Все государственные и коммерческие организации, независимо от размера и формы собственности, обязаны обрабатывать в своих информационных системах персональные данные физических лиц (сотрудников, клиентов, партнеров), соблюдая требования Федерального закона № 152-ФЗ «О персональных данных».

Содержание мероприятия:

• Новая редакция закона «О персональных данных» (законопроект Резника)
-  История принятия.
- Ключевые положения.
- Снижение рисков и затрат при получении согласия субъектов ПДн.
- Изменение роли регуляторов.
- Роль отраслевых стандартов.
- Новые требования ФСТЭК и ФСБ по защите персональных данных.
- Роль № 115-ФЗ при выполнении № 152-ФЗ.
•  Федеральный закон от 27.07.2006г. № 152-ФЗ и особенности его исполнения
- Чьи требования выполнять  – № 152-ФЗ  или Европейской Конвенции?
- Когда ИСПДн должны начать соответствовать № 152-ФЗ  - 01.07.2011 г.  или после его принятия?
- Что такое персональные данные?
- Являются ли ИНН, номер паспорта, IP-адрес, телефон и адрес e-mail персональными данными?
- Что такое изображение человека и любая ли фотография является биометрическими ПДн?
- Относится ли банковская карточка к биометрическим персональным данным?
- Почему так важно выбрать цель обработки ПДн?
- Как долго можно хранить ПДн?
- В каких случаях организация обрабатывает ПДн, но не является оператором НДн?
- Как уменьшить число случаев, когда надо уведомлять Роскомнадзор?
- Как уменьшить число случаев, когда надо получать согласие субъекта ПДн?
- Что такое согласие?
- Как обрабатывать резюме или анкеты а получение кредита, не имея согласия?
- Можно ли обрабатывать информацию о судимости?
- Могу ли я не отвечать на запросы субъекта ПДн?
- Что такое обезличивание и как с его помощью можно решить многие проблемы?
- Как оффшор может помочь при обработке персональных данных?
- Как архив может помочь уйти из под действия № 152-ФЗ?
- Как с помощью № 152-ФЗ парализовать работу любой организации?
- Что делать, если договор с субъектом ПДн заключен до вступления в силу № 152-ФЗ?
- Как оформить обработку получения ПДн от третьих лиц?
- Как передавать ПДн третьим лицам?
- Инвалидность и другие примеры «состояния» здоровья, а также что такое вообще «состояние здоровья»?
- Почему субъект ПДн не может отказаться от данного согласия?
• Постановления Правительства от 17.07.2007г. № 781-ПП и от 15.09.2008г. № 687-ПП.
- В чем разница двух постановлений?
- Что такое обработка со средствами автоматизации и без оных?
- Могу ли я «уйти» под ПП-687 и самостоятельно принимать решение о выбираемых защитных мерах?
• Постановление Правительства от 06.07.2008г. № 512-ПП.
- Как защищать биометрические персональные данные?
• «Приказ трех» о классификации ИСПДн?
- Как оптимально выбрать класс ИСПДн?
- Могут ли меня заставить изменить класс ИСПДн?
- Можно ли проверить правильность выбранного мной класса?
- Существуют ли в природе типовые ИСПДн?
- Относится ли АБС и СКУД к ИСПДн?
- Различные сценарии классификации ИСПДн.
• Моделирование угроз.
- Как разработать собственную модель угроз?
- Надо ли согласовывать модель угроз с регуляторами?
• Нормативные документы ФСТЭК.
- История нормативных документов ФСТЭК.
- Легитимны ли они с точки зрения российского законодательства?
- Что пришло на смену «четверокнижию»?
- Ключевые требования Приказа ФСТЭК  РФ от 05.02.2010г. № 58.
- Какую модель угроз использовать? От ФСТЭК или ФСБ?
- Надо ли мне сертифицировать общесистемное и прикладное ПО по требованиям безопасности?
- Обязан ли я получать лицензию ФСТЭК на техническую защиту конфиденциальной информации?
- Можно ли сэкономить на приобретении средств защиты информации?
- Могу ли я защитить ИСПДн несертифицированными средствами защиты?
- Надо ли мне аттестовывать ИСПДн?
- Соответствие классов ИСПДн и АС.

• Нормативные документы ФСБ.
- Можно ли обойтись без криптографии?
- Конфиденциальность и криптография: это одно и тоже?
- Надо ли использовать сертифицированные СКЗИ для защиты ПДн?
- Надо ли получать лицензию ФСБ для защиты ПДн?
- Почему можно не использовать сертифицированные СКЗИ при передаче ПДн за пределы России?
- В каких случаях я могу не использовать криптосредства при передаче по открытым каналам связи?
- Может ли шифрование помочь при обезличивании.

• Отраслевые стандарты и рекомендации по персональным данным.
- Нормативные документы Банка России и АРБ (СТО БР ИББС 1.0 и «Рекомендации по ПДн»).
- НИР «Тритон» для операторов связи.
- Требования Минздравсоцразвития.
- Требования Рособразования.
- Требования Ассоциации негосударственных пенсионных фондов (НАПФ).
- Требования Ассоциации участников фондового рынка (НАУФОР).
- Материалы A-DATUM.
- Рекомендации СоДИТ, 4CIO, Leta-IT.
• Типовые случаи обработки персональных данных.
- Деятельность кредитного бюро.
- Использование скоринговых систем.
- Прямой маркетинг товаров и услуг.
- Ведение и использование «черных списков» должников, мошенников и т.п.
- ОСАГО, страховая медицина и иные страховые услуги.
- Работа роддомов и поликлиник.
- Контроль за электронной почтой сотрудников.
- Платежи третьим лицам.
- Открытие счетов.
- Использование видеонаблюдения.
- Обработка резюме и заявок на получение банковского кредита.
- Использование услуг курьеров и логистических компаний.
- Видеонаблюдение, аудиозапись, Call Center, контроль e-mail.
- Доверенности и представительство.
- ПДн генерального директора и главного бухгалтера клиентов банка.
- Коллекторские агентства.
- Аффилированные лица.
- Противодействие легализации отмыванию доходов, полученных преступных путем и обработка ПДн.
- Резервные копии и архивы.
- Регистрация Интернет-доменов.
- Пропускные бюро.
- Как получить согласие получателя платежа?
- Доверенности (для банков).
- Модно ли передавать ПДн в органы власти без согласия субъектов?
- Как передавать ПДн аутсорсинговым партнерам?
- Зарубежные SaaS-сервисы и ПДн.
- Можно ли обрабатывать ПДн при открытии вклада в пользу третьего лица?
- Завещательное распоряжение денежными средствами.
- Можно ли распоряжаться денежными средствами по требованию третьих лиц?
- Как обрабатывать ПДн при оплате от имени или в пользу третьего лица?
- Расчет платежными поручениями и ПДн.
- Надо ли уничтожать ПДн после проведения платежа?
- Обработка ПДн и действия в чужом интересе без согласия.
• Административное, дисциплинарное и уголовное наказание за несоблюдение законодательства по персональным данным
- Статьи Уголовного Кодекса.
- Статьи Кодекса об административных правонарушениях.
- Статьи Трудового Кодекса.

• Надзор и контроль за выполнением требованиями по защите персональных данных.
- В каких случаях может «нагрянуть» проверка?
- Может ли вообще регулятор придти меня проверять?
- Что, как и когда может проверять Роскомнадзор?
- Что, как и когда может проверять ФСТЭК?
- Что, как и когда может проверять ФСБ?
- Какова процедура проверки со стороны РКН?
- Должен ли я получать лицензию на защиту персональных данных?
- Краткий анализ практики проверок Роскомнадзора.
- Краткий анализ практики проверок ФСТЭК и ФСБ.
- Административные регламенты проведения проверок со стороны регуляторов.
- Сводный план проверок Генпрокуратуры.
- Алгоритм опротестования результатов проверок надзорных органов.
- Какие документы запрашивают при проверках.
• Оптимальный способ выполнить требования всех регуляторов.
- Во сколько обходится обеспечение защиты персданных по деньгам и по времени?
- Как выбрать консультанта по ПДн?
- Типичные ошибки интеграторов в проектах по ПДн.
• Другие вопросы.
- Как защищают ПДн в Европе и США? В чем разница с российским подходом?
- Что планируется сделать в части изменения законодательства в ближайшее время?
- О коррупциогенности нормативных актов.
- Уведомление субъектов ПДн о фактах утечек их ПДн – теперь и у нас!
- Последние изменения законодательства о персональных данных.

Лекторы: Лукацкий Алексей  Викторович - Бизнес-консультант по информационной безопасности компании Cisco Systems

Стоимость мероприятия: 15500 руб.
Регистрация по телефону: 8 (495) 644-23-52
E-mail: info@isbd.ru