Ведущие семинара: Барбашев Сергей Анатольевич - эксперт по безопасности, автор и преподаватель курса "Безопасность и управление доступом в информационных системах" в Московском государственном университете экономики, статистики и информатики, преподаватель курса "Корпоративная безопасность" в Академии народного хозяйства при Правительстве РФ, Российском Новом Университете (программа МВА). Панкратьев Вячеслав Вячеславович √ специалист в области безопасности бизнеса, преподаватель-консультант по вопросам корпоративной безопасности, автор и ведущий обучающих программ (MBA, Executive MBA, открытые семинары, корпоративные мероприятия, индивидуальные консультации) по проблемам безопасности бизнеса в Академии народного хозяйства при Правительстве РФ, Государственном университете управления, Московской бизнес-школе, учебных центрах SRC, Тандем-форум и других учебных заведений, автор книг и методических пособий по безопасности предпринимательской деятельности Цель семинара: Формирование у слушателей: ∙ системно-целостного видения проблем обработки и обеспечения безопасности персональных данных в компании; ∙ понимания необходимости обеспечения защиты персональных данных; ∙ понимания природы возникновения угроз безопасности персональным данным и возможные риски в случае реализации этих угроз; ∙ умений практической реализации организационных и технических мероприятий по защите персональных данных. ∙ анализ основных проблем обработки и обеспечения безопасности персональных данных в компании; ∙ анализ международного, российского законодательства и нормативно-методической базы в области защиты персональных данных; ∙ изучение действий оператора персональных данных по приведению своих информационных систем персональных данных в соответствие с требованиями законодательства; ∙ изучение основных этапов проведения работ по созданию комплексной системы защиты персональных данных и подготовка алгоритмов решений, исходя из существующих угроз; ∙ изучение программно-аппаратных средств защиты информации, в том числе средств криптографии (шифрования); ∙ обобщение современных подходов к созданию системы защиты персональных данных в компании. Аудитория: ∙ руководители (первые лица) компаний; ∙ менеджеры среднего и высшего звена; ∙ сотрудники юридической и кадровой служб; ∙ руководители и сотрудники Служб безопасности; ∙ специалисты по информационной безопасности; ∙ сотрудники ИТ подразделений. Программа мероприятия: 1. Общие вопросы обработки и обеспечения защиты ПДн в компании. ∙ Персональные данные в каждой компании: какая информация относится к этой категории данных; кто является оператором персональных данных; что такое обработка персональных данных; ∙ Перечень стандартных информационных систем ПДн компании, в которых обрабатываются персональные данные o автоматизированная и неавтоматизированная обработка ПДн в компании; o локальные и распределенные информационные системы ПДн; o трансграничная передача персональных данных. ∙ Защита персональных данных: o неприкосновенность частной жизни граждан гарантирована Конституцией РФ и находится под защитой государства; o защита ПДн - как прямая обязанность операторов ПДн в соответствии с требованиями Федерального Закона ╧152 "О персональных данных"; o сроки выполнения требований законодательства; ∙ Ответственность оператора за неисполнение требований законодательства и нарушения обработки ПДн. 2. Международное и российское законодательство в области обработки ПДн. ∙ Международное и российское законодательство. o Международные правовые акты и обзор зарубежной правоприменительной практики в области защиты физических лиц при автоматизированной обработке персональных данных. o Российское законодательство и нормативно √ методические документы, регулирующие деятельность в сфере обработки персональных данных. ∙ Федеральный Закон ╧ 152 от 27.07.2006 г. "О персональных данных" - как основной нормативно-правовой акт, устанавливающий требования обработки и обеспечения защиты персональных данных. o Назначение и основные понятия закона "О персональных данных"; o На кого распространяется действия закона, исключения и ограничения; o Права субъектов ПДн и обязанности операторов; o Контроль и надзор за обработкой персональных данных; o Сроки выполнения требований закона и ответственность нарушителей. ∙ Государственные органы, регулирующие деятельность в области обработки ПДн. o Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"; o Федеральные уполномоченные органы (регуляторы) (Россвязькомнадзор; Федеральная служба по техническому и экспортному контролю √ ФСТЭК России; Федеральная служба безопасности √ ФСБ России); o Нормативно √ методические документы регуляторов, устанавливающие порядок классификации информационных систем персональных данных и регламентирующие порядок проведения работ по обеспечению безопасности персональных данных; ∙ Ответственность за нарушения законодательства. o Основания предъявления претензий оператору персональных данных; o Нормативно-правовые акты РФ, предусматривающие ответственность за неисполнение требований законодательства и нарушения при обработке персональных данных. ∙ О лицензировании деятельности по технической защите конфиденциальной информации o Персональные данные относятся к сведениям конфиденциального характера; o Техническая защита конфиденциальной информации как лицензируемый вид деятельности; o Нормативно-правовая база в области лицензирования деятельности по технической защите конфиденциальной информации; o Ответственность за проведение работ без соответствующих лицензий. 3. Общие вопросы проведения работ по комплексной защите ПДн. ∙ Действия оператора ПДн по выполнению требований законодательства o Определение целей и содержания обработки ПДн; o Уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (о намерении осуществлять обработку) персональных данных; o Создание системы защиты ПДн, адекватной существующим угрозам. ∙ Основные этапы работ по комплексной защите ПДн: o Проведение обследования информационных ресурсов предприятия и определение информационных систем ПДн, подлежащих защите, o Разработка организационно-распорядительных документов, регламентирующих обработку персональных данных в организации; o Создание системы защиты персональных данных (СЗПДн), в том числе выполнение требований по инженерно-технической защите помещений; o Аттестация или декларирование соответствия ИСПДн по требованиям безопасности информации. 4. Порядок проведения работ по защите ПДн. ∙ Предпроектное обследование информационной инфраструктуры предприятия в части обработки ПДн. o Анализ информационных ресурсов предприятия и определение информационных систем ПДн, требующих защиты; o Анализ уязвимых звеньев и возможных угроз безопасности ПДн; o Оценка ущерба от реализации угроз безопасности ПДн; o Анализ имеющихся в распоряжении мер и средств защиты ПДн. ∙ Обоснование требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн. o Разработка модели угроз безопасности ПДн; o Разработка модели нарушителя безопасности ПДн; o Классификация информационных систем ПДн. ∙ Обоснование требований по обеспечению безопасности ПДн с использованием криптосредств ∙ Проведение работ по организации обеспечения безопасности ПДн при их обработке в ИСПДн. o Разработка и согласование требований к системе защиты персональных данных (СЗПДн) и формулирование задач по защите ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн); o Выбор способов, мер и средств защиты ПДн в соответствии с мероприятиями по защите; o Разработка технического задания (ТЗ) на систему защиты ПДн. ∙ Разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн. ∙ Развертывание, ввод в эксплуатацию системы защиты ПДн. ∙ Порядок проведения работ по аттестации (сертификации) ИСПДн требованиям информационной безопасности o Сертификация средств защиты информации; o Аттестация ИСПДн требованиям безопасности ПДн. 5. Общие вопросы согласования документов с регуляторами. ∙ Перечень документов, подлежащих согласованию с регуляторами; ∙ Механизм согласования документов с регуляторами; ∙ Срок действия согласованных документов и механизм внесения изменений в эти документы. 6. Обзор основных мероприятий и программно-аппаратных средств защиты информации, применяемых при создании системы защиты ПДн. ∙ Выявление и закрытие технических каналов утечки ПДн в ИСПДн; ∙ Защита ПДн от несанкционированного доступа и неправомерных действий o управление доступом; o регистрация и учет; o обеспечение целостности; o контроль отсутствия недекларированных возможностей; o антивирусная защита; o обеспечение безопасного межсетевого взаимодействия ИСПДн; o анализ защищенности; o обнаружение вторжений. ∙ Установка, настройка и применение средств защиты o От физического доступа; o От утечки по техническим каналам; o От несанкционированного доступа (НСД); o От программно-математического воздействия; o От электромагнитных воздействий. ∙ Обобщение современных подходов к созданию системы защиты персональных данных в компании. Данный семинар позволит слушателям: ∙ Получить представление о проблематике обработки и обеспечения защиты ПДн в компании; ∙ Ориентироваться в нормативно-правовых актах, регулирующих деятельность в сфере обработки ПДн; ∙ Получить представление о действиях оператора персональных данных, которые он обязан осуществить в установленные законом сроки; ∙ Получить представление о комплексной защите ПДн, состоящей из организационной и технической мер защиты информации; ∙ Правильно составлять внутренние документы компании, регламентирующие вопросы организации обеспечения безопасности ПДн; ∙ Получить представление о порядке проведения работ по организации обеспечения безопасности ПДн при их обработке в ИСПДн, развертывании и вводе в эксплуатацию системы защиты ПДн; ∙ Ориентироваться в вопросах согласования документов с регуляторами и проведения работ по аттестации (сертификации) ИСПДн требованиям информационной безопасности; ∙ Ориентироваться в программно √ аппаратных средствах защиты информации, применяемых в процессе создания системы защиты ПДн. ∙ Благодаря совмещению занятий с отдыхом в комфортной атмосфере, и возможности персонально задать вопросы лекторам, достигается наилучшее усвоение знаний, применение которых позволит в дальнейшем существенно снизить риски сотрудников и предприятия. РЕГЛАМЕНТ: Пятница, 25 февраля 2011 г. ∙ 10.00 √ 13.00 Консультационные услуги по теме "Актуальные вопросы организации работы с персональными данными" ∙ 13.00 √ 14.30 Обед ∙ 14.30 √ 15.00 Посадка в автобус, отправление в FORESTA FESTIVAL PARK ∙ 17.00 √ 17.30 Заезд и регистрация, размещение в номерах ∙ 17.30 √ 19.00 Свободное время ∙ 19.00 √ 20.30 Ужин в ресторане "Сан-Ремо" ∙ после 21.00 Свободное время: бассейн, сауна, тренажерный зал Суббота, 26 февраля 2011 г. ∙ 10.00 √ 11.00 Завтрак в ресторане "Сан-Ремо" ∙ 11.00 √ 14.00 Консультационные услуги по теме "Актуальные вопросы организации работы с персональными данными" ∙ 14.00 √ 15.00 Обед в ресторане "Сан-Ремо" ∙ 15.00 √ 19.00 Свободное время ∙ 19.00 √ 20.30 Ужин в ресторане "Сан-Ремо" Воскресенье, 27 февраля 2011 г. ∙ 10.00 √ 11.00 Завтрак в ресторане "Сан-Ремо" ∙ 11.00 √ 13.00 Свободное время ∙ 13.00 √ 14.30 Обед в ресторане "Сан-Ремо" ∙ 14.30 √ 15.00 Выезд в Москву |