Дополнительная профессиональная программа «Обеспечение безопасности персональных данных при обработке в ИС персональных данных»
ДОПОЛНИТЕЛЬНАЯ ПРОФЕССИОНАЛЬНАЯ ПРОГРАММА
ПОВЫШЕНИЯ КВАЛИФИКАЦИИ
(с использованием ресурсов ЭОР и ДОТ)
«ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ»
г. Тюмень, 2019 год
ДОПОЛНИТЕЛЬНАЯ ПРОФЕССИОНАЛЬНАЯ ПРОГРАММА
ПОВЫШЕНИЯ КВАЛИФИКАЦИИ
«ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ»
Цели реализации программы
Программа повышения квалификации направлена на обучение лиц, имеющих и (или) получающих среднее профессиональное и (или) высшее образование,различного возраста для совершенствования и (или) получения новой компетенции, необходимой для профессиональной деятельности, и (или) повышения профессионального уровня в рамках имеющейся квалификации, в том числе для работы с конкретным оборудованием, технологиями, аппаратно-программными и иными профессиональными средствами.
Цель обучения по программе: обеспечить слушателей теоретическими знаниями и практическими навыками планирования, организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах в условиях существования угроз безопасности информации.
Требования к результатам повышения квалификации. Планируемые результаты повышения квалификации.
2.1. Характеристика новойкомпетенции, трудовых функций и (или) уровней квалификации.
Программа предназначена для совершенствования и (или) получения новой компетенции, необходимой для профессиональной деятельности, и (или) повышения профессионального уровня в рамках имеющейся квалификации и разработана в соответствии с:
профессиональным стандартом 06.030 Специалист по защите информации в телекоммуникационных системах и сетях, Зарегистрированный в Министерстве юстиции Российской Федерации 25 ноября 2016 года, регистрационный N 44449
Медицинские ограничения регламентированы Перечнем медицинских противопоказаний Министерства здравоохранения и социального развития РФ.
Требования к результатам освоения программы
В результате освоения программы слушатель должен:
Знать:
З-1 основные виды угроз безопасности персональных данных;
З-2 физическую природу и причины возникновения технических каналов утечки информации при её обработке в информационных системах персональных данных;
З-3 содержание основных нормативных актов, регламентирующих порядок организации работ по обеспечению безопасности персональных данных;
З-4 основные положения по категорированию и обоснованию требований по защите информации в информационных системах персональных данных;
З-5 методы и процедуры выявления угроз безопасности персональных данных;
З-6 содержание и порядок организации работ по выявлению угроз безопасности персональных данных,
З-7 организацию контроля и оценки степени безопасности персональных данных при их обработке в информационных системах персональных данных;
Уметь:
У-1 планировать организацию мероприятий по обеспечению защиты персональных данных;
У-2 разрабатывать необходимые документы в интересах организации работ по обеспечению защиты персональных данных;
У-3 производить категорирование персональных данных и обосновывать требования по защите информации в информационных системах персональных данных;
У-4 использовать методики оценки актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Владеть трудовыми действиями(ТД1):
ТД1Ведение документов учета, обработки, хранения и передачи информации, составляющей тайну
ТД2Информирование персонала о правилах эксплуатации системы защиты автоматизированной системы и отдельных средств защиты информации
ТД3 Уничтожение информации, обрабатываемой автоматизированной системой
ТД4Архивирование информации, обрабатываемой автоматизированной системой
ТД5 Управление полномочиями пользователей автоматизированной системы
ТД6Принятие мер защиты информации при выявлении новых угроз безопасности информации
Содержание программы
Категория слушателей: специалисты органов государственной власти, местного самоуправления, организаций и учреждений, осуществляющие разработку и эксплуатацию автоматизированных информационных систем, обеспечивающих обработку, хранение и передачу персональных данных.
Трудоемкость обучения:72ак. часов.
Форма обучения: очная, с использованием дистанционных образовательных технологий
3.1. Учебный план
№ | Наименование учебных курсов, дисциплин, модулей, практик | Всего, академических часов | В том числе | промежуточный и итоговый контроль | консультации | |||||||
Теоретические занятия | Практические занятия | Лабораторные занятия | ||||||||||
Ауд. | Он-лайн | Ауд. | Он-лайн | |||||||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | |||
| (ниже прописать разделы, темы) | | | | | | | | | |||
1. | Общие вопросы технической защиты информации | 40 | | | 4 | | | | | |||
1.1 | Правовые и организационно-распорядительные документы в области технической защиты информации. | 8 | | 8 | | | | | | |||
1.2 | Выявление угроз безопасности информации на объектах информатизации, основные организационные меры, технические и программные средства защиты информации от несанкционированного доступа | 16 | | 14 | 2 | | | | | |||
1.3 | Основные организационные меры, технические средства защиты информации от утечки по техническим каналам на объектах информатизации и в защищаемых помещениях. | 16 | | 14 | 2 | | | | | |||
2. | Организация обеспечения защиты персональных данных в информационных системах персональных данных. | 20 | | 20 | | | | | | |||
2.1 | Угрозы безопасности персональных данных при их обработке в информационных системах персональных данных | 8 | | 8 | | | | | | |||
2.2 | Основы организации и ведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. | 6 | | 6 | | | | | | |||
2.3 | Рекомендации по обеспечению безопасности и контролю безопасности персональных данных при их обработке в информационных системах персональных данных | 6 | | 6 | | | | | | |||
3 | Организация обеспечения защиты персональных данных с использованием криптосредств | 4 | | 4 | | | | | | |||
3.1 | Рекомендации по обеспечению с помощью криптосредств безопасности персональных данных | 2 | | 2 | | | | | | |||
3.2 | Требования по организации и обеспечению функционирования шифровальных (криптографических) средств в случае их использования для обеспечения безопасности персональных данных. | 2 | | 2 | | | | | | |||
4 | Обеспечение безопасности персональных данных при их обработке без использования средств автоматизации. Биометрическиеперсональныеданные. | 4 | | 4 | | | | | | |||
4.1 | Обеспечение безопасности персональных данных при их обработке без использования средств автоматизации. | 2 | | 2 | | | | | | |||
4.2 | Биометрическиеперсональныеданные. | 2 | | 2 | | | | | | |||
| зачет | 4 | | | | | | | | |||
| ИТОГО: | 72 | | | | | | | |
3.2. Учебно-тематический план
| Наименование учебных курсов, дисциплин, модулей, разделов и тем практик | Содержание учебного материала, практические занятия | Объемчасов (аудиторно) | Объемчасов (он-лайн) | Формируемыеумения/ знания/ПК |
| | | | | |
1. | Раздел 1. Общие вопросы технической защиты информации | ||||
| Тема 1.1. Правовые и организационно-распорядительные документы в области технической защиты информации. | Содержание | | 8 | 3-1 3-2 З-3 |
Стратегия национальной безопасности Российской Федерации | |||||
Доктрина информационной безопасности Российской Федерации. Концептуальныеосновызащиты информации | |||||
Законодательные и иные правовые акты, регулирующие вопросы защиты информации | |||||
Задачи и функции Федеральной службы по техническому и экспортному контролю (ФСТЭК России) | |||||
Сертификация средств защиты информации, аттестация объектов информатизации по безопасности информации | |||||
| Тема 1.2. Выявление угроз безопасности информации на объектах информатизации, основные организационные меры, технические и программные средства защиты информации от несанкционированного доступа | Содержание | 2 | 16 | З-4 З-5 З-6 У-1 |
Целостность, конфиденциальность и доступность информации. | |||||
Классификационная схема угроз безопасности информации и их общая характеристика. | |||||
Особенности проведения комплексного исследования объектов информатизации на наличие угроз безопасности информации. | |||||
Характеристика основных классов атак, реализуемых в сетях общего пользования | |||||
Порядок обеспечения защиты информации при эксплуатации автоматизированных систем | |||||
Практическое занятие: Защита информации при работе с системами управления базами данных. | |||||
Основные требования и рекомендации по защите персональных данных | |||||
Основные рекомендации по защите информации, составляющей коммерческую тайну. | |||||
| Тема 1.3. Основные организационные меры, технические средства защиты информации от утечки по техническим каналам на объектах информатизации и в защищаемых помещениях. | Содержание | 2 | 14 | З-7 У-1 У-2 У-3 У-4 |
Причины и физические явления, порождающие технические каналы утечки информации (ТКУИ) при эксплуатации объектов информатизации и защищаемых помещений. | |||||
Классификация ТКУИ. | |||||
Методы и средства выявления ТКУИ на типовом объекте информатизации и в защищаемых помещениях | |||||
Практическое занятие: Защита информации, циркулирующей в системах звукоусиления и звукового сопровождения видео-кинофильмов | |||||
| Раздел 2 Организация обеспечения защиты персональных данных в информационных системах персональных данных. | ||||
| Тема 2.1. Угрозы безопасности персональных данных при их обработке в информационных системах персональных данных | Содержание | | 8 | З-5 З-6 У-3 У-4 |
Принципы обработки персональных данных и права субъекта персональных данных. | |||||
Основные принципы обеспечения безопасности персональных данных | |||||
Методы и способы защиты информации в информационных системах персональных данных. | |||||
Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных. | |||||
| Тема 2.2. Основы организации и ведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. | Содержание | | 6 | |
Понятие «уровня важности» информационных систем персональных данных в зависимости от характера и объема обрабатываемых в них персональных данных | |||||
Описание пакетов обязательных требований по обеспечению безопасности для информационных систем персональных данных | |||||
Перечень основных этапов при организации работ по обеспечению безопасности персональных данных | |||||
| Тема 2.3. Рекомендации по обеспечению безопасности и контролю безопасности персональных данных при их обработке в информационных системах персональных данных | Содержание | | 6 | З-6 |
Комплекс организационных и технических мероприятий в рамках подсистемы защиты персональных данных | |||||
Возможные варианты реализации мероприятий по защите персональных данных с использованием существующих сертифицированных средств защиты информации | |||||
Виды, формы и способы контроля защиты персональных данных в информационных системах обработки персональных данных | |||||
| Раздел 3Организация обеспечения защиты персональных данных с использованием криптосредств | ||||
| Тема 3.1. Рекомендации по обеспечению с помощью криптосредств безопасности персональных данных | Содержание | | 2 | З-7 |
Общие положения и организация обеспечения безопасности обработки персональных данных с использованием шифровальных (криптографических) средств | |||||
| Тема 3.2. Требования по организации и обеспечению функционирования шифровальных (криптографических) средств в случае их использования для обеспечения безопасности персональных данных. | Содержание | | 2 | З-7 |
Порядок обращения с криптосредствами и криптоключами к ним | |||||
Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним. | |||||
Мероприятия при компрометации криптоключей | |||||
| Раздел 4 Обеспечение безопасности персональных данных при их обработке без использования средств автоматизации. Биометрические персональные данные. | ||||
| Тема 4.1.Обеспечение безопасности персональных данных при их обработке без использования средств автоматизации | Содержание | | 2 | З-5 У-1 |
Условия использования .типовых форм документов. | |||||
Меры по обеспечению безопасности персональных данных при обработке, осуществляемой без использования средств автоматизации | |||||
| Тема 4.2.Биометрическиеперсональныеданные | Содержание | | 2 | З-5 У-4 |
Требования к материальным носителям биометрических персональных данных | |||||
Порядок передачи материальных носителей уполномоченным лицам | |||||
Обязанности операторов при использовании и хранении материальных носителей биометрических персональных данных. | |||||
| зачет | | 4 | | |
| | Всего | 8 | 60 | |
3.3. Календарный учебный график
(порядок освоения модулей, разделов, дисциплин)
Период обучения | Наименование раздела, модуля |
1 неделя | Раздел 1. |
2 неделя | Раздел 2. |
3 неделя | Раздел 3. Раздел 4 |
4 неделя | Консультация Итоговая аттестация |
+ Точный порядок реализации разделов, модулей (дисциплин) обучения определяется в расписании занятий. |
Материально-технические условия реализации программы
Наименование помещения | Видзанятий | Наименование оборудования, программного обеспечения |
1 | 2 | 3 |
| Теоретические занятия, консультации, промежуточная аттестация | -Рабочее место преподавателя -1; -рабочие места обучающихся – 15 шт.; -компьютер, МФУ - маркерная доска; |
| Практические, | Общее оснащение рабочих мест Оборудование: ПК |
| Итоговая аттестация - | Общее оснащение рабочих мест Оборудование: Инструменты: Расходные материалы: |
Учебно-методическое обеспечение программы
Законодательные и нормативные документы:
Закон Российской Федерации от 05.03.1992 № 2446-1 «О безопасности» (с изменениями на 5 октября 2015 года)
Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании» (с изменениями на 29 июля 2017 года)
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями на 1 мая 2019 года)
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями на 31 декабря 2017 года)
Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (ТК РФ) (с изменениями на 2 августа 2019 года), гл. 14. Защита персональных данных работника (ст.ст. 85-90)/Раздел Ш. Трудовой договор (ст.ст. 5690). Часть третья (ст.ст. 55-250)
ГОСТ Р ИСО/МЭК 15408-1-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Часть 1. Введение и общая модель (на основе прямого применения международного стандарта исомэк 15408:99).
ГОСТ Р ИСО/МЭК 15408-2-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Часть 2. Функциональные требования безопасности (на основе прямого применения международного стандарта ИСО/МЭК 15408:99).
ГОСТ Р ИСО/МЭК 15408-3-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Часть З. Требования доверия к безопасности (на основе прямого применения международного стандарта исомэк 15408:99).
ГОСТ Р ИСО/МЭК 17799-2005 «Информационные технологии. Практические правила управления информационной безопасностью».
ГОСТ Р ИСО/МЭК 27001-2006 «Информационные технологии. Методы и средства обеспечения безопасности. Системаменеджментаинформационнойбезопасности. требования».
ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основныеположения».
ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатурапоказателейкачества».
ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».
ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» (взамен ГОСТ Р 51275-96).
ГОСТ Р 52863-2007 «Защита информации. Автоматизированные системы в защищённом исполнении. Испытания на устойчивость к намеренным силовым электромагнитным воздействиям. Общие требования».
Основная литература:
Нестеров, С. А.Информационная безопасность— М. : Издательство Юрайт,2017. — 321 с.
Бабаш, А.В. Информационная безопасность: Лабораторный практикум / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2019. - 432 c.
Баранова, Е.К. Информационная безопасность и защита информации: Учебное пособие / Е.К. Баранова, А.В. Бабаш. - М.: Риор, 2018. - 400 c.
Гришина, Н.В. Информационная безопасность предприятия: Учебное пособие / Н.В. Гришина. - М.: Форум, 2018. - 118 c.
Дополнительная литература:
Кузнецова, А.В. Искусственный интеллект и информационная безопасность общества / А.В. Кузнецова, С.И. Самыгин, М.В. Радионов. - М.: Русайнс, 2017. - 64 c.
Электронные ресурсы:
Консорциум «Кодекс» [Электронный ресурс], Режим доступа: https://kodeks.ru/
Оценка качества освоения программы
Промежуточная аттестация по программе предназначена для оценки результатов освоения слушателем модулей (разделов, дисциплин) программы и проводится в виде зачета. По результатам любого из видов промежуточной аттестации, выставляются отметки по двухбалльной «зачтено», «не зачтено»или
Итоговая аттестация (если предусмотрено) включает в себя:
тестирование.
Какой документ определяет требования к защите персональных данных при их обработке в информационных системах персональных данных:
а. Постановление от 1 ноября 2012 г. N 1119;
Ь. Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21;
с. ФЗ -152 ”О персональных данных”.
Информационная система обрабатывающая персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных является:
а. информационной системой, обрабатывающей специальные категории персональных данных;
Ь. информационной системой, обрабатывающей биометрические персональные данные;
с. информационной системой, обрабатывающей общедоступные персональные данные;
d. информационной системой, обрабатывающей иные категории персональных данных.
В каком случае фотографию можно отнести к биометрическим персональным данным?
а. В случае если эта фотография находится в личном деле;
Ь. В случае если фотография зарегистрирована в СКУД (система контроля управления доступом);
с. В случае если эта фотография сделана в публичном месте.
Среда переноса от субъекта к объекту атаки (а, возможно, и от объекта к субъекту атаки) действий, осуществляемых при проведении атаки — это...
а. канал атаки;
Ь. атака;
с. контролируемаязона
Угрозы безопасности могут быть реализованы двумя путями:
а. через технические каналы утечки;
Ь. путемнесанкционированногодоступа
Информационная система обрабатывающая персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных является:
а. информационной системой, обрабатывающей специальные категории персональных данных;
Ь. информационной системой, обрабатывающей биометрические персональные данные;
с. информационной системой, обрабатывающей общедоступные персональные данные;
d. информационной системой, обрабатывающей иные категории персональных данных.
Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных определяет документ:
а. Постановление от 1 ноября 2012 г. 119;
Ь. Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21;
с. ФЗ -152 ”О персональных данных”.
Технический канал утечки информации — это.. „
а. совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация;
а. совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;
Ь. совокупность программных и техническую элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Угрозы безопасности персональных данных — это.
а. совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация;
Ь. совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;
с. совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Сведения, которые характеризуют физиологические особенности человека, и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию — это...
а. Биометрические персональные данные; Ь. Специальные персональные данные;
с. Общедоступныеперсональныеданные.
Какие действия можно производить с персональными данными?
а. чтение и рассылка;
Ь. хранение, уничтожение;
с. обезличивание, блокирование;
d. фасовка и упаковка.
Сопоставьте персональные данные с их видами
1. общедоступные | а)медицинскаякарта |
2. биометрические | b) фамилия, имя, отчество |
З. особаякатегория | с) сведения полученные на полиграфе |
4. не относятся ни к одному из видов | d) нечеткоеизображение |
Может ли являться оператором персональных данных физическое лицо?
а. да
Ь. нет
Составители программы
Щедрина Елена Геннадьевна, преподаватель, ГАПОУ ТО «ТКПСТ»