Вы научитесь
Обучение основам организации и ведения работ по обеспечению безопасности персональных данных, в т.ч. при их обработке в информационных системах персональных данных.
Требования к предварительной подготовке слушателя
Общее представление о правовых, организационных и технических аспектах защиты сведений ограниченного доступа
Аудитория курса
Руководители и специалисты, в чьи должностные обязанности входит организация обработки и защиты персональных данных
Содержание курса
Раздел 1. Введение. Персональные данные в организации (на предприятии)
• Защита персональных данных как реализация конституционных прав граждан на неприкосновенность частной жизни.
• Международное законодательство и национальное законодательство зарубежных стран о защите персональных данных.
• Персональные данные в системе документооборота предприятия. Персональные данные в автоматизированных системах и приложениях.
Раздел 2. Основные понятия Федерального закона "О персональных данных"
• Содержание категории "персональные данные".
• Область применения закона. Ограничения.
• Обработка персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
• Принципы обработки персональных данных.
• Условия обработки персональных данных. Согласие субъекта. Согласие в письменной форме.
• Общедоступные, подлежащие опубликованию или обязательному раскрытию персональные данные.
• Биометрические персональные данные.
• Трансграничная передача персональных данных. Страны, обеспечивающие адекватную защиту прав субъектов персональных данных.
• Специальные категории персональных данных и особенности их обработки.
• Права субъектов персональных данных и их соблюдение при обработке.
• Обязанности оператора персональных данных.
• Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных законом.
• Уведомления об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных.
• Ответственность за нарушение требований по обращению с персональными данными. Практика правоприменения.
Раздел 3. Работа с персональными данными на предприятии (в организации)
• Мероприятия по защите сведений ограниченного доступа. Практические шаги по приведению порядка обработки в соответствие с требованиями законодательства.
• Ограничение доступа к персональным данным. Учет лиц, допущенных к персональным данным. Определение порядка обращения с такими сведениями, контроля за его соблюдением.
• Локальные акты по вопросам обработки персональных данных, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений, их содержание, порядок разработки и ввода в действие.
• Особенности обработки персональных данных, осуществляемой без использования средств автоматизации.
• Подготовка уведомлений об обработке персональных данных в уполномоченный орган.
Раздел 4. Техническая защита персональных данных в информационных системах
• Требования Федерального закона "О персональных данных" и Постановления Правительства РФ 2012 г. № 1119 к обеспечению безопасности персональных данных.
• Уровни защищенности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) в зависимости от угроз безопасности этим данным, категорий персональных данных и количества субъектов, чьи данные обрабатываются в ИСПДн.
• Модель угроз персональным данным. Базовая модель угроз. Перечень источников угроз. Уровень исходной защищенности. Методика актуализации угроз.
• Каналы утечки информации при обработке персональных данных в информационных системах.
• Построение системы защиты персональных данных. Положения Приказа ФСТЭК 2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", определение базовых, адаптивных и компенсирующих мер защиты.
Раздел 5. Лицензирование деятельности по технической защите конфиденциальной информации
• Понятие технической защиты как лицензируемого вида деятельности.
• Лицензионные требования.
• Ответственность за незаконную деятельность в области защиты информации.
• Незаконное предпринимательство.
• Оценка и управление риском, связанным с отсутствием лицензии.
Раздел 6. Аутсорсинг обработки персональных данных и их технической защиты
• Требования, выдвигаемые законом к порядку обработки персональных данных внешней организацией, содержание договора на обработку персональных данных.
• Передача внешней организации функций технической защиты персональных данных.
• Достоинства и недостатки аутсорсинга обработки персональных данных и их защиты.
Раздел 7. Контроль и надзор за соблюдением законодательства о персональных данных
• Система государственного контроля и надзора за обеспечением безопасности персональных данных.
• Область применения Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении госконтроля (надзора) и муниципального контроля" и регулируемые им вопросы.
• Принципы защиты прав юридических лиц, индивидуальных предпринимателей при осуществлении государственного контроля (надзора).
• Порядок планирования, организации и проведения проверок.
• Права и обязанности проверяемых и проверяющих.
• Меры, принимаемые должностными лицами органа госконтроля (надзора) при выявлении фактов нарушений
