Я уже писал про чтение мной курса по персональным данным в Институте Банковского Дела Ассоциации Российских Банков (ИБД АРБ). Ближайший семинар состоится 17-го апреля и я сформировал перечень вопросов, на которые постараюсь ответить:
1. ФЗ-152 и особенности его исполнения.
- Чьи требования выполнять – ФЗ-152 или Европейской Конвенции?
- Когда ИСПДн должны начать соответствовать ФЗ-152 — 1-е января 2010 года или после его принятия?
- Почему так важно выбрать цель обработки ПДн?
- В каких случаях организация обрабатывает ПДн, но не является оператором ПДн?
- Как уменьшить число случаев, когда надо уведомлять Роскомнадзор?
- Как уменьшить число случаев, когда надо получать согласие субъекта ПДн?
- Что такое обезличивание и как с его помощью можно решить многие проблемы?
- Как оффшор может помочь при обработке персональных данных?
2. Постановления Правительства ПП-781 и ПП-687.
- В чем разница двух постановлений?
- Что такое обработка со средствами автоматизации и без оных?
- Могу ли я «уйти» под ПП-687 и самостоятельно принимать решение о выбираемых защитных мерах?
- Что такое «конфиденциальность персональных данных»?
- Обязан ли я использовать сертифицированные средства защиты?
- Обязан ли я аттестовывать ИСПДн?
- В каких случаях я могу не использовать криптосредства при передача по открытым каналам связи?
3. «Приказ трех» о классификации ИСПДн?
- Как оптимально выбрать класс ИСПДн?
- Могут ли меня заставить изменить класс ИСПДн?
- Можно ли проверить правильность выбранного мной класса?
- Существуют ли в природе типовые ИСПДн?
- Как разработать собственную модель угроз?
4. Нормативные документы ФСТЭК.
- Легитимны ли они с точки зрения российского законодательства?
- Ключевые требования «четверокнижия».
- Как разрабатывать модель угроз?
- Какую модель угроз использовать? От ФСТЭК или ФСБ?
- Надо ли мне сертифицировать общесистемное и прикладное ПО по требованиям безопасности?
- Обязан ли я получать лицензию ФСТЭК на техническую защиту конфиденциальной информации?
5. Административное, дисциплинарное и уголовное наказание за несоблюдение законодательства по персональным данным.
- Статьи Уголовного Кодекса
- Статьи Кодекса об административных правонарушениях
- Статьи Трудового Кодекса
6. Надзор и контроль за выполнением требованиями по защите персональных данных.
- В каких случаях может «нагрянуть» проверка?
- Что, как и когда может проверять Роскомнадзор?
- Что, как и когда может проверять ФСТЭК?
- Какова процедура проверки со стороны РКН?
- Должен ли я получать лицензию на защиту персональных данных?
7. Оптимальный способ выполнить требования всех регуляторов.
- Во сколько обходится обеспечение защиты персданных по деньгам и по времени?
Собственно и с целью курса я тоже определился. Основная его задача — оптимизировать усилия и затраты на приведение себя в соответствие с требования законодательства по персональным данным с точки зрения потребителя, а не интегратора, консультанта или поставщика средств защиты информации.
Это — за один день?!
Вот увидите, в конце курса у вас спросят: «А что такое пэ-дэ-эн?»
Увы, за один ;-( Требования организаторов такое. Так что будем по ключевым вещам идти, углубляясь по необходимости.
Ну и может кто-то захочет этот курс провести в расширенном формате 😉 А материал уже готов.
ЗЫ. Я еще к этой программе добавил тему, связанную с Евроконвенцией и Евродекларацией. Там тоже есть где порезвиться 😉