Приложение № 1
УЧЕБНАЯ ПРОГРАММА
повышения квалификации специалистов по технической защите информации
«Обеспечение безопасности персональных данных
при их обработке в информационных системах персональных данных»
УЧЕБНЫЙ ПЛАН
Цель обучения: Сформировать у слушателей знания и навыки, необходимые для обеспечения безопасности персональных данных, обрабатываемых в информационных системах государственных, муниципальных органов и организаций различных форм собственности, физических лиц, организующих и (или) осуществляющих обработку персональных данных. Дать практику в разработке нормативных документов, необходимых для эффективного функционирования комплексной системы защиты персональных данных, при их обработке в автоматизированных системах и без использования таковых. Повысить квалификацию руководителей и специалистов подразделений по защите информации. Обеспечить слушателей теоретическими знаниями и практическими навыками, необходимыми при проведении работ по технической защите конфиденциальной информации. Изучить организационно-правовые основы технической защиты конфиденциальной информации. Изучить методы и процедуры выявления угроз безопасности информации на объектах защиты. Изучить методы оценки состояния технической зашиты конфиденциальной информации. Изучить методы и порядок осуществления работ по технической защите конфиденциальной информации, уделив особое внимание обеспечению безопасности персональных данных.Категория обучаемых: Руководители и сотрудники государственных, муниципальных органов и организаций различных форм собственности, физические лица, организующие и (или) осуществляющие обработку персональных данных. Руководители и сотрудники департаментов (отделов, служб) IT и информационной безопасности. Специалисты по защите информации.
Продолжительность обучения: 72 академических часа.
Форма обучения: очная, дневная, с отрывом от работы.
Режим занятий: по 8 академических часов в день.
В том числе № Наименование разделов Всего Формы Практип/п и дисциплин часов контроля Лекции ческие занятия 1. Организационно-правовые основы техни- 10 10 ческой защиты конфиденциальной информации и обеспечения безопасности персональных данных.
2. Выявление угроз и уязвимостей безопас- 26 19 ности персональных данных.
3. Рекомендации и основные мероприятия по 28 16 организации и техническому обеспечению безопасности персональных данных.
4. Обеспечение безопасности персональных 4 3 данных при их обработке без использования средств автоматизации.
Итоговый экзамен 4 0 4 Экзамен Итого: 72 48
УЧЕБНАЯ ПРОГРАММА
ВВЕДЕНИЕ
Учебная программа повышения квалификации специалистов по технической защите информации курса «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» (далее - Учебная программа) разработана для повышения квалификации руководителей и сотрудников государственных, муниципальных органов и организаций различных форм собственности, физических лица, организующих и (или) осуществляющих обработку персональных данных. Руководителей и сотрудников департаментов (отделов, служб) IT и информационной безопасности. Специалистов по защите информации.Настоящая Учебная программа составлена в соответствии с «Требованиями к содержанию дополнительных профессиональных образовательных программ», утвержденными приказом Министерства общего и профессионального образования Российской Федерации от 18 июня 1997 г. № 1221, с учётом содержания работ, выполняемых Управлениями Федеральной службы по техническому и экспортному контролю по федеральным округам.
Нормативная трудоемкость Учебной программы составляет 72 часа, из них 48 часов лекционные и 24 часа практические занятия.
Слушатели, полностью выполнившие программу обучения и успешно сдавшие экзамен, получают удостоверение о краткосрочном повышении квалификации установленного государственного образца.
Поставленная цель достигается решением следующих задач:
изучением организационно-правовых основ технической защиты конфиденциальной информации и обеспечения безопасности персональных данных;
изучением методов и порядка выявления угроз и уязвимостей безопасности персональных данных;
изучением рекомендаций и основных мероприятий по организации и техническому обеспечению безопасности персональных данных;
изучением методов оценки состояния защиты персональных данных.
В результате изучения курса слушатели должны:
иметь представление:
о способах и средствах реализации угроз безопасности информации и их источниках;
об используемых и перспективных способах и средствах обеспечения безопасности персональных данных;
знать:
основные положения правовых и нормативно-методических документов по обеспечению безопасности персональных данных;
внешние и внутренние угрозы и уязвимости для персональных данных при их обработке в информационных системах и без использования средств автоматизации;
методику проведения классификации информационных систем персональных данных;
методы и порядок выявления угроз и уязвимостей безопасности персональных данных;
основы работы с техническими и программными средствами выявления угроз безопасности информации и средствами защиты от этих угроз;
методику разработки перечня актуальных угроз безопасности персональных данных;
рекомендации и основные мероприятия по организации и техническому обеспечению безопасности персональных данных;
основные положения лицензирования деятельности по технической защите конфиденциальной информации, сертификации и аттестации объектов информатизации по требованиям безопасности информации;
уметь:
проводить классификацию информационных систем персональных данных;
определять актуальные угрозы безопасности персональных данных;
разрабатывать уведомительные и нормативные документы, необходимые для эффективной защиты персональных данных в соответствии с требованиями действующего законодательства;
определять комплекс мероприятий по организации и техническому обеспечению безопасности персональных данных;
грамотно оценивать и выбирать программные и технические средства защиты информации, которые могут быть использованы при создании (дооборудовании) и дальнейшей эксплуатации информационных систем персональных данных.
владеть навыками:
работы с правовыми базами данных;
работы с базами данных по объектам защиты и угрозам безопасности информации;
разработки необходимых документов в интересах организации работ по технической защите конфиденциальной информации.
СОДЕРЖАНИЕ ПРОГРАММЫ
РАЗДЕЛ 1. ОРГАНИЗАЦИОННО-ПРАВОВЫЕ ОСНОВЫ ТЕХНИЧЕСКОЙ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Тема 1. Введение. Актуальность проблемы обеспечения безопасности персональных данных. Основные понятия в области технической защиты информации.Общее понятие «персональные данные» в законодательстве Российской Федерации и практика его применения в органах государственной власти и организациях независимо от формы их собственности. Конституция Российской Федерации. Концепция национальной безопасности РФ. Доктрина информационной безопасности РФ. Анализ состояния защищённости персональных данных в государственных, муниципальных органах и организациях различных форм собственности. Общие тенденции формирования чёрного рынка персональных данных в современных условиях. Основные понятия в области технической защиты информации и обеспечения безопасности персональных данных. Уголовная и административная ответственность за нарушения в информационной сфере.
Тема 2. Правовые и организационно-распорядительные документы по технической защите конфиденциальной информации.
Законодательные и иные правовые документы, регламентирующие деятельность по технической защите информации и обеспечению безопасности персональных данных. Федеральные законы «Об информации, информационных технологиях и о защите информации», «О коммерческой тайне», «О персональных данных». Указы Президента Российской Федерации, постановления и распоряжения Правительства РФ, регулирующие вопросы в области технической защиты конфиденциальной информации и обеспечения безопасности персональных данных. Приказы федеральных органов исполнительной власти, определяющие контрольные и надзорные функции за обработкой персональных данных.
Тема 3. Содержание и основные положения Федерального закона «О персональных данных».
Общие положения, основные понятия, принципы и условия обработки персональных данных. Согласие субъекта персональных данных на обработку своих персональных данных. Специальные категории персональных данных. Биометрические персональные данные. Трансграничная передача персональных данных. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных. Права субъекта персональных данных. Обязанности оператора при сборе и обработке персональных данных, при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных, по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных. Уведомление об обработке персональных данных. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований по обеспечению безопасности персональных данных.
Тема 4. Специальные нормативные документы по технической защите конфиденциальной информации и обеспечению безопасности персональных данных.
Хронология принятия, содержание и основные положения Специальных требований и рекомендаций по технической защите конфиденциальной информации, Методических рекомендаций по технической защите информации, составляющей коммерческую тайну, Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Краткий обзор руководящих документов федеральных органов исполнительной власти.
Тема 5. Обзор международных и национальных стандартов по информационной безопасности.
Предыстория разработки, хронология принятия и краткое содержание международных и национальных стандартов информационной безопасности. Проблемы гармонизации международных и российских стандартов обеспечения безопасности информации. Перспективы развития в области стандартизации деятельности по защите информации.
РАЗДЕЛ 2. ВЫЯВЛЕНИЕ УГРОЗ И УЯЗВИМОСТЕЙ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ.Тема 1. Общие положения и классификация угроз безопасности персональных данных.
Понятие «угрозы безопасности информации», «источника угрозы безопасности информации», целостности, конфиденциальности и доступности информации. Обобщённое описание информационной системы персональных данных (ИСПДн), возможных видов неправомерных действий и деструктивных воздействий на персональные данные, а так же основных способов их реализации. Основные элементы ИСПДн. Совокупность методов и способов несанкционированного и (или) случайного доступа к персональным данным, в результате которого возможно нарушение конфиденциальности, целостности и доступности персональных данных. Обобщённая схема канала реализации и классификация угроз безопасности персональных данных.
Тема 2. Угрозы утечки информации по техническим каналам.
Основные элементы описания угроз утечки информации по техническим каналам (источник угрозы, среда распространения информационного сигнала и носитель защищаемой информации). Общая характеристика, классификация и механизмы возникновения технических каналов утечки информации (ТКУИ). Угрозы утечки акустической (речевой) и видовой информации. Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН).
Тема 3. Классификация и характеристики аппаратуры перехвата информации по техническим каналам утечки информации.
Классификация, виды, возможности и общие характеристики устройств несанкционированного получения информации. Обзор и перспективы развития средств негласного съёма информации. Нетрадиционные каналы получения информации.
Тема 4. Методики оценки защищённости конфиденциальной информации от утечки по техническим каналам.
Общие положения методики по оценке защищённости конфиденциальной информации от утечек по акустическим и виброакустическим каналам утечки. Оценка защищённости основных технических средств и систем от утечки информации по электромагнитным каналам. Методика оценки защищённости помещений от утечки речевой информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах. Основы проведения аттестационных испытаний на объектах информатизации.
Тема 5. Средства обнаружения технических каналов утечки информации.
Классификация средств обнаружения технических каналов утечки информации. Назначение, характеристики и общие принципы использования аппаратуры поиска передатчиков. Принципы функционирования специализированных поисковых программно-аппаратных комплексов. Основы применения аппаратуры поиска пассивных закладочных устройств. Универсальные приборы для контроля проводных коммуникаций. Общие принципы функционирования и технические характеристики аппаратуры оценки защищённости помещений от утечки речевой информации по акустическим и виброакустическим каналам.
Тема 6. Комплекс мероприятий по выявлению каналов утечки информации.
Назначение и основы организации комплекса мероприятий по выявлению каналов утечки информации. Общий порядок проведения специальной проверки технических средств. Подготовка и проведение специальных обследований. Общие положения, термины и определения специальных исследований в области защиты речевой и цифровой информации.
Тема 7. Угрозы несанкционированного доступа к информации в информационных системах персональных данных. Характеристика источников угроз НСД и уязвимостей ИСПДн.
Общая классификация угроз несанкционированного доступа к информации в ИСПДн, состав элементов описания этих угроз. Характеристика источников угроз НСД и уязвимостей в информационной системе персональных данных. Классификация и характеристика уязвимостей системного и прикладного программного обеспечения.
Тема 8. Характеристика угроз непосредственного доступа в операционную среду ИСПДн и угроз, реализуемых с использованием протоколов межсетевого взаимодействия.
Общая характеристика угроз связанных с доступом к информации и командам, хранящимся в базовой системе ввода/вывода (BIOS), в операционную среду, в среду функционирования прикладных программ и непосредственно к информации пользователя. Классификация и общие принципы реализации угроз с использованием протоколов межсетевого взаимодействия. Возможные последствия реализации угроз различных классов.
Тема 9. Характеристика угроз программно-математических воздействий и нетрадиционных информационных каналов.
Общее понятие программно-математического воздействия. Классификация программных вирусов и сетевых червей. Основные действия, выполняемые различными вирусами. Методы формирования нетрадиционных информационных каналов. Классификация и краткая характеристика стенографических методов преобразования информации.
Тема 10. Общая характеристика результатов несанкционированного или случайного доступа. Типовые модели угроз безопасности персональных данных.
Виды нарушений к которым приводит реализация угроз несанкционированного доступа к информации. Общая характеристика основных типов информационных систем персональных данных. Разработка модели угроз безопасности персональных данных применительно к конкретным ИСПДн.
Тема 11. Методика аттестационных испытаний системы защиты от несанкционированного доступа.
Выбор методики испытаний и инструментальных тестовых средств контроля. Общее содержание и методика проверки состояния технологического процесса обработки информации, испытания подсистемы контроля доступа, подсистемы регистрации и учета, криптографической подсистемы и подсистемы обеспечения целостности.
Тема 12. Методика определения и разработка перечня актуальных угроз безопасности персональных данных.
Общие положения и порядок определения актуальных угроз безопасности персональных данных в ИСПДн. Практическая разработка перечня актуальных угроз для типовой информационной системы персональных данных
РАЗДЕЛ 3. РЕКОМЕНДАЦИИ И ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Тема 1. Общий порядок организации обеспечения безопасности персональных данных в ИСПДн.Организация работ по защите конфиденциальной информации. Основные этапы, особенности и содержание работ по организации обеспечения безопасности персональных данных в ИСПДн. Содержание и мероприятия проводимые на основных этапах создания системы защиты персональных данных.
Тема 2. Классификация информационных систем персональных данных.
Общие вопросы классификации автоматизированных систем в соответствии с требованиями руководящих документов Гостехкомиссии России. Порядок и основные этапы классификации информационных систем персональных данных. Сбор и анализ исходных данных, необходимых для классификации ИСПДн. Основные категории персональных данных. Документальное оформление результатов классификации ИСПДн. Условия пересмотра класса информационной системы.
Тема 3. Комплекс мероприятий по техническому обеспечению безопасности персональных данных при их обработке в ИСПДн.
Общая характеристика комплекса мероприятий по защите персональных данных при их обработке в ИСПДн от НСД и неправомерных действий. Требования к подсистемам, создаваемым для реализации мероприятий по защите персональных данных от несанкционированного доступа. Требования по защите персональных данных от утечки по различным техническим каналам, реализуемые для основных классов информационных систем персональных данных.
Тема 4. Пассивные и активные методы, используемые для создания системы защиты персональных данных.
Обзор основных пассивных и активных методов, используемых для создания систем защиты информации. Особенности реализации мер, исключающих возможность перехвата информации с использованием технических средств при осуществлении пользователями ИСПДн голосового ввода персональных данных в ИСПДн или воспроизведении их акустическими средствами. Организационные и технические мероприятия по защите информации от утечки за счёт побочных электромагнитных излучений и наводок. Общая теория экранирования, заземления, фильтрации. Использование систем линейного и пространственного зашумления. Защита видовой информации.
Тема 5. Средства защиты информации от утечки по техническим каналам.
Возможности, технические характеристики и особенности применения различных средств защиты информации от утечки по техническим каналам. Рекомендации по выбору необходимых технических средств защиты. Обзор современного рынка средств защиты информации. Документы, необходимые для эксплуатации технических средств защиты.
Тема 6. Организация и обеспечение безопасности персональных данных с использованием шифровальных (криптографических) средств.
Общие положения и организация обеспечения безопасности обработки персональных данных с использованием шифровальных (криптографических) средств. Порядок обращения с криптосредствами и криптоключами к ним. Мероприятия при компрометации криптоключей. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним. Разработка необходимых типовых документов.
Тема 7. Лицензирование деятельности по технической защите конфиденциальной информации.
Обзор правовой базы лицензионной деятельности ФСТЭК и ФСБ России. Структура системы лицензирования ФСТЭК России. Порядок лицензирования, лицензионные требования и условия осуществления деятельности по технической защите конфиденциальной информации. Формы документов ФСТЭК России, используемые при лицензировании деятельности по технической защите конфиденциальной информации.
Тема 8. Сертификация средств защиты информации и аттестация объектов информатизации.
Обзор правовой базы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации. Структура системы сертификации и подсистемы аттестации объектов информатизации по требованиям безопасности информации. Обзор средств защиты подлежащих сертификации. Декларирование соответствия. Объекты информатизации, подлежащие аттестации. Порядок проведения сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации. Программы и методики, разрабатываемые для проведения аттестационных испытаний.
Тема 9. Разработка документов для аттестации объектов информатизации.
Перечень, краткая характеристика, рекомендации по разработке и согласованию документов, разрабатываемых заявителем, для аттестации защищаемых помещений и автоматизированных систем.
Особенности разработки документов для аттестации информационных систем персональных данных.
Тема 10. Уведомление об обработке (о намерении осуществлять обработку) персональных данных.
Правовое обеспечение деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Положение о ведении реестра операторов, осуществляющих обработку персональных данных.
Содержание, рекомендации и практическая разработка образца уведомления об обработке (о намерении осуществлять обработку) персональных данных.
Тема 11. Разработка нормативно-методических документов, необходимых для безопасного функционирования информационной системы персональных данных.
Состав, содержание и рекомендации по разработке нормативно-методических документов оператора, необходимых для выполнения требований законодательства Российской Федерации в области обеспечения безопасности персональных данных. Практическая разработка необходимых документов.
РАЗДЕЛ 4. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ.
Тема 1. Особенности обработки персональных данных без использования средств автоматизации.Общие положения и особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации. Условия использования типовых форм документов. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации.
Тема 2. Требования к материальным носителям биометрических персональных данных и технологиям их хранения вне ИСПДн.
Требования к материальным носителям биометрических персональных данных. Порядок передачи материальных носителей уполномоченным лицам. Обязанности операторов при использовании и хранении материальных носителей биометрических персональных данных.