Главная
(495) 740-43-40
доб. 13-10
Регистрация

Организация обработки и защиты персональных данных

Для кого этот курс:
  • Руководители и сотрудники служб безопасности и защиты информации
  • Ответственные за обработку и защиту персональных данных

В ходе изучения курса слушатели получают основные знания по вопросам организации обработки и защиты персональных данных: структура нормативно-правовой базы, определение целей обработки персональных данных, категории персональных данных, реализация прав субъектов персональных данных, подача уведомления о намерении обработки персональных данных и др. Особое внимание уделено вопросам организации защиты персональных данных и разработке типового комплекта организационно-распорядительной документации по защите информации в организациях (на предприятиях). 


Курс проходит в аудитории: Учебный класс Защита информации от несанкционированного доступа

Курс Ведёт:
Аникеев Геннадий Евгеньевич Кандидат технических наук, доцент. Стаж преподавательской работы 30 лет. Читает собственный курс «Криптографическая защита информации в организации».
Программа курса :

Введение.

Структура нормативно-правовой базы в области организации обработки и защиты персональных данных. Международное и Федеральное законодательство. Постановления Правительства РФ.  Документы регуляторов.

Государственные органы, осуществляющие контроль и надзор сфере ПДн (государственные регуляторы), их функции и компетенции.

Раздел 1. Федеральный закон №152-ФЗ «О персональных данных».

  • Понятие персональных данных и их обработки. Терминология. Принципы и условия обработки ПДн, категории ПДн. Согласие субъекта персональных данных на их обработку и передачу.
  • Права субъекта и обязанности оператора ПДн. Безопасность персональных данных: меры по защите.
  • Уведомление о намерении обработки ПДн. Ответственный за организацию обработки и его функционал.

Раздел 2.  Нормативные документы Правительства РФ в области обработки и защиты ПДн.

  • Требования к защите персональных данных. Типы угроз. Уровни защищенности персональных данных. Общие требования к уровням защищенности.
  • Обработка персональных данных, осуществляемая без средств автоматизации и особенности ее организации. Меры по обеспечению безопасности персональных данных при неавтоматизированной обработке.
  • Особенности обработки ПДн в государственных (муниципальных) органах.

Раздел 3.  Риски оператора, связанные с нарушением требований к  обработке и защите ПДн.

  • Классификация рисков. Гражданская, административная и уголовная ответственность оператора ПДн. Состав правонарушений. Правоприменительная практика.

Раздел 4. Последовательность работ по обеспечению безопасности ПДн в ИСПДн.

  • Этапы создания системы защиты персональных данных. Необходимые подготовительные мероприятия.
  • Обследование информационных ресурсов и информационных систем. Анализ  целей и законности обработки ПДн,  объёмов, сроков и способов их обработки.  Формирование перечня ПДн и выделение сегментов существующей (вновь разрабатываемой)  ИСПДн. Способы минимизации затрат на защиту ПДн.

 

Раздел 5. Моделирование угроз безопасности ПДн.

  • Содержание нормативно-методических документов ФСТЭК России и ФСБ России.  Порядок формирования частной модели угроз.
  • Типы угроз безопасности ПДн. Угрозы утечки информации по техническим каналам и способы их реализации. Угрозы несанкционированного доступа к ПДн: источники угроз и классификация нарушителей. Внутренние и внешние нарушители и их возможности.
  • Актуализация угроз безопасности ПДн. Методика определения актуальных угроз БПДн. Частная модель угроз.
  • Определение необходимости применения криптографических средств защиты ПДн. Особенности моделирования угроз по методике ФСБ РФ.
  • Документирование результатов моделирования.

Раздел 6. Реализация мер защиты персональных данных. Ввод системы защиты ПДн в эксплуатацию.

  • Организационные и программно-технические меры по защите ПДн, их состав и порядок выбора.
  • Базовый набор мер защиты ПДн, его адаптация и уточнение. Выбор классов средств защиты информации в зависимости от уровня защищенности ПДн.
  • Разработка организационно-распорядительной документации по вопросам организации обеспечения безопасности ПДн и эксплуатации СЗПДн. Оценка эффективности защиты ПДн.

Раздел 7. Вопросы, проверяемые в ходе государственного контроля и надзора.

  • Вопросы контроля Роскомнадзора.
  • Вопросы контроля ФСТЭК РФ.
  • Вопросы контроля ФСБ РФ.


Дополнительно:
Нужен ли акт классификации ИСПДн?

В последние годы требования к обработке и защите персональных данных (ПДн) меняются так часто, что практика их выполнения нередко не успевает следовать за изменением положений руководящих документов. Прошло уже более года с тех пор, как отменена необходимость классификации информационных систем персональных данных (ИСПДн), а в ходе проверок регуляторы нередко по-прежнему требуют предъявить акт классификации ИСПДн. Для чего он? А ни для чего, просто «по привычке». Вместо классов с ноября 2012 г. Введены уровни защищенности ПДн, и меры защиты ПДн теперь напрямую зависят именно от уровня защищенности. Такое изменение в организации защиты ПДн окончательно закреплено в 2013 г изданием ФСТЭК приказа №21, в котором набор мер защиты ПДн целиком определяется их уровнем защищенности. 

Почему же Роскомнадзор в ходе своих проверок требует предъявить акт классификации? Скорее всего, потому, что известный «трехглавый» приказ (совместный приказ ФСБ, ФСТЭК и РКН 2008 г. №55/86/20) формально действует, однако необходимость проведения классификации ИСПДн, установленная Постановлением Правительства РФ от 2007 г №781 отменена в связи с выходом нового Постановления Правительства 2012г №1119. В настоящее время готовятся приказы указанных органов исполнительной власти об отмене «трехглавого» приказа.

Приказ ФСТЭК №21 – не единственная новинка, появившаяся в 2013 г. Кроме него, операторы персональных данных получили разъяснения Роскомнадзора по вопросам обработки биометрических ПДн, давшее ответ на многие вопросы, прямого ответа на которые невозможно найти в законе. Кроме того, Приказом Роскомнадзора от 2013 г №996 утверждены требования и методы обезличивания ПДн, а в дополнение к этому приказу в декабре 2013 г Были утверждены и Методические рекомендации по применению Приказа №996. По словам заместителя руководителя РКН Р.В. Шередина, обезличивание ПДн позволит снизить требования по их защите при их обработке, передаче и хранении. Заметим, что процедура обезличивания ПДн является обязательной при их обработке в государственных и муниципальных органах.

2014 год тоже готовит операторам персональных данных ряд «сюрпризов». Чтобы подробно познакомиться с последними изменениями нормативно-правовой базы в сфере ПДн и перспективами ее развития, понять, какие требования по защите ПДн существуют на сегодняшний день и как их реализовать, минимизировав Ваши расходы, Учебный центр МАСКОМ приглашает Вас на обучение по курсу М3.3. «Организация обработки и защиты персональных данных». 

Этот курс специально разработан для тех, кого из всего многообразия вопросов в области защиты информации интересует именно защита персональных данных. В течение двух дней Вы изучите весь круг вопросов, касающихся реализации требований закона «О персональных данных», документов Правительства РФ, ФСТЭК и Роскомнадзора, подробно познакомитесь с порядком разработки системы защиты ПДн, узнаете, как подготовиться к проверкам регуляторов. В курсе освещаются особенности обработки ПДн, присущие государственным (муниципальным) органам, медицинским учреждениям, коммерческим организациям, узнаете, на чем можно сэкономить, реализуя меры по защите ПДн. Наши преподаватели ответят на Ваши вопросы, возникшие у Вас в ходе реализации положений многочисленных нормативных актов в сфере персональных данных.
18


Часов
2


Дня
18 600
на Слушателя
9:00 начало
занятий
Ближайшие курсы

Ближайший курс: 26 Декабря

Скачать заявку на обучение

ОБЩЕЕ РАСПИСАНИЕ КУРСОВ

Расписание курсов на 2017 год

Яндекс.Метрика