13.04.2009

О курсе по персональным данным

Я уже писал про чтение мной курса по персональным данным в Институте Банковского Дела Ассоциации Российских Банков (ИБД АРБ). Ближайший семинар состоится 17-го апреля и я сформировал перечень вопросов, на которые постараюсь ответить:

1. ФЗ-152 и особенности его исполнения.
  • Чьи требования выполнять – ФЗ-152 или Европейской Конвенции?
  • Когда ИСПДн должны начать соответствовать ФЗ-152 - 1-е января 2010 года или после его принятия?
  • Почему так важно выбрать цель обработки ПДн?
  • В каких случаях организация обрабатывает ПДн, но не является оператором ПДн?
  • Как уменьшить число случаев, когда надо уведомлять Роскомнадзор?
  • Как уменьшить число случаев, когда надо получать согласие субъекта ПДн?
  • Что такое обезличивание и как с его помощью можно решить многие проблемы?
  • Как оффшор может помочь при обработке персональных данных?
2. Постановления Правительства ПП-781 и ПП-687.
  • В чем разница двух постановлений?
  • Что такое обработка со средствами автоматизации и без оных?
  • Могу ли я «уйти» под ПП-687 и самостоятельно принимать решение о выбираемых защитных мерах?
  • Что такое «конфиденциальность персональных данных»?
  • Обязан ли я использовать сертифицированные средства защиты?
  • Обязан ли я аттестовывать ИСПДн?
  • В каких случаях я могу не использовать криптосредства при передача по открытым каналам связи?
3. «Приказ трех» о классификации ИСПДн?
  • Как оптимально выбрать класс ИСПДн?
  • Могут ли меня заставить изменить класс ИСПДн?
  • Можно ли проверить правильность выбранного мной класса?
  • Существуют ли в природе типовые ИСПДн?
  • Как разработать собственную модель угроз?
4. Нормативные документы ФСТЭК.
  • Легитимны ли они с точки зрения российского законодательства?
  • Ключевые требования «четверокнижия».
  • Как разрабатывать модель угроз?
  • Какую модель угроз использовать? От ФСТЭК или ФСБ?
  • Надо ли мне сертифицировать общесистемное и прикладное ПО по требованиям безопасности?
  • Обязан ли я получать лицензию ФСТЭК на техническую защиту конфиденциальной информации?
5. Административное, дисциплинарное и уголовное наказание за несоблюдение законодательства по персональным данным.
  • Статьи Уголовного Кодекса
  • Статьи Кодекса об административных правонарушениях
  • Статьи Трудового Кодекса
6. Надзор и контроль за выполнением требованиями по защите персональных данных.
  • В каких случаях может «нагрянуть» проверка?
  • Что, как и когда может проверять Роскомнадзор?
  • Что, как и когда может проверять ФСТЭК?
  • Какова процедура проверки со стороны РКН?
  • Должен ли я получать лицензию на защиту персональных данных?
7. Оптимальный способ выполнить требования всех регуляторов.
  • Во сколько обходится обеспечение защиты персданных по деньгам и по времени?
Собственно и с целью курса я тоже определился. Основная его задача - оптимизировать усилия и затраты на приведение себя в соответствие с требования законодательства по персональным данным с точки зрения потребителя, а не интегратора, консультанта или поставщика средств защиты информации.

2 коммент.:

infowatch комментирует...

Это - за один день?!

Вот увидите, в конце курса у вас спросят: "А что такое пэ-дэ-эн?"

Алексей Лукацкий комментирует...

Увы, за один ;-( Требования организаторов такое. Так что будем по ключевым вещам идти, углубляясь по необходимости.

Ну и может кто-то захочет этот курс провести в расширенном формате ;-) А материал уже готов.

ЗЫ. Я еще к этой программе добавил тему, связанную с Евроконвенцией и Евродекларацией. Там тоже есть где порезвиться ;-)