Корпоративное обучение и услуги →
Корпоративная программа "Управление информационной безопасностью на предприятии"
Актуальность программы
Мероприятия по защите бизнеса будут неполны и неэффективны, если не уделять внимание вопросам информационной безопасности и защите информации с ограниченным доступом. Не бывает компаний, где бы все информационные ресурсы были открыты, в любой организации есть информация, которую она обязана защищать (например, персональные данные сотрудников) и есть информация, которую она имеет право защищать (например, коммерческая тайна).
Сложность процесса защиты информационных ресурсов в том, что информация — вещь нематериальная, представленная в разных формах. Поэтому процесс защиты информации достаточно сложен и предполагает комплексное применение организационных, кадровых, режимных, правовых, технических и иных мероприятий. Статистика показывает, что утечка защищаемой информации в основном происходит через "человеческий фактор" и документооборот.
Этот модуль о там, как реально защитить конфиденциальную информацию в компании, а также о некоторых международных и национальных стандартах по информационной безопасности также участникам этого семинара будут предложены готовые алгоритмы действий и формы (образцы) необходимых нормативно правовых документов.
Целевая аудитория:
- директора предприятий и руководители подразделений и бизнес-единиц;
- заместители руководителей предприятий по безопасности, директора по безопасности;
- руководители и сотрудники служб безопасности предприятия;
- специалисты по информационной безопасности предприятия;
- специалисты ИТ-подразделений;
- специалисты по ИТ-безопасности и кибербезопасности;
- специалисты HR-подразделений;
- корпоративные юристы;
- сотрудники, участвующие в организации конфиденциального делопроизводства на предприятии.
Вопросы программы
День 1
Политика информационной безопасности на предприятии.
- Законодательство Российской Федерации в области защиты информации. Термины и определения. Правовые основы наличия на предприятии конфиденциальной информации. Информация, доступ к которой не может быть ограничен.
- Порядок создания корпоративной нормативно-правовой базы по защите информации. Методика разработки политики информационной безопасности на предприятии.
- Создание службы информационной безопасности (СИБ). Разделение функций между СИБ, СБ и ИT-подразделением. Место СИБ в структуре предприятия.
- Менеджмент информационной безопасности. Порядок проведения аудита информационной безопасности на предприятии.
- Структура конфиденциальных информационных массивов. Источники конфиденциальной информации. Угрозы информационным ресурсам и варианты их реализации.
- Основные направления защиты конфиденциальной информации. Системный подход к защите информации.
- Организационные мероприятия по защите конфиденциальной информации. Анализ информационных ресурсов на предприятии. Оптимизация информационных потоков. Определение формы представления информационных ресурсов, подлежащих защите.
- Режимные, технические и инженерно-технические мероприятия по защите конфиденциальной информации. Создание внутриобъектового и пропускного режимов. Физическая защита охраняемых информационных ресурсов. Способы хранения информации вне территории предприятия.
- Кадровые мероприятия по защите конфиденциальной информации. Распределение прав доступа к информации. Разглашение информации через "человеческий фактор", как основной канал утечки конфиденциальной информации.
- ИT-мероприятия по защите конфиденциальной информации. Защита компьютерных сетей. Применение средств криптографической защиты информации.
- Правовые мероприятия по защите конфиденциальной информации. Создание на предприятии правовых режимов по защите информации. Возможность использование правовых режимов для привлечения сотрудников к юридической ответственности за разглашение информации или неправомерному доступу к информации.
- Международные и национальные стандарты безопасности информационных систем. Основные положения ИСО 27000. Американская концепция системного подхода к обеспечению защиты конфиденциальной информации (OPSEC Operation Security).
- Виды юридической ответственности за разглашение конфиденциальной информации, а также за её незаконное получение. Уголовная, административная и гражданско-правовая ответственность. Обзор судебной практики.
День 2
Защита персональных данных на предприятии.
- Международные конвенции по защите персональных данных физических лиц. Законодательство РФ в сфере персональных данных. Основные правовые акты регуляторов, определяющих политику по защите персональных данных.
- Права субъекта персональных данных и обязанности оператора персональных данных. Виды юридической ответственности за разглашение персональных данных, а также за невыполнение требований по их защите.
- Формирование правового режима защиты персональных данных. Порядок получения, хранения, предоставления и уничтожения (обезличивания) персональных данных. Требования по защите персональных данных.
- Организационные, технические и инженерно-технические мероприятия, проводимые при обработке персональных данных. Создание локальной базы организационно-распорядительных документов.
- Особенности обработки персональных данных, осуществляемой без использования средств автоматизации и их защита.
- Особенности обработки персональных данных, осуществляемой в информационных системах персональных данных. Формирование модели угроз безопасности персональных данных. Методика определения актуальных угроз. Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз.
- Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
- Пошаговый алгоритм действий по созданию на предприятии системы обработки персональных данных, удовлетворяющей требованиям регуляторов.
- Административный регламент исполнения государственной функции по осуществлению государственного контроля за соответствием обработки персональных данных требованиям законодательства.
- Права и обязанности должностных лиц, осуществляющих государственный контроль и лиц, в отношении которых осуществляются мероприятия по контролю. Психологические приёмы общения с проверяющими.
- Требования к порядку исполнению государственной функции по контролю за обработкой персональных данных. Состав, последовательность и сроки выполнения административных процедур.
- Порядок и формы контроля за исполнением государственной функции по контролю за обработкой персональных данных. Досудебный (внесудебный) порядок обжалования решений и действий (бездействий) проверяющих должностных лиц.
Режим коммерческой тайны на предприятии.
- Подготовительные мероприятия перед созданием режима коммерческой тайны. Оптимизация защищаемых информационных потоков. Определение формы представления информации, включаемой в режим коммерческой тайны.
- Составление перечня сведений, составляющих коммерческую тайну. Практические советы по составлению перечня. Возможные аналитические приёмы, применяемые при составления этого перечня (диверсионный анализ, анализ с позиции ущерба, анализ по аналогии, экспертный анализ и т.д.).
- Установление сроков защиты информации, составляющей коммерческую тайну. Определение времени и процедур оценки конфиденциальности документов. Установление порядка вывода документов из режима коммерческой тайны.
- Изменения и дополнения, вносимые в нормативно-правовые документы предприятия при введении режима коммерческой тайны.
- Определение перечня должностей, при назначении на которые сотрудники будут допущены к коммерческой тайне. Практические рекомендации по составлению перечня.
- Обязательства сотрудников по сохранению коммерческой тайны на предприятии. Что понимается под разглашением коммерческой тайны. Обязан ли сотрудник хранить коммерческие секреты после увольнения.
- Разделение коммерческой тайны на группы по принципу конфиденциальности с установлением процедур работы и защиты информации, попадающей в различные группы.
- Особенности включения в режим коммерческой тайны информации, представленной в электронном виде.
- Защита коммерческой тайны. Комплексный и системный подход к защите информации. Организационные, кадровые, технические, режимные и иные мероприятия по защите коммерческой тайны.
- Особенности создания режима коммерческой тайны в организациях, представляющих разные сферы бизнеса (промышленные предприятия, сфера услуг и т.д.).
- Соблюдение режима коммерческой тайны в гражданско-правовых отношениях с контрагентами. Как прописать в договоре. Компенсация ущерба или штрафные санкции — что применять к контрагенту за нарушение конфиденциальности, переданной ему информации, составляющей коммерческую тайну.
- Создание конфиденциального делопроизводства, как необходимый элемент защиты документов, в которых представлена коммерческая тайна. Определение процедур создания, перемещения, хранения и уничтожения конфиденциальных документов.
Будем признательны вам, если при обращении в данную организацию, вы упомянете о том, что нашли информацию на сайте "Все Тренинги .ру". Спасибо!
Подробнее читайте в интернете: https://vsetreningi.ru/msk/offers/korporativnaya_programma_upravlenie_informacionnoy_bezopasno