Практические аспекты защиты персональных данных организации.

описание семинара

На сегодняшний день ужесточается законодательство РФ в части выполнения требований Федерального закона «О персональных данных» № 152-ФЗ. По итогам 2011 года Роскомнадзор, ФСБ и ФСТЭК провели более 2000 плановых и 1000 внеплановых проверок операторов персональных данных. Это касается всех государственных и коммерческих организаций, обрабатывающих в своих информационных системах персональные данные физических лиц (сотрудников, клиентов, партнеров, подрядчиков и т.п.), независимо от размера и формы собственности. Невыполнение требований Закона может обернуться для правонарушителя дисциплинарной, административной, и даже уголовной ответственностью.

Все ли сделано в Вашей организации для выполнения обязательных требований законодательства в области защиты персональных данных, снижения рисков организации при проверках регуляторов?

Участники семинара: Руководители организаций и их структурных подразделений, в ведении которых находится организация обработки персональных данных и ее осуществление: Руководители и специалисты, непосредственно отвечающие за обеспечение информационной безопасности предприятий, охрану конфиденциальности информации, и реализующие мероприятия по технической защите конфиденциальной информации, работники кадровых органов организаций и предприятий, юристы предприятий-операторов персональных данных и др.

Цели семинара: помочь специалистам различных категорий, от руководителей предприятий и их структурных подразделений до лиц, ответственных за организацию обработки персональных данных, обеспечить работу с персональными данными в соответствии с требованиями российских законов

содержание семинара

В программе семинара:

1.  Введение. Персональные данные в организации (на предприятии)

·         Защита персональных данных как реализация конституционных прав граждан на неприкосновенность частной жизни.

·         Международное законодательство и национальное законодательство зарубежных стран о защите персональных данных.

·         Персональные данные в системе документооборота предприятия. Персональные данные в автоматизированных системах и приложениях.

·         Значимые утечки персональных данных в России.

2.  Основные понятия Федерального закона «О персональных данных»

·         Основные понятия. Персональные данные в Федеральном законе от 27 июля 2006 года № 152-ФЗ «О персональных данных» и Трудовом кодексе РФ. Содержание категории «персональные данные».

·         Область применения закона. Ограничения.

·         Обработка персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

·         Принципы обработки персональных данных.

·         Условия обработки персональных данных. Согласие субъекта. Обработка биометрических данных. Трансграничная передача персональных данных.   Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных (ИСПДн).

·         Специальные категории персональных данных и особенности их обработки.

·         Права субъектов персональных данных и их соблюдение при обработке.

·         Обязанности оператора персональных данных в ходе сбора и обработки персональных данных, ответы на запросы субъектов. Прекращение обработки.

·         Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных законом и принятыми в соответствии с ним нормативно-правовыми актами.

·         Уведомления об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных.

·         Ответственность за нарушение требований по обращению с персональными данными: гражданско-правовая, уголовная, административная, дисциплинарная, материальная. Практика правоприменения.

3.  Работа с персональными данными на предприятии (в организации)

·         Мероприятия по защите сведений ограниченного доступа. Практические шаги по приведению порядка обработки в соответствие с требованиями законодательства. Правовые основания обработки персональных данных. Получение согласия субъектов на обработку. Содержание договоров с субъектами в части обработки персональных данных.

·         Ограничение доступа к персональным данным. Учет лиц, допущенных к персональным данным. Определение порядка обращения с такими сведениями, контроля за его соблюдением. Организация доступа пользователей к ИСПДн.

·         Внутренние нормативные документы по обработке персональных данных и обеспечению их безопасности, их содержание, порядок разработки и ввода в действие.

·         Особенности обработки персональных данных, осуществляемой без использования средств автоматизации.

·         Лица, ответственные за организацию обработки персональных данных в организациях, порядок их назначения и их обязанности.

·         Подготовка уведомлений об обработке персональных данных в уполномоченный орган.

4.  Техническая защита персональных данных в информационных системах

·         Требования Федерального закона и Постановления Правительства РФ 2007 г. № 781 к обеспечению безопасности персональных данных. Обязательные механизмы защиты.

·         Уровни защищенности персональных данных при их обработке в ИСПДн в зависимости от угроз безопасности этим данным и классификация ИСПДн.

·         Модель угроз персональным данным. Базовая модель угроз. Перечень источников угроз. Уровень исходной защищенности. Методика актуализации угроз.

·         Каналы утечки информации при обработке персональных данных в информационных системах.

·         Построение системы защиты персональных данных в ИСПДн.

5.  Лицензирование деятельности по технической защите конфиденциальной информации

·         Понятие технической защиты как лицензируемого вида деятельности.

·         Лицензионные требования.

·         Ответственность за незаконную деятельность в области защиты информации.

·         Незаконное предпринимательство.

·         Оценка и управление риском, связанным с отсутствием лицензии на техническую защиту конфиденциальной информации.

6.  Аутсорсинг обработки персональных данных и их технической защиты

·         Требования, выдвигаемые законом к порядку обработки персональных данных внешней организацией, содержание договора на обработку персональных данных.

·         Передача внешней организации функций технической защиты персональных данных.

·         Передача внешней организации функций лица, ответственного за организацию обработки персональных данных

·         Достоинства и недостатки аутсорсинга обработки персональных данных и их защиты.

7.  Контроль и надзор за соблюдением законодательства о персональных данных

·         Система государственного контроля и надзора  за обеспечением безопасности персональных данных.

·         Область применения Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении госконтроля (надзора) и муниципального контроля» и регулируемые им вопросы.

·         Принципы защиты прав юридических лиц, индивидуальных предпринимателей при осуществлении государственного контроля (надзора).

·         Порядок планирования, организации и проведения проверок.

·         Права и обязанности проверяемых и проверяющих.

·         Меры, принимаемые должностными лицами органа госконтроля (надзора) при выявлении фактов нарушений.