Консалтинговые услуги

Казань:+7(843)528-22-18, +7(8552) 25-01-99
+7 (917) 272-13-90

Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Security of personal data at their processing in information systems of personal data

 

 

Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных

Security of personal data at their processing in information systems of personal data

Программа повышения квалификации специалистов в области информационной безопасности по теме «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» разработана с учётом требований Федерального закона от 28 декабря 2010 г. № 390-ФЗ «О безопасности», Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

 

Основа, НПА

Основой являются

  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»,
  • Постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,
  • от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»,

а также документы, регламентирующие вопросы обеспечения безопасности персональных данных: «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные приказом ФСТЭК России от 18 февраля 2013 № 21.

Более того, в соответствии с пунктом 1 статьи 12 Федерального закона от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» деятельность по технической защите конфиденциальной информации отнесена к лицензируемым видам деятельности.

Перечнем федеральных органов исполнительной власти, осуществляющих лицензирование, утвержденным Постановлением Правительства РФ от 21 ноября 2011 г. № 957 определено, что лицензирование выше поименованного вида деятельности осуществляет Федеральная служба по техническому и экспортному контролю России.

При предоставлении государственной услуги по осуществлению лицензирования выше поименованного вида деятельности ФСТЭК России руководствуется «Положением о лицензировании деятельности по технической защите конфиденциальной информации», введенным в действие Постановлением Правительства РФ от 3 февраля 2012 г. № 79.

Учебная программа настоящего курса согласована с уполномоченными должностными лицами ФСТЭК России и удовлетворяет требованиям Постановления Правительства Российской Федерации от 3 февраля 2012 г. № 79, предъявляемым к соискателям лицензии (или лицензиатам), выполняющим работы и оказывающих услуги, перечисленные в пункте 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации.

Что должен уметь специалист:

Знать:

  • основные положения нормативных правовых актов, регламентирующих вопросы обеспечения безопасности персональных данных;
  • основные виды угроз безопасности персональных данных в информационных системах персональных данных;
  • содержание и порядок организации работ по выявлению угроз безопасности персональных данных;
  • процедуры задания и реализации требований по защите информации в информационных системах персональных данных;
  • меры обеспечения безопасности персональных данных;
  • требования по обеспечению безопасности персональных данных;
  • порядок применения организационных мер и технических средств обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

Уметь:

  • создавать организационно-распорядительные документы в интересах организации работ по обеспечению безопасности персональных данных;
  • планировать мероприятия по обеспечению безопасности персональных данных;
  • обосновывать и задавать требования по обеспечению безопасности персональных данных в информационных системах персональных данных;
  • проводить оценки актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • определять состав и содержание мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для блокирования угроз безопасности персональных данных.

Владеть:

  • навыками работы с правовыми базами данных;
  • навыками определения уровней защищённости персональных данных;
  • навыками выявления угроз безопасности персональных данных в информационных системах персональных данных;
  • навыками разработки необходимых документов в интересах организации работ по обеспечению безопасности персональных данных;
  • навыками применения сертифицированных средств защиты информации.

Что должен специалист:

  • эффективно организовывать процесс обработки персональных данных в организации (компании);
  • проводить обследование (принимать участие в обследовании) информационных систем организации с целью определения сведений, необходимых для построения системы защиты персональных данных;
  • выявлять угрозы безопасности персональных данных в информационных системах персональных данных и оценивать степень их опасности;
  • самостоятельно определять требуемые уровни защищённости персональных данных, обрабатываемых в информационных системах персональных данных;
  • определять и обосновывать необходимость применения средств защиты информации;
  • аргументированно выбирать средства защиты информации, удовлетворяющие потребностям организации – обладателя информации;
  • правильно организовать эксплуатацию средств защиты информации;
  • самостоятельно разрабатывать требуемую организационно-распорядительную документацию.

Цель 

Знаний и навыков, необходимых для организации и обеспечения безопасности персональных данных, обрабатываемых в информационных системах государственных, муниципальных органов, органов местного самоуправления и организаций различных форм собственности, физических лиц, организующих и (или) осуществляющих обработку персональных данных.

Кто участники процесса

  • руководители и сотрудники государственных, муниципальных органов, органов местного самоуправления, организаций различных форм собственности, физические лица, организующие и (или) осуществляющие обработку персональных данных;
  • руководители и сотрудники департаментов (отделов, служб) IT и информационной безопасности;
  • специалисты по защите информации.

Необходимая подготовка

  • знать основы информационных технологий;
  • иметь навыки работы на персональном компьютере в ОС MS Windows XP или выше;
  • иметь навыки работы в пакете MS Office 2010 или выше.

 

1. Правовое, нормативное и методическое обеспечение безопасности персональных данных.

  • Вводная лекция. Структура и содержание курса. Актуальность проблемы обеспечения безопасности персональных данных, обрабатываемых в информационных системах организации.
  • Основные понятия термины и определения.
  • Правовое, нормативное и методическое регулирование деятельности в области обеспечения безопасности персональных данных.
  • Содержание и основные положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
  • Специальные нормативные документы по технической защите информации ограниченного доступа и обеспечению безопасности персональных данных.
  • Правовое, нормативное и методическое регулирование использования средств криптографической защиты информации.
  • Ответственность за нарушение требований по обеспечению безопасности персональных данных.

2. Угрозы безопасности персональных данных, уязвимости информационных систем персональных данных.

  • Общие положения и классификация угроз безопасности персональных данных.
  • Угрозы утечки информации по техническим каналам.
  • Угрозы несанкционированного доступа к информации.
  • Угрозы программно-математических воздействий и нетрадиционных информационных каналов.

3. Организация обработки персональных данных.

  • Общий порядок организации обработки персональных данных.
  • Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных.
  • Разработка уведомления об обработке (о намерении осуществлять обработку) персональных данных.
  • Практическая работа: Разработка проекта Приказа о назначении сотрудника ответственного за организацию обработки персональных данных.
  • Практическая работа: Разработка Должностной инструкции ответственного за организацию обработки персональных данных.
  • Практическая работа: Разработка типовой формы ответа оператора на запрос субъекта персональных данных.
  • Практическая работа: Разработка проекта Приказа о назначении комиссии по приведению деятельности Организации в соответствие с требованиями Федерального закона «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
  • Практическая работа: Разработка Плана приведения процесса обработки персональных данных, обрабатываемых в ИС организации в соответствии с требованиями 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
  • Практическая работа: Разработка Анкеты для определения перечня, категории и объёма обрабатываемых персональных данных.
  • Практическая работа: Разработка Перечня персональных данных, обрабатываемых в информационных системах оператора.
  • Практическая работа: Разработка Перечня должностей сотрудников, допущенных к обработке персональных данных в организации.
  • Практическая работа: Разработка Положения об обработке персональных данных в организации.
  • Практическая работа: Разработка Типовой формы согласия на обработку персональных данных иных субъектов персональных данных.
  • Практическая работа: Разработка проекта Приказа о вводе в действие комплекта документов, регламентирующих обработку персональных данных в организации.
  • Практическая работа: Разработка Протокола оценки вреда, который может быть причинён субъектам персональных данных.
  • Практическая работа: Разработка уведомления об обработке персональных данных.

 

4. Основы организации и ведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

  • Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных.
  • Разработка Частной модели угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных организации.
  • Определение уровня защищённости персональных данных.
  • Состав и содержание мер по обеспечению безопасности персональных данных.
  • Особенности использования средств криптографической защиты информации в рамках построения системы защиты персональных данных в организации.
  • Практическая работа: Разработка Частной модели угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных организации.
  • Практическая работа: Определение уровня защищённости персональных данных, обрабатываемых в информационных системах персональных данных организации.
  • Практическая работа: Определению базового набора мер по обеспечению безопасности персональных данных для заданного уровня защищённости персональных данных.
  • Практическая работа: Практические реализации типовых моделей защищенных информационных систем обработки персональных данных.

5. Особенности обработки персональных данных без использования средств автоматизации.

  • Особенности обработки персональных данных без использования средств автоматизации.
  • Требования к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем персональных данных.
  • Практическая работа: Разработка ОРД, необходимых для организации обработки персональных данных без использования средств автоматизации.

 

 

 

 

Действующее положение доступно по ссылке Положение

Сотрудники компании "Верное решение" оказывают услуги консультационного сопровождения для предпринимателей, консультируют по финансово-экономическим, правовым вопросам, маркетингу, иным вопросам развития бизнеса.

Мы предлагаем Вам воспользоваться комплексом услуг Компании:

  • консультационная и информационная поддержка и сопровождение участников федеральных и региональных мер государственной поддержки в том числе налоговых льгот, грантов и субсидий (мы помогли нашим клиентам привлечь более 17 миллиардов рублей государственных средств)
  • разработка бизнес-плана, технико-экономического обоснования (ТЭО), меморандума, презентации, паспорта проекта, концепции развития (стратегии), подготовка пакета документации по проекту (мы оказали уже 1 210 комплексов таких услуг),
  • проведение исследований рынков (маркетинговых) продукта, работ, услуг, поиск рыночных ниш, анализ конкурентной среды и перспектив развития,
  • помощь финансиста, экономиста, юриста, маркетолога - для использования льготных налоговых режимов, льготных ресурсов, привлечения льготных государственных инвестиций в проект, бизнес (мы провели более 12 300 консультаций для малого и среднего бизнеса),

Мы будем рады помочь Вам в решении Ваших задач. По любым возникающим вопросам, пожалуйста, обращайтесь.