Защита персональных данных

Содержание курса: Модуль 1: Введение в создание системы защиты персональных данных предприятия В модуле рассматриваются нормативные правовые акты и методические документы ФСТЭК, ФСБ и Роскомнадзора России по обеспечению безопасности персональных данных, проблемы реализации требований указанных документов и риски предприятий в случае их не выполнения. В модуле разъясняются права субъектов персональных данных на доступ к своим персональным данным обязанности оператора по защите персональных данных работников и ответственность за нарушение требований законодательства по обеспечению персональных данных. В модуле даются рекомендации по содержанию и порядку проведения этапов работ по выполнению требований нормативных правовых актов Российской Федерации в области обеспечения безопасности персональных данных, по организации взаимодействия IT подразделений и подразделений по технической защите информации с юридическими, кадровыми и финансовыми подразделениями предприятия. Введение. Нормативные правовые акты Российской Федерации, определяющие требования по защите персональных данных. Методические документы ФСТЭК, ФСБ и Роскомнадзора России по обеспечению безопасности персональных данных. Основные этапы работ по выполнению предприятием требований нормативных правовых актов Российской Федерации в области обеспечения безопасности персональных данных. Модуль 2: Порядок проведения инвентаризации и классификации информационных систем персональных данных. Состав персональных данных в автоматизированных подсистемах кадрового и бухгалтерского учета. В модуле рассматривается порядок проведения инвентаризации ИСПДн и обосновывается необходимость оценки законности, условий и технологии хранения и обработки персональных данных, наличия согласий субъектов на такую обработку, определения предельных сроков и условий прекращения обработки персональных данных. В модуле даются рекомендации по формированию перечня персональных данных, получению исходных данных и порядку классификации ИСПДн, подготовке уведомления об обработке персональных данных. Порядок проведения инвентаризации ИСПДн. Порядок категорирования персональных данных и классификации ИСПДн. Рекомендации по подготовке уведомления об обработке персональных данных. Модуль 3: Определение актуальных угроз безопасности персональным данным при их обработке персональных данных в кадровых и бухгалтерских автоматизированных системах. Формирование модели угроз. В модуле рассматривается базовая модель и методика определения актуальных угроз безопасности персональным данным при их обработке в ИСПДн. Из угроз рассматриваются: угрозы, реализуемые через технические каналы утечки информации, возникающие за счет использования технических средств съема (добывания) информации, обрабатываемой в технических средствах ИСПДн или вспомогательных технических средствах и системах; угрозы, реализуемые за счет несанкционированного доступа к персональным данным в ИСПДн с использованием штатного программного обеспечения ИСПДн или специально разрабатываемого программного обеспечения. В модуле даются рекомендации по разработке модели угроз для ИСПДн предприятия. Угрозы персональным данным при их обработке в ИСПДн. Методика определения актуальных угроз безопасности персональным данным при их обработке в ИСПДн и формирования модели угроз. Модуль 4: Организация работ по созданию системы защиты персональных данных в информационной системе персональных данных предприятия. Особенности защиты персональных данных в архиве предприятия. В модуле рассматривается лицензионные требования и условия, предъявляемые к соискателям лицензий на осуществление деятельности по технической защите конфиденциальной информации и порядок проведения работ по созданию СЗПДн в информационной системе персональных данных предприятия, включающих: оценку обстановки; обоснование требований по обеспечению безопасности персональных данных и формулирование задач защиты персональных данных; разработку замысла обеспечения безопасности персональных данных; выбор целесообразных способов (мер и средств) защиты персональных данных в соответствии с задачами и замыслом защиты; решение вопросов управления обеспечением безопасности персональных данных в динамике изменения обстановки и контроля эффективности защиты; обеспечение реализации принятого замысла защиты; планирование мероприятий по защите персональных данных; организацию и проведение работ по созданию системы защиты персональных данных (СЗПДн) в рамках разработки (модернизации) ИСПДн, в том числе с привлечением специализированных сторонних организаций к разработке и развертыванию СЗПДн или ее элементов в ИСПДн, решение основных задач взаимодействия, определение их задач и функций на различных стадиях создания и эксплуатации ИСПДн; разработку документов, регламентирующих вопросы организации обеспечения безопасности персональных данных и эксплуатации СЗПДн в ИСПДн; развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн; доработку СЗПДн по результатам опытной эксплуатации. Для обеспечения безопасности персональных данных при их обработке в ИСПДн операторы должны создавать систему защиты персональных данных (СЗПДн), которая должна включать следующие подсистемы: управления доступом; регистрации и учёта; обеспечения целостности; криптографической защиты; антивирусной защиты; обнаружения вторжений; защиты от утечки за счёт ПЭМИН (только для ИСПДн 1 и 2 классов). Темы: Организация лицензирования на осуществление деятельности по технической защите конфиденциальной информации. Лицензионные требования и условия, предъявляемые к соискателям лицензий. Организация работ по созданию системы защиты персональных данных в информационной системе персональных данных предприятия. Подготовка информационной системы персональных данных к аттестации по требованиям безопасности информации. Рекомендации по разработке организационнораспорядительных документов предприятия по защите персональных данных. Модуль 5: Техническая защита персональных данных при их обработке в информационных системах персональных данных с использованием линейки продуктов компании «Код Безопасности» ГК «Информзащита». В модуле, рассматриваются: Технические средства защиты информации (СЗИ), находящиеся в эксплуатации и имеющие сертификаты ФСТЭК и ФСБ России: электронный замок «Соболь»; линейка СЗИ НСД Secret Net различных версий (SN5.0, SN5.1, SN6 for Windows); cредство криптографической защиты М506ХР; аппаратно-программный комплекс шифрования “Континент»; система автоматизированного управления доступом КУБ. Новые СЗИ, разработанные в соответствии с требованиям нормативных и методических документов по защите персональных данных в связи с появлением новых информационных технологий, например, таких как виртуализация: Security Studio Suite – комплексная защита персональных на автоматизированных рабочих местах; TrustAccess – средство для сетевого разграничения доступа; Security Studio Honeypot Manadger – средство защиты информации и бизнес-приложений от программно-математических воздействий; Код Безопасности Инвентаризация – инструмент сбора, обработки и систематизации информации о программном обеспечении, установленном на компьютерах и серверах в локальной сети; Security Code vGate for VMware Infrastructure – средство защиты информации, предназначенное для обеспечения безопасности управления виртуальной инфраструктурой VMware. В ходе рассмотрения каждого СЗИ и после завершения изучения линейки продуктов СЗИ даются рекомендации по их применению в зависимости от класса ИСПДн и наличия актуальных угроз безопасности ИСПДн. Для защиты персональных данных от утечки по техническим каналам в модуле рассматриваются организационные и технические мероприятия, направленные на исключение утечки акустической (речевой), видовой информации, а также утечки информации за счет ПЭМИН. Темы: Средства защиты информации от несанкционированного доступа; Средства построения VPN-сетей; Средства криптографической защиты информации; Система комплексного управления безопасностью; Новые продукты для защиты ИСПДн; Рекомендации по использованию аппаратно-программных средств защиты персональных данных в ИСПДн; Лабораторная работа. Установка и настройка СЗИ НСД Secret Net 5.1 После изучения материалов этого модуля слушатели смогут: Участвовать в создании системы технической защиты персональных данных при их обработке в ИСПДн с помощью сертифицированных СЗИ. Обеспечить безопасность персональных данных при их обработке в ИСПДн путем применения технических средств защиты информации, в том числе шифровальных (криптографических) средств, средств предотвращения несанкционированного доступа, программно-математических воздействий на технические средства обработки персональных данных.