Тел. в Москве:
График работы:
Пн-Пт с 10:00 до 18:00

Защита информации и персональных данных. Применение Федерального закона РФ №152 "О персональных данных"

 

25 октября 2010
10.00 - 17.00

«Защита информации и персональных данных. Применение Федерального закона РФ №152
«О персональных данных»

Почему защита персональных данных актуальна именно сегодня?
Методы кражи информации, мошенничества и несанкционированного доступа совершенствуются каждый день, нужно быть готовым к новым опасностям, совершенствуя системы защит.

Чем больше компания, тем сложнее объекты защиты: например, защита конфиденциальной информации в условиях сложнейших бизнес-процессов, защита клиентской базы при сохранении доступа к ней большого числа сотрудников и т. д.

C принятием закона «О персональных данных» все операторы персональных данных обязаны создать систему защиты, адекватную существующим угрозам.


o руководители (первые лица) компаний;
o менеджеры среднего и высшего звена;
o сотрудники юридической и кадровой службы,
o руководители или сотрудники Служб безопасности,
o специалисты по информационной безопасности,
o сотрудники ИТ подразделений.

Цель обучения: формирование у слушателей:
• системно-целостного видения проблем обработки и обеспечения безопасности персональных данных в компании;
• понимания необходимости обеспечения защиты персональных данных;
• понимания природы возникновения угроз безопасности персональным данным и возможные риски в случае реализации этих угроз;
• умений практической реализации организационных и технических мероприятий по защите персональных данных.

Задачи обучения:
o анализ основных проблем обработки и обеспечения безопасности персональных данных в компании;
o анализ международного, российского законодательства и нормативно-методической базы в области защиты персональных данных;
o изучение действий оператора персональных данных по приведению своих информационных систем персональных данных в соответствие с требованиями законодательства;
o изучение основных этапов проведения работ по созданию комплексной системы защиты персональных данных и подготовка алгоритмов решений, исходя из существующих угроз;
o изучение программно-аппаратных средств защиты информации, в том числе средств криптографии (шифрования);
o обобщение современных подходов к созданию системы защиты персональных данных в компании.


Подробная программа семинара

I. Общие вопросы обработки и обеспечения защиты ПДн в компании.

1. Персональные данные в каждой компании: какая информация относится к этой категории данных; кто является оператором персональных данных; что такое обработка персональных данных;

2. Перечень стандартных информационных систем ПДн компании, в которых обрабатываются персональные данные:
• автоматизированная и неавтоматизированная обработка ПДн в компании;
• локальные и распределенные информационные системы ПДн;
• трансграничная передача персональных данных.

3. Защита персональных данных:
• неприкосновенность частной жизни граждан гарантирована Конституцией РФ и находится под защитой государства;
• защита ПДн - как прямая обязанность операторов ПДн в соответствии с требованиями Федерального Закона №152 «О персональных данных»;
• сроки выполнения требований законодательства.

4. Ответственность оператора за неисполнение требований законодательства и нарушения обработки ПДн.

II. Международное и российское законодательство в области обработки ПДн.

1. Международное и российское законодательство:
• Международные правовые акты и обзор зарубежной правоприменительной практики в области защиты физических лиц при автоматизированной обработке персональных данных;
• Российское законодательство и нормативно - методические документы, регулирующие деятельность в сфере обработки персональных данных.

2. Федеральный Закон № 152 от 27.07.2006 г. «О персональных данных» - как основной нормативно-правовой акт, устанавливающий требования обработки и обеспечения защиты персональных данных:
• Назначение и основные понятия закона «О персональных данных»;
• На кого распространяется действия закона, исключения и ограничения;
• Права субъектов ПДн и обязанности операторов;
• Контроль и надзор за обработкой персональных данных;
• Сроки выполнения требований закона и ответственность нарушителей.

3. Государственные органы, регулирующие деятельность в области обработки ПДн:
• Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Федеральные уполномоченные органы (регуляторы) (Россвязькомнадзор; Федеральная служба по техническому и экспортному контролю - ФСТЭК России; Федеральная служба безопасности - ФСБ России);
• Нормативно - методические документы регуляторов, устанавливающие порядок классификации информационных систем персональных данных и регламентирующие порядок проведения работ по обеспечению безопасности персональных данных.

4. Ответственность за нарушения законодательства:
• Основания предъявления претензий оператору персональных данных;
• Нормативно-правовые акты РФ, предусматривающие ответственность за неисполнение требований законодательства и нарушения при обработке персональных данных.

5. О лицензировании деятельности по технической защите конфиденциальной информации:
• Персональные данные относятся к сведениям конфиденциального характера;
• Техническая защита конфиденциальной информации как лицензируемый вид деятельности;
• Нормативно-правовая база в области лицензирования деятельности по технической защите конфиденциальной информации;
• Ответственность за проведение работ без соответствующих лицензий.

III. Общие вопросы проведения работ по комплексной защите ПДн.

1. Действия оператора ПДн по выполнению требований законодательства:
• Определение целей и содержания обработки ПДн;
• Уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (о намерении осуществлять обработку) персональных данных;
• Создание системы защиты ПДн, адекватной существующим угрозам.

2. Основные этапы работ по комплексной защите ПДн:
• Проведение обследования информационных ресурсов предприятия и определение информационных систем ПДн, подлежащих защите;
• Разработка организационно-распорядительных документов, регламентирующих обработку персональных данных в организации;
• Создание системы защиты персональных данных (СЗПДн), в том числе выполнение требований по инженерно-технической защите помещений;
• Аттестация или декларирование соответствия ИСПДн по требованиям безопасности информации.

IV. Порядок проведения работ по защите ПДн.

1. Предпроектное обследование информационной инфраструктуры предприятия в части обработки ПДн.:
• Анализ информационных ресурсов предприятия и определение информационных систем ПДн, требующих защиты;
• Анализ уязвимых звеньев и возможных угроз безопасности ПДн;
• Оценка ущерба от реализации угроз безопасности ПДн; Анализ имеющихся в распоряжении мер и средств защиты ПДн.

2. Обоснование требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн:
• Разработка модели угроз безопасности ПДн;
• Разработка модели нарушителя безопасности ПДн;
• Классификация информационных систем ПДн).
• Обоснование требований по обеспечению безопасности ПДн с использованием криптосредств.

3. Проведение работ по организации обеспечения безопасности ПДн при их обработке в ИСПДн:
• Разработка и согласование требований к системе защиты персональных данных (СЗПДн) и формулирование задач по защите ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн);
• Выбор способов, мер и средств защиты ПДн в соответствии с мероприятиями по защите;
• Разработка технического задания (ТЗ) на систему защиты ПДн.

4. Разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.

5. Развертывание, ввод в эксплуатацию системы защиты ПДн.

6. Порядок проведения работ по аттестации (сертификации) ИСПДн требованиям информационной безопасности:
• Сертификация средств защиты информации;
• Аттестация ИСПДн требованиям безопасности ПДн.

V. Общие вопросы согласования документов с регуляторами:
• Перечень документов, подлежащих согласованию с регуляторами;
• Механизм согласования документов с регуляторами;
• Срок действия согласованных документов и механизм внесения изменений в эти документы.

VI. Обзор основных мероприятий и программно-аппаратных средств защиты информации, применяемых при создании системы защиты ПДн.

1. Выявление и закрытие технических каналов утечки ПДн в ИСПДн;

2. Защита ПДн от несанкционированного доступа и неправомерных действий:
• управление доступом;
• регистрация и учет;
• обеспечение целостности; контроль отсутствия недекларированных возможностей;
• антивирусная защита;
• обеспечение безопасного межсетевого взаимодействия ИСПДн;
• анализ защищенности; обнаружение вторжений.

3. Установка, настройка и применение средств защиты:
• От физического доступа;
• От утечки по техническим каналам;
• От несанкционированного доступа (НСД);
• От программно-математического воздействия;
• От электромагнитных воздействий.

Обобщение современных подходов к созданию системы защиты персональных данных в компании.

Данный семинар позволит вам:
Получить представление о проблематике обработки и обеспечения защиты ПДн в компании;
Ориентироваться в нормативно-правовых актах, регулирующих деятельность в сфере обработки ПДн;
Получить представление о действиях оператора персональных данных, которые он обязан осуществить в установленные законом сроки;
Получить представление о комплексной защите ПДн, состоящей из организационной и технической мер защиты информации;
Правильно составлять внутренние документы компании, регламентирующие вопросы организации обеспечения безопасности ПДн;
Получить представление о порядке проведения работ по организации обеспечения безопасности ПДн при их обработке в ИСПДн, развертывании и вводе в эксплуатацию системы защиты ПДн;
Ориентироваться в вопросах согласования документов с регуляторами и проведения работ по аттестации (сертификации) ИСПДн требованиям информационной безопасности;
Ориентироваться в программно - аппаратных средствах защиты информации, применяемых в процессе создания системы защиты ПДн.

Бизнес-консультанты:
Баяндин Николай - бизнес-тренер, автор и преподаватель курсов «Конкурентная разведка», «Информационно-аналитическое обеспечение безопасности бизнеса», «Управление безопасностью бизнеса», др.
Барбашев Сергей - генеральный директор Академии безопасности бизнеса, автор и преподаватель курсов по безопасности в МЭСИ, АНХ при Правительстве РФ (программа МВА).

Место проведения: Москва, Бобров пер., д.1, оф. 47 (м. «Тургеневская»)

Стоимость: для одного участника - 9 853 руб. (НДС не облагается), Включены методические материалы, обед, кофе-брейк, диск с нормативно - правовой базой в сфере обработки персональных данных и образцы внутренних документов компании, регламентирующих организационные меры по обеспечению безопасности персональных данных; сертификат участника.

Подробная информация и регистрация по телефону:
+7(495) 997-61-86
+7(499) 948-04-79
+7(812) 313-20-27

Тел. в Москве:
График работы:
Пн-Пт с 10:00 до 18:00