Семинар: Актуальные вопросы организации работы с персональными данными. Применение федерального закона рф № 152 "о персональных данных" foresta tropicana hotel (выездной семинар). Семинар прошёл
О чём семинар?
Для кого семинар?
Программа семинара
Программа мероприятия: 1. Общие вопросы обработки и обеспечения защиты ПДн в компании. • Персональные данные в каждой компании: какая информация относится к этой категории данных; кто является оператором персональных данных; что такое обработка персональных данных; • Перечень стандартных информационных систем ПДн компании, в которых обрабатываются персональные данные o автоматизированная и неавтоматизированная обработка ПДн в компании; o локальные и распределенные информационные системы ПДн; o трансграничная передача персональных данных. • Защита персональных данных: o неприкосновенность частной жизни граждан гарантирована Конституцией РФ и находится под защитой государства; o защита ПДн - как прямая обязанность операторов ПДн в соответствии с требованиями Федерального Закона №152 "О персональных данных"; o сроки выполнения требований законодательства; • Ответственность оператора за неисполнение требований законодательства и нарушения обработки ПДн. 2. Международное и российское законодательство в области обработки ПДн. • Международное и российское законодательство. o Международные правовые акты и обзор зарубежной правоприменительной практики в области защиты физических лиц при автоматизированной обработке персональных данных. o Российское законодательство и нормативно – методические документы, регулирующие деятельность в сфере обработки персональных данных. • Федеральный Закон № 152 от 27.07.2006 г. "О персональных данных" - как основной нормативно-правовой акт, устанавливающий требования обработки и обеспечения защиты персональных данных. o Назначение и основные понятия закона "О персональных данных"; o На кого распространяется действия закона, исключения и ограничения; o Права субъектов ПДн и обязанности операторов; o Контроль и надзор за обработкой персональных данных; o Сроки выполнения требований закона и ответственность нарушителей. • Государственные органы, регулирующие деятельность в области обработки ПДн. o Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"; o Федеральные уполномоченные органы (регуляторы) (Россвязькомнадзор; Федеральная служба по техническому и экспортному контролю – ФСТЭК России; Федеральная служба безопасности – ФСБ России); o Нормативно – методические документы регуляторов, устанавливающие порядок классификации информационных систем персональных данных и регламентирующие порядок проведения работ по обеспечению безопасности персональных данных; • Ответственность за нарушения законодательства. o Основания предъявления претензий оператору персональных данных; o Нормативно-правовые акты РФ, предусматривающие ответственность за неисполнение требований законодательства и нарушения при обработке персональных данных. • О лицензировании деятельности по технической защите конфиденциальной информации o Персональные данные относятся к сведениям конфиденциального характера; o Техническая защита конфиденциальной информации как лицензируемый вид деятельности; o Нормативно-правовая база в области лицензирования деятельности по технической защите конфиденциальной информации; o Ответственность за проведение работ без соответствующих лицензий. 3. Общие вопросы проведения работ по комплексной защите ПДн. • Действия оператора ПДн по выполнению требований законодательства o Определение целей и содержания обработки ПДн; o Уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (о намерении осуществлять обработку) персональных данных; o Создание системы защиты ПДн, адекватной существующим угрозам. • Основные этапы работ по комплексной защите ПДн: o Проведение обследования информационных ресурсов предприятия и определение информационных систем ПДн, подлежащих защите, o Разработка организационно-распорядительных документов, регламентирующих обработку персональных данных в организации; o Создание системы защиты персональных данных (СЗПДн), в том числе выполнение требований по инженерно-технической защите помещений; o Аттестация или декларирование соответствия ИСПДн по требованиям безопасности информации. 4. Порядок проведения работ по защите ПДн. • Предпроектное обследование информационной инфраструктуры предприятия в части обработки ПДн. o Анализ информационных ресурсов предприятия и определение информационных систем ПДн, требующих защиты; o Анализ уязвимых звеньев и возможных угроз безопасности ПДн; o Оценка ущерба от реализации угроз безопасности ПДн; o Анализ имеющихся в распоряжении мер и средств защиты ПДн. • Обоснование требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн. o Разработка модели угроз безопасности ПДн; o Разработка модели нарушителя безопасности ПДн; o Классификация информационных систем ПДн. • Обоснование требований по обеспечению безопасности ПДн с использованием криптосредств • Проведение работ по организации обеспечения безопасности ПДн при их обработке в ИСПДн. o Разработка и согласование требований к системе защиты персональных данных (СЗПДн) и формулирование задач по защите ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн); o Выбор способов, мер и средств защиты ПДн в соответствии с мероприятиями по защите; o Разработка технического задания (ТЗ) на систему защиты ПДн. • Разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн. • Развертывание, ввод в эксплуатацию системы защиты ПДн. • Порядок проведения работ по аттестации (сертификации) ИСПДн требованиям информационной безопасности o Сертификация средств защиты информации; o Аттестация ИСПДн требованиям безопасности ПДн. 5. Общие вопросы согласования документов с регуляторами. • Перечень документов, подлежащих согласованию с регуляторами; • Механизм согласования документов с регуляторами; • Срок действия согласованных документов и механизм внесения изменений в эти документы. 6. Обзор основных мероприятий и программно-аппаратных средств защиты информации, применяемых при создании системы защиты ПДн. • Выявление и закрытие технических каналов утечки ПДн в ИСПДн; • Защита ПДн от несанкционированного доступа и неправомерных действий o управление доступом; o регистрация и учет; o обеспечение целостности; o контроль отсутствия недекларированных возможностей; o антивирусная защита; o обеспечение безопасного межсетевого взаимодействия ИСПДн; o анализ защищенности; o обнаружение вторжений. • Установка, настройка и применение средств защиты o От физического доступа; o От утечки по техническим каналам; o От несанкционированного доступа (НСД); o От программно-математического воздействия; o От электромагнитных воздействий. • Обобщение современных подходов к созданию системы защиты персональных данных в компании. Данный семинар позволит слушателям: • Получить представление о проблематике обработки и обеспечения защиты ПДн в компании; • Ориентироваться в нормативно-правовых актах, регулирующих деятельность в сфере обработки ПДн; • Получить представление о действиях оператора персональных данных, которые он обязан осуществить в установленные законом сроки; • Получить представление о комплексной защите ПДн, состоящей из организационной и технической мер защиты информации; • Правильно составлять внутренние документы компании, регламентирующие вопросы организации обеспечения безопасности ПДн; • Получить представление о порядке проведения работ по организации обеспечения безопасности ПДн при их обработке в ИСПДн, развертывании и вводе в эксплуатацию системы защиты ПДн; • Ориентироваться в вопросах согласования документов с регуляторами и проведения работ по аттестации (сертификации) ИСПДн требованиям информационной безопасности; • Ориентироваться в программно – аппаратных средствах защиты информации, применяемых в процессе создания системы защиты ПДн. • Благодаря совмещению занятий с отдыхом в комфортной атмосфере, и возможности персонально задать вопросы лекторам, достигается наилучшее усвоение знаний, применение которых позволит в дальнейшем существенно снизить риски сотрудников и предприятия. РЕГЛАМЕНТ: Пятница, 14 января 2011 г. • 10.00 – 13.00 Консультационные услуги по теме "Актуальные вопросы организации работы с персональными данными" • 13.00 – 14.30 Обед • 14.30 – 15.00 Посадка в автобус, отправление в FORESTA FESTIVAL PARK • 17.00 – 17.30 Заезд и регистрация, размещение в номерах • 17.30 – 19.00 Свободное время • 19.00 – 20.30 Ужин в ресторане "Сан-Ремо" • после 21.00 Свободное время: бассейн, сауна, тренажерный зал Суббота, 15 января 2011 г. • 10.00 – 11.00 Завтрак в ресторане "Сан-Ремо" • 11.00 – 14.00 Консультационные услуги по теме "Актуальные вопросы организации работы с персональными данными" • 14.00 – 15.00 Обед в ресторане "Сан-Ремо" • 15.00 – 19.00 Свободное время • 19.00 – 20.30 Ужин в ресторане "Сан-Ремо" Воскресенье, 16 января 2011 г. • 10.00 – 11.00 Завтрак в ресторане "Сан-Ремо" • 11.00 – 13.00 Свободное время • 13.00 – 14.30 Обед в ресторане "Сан-Ремо" • 14.30 – 15.00 Выезд в Москву