|
Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
|
|
Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Кафедра «Информационная безопасность»Стр 1 из 3Следующая ⇒
НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ «МИЭТ» Кафедра «Информационная безопасность»
УТВЕРЖДАЮ Заведующий кафедрой ДТН, профессор А. А. Хорев « » декабря 2012 года
МЕТОДИЧЕСКИЕ УКАЗАНИЯ ДЛЯ ПРОВЕДЕНИЯ ПРАКТИЧЕСКОГО ЗАНЯТИЯ ПО УЧЕБНОЙ ДИСЦИПЛИНЕ «ОРГАНИЗАЦИОННОЕ И ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ» для студентов МП – 23Б учебной группы Раздел II . Организационное обеспечение информационной безопасности ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 4 ТЕМА: РАЗРАБОТКА ПРОЕКТА ПЛАНА (ПРОГРАММЫ) ПРОВЕДЕНИЯ ВНУТРЕННЕГО АУДИТА (САМООЦЕНКИ) ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ Москва I . МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПРЕПОДАВАТЕЛЮ И СТУДЕНТАМ ПО ПОДГОТОВКЕ И ПРОВЕДЕНИЮ ПРАКТИЧЕСКОГО ЗАНЯТИЯ
I . ТЕМА ЗАНЯТИЯ: «Разработка проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации».
II . УЧЕБНЫЕ И ВОСПИТАТЕЛЬНЫЕ ЦЕЛИ ЗАНЯТИЯ УЧЕБНЫЕ ЦЕЛИ ЗАНЯТИЯ: 1. Выработка практических умений и приобретение навыков студентами в разработке проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации. 2. Дать студентам практику в представлении докладов по защите проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных.
ВОСПИТАТЕЛЬНЫЕ ЦЕЛИ ЗАНЯТИЯ: Воспитывать стремление в совершенстве овладеть выбранной специальностью. III . ВРЕМЯ: 2 учебных часа (80 минут). IY . УЧЕБНЫЕ ВОПРОСЫ: 1. Уяснение требований нормативных правовых актов, определяющих порядок обработки и защиты персональных данных. 2. Разработка проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации. 3. Представление и защита проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации. Y . МЕТОД ПРОВЕДЕНИЯ: практическое занятие YI . УЧЕБНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ: Обязательная литература (документы): 1. Л.Л. Попов, Ю.И. Мигачев, С.В. Тихомиров «Информационное право», учебник, М.: Норма: Инфа-М, 2010. – 496с. 2. С.Н. Семкин, А.Н. Семкин «Основы правового обеспечения защиты информации», учебное пособие для вузов, М.: Горячая линия – Телеком, 2008. – 238с. Дополнительная литература (документы): 1. Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных». 2. Федеральный закон от 30.12.2001 года № 197-ФЗ «Трудовой кодекс Российской Федерации». 3. Постановление Правительства Российской Федерации от 01.11.2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». 4. Постановление Правительства Российской Федерации от 06.08.2008года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». 5. Постановление Правительства Российской Федерации от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации». 6 . Постановление правительства Российской Федерации от 21. 03. 2012 г. № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним НПА, операторами, являющимися государственными или муниципальными органами». 7. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02. 2008 года № 55/86/20. «Об утверждении Порядка проведения классификации информационных систем персональных данных». 8. Приказ Федеральной службы по техническому и экспертному контролю (ФСТЭК России) от 05.02.2010 года № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». 9. Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 года № 312 «Об утверждении Административного регламента исполнения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных». 10. Приказ Минкомсвязи России от 21.12.2011 г. № 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по представлению государственной услуги «Ведение реестра операторов», осуществляющих обработку персональных данных». 11. Приказ Роскомнадзора от 19.08.2011 года № 706 « Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных». 12. Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера от 28.01. 1981 EST № 108. 13. Федеральный закон от 19.12.2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке данных». 14. Постановление Правительства Российской Федерации от 04.03.2010 года № 125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию». 15.Приказ ФСБ России от 09.02. 2005 года № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации». 16. Регламент ФСБ России – Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден Руководством 8 Центра ФСБ России 08 августа 2009 года № 149/7/2/6-1173). 17. Документы ФСБ России (утверждены Руководством 8 Центра ФСБ России 21 февраля 2008 года): - «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждены 21.02.2008 года № 149/6/6-622); - «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены 21.02.2008 года № 149/54-144). 18. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена 15 февраля заместителем Директора Федеральной службы по техническому и экспертному контролю. 19. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена 15 февраля заместителем Директора Федеральной службы по техническому и экспертному контролю. 20. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Решением Коллегии Гостехкомиссии России от 2 марта 2001 года № 7.2 21. Приказ Росархива от 06.10.2000 года «Перечень типовых управленческих документов, образующихся в деятельности организации с указанием сроков хранения».
YII . УЧЕБНЫЕ ВОПРОСЫ И РАСПРЕДЕЛЕНИЕ ВРЕМЕНИ | ||||||
| I. |
ВСТУПИТЕЛЬНАЯ ЧАСТЬ | 5 мин. | ||||
| 1. Прием доклада от старосты группы о наличии студентов на занятии. 2. Проверка наличия и контроль готовности студентов к занятию и аудитории. 3. Доведение темы, учебных целей практического занятия, вопросов. 4. Проведение письменного контрольного опроса. 1. Категории персональных данных. 2. Дать понимания «обязательные требования». | ||||||
| II. |
ОСНОВНАЯ ЧАСТЬ | |||||
| 1. | Уяснение требований нормативных правовых актов, определяющих порядок обработки и защиты персональных данных. | 10 мин. | ||||
| 2. | Разработка проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации. | 50 мин. | ||||
| 3. | Представление и защита проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации. | 10 мин. | ||||
| III. |
ЗАКЛЮЧИТЕЛЬНАЯ ЧАСТЬ | |||||
| 1. Подведение итогов занятия с объявлением оценок. 2. Ответы на вопросы. 3. Постановка задач на самостоятельную подготовку. | 5 мин | |||||
ПОДГОТОВИТЕЛЬНЫЙ ЭТАП
За 5 – 7 дней до настоящего занятия поставить задачу студентам:
на изучение:
вышеприведенных нормативных правовых актов Российской Федерации по обработке и защите персональных данных;
текстов лекций:
лекции № 7 Правовые основы защиты персональных данных, лекции № 13 Организация защиты персональных данных в организации.
исходной обстановки: (приводится ниже).
на подготовку проектов форм документов в электронном виде:
формы документа - проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ».
проекта приказа о проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ».
Тема практического занятия, цели, учебные вопросы и литература и нормативные правовые акты должны быть отражены в конспекте лекций.
Исходная обстановка:
Заместитель ректора НИУ «МИЭТ» на совещании поставил задачу провести разработку:
проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ» (приложение 1).
приказа о проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ».
К разработке проектов документов привлекаются следующие сотрудники: службы информационной безопасности, юридической службы, отдела кадров, информационных технологий «МИЭТ». Отвечает в целом за разработку проектов документов служба информационной безопасности НИУ «МИЭТ».
Справочные данные:
Адрес место нахождения: применительно к НИУ «МИЭТ».
Почтовый адрес: применительно к НИУ «МИЭТ».
ИНН (индивидуальный номер налогоплательщика): применительно к НИУ «МИЭТ».
ОКАТО (общероссийский классификатор административно-территориального деления) применительно к НИУ «МИЭТ».
ОКФС (общероссийский классификатор форм собственности): применительно к НИУ «МИЭТ».
ОКОПФ (общероссийский классификатор организационно-правовых форм): применительно к НИУ «МИЭТ».
ОКВЭД (общероссийский классификатор видов экономической деятельности): применительно к НИУ «МИЭТ».
ОКПО (классификатор предприятий и организаций): применительно к НИУ «МИЭТ».
ОГРН (основной государственный регистрационный номер): применительно к НИУ «МИЭТ».
Срок представления проектов документов для рассмотрения и утверждения не позднее « » 2013 года.
На занятии иметь:
1. Вышеприведенные нормативные правовые акты в электронном виде.
2. Проекты форм документов в электронном виде:
проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ» (приложение 1).
приказа о проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ».
3. ПЭВМ – 1 (на двух студентов).
Быть готовым:
в должности начальника службы информационной безопасности НИУ «МИЭТ» подготовить проекты документов и представить их для рассмотрения заместителю ректора НИУ «МИЭТ»:
проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ» (приложение 1).
приказа о проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ».
IX . СОДЕРЖАНИЕ И ПОРЯДОК ПРОВЕДЕНИЯ ЗАНЯТИЯ
I . ВСТУПИТЕЛЬНАЯ ЧАСТЬ
Принимаю доклад от старосты группы, здороваюсь с обучаемыми. Выясняю состояние здоровья студентов путем опроса.
Проверяю готовность студентов к занятию:
наличие рекомендованной литературы, нормативных правовых актов и методических документов;
разработанных документов в электронном виде:
проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ» (приложение 1).
приказа о проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ».
Довожу тему, учебные цели занятия, вопросы, актуальность и замысел занятия.
II. ОСНОВНАЯ ЧАСТЬ
Первый учебный вопрос. Уяснение требований нормативных правовых актов, определяющих порядок обработки и защиты персональных данных.
Напоминаю студентам, что на лекциях по данной дисциплине, в ходе семинарских занятий и самостоятельной работы они изучили содержание нормативных правовых актов и методических документов по обработке и защите персональных данных.
Все слушатели в должности начальника службы информационной безопасности «МИЭТ».
II. ЗАКЛЮЧИТЕЛЬНАЯ ЧАСТЬ
На этом занятии мы рассмотрели содержание работы начальника службы информационной безопасности «МИЭТ» по разработке проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации, в частности в «МИЭТ».
Напоминаю, что в ходе занятия были рассмотрены следующие вопросы:
1. Уяснение требований нормативных правовых актов, определяющих порядок обработки и защиты персональных данных.
2. Разработка проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации.
3. Представление и защита проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации.
Указываю на положительные стороны при отработке вопросов и нерешенные задачи, делаю вывод о достижении целей поставленных на занятии. Отмечаю студентов, которые сделали наиболее удачные доклады и активно участвовали в отработке вопросов на занятии. Объявляю оценки, полученные студентами в ходе занятия.
Отвечаю на вопросы. Объявить окончание занятия.
Приложение: Форма проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ».
Доцент кафедры информационной безопасности
Кандидат военных наук, доцент В.К. Новиков
« » декабря 2012 года.
Приложение 1
Утверждена
приказом «МИЭТ» от №
(основание: )
1. Название: Программа самооценки (проверки) обработки и защиты персональных данных в (наименование организации).
2. Разделы программы:
I. Цели самооценки (проверки).
II. Задачи проверки.
III. Нормативные правовые акты и стандарты использованные для составления программы самооценки (проверки).
IY. Мероприятия самооценки (проверки).
| № п/п | Наименование мероприятия самооценки (проверки) | Обязательные требования НПА (стандартов, методик, рекомендаций) | Ответственный (-ые) | Срок исполнения (представления) | Представлено (сделано) |
| I . Общие вопросы по обработке и защите персональных данных
| |||||
| 1.1. | |||||
НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ
«МИЭТ»
Кафедра «Информационная безопасность»
УТВЕРЖДАЮ
Заведующий кафедрой
ДТН, профессор
А. А. Хорев
« » декабря 2012 года
МЕТОДИЧЕСКИЕ УКАЗАНИЯ
ДЛЯ ПРОВЕДЕНИЯ ПРАКТИЧЕСКОГО ЗАНЯТИЯ ПО УЧЕБНОЙ ДИСЦИПЛИНЕ
«ОРГАНИЗАЦИОННОЕ И ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»
для студентов МП – 23Б учебной группы
Последнее изменение этой страницы: 2019-04-19; Просмотров: 248; Нарушение авторского права страницы