Семинар: Защита информации и персональных данных. Применение федерального закона рф № 152 «о персональных данных». Семинар прошёл

Код 13702


Для кого семинар?

руководители организаций, сотрудники службы безопасности, сотрудники кадровой и юридической служб

Программа семинара

Тема 1. Общие вопросы обработки и обеспечения защиты ПДн в компании.

 1. Персональные данные в каждой компании: какая информация относится к этой категории данных, кто является оператором персональных данных, что такое обработка персональных данных.

 2. Перечень стандартных информационных систем ПДн компании, в которых обрабатываются персональные данные.

· Автоматизированная и неавтоматизированная обработка ПДн в компании.

· Локальные и распределенные информационные системы ПДн.

· Трансграничная передача персональных данных.

3. Защита персональных данных.

· Неприкосновенность частной жизни граждан гарантирована Конституцией РФ и находится под защитой государства.

· Защита ПДн - как прямая обязанность операторов ПДн в соответствии с требованиями Федерального Закона №152 «О персональных данных».

· Сроки выполнения требований законодательства.

4. Ответственность оператора за неисполнение требований законодательства и нарушения обработки ПДн.

 Тема 2. Международное и российское законодательство в области обработки ПДн.

 1. Международное и российское законодательство.

· Международные правовые акты и обзор зарубежной правоприменительной практики в области защиты физических лиц при автоматизированной

обработке персональных данных.

· Российское законодательство и нормативно – методические документы, регулирующие деятельность в сфере обработки персональных данных.

2. Федеральный Закон № 152 от 27.07.2006 г. «О персональных данных» - как основной нормативно-правовой акт, устанавливающий требования обработки и обеспечения защиты персональных данных.

· Назначение и основные понятия закона «О персональных данных».

· На кого распространяется действия закона, исключения и ограничения.

· Права субъектов ПДн и обязанности операторов.

· Контроль и надзор за обработкой персональных данных.

· Сроки выполнения требований закона и ответственность нарушителей.

3. Государственные органы, регулирующие деятельность в области обработки ПДн.

· Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

· Федеральные уполномоченные органы (регуляторы): Россвязькомнадзор, Федеральная служба по техническому и экспортному контролю (ФСТЭК) России, Федеральная служба безопасности (ФСБ) России.

· Нормативно–методические документы регуляторов, устанавливающие порядок классификации информационных систем персональных данных и регламентирующие порядок проведения работ по обеспечению безопасности персональных данных.

4. Ответственность за нарушения законодательства.

· Основания предъявления претензий оператору персональных данных.

· Нормативно-правовые акты РФ, предусматривающие ответственность за неисполнение требований законодательства и нарушения при обработке персональных данных.

5. О лицензировании деятельности по технической защите конфиденциальной информации.

· Персональные данные относятся к сведениям конфиденциального характера.

· Техническая защита конфиденциальной информации как лицензируемый вид деятельности.

· Нормативно-правовая база в области лицензирования деятельности по технической защите конфиденциальной информации.

· Ответственность за проведение работ без соответствующих лицензий.

Тема 3. Общие вопросы проведения работ по комплексной защите ПДн.

 1. Действия оператора ПДн по выполнению требований законодательства.

· Определение целей и содержания обработки ПДн.

· Уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (о намерении осуществлять обработку) персональных данных.

· Создание системы защиты ПДн, адекватной существующим угрозам.

2. Основные этапы работ по комплексной защите ПДн.

· Проведение обследования информационных ресурсов предприятия и определение информационных систем ПДн, подлежащих защите.

· Разработка организационно-распорядительных документов, регламентирующих обработку персональных данных в организации.

· Создание системы защиты персональных данных (СЗПДн), в том числе выполнение требований по инженерно-технической защите помещений.

· Аттестация или декларирование соответствия ИСПДн по требованиям безопасности информации.

 Тема 4. Порядок проведения работ по защите ПДн.

 1. Предпроектное обследование информационной инфраструктуры предприятия в части обработки ПДн.

· Анализ информационных ресурсов предприятия и определение информационных систем ПДн, требующих защиты.

· Анализ уязвимых звеньев и возможных угроз безопасности ПДн.

· Оценка ущерба от реализации угроз безопасности ПДн.

· Анализ имеющихся в распоряжении мер и средств защиты ПДн.

2. Обоснование требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн.

· Обоснование требований по обеспечению безопасности ПДн

· Разработка модели угроз безопасности ПДн.

· Разработка модели нарушителя безопасности ПДн.

· Классификация информационных систем ПДн.

· Обоснование требований по обеспечению безопасности ПДн с использованием криптосредств.

3. Проведение работ по организации обеспечения безопасности ПДн при их обработке в ИСПДн.

· Разработка и согласование требований к системе защиты персональных данных (СЗПДн) и формулирование задач по защите ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн).

· Выбор способов, мер и средств защиты ПДн в соответствии с мероприятиями по защите.

· Разработка технического задания (ТЗ) на систему защиты ПДн.

4. Разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.

 5. Развертывание, ввод в эксплуатацию системы защиты ПДн.

 6. Порядок проведения работ по аттестации (сертификации) ИСПДн требованиям информационной безопасности.

· Сертификация средств защиты информации.

· Аттестация ИСПДн требованиям безопасности ПДн.

Тема 5. Общие вопросы согласования документов с регуляторами.

 1. Перечень документов, подлежащих согласованию с регуляторами.

 2. Механизм согласования документов с регуляторами.

 3. Срок действия согласованных документов и механизм внесения изменений в эти документы.

 Тема 6. Обзор основных мероприятий и программно-аппаратных средств защиты информации, применяемых при создании системы защиты ПДн.

 1. Выявление и закрытие технических каналов утечки ПДн в ИСПДн.

 2. Защита ПДн от несанкционированного доступа и неправомерных действий.

· Управление доступом.

· Регистрация и учет.

· Обеспечение целостности.

· Контроль отсутствия недекларированных возможностей.

· Антивирусная защита.

· Обеспечение безопасного межсетевого взаимодействия ИСПДн.

· Анализ защищенности.

· Обнаружение вторжений.

3. Установка, настройка и применение средств защиты от физического доступа, от утечки по техническим каналам, от несанкционированного доступа (НСД), от программно-математического воздействия, от электромагнитных воздействий.

 4. Обобщение современных подходов к созданию системы защиты персональных данных в компании.