Программа курса "Что скрывает законодательство по персональным данным"

Что
скрывает
законодательство
о
персональных
данных

Обзор
курса

Теме
данных
и
их
защите
сегодня
уделяется
очень
много
внимания.
На
нас
давят

регуляторы
в
лице
ФСТЭК,
ФСБ
и
Роскомнадзор
(РКН),
законодатели,
субъекты

данных
и
другие.
Не
всегда
их
требования
понятны
и
просты
в
реализации,
а
некоторые

противоречивы
и
вызывают
скорее
вопросы,
чем
дают
исчерпывающие
ответы.

Надо
ли
мне
регистрироваться
как
оператор
данных,
если
я
использую

1С:Предприятие?
Надо
ли
получать
лицензию
на
деятельность
по
защите
данных?
Я

обязан
выполнять
ФСТЭК
по
защите
данных
или
могу
составить
свой

перечень
мероприятий?
Как
с
минимальными
затратами
выполнить
ФСТЭК
по

информационной
безопасности?
Если
я
обрабатываю
данные
о
состоянии
здоровья
или
данные

свыше
100000
субъектов,
то
могу
ли
я
классифицировать
свои
системы
ниже
1-‐го
класса?
Как
часто

меня
могут
проверять
надзорные
органы?
Какова
процедура
моей
проверки
со
стороны

регуляторов?
Что
мне
грозит
за
невыполнение
законодательства
по
персональным
данным?

Основная
задача
курса
–
показать
сценарии
оптимизации
затрат
и
усилий
по
приведению
себя
в

соответствие
с
требованиями
действующего
по
данным.

Для
кого
предназначен
курс

Курс
ориентирован
на

широкий
круг
специалистов:

• На
руководителей
служб
безопасности
(CSO),
отделов

(CISO),
советников
по
безопасности,
экспертов
по
обеспечивающих
защиту

данных
в
своих
организациях.

• На
руководителей
служб
автоматизации
(CIO)
и
специалистов
по
информационным

технологиям,
обеспечивающим
функционирование
инфраструктуры
и
приложений,

обрабатывающих
персональные
данные.

• Юристов,
сотрудников
отделов
кадров
и
представителей
подразделений,
работающих
с

персональными
данными
сотрудников/клиентов/абонентов.

• На
интеграторов
и
консультантов,
выполняющих
работы
по

для
своих
заказчиков.

Преимущества
для
юридических
департаментов

Если
вы
представляете
юридический
департамент,
то
знаете
ли
вы,
что,
опираясь
на
нормы

законодательства…

• Вы
можете
не
получать
согласия
субъектов
данных
в
95%
случаев.

•
•
•

Вам
не
надо
перезаключать
договора
с
вашими
клиентами,
заключенными
до
вступления

в
силу
закона
«О
данных».

Вы
можете
не
удалять
данные
по
первому
требованию
субъекта

данных.

Вы
можете
не
уведомлять
уполномоченный
орган
по
защите
прав
субъектов

данных
в
99%
случаев.

для
по
работе
с
клиентами

Если
вы
департамент
по
работе
с
клиентами,
то
знаете
ли
вы,
что,
опираясь
на

нормы

• Вы
не
имеете
права
рассылать
вашим
клиентам
персонифицированные
сообщения,

содержащие
предложения
рекламного
характера.

• Вам
не
надо
получать
согласие
клиентов,
предоставляющих
документ,
удостоверяющий

личность,
при
входе
на
территорию
вашего
предприятия.

для
по
работе
с
персоналом

Если
вы
департамент
по
работе
с
персоналом,
то
знаете
ли
вы,
что,
опираясь
на

нормы

• Вы
можете
не
получать
письменное
согласие
кандидатов,
отправляющих
резюме
через

Интернет

• Вам
не
обязательно
удалять
данные
сразу
после
увольнения
сотрудника

• Вы
можете
быть
оштрафованы
за
нарушение
о
персданных
на
сумму
50

тысяч
рублей,
умноженную
на
число
ваших
сотрудников.

для
ИТ-‐департаментов

Если
вы
ИТ-‐департамент,
то
знаете
ли
вы,
что,
опираясь
на
нормы


• Вы
не
можете
передавать
данных
ваших
или
клиентов
на

Украину
и
в
Белоруссию

• Учетная
запись
пользователя
и
его
IP-‐адрес
могут
быть
отнесены
к
данным

с
вытекающими
из
этого
по
защите
этой
информации

• Ваш
клиент
может
потребовать
уничтожения
резервных
копий
данных
ваших
ИТ-‐систем.

для
служб

Если
вы
службу
то
знаете
ли
вы,
что,
опираясь
на

нормы

• Вам
не
надо
аттестовать
свои
ИСПДн
в
ФСТЭК

•
•
•

Вам
не
надо
получать
лицензию
ФСТЭК
на
техническую
защиту
конфиденциальной


Вы
не
имеете
права
использовать
генераторы
шума

Вам
не
надо
ни
с
кем
согласовывать
разработанную
вами
модель
угроз
и
перечень

защитных
мероприятий.

Программа
курса

В
курсе
«Что
скрывает
законодательство
о
данных»
рассматриваются
следующие

темы:

1. Самые
последние
изменения
по
данным

a. Проект
приказа
ФСБ
по
защите
данных

b. Законопроект
по
внесению
изменений
в
ФЗ-‐152

c. Планы
по
изменению
законопроекта
об
увеличении
штрафов
за
нарушение
правил

обработки
ПДн

d. Приказы
и
разъяснения
РКН
по
обезличиванию
ПДн

e. Итоги
европейской
реформы
по
ПДн
и
ее
применение
на

территории
России

2. Приказ
ФСТЭК
№21
от
18.02.2013
по
защите
данных

a. На
кого
распространяется

b. Выбор
защитных
мер

c. Что
подразумевается
под
той
или
иной
мерой?

d. Компенсирующие
меры

e. Принцип
экономической
целесообразности

f. Аттестация
и
сертификация:
нужны
ли?

g. Как
бороться
с
НДВ

3. Последние
изменения
в
законодательстве
о
данных

a. Постановления
Правительства
№221
и
№940
по
данным

b. Новая
судебная
практика
и
практика
проверок

c. Как
будут
защищаться
данные
по
новой
редакции
ФЗ-‐152?

d. Что
такое
уровни
защищенности
и
как
они
определяются?

e. Почему
специальных
ИСПДн
больше
не
существует?

f. Постановление
№1119
по
определению
требований
в
области

защиты
данных
и
уровней
защищенности

g. 100-‐кратное
увеличение
штрафов
за
невыполнение
ФЗ-‐152

h. Изменение
роли
Роскомнадзора
при
осуществлении
проверок
и
наказания

операторов
ПДн

i. Ключевые
банковские
процессы
в
контексте
обработки
данных

j. Проект
методических
рекомендаций
РКН
по
обезличиванию

k. Приказ
ФСТЭК
по
ПДн
№21
от
18.02.2013
по
защите
данных

l. Проект
приказа
РКН
со
списком
адекватных
стран

m. Будущее
СТО
БР
ИББС
в
контексте
обработки
ПДн
(новая
версия
"письма
шести",

новая
отраслевая
модель
угроз,
новый
СТО
БР
ИББС)

n. Проект
Указания
Банка
России
«Об
определении
угроз

данных,
актуальных
при
обработке
данных
в
информационных

системах
данных»

o. Проект
поправок
в
ФЗ-‐152
и
планы
по
его
изменению

4. ФЗ-‐152
и
особенности
его
исполнения.

a. Чьи
выполнять
–
ФЗ-‐152
или
Европейской
Конвенции?

b. Когда
ИСПДн
должны
начать
соответствовать
ФЗ-‐152
-‐
1-‐е
июля
2011
года
или

после
его
принятия?

c. Что
такое
данные?

d. Являются
ли
ИНН,
номер
паспорта,
IP-‐адрес,
телефон
и
адрес
e-‐mail

персональными
данными?

e. Что
такое
изображение
человека
и
любая
ли
фотография
является

биометрическими
ПДн?

f. Относится
ли
банковская
карточка
к
биометрическим
данным?

g. Почему
так
важно
выбрать
цель
обработки
ПДн?

h. Как
долго
можно
хранить
ПДн?

i. В
каких
случаях
организация
обрабатывает
ПДн,
но
не
является
оператором
ПДн?

j. Как
уменьшить
число
случаев,
когда
надо
уведомлять
Роскомнадзор?

k. Как
уменьшить
число
случаев,
когда
надо
получать
согласие
субъекта
ПДн?

l. Что
такое
согласие?

m. Как
обрабатывать
резюме
или
анкеты
а
получение
кредита,
не
имея
согласия?

n. Можно
ли
информацию
о
судимости?

o. Могу
ли
я
не
отвечать
на
запросы
субъекта
ПДн?

p. Что
такое
обезличивание
и
как
с
его
помощью
можно
решить
многие
проблемы?

q. Как
оффшор
может
помочь
при
обработке
данных?

r. Как
архив
может
помочь
уйти
из
под
действия
ФЗ-‐152?

s. Как
с
помощью
ФЗ-‐152
парализовать
работу
любой
организации?

t. Что
делать,
если
договор
с
субъектом
ПДн
заключен
до
вступления
в
силу
ФЗ-‐152?

u. Можно
ли
получить
согласие
в
виде
«галочки»
на
сайте?

v. Как
оформить
обработку
получения
ПДн
от
третьих
лиц?

w. Как
ПДн
третьим
лицам?

x. Инвалидность
и
другие
примеры
«состояния»
здоровья,
а
также
что
такое
вообще

«состояние
здоровья»?

y. Почему
субъект
ПДн
не
может
отказаться
от
данного
согласия?

5. Постановления
ПП-‐1119
и
ПП-‐687.

a. В
чем
разница
двух
постановлений?

b. Что
такое
обработка
со
средствами
автоматизации
и
без
оных?

c. Могу
ли
я
«уйти»
под
ПП-‐687
и
самостоятельно
принимать
решение
о
выбираемых

защитных
мерах?

6. Постановление
ПП-‐512

7.

8.

9.

10.

11.

a. Как
защищать
биометрические
данные?

«Приказ
трех»
о
классификации
ИСПДн?

a. Как
оптимально
выбрать
класс
ИСПДн?

b. Могут
ли
меня
заставить
изменить
класс
ИСПДн?

c. Можно
ли
проверить
правильность
выбранного
мной
класса?

d. Существуют
ли
в
природе
типовые
ИСПДн?

e. Относится
ли
АБС
и
СКУД
к
ИСПДн?

f. Различные
сценарии
классификации
ИСПДн

Моделирование
угроз

a. Как
разработать
собственную
модель
угроз?

b. Надо
ли
согласовывать
модель
угроз
с
регуляторами?

Нормативные
документы
ФСТЭК

a. История
нормативных
документов
ФСТЭК

b. Легитимны
ли
они
с
точки
зрения
российского
законодательства?

c. Что
пришло
на
смену
«четверокнижию»?

d. Ключевые
21-‐го
Приказа
ФСТЭК.

e. Какую
модель
угроз
использовать?
От
ФСТЭК
или
ФСБ?

f. Надо
ли
мне
сертифицировать
общесистемное
и
прикладное
ПО
по
требованиям

безопасности?

g. Обязан
ли
я
получать
лицензию
ФСТЭК
на
техническую
защиту
конфиденциальной

информации?

h. Можно
ли
сэкономить
на
приобретении
средств
защиты
информации?

i. Могу
ли
я
защитить
ИСПДн
несертифицированными
защиты?

j. Надо
ли
мне
аттестовывать
ИСПДн?

k. Соответствие
классов
ИСПДн
и
АС

l. Как
мне
эффективно
сегментировать
корпоративную
сеть?

m. Налоговая
и
отсутствие
лицензии
ФСТЭК
или
ФСБ

документы
ФСБ

a. Можно
ли
обойтись
без
криптографии?

b. Конфиденциальность
и
криптография:
это
одно
и
тоже?

c. Надо
ли
сертифицированные
СКЗИ
для
защиты
ПДн?

d. Надо
ли
получать
лицензию
ФСБ
для
защиты
ПДн?

e. Почему
можно
не
сертифицированные
СКЗИ
при
передаче
ПДн
за

пределы
России?

f. В
каких
случаях
я
могу
не
криптосредства
при
передаче
по
открытым

каналам
связи?

g. Может
ли
шифрование
помочь
при
обезличивании

документы
Банка
России
и
АРБ

a. Подход
Банка
России
к
защите
данных

b. Требования
СТО
БР
ИББС
1.0,
РС
2.3
и
РС
2.4

c. Рекомендации
АРБ
по
приведению
в
с
ФЗ-‐152

d. «Письмо
шести»

e. Материалы
Консультационного
центра
АРБ
по
вопросам
ФЗ-‐152

f. Электронные
архивы
и
Положение
Банка
России
2346-‐У

12. Отраслевые
стандарты
и
рекомендации
по
данным

a. НИР
«Тритон»
для
операторов
связи

b. Требования
Минздравсоцразвития

c. Требования
Рособразования

d. Стандарт
по
данных
Ассоциации
негосударственных

пенсионных
фондов
(НАПФ)

e. Стандарт
по
данных
Ассоциации
участников

фондового
рынка
(НАУФОР)

f. Материалы
A-‐DATUM

g. Рекомендации
СоДИТ,
4CIO,
Leta-‐IT

13. Типовые
случаи
обработки
данных

a. Деятельность
кредитного
бюро

b. Обработка
ПДн
ближайших
родственников
клиентов
и

c. Использование
скоринговых
систем

d. Прямой
маркетинг
товаров
и
услуг

e. Ведение
и
использование
«черных
списков»
должников,
мошенников
и
т.п.

f. ОСАГО,
страховая
медицина
и
иные
страховые
услуги

g. Работа
роддомов
и
поликлиник

h. Контроль
за
электронной
почтой

i. Платежи
третьим
лицам

j. Открытие
счетов

k. Использование
видеонаблюдения

l. Обработка
резюме
и
заявок
на
получение
банковского
кредита

m. Обработка
ПДн
членов
Правления,
Совета
Директоров,
Ревизионной
комиссии
и

т.п.

n. Обработка
ПДн
при
работе
с
международными
платежными
системами

o. Использование
услуг
курьеров
и
логистических
компаний

p. Видеонаблюдение,
аудиозапись,
Call
Center,
контроль
e-‐mail

q. Доверенности
и
представительство

r. ПДн
генерального
директора
и
главного
бухгалтера
клиентов
банка

s. Коллекторские
агентства

t. Аффилированные
лица

u. Акционеры

v. Противодействие
легализации
отмыванию
доходов,
полученных
преступных
путем

и
обработка
ПДн

w. Резервные
копии
и
архивы

x. Регистрация
Интернет-‐доменов

y. Пропускные
бюро

z. Как
получить
согласие
получателя
платежа?

aa. Доверенности

bb. Модно
ли
ПДн
в
органы
власти
без
согласия
субъектов?

cc. Как
ПДн
аутсорсинговым
партнерам?

dd. Зарубежные
SaaS-‐сервисы
и
ПДн

ee. Можно
ли
ПДн
при
открытии
вклада
в
пользу
третьего
лица?

ff. Завещательное
распоряжение
денежными

gg. Можно
ли
распоряжаться
денежными
по
требованию
третьих
лиц?

hh. Как
ПДн
при
оплате
от
имени
или
в
пользу
третьего
лица?

ii. Расчет
платежными
поручениями
и
ПДн

jj. Надо
ли
уничтожать
ПДн
после
проведения
платежа?

kk. Обработка
ПДн
и
действия
в
чужом
интересе
без
согласия

ll. Обработка
ПДн
на
Интернет-‐сайтах

mm.
Обработка
ПДн
по
телефону

nn. Обработка
ПДн
при
корпоративном
управлении
(ПДн
акционеров)

oo. Обработка
ПДн
соискателей

pp. Обработка
ПДн
в
кадровом
резерве

qq. Обработка
ПДн
уволенных
работников

rr. Передача
ПДн
третьим
лицам

ss. Опубликование
ПДн
в
Интернет

tt. Обработка
ПДн
ближайших
родственников

uu. Обработка
спецкатегорий
ПДн

vv. Обработка
ПДн
при
пропускном
режиме

ww.
Брокерское
обслуживание
и
ПДн

xx. Индивидуальные
предприниматели,
юрлица,
акционеры
в
контексте
129-‐ФЗ
«О

государственной
регистрации
юрлиц
и
ИП»

14. Административное,
дисциплинарное
и
уголовное
наказание
за
несоблюдение

по
данным.

a. Статьи
Уголовного
Кодекса

b. Статьи
Кодекса
об
административных
правонарушениях

c. Статьи
Трудового
Кодекса

15. Надзор
и
контроль
за
выполнением
по
защите
данных.

d. В
каких
случаях
может
«нагрянуть»
проверка?

e. Может
ли
вообще
регулятор
придти
меня
проверять?

f. Что,
как
и
когда
может
проверять
Роскомнадзор?

g. Что,
как
и
когда
может
проверять
ФСТЭК?

h. Что,
как
и
когда
может
проверять
ФСБ?

i. Зачем
приходит
проверять
УСТМ
МВД?

j. О
правомочности
РКН
и
ФСТЭК
проводить
проверки
технических
мер

коммерческих
организаций

k. Какова
процедура
проверки
со
стороны
РКН?

l. Должен
ли
я
получать
лицензию
на
защиту
данных?

m. Краткий
анализ
практики
проверок
Роскомнадзора

n. Краткий
анализ
практики
проверок
ФСТЭК
и
ФСБ

o. Административные
регламенты
проведения
проверок
со
стороны
регуляторов

p. Сводный
план
проверок
Генпрокуратуры

q. Алгоритм
опротестования
результатов
проверок
надзорных
органов

r. Какие
документы
запрашивают
при
проверках

16. Оптимальный
способ
выполнить
всех
регуляторов.

s. Во
сколько
обходится
обеспечение
защиты
персданных
по
деньгам
и
по
времени?

t. Как
выбрать
консультанта
по
ПДн?

u. Типичные
ошибки
интеграторов
в
проектах
по
ПДн

17. Другие
вопросы

v. Как
защищают
ПДн
в
Европе
и
США?
В
чем
разница
с
российским
подходом?

w. Что
планируется
сделать
в
части
изменения
в
ближайшее
время?

x. О
коррупциогенности
нормативных
актов

y. Уведомление
субъектов
ПДн
о
фактах
утечек
их
ПДн
–
теперь
и
у
нас!

z. Последние
изменения
о
данных

Продолжительность
курса

16
академических
часов

Раздаточные
материалы

Комплект
типовых
документов,
необходимых
в
процессе
приведения
себя
в
с

ФЗ-‐152
и
подзаконных
актов.

Об
авторе

Алексей
Лукацкий,
бизнес-‐консультант
по
компании
Cisco.
Входит

в
рабочую
группу
ЦБ
по
разработке
по
Национальной
платежной

системы.
Участвует
в
экспертизе
нормативно-‐правовых
актов,
в
области

и
данных.
В
качестве
независимого
эксперта
входит
в
состав

Консультационного
центра
АРБ
по
применению
152-‐ФЗ
«О
данных».
Является

участником
Подкомитета
№1
«Защита
в
кредитно-‐финансовой
сфере»
Технического

Комитета
№
122
«Стандартизация
финансовых
услуг»
Федерального
агентства
по
техническому

регулированию
и
метрологии.
Является
Подкомитета
№127
«Методы
и
средства

обеспечения
ИТ»
комитета
22
«Информационные
технологии»

агентства
по
и
метрологии
(выполняет
функции

ISO/IEC
JTC
1/SC
27
в
России).
Является
комитета
362
«Защита

информации»
агентства
по
и
метрологии
и
ФСТЭК.

Является
членом
оргкомитета
Общественных
слушаний
по
гармонизации
в

области
защиты
прав
субъектов
данных.
Написал
свыше
600
статей
и
5
книг
по

безопасности.
Является
автором
множества
курсов
по

в
т.ч.
«Измерение
эффективности
ИБ»,
«Моделирование
угроз»,
«Управление

инцидентами
ИБ»,
«Как
связать
безопасность
и
бизнес»
и
т.д.

Программа курса "Что скрывает законодательство по персональным данным"

More Related Content

What's hot

Similar to Программа курса "Что скрывает законодательство по персональным данным"

More from Aleksey Lukatskiy

Программа курса "Что скрывает законодательство по персональным данным"