All for Joomla All for Webmasters

апрель, 2020

Следующая дата

пн13апр(апр 13)вт14(апр 14)ТМ 3.3Организация обработки и защиты персональных данных

Раскрыть

Подробности

В ходе изучения курса слушатели получают основные знания по вопросам организации обработки и защиты персональных данных: структура нормативно-правовой базы, определение целей обработки персональных данных, категории персональных данных, реализация прав субъектов персональных данных, подача уведомления о намерении обработки персональных данных и др. Особое внимание уделено вопросам организации защиты персональных данных и разработке типового комплекта организационно-распорядительной документации по защите информации в организациях (на предприятиях).

Программа курса:

Введение.

Структура нормативно-правовой базы в области организации обработки и защиты персональных данных. Международное и Федеральное законодательство. Постановления Правительства РФ.  Документы регуляторов.

Государственные органы, осуществляющие контроль и надзор сфере ПДн (государственные регуляторы), их функции и компетенции.

Раздел 1. Федеральный закон №152-ФЗ «О персональных данных».

  • Понятие персональных данных и их обработки. Терминология. Принципы и условия обработки ПДн, категории ПДн. Согласие субъекта персональных данных на их обработку и передачу.
  • Права субъекта и обязанности оператора ПДн. Безопасность персональных данных: меры по защите.
  • Уведомление о намерении обработки ПДн. Ответственный за организацию обработки и его функционал.

Раздел 2.  Нормативные документы Правительства РФ в области обработки и защиты ПДн.

  • Требования к защите персональных данных. Типы угроз. Уровни защищенности персональных данных. Общие требования к уровням защищенности.
  • Обработка персональных данных, осуществляемая без средств автоматизации и особенности ее организации. Меры по обеспечению безопасности персональных данных при неавтоматизированной обработке.
  • Особенности обработки ПДн в государственных (муниципальных) органах.

Раздел 3.  Риски оператора, связанные с нарушением требований к  обработке и защите ПДн.

  • Классификация рисков. Гражданская, административная и уголовная ответственность оператора ПДн. Состав правонарушений. Правоприменительная практика.

Раздел 4. Последовательность работ по обеспечению безопасности ПДн в ИСПДн.

  • Этапы создания системы защиты персональных данных. Необходимые подготовительные мероприятия.
  • Обследование информационных ресурсов и информационных систем. Анализ  целей и законности обработки ПДн,  объёмов, сроков и способов их обработки.  Формирование перечня ПДн и выделение сегментов существующей (вновь разрабатываемой)  ИСПДн. Способы минимизации затрат на защиту ПДн.

Раздел 5. Моделирование угроз безопасности ПДн.

  • Содержание нормативно-методических документов ФСТЭК России и ФСБ России.  Порядок формирования частной модели угроз.
  • Типы угроз безопасности ПДн. Угрозы утечки информации по техническим каналам и способы их реализации. Угрозы несанкционированного доступа к ПДн: источники угроз и классификация нарушителей. Внутренние и внешние нарушители и их возможности.
  • Актуализация угроз безопасности ПДн. Методика определения актуальных угроз БПДн. Частная модель угроз.
  • Определение необходимости применения криптографических средств защиты ПДн. Особенности моделирования угроз по методике ФСБ РФ.
  • Документирование результатов моделирования.

Раздел 6. Реализация мер защиты персональных данных. Ввод системы защиты ПДн в эксплуатацию.

  • Организационные и программно-технические меры по защите ПДн, их состав и порядок выбора.
  • Базовый набор мер защиты ПДн, его адаптация и уточнение. Выбор классов средств защиты информации в зависимости от уровня защищенности ПДн.
  • Разработка организационно-распорядительной документации по вопросам организации обеспечения безопасности ПДн и эксплуатации СЗПДн. Оценка эффективности защиты ПДн.

Раздел 7. Вопросы, проверяемые в ходе государственного контроля и надзора.

  • Вопросы контроля Роскомнадзора.
  • Вопросы контроля ФСТЭК РФ.
  • Вопросы контроля ФСБ РФ.

Дополнительно:

Нужен ли акт классификации ИСПДн?

В последние годы требования к обработке и защите персональных данных (ПДн) меняются так часто, что практика их выполнения нередко не успевает следовать за изменением положений руководящих документов. Прошло уже более года с тех пор, как отменена необходимость классификации информационных систем персональных данных (ИСПДн), а в ходе проверок регуляторы нередко по-прежнему требуют предъявить акт классификации ИСПДн. Для чего он? А ни для чего, просто «по привычке». Вместо классов с ноября 2012 г. Введены уровни защищенности ПДн, и меры защиты ПДн теперь напрямую зависят именно от уровня защищенности. Такое изменение в организации защиты ПДн окончательно закреплено в 2013 г изданием ФСТЭК приказа №21, в котором набор мер защиты ПДн целиком определяется их уровнем защищенности.

Почему же Роскомнадзор в ходе своих проверок требует предъявить акт классификации? Скорее всего, потому, что известный «трехглавый» приказ (совместный приказ ФСБ, ФСТЭК и РКН 2008 г. №55/86/20) формально действует, однако необходимость проведения классификации ИСПДн, установленная Постановлением Правительства РФ от 2007 г №781 отменена в связи с выходом нового Постановления Правительства 2012г №1119. В настоящее время готовятся приказы указанных органов исполнительной власти об отмене «трехглавого» приказа.

Приказ ФСТЭК №21 – не единственная новинка, появившаяся в 2013 г. Кроме него, операторы персональных данных получили разъяснения Роскомнадзора по вопросам обработки биометрических ПДн, давшее ответ на многие вопросы, прямого ответа на которые невозможно найти в законе. Кроме того, Приказом Роскомнадзора от 2013 г №996 утверждены требования и методы обезличивания ПДн, а в дополнение к этому приказу в декабре 2013 г Были утверждены и Методические рекомендации по применению Приказа №996. По словам заместителя руководителя РКН Р.В. Шередина, обезличивание ПДн позволит снизить требования по их защите при их обработке, передаче и хранении. Заметим, что процедура обезличивания ПДн является обязательной при их обработке в государственных и муниципальных органах.

2014 год тоже готовит операторам персональных данных ряд «сюрпризов». Чтобы подробно познакомиться с последними изменениями нормативно-правовой базы в сфере ПДн и перспективами ее развития, понять, какие требования по защите ПДн существуют на сегодняшний день и как их реализовать, минимизировав Ваши расходы, Учебный центр МАСКОМ приглашает Вас на обучение по курсу М3.3. «Организация обработки и защиты персональных данных».

Этот курс специально разработан для тех, кого из всего многообразия вопросов в области защиты информации интересует именно защита персональных данных. В течение двух дней Вы изучите весь круг вопросов, касающихся реализации требований закона «О персональных данных», документов Правительства РФ, ФСТЭК и Роскомнадзора, подробно познакомитесь с порядком разработки системы защиты ПДн, узнаете, как подготовиться к проверкам регуляторов. В курсе освещаются особенности обработки ПДн, присущие государственным (муниципальным) органам, медицинским учреждениям, коммерческим организациям, узнаете, на чем можно сэкономить, реализуя меры по защите ПДн. Наши преподаватели ответят на Ваши вопросы, возникшие у Вас в ходе реализации положений многочисленных нормативных актов в сфере персональных данных.

Стоимость

19000 р

Длительность

20 часов / 2 дня

Даты начала курса

27.04.2020 07.05.2020 19.05.2020 01.06.2020 16.06.2020 29.06.2020 13.07.2020 27.07.2020 10.08.2020 24.08.2020 07.09.2020 21.09.2020 05.10.2020 19.10.2020 02.11.2020 16.11.2020 30.11.2020 14.12.2020 28.12.2020

Преподаватели

Аникеев Геннадий Евгеньевич

 Подробнее

Категории слушателей

Руководители и сотрудники служб безопасности и защиты информации
Ответственные за обработку и защиту персональных данных

Записаться

Я принимаю соглашение сайта об обработке персональных данных.

Идет набор на курс ТМ 2.1
Дата начала: 17.02.20

Дополнительные даты на курс ПМ 3
1 сессия 10-20 марта, 2 сессия 18-29 мая
X