Ведущие семинара: Барбашев Сергей Анатольевич - эксперт по безопасности, автор и преподаватель курса "Безопасность и управление доступом в информационных системах" в Московском государственном университете экономики, статистики и информатики, преподаватель курса "Корпоративная безопасность" в Академии народного хозяйства при Правительстве РФ, Российском Новом Университете (программа МВА).
Панкратьев Вячеслав Вячеславович √ специалист в области безопасности бизнеса, преподаватель-консультант по вопросам корпоративной безопасности, автор и ведущий обучающих программ (MBA, Executive MBA, открытые семинары, корпоративные мероприятия, индивидуальные консультации) по проблемам безопасности бизнеса в Академии народного хозяйства при Правительстве РФ, Государственном университете управления, Московской бизнес-школе, учебных центрах SRC, Тандем-форум и других учебных заведений, автор книг и методических пособий по безопасности предпринимательской деятельности Цель семинара: Формирование у слушателей: ∙ системно-целостного видения проблем обработки и обеспечения безопасности персональных данных в компании;
∙ понимания необходимости обеспечения защиты персональных данных;
∙ понимания природы возникновения угроз безопасности персональным данным и возможные риски в случае реализации этих угроз;
∙ умений практической реализации организационных и технических мероприятий по защите персональных данных.
∙ анализ основных проблем обработки и обеспечения безопасности персональных данных в компании;
∙ анализ международного, российского законодательства и нормативно-методической базы в области защиты персональных данных;
∙ изучение действий оператора персональных данных по приведению своих информационных систем персональных данных в соответствие с требованиями законодательства; ∙ изучение основных этапов проведения работ по созданию комплексной системы защиты персональных данных и подготовка алгоритмов решений, исходя из существующих угроз;
∙ изучение программно-аппаратных средств защиты информации, в том числе средств криптографии (шифрования);
∙ обобщение современных подходов к созданию системы защиты персональных данных в компании.
Аудитория: ∙ руководители (первые лица) компаний;
∙ менеджеры среднего и высшего звена;
∙ сотрудники юридической и кадровой служб;
∙ руководители и сотрудники Служб безопасности;
∙ специалисты по информационной безопасности;
∙ сотрудники ИТ подразделений.
Программа мероприятия: 1. Общие вопросы обработки и обеспечения защиты ПДн в компании.
∙ Персональные данные в каждой компании: какая информация относится к этой категории данных; кто является оператором персональных данных; что такое обработка персональных данных;
∙ Перечень стандартных информационных систем ПДн компании, в которых обрабатываются персональные данные o автоматизированная и неавтоматизированная обработка ПДн в компании;
o локальные и распределенные информационные системы ПДн;
o трансграничная передача персональных данных.
∙ Защита персональных данных: o неприкосновенность частной жизни граждан гарантирована Конституцией РФ и находится под защитой государства;
o защита ПДн - как прямая обязанность операторов ПДн в соответствии с требованиями Федерального Закона ╧152 "О персональных данных";
o сроки выполнения требований законодательства;
∙ Ответственность оператора за неисполнение требований законодательства и нарушения обработки ПДн.
2. Международное и российское законодательство в области обработки ПДн.
∙ Международное и российское законодательство.
o Международные правовые акты и обзор зарубежной правоприменительной практики в области защиты физических лиц при автоматизированной обработке персональных данных. o Российское законодательство и нормативно √ методические документы, регулирующие деятельность в сфере обработки персональных данных.
∙ Федеральный Закон ╧ 152 от 27.07.2006 г. "О персональных данных" - как основной нормативно-правовой акт, устанавливающий требования обработки и обеспечения защиты персональных данных.
o Назначение и основные понятия закона "О персональных данных";
o На кого распространяется действия закона, исключения и ограничения;
o Права субъектов ПДн и обязанности операторов;
o Контроль и надзор за обработкой персональных данных;
o Сроки выполнения требований закона и ответственность нарушителей.
∙ Государственные органы, регулирующие деятельность в области обработки ПДн.
o Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
o Федеральные уполномоченные органы (регуляторы) (Россвязькомнадзор; Федеральная служба по техническому и экспортному контролю √ ФСТЭК России; Федеральная служба безопасности √ ФСБ России);
o Нормативно √ методические документы регуляторов, устанавливающие порядок классификации информационных систем персональных данных и регламентирующие порядок проведения работ по обеспечению безопасности персональных данных; ∙ Ответственность за нарушения законодательства. o Основания предъявления претензий оператору персональных данных;
o Нормативно-правовые акты РФ, предусматривающие ответственность за неисполнение требований законодательства и нарушения при обработке персональных данных.
∙ О лицензировании деятельности по технической защите конфиденциальной информации o Персональные данные относятся к сведениям конфиденциального характера;
o Техническая защита конфиденциальной информации как лицензируемый вид деятельности;
o Нормативно-правовая база в области лицензирования деятельности по технической защите конфиденциальной информации;
o Ответственность за проведение работ без соответствующих лицензий.
3. Общие вопросы проведения работ по комплексной защите ПДн.
∙ Действия оператора ПДн по выполнению требований законодательства o Определение целей и содержания обработки ПДн;
o Уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (о намерении осуществлять обработку) персональных данных;
o Создание системы защиты ПДн, адекватной существующим угрозам.
∙ Основные этапы работ по комплексной защите ПДн: o Проведение обследования информационных ресурсов предприятия и определение информационных систем ПДн, подлежащих защите, o Разработка организационно-распорядительных документов, регламентирующих обработку персональных данных в организации;
o Создание системы защиты персональных данных (СЗПДн), в том числе выполнение требований по инженерно-технической защите помещений;
o Аттестация или декларирование соответствия ИСПДн по требованиям безопасности информации.
4. Порядок проведения работ по защите ПДн.
∙ Предпроектное обследование информационной инфраструктуры предприятия в части обработки ПДн.
o Анализ информационных ресурсов предприятия и определение информационных систем ПДн, требующих защиты;
o Анализ уязвимых звеньев и возможных угроз безопасности ПДн;
o Оценка ущерба от реализации угроз безопасности ПДн;
o Анализ имеющихся в распоряжении мер и средств защиты ПДн.
∙ Обоснование требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн.
o Разработка модели угроз безопасности ПДн;
o Разработка модели нарушителя безопасности ПДн;
o Классификация информационных систем ПДн.
∙ Обоснование требований по обеспечению безопасности ПДн с использованием криптосредств ∙ Проведение работ по организации обеспечения безопасности ПДн при их обработке в ИСПДн.
o Разработка и согласование требований к системе защиты персональных данных (СЗПДн) и формулирование задач по защите ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн);
o Выбор способов, мер и средств защиты ПДн в соответствии с мероприятиями по защите;
o Разработка технического задания (ТЗ) на систему защиты ПДн.
∙ Разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.
∙ Развертывание, ввод в эксплуатацию системы защиты ПДн.
∙ Порядок проведения работ по аттестации (сертификации) ИСПДн требованиям информационной безопасности o Сертификация средств защиты информации;
o Аттестация ИСПДн требованиям безопасности ПДн.
5. Общие вопросы согласования документов с регуляторами.
∙ Перечень документов, подлежащих согласованию с регуляторами;
∙ Механизм согласования документов с регуляторами;
∙ Срок действия согласованных документов и механизм внесения изменений в эти документы.
6. Обзор основных мероприятий и программно-аппаратных средств защиты информации, применяемых при создании системы защиты ПДн.
∙ Выявление и закрытие технических каналов утечки ПДн в ИСПДн;
∙ Защита ПДн от несанкционированного доступа и неправомерных действий o управление доступом;
o регистрация и учет;
o обеспечение целостности;
o контроль отсутствия недекларированных возможностей;
o антивирусная защита;
o обеспечение безопасного межсетевого взаимодействия ИСПДн;
o анализ защищенности;
o обнаружение вторжений.
∙ Установка, настройка и применение средств защиты o От физического доступа;
o От утечки по техническим каналам;
o От несанкционированного доступа (НСД);
o От программно-математического воздействия;
o От электромагнитных воздействий.
∙ Обобщение современных подходов к созданию системы защиты персональных данных в компании.
Данный семинар позволит слушателям: ∙ Получить представление о проблематике обработки и обеспечения защиты ПДн в компании;
∙ Ориентироваться в нормативно-правовых актах, регулирующих деятельность в сфере обработки ПДн;
∙ Получить представление о действиях оператора персональных данных, которые он обязан осуществить в установленные законом сроки;
∙ Получить представление о комплексной защите ПДн, состоящей из организационной и технической мер защиты информации;
∙ Правильно составлять внутренние документы компании, регламентирующие вопросы организации обеспечения безопасности ПДн;
∙ Получить представление о порядке проведения работ по организации обеспечения безопасности ПДн при их обработке в ИСПДн, развертывании и вводе в эксплуатацию системы защиты ПДн;
∙ Ориентироваться в вопросах согласования документов с регуляторами и проведения работ по аттестации (сертификации) ИСПДн требованиям информационной безопасности;
∙ Ориентироваться в программно √ аппаратных средствах защиты информации, применяемых в процессе создания системы защиты ПДн.
∙ Благодаря совмещению занятий с отдыхом в комфортной атмосфере, и возможности персонально задать вопросы лекторам, достигается наилучшее усвоение знаний, применение которых позволит в дальнейшем существенно снизить риски сотрудников и предприятия.
РЕГЛАМЕНТ: Пятница, 25 февраля 2011 г.
∙ 10.00 √ 13.00 Консультационные услуги по теме "Актуальные вопросы организации работы с персональными данными" ∙ 13.00 √ 14.30 Обед ∙ 14.30 √ 15.00 Посадка в автобус, отправление в FORESTA FESTIVAL PARK ∙ 17.00 √ 17.30 Заезд и регистрация, размещение в номерах ∙ 17.30 √ 19.00 Свободное время ∙ 19.00 √ 20.30 Ужин в ресторане "Сан-Ремо" ∙ после 21.00 Свободное время: бассейн, сауна, тренажерный зал Суббота, 26 февраля 2011 г.
∙ 10.00 √ 11.00 Завтрак в ресторане "Сан-Ремо" ∙ 11.00 √ 14.00 Консультационные услуги по теме "Актуальные вопросы организации работы с персональными данными" ∙ 14.00 √ 15.00 Обед в ресторане "Сан-Ремо" ∙ 15.00 √ 19.00 Свободное время ∙ 19.00 √ 20.30 Ужин в ресторане "Сан-Ремо" Воскресенье, 27 февраля 2011 г.
∙ 10.00 √ 11.00 Завтрак в ресторане "Сан-Ремо" ∙ 11.00 √ 13.00 Свободное время ∙ 13.00 √ 14.30 Обед в ресторане "Сан-Ремо" ∙ 14.30 √ 15.00 Выезд в Москву |
