Содержание курса
Модуль 1. Защита персональных данных.
Раздел 1. Введение. Персональные данные в организации (на предприятии)
- Защита персональных данных как реализация конституционных прав граждан на неприкосновенность частной жизни.
-
Международное законодательство и национальное законодательство зарубежных стран о защите персональных данных.
-
Персональные данные в системе документооборота предприятия. Персональные данные в автоматизированных системах и приложениях.
-
Значимые утечки персональных данных в России.
Раздел 2. Основные понятия Федерального закона «О персональных данных»
- Содержание категории «персональные данные».
-
Область применения закона. Ограничения.
-
Обработка персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
-
Принципы обработки персональных данных.
-
Условия обработки персональных данных. Согласие субъекта. Согласие в письменной форме.
-
Общедоступные, подлежащие опубликованию или обязательному раскрытию персональные данные.
-
Биометрические персональные данные.
-
Трансграничная передача персональных данных. Страны, обеспечивающие адекватную защиту прав субъектов персональных данных.
-
Особенности обработки персональных данных при предоставлении государственных и муниципальных услуг.
-
Специальные категории персональных данных и особенности их обработки. Данные о судимости.
-
Права субъектов персональных данных и их соблюдение при обработке.
-
Обязанности оператора персональных данных.
-
Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных законом.
-
Уведомления об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных.
-
Ответственность за нарушение требований по обращению с персональными данными. Практика правоприменения.
Раздел 3. Работа с персональными данными на предприятии (в организации)
- Мероприятия по защите сведений ограниченного доступа. Практические шаги по приведению порядка обработки в соответствие с требованиями законодательства.
-
Ограничение доступа к персональным данным. Учет лиц, допущенных к персональным данным. Определение порядка обращения с такими сведениями, контроля за его соблюдением.
-
Локальные акты по вопросам обработки персональных данных, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений, их содержание, порядок разработки и ввода в действие.
-
Особенности обработки персональных данных, осуществляемой без использования средств автоматизации.
-
Подготовка уведомлений об обработке персональных данных в уполномоченный орган.
Раздел 4. Аутсорсинг обработки персональных данных и их технической защиты
- Требования, выдвигаемые законом к порядку обработки персональных данных внешней организацией, содержание договора на обработку персональных данных.
-
Передача внешней организации функций технической защиты персональных данных.
-
Передача внешней организации функций лица, ответственного за организацию обработки персональных данных.
-
Достоинства и недостатки аутсорсинга обработки персональных данных и их защиты.
Раздел 5. Контроль и надзор за соблюдением законодательства о персональных данных
- Система государственного контроля и надзора за обеспечением безопасности персональных данных.
-
Область применения Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении госконтроля (надзора) и муниципального контроля» и регулируемые им вопросы.
-
Принципы защиты прав юридических лиц, индивидуальных предпринимателей при осуществлении государственного контроля (надзора).
-
Порядок планирования, организации и проведения проверок.
-
Права и обязанности проверяемых и проверяющих.
-
Меры, принимаемые должностными лицами органа госконтроля (надзора) при выявлении фактов нарушений.
Модуль 2. Техническая защита персональных данных.
Введение
Нормативная база организации технической защиты персональных данных.
Государственные органы, осуществляющие контроль и надзор в данной сфере деятельности (Роскомнадзор, ФСБ России, ФСТЭК России, Минкомсвязи России). Ответственность операторов ПДн за невыполнение требований по обеспечению безопасности ПДн при их обработке в ИСПДн.
Раздел 1. Основные этапы работ по обеспечению безопасности ПДн в ИСПДн
- Перечень основных этапов работ и краткий обзор мероприятий, необходимых для приведения ИСПДн в соответствие требованиям российского законодательства по защите ПДн.
Раздел 2. Сбор и анализ исходных данных по ИСПДн
- Обследование информационных систем с целью выявления фактов обработки ПДн, форм представления ПДн, целей и законности обработки, способов, сроков и объёмов их обработки, источников получения и др. Формирование перечня ПДн и выделение сегментов ИСПДн.
-
Сбор, анализ и документирование исходных данных по ИСПДн, необходимых для: выявления ИСПДн; классификации ИСПДн; определения исходной защищённости ИСПДн; построения модели угроз и определения актуальности угроз; проектирования СЗПДн и организации физической защиты.
-
Описание технологии обработки и защиты ПДн.
Раздел 3. Классификация информационных систем персональных данных (определение уровня защищенности)
- Критерии классификации ИСПДн. Порядок определения уровня защищенности ИСПДн и её документального оформления.
-
Вопросы оптимизации состава ПДн и процессов их обработки (реинжениринг ИСПДн).
Раздел 4. Формирование модели угроз ПДн и модели нарушителей
- Нормативная база для формирования модели угроз безопасности ПДн в ИСПДн. Нормативно-методические документы ФСТЭК России и ФСБ России.
-
Традиционный подход к построению моделей угроз и нарушителей.
-
Формирование модели угроз безопасности ПДн на основании документов ФСТЭК России.
-
Определение перечня актуальных угроз.
-
Методология формирования модели угроз безопасности персональным данным на основании документов ФСБ России.
-
Методология формирования модели нарушителей на основании документов ФСБ России.
Раздел 5. Разработка (проектирование) системы защиты персональных данных (СЗПДн)
- Меры по обеспечению безопасности персональных данных при их обработке. Требования Федерального закона от 27.07.2006 г. №152-ФЗ и Постановления Правительства РФ от 01.11.2012 г. №1119 к обеспечению безопасности персональных данных. Обязательные механизмы защиты.
-
Общий порядок организации обеспечения безопасности ПДн в ИСПДн.
-
Мероприятия по защите ПДн (требования к мерам и средствам защиты) в зависимости от уровней защищенности ИСПДн.
-
Определение структуры, состава и основных функций СЗПДн.
-
Определение перечня предполагаемых к использованию сертифицированных средств защиты информации и их настроек.
Раздел 6. Разработка и внедрение организационных мер и организационно-распорядительных документов по обеспечению защиты персональных данных
- Планирование организационных мероприятий по защите ПДн.
-
Разработка организационно-распорядительной документации, регламентирующей вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.
Раздел 7. Развертывание, настройка и опытная эксплуатация СЗПДн в ИСПДн
- Обеспечение охраны и физической защиты компонентов ИСПДн.
-
Организация и проведение работ по развёртыванию СЗПДн и настройке ее элементов в ИСПДн.
-
Испытания СЗПДн в процессе развертывания и опытной эксплуатации ИСПДн.
Раздел 8. Закрытие технических каналов утечки ПДн в ИСПДн
- Технические каналы утечки ПДн при их обработке в ИСПДн. Условия и причины возникновения, особенности проявления, способы и методы защиты.
-
Мероприятия по защите ПДн от утечки по техническим каналам для различных классов ИСПДн.
Раздел 9. Лицензирование деятельности по защите ПДн в ИСПДн
- Техническая защита конфиденциальной инфомации и техническое обслуживание СКЗИ как лицензируемые виды деятельности.
-
Получение оператором лицензий ФСТЭК и ФСБ России. Лицензионные требования.
Итоговое занятие (зачет)