Нормативное обеспечение информационной безопасности

2024/2025

Статус: Маго-лего

Кто читает: Кафедра информационной безопасности киберфизических систем

Когда читается: 3, 4 модуль

Охват аудитории: для всех кампусов НИУ ВШЭ

Преподаватели: Ильина Дарья Викторовна, Сергеев Антон Валерьевич

Язык: русский

Кредиты: 6

Полная версия программы учебной дисциплины Задать вопрос

Аннотация

Курс посвящен защите двух видов данных, встречающихся в почти в любой организации: ключевой информации и персональных данных. Структурно курс разделён на 2 блока. Первый блок посвящен инфраструктуре открытых ключей (PKI, (Public Key Infrastructure) и цифровым сертификатам как фундаментальной основе для распространения доверия в современных компьютерных системах. Второй блок даёт информацию о нормативных и регуляторных вопросах обеспечения информационной безопасности, с глубоким погружением в задачи защиты персональных данных. • Блок 1. Цифровые сертификаты и инфраструктура открытых ключей (PKI, (Public Key Infrastructure) ) лежат в основе всех механизмов современной защищенной цифровой инфраструктуры, базой для распространения доверия в современных компьютерных системах. Набор принципов и технологий, зародившийся в конце 1970-х годов nm,jklm,./j./ Что такое – «доверие» в цифровом мире с технической точки зрения. Почему цифровые сервисы доверяют предъявляемым контрагентами криптографическим ключам или, наоборот, отвергают их? Какие проблемы при этом возникают и какие стандарты были созданы в ответ на эти проблемы? На каких принципах построена современная «инфраструктура доверия»? На эти и другие вопросы отвечает курс по защищенной PKI-инфраструктуре. Помимо фундаментальных понятийных вопросов «цифрового доверия» в курсе рассмотрены стандарты и технологии PKI, X.509, CRL, PKCS, CMS, OCSP, LDAP. Рассматриваются вопросы интеграции цифровых сертификатов и прикладных сервисов. Курс реализуется с использование образовательных дистанционных технологий. Практическая часть курса посвящена созданию сертификатов, цепочек доверия и списков отзыва сертификатов с использованием библиотеки OpnSSL. Рассматриваются практические задачи работы с защищенными хранилищами, а также использования сертификатов для обеспечения безопасных соединений. Пререквизиты: • Сетевое и системное администрирование Windows / Linux (базовый уровень). • Умение запускать и устанавливать приложения. • Умение работать с сетевыми интерфейсами. • Умение работать с виртуальными машинами (VMM). • Блок 2. Нормативное обеспечение и защита персональных данных. Слушателям даются глубокие знания и практическая подготовка по выполнению требований законодательства в области персональных данных. Слушатели, успешно окончившие курс располагают полным набором компетенций для работы в качестве ответственных за защиту персональных данных (Data Protection Officers, DPO) в организациях. Подробно рассмотрены требования российского законодательства в области персональных данных; рассмотрены вопросы, связанные с аттестацией объектов информатизации и прохождением проверок регуляторов; приведены методики и рабочие подходы к составлению организационно-распорядительных документов в организации. Большое внимание уделено проведению внутреннего аудита и анализу бизнес-процессов в организации для контроля за исполнением мер разработанных для защиты персональных данных. Рассмотрены кейсы по привлечению сотрудников к ответственности за нарушение законодательства в области персональных данных. Предоставлена информация по вопросам трансграничной передачи данных и GPDR. В отдельном модуле действующие ИБ-профессионалы ведущих российских компаний безопасности делятся опытом организации подразделений ИБ, практикой прохождения проверок, отраслевыми подходами к выстраиванию процесса защиты. Учтены последние регуляторные требования в области обеспечения персональных данных, а также тренды в изменении законодательства.

Цель освоения дисциплины

Формирование представления о технологиях PKI, теории и практике использования цифровых сертификатов для защиты информационной инфраструктуры.
Формирование практических навыков по работе с цифровыми сертификатами.
Получение информации о нормативных основах информационной безопасности, в первую очередь – на примере защиты персональных данных.
Понимание регуляторных требований по защите персональных данных, составления организационно-распорядительных документов, вопросов аттестации объектов информатизации, прохождения проверок регуляторов, составления организационно-распорядительных документов в организации.

Планируемые результаты обучения

Знает ключевые термины сферы PKI
Знает и может перечислить ключевые стандарты в области PKI, в т.ч. международные
Знает структуру и поля цифрового сертификата стандарта X.509
Описывает стандартные дополнений цифрового сертификата стандарта X.509
Умеет создавать цепочки цифровых сертификатов
Умеет формировать поля цифрового сертификата исходя из целевой задачи и места сертификата в цепочке доверия
Перечисляет и знает особенности различных моделей доверия PKI
Знает компоненты PKI
Описывает этапы жизненного цикла цифрового сертификата
Описывает этапы жизненного цикла ключа
Понимает роль и место PKI в защищенной цифровой инфраструктуре
Знает требования российского законодательства в области персональных данных и основы GDPR
Умеет проводить анализ бизнес-процессов, связанных с обработкой ПДн, определять перечень обрабатываемых персональных данных
Перечисляет актуальные нормативные правовые акты, методические рекомендации, национальные стандарты в области защиты персональных данных
Называет полномочия регуляторов (ФСТЭК, ФСБ, РКН, Банк России и т.п. ) в области защиты персональных данных
Знает как успешно проходить надзорные проверки регуляторов
Знает порядок прохождения аудит организации для принятия мер по защите персональных данных
Классифицирует ИСПДн организации, проводить аттестацию ИСПДн
Разрабатывает и анализирует политики безопасности и модели угроз
Умеет разрабатывать организационно-распорядительные документы в организации
Знает известные судебные прецеденты и позицию надзорных органов по утечкам персональных данных, примеры привлечения сотрудников и контрагентов к ответственности за разглашение ПДн
Может организовать наиболее распространенные процессы по обработке персональных данных в компании
Знает лучшие отраслевые практики по защите ПДн

Содержание учебной дисциплины

1.1 X.509. Введение в курс. Задачи криптографической защиты информации. Предпосылки к созданию цифрового сертификата
1.2 Понятие цифрового сертификата
1.3 Стандарт X.509. Введение и краткая история
1.4 Стандарт X.509. Обязательные поля сертификата
1.5 Цепочки сертификации
1.6 Модели доверия
1.7 Жизненный цикл ключей и сертификатов
1.8 Компоненты PKI. Универсальный сетевой каталог
1.9 Интеграция цифровых сертификатов и универсального сетевого каталога. Протокол LDAP
1.10 Практикум по созданию цепочки цифровых сертификатов с использованием OpenSSL, контейнерам, интеграции с сетевым каталогом
2.1 Нормативные и правовые основы защиты персональных данных
2.2 Ключевые нормативные акты организации по защите персональных данных
2.3 Организация защиты персональных данных: теория и практика
2.4 Отраслевые кейсы. Опыт защиты персональных данных от ведущих экспертов по информационной безопасности

Элементы контроля

Практические работы (Блок 1)
Тестирование и активность на занятиях (Блок 1)
Практические работы (Блок 2)
Тестирование и активность на занятиях (Блок 2)
Экзамен

Промежуточная аттестация

2024/2025 4th module
0.225 * Практические работы (Блок 1) + 0.18 * Практические работы (Блок 2) + 0.225 * Тестирование и активность на занятиях (Блок 1) + 0.27 * Тестирование и активность на занятиях (Блок 2) + 0.1 * Экзамен

Список литературы

Авторы

Аксенова Ольга Вениаминовна
Ильина Дарья Викторовна
Сергеев Антон Валерьевич

Программа дисциплины