Техническая защита персональных данных

Техническая защита персональных данных

Код курса КП33, 3 дня

Статус

Авторский курс Учебного центра “Информзащита“

Аннотация

Создание курса продиктовано необходимостью решения задач, поставленных перед всеми российскими предприятиями и организациями в связи с принятием Федерального закона «О персональных данных». Курс «Техническая защита персональных данных» является логическим продолжением курса КП32 «Защита персональных данных», проводимого в Учебном центре «Информзащита», и полностью посвящён вопросам технической реализации требований законодательства по защите персональных данных.

Главная цель учебного курса заключается в том, чтобы помочь специалистам различных категорий, от руководителей предприятий и их структурных подразделений до непосредственно отвечающих за защиту информации организовать обработку персональных данных в соответствии с требованиями российского законодательства.

Особое внимание в курсе «Техническая защита персональных данных» уделяется практическим вопросам выполнения требований государственных регулирующих органов по технической защите этой категории сведений ограниченного доступа – анализу и классификации информационных систем, построению модели угроз, созданию подсистемы информационной безопасности, разработке внутренних организационно-распорядительных документов, описанию системы защиты персональных данных.

В течение трёх дней подробно рассматривается весь комплекс организационных мероприятий и технических мер по обеспечению безопасности обработки персональных данных. На примерах разбираются основные необходимые действия операторов персональных данных (ПДн) по приведению информационных систем персональных данных (ИСПДн) в соответствие требованиям российского законодательства по защите ПДн.

Входит в комплексные программы

• ПК123 Безопасность информационных технологий и комплексная защита персональных данных

Аудитория

• Руководители организаций и их структурных подразделений, в ведении которых находится обработка персональных данных.
• Руководители подразделений и специалисты, которым непосредственно поручено проведение мероприятий по приведению ИСПДн в соответствие требованиям российского законодательства по защите ПДн.
• Специалисты, реализующие мероприятия по технической защите конфиденциальной информации.

Предварительная подготовка

Общее представление об организационных и технических аспектах проблемы защиты конфиденциальных сведений, основах законодательства в области безопасности.

Курс предназначен для специалистов, прошедших обучение по курсам КП32 “Защита персональных данных” и БТ01 “Безопасность информационных технологий”, или уверенно владеющих знаниями в объеме данных курсов.

В результате обучения

Вы приобретете знания:

• проблем обеспечения безопасности персональных данных физических лиц в Российской Федерации;
• порядка проведения классификации ИСПДн;
• методологии формирования модели нарушителей и модели угроз безопасности ПДн;
• требований к реализации организационно-технических мер защиты ПДн в ИСПДн;
• подходов к построению системы защиты ПДн (СЗПДн) на основе модели угроз и требований к защите ИСПДн различных классов;
• современных методов и средств технической защиты персональных данных.

Вы сможете:

• осуществлять анализ и классификацию ИСПДн;
• формировать модель угроз персональным данным и модель нарушителей в ИСПДн в соответствии с требованиями государственных регуляторов;
• готовить внутренние нормативные (организационно-распорядительные) документы, обеспечивающие техническую защиту ПДн;
• строить систему технической защиты ПДн в соответствии с требованиями государственных регуляторов;
• готовить ИСПДн к проверке соответствия требованиям по безопасности.

Пакет слушателя

• Фирменное учебное пособие
• Образцы ряда организационно-распорядительных документов по обеспечению безопасности ПДн, нормативно-правовая база в электронном виде, определяющая требования по обеспечению безопасности их обработки

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра «Информзащита».

Выпускники могут получать бесплатные консультации специалистов Учебного центра по пройденному курсу.

Программа учебного курса

Введение

• Нормативная база организации технической защиты персональных данных. Государственные органы, осуществляющие контроль и надзор в данной сфере деятельности (Роскомнадзор, ФСБ России, ФСТЭК России, Минкомсвязи России).Ответственность операторов ПДн за невыполнение требований по обеспечению безопасности ПДн при их обработке в ИСПДн.

Раздел 1. Основные этапы работ по обеспечению безопасности ПДн в ИСПДн

• Перечень основных этапов работ и краткий обзор мероприятий, необходимых для приведения ИСПДн в соответствие требованиям российского законодательства по защите ПДн.  

Раздел 2. Сбор и анализ исходных данных по ИСПДн

• Обследование информационных систем с целью выявления фактов обработки ПДн, форм представления ПДн, целей и законности обработки, способов, сроков и объёмов их обработки, источников получения и др. Формирование перечня ПДн и выделение сегментов ИСПДн.
• Сбор, анализ и документирование исходных данных по ИСПДн, необходимых для: выявления ИСПДн; классификации ИСПДн; определения исходной защищённости ИСПДн; построения модели угроз и определения актуальности угроз; проектирования СЗПДн и организации физической защиты.
• Описание технологии обработки и защиты ПДн.

Раздел 3. Классификация информационных систем персональных данных (определение уровня защищенности)

• Критерии классификации ИСПДн. Порядок определения уровня защищенности ИСПДн и её документального оформления.
• Вопросы оптимизации состава ПДн и процессов их обработки (реинжениринг ИСПДн).

Раздел 4. Формирование модели угроз ПДн и модели нарушителей

• Нормативная база для формирования модели угроз безопасности ПДн в ИСПДн. Нормативно-методические документы ФСТЭК России и ФСБ России.
• Традиционный подход к построению моделей угроз и нарушителей.
• Формирование модели угроз безопасности ПДн на основании документов ФСТЭК России.
• Определение перечня актуальных угроз.
• Методология формирования модели угроз безопасности персональным данным на основании документов ФСБ России.
• Методология формирования модели нарушителейна основании документов ФСБ России.

Раздел 5. Разработка (проектирование) системы защиты персональных данных (СЗПДн)

• Меры по обеспечению безопасности персональных данных при их обработке. Требования Федерального закона от 27.07.2006 г. №152-ФЗ и Постановления Правительства РФ от 01.11.2012 г. №1119 к обеспечению безопасности персональных данных. Обязательные механизмы защиты.
• Общий порядок организации обеспечения безопасности ПДн в ИСПДн.
• Мероприятия по защите ПДн (требования к мерам и средствам защиты) в зависимости от уровней защищенности ИСПДн.
• Определение структуры, состава и основных функций СЗПДн.
• Определение перечня предполагаемых к использованию сертифицированных средств защиты информации и их настроек.

Раздел 6. Разработка и внедрение организационных мер и организационно-распорядительных документов по обеспечению защиты персональных данных

• Планирование организационных мероприятий по защите ПДн.
• Разработка организационно-распорядительной документации, регламентирующей вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.

Раздел 7. Развертывание, настройка и опытная эксплуатация СЗПДн в ИСПДн

• Обеспечение охраны и физической защиты компонентов ИСПДн.
• Организация и проведение работ по развёртыванию СЗПДн и настройке ее элементов в ИСПДн.
• Испытания СЗПДн в процессе развертывания и опытной эксплуатации ИСПДн.

Раздел 8. Закрытие технических каналов утечки ПДн в ИСПДн

• Технические каналы утечки ПДн при их обработке в ИСПДн. Условия и причины возникновения, особенности проявления, способы и методы защиты.
• Мероприятия по защите ПДн от утечки по техническим каналам для различных классов ИСПДн.

Раздел 9. Лицензирование деятельности по защите ПДн в ИСПДн

• Техническая защита конфиденциальной инфомации и техническое обслуживание СКЗИ как лицензируемые виды деятельности.
• Получение оператором лицензий ФСТЭК и ФСБ России. Лицензионные требования.

Итоговое занятие (зачет)

Последующее обучение

• БТ06 «Защита сетевого периметра»
• КП20 «Анализ защищенности сетей»
• КП21 «Обнаружение атак»
• КП31 «Организация конфиденциального делопроизводства»
• БТ02 «Защита конфиденциальной информации от утечки по техническим каналам»

Отзывы наших слушателей о курсе

Спасибо за удовольствие от качественного материала курса и компетентности преподавателя. Видна серьёзная работа по подготовке курса его авторами. На все свои вопросы мною были получены исчерпывающие ответы

Костин Дмитрий Владимирович

Доходчиво, конкретно, информативно.

Перцель Вячеслав Георгиевич

СИБИНТЕК (ИК) (ООО), 2017 г.

Информация предоставлена в большом объеме. Были получены ответы на интересующие вопросы, которые ранее мне найти не удалось. Интересно и познавательно, большой охват направлений в представленных материалах.

Орленко А.В.