Курс, семинар, тренинг «Защита информации и персональных данных. Применение Федерального закона РФ №152

ООО «Учебный Центр «Бизнес Аспект»

т/ф(495) 517-15-97 www.bi-aspekt.ru

31 января 2011 г. (10.00-17.00)

«Защита информации и персональных данных. Применение Федерального закона РФ №152

«О персональных данных»

Почему защита персональных данных актуальна именно сегодня?

• То, насколько успешно Вашей компанииудалось защитить бизнес, полностью определяется Вашей квалификацией, которая позволяет предвидеть угрозы и создавать эффективную систему защиты
• Методы кражи информации, мошенничества и несанкционированного доступа совершенствуются каждый день, нужно быть готовым к новым опасностям, совершенствуя системы защиты
• С ростом компании увеличивается количество объектов, требующих защиты
• Чем больше компания, тем сложнее объекты защиты: например, защита конфиденциальной информации в условиях сложнейших бизнес-процессов, защита клиентской базы при сохранении доступа к ней большого числа сотрудников и т. д.
• Cпринятием закона «О персональных данных» все операторы персональных данных обязаны создать систему защиты, адекватную существующим угрозам.

ЦЕЛЬ ОБУЧЕНИЯ:формирование у слушателей:

• системно-целостного видения проблем обработки и обеспечения безопасности персональных данных в компании;
• понимания необходимости обеспечения защиты персональных данных;
• понимания природы возникновения угроз безопасности персональным данным и возможные риски в случае реализации этих угроз;
• умений практической реализации организационных и технических мероприятий по защите персональных данных.

ЗАДАЧИ ОБУЧЕНИЯ:

• анализ основных проблем обработки и обеспечения безопасности персональных данных в компании;
• анализ международного, российского законодательства и нормативно-методической базы в области защиты персональных данных;
• изучение действий оператора персональных данных по приведению своих информационных систем персональных данных в соответствие с требованиями законодательства;
• изучение основных этапов проведения работ по созданию комплексной системы защиты персональных данных и подготовка алгоритмов решений, исходя из существующих угроз;
• изучение программно-аппаратных средств защиты информации, в том числе средств криптографии (шифрования);

Баяндин Николай - бизнес-тренер, автор и преподаватель курсов «Конкурентная разведка», «Информационно-аналитическое обеспечение безопасности бизнеса», «Управление безопасностью бизнеса», др.

Барбашев Сергей- генеральный директор Академии безопасности бизнеса, автор и преподаватель курсов по безопасности в МЭСИ, АНХ при Правительстве РФ (программа МВА).

I.Общие вопросы обработки и обеспечения защиты ПДн в компании.

1. Персональные данные в каждой компании: какая информация относится к этой категории данных; кто является оператором персональных данных; что такое обработка персональных данных;
2. Перечень стандартных информационных системПДн компании, в которых обрабатываются персональные данные:
   • автоматизированная и неавтоматизированная обработка ПДн в компании;
   • локальные и распределенные информационные системы ПДн;
   • трансграничная передача персональных данных.
3. Защита персональных данных:
   • неприкосновенность частной жизниграждан гарантирована Конституцией РФ инаходится под защитой государства;
   • защита ПДн - как прямая обязанность операторов ПДн в соответствии с требованиями Федерального Закона №152 «О персональныхданных»;
   • сроки выполнения требований законодательства.
4. Ответственность оператораза неисполнение требований законодательства и нарушения обработки ПДн.

II. Международное и российское законодательство в области обработки ПДн.

1. Международное и российское законодательство:
   • Международные правовые актыи обзор зарубежной правоприменительной практики в области защиты физических лиц при автоматизированной обработке персональных данных;
   • Российское законодательствои нормативно – методические документы, регулирующие деятельность в сфере обработки персональных данных.
2. Федеральный Закон № 152 от 27.07.2006 г. «О персональных данных»- как основной нормативно-правовой акт, устанавливающий требования обработки и обеспечения защиты персональных данных:
3. Назначение и основные понятия закона «О персональных данных»;
4. На кого распространяетсядействия закона, исключения и ограничения;
5. Права субъектовПДн и обязанности операторов;
6. Контроль и надзорза обработкой персональных данных;
7. Срокивыполнения требований закона и ответственность нарушителей.
8. Государственные органы, регулирующие деятельностьв области обработки ПДн:
9. Постановление Правительства РФ от 17 ноября 2007г. N781«Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
10. Федеральные уполномоченные органы (регуляторы) (Россвязькомнадзор; Федеральная служба по техническому и экспортному контролю – ФСТЭК России; Федеральная служба безопасности – ФСБ России);
11. Нормативно – методические документырегуляторов, устанавливающие порядок классификации информационных систем персональных данных и регламентирующие порядок проведения работ по обеспечению безопасности персональных данных.
12. Ответственность за нарушения законодательства:
13. Основания предъявления претензий оператору персональных данных;
14. Нормативно-правовые акты РФ, предусматривающие ответственность за неисполнение требований законодательства и нарушения при обработке персональных данных.
15. О лицензировании деятельности по технической защитеконфиденциальной информации:
16. Персональные данные относятся к сведениям конфиденциального характера;
17. Техническая защита конфиденциальной информации как лицензируемый вид деятельности;
18. Нормативно-правовая база в области лицензирования деятельности по технической защите конфиденциальной информации;
19. Ответственность за проведение работ без соответствующих лицензий.

III. Общие вопросы проведения работ по комплексной защите ПДн.

1. Действия оператораПДн по выполнению требований законодательства:
   • Определение целей и содержания обработки ПДн;
   • Уведомление уполномоченного органапо защите прав субъектов персональных данных об обработке (о намерении осуществлять обработку) персональных данных;
   • Создание системы защитыПДн, адекватной существующим угрозам.
2. Основные этапы работ по комплексной защите ПДн:
3. Проведение обследования информационных ресурсов предприятия и определение информационных систем ПДн, подлежащих защите;
4. Разработка организационно-распорядительных документов, регламентирующих обработку персональных данных в организации;
5. Создание системы защиты персональных данных (СЗПДн), в том числе выполнение требований по инженерно-технической защите помещений;
6. Аттестация или декларирование соответствия ИСПДн по требованиям безопасности информации.

IV. Порядок проведения работ по защите ПДн.

1. Предпроектное обследованиеинформационной инфраструктуры предприятия в части обработки ПДн.:
   • Анализ информационных ресурсов предприятия и определение информационных систем ПДн, требующих защиты;
   • Анализ уязвимых звеньев и возможных угроз безопасности ПДн;
   • Оценка ущерба от реализации угроз безопасностиПДн;Анализ имеющихся в распоряжении мер и средств защиты ПДн.
2. Обоснование требований по обеспечению безопасностиПДн, обрабатываемых в ИСПДн:
3. Разработка модели угроз безопасности ПДн;
4. Разработка модели нарушителя безопасности ПДн;
5. Классификация информационных систем ПДн).
6. Обоснование требований по обеспечению безопасности ПДн с использованием криптосредств.
7. Проведение работпо организации обеспечения безопасности ПДн при их обработке в ИСПДн:
8. Разработка и согласование требований к системе защиты персональных данных (СЗПДн) и формулирование задач по защите ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн);
9. Выбор способов, мер и средствзащиты ПДн в соответствии с мероприятиями по защите;
10. Разработка технического задания(ТЗ) на систему защиты ПДн.
11. Разработка документов, регламентирующих вопросы организацииобеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.
12. Развертывание, ввод в эксплуатацию системы защиты ПДн.
13. Порядок проведения работ по аттестации(сертификации) ИСПДн требованиям информационной безопасности:
14. Сертификация средств защиты информации;
15. Аттестация ИСПДн требованиям безопасности ПДн.

V. Общие вопросы согласования документов с регуляторами:

• Перечень документов,подлежащих согласованию с регуляторами;
• Механизм согласованиядокументов с регуляторами;
• Срок действиясогласованных документов и механизм внесения изменений в эти документы.

VI. Обзор основных мероприятий и программно-аппаратных средств защиты информации, применяемых при создании системы защиты ПДн.

1. Выявление и закрытиетехническихканалов утечки ПДн в ИСПДн;
2. Защита ПДнот несанкционированного доступа и неправомерных действий:
   • управление доступом;
   • регистрация и учет;
   • обеспечение целостности;контроль отсутствия недекларированных возможностей;
   • антивирусная защита;
   • обеспечение безопасного межсетевого взаимодействия ИСПДн;
   • анализ защищенности;обнаружение вторжений.
3. Установка, настройка и применениесредств защиты:
4. От физического доступа;
5. От утечки по техническим каналам;
6. От несанкционированного доступа (НСД);
7. От программно-математического воздействия;

Стоимость участия 9800 руб.

Место проведения: Москва, Бобров пер., д.1, оф. 47 (м.Тургеневская)

(495) 517-15-97 , 7305-304

Баяндин Николай - бизнес-тренер, автор и преподаватель курсов «Конкурентная разведка», «Информационно-аналитическое обеспечение безопасности бизнеса», «Управление безопасностью бизнеса», др.

Барбашев Сергей- генеральный директор Академии безопасности бизнеса, автор и преподаватель курсов по безопасности в МЭСИ, АНХ при Правительстве РФ (программа МВА).