационные основы технической защиты информации ограниченного доступа

Основные понятия в области технической защиты информации (ТЗИ). Стратегия национальной безопасности Российской Федерации до 2020 года. Доктрина информационной безопасности Российской федерации. Концептуальные основы ТЗИ. Законодательные и иные правовые акты, регулирующие вопросы ТЗИ. Система документов по ТЗИ и краткая характеристика ее основных составляющих.
Структура и направления деятельности системы ТЗИ в субъектах Российской Федерации. Система органов по ТЗИ в Российской Федерации, их задачи, распределение полномочий по обеспечению ТЗИ. Задачи, полномочия и права Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Задачи, полномочия и права управлений ФСТЭК России по федеральным округам.
Лицензирование деятельности в области технической защиты информации. Сертификация средств защиты информации, аттестация объектов информатизации по требованиям безопасности информации. Документы национальной системы стандартизации в области ТЗИ.
Основные документы, определяющие направления и порядок организации деятельности, организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Права субъектов персональных данных. Способы защиты прав субъектов персональных данных.

Тема № 2. Выявление угроз безопасности информации на объектах информатизации, основные организационные меры, технические и программные средства защиты информации от несанкционированного доступа

Понятия «безопасности информации», «угрозы безопасности информации», «уязвимости», «источника угрозы».
Целостность, конфиденциальность и доступность информации. Классификационная схема угроз безопасности информации и их общая характеристика. Особенности проведения комплексного исследования объектов информатизации на наличие угроз безопасности информации. Методы оценки опасности угроз.
Классификация объектов информатизации. Методические рекомендации по классификации и категорированию объектов информатизации. Характеристика основных угроз несанкционированного доступа и моделей нарушителя безопасности информации, а также способов реализации этих угроз. Характеристика основных классов атак, реализуемых в сетях общего пользования, функционирующих с использованием стека протоколов TCP/IP. Понятие программно-математического воздействия и вредоносной программы. Классификация вредоносных программ, основных деструктивных функций вредоносных программ и способов их реализации. Особенности программно-математического воздействия в сетях общего пользования. Методы и средства выявления угроз несанкционированного доступа к информации и специальных воздействий на неё. Порядок обеспечения защиты информации при эксплуатации автоматизированных систем.
Защита информации на автоматизированных рабочих местах на базе автономных ПЭВМ. Защита информации в локальных вычислительных сетях. Защита информации при межсетевом взаимодействии. Защита информации при работе с системами управления базами данных. Порядок обеспечения защиты информации при взаимодействии с информационными сетями общего пользования.
Требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники.
Содержание и порядок проведения аттестации объектов информатизации по требованиям безопасности информации. Структура, содержание и порядок подготовки документов при аттестации объектов информатизации по требованиям безопасности информации.

Раздел № 2. Организация обеспечения безопасности персональных данных в информационных системах персональных данных
Тема №3. Угрозы безопасности персональных данных при их обработке в информационных системах персональных данных, организационные и технические меры защиты информации в информационных системах персональных данных.

Особенности информационного элемента информационной системы персональных данных.
Основные типы актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, порядок их определения. Угрозы несанкционированного доступа к информации в информационных системах персональных данных. Угрозы утечки информации по техническим каналам.
Основные принципы обеспечения безопасности персональных данных при их обработке: законности, превентивности, адекватности, непрерывности, адаптивности, самозащиты, многоуровневости, персональной ответственности и минимизации привилегий, разделения полномочий и их характеристика. Основные направления деятельности по обеспечению безопасности персональных данных при их обработке в информационных система персональных данных. Общий порядок организации обеспечения безопасности персональных данных. Оценка достаточности и обоснованности запланированных мероприятий. Особенности обеспечения безопасности персональных данных, обрабатываемых на автоматизированных рабочих местах с использованием автономных ПЭВМ, в локальных вычислительных сетях и при межсетевом взаимодействии.
Рекомендации по применению мер и средств обеспечения безопасности персональных данных от физического доступа. Причины и физические явления, порождающие технические каналы утечки информации (ТКУИ) при эксплуатации объектов информатизации. Классификация ТКУИ.
Основные требования и рекомендации по защите речевой информации, циркулирующей в защищаемых помещениях. Оценка защищенности информации, обрабатываемой основными техническими средствами и системы их коммуникации.

Тема №4. Основы организации и ведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Определение необходимых уровней защищенности персональных данных при их обработке в информационных системах в зависимости от типа актуальных угроз для информационных систем, вида и объема обрабатываемых в них персональных данных.
Состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий.
Порядок выбора мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных: определение базового набора мер, адаптация базового набора, уточнение адаптированного базового набора мер, дополнение уточненного адаптированного базового набора мер.
Содержание мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных.
Требования к средствам защиты информации для обеспечения различных уровней защищенности персональных данных. Организация обеспечения безопасности персональных данных в организациях и учреждениях. Перечень основных этапов при организации работ по обеспечению безопасности персональных данных.
Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и особенности их реализации.
Содержание, порядок разработки и ввода в действие внутренних нормативных документов и актов ненормативного характера по обработке персональных данных и обеспечению безопасности персональных данных. Подготовка уведомлений об обработке персональных данных в уполномоченный орган, порядок внесения изменений в ранее представленное в уполномоченный орган уведомление.
Обязанности оператора, осуществляющего обработку персональных данных. Порядок и условия обработки персональных данных без средств автоматизации. Порядок и методы обезличивания персональных данных, их деобезличивание. Особенности обработки персональных данных в условиях государственной гражданской службы и муниципальной службы. Ответственность за нарушение требований законодательства Российской Федерации в области персональных данных.

Тема №5. Практические реализации типовых моделей защищенных информационных систем обработки персональных данных.

Комплекс организационных и технических мероприятий (применения технических средств), в рамках подсистемы защиты персональных данных, развертываемой в информационной системе персональных данных в процессе ее создания или модернизации. Основное содержание этапов организации обеспечения безопасности персональных данных.
Варианты реализации мероприятий по защите персональных данных и типовые модели защищенных информационных систем персональных данных с использованием существующих сертифицированных средств защиты информации.
Виды, формы и способы контроля защиты персональных данных в информационных системах персональных данных. Планирование работ по контролю состояния защиты персональных данных в информационных системах персональных данных. Основные вопросы, подлежащие проверке (анализу) при контроле состояния организации защиты персональных данных.

Отправлено

Спасибо, ваша заявка принята.