Обзор курса

Теме персональных данных и их защите сегодня уделяется очень много внимания. На нас давят регуляторы в лице ФСТЭК, ФСБ и Роскомнадзор (РКН), законодатели, субъекты персональных данных и другие. Не всегда их требования понятны и просты в реализации, а некоторые противоречивы и вызывают скорее вопросы, чем дают исчерпывающие ответы.

Надо ли мне регистрироваться как оператор персональных данных, если я использую 1С:Предприятие? Надо ли получать лицензию на деятельность по защите персональных данных? Я обязан выполнять требования ФСТЭК по защите персональных данных или могу составить свой перечень мероприятий? Как с минимальными затратами выполнить требования ФСТЭК по информационной безопасности? Если я обрабатываю данные о состоянии здоровья или данные свыше 100000 субъектов, то могу ли я классифицировать свои системы ниже 1-го класса? Как часто меня могут проверять надзорные органы? Какова процедура моей проверки со стороны регуляторов? Что мне грозит за невыполнение законодательства по персональным данным?

Основная задача курса – показать сценарии оптимизации затрат и усилий по приведению себя в соответствие с требованиями действующего законодательства по персональным данным.

Для кого предназначен курс

Курс ориентирован на  широкий круг специалистов:

  • На руководителей служб безопасности (CSO), отделов информационной безопасности (CISO), советников по безопасности, экспертов по безопасности, обеспечивающих защиту персональных данных в своих организациях.
  • На руководителей служб автоматизации (CIO) и специалистов по информационным технологиям, обеспечивающим функционирование инфраструктуры и приложений, обрабатывающих персональные данные.
  • Юристов, сотрудников отделов кадров и представителей подразделений, работающих с персональными данными сотрудников/клиентов/абонентов.
  • На интеграторов и консультантов, выполняющих работы по информационной безопасности для своих заказчиков.

Преимущества для представителей юридических департаментов

Если вы представляете юридический департамент, то знаете ли вы, что, опираясь на нормы действующего законодательства…

  • Вы можете не получать согласия субъектов персональных данных в 95% случаев.
  • Вам не надо перезаключать договора с вашими клиентами, заключенными до вступления в силу закона «О персональных данных».
  • Вы можете не удалять персональные данные по первому требованию субъекта персональных данных.
  • Вы можете не уведомлять уполномоченный орган по защите прав субъектов персональных данных в 99% случаев.

Преимущества для представителей департаментов по работе с клиентами

Если вы представляете департамент по работе с клиентами, то знаете ли вы, что, опираясь на нормы действующего законодательства…

  • Вы не имеете права рассылать вашим клиентам персонифицированные сообщения, содержащие предложения рекламного характера.
  • Вам не надо получать согласие клиентов, предоставляющих документ, удостоверяющий личность, при входе на территорию вашего предприятия.

Преимущества для представителей департаментов по работе с персоналом

Если вы представляете департамент по работе с персоналом, то знаете ли вы, что, опираясь на нормы действующего законодательства…

  • Вы можете не получать письменное согласие кандидатов, отправляющих резюме через Интернет
  • Вам не обязательно удалять персональные данные сразу после увольнения сотрудника
  • Вы можете быть оштрафованы за нарушение законодательства о персданных на сумму 50 тысяч рублей, умноженную на число ваших сотрудников.

Преимущества для представителей ИТ-департаментов

Если вы представляете ИТ-департамент, то знаете ли вы, что, опираясь на нормы действующего законодательства…

  • Вы не можете передавать персональные данных ваших сотрудников или клиентов на Украину и в Белоруссию
  • Учетная запись пользователя и его IP-адрес могут быть отнесены к персональным данным с вытекающими из этого требованиями по защите этой информации
  • Ваш клиент может потребовать уничтожения резервных копий данных ваших ИТ-систем.

Преимущества для представителей служб информационной безопасности

Если вы представляете службу информационной безопасности, то знаете ли вы, что, опираясь на нормы действующего законодательства…

  • Вам не надо аттестовать свои ИСПДн в ФСТЭК
  • Вам не надо получать лицензию ФСТЭК на техническую защиту конфиденциальной информации
  • Вы не имеете права использовать генераторы шума
  • Вам не надо ни с кем согласовывать разработанную вами модель угроз и перечень защитных мероприятий.

Программа курса

1.      ФЗ-152 и особенности его исполнения.

1.1.Чьи требования выполнять – ФЗ-152 или Европейской Конвенции?

1.2.Когда ИСПДн должны начать соответствовать ФЗ-152 - 1-е января 2011 года или после его принятия?

1.3.Что такое персональные данные?

1.4.Являются ли ИНН, номер паспорта, IP-адрес, телефон и адрес e-mail персональными данными?

1.5.Что такое изображение человека и любая ли фотография является биометрическими ПДн?

1.6.Почему так важно выбрать цель обработки ПДн?

1.7.Как долго можно хранить ПДн?

1.8.В каких случаях организация обрабатывает ПДн, но не является оператором ПДн?

1.9.Как уменьшить число случаев, когда надо уведомлять Роскомнадзор?

1.10.Как уменьшить число случаев, когда надо получать согласие субъекта ПДн?

1.11.Что такое согласие?

1.12.Как обрабатывать резюме или анкеты а получение кредита, не имея согласия?

1.13.Можно ли обрабатывать информацию о судимости?

1.14.Могу ли я не отвечать на запросы субъекта ПДн?

1.15.Что такое обезличивание и как с его помощью можно решить многие проблемы?

1.16.Как оффшор может помочь при обработке персональных данных?

1.17.Как архив может помочь уйти из под действия ФЗ-152?

1.18.Как с помощью ФЗ-152 парализовать работу любой организации?

1.19.Что делать, если договор с субъектом ПДн заключен до вступления в силу ФЗ-152?

1.20.Как оформить обработку получения ПДн от третьих лиц?

1.21.Как передавать ПДн третьим лицам?

1.22.Инвалидность и другие примеры «состояния» здоровья, а также что такое вообще "состояние здоровья"?

1.23.Почему субъект ПДн не может отказаться от данного согласия?

2.      Постановления Правительства ПП-781 и ПП-687.

2.1.В чем разница двух постановлений?

2.2.Что такое обработка со средствами автоматизации и без оных?

2.3.Могу ли я «уйти» под ПП-687 и самостоятельно принимать решение о выбираемых защитных мерах?

2.4.Что такое «конфиденциальность персональных данных»?

2.5.Обязан ли я использовать сертифицированные средства защиты?

2.6.Обязан ли я аттестовывать ИСПДн?

2.7.В каких случаях я могу не использовать криптосредства при передаче по открытым каналам связи?

3.      Постановление Правительства ПП-512

3.1.Как защищать биометрические персональные данные?

4.      «Приказ трех» о классификации ИСПДн?

4.1.Как оптимально выбрать класс ИСПДн?

4.2.Могут ли меня заставить изменить класс ИСПДн?

4.3.Можно ли проверить правильность выбранного мной класса?

4.4.Существуют ли в природе типовые ИСПДн?

4.5.Относится ли АБС и СКУД к ИСПДн?

4.6.Различные сценарии классификации ИСПДн

4.7.Как разработать собственную модель угроз?

5.      Нормативные документы ФСТЭК.

5.1.История нормативных документов ФСТЭК

5.2.Легитимны ли они с точки зрения российского законодательства?

5.3.Что пришло на смену «четверокнижию»?

5.4.Ключевые требования 58-го Приказа ФСТЭК.

5.5.Какую модель угроз использовать? От ФСТЭК или ФСБ?

5.6.Надо ли мне сертифицировать общесистемное и прикладное ПО по требованиям безопасности?

5.7.Обязан ли я получать лицензию ФСТЭК на техническую защиту конфиденциальной информации?

5.8.Можно ли сэкономить на приобретении средств защиты информации?

5.9.Могу ли я защитить ИСПДн несертифицированными средствами защиты?

5.10.Надо ли мне аттестовываит ИСПДн?

5.11.Соответствие классов ИСПДн и АС

6.      Нормативные документы ФСБ

6.1.Можно ли обойтись без криптографии?

6.2.Конфиденциальность и криптография: это одно и тоже?

6.3.Надо ли использовать сертифицированные СКЗИ для защиты ПДн?

6.4.Надо ли получать лицензию ФСБ для защиты ПДн?

6.5.Почему можно не использовать сертифицированные СКЗИ при передаче ПДн за пределы России?

7.      Иные нормативные документы и рекомендации

7.1.Банк России (СТО БР ИББС 1.0 и «Рекомендации по ПДн»)

7.2.Рекомендации для операторов связи (НИР «Тритон»)

7.3.Рекомендации Рособрнауки

7.4.Рекомендации Минздравсоцразвития

7.5.Рекомендации СоДИТ и 4CIO

8.      Типовые случаи обработки персональных данных

8.1.Деятельность кредитного бюро

8.2.Использование скоринговых систем

8.3.Прямой маркетинг товаров и услуг

8.4.Ведение и использование «черных списков» должников, мошенников и т.п.

8.5.ОСАГО, страховая медицина и иные страховые услуги

8.6.Работа роддомов и поликлиник

8.7.Контроль за электронной почтой сотрудников

8.8.Платежи третьим лицам

8.9.Открытие счетов

8.10.Использование видеонаблюдения

8.11.Обработка резюме и заявок на получение банковского кредита

8.12.Использование услуг курьеров и логистических компаний

8.13.Видеонаблюдение, аудиозапись, Call Center, контроль e-mail

8.14.Доверенности

8.15.Резервные копии и архивы

8.16.Регистрация доменов

8.17.Пропускные бюро

8.18.Как получить согласие получателя платежа?

8.19.Доверенности (для банков)

8.20.Модно ли передавать ПДн в органы власти без согласия субъектов?

8.21.Как передавать ПДн аутсорсинговым партнерам?

8.22.Зарубежные SaaS-сервисы и ПДн

8.23.Можно ли обрабатывать ПДн при открытии вклада в пользу третьего лица?

8.24.Завещательное распоряжение денежными средствами

8.25.Можно ли распоряжаться денежными средствами по требованию третьих лиц?

8.26.Как обрабатывать ПДн при оплате от имени или в пользу третьего лица?

8.27.Расчет платежными поручениями и ПДн

8.28.Надо ли уничтожать ПДн после проведения платежа?

8.29.Обработка ПДн и действия в чужом интересе без поручения

9.      Административное, дисциплинарное и уголовное наказание за несоблюдение законодательства по персональным данным.

9.1.Статьи Уголовного Кодекса

9.2.Статьи Кодекса об административных правонарушениях

9.3.Статьи Трудового Кодекса

10.  Надзор и контроль за выполнением требованиями по защите персональных данных.

10.1.В каких случаях может «нагрянуть» проверка?

10.2.Может ли вообще регулятор придти меня проверять?

10.3.Что, как и когда может проверять Роскомнадзор?

10.4.Что, как и когда может проверять ФСТЭК?

10.5.Какова процедура проверки со стороны РКН?

10.6.Должен ли я получать лицензию на защиту персональных данных?

10.7.Краткий анализ практики проверок Роскомнадзора

10.8.Краткий анализ практики проверок ФСТЭК и ФСБ

10.9.Административные регламенты проведения проверок со стороны регуляторов

10.10.Сводный план проверок Генпрокуратуры

10.11.Алгоритм опротестования результатов проверок надзорных органов

11.  Оптимальный способ выполнить требования всех регуляторов.

11.1.Во сколько обходится обеспечение защиты персданных по деньгам и по времени?

11.2.Как выбрать консультанта по ПДн?

11.3.Типичные ошибки интеграторов в проектах по ПДн

12.  Другие вопросы

12.1.Как защищают ПДн в Европе и США? В чем разница с российским подходом?

12.2.Что планируется сделать в части изменения законодательства в ближайшее время?

12.3.О коррупциогенности нормативных актов

12.4.Уведомление субъектов ПДн о фактах утечек их ПДн – теперь и у нас!

12.5.Последние изменения законодательства о персональных данных

Продолжительность курса: 8 академических часов

Стоимость участия составляет 9500 руб.

Для членов АРБ – скидка 10%

Данный семинар может быть проведен в корпоративном формате.

Регистрация по телефонам: (495) 234-57-99 – многоканальный,  365-1107, 365-0107,

e-mail: registration@ibdarb.ru