Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Раздел II . Организационное обеспечение информационной безопасности
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 4 ТЕМА: РАЗРАБОТКА ПРОЕКТА ПЛАНА (ПРОГРАММЫ) ПРОВЕДЕНИЯ ВНУТРЕННЕГО АУДИТА (САМООЦЕНКИ) ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ Москва I . МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПРЕПОДАВАТЕЛЮ И СТУДЕНТАМ ПО ПОДГОТОВКЕ И ПРОВЕДЕНИЮ ПРАКТИЧЕСКОГО ЗАНЯТИЯ
I . ТЕМА ЗАНЯТИЯ: «Разработка проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации».
II . УЧЕБНЫЕ И ВОСПИТАТЕЛЬНЫЕ ЦЕЛИ ЗАНЯТИЯ УЧЕБНЫЕ ЦЕЛИ ЗАНЯТИЯ: 1. Выработка практических умений и приобретение навыков студентами в разработке проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации. 2. Дать студентам практику в представлении докладов по защите проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных.
ВОСПИТАТЕЛЬНЫЕ ЦЕЛИ ЗАНЯТИЯ: Воспитывать стремление в совершенстве овладеть выбранной специальностью. III . ВРЕМЯ: 2 учебных часа (80 минут). IY . УЧЕБНЫЕ ВОПРОСЫ: 1. Уяснение требований нормативных правовых актов, определяющих порядок обработки и защиты персональных данных. 2. Разработка проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации. 3. Представление и защита проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации. Y . МЕТОД ПРОВЕДЕНИЯ: практическое занятие YI . УЧЕБНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ: Обязательная литература (документы): 1. Л.Л. Попов, Ю.И. Мигачев, С.В. Тихомиров «Информационное право», учебник, М.: Норма: Инфа-М, 2010. – 496с. 2. С.Н. Семкин, А.Н. Семкин «Основы правового обеспечения защиты информации», учебное пособие для вузов, М.: Горячая линия – Телеком, 2008. – 238с. Дополнительная литература (документы): 1. Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных». 2. Федеральный закон от 30.12.2001 года № 197-ФЗ «Трудовой кодекс Российской Федерации». 3. Постановление Правительства Российской Федерации от 01.11.2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». 4. Постановление Правительства Российской Федерации от 06.08.2008года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». 5. Постановление Правительства Российской Федерации от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации». 6 . Постановление правительства Российской Федерации от 21. 03. 2012 г. № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним НПА, операторами, являющимися государственными или муниципальными органами». 7. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02. 2008 года № 55/86/20. «Об утверждении Порядка проведения классификации информационных систем персональных данных». 8. Приказ Федеральной службы по техническому и экспертному контролю (ФСТЭК России) от 05.02.2010 года № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». 9. Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 года № 312 «Об утверждении Административного регламента исполнения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных». 10. Приказ Минкомсвязи России от 21.12.2011 г. № 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по представлению государственной услуги «Ведение реестра операторов», осуществляющих обработку персональных данных». 11. Приказ Роскомнадзора от 19.08.2011 года № 706 « Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных». 12. Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера от 28.01. 1981 EST № 108. 13. Федеральный закон от 19.12.2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке данных». 14. Постановление Правительства Российской Федерации от 04.03.2010 года № 125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию». 15.Приказ ФСБ России от 09.02. 2005 года № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации». 16. Регламент ФСБ России – Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден Руководством 8 Центра ФСБ России 08 августа 2009 года № 149/7/2/6-1173). 17. Документы ФСБ России (утверждены Руководством 8 Центра ФСБ России 21 февраля 2008 года): - «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждены 21.02.2008 года № 149/6/6-622); - «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены 21.02.2008 года № 149/54-144). 18. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена 15 февраля заместителем Директора Федеральной службы по техническому и экспертному контролю. 19. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена 15 февраля заместителем Директора Федеральной службы по техническому и экспертному контролю. 20. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Решением Коллегии Гостехкомиссии России от 2 марта 2001 года № 7.2 21. Приказ Росархива от 06.10.2000 года «Перечень типовых управленческих документов, образующихся в деятельности организации с указанием сроков хранения».
YII . УЧЕБНЫЕ ВОПРОСЫ И РАСПРЕДЕЛЕНИЕ ВРЕМЕНИ | ||||||
I. |
ВСТУПИТЕЛЬНАЯ ЧАСТЬ | 5 мин. | ||||
1. Прием доклада от старосты группы о наличии студентов на занятии. 2. Проверка наличия и контроль готовности студентов к занятию и аудитории. 3. Доведение темы, учебных целей практического занятия, вопросов. 4. Проведение письменного контрольного опроса. 1. Категории персональных данных. 2. Дать понимания «обязательные требования». | ||||||
II. |
ОСНОВНАЯ ЧАСТЬ | |||||
1. | Уяснение требований нормативных правовых актов, определяющих порядок обработки и защиты персональных данных. | 10 мин. | ||||
2. | Разработка проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации. | 50 мин. | ||||
3. | Представление и защита проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в организации. | 10 мин. | ||||
III. |
ЗАКЛЮЧИТЕЛЬНАЯ ЧАСТЬ | |||||
1. Подведение итогов занятия с объявлением оценок. 2. Ответы на вопросы. 3. Постановка задач на самостоятельную подготовку. | 5 мин |
ПОДГОТОВИТЕЛЬНЫЙ ЭТАП
За 5 – 7 дней до настоящего занятия поставить задачу студентам:
на изучение:
вышеприведенных нормативных правовых актов Российской Федерации по обработке и защите персональных данных;
текстов лекций:
лекции № 7 Правовые основы защиты персональных данных, лекции № 13 Организация защиты персональных данных в организации.
исходной обстановки: (приводится ниже).
на подготовку проектов форм документов в электронном виде:
формы документа - проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ».
проекта приказа о проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ».
Тема практического занятия, цели, учебные вопросы и литература и нормативные правовые акты должны быть отражены в конспекте лекций.
Исходная обстановка:
Заместитель ректора НИУ «МИЭТ» на совещании поставил задачу провести разработку:
проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ» (приложение 1).
приказа о проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ».
К разработке проектов документов привлекаются следующие сотрудники: службы информационной безопасности, юридической службы, отдела кадров, информационных технологий «МИЭТ». Отвечает в целом за разработку проектов документов служба информационной безопасности НИУ «МИЭТ».
Справочные данные:
Адрес место нахождения: применительно к НИУ «МИЭТ».
Почтовый адрес: применительно к НИУ «МИЭТ».
ИНН (индивидуальный номер налогоплательщика): применительно к НИУ «МИЭТ».
ОКАТО (общероссийский классификатор административно-территориального деления) применительно к НИУ «МИЭТ».
ОКФС (общероссийский классификатор форм собственности): применительно к НИУ «МИЭТ».
ОКОПФ (общероссийский классификатор организационно-правовых форм): применительно к НИУ «МИЭТ».
ОКВЭД (общероссийский классификатор видов экономической деятельности): применительно к НИУ «МИЭТ».
ОКПО (классификатор предприятий и организаций): применительно к НИУ «МИЭТ».
ОГРН (основной государственный регистрационный номер): применительно к НИУ «МИЭТ».
Срок представления проектов документов для рассмотрения и утверждения не позднее « » 2013 года.
На занятии иметь:
1. Вышеприведенные нормативные правовые акты в электронном виде.
2. Проекты форм документов в электронном виде:
проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ» (приложение 1).
приказа о проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ».
3. ПЭВМ – 1 (на двух студентов).
Быть готовым:
в должности начальника службы информационной безопасности НИУ «МИЭТ» подготовить проекты документов и представить их для рассмотрения заместителю ректора НИУ «МИЭТ»:
проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ» (приложение 1).
приказа о проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ».
IX . СОДЕРЖАНИЕ И ПОРЯДОК ПРОВЕДЕНИЯ ЗАНЯТИЯ
I . ВСТУПИТЕЛЬНАЯ ЧАСТЬ
Принимаю доклад от старосты группы, здороваюсь с обучаемыми. Выясняю состояние здоровья студентов путем опроса.
Проверяю готовность студентов к занятию:
наличие рекомендованной литературы, нормативных правовых актов и методических документов;
разработанных документов в электронном виде:
проекта Плана (программы) проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ» (приложение 1).
приказа о проведения внутреннего аудита (самооценки) обработки и защиты персональных данных в «МИЭТ».
Довожу тему, учебные цели занятия, вопросы, актуальность и замысел занятия.
II. ОСНОВНАЯ ЧАСТЬ
Первый учебный вопрос. Уяснение требований нормативных правовых актов, определяющих порядок обработки и защиты персональных данных.
Напоминаю студентам, что на лекциях по данной дисциплине, в ходе семинарских занятий и самостоятельной работы они изучили содержание нормативных правовых актов и методических документов по обработке и защите персональных данных.
Все слушатели в должности начальника службы информационной безопасности «МИЭТ».
Последнее изменение этой страницы: 2019-04-19; Просмотров: 267; Нарушение авторского права страницы