Программа ИСПДн

ДОПОЛНИТЕЛЬНАЯ ПРОФЕССИОНАЛЬНАЯ ПРОГРАММА ПОВЫШЕНИЯ КВАЛИФИКАЦИИ

СПЕЦИАЛИСТОВ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

по теме:

«Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных»

1.    ВВЕДЕНИЕ

Учебная программа повышения квалификации специалистов в области информационной безопасности по курсу «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Программа) разработана с учётом требований Федерального закона от 28.12.2010 №390-ФЗ «О безопасности», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», иных нормативно-правовых документов, регламентирующих вопросы обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

Основой для разработки программы являются Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённые приказом ФСТЭК России от 18.02.2013 №21, а также документы, регламентирующие вопросы обеспечения безопасности персональных данных: «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «Методика определения актуальных угроз безопасности персональных данных

Программа учитывает требования и рекомендации нормативных правовых актов и методических документов Федеральной службы по техническому и экспортному контролю (ФСТЭК России).

При разработке Программы выполнены требования к содержанию дополнительных профессиональных образовательных программ, утверждённые приказом Минобразования России от 18.06.1997 №1221, а также учтены рекомендации «Примерной дополнительной профессиональной программы повышения квалификации специалистов в области информационной безопасности по теме: «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» (информационное письмо Министерства труда и социальной защиты Российской Федерации №18-3/10/1-4091 от 09.09.2013 г. «О рекомендациях по организации обучения федеральных государственных гражданских служащих, ответственных за организацию защиты и обработки персональных данных»).

Цель обучения по программе: освоение специалистами актуальных изменений в вопросах профессиональной деятельности, обновление их теоретических знаний и умений, развитие навыков практических действий по планированию, организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах в условиях существования угроз безопасности информации.

Поставленная цель достигается решением следующих задач:

·                 Изучением нормативных правовых и организационных основ обеспечения безопасности персональных данных в информационных системах персональных данных;

·                 Изучение методов и процедур выявления угроз безопасности персональных данных в информационных системах персональных данных и оценки степени их опасности;

·                 Практической обработкой способов и порядка проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Категория слушателей: специалисты по защите информации органов государственной власти, местного самоуправления, учреждений и организаций различных форм собственности, осуществляющие разработку и эксплуатацию автоматизированных информационных систем, обеспечивающих обработку, хранение, передачу и защиту персональных данных.

Продолжительность обучения: 72 академических часа аудиторных учебных занятий.

Форма обучения: очная, дневная, с отрывом от работы (гражданской государственной службы).

В результате изучения курса слушатели должны:

быть ознакомлены:

·         с нормативными правовыми и организационными основами защиты информации и обеспечения безопасности персональных данных в Российской Федерации;

·         с порядком организации и проведения лицензирования деятельности в области защиты информации;

·         с документами национальной системы стандартизации, действующими в области защиты информации;

знать:

·         содержание основных нормативных правовых актов, регламентирующих вопросы обеспечения безопасности персональных данных;

·         основные виды угроз безопасности персональных данных в информационных системах персональных данных;

·         содержание и порядок организации работ по выявлению угроз безопасности персональных данных;

·         процедуры задания и реализации требований по защите информации в информационных системах персональных данных;

·         меры обеспечения безопасности персональных данных;

·         требования по обеспечению безопасности персональных данных;

·         порядок применения организационных и технических мер обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных;

уметь:

·         планировать мероприятия по обеспечению безопасности персональных данных;

·         разрабатывать необходимые документы в интересах организации работ по обеспечению безопасности персональных данных;

·         обосновывать и задавать требования по обеспечению безопасности персональных данных в информационных системах персональных данных;

·         проводить оценки актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

·         определять состав и содержание мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для блокирования угроз безопасности персональных данных.

иметь навык:

·         определения уровня защиты персональных данных;

·         выявления угроз безопасности персональных данных в информационных системах персональных данных.

Слушатели обеспечиваются комплектом учебно-методических пособий.

Слушатели, полностью выполнившие программу обучения и успешно сдавшие зачёт, получают Удостоверение о повышении квалификации установленного образца.

2.ПЕРЕЧЕНЬ ТЕМ

3. СОДЕРЖАНИЕ ПРОГРАММЫ

Раздел 1. Общие вопросы технической защиты информации.

Тема 1. Правовые и организационные вопросы технической защиты информации ограниченного доступа.

Основные понятия в области технической защиты информации (далее – ТЗИ). Стратегия национальной безопасности Российской Федерации до 2020 года. Доктрина информационной безопасности Российской Федерации. Концептуальные основы ТЗИ. Законодательные и иные правовые акты, регулирующие вопросы ТЗИ. Система документов по ТЗИ и краткая характеристика её основных составляющих.

Структура и направления деятельности системы ТЗИ в субъектах Российской Федерации. Система органов по ТЗИ в Российской Федерации. Система органов по ТЗИ в Российской Федерации, их задачи, распределение полномочий по обеспечению ТЗИ. Задачи, полномочия и права Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Задачи, полномочия  и права управлений ФСТЭК России по федеральным округам.

Лицензирование деятельности в области технической защиты информации. Сертификация средств защиты информации, аттестация объектов информатизации по требованиям безопасности информации. Документы национальной системы стандартизации в области ТЗИ.

Основные документы, определяющие направления и порядок организации деятельности, организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Права субъектов персональных данных. Способы защиты прав субъектов персональных данных.

Тема 2. Выявление угроз безопасности информации на объектах информатизации, основные организационные меры, технические и программные средства защиты информации от несанкционированного доступа.

Понятия «безопасности информации», «угрозы безопасности информации», «уязвимости», «источника угрозы», целостности, конфиденциальности и доступности информации. Классификационная схема угроз безопасности информации и их общая характеристика. Особенности проведения комплексного исследования объектов информатизации на наличие угроз безопасности информации. Методы оценки опасности угроз.

Классификация объектов информатизации. Методические рекомендации по классификации и категорированию объектов информатизации. Характеристика основных угроз несанкционированного доступа и моделей нарушителя безопасности информации, а также способов реализации этих угроз. Характеристика основных классов атак, реализуемых в сетях общего пользования, функционирующих с использованием стека протоколов ТСР/IР. Понятие программно-математического воздействия и вредоносной программы. Классификация вредоносных программ, основных деструктивных функций вредоносных программ и способов их реализации. Особенности программно-математического воздействия в сетях общего пользования. Методы и средства выявления угроз несанкционированного доступа к информации и специальных воздействий на неё. Порядок обеспечения защиты информации при эксплуатации автоматизированных систем.

Защита информации на автоматизированных рабочих местах на базе автономных ПЭВМ. Защита информации в локальных вычислительных сетях. Защита информации при межсетевом взаимодействии. Защита информации при работе с системами управления базами данных. Порядок обеспечения защиты информации при взаимодействии с информационными сетями общего пользования.

Требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники.

Содержание и порядок проведения аттестации объектов информатизации по требованиям безопасности информации. Структура, содержание и порядок подготовки документов при аттестации объектов информатизации по требованиям безопасности информации.

Раздел 2. Организация обеспечения безопасности персональных данных в информационных системах персональных данных.

Тема 3. Угрозы безопасности персональных данных при их обработке в информационных системах персональных данных, организационные и технические меры защиты информации в информационных системах персональных данных

Особенности информационного элемента информационной системы персональных данных. 

Основные типы актуальных угроз безопасности персональных данных при их обработке в информационных системах  персональных данных, порядок их определения. Угрозы несанкционированного доступа к информации в информационных системах персональных данных. Угрозы утечки информации по техническим каналам.

Основные принципы обеспечения безопасности персональных данных при их обработке: законности, превентивности, адекватности, непрерывности, адаптивности, самозащиты, многоуровневости, персональной ответственности и минимизации привилегий, разделения полномочий и их характеристика. Основные направления деятельности по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных. Оценка достаточности и обоснованности запланированных мероприятий.

Особенности обеспечения безопасности персональных данных, обрабатываемых на автоматизированных рабочих местах с использованием автономных ПЭВМ, в локальных вычислительных сетях и при межсетевом взаимодействии.

Рекомендации по применению мер и средств обеспечения безопасности персональных данных от физического доступа.

Причины и физические явления, порождающие технические каналы утечки информации (ТКУИ) при эксплуатации объектов информатизации. Классификации ТКУИ.

Основные требования и рекомендации по защите речевой информации, циркулирующей в защищаемых помещениях.

Оценка защищённости информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации.

Тема 4. Основы организации и ведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

Определение необходимых уровней защищённости персональных данных при их обработке в информационных системах в зависимости от типа актуальных угроз для информационных систем, вида и объёма обрабатываемых в них персональных данных.

Состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учётом актуальных угроз безопасности персональных данных и  применяемых информационных технологий.

Порядок выбора мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных: определение базового набора мер, адаптация базового набора, уточнение адаптированного базового набора мер, дополнение уточнённого адаптированного базового набора мер.

Содержание мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных.

Организация обеспечения безопасности персональных данных в организациях и учреждениях. Перечень основных этапов при организации работ по обеспечению безопасности персональных данных.

Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и особенности их реализации.

Содержание, порядок разработки и ввода в действие внутренних нормативных документов и актов ненормативного характера по обработке персональных данных и обеспечению безопасности персональных данных. Подготовка уведомлений об обработке персональных данных в уполномоченный орган, порядок внесения изменений в ранее представленное в уполномоченный орган уведомление.

Обязанности оператора, осуществляющего обработку персональных данных. Порядок  и условия обработки персональных данных без средств автоматизации. Порядок и методы обезличивания персональных данных, и деобезличивание.  Особенности обработки персональных данных в условиях государственной гражданской службы и муниципальной службы. Ответственность за нарушение требований законодательства Российской Федерации в области персональных данных.

Тема 5. Практические реализации типовых моделей защищенных информационных систем обработки персональных данных

Комплекс организационных и технических мероприятий (применения технических средств), в рамках подсистемы защиты персональных данных, развертываемой в информационной системе персональных данных в процессе её создания или модернизации. Основное содержание этапов организации обеспечения безопасности персональных данных.

Варианты реализации мероприятий по защите персональных данных и типовые модели защищенных информационных систем персональных данных с использованием существующих сертифицированных средств защиты информации.

Виды, формы и способы контроля защиты персональных данных в информационных системах персональных данных. Планирование работ по контролю состояния защиты персональных данных в информационных системах персональных данных. Основные вопросы, подлежащие проверке (анализу) при контроле состояния организации защиты персональных данных.

4. НАИМЕНОВАНИЕ ВИДОВ ЗАНЯТИЙ ПО ТЕМАМ