Техническая защита персональных данных

Настоящая профессиональная образовательная программа предназначена для повышения квалификации специалистов предприятий, учреждений и организаций Российской Федерации по защите персональных данных и обеспечению безопасности объектов информатизации предприятий (учреждений, организаций) и определяет структуру и содержание (72 часовой) профессиональной образовательной программы «Техническая защита персональных данных ».
Основной целью данной программы является обеспечение заданного уровня знаний и навыков по организации и проведению мероприятий по технической защите персональных данных, специалистов предприятий, учреждений и организаций Российской Федерации
В процессе изучения программы решаются следующие задачи:

  • усвоение слушателями необходимости проведения на предприятии, в учреждении, организации мероприятий по технической защите персональных данных;
  • получение слушателями прочных знаний по организационно-правовым основам технической защиты персональных данных на предприятии, в учреждении, организации;
    формирование у слушателей навыков планирования и организации работ по ТЗ персональных данных на предприятии, в учреждении, организации.

Перечень требований к компетентности слушателей по итогам обучения:
иметь представление:

  • об основных понятиях и директивных документах в области обеспечения безопасности персональных данных;
  • об угрозах безопасности информации и технических каналах утечки персональных данных;
    об основах обеспечения безопасности персональных данных на предприятии, в учреждении, организации в настоящее время;
  • о способах и средствах ТЗ персональных данных;

знать:

  • содержание основных законодательных и правовых актов в области ТЗ персональных данных и перспективы их дальнейшей разработки;
  • содержание нормативных и методических документов в области ТЗ персональных данных;
    технические каналы утечки персональных данных, возникающие при ее обработке и передаче;
    методологические основы и методики оценки опасности угроз утечки персональных данных по различным техническим каналам;
  • характеристики различных типов информативных сигналов, содержащих информацию о персональных данных (акустических, виброакустических, электрических, электромагнитных), и средств их негласного съема;
  • систему организации комплексной защиты персональных данных, действующей в учреждении, организации, на предприятии;
  • перспективные направления развития технических методов и средств защиты персональных данных, программно-аппаратных средств защиты информации от несанкционированного доступа (НСД), методов и средств защиты информации (носителей информации) от специальных воздействий;
  • цели, задачи, основные принципы организации, методы и средства ведения контроля состояния защищенности персональных данных на предприятии, в учреждении, организации;
    основы методологии и методики проведения ТЗИ на предприятии, в учреждении, организации;
     

уметь:

  • реализовывать с учетом особенностей функционирования предприятия, учреждения, организации требования нормативных и методических руководящих документов, а также действующего законодательства по вопросам защиты персональных данных;
  • организовывать деятельность подразделений, служб и специалистов по защите персональных данных на предприятии, в учреждении, в организации;
  • разрабатывать необходимую документацию по вопросам организации эффективной ТЗ персональных данных ограниченного доступа на предприятии, в учреждении, в организации;
    организовывать контроль и оценку состояния защищенности персональных данных на предприятии, в учреждении, в организации;

иметь навыки:

  • работы с нормативными правовыми актами в области ТЗ персональных данных на предприятии, в учреждении, в организации;
  • работы с правовыми базами данных по объектам защиты, угрозам БИ на предприятии, в учреждении, в организации;
  • разработки необходимых документов в интересах организации работ по ТЗ персональных данных.


Организация учебного процесса.


Виды занятий: лекции, семинары, практические занятия, индивидуальные занятия, самостоятельная подготовка.
Количество часов - 72 часа.
Режим занятий - 9.00-18.00, обед 13.50 - 14.30. В конце каждого учебного дня - самостоятельные занятия по контрольным вопросам.
Раздел I. Правовые и теоретические основы технической защиты информации ограниченного доступа
Тема 1. Нормативно- правовое обеспечение защиты персональных данных
Организационная структура и компетенция ветвей государственной власти, виды обеспечения информационной безопасности.
Структура, функции и задачи структурных подразделений государственной системы защиты информации в Российской Федерации от технических разведок (ТР) и утечки по техническим каналам, задачи и функции Федеральной службы по техническому и экспортному контролю (ФСТЭК России).
Концепция национальной безопасности Российской Федерации. Доктрина информационной безопасности Российской Федерации. Основное содержание нормативных правовых актов и документов по защите конфиденциальной информации. Общие положения, термины и определения, организация и проведение работ по защите персональных данных при их обработке техническими средствами.
Особенности государственного регулирования деятельности в области ТЗИ на предприятиях, в организациях и учреждениях различных форм собственности, правовые основы обеспечения обработки и хранения персональных данных в информационных системах, классификация персональных данных и информационных систем для их обработки. Основные требования к информационным системам персональных данных. Мероприятия по обеспечению безопасности персональных данных.понятие лицензирования деятельности. Организационно-правовые аспекты системы лицензирования деятельности в области ТЗИ.
Проблемы сертификации технических средств и комплексов ТЗИ на основе системы технического регулирования. Организационная структура системы сертификации средств защиты информации.
Тема 2. Угрозы безопасности персональных данных и их модели
Основные элементы информационных систем персональных данных и их связь с угрозами безопасности информации, классификация основных угроз безопасности персональных данных.
Угрозы утечки акустической и видовой информации, а также угрозы утечки информации по каналам побочных электромагнитных излучений, классификация средств перехвата информации. Классификация угроз НСД к персональным данным, характеристики уязвимостей информационной системы. Характеристика основных угроз и результатов НСД к персональным данным, рассматриваются типовые модели угроз для автоматизированных рабочих мест, локальных и распределенных информационных систем
Основные требования и рекомендации по защите информации, циркулирующей в защищаемых помещениях, в системах звукоусиления и звукового сопровождения кинофильмов, при проведении звуко- и видеозаписи, при передаче речевой информации по каналам связи. Требования, рекомендации, порядок обеспечения защиты информации при эксплуатации АС, в ЛВС, на АРМ, при межсетевом взаимодействии, при работе с СУБД, при использовании съемных накопителей информации. Условия, порядок подключения абонентов к Сети, взаимодействие АП с Сетью, рекомендации по обеспечению безопасности информации.

Раздел II. Основы организации технической защиты информации ограниченного доступа
Тема 3. Организационные и технические мероприятия по обеспечению безопасности персональных данных

Актуальность проблемы, основные термины и определения, классификация и общая характеристика технических каналов утечки информации, физические принципы их возникновения и способы выявления.
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Стадии создания средств защиты персональных данных и рекомендуемые мероприятия на каждой стадии проектирования, создания и ввода в действие средств защиты персональных данных. Мероприятия по защите от НСД к персональным данным при их обработке в информационных системах разных классов, а также мероприятия по защите информации от утечки по техническим каналам. Классификация технических средств защиты информации, физические основы их функционирования, а также назначение, состав и основные технические характеристики.

Тема 4. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

Основные термины и определения. Понятие информационной системы персональных данных. Система категорирования персональных данных. Классификация информационных систем персональных данных.
Общие вопросы формирования мероприятий, направленных на предотвращение и парирование угроз безопасности персональных данных, а также мероприятия, направленные на восстановление нормального функционирования информационных систем после нейтрализации угрозы. Порядок организации обеспечения безопасности персональных данных в информационных системах. Организация и обоснование мероприятий, направленных на обеспечение безопасности персональных данных. Организационные мероприятия по предотвращению утечки персональных данных по техническим каналам. Мероприятия по выявлению и закрытию технических каналов утечки персональных данных. Мероприятия по защите персональных данных от НСД и неправомерных действий.


Тема 5. Средства защиты информации от утечки по техническим каналам

Классификация и общая характеристика технических каналов утечки информации, рассматриваются физические принципы их возникновения и способы выявления. Способы применения и тактико-технические характеристики средств виброакустической защиты, способы и средства противодействия несанкционированной аудио- и видеозаписи, организация защиты от утечки информации за счет ПЭМИН и технические средства для ее обеспечения.
Организация аттестации ОИ, методика разработки и содержание основных документов на защищаемые помещения, и объекты вычислительной техники.
Порядок организации работ на предприятиях, в организациях и учреждениях по созданию системы защиты информации и разработке пакета организационно-распорядительных документов: «Положение о порядке организации и проведения работ по защите персональных данных», «Руководство по защите информации от утечки по техническим каналам на объекте», «Перечень защищаемых сведений» и т.д.
Соблюдение требований нормативно-методических документов по технической защите конфиденциальной информации, контроль работоспособности средств защиты информации, оценка знаний и выполнения персоналом функциональных обязанностей. Средства контроля защищенности АС Ревизор-1,-2, НКВД -2.2, -2.3, Фикс, Терьер, NESSUS.

Тема 6. Защита информации от несанкционированного доступа.
Основные методы НСД к данным информационных систем и средствам борьбы с ними. Основные характеристики и классификация методов и средств защиты информации от НСД в информационных системах.
Встроенные штатные средства защиты операционных систем (Windows, Unix и др). Межсетевые экраны, требования ФСТЭК РФ. Проблемы защиты информации при взаимодействии с сетью Интернет. Антивирусная защита.
Руководящие документы ФСТЭК РФ по защите информации от НСД, средства защиты (Secret Net, Dallas Lock, Аккорд и др.).
Программные средства борьбы с компьютерными вирусами, шпионскими программами, руткитами и т.п. Основные способы защиты информационной системы от вирусных атак.

 

Наименование темы

Количество учебных часов

Самостоятельная работа

 

 

Всего

Лекция

Практическое занятие

Семинар

Зачет

             

Раздел I. Правовые и теоретические основы технической защиты информации

1

Нормативно- правовое обеспечение защиты персональных данных

8

8

 

 

 

 

2

Угрозы безопасности персональных данных и их модели

12

12

 

 

 

 

Раздел II. Основы организации технической защиты информации

3

Организационные и технические мероприятия по обеспечению безопасности персональных данных

10

8

 

2

 

 

4

Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

6

6

 

 

 

 

 

5

Средства  защиты информации от утечки по техническим каналам

 

14

7

7

 

 

 

6

Защита информации от несанкционированного доступа

20

14

6

 

 

 

 

Зачет

2

 

 

 

2

 

 

Итого

72

53

13

2

2

 

 

 

Обновлено: 29.10.2009 20:26