Cеминар GlobalTrust "Проблемные вопросы обработки и защиты персональных данных"

Цель семинара

Основная цель семинара – комплексная систематизация полученных ранее знаний по тематике персональных данных у сотрудников организаций и разрешение различных неопределённостей, связанных с обработкой и защитой ПДн, предоставление слушателям механизма для понимания проблематики ПДн, с целью нахождения разумного компромисса между нормативными требованиями и механизмами обеспечения соответствия этим требованиям.

Целевая установка семинара – ответы на три главных вопроса:

1. Что означает – правильно обрабатывать ПДн?
2. Что означает – достаточность защиты ПДн?
3. Что будет, если оператор не выполняет установленные государством правила?

Целевая аудитория семинара

• руководители организаций, управлений, департаментов, отделов;
• сотрудники организаций, отвечающие за обеспечение защиты персональных данных;
• сотрудники юридических и договорных отделов, курирующие работу с физическими и юридическими лицами;
• сотрудники кадровой службы и бухгалтерии.

Сведения о преподавателе

Семинар проводит Кочуров Александр Михайлович, кандидат технических наук, независимый эксперт по информационной безопасности. В течении последних 5 лет руководил одним из ведущих Учебных центров в области информационной безопасности. Ведущий семинара провёл в ряде крупных городов России более 30 курсов повышения квалификации, направленных на изучение вопросов, связанных с ПДн.

Программа семинара

1. Обзор  нормативных методических документов по ПДн и схема их применения.

• Какими же документами руководствоваться, если у нас есть служебная тайна, коммерческая тайна, профессиональная тайна, персональные данные и другие виды конфиденциальной информации?
• Какие пометки, грифы или грифы секретности ставить на документе, который готовит исполнитель?

2. Основные положения Федерального закона № 152 «О персональных данных».

• Что же такое ПДн? Каков их минимальный набор? Как относиться к фотографии?
• Когда в организации возникает обработка биометрических ПДн?
• Кто определяет действия оператора, связанные с обработкой, обезличиванием и идентификацией ПДн?
• В чём разница обезличенных ПДн, разрешением на их обработку, в том числе передача третьим лицам, и согласием субъекта на отнесение своих ПДн к общедоступным источникам ПДн?
• Наша организация заключила договор с другой оганизацией на оказание им услуг, при этом для оказания услуг мы будем направлять своих сотрудников в эту организацию. Вопрос: нужно ли оформлять согласие наших сотрудников  на обработку ПДн в другой организации. Если да, то кто оформляет и каковы последствия не оформления согласия?
• Каковы последствия для оператора, если уведомление не направлено в Роскомнадзор, а если направлено, то сколько по времени оно действует, и каковы условия и потребность в направлении очередного уведомления?
• Как избежать оператору угрозы, связанной с требованием субъекта ПДн на отзыв своего согласия на обработку ПДн.

3. Госрегуляторы в области ПДн. Планирование проверок, разделение полномочий.

• Что делать, если оператор не согласен с госрегулятором по недостаткам, которые выявлены при проведении государственного контроля и надзора?

4. Особенности классификации информационных систем персональных данных (ИСПДн). Приказ N 55/86/20 от 13 февраля 2008 г.

• Чему равен X_пд и X_нпд, если в нашей организации обрабатываются ПДн как штатных сотрудников организации, так и субъектов персональных данных, при этом число их неукоснительно растёт?
• Что указывать в акте классификации ИСПД по поводу типовой и специальной информационных системы. Если у нас специальная, то как пользоваться приказом ФСТЭК России № 58 по выбору средств защиты.
• Наша организация планирует провести сегментацию ИСПДн. В результате может получиться несколько ИСПДн. Есть ли ограничения в количестве ИСПДн для оператора, сколько уведомлений и когда их нужно подавать в Роскомнадзор?

5. Практические особенности применения организационных и технических мер обеспечения безопасности ПДн (Постановления Правительства РФ от 17 ноября 2007 г. № 781, приказа ФСТЭК России № 58 от 05.02.2010 г.).

• Что такое обязательная сертификация, добровольная сертификация или декларирование соответствия?
• В чём разница в мероприятиях по сертификации и по контролю отсутствия не декларированных возможностей?
• В чем принципиальная разница в методах и способах защиты приведенных в п.п. 2.1, 2.4 и 2.6 приказа № 58?
• Как документально правильно организовать разграничение доступа пользователей, если в нашей организации более 100 сотрудников обрабатывают ПДн, неужели, с учетом текучести кадров, каждый раз надо у генерального директора утверждать матрицу доступа.
• Каков экономический смысл в сегментации ИСПДн?

6. Практические особенности определения актуальных угроз безопасности ПДн.

• Почему угрозы, связанные с утечкой информации по техническим каналам можно считать не актуальными, какова всё-таки практическая модель злоумышленника?
• Кого включать в состав экспертной группы при определении актуальных угроз экспертным методом?

7. Лицензирование деятельности в области защиты конфиденциальной информации, аттестация ИСПДн.

• Нужно ли получать оператору лицензию, если он оказывает услуги сторонним организациям по договору в установке настойке операционных систем, в передаче информации и другие услуги в области информационных технологий? Если да, то в каких случаях?
• Нужно ли получать оператору лицензию, если у нас холдинг (объединение нескольких юридических лиц), а защитой информации занимается одно из подразделений юридического лица, входящего в холдинг?
• Что же такое аттестация ИСПДн, может ли оператор без соответствующей лицензии самостоятельно её провести и, каковы последствия таких действий при оказании услуг собственно себе и/или другому юридическому лиц?
• Можно ли сэкономить на аттестации. Существует ли список недобросовестных лицензиатов ФСТЭК России, которые недобросовестно увеличивают объем работ, ссылаясь на обязательность их проведения при аттестации.

8. Перечень документов, которые оператор оформляет при обработке ПДн.

• Рассматриваются 33 документа (5 групп). По каждому документу, который носит обязательный характер, приводится соответствующая ссылка на руководящий документ.

9. Ответственность, лиц за нарушение режима безопасности информации.

• Рассматривается главный вопрос: Что будет, если есть нарушения?