Партнерка на США и Канаду по недвижимости, выплаты в крипто

• 30% recurring commission
• Выплаты в USDT
• Вывод каждую неделю
• Комиссия до 5 лет за каждого referral

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Учебная программа

Распределение часов дисциплины по темам

Содержание учебной дисциплины

Тема 1. Общие вопросы обработки и обеспечения защиты ПДн в компании.

·  Персональные данные: какая информация относится к этой категории данных;

·  Обработка персональных данных в компании:

o  перечень типовых информационных систем ПДн, существующих в компании;

o  автоматизированная и неавтоматизированная обработка ПДн в компании;

o  локальные и распределенные информационные системы;

·  Защита персональных данных:

o  неприкосновенность частной жизни граждан гарантировано Конституцией РФ и находится под охраной государства;

o  обеспечение защиты ПДн является прямой обязанностью операторов ПДн;

·  Сроки выполнения требований законодательства;

·  Ответственность оператора за неисполнение требований законодательства и нарушения обработки ПДн.

Тема 2. Международное и российское законодательство в области обработки ПДн.

1.  Международные и российские нормативно – правовые акты

·  Конституция РФ от 01.01.2001 г. – гарантирует права и свободы человека и гражданина (Глава 2 Конституции РФ).

·  Конвенция (Страсбург, 28 января 1981 г.) «О защите физических лиц при автоматизированной обработке персональных данных»

·  Федеральный Закон от 01.01.2001 г. № 000 "О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных"

·  Федеральный Закон 152 «О персональных данных» от 01.01.2001 (ФЗ-152)

·  Постановление Правительства № 000 от 01.01.01 года «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

·  Постановление Правительства РФ от 01.01.2001 г. № 000 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

·  Постановление Правительства РФ от 01.01.2001 г. № 000 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

2.  Федеральный Закон № 000 от 01.01.2001 г. «О персональных данных».

·  Общие положения и основные понятия, используемые в законе;

·  Какие операторы ПДн попадают под действие закона;

·  Принципы и условия обработки персональных данных;

·  Права субъекта персональных данных;

·  Обязанности оператора ПДн;

·  Контроль и надзор за обработкой ПДн;

·  Ответственность за нарушение требований настоящего закона;

·  Сроки выполнения требований настоящего закона.

3.  Федеральные уполномоченные органы (регуляторы)

·  Россвязькомнадзор. Постановление Правительства № 000 от 2 июня 2008 года «О Федеральной службе по надзору в сфере связи и массовых коммуникаций».

·  ФСТЭК России. Постановление Правительства № 000 от 01.01.01 года «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

·  ФСБ РФ. Постановление Правительства № 000 от 01.01.01 года «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

4.  Нормативно – методические документы регуляторов

·  Приказ ФСТЭК, ФСБ, Мининформсвязи от 01.01.2001 г. №55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных"

·  Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 01.01.01 г. № 000 "Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных"

·  Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций (РОССВЯЗЬКОМНАДЗОР) от 01.01.01 г. № 8 «Об утверждении образца формы уведомления об обработке персональных данных»

·  ФСТЭК России - Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены Заместителем директора ФСТЭК России 15 февраля 2008 г.

·  ФСТЭК России - Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.

·  ФСТЭК России - Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.

·  ФСТЭК России - «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн» от 01.01.2001 г

·  ФСБ РФ - Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. № 000/5-144

·  ФСБ РФ - Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. № 000/6/6-622

5.  О лицензировании деятельности по технической защите информации

·  Указ Президента РФ от 6 марта 1997 г. № 000 "Об утверждении перечня сведений конфиденциального характера"

·  Федеральный Закон от 8 августа 2001 г. "О лицензировании отдельных видов деятельности" (ФЗ-128)

·  Постановление Правительства РФ от 01.01.01 г. N 504 "О лицензировании деятельности по технической защите конфиденциальной информации"

·  Постановление Правительства Российской Федерации от 01.01.01 г. № 45 «Об организации лицензирования отдельных видов деятельности»

6.  Ответственность за нарушение законодательства

·  Федеральный Закон от 01.01.2001 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (ФЗ-149)

·  Федеральный Закон «О порядке рассмотрения обращений граждан Российской Федерации»

·  Кодекс об Административных правонарушениях РФ (КоАП РФ)

·  Уголовный Кодекс РФ (УК РФ)

·  Трудовой Кодекс РФ (ТК РФ)

·  Гражданский Кодекс РФ (ГК РФ).

Тема 3. Общие вопросы проведения работ по комплексной защите ПДн.

·  Действия оператора ПДн:

o  Определение целей и содержания обработки ПДн;

o  Классификация ИСПДн;

o  Уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

o  Проведение работ по созданию системы защиты ПДн;

·  Организационно – технические меры защиты информации:

o  Проведение обследования АС в части обработки в АС персональных данных,

o  Разработка документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных).

o  Создание системы защиты персональных данных (СЗПДн), в том числе выполнение требований по инженерно-технической защите помещений.

o  Аттестация или декларирование соответствия ИСПДн по требованиям безопасности информации.

Тема 4. Предпроектное обследование информационной инфраструктуры предприятия в части обработки ПДн.

·  анализ информационных ресурсов:

o  определение перечня всех существующих ИСПДн в составе АС Заказчика;

o  определение состава и структуры каждой ИСПДн и технических особенностей ее/их построения (состав и структура ПО, ТС обработки ПДн, топология ИСПДн);

o  определение перечня и местонахождения ПДн, подлежащих защите;

o  категорирование ПДн;

o  определение режима обработки ПДн в целом и отдельных компонентах.

·  анализ уязвимых звеньев и возможных угроз безопасности ПДн:

o  оценка возможности физического доступа к ИСПДн;

o  выявление возможных каналов утечки информации, в том числе технических;

o  анализ возможностей программно-математического воздействия на ИСПДн;

o  анализ возможностей электромагнитного воздействия на ИСПДн.

·  оценка ущерба от реализации угроз безопасности ПДн:

o  оценка непосредственного ущерба от реализации угроз безопасности ПДн;

o  оценка опосредованного ущерба от реализации угроз безопасности ПДн.

·  анализ имеющихся в распоряжении мер и средств защиты ПДн:

o  от физического доступа;

o  от утечки по техническим каналам;

o  от НСД;

o  от программно-математического воздействия;

o  от электромагнитных воздействий.

Тема 5. Обоснование требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн.

·  Обоснование требований по обеспечению безопасности ПДн

o  разработка модели угроз безопасности ПДн;

o  разработка модели нарушителя безопасности ПДн;

o  составление перечня и проведение оценки актуальных угроз безопасности ПДн;

o  определение класса ИСПДн.

·  Обоснование требований по обеспечению безопасности ПДн с использованием криптосредств

o  разработка модели угроз безопасности ПДн с использованием криптосредств;

o  разработка модели нарушителя безопасности ПДн с использованием криптосредств;

o  определение требуемого уровня криптографической защиты ПДн;

o  определение требуемого уровня специальной защиты от утечки по каналам побочных излучений и наводок при защите ПДн с использованием криптосредств.

Тема 6. Проведение работ по организации обеспечения безопасности ПДн при их обработке в ИСПДн.

o  разработка и согласование требований к системе защиты персональных данных (СЗПДн) и формулирование задач по защите ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн);

o  выбор способов, мер и средств защиты ПДн в соответствии с мероприятиями по защите;

o  разработка частного технического задания (ЧТЗ) на систему защиты ПДн.

Тема 7. Разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.

Примерный перечень документов

·  Положение об обработке персональных данных

·  Положение по защите персональных данных;

·  Регламент взаимодействия с субъектами персональных данных;

·  Регламент взаимодействия с уполномоченными органами;

·  Регламент взаимодействия при передаче персональных данных третьим лицам;

·  Регламент контроля режима обработки персональных данных;

·  Регламент обеспечения режима обработки персональных данных;

·  Инструкции администраторов безопасности персональных данных;

·  Инструкции пользователей по работе с персональными данными;

·  Должностные инструкции персонала в части обеспечения безопасности ПДн при их обработке;

·  Типовая форма согласия субъекта на обработку персональных данных;

·  Уведомление об обработке персональных данных (по желанию Заказчика);

·  Типовая форма запроса субъекта персональных данных на предоставление информации;

·  Перечень персональных данных (приложение к «Положению об обработке персональных данных»);

·  Перечень лиц, допущенных к обработке персональных данных (п. 14 Постановления 781).

Тема 8. Развертывание, ввод в эксплуатацию и аттестация (сертификация) системы защиты ПДн требованиям информационной безопасности.

·  Развертывание и ввод в опытную эксплуатацию системы защиты ПДн в ИСПДн;

·  Проведение тестовых испытаний системы защиты ПДн на соответствие требованиям информационной безопасности;

·  Доработка системы защиты ПДн по результатам опытной эксплуатации;

·  Ввод в промышленную эксплуатацию СЗПДн в ИСПДн.

·  Порядок проведения работ по аттестации (сертификации) ИСПДн требованиям информационной безопасности:

o  Сертификация средств защиты информации;

o  Аттестация ИСПДн требованиям безопасности ПДн.

Тема 9. Общие вопросы согласования документов с регуляторами, проведение отдельных видов работ при наличии соответствующих лицензий.

·  Перечень документов, подлежащих согласованию с регуляторами;

·  Механизм согласования документов с регуляторами;

·  Лицензирование деятельности по технической защите конфиденциальной информации

o  Законодательство о лицензировании деятельности по технической защите конфиденциальной информации;

o  Лицензионные требования и лицензионный контроль;

o  Ответственность за выполнение работ без лицензии.

Тема 10. Обзор основных мероприятий и программно-аппаратных средств защиты информации, применяемых при создании системы защиты ПДн.

·  Выявление и закрытие технических каналов утечки ПДн в ИСПДн;

·  Защита ПДн от несанкционированного доступа и неправомерных действий

o  управление доступом;

o  регистрация и учет;

o  обеспечение целостности;

o  контроль отсутствия недекларированных возможностей;

o  антивирусная защита;

o  обеспечение безопасного межсетевого взаимодействия ИСПДн;

o  анализ защищенности;

o  обнаружение вторжений.

·  Установка, настройка и применение средств защиты

o  От физического доступа;

o  От утечки по техническим каналам;

o  От несанкционированного доступа (НСД);

o  От программно-математического воздействия;

o  От электромагнитных воздействий.

·  Обобщение современных подходов к созданию системы защиты персональных данных в компании.

Практический курс:

1. Введение в технологию ViPNet. Состав программного комплекса ViPNet.

2. Логическая структура сети ViPNet.

3. ViPNet Администратор. Состав программного обеспечения. ЦУС и УКЦ. Особенности взаимодействия ЦУС и УКЦ.

4. Основные понятия сетевого уровня (Сетевой Узел, Сетевая Группа, Сетевые Объекты). Основные понятия прикладного уровня (Прикладная задача, Абонент, Коллектив, тип коллектива и связь коллективов). Разграничение доступа к конфиденциальной информации.

5. Подсистема адресной администрации сети. Прикладная администрация (функциональное назначение, прикладные задачи).

6. Ключевая структура сети ViPNet. Ключевые дискеты пользователей и ключевые наборы для абонентских пунктов. Уполномоченные лица сети. Асимметричные и симметричные ключи. Мастер ключи. Файл-дистрибутив, его состав и назначение.

7. Основные технические данные и характеристики СКЗИ. Типы и длины ключей. Срок действия ключей в СКЗИ. Ключевая система и ключевые документы. Применение и генерация классических симметричных ключей. Применение и генерация асимметричных ключей шифрования. Применение и генерация асимметричных ключей ЭЦП. Сертификация открытых ключей ЭЦП. Особенности реализации ЭЦП в СКЗИ системы ViPNet. Ключи защиты, используемые в СКЗИ.

8. Формирование ключей. Формирование ключей при первоначальном развертывании сети. Статус и полномочия администраторов УКЦ. Инициализация УКЦ. Формирование ключевых дискет пользователей. Формирование асимметричных ключей Диффи-Хелмана. Формирование ключей ЭЦП. Сертификация открытых ключей ЭЦП на этапе создания абонентской ключевой дискеты. Формирование ключей при взаимодействии с другой сетью. Взаимодействие в части ЭЦП. Взаимодействие в части шифрования.

9. Управление ключевой системой в процессе функционирования сетей. Управление ключами в собственной сети. Добавление ключей при появлении новых связей. Удаление ключей при удалении связей. Смена ключей пользователей. Смена классических симметричных ключей. Смена ключей Диффи-Хелмана. Смена ключей ЭЦП. Смена персональных ключей. Сертификация новых ключей ЭЦП. Смена ключей в УКЦ. Управление ключами при межсетевом взаимодействии.

10. Действия при компрометации ключей. События, квалифицируемые как компрометация ключей. Понятия, связанные с компрометацией. Основные правила в принятии решения о компрометации. Действия при компрометации ключей пользователя. Действия при компрометации ключей УКЦ. Порядок разбора конфликтных ситуаций, связанных с применением ЭЦП.

11. Последовательность установки и настройки ПО. Регистрация узлов и пользователей корпоративной сети, регистрация ЦР внешних пользователей. Взаимодействие с УКЦ и пользователями при управлении сертификатами. Формирование защищенных справочников доступа для узлов сети и справочников связей узлов и абонентов для УКЦ при штатной эксплуатации и компрометации ключей пользователей.

12. Основные действия администратора УКЦ.

13. Режимы работы Удостоверяющего центра: регистрация и управление ключами и сертификатами пользователей. Объекты управления Удостоверяющего центра: пользователи, сертификаты и запросы на сертификаты пользователей, запросы на отзыв сертификатов, список отозванных сертификатов. Обеспечение юридической значимости электронного документооборота с использованием ЭЦП и программно-аппаратного комплекса ViPNet [Удостоверяющий центр].

14. ПО ViPNet [Ключевой центр]. Требования к аппаратно-программным средствам. Последовательность установки и настройки ПО. Защита секретных ключей ЭЦП, распределяемых централизовано. Защита сертификатов Уполномоченных лиц сети. Защита транспортного уровня системы, обеспечивающего работу процедур запросов и получения сертификатов, доставки других файлов инфраструктуры ЭЦП (ключи связей транспортного уровня). Генерация паролей для защиты секретных ключей от несанкционированного доступа. Формирование ключей, обеспечивающих обновление симметричной ключевой информации и работу другого ПО ViPNet.

15. Типовые варианты применения технологии ViPNet [Удостоверяющий центр]. Политика удаленной и централизованной регистрации. Обзор составных элементов защищенных рабочих мест с использованием технологии ViPNet.

16. ПО ViPNet [Сервис публикаций]. Назначение и основные функции. Порядок установки и настройки.

17. Организация межсетевого взаимодействия. Виды межсетевых мастер-ключей (ММК). Контроль правильности конфигурации системы. Формирование экспорта и импорт данных для межсетевого взаимодействия. Управление сетью. Межсетевое взаимодействие сетей ViPNet версий 2.8 и 3.0.

18. ViPNet [Клиент]. Назначение программы ViPNet [Клиент]. Основные режимы использования. Состав программного обеспечения. Основные функции и возможности программы.

19. Логика обработки IP-трафика. ViPNet-драйвер. Режимы работы ViPNet-драйвера. Фильтрация: критерии и правила. Виды фильтров. Настройка фильтров. Настройка фильтров для адресатов Защищенной сети. Настройка фильтров для IP-адресов в окне Открытая сеть. Журнал регистрации IP-трафика. Транспортный модуль MFTP. Виды каналов MFTP.

20. Деловая почта. Назначение и функциональные возможности программы ViPNet [Деловая Почта]. Работа в Деловой почте. Автопроцессинг. Подпись, проверка и удаление подписи. Шифрование и расшифрование письма.

21. ПО ViPNet [Координатор]. Функциональный состав программного обеспечения ViPNet [Координатор]. Логика взаимодействия абонентских пунктов с серверами (ViPNet [Координаторами]) и серверов между собой. Сервер - маршрутизатор. Сервер ViPNet-Firewall. Функция туннелирования открытого трафика локальной сети. Каскадное включение координаторов. ViPNet – сервер Открытого Интернета. Горячее резервирование серверов ViPNet.

22. Настройки ViPNet [Координатора]. Принципы выбора режима работы узла ViPNet в сети. Настройка через МЭ “Со статической трансляцией адресов”. Настройка через МЭ “С динамическим трансляцией адресов”.

23. Туннелирование. Туннели и их виды. Настройка туннелируемых IP-адресов для координаторов. Логика использования виртуальных адресов. Типовые схемы применения технологии ViPNet.

24. Дополнительные возможности технологии ViPNet. ПО ViPNet [КриптоСервис]. Требования к аппаратно-программным средствам. Порядок регистрации прикладной задачи КриптоСервис. Набор функций по работе с ЭЦП, необходимых для использования другими приложениями (Microsoft Outlook, Web-приложения и т. п.)

Практические занятия (30 ч.):

25.   Первоначальное развертывание защищенной сети ViPNet (6 ч.)

Теоретическая проработка схемы защищенной сети. Инсталляция рабочего места Администратора защищенной сети. Первоначальная настройка ЦУС. Формирование транспортной структуры сети на уровне адресной администрации. Формирование прикладной структуры сети и ее связывание, задание полномочий пользователям. Регистрация СУ в прикладных задачах. Получение отчета по структуре защищенной сети. Формирование всех справочников. Первоначальная настройка УКЦ. Назначение Уполномоченных лиц сети и формирование для них персональной ключевой информации. Генерация ключевой информации для всех остальных пользователей сети. Распределение готовых ключей и справочников.

26.   Модификация защищенной сети ViPNet (6 ч.)

Анализ VPN, созданной на первом практическом занятии. Изменение в адресной администрации ЦУСа. Формирование новых адресных справочников для УКЦ. Формирование новой ключевой информации в ЦУС. Рассылка обновлений из ЦУСа. Проверка прохождения обновлений из ЦУСа. Настройка транспортного модуля. Обновление адресной и ключевой информации. Контроль прохождения обновления.

27.   Межсетевое взаимодействие защищенных сетей ViPNet версии 2.8 и 3.0 (СММК и АММК) (6 ч.)

Теоретическая проработка схемы объединения защищенных сетей. Инсталляция рабочих мест Администраторов двух защищенных сетей. Первоначальное развертывание двух защищенных сетей. Формирование начального экспорта в одной из защищенных сетей. Передача начального эксперта в одной из защищенных сетей. Прием начального экспорта и формирование ответного экспорта во второй защищенной сети. Генерация новой ключевой информации и рассылка ее всем СУ второй защищенной сети. Передача ответного экспорта в первую защищенную сеть. Прием ответного экспорта в первой защищенной сети. Генерация новой ключевой информации и рассылка ее всем СУ первой защищенной сети. Проверка правильности установления межсетевого взаимодействия.

28.   ViPNet Клиент (6 ч.)

Инсталляция ПО VipNet Клиент. Изучение структуры каталога установки ПО ViPNet Клиент. Изменение ключевой информации без переинсталляции ПО. Смена режимов работы программы Монитор. Изучение настроек программы Монитор. Изучение настроек параметров безопасности в Мониторе. Изучение работы с пользователями защищенной сети в Мониторе. Изучение настроек работы через межсетевой экран. Изучение работы с незащищенными компьютерами. Изучение работы с фильтрами. Изучение журналов блокированных и IP-пакетов и их настроек. Определение URL или IP-адреса. Смена пользователя в Мониторе и ДП. Настройка псевдонимов. Работа с паролем администратора АП. Настройки MFTP. Обеспечение работы по Dial-Up. Журнал конвертов MFTP. Очередь конвертов MFTP. Формирование нового письма, отсылка одному или нескольким адресатам. Использование ЭЦП. Использование прикладного шифрования писем. Флаги упаковки, отправки, доставки и прочтения писем в ДП. Изучение свойств письма. Запуск внешних программ в ДП. Настройка автопроцессинга. Путь письма при его удалении в ДП. Работа с ДП на АП, где зарегистрировано несколько коллективов. Переинсталляция ПО ViPNet Клиент.

29.   ViPNet [Координатор] и типовые схемы применения ПО ViPNet (6 ч.)

Ознакомление с функциями ПО ViPNet [Координатор]. Настройки в ЦУСе. Логика взаимодействия. Типовые схемы применения ПО ViPNet. Формирование VPN. Развертывание VPN. Настройка СУ для совместной работы. Настройка туннеля. Настройка полутуннеля. Изучение настроек через межсетевой экран.

Сертификационный экзамен включает 100 вопросов.

Длительность экзамена 1 час 40 минут.

По результатам сертификационного экзамена выдается сертификат Администратора ViPNet (от 75% правильных ответов) или сертификат Пользователя ViPNet (от 60 до 75% правильных ответов), а также выдается государственное удостоверение.