Главная / Учебные программы / Программы повышения квалификации / Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных

Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных

УЧЕБНАЯ ПРОГРАММА

ПОВЫШЕНИЯ КВАЛИФИКАЦИИ СПЕЦИАЛИСТОВ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

по курсу

«Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных»

 

1.ВВЕДЕНИЕ

Учебная программа повышения квалификации специалистов в области защиты информации по курсу "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных" разработана в соответствии с правовыми и нормативными документами, в области информационной безопасности, введёнными в действие указами Президента Российской Федерации и постановлениями Правительства Российской Федерации. Основой для разработки программы являются документы, регламентирующие вопросы защиты персональных данных, утверждённые 15.02.2008 ФСТЭК России: "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных", "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных".

Цель обучения по программе: обновление теоретических и практических знаний специалистов по планированию, организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах в условиях существования угроз безопасности информации.

Поставленная цель достигается решением следующих задач: изучением правовых и организационных основ обеспечения безопасности персональных данных в информационных системах персональных данных;

изучением методов и процедур выявления угроз безопасности персональных данных в информационных системах персональных данных и оценки степени их опасности;

практической отработкой способов и порядка проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Категория слушателей: специалисты органов государственной власти, местного самоуправления, организаций и учреждений, осуществляющие разработку и эксплуатацию автоматизированных информационных систем, обеспечивающих обработку, хранение и передачу персональных данных.

Срок обучения: 74 часа аудиторных учебных занятий.

Форма обучения: очная (с отрывом от работы).

Режим занятий: 37 часов аудиторной учебной и самостоятельной работы под руководством преподавателя в неделю.

 

В результате изучения курса слушатели должны:

 

быть ознакомлены:

с концептуальными основами защиты информации;

с лицензированием деятельности в области защиты информации;

с документами национальной системы стандартизации, действующими в области защиты информации;

 

знать:

основные виды угроз безопасности персональных данных;

физическую природу и причины возникновения технических каналов утечки информации при её обработке в информационных системах персональных данных;

содержание основных нормативных правовых актов, руководящих и методических документов, регламентирующих порядок организации работ по обеспечению безопасности персональных данных;

основные положения по установке уровней защищённости персональных данных и обоснованию требований по защите информации в информационных системах персональных данных;

методы и процедуры выявления угроз безопасности персональных данных;

содержание и порядок организации работ по выявлению угроз безопасности персональных данных;

организацию контроля и оценки степени безопасности персональных данных при их обработке в информационных системах персональных данных;

 

уметь:

планировать организацию мероприятий по обеспечению защиты персональных данных;

разрабатывать необходимые документы в интересах организации работ по обеспечению защиты персональных данных;

обосновывать требования по защите информации в информационных системах персональных данных;

использовать методики оценки актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

 

иметь навык:

применения организационных и технических мер, программно-аппаратных средств обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных от несанкционированного доступа.

 

 

 

2. ПЕРЕЧЕНЬ ТЕМ

 

№ п/п

Наименование тем

1

Раздел № 1. Общие вопросы технической защиты информации

2

Тема № 1. Нормативные правовые акты и организационно-распорядительные документы в области технической защиты информации

3

Тема № 2. Выявление угроз безопасности информации на объектах информатизации, основные организационные меры, технические и программные средства защиты информации от несанкционированного доступа

4

Тема № 3. Основные организационные меры и технические средства защиты информации от утечки по техническим каналам на объектах информатизации

5

Раздел № 2. Организация обеспечения защиты персональных данных в информационных системах персональных данных

6

Тема № 4. Угрозы безопасности персональных данных при их обработке в информационных системах персональных данных

7

Тема № 5. Основы организации и ведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

8

Тема № 6. Рекомендации по обеспечению безопасности и контролю безопасности персональных данных при их обработке в информационных системах персональных данных

 

 

3. РЕФЕРАТИВНОЕ ОПИСАНИЕ ТЕМ

Тема № 1. Правовые и организационно-распорядительные документы в области технической защиты информации.

Основные понятия в области технической защиты информации (ТЗИ). Стратегия национальной безопасности Российской Федерации. Доктрина информационной безопасности Российской Федерации. Концептуальные основы ТЗИ. Законодательные и иные правовые акты, регулирующие вопросы ТЗИ. Система документов по ТЗИ и краткая характеристика ее основных составляющих.

Структура и направления деятельности системы ТЗИ в субъектах Российской Федерации. Система органов по ТЗИ в Российской Федерации, их задачи, распределение полномочий по обеспечению ТЗИ. Задачи и функции Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Задачи и функции управлений ФСТЭК России по федеральным округам.

Лицензирование деятельности в области технической защиты информации. Сертификация средств защиты информации, аттестация объектов информатизации по требованиям безопасности информации. Документы национальной системы стандартизации в области ТЗИ.

Тема 2. Выявление угроз безопасности информации на объектах информатизации, основные организационные меры, технические и программные средства защиты информации от несанкционированного доступа.

Понятия "безопасности информации", "угрозы безопасности информации", "уязвимости", "источника угрозы". Целостность, конфиденциальность и доступность информации. Классификационная схема угроз безопасности информации и их общая характеристика. Особенности проведения комплексного исследования объектов информатизации на наличие угроз безопасности информации. Методы оценки опасности угроз.

Классификация объектов информатизации. Методические рекомендации по классификации и категорированию объектов информатизации. Характеристика основных угроз несанкционированного доступа и моделей нарушителя безопасности информации, а также способов реализации этих угроз. Характеристика основных классов атак, реализуемых в сетях общего пользования, функционирующих с использованием стека протоколов TCP/IP. Понятие программно-математического воздействия и вредоносной программы. Классификация вредоносных программ, основных деструктивных функций вредоносных программ и способов их реализации. Особенности программно-математического воздействия в сетях общего пользования. Методы и средства выявления угроз несанкционированного доступа к информации и специальных воздействий на неё. Порядок обеспечения защиты информации при эксплуатации автоматизированных систем.

Защита информации на автоматизированных рабочих местах на базе автономных ПЭВМ. Защита информации в локальных вычислительных сетях. Защита информации при межсетевом взаимодействии. Защита информации при работе с системами управления базами данных. Порядок обеспечения защиты информации при взаимодействии с информационными сетями общего пользования.

Требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники. Основные требования и рекомендации по защите персональных данных. Основные рекомендации по защите информации, составляющей коммерческую тайну.

Содержание и порядок проведения аттестации объектов информатизации по требованиям безопасности информации. Структура, содержание и порядок подготовки документов при аттестации объектов информатизации по требованиям безопасности информации.

Тема № 3. Основные организационные меры и технические средства защиты информации от утечки по техническим каналам на объектах информатизации.

Причины и физические явления, порождающие технические каналы утечки информации (ТКУИ) при эксплуатации объектов информатизации. Классификация ТКУИ. Характеристики информативных сигналов, определяющие степень их опасности. Методы и средства выявления ТКУИ на типовом объекте информатизации.

Основные требования и рекомендации по защите речевой информации, циркулирующей в защищаемых помещениях. Защита информации, циркулирующей в системах звукоусиления и звукового сопровождения видео­кинофильмов. Защита информации при проведении магнитной звукозаписи. Защита речевой информации при ее передаче по каналам связи.

Содержание и порядок организации и проведения специальных исследований технических средств обработки информации.

Методы оценки защищённости помещений от утечки речевой информации.

Оценка защищённости информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации.

Тема № 4. Угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

Принципы обработки персональных данных и права субъекта персональных данных.

Особенности информационного элемента информационной системы персональных данных (ИСПДн). Основные принципы обеспечения безопасности персональных данных (ПДн) при их обработке: законности, превентивности, адекватности, непрерывности, адаптивности, самозащиты, многоуровневости, персональной ответственности и минимизации привилегий, разделения полномочий и их характеристика. Основные направления деятельности по обеспечению безопасности ПДн при их обработке в ИСПДн.

Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных. Оценка достаточности и обоснованности запланированных мероприятий. Особенности обеспечения безопасности персональных данных, обрабатываемых на автоматизированных рабочих местах с использованием автономных ПЭВМ, в локальных вычислительных сетях и при межсетевом взаимодействии.

Рекомендации по применению мер и средств обеспечения безопасности персональных данных от физического доступа.

Тема № 5. Основы организации и ведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Порядок ранжирования информационных систем персональных данных в зависимости от их структуры и технологии обработки персональных данных в системе.

Описание пакетов обязательных требований по обеспечению безопасности для информационных систем персональных данных. Требования по защите от НСД в однопользовательском и многопользовательском режимах обработки информации. Требования по защите от НСД при разных правах доступа к информации. Требования по защите информационного взаимодействия в распределенных вычислительных сетях при отсутствии и наличии подключения к сетям общего пользования. Профили защиты, порядок их сертификации и регистрации в ФСТЭК России.

Перечень основных этапов при организации работ по обеспечению безопасности персональных данных.

Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и особенности их реализации.

Тема № 6. Рекомендации по обеспечению безопасности и контролю безопасности персональных данных при их обработке в информационных системах персональных данных.

Комплекс организационных и технических мероприятий (применения технических средств), в рамках подсистемы защиты персональных данных, реализуемых в информационной системе персональных данных в процессе ее создания или модернизации. Основное содержание этапов организации обеспечения безопасности персональных данных.

Возможные варианты реализации мероприятий по защите персональных данных с использованием существующих сертифицированных средств защиты информации.

Виды, формы и способы контроля защиты персональных данных в информационных системах обработки персональных данных. Планирование работ по контролю состояния защиты персональных данных в информационных системах обработки персональных данных. Основные вопросы, подлежащие проверке (анализу) при контроле состояния организации защиты персональных данных.