О курсе по персональным данным

Я уже писал про чтение мной курса по персональным данным в Институте Банковского Дела Ассоциации Российских Банков (ИБД АРБ). Ближайший семинар состоится 17-го апреля и я сформировал перечень вопросов, на которые постараюсь ответить:

1. ФЗ-152 и особенности его исполнения.

  • Чьи требования выполнять – ФЗ-152 или Европейской Конвенции?
  • Когда ИСПДн должны начать соответствовать ФЗ-152 — 1-е января 2010 года или после его принятия?
  • Почему так важно выбрать цель обработки ПДн?
  • В каких случаях организация обрабатывает ПДн, но не является оператором ПДн?
  • Как уменьшить число случаев, когда надо уведомлять Роскомнадзор?
  • Как уменьшить число случаев, когда надо получать согласие субъекта ПДн?
  • Что такое обезличивание и как с его помощью можно решить многие проблемы?
  • Как оффшор может помочь при обработке персональных данных?

2. Постановления Правительства ПП-781 и ПП-687.

  • В чем разница двух постановлений?
  • Что такое обработка со средствами автоматизации и без оных?
  • Могу ли я «уйти» под ПП-687 и самостоятельно принимать решение о выбираемых защитных мерах?
  • Что такое «конфиденциальность персональных данных»?
  • Обязан ли я использовать сертифицированные средства защиты?
  • Обязан ли я аттестовывать ИСПДн?
  • В каких случаях я могу не использовать криптосредства при передача по открытым каналам связи?

3. «Приказ трех» о классификации ИСПДн?

  • Как оптимально выбрать класс ИСПДн?
  • Могут ли меня заставить изменить класс ИСПДн?
  • Можно ли проверить правильность выбранного мной класса?
  • Существуют ли в природе типовые ИСПДн?
  • Как разработать собственную модель угроз?

4. Нормативные документы ФСТЭК.

  • Легитимны ли они с точки зрения российского законодательства?
  • Ключевые требования «четверокнижия».
  • Как разрабатывать модель угроз?
  • Какую модель угроз использовать? От ФСТЭК или ФСБ?
  • Надо ли мне сертифицировать общесистемное и прикладное ПО по требованиям безопасности?
  • Обязан ли я получать лицензию ФСТЭК на техническую защиту конфиденциальной информации?

5. Административное, дисциплинарное и уголовное наказание за несоблюдение законодательства по персональным данным.

  • Статьи Уголовного Кодекса
  • Статьи Кодекса об административных правонарушениях
  • Статьи Трудового Кодекса

6. Надзор и контроль за выполнением требованиями по защите персональных данных.

  • В каких случаях может «нагрянуть» проверка?
  • Что, как и когда может проверять Роскомнадзор?
  • Что, как и когда может проверять ФСТЭК?
  • Какова процедура проверки со стороны РКН?
  • Должен ли я получать лицензию на защиту персональных данных?

7. Оптимальный способ выполнить требования всех регуляторов.

  • Во сколько обходится обеспечение защиты персданных по деньгам и по времени?

Собственно и с целью курса я тоже определился. Основная его задача — оптимизировать усилия и затраты на приведение себя в соответствие с требования законодательства по персональным данным с точки зрения потребителя, а не интегратора, консультанта или поставщика средств защиты информации.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Анонимный

    Это — за один день?!

    Вот увидите, в конце курса у вас спросят: «А что такое пэ-дэ-эн?»

    Ответить
  2. Алексей Лукацкий

    Увы, за один ;-( Требования организаторов такое. Так что будем по ключевым вещам идти, углубляясь по необходимости.

    Ну и может кто-то захочет этот курс провести в расширенном формате 😉 А материал уже готов.

    ЗЫ. Я еще к этой программе добавил тему, связанную с Евроконвенцией и Евродекларацией. Там тоже есть где порезвиться 😉

    Ответить