Информационная безопасность в организациях: изменения законодательства и измерения эффективности (40 часов очно + 32 часа заочно)

Программа обучения (очная часть).

День 1. «Актуальные изменения государственной политики России в сфере информационной безопасности».

• Указ Президента Российской Федерации от 03.05.2022 № 252 «О применении ответных специальных экономических мер в связи с недружественными действиями некоторых иностранных государств и международных организаций».
• Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
• Указ Президент Российской Федерации от 14.04.2022 № 203 «О Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации».
• Информационное сообщении ФСТЭК от 11.04.2022 № 240/24/1950. о порядке представления документов по аттестации объектов информации, обрабатывающих информацию ограниченного доступа, не составляющей государственную тайну.
• Информационное сообщение ФСТЭК России от 25.03.2022 № 240/13/1561 об отмене оплаты государственной пошлины за госуслуг по предоставлению лицензии на деятельность по технической защите конфиденциальной информации и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации до конца 2022 года.
• Постановление Правительства 24.03.2022 № 448 «Об особенностях осуществления государственного контроля (надзора), муниципального контроля в отношении аккредитованных организаций, осуществляющих деятельность в области информационных технологий, и о внесении изменений в некоторые акты Правительства Российской Федерации».
• Приказ Минцифры от 25.02.2022 № 142 «Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации».
• Постановление Правительства от 21.02.2022 № 222 «Об утверждении Правил представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона «Об электронной подписи».
• Постановление Правительства от 21.02.2022 № 223 «Об утверждении организационно-технических требований к порядку хранения, использования и отмены указанных в статьях 17.2 и 17.3 Федерального закона „Об электронной подписи“ доверенностей».
• Постановление Правительства от 21.02.2022 № 224 «Об утверждении требований к нормативным правовым актам федеральных органов исполнительной власти, устанавливающим порядок представления доверенности в предусмотренном пунктом 2 части 1 статьи 17.2 Федерального закона «Об электронной подписи» случае, и требований к порядку представления доверенности в предусмотренном пунктом 2 статьи 17.3 Федерального закона «Об электронной подписи».
• Приказ ФСТЭК России от 10.02.2022 № 26 «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227».
• ГОСТ Росстандарта 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации» введен в действие с 1.02.2022.
• Приказ ФСБ России от 31.01.2022 № 35 «Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99-Ф3 «О лицензировании отдельных видов деятельности», который, в том числе, утверждает оценочные листы, применяемые при осуществлении оценки соответствия соискателей (лицензиатов) лицензионным требованиям, например, на соответствие ПП-313.
• Положение Банка России от 12.01.2022 № 787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг»
• Указание Банка России от 16.12.2021 № 6017-У про моделирование угроз — «О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, при взаимодействии организаций финансового рынка с единой биометрической системой».
• Приказ Минцифры России от 07.12.2021 № 1312 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи», в котором уменьшили число индикаторов с 4 до 3 по сравнению с проектом.
• Приказ Минцифры от 06.12.2021 № 1308 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации».
• Положение Банка России от 15.11.2021 № 779-П «Об обязательных для некредитных финансовых организаций требованиях к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2022 года № 86-ФЗ „О Центральном банке Российской Федерации (Банке России)“, в целях обеспечения непрерывности оказания финансовых услуг».
• Банк России принял Указание от 08.11.2021 № 5986-У «О внесении изменений в Указание Банка России от 8 октября 2018 года N 4927-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации», которое вводит две новые формы отчетности: 0409071 — Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации, 0409106 — Отчет по управлению операционным риском в кредитной организации.

День 2. «Культура информационной безопасности».

• Понятие культура информационной безопасности. Культура информационной безопасности как составная часть корпоративной безопасности.
• Локальные правовые акты предприятия в области информационной безопасности. Влияние цифровой трансформации предприятия на культуру информационной безопасности.
• Распределение зон ответственности между подразделениями предприятия по формированию культуры информационной безопасности.
• Включение культуры информационной безопасности в антикоррупционную политику, кодекс этики и стандарты поведения работников предприятия.
• Доверие между работником и работодателем как один из принципов культуры информационной безопасности.
• Доведение требований по информационной безопасности при приеме новых работников на предприятии. Вводные инструктажи и занятия.
• Требования по информационной безопасности применимо к различным должностям предприятия.
• Культура информационной безопасности при реализации права граждан на обращения в государственные инстанции.
• Мотивация персонала на соблюдение культуры информационной безопасности.
• Отказ от распространения слухов и непроверенной информации как элемент культуры информационной безопасности. Защита от манипулирования при работе с информацией.
• Культура информационной безопасности при работе с информацией, представленной в электронном виде. Культура пользования техническими средствами обработки информации. Использование личных гаджетов при выполнении трудовых обязанностей.
• Культура информационной безопасности при увольнении персонала. Что можно и что нельзя говорить после увольнения. Обеспечение конфиденциальности и этики при прохождении собеседования с будущими работодателями.
• Защита персональных данных работников как элемент культуры информационной безопасности.
• Защита коммерческой тайны предприятия как элемент культуры информационной безопасности.
• Методы и приемы защиты информации при дистанционной (удаленной) работе.
• Культура информационной безопасности при работе с открытой корпоративной информацией, доступ к которой не ограничен российской законодательством.
• Культура информационной безопасности при взаимоотношениях с контрагентами. Применение политики конфиденциальности и этики при проведении переговоров и при выполнении условий договора.
• Культура информационной безопасности работников в командировках, а также на конференциях и иных официальных мероприятиях, проводимых другими организациями.
• Имиджевые риски при разглашении информации, компрометирующей предприятие или руководство. Противодействие черному пиару, информационным войнам и иным неэтическим действиям со стороны конкурентов. Основные правила информационного противоборства в конкурентной борьбе.
• Соблюдение культуры информационной безопасности при межличностных отношениях в трудовом коллективе, а также при взаимоотношениях с уволившимися работниками.
• Культура информационной безопасности в семейных отношениях. Что можно и что нельзя говорить родственникам. Соблюдение конфиденциальности при доведении служебной информации до детей.
• Культура информационной безопасности и этические нормы поведения во внерабочее время. Размещение информации в социальных сетях и иных информационных ресурсах интернета.
• Культура информационной безопасности при взаимоотношениях работников с государственными контролирующими и правоохранительными органами.
• Проведение внутренних проверок и расследований по инцидентам, связанным с нарушениями информационной безопасности на предприятии.
• Ответственность за нарушение требований информационной безопасности, этических норм и стандартов поведения.

День 3. «Как организовать работу с персональными данными в компании: новые требования законодательства, ответственность за несоблюдение, претензии Роскомнадзора».

Нормативно-правовое регулирование вопросов использования персональных данных.

• Система законодательных требований в области персональных данных.
• Последние законодательные изменения.
• Персональные данные в бизнесе: Big data, профайлинг, веб-аналитика и обезличенные данные.

Что такое privacy compliance и зачем он нужен?

• Организация работы по соблюдению законодательства о персональных данных внутри компании.
• Функции и задачи ответственного за организацию обработки персональных данных (Data Protection Officer).
• Внутренний аудит в области персональных данных.
• Бизнес-процессы с персональными данными в компании: основные характеристики и типовые кейсы.
• Особенности обработки персональных данных в электронной коммерции.

Понятие «персональные данные» и виды персональных данных.

• Понятие «персональные данные» и «оператор персональных данных».
• Распространение персональных данных — новый федеральный закон № 519-ФЗ.
• Биометрические персональные данные и специальные категории персональных данных.

Обработка персональных данных работников и клиентов.

• Система организационно-распорядительной документации в области персональных данных.
• Корректное определение целей и способов обработки персональных данных.
• Правовые основания обработки персональных данных. Составление согласий в различных ситуациях.
• Обработка персональных данных при реализации бонусных программ для клиентов.
• Порядок хранения персональных данных и доступа к ним. Личные дела работников.
• Порядок уничтожения персональных данных.
• Особенности работы с персональными данными в отделе кадров, отделе маркетинга и других структурных подразделениях.

Обработка персональных данных в информационных системах персональных данных (ИСПДн).

• Что такое ИСПДн?
• Система нормативных требований по защите ИСПДн: организация их выполнения.
• Как выполнить требование о локализации баз персональных данных в России (242-ФЗ)?

Трансграничная передача персональных данных.

• Требования по трансграничной передаче и порядок их выполнения.
• Использование облачных и иностранных ИСПДн на территории России.

Уведомление об обработке персональных данных.

• Порядок заполнения и подачи уведомления.
• Сложности при подаче уведомления и способы их решения.

Сделки с персональными данными.

• Составляем договор на поручение обработки персональных данных: обязательные условия, хитрости, кейсы.
• Передача прав на базы персональных данных: особенности договорного сопровождения.

Риски и ответственность.

• Ответственность за нарушения в области персональных данных. Судебная практика.
• Очевидные и неочевидные риски.
• Блокирование доступа к интернет-сайтам.

Проверки Роскомнадзора: особенности организации и проведения, основные выявляемые нарушения.

• Новые правила проведения контрольно-надзорных мероприятий — Постановление Правительства от 29.06.2021 № 1046.
• Виды надзорных мероприятий. Порядок организации и проведения плановых и внеплановых проверок.
• Опыт сопровождения надзорных проверок: особенности подготовки к проверке, участия в надзорных мероприятиях, выполнения и обжалования предписаний.

День 4. «Особенности обеспечения информационной безопасности в органах исполнительной власти».

Критически важные структуры системы информационной безопасности федеральных органов исполнительной власти:

• СМИ.
• СМК.
• PR-структуры.

Обеспечение безопасности и меры защиты информации в государственных информационных системах.

• Требования к организации защиты информации, содержащейся в ГИС.
• Аттестация информационной системы.

Обеспечение информационной безопасности государственных данных.

• Анализ и оценка угроз ИБ объекта.
• Проверка защищенности объектов информатизации на соответствие требованиям нормативных документов.

Технические средства защиты информации.

• Системы контроля и управления доступом.
• Контролируемые каналы утечки информации.
• Особенности реализации и интеграции с критической информационной системой.
• Средства защиты электронной почты.

Программно-аппаратные средства обеспечения ИБ.

• Распределенные и изолированные информационных систем.
• Методы и протоколы авторизации.
• Безопасность удаленного доступа.
• Организация защиты ресурсов при использовании разделяемой памяти.
• Безопасность виртуальных и облачных систем.
• Специфика угроз в виртуальной среде.
• Угрозы, атаки при использовании облаков.

Средства обеспечения безопасности мобильных устройств специалистов государственных муниципальных учреждений.

Информационные угрозы в социальных сетях.

• Человеческий фактор" и социальная инженерия.
• Угрозы, связанные с воздействием на людей.
• «Технологические» и «психологические» методы социальной инженерии.
• Новые угрозы, связанные с ростом популярности социальных сетей.
• Организационные и технические меры по предотвращению подобных угроз.

Организация информационной защиты сайтов и интернет — приемных органов государственной власти.

Применение медиативных практик в обеспечение информационных конфликтов в публичной сфере.

День 5. «Измерение эффективности информационной безопасности».

Для чего нужно измерение эффективности ИБ?

• Можно ли измерять ИБ?
• Зачем нужно измерять ИБ?
• Качественное и количественное измерение?
• Все ли измеряется деньгами или имеют ли право на существование нефинансовые методы измерений?
• Почему так сложно измерять ИБ? Аудитория для результатов измерений.
• Мифы об измерении ИБ.

Метрики ИБ.

• Что такое метрики ИБ?
• Различные классификации метрик.
• KPI, PI, KRI, CSF... В чем разница?
• База метрик.
• Где брать исходные данные для метрик.
• Как выбрать метрики?
• Метрики и время.
• Кто выбирает метрики?
• Сколько метрик нужно?
• Тестирование метрик.
• Пересмотр метрик.
• Как презентовать метрики?

Программа управления оценкой эффективностью ИБ.

• План.
• Модель зрелости программы.
• С чего начать?
• Ошибки при внедрении программы управления метриками
• Насколько вы готовы к внедрению программы?

Методы измерения ИБ.

• Оценка разрыва.
• «Сверху-вниз» и «снизу-вверх».
• Оценка соответствия стандарту.
• Оценка по сравнению.
• Оценка по чек-листу.
• Оценка по графу атак \ дереву рисков.
• Оценка рисков.
• Оценка по опросам.
• Оценка уровня зрелости.
• Оценка по методу «шести сигм».
• Аудит безопасности.
• Система сбалансированных показателей (BSC).
• Финансовые методы оценки.

Средства автоматизации управления метриками.

Стандарты измерения эффективности ИБ.

Прямая и косвенная отдача от ИБ.

Примеры проектов измерений отдельных процессов ИБ.

• Идентификация, аутентификация, авторизация и контроль доступа.
• Повышение осведомленности, тренинги, обучение.

Примеры программ измерения ИБ в западных компаниях.

Программа заочной части.

Модуль 1. Для начинающих специалистов по информационной безопасности.

• 1.1. Особенности современного цифрового информационного мира.
• 1.2. Тенденции.
• 1.3. Искусственный интеллект.

Модуль 2. Общие положения по информационной безопасности.

• 2.1. Источниками конфиденциальной информации.
• 2.2. Составляющие информационной безопасности.
• 2.3. Каналы утечки конфиденциальной информации (через организацию деятельности).
• 2.4. Каналы утечки конфиденциальной информации (через технические средства).
• 2.5. Каналы утечки конфиденциальной информации (через человеческий фактор).
• 2.6. Меры по защите информации.
• 2.7. Подготовительные мероприятия перед защитой информации.
• 2.8. Принципы информационной безопасности.

Модуль 3. Правовые основы информационной безопасности на предприятии.

• 3.1. Информационные ресурсы в зависимости от доступа.
• 3.2. Информация в зависимости от порядка ее предоставления.
• 3.3. Неограниченный доступ.
• 3.4. Конфиденциальная информация согласно Указу Президента РФ от 06.03.1997 г. № 188 с ред. 13.07.2015.
• 3.5. Конфиденциальная информация согласно ФЗ «Об информации, информационных технологиях и защите информации» от 27.07.2006 N 149-ФЗ (ред. от 30.12.2021) (с изм. и доп., вступ. в силу с 01.01.2022).

Модуль 4. Защита персональных данных.

• 4.1. Общее понимание терминов и ситуации.
• 4.2. Отличие «распространения ПД» и «предоставление ПД».
• 4.3. «Биометрические ПД».
• 4.4. «Согласие» в Федеральном законе от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) «О персональных данных».
• 4.5. «Конклюдентные действия».
• 4.6. «Оператор ПД».
• 4.7. Аутсорсинг обработки ПД. Что необходимо включить в договор?
• 4.8. Подготовительные и организационно-правовые мероприятия по защите ПД на предприятии.
• 4.9. Технические мероприятия по защите ПД на предприятии.

Модуль 5. Нормативно-правовое регулирование информационной безопасности.

• 5.1. Организационно-распорядительная документация по обработке ПД.
• 5.2. Использование средств криптографической защиты информации (СКЗИ).
• 5.3. Государственный контроль за обработкой ПД. Роскомнадзор.
• 5.4. Полномочия ФСТЭК России как регулятор в области обеспечения технической защиты ПД не криптографическими методами.
• 5.5. Полномочия ФСБ России как регулятор в области использования средств криптографической защиты информации, в том числе для защиты ПД.
• 5.6. Банк России как специфического регулятора отношений в кредитно-финансовой области.
• 5.7. Ответственность за нарушение режима (разглашение) ПД, применяемая к работнику.
• 5.8. Типичные нарушения операторами законодательства о ПД (по результатам проверок Роскомнадзора).

Модуль 6. Административная и уголовная ответственность в сфере информационной безопасности на территории РФ.

• 6.1. Административная ответственность работодателя за нарушение законодательства о ПД (статья 13.11).
• 6.2. Административная ответственность за разглашение информации с ограниченным доступом (Статья 13.14 КОАП).
• 6.3. Уголовная ответственность за правонарушения в области персональных данных.

Модуль 7. Международное законодательство в области защиты ПД.

• 7.1. General Data Protection Regulation (GDPR).
• 7.2. Принципы обработки ПД по GDPR.
• 7.3. Источники ПД.
• 7.4. Права субъектов ПД.