ОБЩАЯ ХАРАКТЕРИСТИКА
ОБРАЗОВАТЕЛЬНОЙ ПРОГРАММЫ
Продолжительность курса: 72 академических часа
Целевая установка
Повысить квалификацию руководителей подразделений и специалистов по защите информации (сотрудников служб защиты информации) органов государственной власти, органов местного самоуправления, предприятий, учреждений и организаций в части деятельности по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Обеспечить слушателей теоретическими знаниями и практическими навыками, необходимыми для решения задач по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с современными требованиями.
Цели курса
В результате изучения Учебной программы, обучаемые должны:
иметь представление:
• об угрозах безопасности персональных данных и их источниках;
• о способах и средствах технической защиты информации ограниченного доступа;
знать:
• основные особенности современного состояния организационно-правового обеспечения защиты персональных данных в информационных системах персональных данных;
• проблемы охраны конфиденциальности персональных данных лиц в Российской Федерации;
• подходы к правовой защите персональных данных, организации контроля за возможными каналами их утечки;
• методы и способы выявления угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• порядок организации работ по обеспечению безопасности информации в информационных системах персональных данных;
• требования и рекомендации по обеспечению безопасности информации в информационных системах персональных данных;
• знать основные технические, программные, криптографические, программно-аппаратные средства, применяемые для защиты персональных данных;
• методы контроля и оценки состояния обеспечения безопасности информации в информационных системах персональных данных;
уметь:
• составлять перечень сведений, отнесенных к персональным данным и проводить их классификацию;
• проводить классификацию информационных систем персональных данных с составлением соответствующего акта;
• выявлять актуальные угрозы безопасности информации в информационных системах персональных данных;
• разрабатывать частные модели угроз безопасности персональных данных в конкретных информационных системах персональных данных с учетом их назначения, условий и особенностей функционирования;
• разрабатывать техническое обоснование для создания системы защиты информационных систем персональных данных;
• оформлять техническое (частное техническое) задание на разработку системы (подсистемы) защиты персональных данных;
• разрабатывать необходимую организационно-распорядительную и нормативно-техническую документацию в интересах организации защиты персональных данных;
• планировать, организовывать и контролировать выполнение работ и мероприятий по защите персональных данных;
• оценивать эффективность защиты информационных систем персональных данных;
владеть навыками:
• применения технических, криптографических, программно-аппаратных и программных средств защиты персональных данных;
• разработки внутренних нормативных документов, обеспечивающих защиту персональных данных в информационных системах персональных данных.
По окончании обучения проводится экзамен, являющийся заключительным этапом изучения учебной программы и имеющий цель проверить и оценить уровень полученных знаний, навыки и умения применить полученные знания в решении практических задач.
По окончанию курса выдается Удостоверение о краткосрочном повышении квалификации.
Аудитория
• руководителей органов государственной власти субъектов РФ и органов местного самоуправления субъектов Российской Федерации;
• специалистов подразделений по защите информации органов исполнительной власти субъектов Российской Федерации;
• специалистов подразделений по защите информации организаций различных форм собственности.
При реализации учебной программы особое внимание уделяется изучению требований российского законодательства, нормативно-методических документов по организации защиты персональных данных при их обработке в информационных системах персональных данных.
В процессе обучения особо изучаются мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных различных классов. Обучаемые также получают возможность обучиться работе с соответствующими средствами защиты информации.
Содержание курса
РАЗДЕЛ 1. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Тема 1. Иерархия документов, регламентирующих защиту персональных данных
История появления документов, регламентирующих защиту персональных данных в Российской Федерации.
Документы, регламентирующие защиту персональных данных. Международное право в области защиты персональных данных.
Базовая иерархия документов, регламентирующих защиту персональных данных в Российской Федерации.
Тема 2. Требования Федерального закона от 27 июля 2006 года № 152 к обеспечению безопасности персональных данных.
Основные понятия. Персональные данные в Федеральном законе и Трудовом кодексе Российской Федерации. Содержание категории «персональные данные». Область применения закона. Ограничения.
Обработка персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ) трансграничная передача, обезличивание, блокирование, удаление, уничтожение.
Принципы обработки персональных данных. Условия обработки персональных данных. Согласие субъекта. Обработка биометрических данных. Обработка персональных данных третьим лицом в интересах оператора. Трансграничная передача персональных данных. Специальные категории персональных данных и особенности их обработки. Права субъектов персональных данных и их соблюдение при обработке. Обязанности оператора персональных данных в ходе сбора и обработки персональных данных, ответы на запросы субъектов. Уведомления об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных.
Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований по обращению с персональными данными.
Тема 3. Требования Постановления Правительства Российской Федерации от 01 ноября 2012 года № 1119 к защите персональных данных при их обработке в информационных системах персональных данных
Типы информационных систем персональных данных. Актуальные угрозы безопасности персональных данных. Типы актуальных угроз. Уровни защищённости персональных данных. Требования по обеспечению различных уровней защищённости персональных данных. Контроль выполнения требований.
Тема 4. Требования Постановления Правительства РФ от 21.03.2012 № 211 «Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
Меры, направленные на обеспечение выполнения обязанностей по защите персональных данных операторами.
Требования по публикации официальных документов, определяющих политику в отношении обработки персональных данных операторами.
Тема 5. Требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Обработка персональных данных, осуществляемая без использования средств автоматизации.
Типовые формы документов. Журналы, содержащие персональные данные. Меры по обеспечению раздельной обработки персональных данных. Уничтожение и обезличивание персональных данных.
Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации.
Тема 6. Требования Постановления Правительства Российской Федерации от 06 июля 2008 года к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных
Материальные носители персональных данных. Область применения требований.
Требования к материальным носителям персональных данных. Обязанности оператора по работе с материальными носителями персональных данных. Требования к технологиям хранения биометрических персональных данных, хранящихся вне информационных систем персональных данных. Дополнительная информация на материальных носителях.
Тема 7. Ведомственные нормативные документы по обеспечению безопасности персональных данных в Российской Федерации
Руководящие документы ФСТЭК и ФСБ России по защите персональных данных. Нормативно-методическое обеспечение безопасности информационных систем персональных данных в органах власти, учреждениях (предприятиях).
Порядок лицензирования операторов информационных систем персональных данных.
Тема 8. Организация и обеспечение режимов защиты персональных данных
Мероприятия по защите сведений конфиденциального характера, основные внутренние нормативные документы, меры по охране конфиденциальности; формирование перечня персональных данных.
Ограничение доступа к персональным данным, учет лиц, допущенных к персональным данным, определение порядка обращения с такими сведениями, контроля за его соблюдением, организация доступа к персональным данным, внутренние нормативные документы по охране конфиденциальности сведений, их содержание, порядок разработки и ввода в действие, контроль за соблюдением режима конфиденциальности;
Подготовка уведомлений от оператора об обработке персональных данных в уполномоченный орган.
РАЗДЕЛ 2. ОСНОВЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Тема 1. Организационные и организационно-технические мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
Понятие информационной системы персональных данных. Классификация информационных систем персональных данных. Порядок составления соответствующего акта.
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Разработка частных моделей угроз безопасности персональных данных в конкретных информационных системах персональных данных с учетом их назначения, условий и особенностей функционирования.
Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных различных классов.
Мероприятия по оценке соответствия принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных требованиям безопасности информации.
Требования к подготовке к утилизации и порядок утилизации персональных данных и машиночитаемых носителей информации, используемых в обработке персональных данных.
Защищенный электронный документооборот персональных данных. Использование электронной цифровой подписи в информационных системах персональных данных.
Тема 2. Программно-аппаратные средства защиты информации, применяемые при защите информационных системах персональных данных
Современные программно-аппаратные средства. Возможности и основы применения средств защиты информации от несанкционированного доступа, средств антивирусной защиты, средств сетевой защиты. Практические занятия.
Тема 3. Криптографические средства защиты информации, применяемые при защите информационных системах персональных данных
Современные криптографические средства защиты информации. Возможности и применение шифровальных средств и средств ЭЦП. Практические занятия.
РАЗДЕЛ 3. ПОРЯДОК СОЗДАНИЯ И ЭКСПЛУАТАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
Тема 1. Организация обеспечения безопасности персональных данных в информационных системах персональных данных.
Организационные и технические мероприятия, направленные на минимизацию ущерба от возможной реализации угроз безопасности персональных данных. Защита персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий.
Тема 2. Техническое обоснование для создания системы защиты персональных данных.
Необходимость обработки персональных данных. Перечень персональных данных, подлежащих защите от несанкционированного доступа. Условия расположения информационных систем обработки персональных данных относительно границ контролируемой зоны. Конфигурация и топология информационных систем. Степень участия персонала. Угрозы безопасности персональных данных.
Тема 3. Оформление технического (частного технического) задания на разработку системы (подсистемы) защиты персональных данных.
Обоснование разработки системы защиты персональных данных. Исходные данные создаваемой (модернизируемой) информационной системы в техническом, программном, информационном и организационном аспектах. Разработка собственных средств защиты информации. Состав, содержание и сроки проведения работ по этапам разработки и внедрения системы защиты персональных данных.
Тема 4. Внедрение средств обеспечения информационной безопасности в информационных системах персональных данных.
Этапы и порядок внедрения средств обеспечения информационной безопасности.
Тема 5. Аттестация информационных систем персональных данных.
Требования. Порядок проведения и содержание работ. Контроль и надзор за эксплуатацией аттестованных информационных систем персональных данных.
Тема 6. Техническое обслуживание и ремонт аттестованных информационных систем персональных данных.
Общие требования. Порядок обслуживания и ремонта аттестованных информационных систем. Ответственность лиц.
Тема 7. Контроль обеспечения безопасности персональных данных.
Вы получаете удостоверение установленного образца о повышении квалификации, дающий вам право на ведение профессиональной деятельности в сфере бухгалтерского учета и налогообложения.
По окончании обучения регистрационные данные выданных документов вносятся в Федеральную информационную систему «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении».
Общие требования. Мероприятия по контролю обеспечения безопасности персональных данных. Механизмы и средства контроля. Периодичность и содержание работ. Ответственность оператора за нарушение правил обращения с персональными данными.