Почему защита персональных данных актуальна именно сегодня?
То, насколько успешно Вашей компании удалось защитить бизнес, полностью определяется Вашей квалификацией, которая позволяет предвидеть угрозы и создавать эффективную систему защиты
Методы кражи информации, мошенничества и несанкционированного доступа совершенствуются каждый день, нужно быть готовым к новым опасностям, совершенствуя системы защиты
С ростом компании увеличивается количество объектов, требующих защиты
Чем больше компания, тем сложнее объекты защиты: например, защита конфиденциальной информации в условиях сложнейших бизнес-процессов, защита клиентской базы при сохранении доступа к ней большого числа сотрудников и т. д.
C принятием закона «О персональных данных» все операторы персональных данных обязаны создать систему защиты, адекватную существующим угрозам.
ЦЕЛЬ ОБУЧЕНИЯ: формирование у слушателей:
•системно-целостного видения проблем обработки и обеспечения безопасности персональных данных в компании;
•понимания необходимости обеспечения защиты персональных данных;
•понимания природы возникновения угроз безопасности персональным данным и возможные риски в случае реализации этих угроз;
•умений практической реализации организационных и технических мероприятий по защите персональных данных.
Программа тренинга
ООО «Учебный Центр «Бизнес Аспект»
т/ф(495) 517-15-97 www.bi-aspekt.ru
30.09-01.10. 2010. (10.00-17.00)
ЗАДАЧИ ОБУЧЕНИЯ:
oанализ основных проблем обработки и обеспечения безопасности персональных данных в компании;
oанализ международного, российского законодательства и нормативно-методической базы в области защиты персональных данных;
oизучение действий оператора персональных данных по приведению своих информационных систем персональных данных в соответствие с требованиями законодательства;
oизучение основных этапов проведения работ по созданию комплексной системы защиты персональных данных и подготовка алгоритмов решений, исходя из существующих угроз;
oизучение программно-аппаратных средств защиты информации, в том числе средств криптографии (шифрования);
I. Общие вопросы обработки и обеспечения защиты ПДн в компании.
1.Персональные данные в каждой компании: какая информация относится к этой категории данных; кто является оператором персональных данных; что такое обработка персональных данных;
2.Перечень стандартных информационных систем ПДн компании, в которых обрабатываются персональные данные:
•автоматизированная и неавтоматизированная обработка ПДн в компании;
•локальные и распределенные информационные системы ПДн;
•трансграничная передача персональных данных.
3.Защита персональных данных:
•неприкосновенность частной жизни граждан гарантирована Конституцией РФ и находится под защитой государства;
•защита ПДн - как прямая обязанность операторов ПДн в соответствии с требованиями Федерального Закона №152 «О персональных данных»;
•сроки выполнения требований законодательства.
4.Ответственность оператора за неисполнение требований законодательства и нарушения обработки ПДн.
II. Международное и российское законодательство в области обработки ПДн.
1.Международное и российское законодательство:
•Международные правовые акты и обзор зарубежной правоприменительной практики в области защиты физических лиц при автоматизированной обработке персональных данных;
•Российское законодательство и нормативно – методические документы, регулирующие деятельность в сфере обработки персональных данных.
2.Федеральный Закон № 152 от 27.07.2006 г. «О персональных данных» - как основной нормативно-правовой акт, устанавливающий требования обработки и обеспечения защиты персональных данных:
•Назначение и основные понятия закона «О персональных данных»;
•На кого распространяется действия закона, исключения и ограничения;
•Права субъектов ПДн и обязанности операторов;
•Контроль и надзор за обработкой персональных данных;
•Сроки выполнения требований закона и ответственность нарушителей.
3.Государственные органы, регулирующие деятельность в области обработки ПДн:
•Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Федеральные уполномоченные органы (регуляторы) (Россвязькомнадзор; Федеральная служба по техническому и экспортному контролю – ФСТЭК России; Федеральная служба безопасности – ФСБ России);
•Нормативно – методические документы регуляторов, устанавливающие порядок классификации информационных систем персональных данных и регламентирующие порядок проведения работ по обеспечению безопасности персональных данных.
4.Ответственность за нарушения законодательства:
•Основания предъявления претензий оператору персональных данных;
•Нормативно-правовые акты РФ, предусматривающие ответственность за неисполнение требований законодательства и нарушения при обработке персональных данных.
5.О лицензировании деятельности по технической защите конфиденциальной информации:
•Персональные данные относятся к сведениям конфиденциального характера;
•Техническая защита конфиденциальной информации как лицензируемый вид деятельности;
•Нормативно-правовая база в области лицензирования деятельности по технической защите конфиденциальной информации;
•Ответственность за проведение работ без соответствующих лицензий.
III. Общие вопросы проведения работ по комплексной защите ПДн.
1.Действия оператора ПДн по выполнению требований законодательства:
•Определение целей и содержания обработки ПДн;
•Уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (о намерении осуществлять обработку) персональных данных;
•Создание системы защиты ПДн, адекватной существующим угрозам.
2.Основные этапы работ по комплексной защите ПДн:
•Проведение обследования информационных ресурсов предприятия и определение информационных систем ПДн, подлежащих защите;
•Разработка организационно-распорядительных документов, регламентирующих обработку персональных данных в организации;
•Создание системы защиты персональных данных (СЗПДн), в том числе выполнение требований по инженерно-технической защите помещений;
•Аттестация или декларирование соответствия ИСПДн по требованиям безопасности информации.
IV. Порядок проведения работ по защите ПДн.
1.Предпроектное обследование информационной инфраструктуры предприятия в части обработки ПДн.:
•Анализ информационных ресурсов предприятия и определение информационных систем ПДн, требующих защиты;
•Анализ уязвимых звеньев и возможных угроз безопасности ПДн;
•Оценка ущерба от реализации угроз безопасности ПДн; Анализ имеющихся в распоряжении мер и средств защиты ПДн.
2.Обоснование требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн:
•Разработка модели угроз безопасности ПДн;
•Разработка модели нарушителя безопасности ПДн;
•Классификация информационных систем ПДн).
•Обоснование требований по обеспечению безопасности ПДн с использованием криптосредств.
3.Проведение работ по организации обеспечения безопасности ПДн при их обработке в ИСПДн:
•Разработка и согласование требований к системе защиты персональных данных (СЗПДн) и формулирование задач по защите ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн);
•Выбор способов, мер и средств защиты ПДн в соответствии с мероприятиями по защите;
•Разработка технического задания (ТЗ) на систему защиты ПДн.
4.Разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.
5.Развертывание, ввод в эксплуатацию системы защиты ПДн.
6.Порядок проведения работ по аттестации (сертификации) ИСПДн требованиям информационной безопасности:
•Сертификация средств защиты информации;
•Аттестация ИСПДн требованиям безопасности ПДн.
V. Общие вопросы согласования документов с регуляторами:
•Перечень документов, подлежащих согласованию с регуляторами;
•Механизм согласования документов с регуляторами;
•Срок действия согласованных документов и механизм внесения изменений в эти документы.
VI. Обзор основных мероприятий и программно-аппаратных средств защиты информации, применяемых при создании системы защиты ПДн.
1.Выявление и закрытие технических каналов утечки ПДн в ИСПДн;
2.Защита ПДн от несанкционированного доступа и неправомерных действий:
•управление доступом;
•регистрация и учет;
•обеспечение целостности; контроль отсутствия недекларированных возможностей;
•антивирусная защита;
•обеспечение безопасного межсетевого взаимодействия ИСПДн;
•анализ защищенности; обнаружение вторжений.
3.Установка, настройка и применение средств защиты:
•От физического доступа;
•От утечки по техническим каналам;
•От несанкционированного доступа (НСД);
•От программно-математического воздействия;
Стоимость участия 19700 руб.
Место проведения: Москва, Бобров пер., д.1, оф. 47 (м.Тургеневская)
(495) 517-15-97 , 7305-304
Тренеры
Баяндин Николай - бизнес-тренер, автор и преподаватель курсов «Конкурентная разведка», «Информационно-аналитическое обеспечение безопасности бизнеса», «Управление безопасностью бизнеса», др.
Барбашев Сергей - генеральный директор Академии безопасности бизнеса, автор и преподаватель курсов по безопасности в МЭСИ, АНХ при Правительстве РФ (программа МВА).