Техническая защита персональных данных

Глава 1 - Введение

• Нормативная база организации технической защиты персональных данных. Государственные органы, осуществляющие контроль и надзор в данной сфере деятельности (Роскомнадзор, ФСБ России, ФСТЭК России, Минкомсвязи России). Ответственность операторов ПДн за невыполнение требований по обеспечению безопасности ПДн при их обработке в ИСПДн.

Глава 2 - Основные этапы работ по обеспечению безопасности ПДн в ИСПДн

• Перечень основных этапов работ и краткий обзор мероприятий, необходимых для приведения ИСПДн в соответствие требованиям российского законодательства по защите ПДн.

Глава 3 - Сбор и анализ исходных данных по ИСПДн

• Обследование информационных систем с целью выявления фактов обработки ПДн, форм представления ПДн, целей и законности обработки, способов, сроков и объёмов их обработки, источников получения и др. Формирование перечня ПДн и выделение сегментов ИСПДн.
• Сбор, анализ и документирование исходных данных по ИСПДн, необходимых для: выявления ИСПДн; классификации ИСПДн; определения исходной защищённости ИСПДн; построения модели угроз и определения актуальности угроз; проектирования СЗПДн и организации физической защиты.
• Описание технологии обработки и защиты ПДн.

Глава 4 - Классификация информационных систем персональных данных

• Нормативная база классификации ИСПДн.
• Критерии классификации ИСПДн. Классы ИСПДн. Порядок проведения классификации ИСПДн и её документального оформления. Подклассы ИСПДн.
• Вопросы оптимизации состава ПДн и процессов их обработки (реинжениринг ИСПДн).

Глава 5 - Формирование модели угроз ПДн и модели нарушителей

• Нормативная база для формирования модели угроз безопасности ПДн в ИСПДн. Нормативно-методические документы ФСТЭК России и ФСБ России.
• Традиционный подход к построению моделей угроз и нарушителей.
• Формирование модели угроз безопасности ПДн на основании документов ФСТЭК России.
• Определение перечня актуальных угроз.
• Методология формирования модели угроз безопасности персональным данным на основании документов ФСБ России.
• Методология формирования модели нарушителей на основании документов ФСБ России.

Глава 6 - Разработка (проектирование) системы защиты персональных данных (СЗПДн)

• Меры по обеспечению безопасности персональных данных при их обработке. Требования Федерального закона от 27.07.2006 г. №152-ФЗ и Постановления Правительства РФ от 17.11.2007 г. №781 к обеспечению безопасности персональных данных. Обязательные механизмы защиты.
• Общий порядок организации обеспечения безопасности ПДн в ИСПДн.
• Мероприятия по защите ПДн (требования к мерам и средствам защиты) в зависимости от классов (и подклассов) ИСПДн.
• Определение структуры, состава и основных функций СЗПДн.
• Определение перечня предполагаемых к использованию сертифицированных средств защиты информации и их настроек.

Глава 7 - Разработка и внедрение организационных мер и организационно-распорядительных документов по обеспечению защиты персональных данных

• Планирование организационных мероприятий по защите ПДн.
• Разработка организационно-распорядительной документации, регламентирующей вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.

Глава 8 - Развертывание, настройка и опытная эксплуатация СЗПДн в ИСПДн

• Обеспечение охраны и физической защиты компонентов ИСПДн.
• Организация и проведение работ по развёртыванию СЗПДн и настройке ее элементов в ИСПДн.
• Испытания СЗПДн в процессе развертывания и опытной эксплуатации ИСПДн.

Раздел 8. Закрытие технических каналов утечки ПДн в ИСПДн

• Технические каналы утечки ПДн при их обработке в ИСПДн. Условия и причины возникновения, особенности проявления, способы и методы защиты.
• Мероприятия по защите ПДн от утечки по техническим каналам для различных классов ИСПДн.

Глава 9 - Лицензирование деятельности по защите ПДн в ИСПДн

• Техническая защита конфиденциальной инфомации и техническое обслуживание СКЗИ как лицензируемые виды деятельности.
• Получение оператором лицензий ФСТЭК и ФСБ России. Лицензионные требования.