Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Семинар'
Родом из Лаконии (Греция). Получил стипендию имени Марии Каллас и дипломы Национальной Афинской консерватории и Венской Высшей музыкальной академии. ...полностью>>
'Документ'
І 66 Інновації – шлях до розвитку (2005 – 2010 рр.): бібліогр. покажчик / Харк. нац. акад. міського госп-ва; уклад.: Н. О. Рибакова. – Х.: ХНАМГ, 201...полностью>>
'Программа'
Состояние и перспективы производства и потребления химических волокон и нитей в мире и в СНГ. Докладчик – Э.М. Айзенштейн. Директор текстильного депар...полностью>>
'Кодекс'
от 24.07.2007 N 214-ФЗ, от 04.11.2007 N 252-ФЗ, от 01.12.2007 N 318-ФЗ, от 06.12.2007 N -ФЗ, от 06.12.2007 N 335-ФЗ, от 14.02.2008 N 11-ФЗ, от 08.04....полностью>>

Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации

Главная > Методические рекомендации
Сохрани ссылку в одной из сетей:

* В столбце приведены сокращенные названия документов:

  1. Рекомендации – Рекомендации по выполнению законодательных требований при обработке персональных данных в организации БС РФ.

  2. Закон - Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

  3. Постановление Правительства № 781 - Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"

  4. Приказ - Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"

  5. Приказ ФСТЭК – Приказ федеральной службы по техническому и экспортному контролю от 5 февраля 2010 года № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»

  6. Документы ФСБ - «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены Руководством 8 Центра ФСБ России 21 февраля 2008 года)

  7. Регламент ФСБ - Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден Руководством 8 Центра ФСБ России 08 августа 2009 года № 149/7/2/6-1173)

  8. Регламент Роскомнадзора - Административный регламент проведения проверок Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утвержден приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций № 630 от 01.12.2009 года).

Приложение 1

ПРИКАЗ

О создании комиссии по приведению

____________________________________________________________________

(наименование организации БС РФ)

в соответствие с требованиями Федерального закона от 27 июля 2006 года

№ 152-ФЗ «О персональных данных»

С целью исполнения законодательных требований при обработке персональных данных в ______________________________________________

(наименование организации БС РФ)

ПРИКАЗЫВАЮ:

1. Создать комиссию по приведению_________________________________________________________

(наименование организации БС РФ)

в соответствие с требованиями Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» в составе:

Председатель комиссии:

ФИО

Должность

Члены комиссии:

ФИО

Должность

2. Возложить на созданную комиссию задачу по классификации информационных систем персональных данных, а также иные задачи по приведению_________________________________________________________

(наименование организации БС РФ)

в соответствие с требования Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных».

2. Контроль за исполнением настоящего приказа оставляю за собой.

<Руководитель организации>: _________________ / /

«___» _______________20__ г.

Приложение 2

Утверждаю

<руководитель организации БС РФ>

ФИО

__________________________

«___» _______________20__ г.

План приведения __________________________________________________________________________________

(наименование организации БС РФ)

в соответствие с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»

п/п

Наименование мероприятия

Основание (нормативный акт)

Форма реализации

Статус реализации

Срок выполнения

Ответственное лицо

Примечание

Изучить бизнес-процессы организации БС РФ и технологические процессы обработки информации.

Идентифицировать и описать все бизнес-процессы (технологические процессы), в рамках которых обрабатываются ПДн.

Определить какие программные и технические средства используются в технологических процессах, в рамках которых обрабатываются ПДн.

Определить работников организации (должности), участвующих в технологических процессах, в рамках которых обрабатываются ПДн.

Определить состав обрабатываемых в организации ПДн (тип, категория, объем).

Проект перечня ПДн

Определить цели, правовое основание, условия и принципы обработки ПДн.

Проект перечня ПДн

Определить, выполняется ли обработка специальных категорий ПДн. Если да, то на каком основании.

Проект перечня ПДн

Определить к какому типу защищаемой (коммерческая тайна, банковская тайна и др.) информации относятся ПДн.

Проект перечня ПДн

Сопоставить объем собираемых ПДн целям обработки (убрать избыточные данные).

Перечень ПДн

Определить срок хранения ПДн.

Перечень ПДн или отдельный нормативный акт

Определить необходимость получения согласия на обработку ПДн и для тех случаев, когда необходимо, получить такое согласие в письменном виде.

Согласие субъектов на обработку ПДн

Сообщать субъекту ПДн о целях обработки при сборе сведений, составляющих ПДн.

Скорректированные формы договоров с субъектами персональных данных

Определить ПДн, получаемые не непосредственно от субъекта ПДн, и для таких случаев уведомить субъектов.

Типовая форма уведомления субъектов

Определить порядок передачи ПДн сторонним организациям и лицам.

Определить договорные взаимоотношения, в рамках которых выполняется передача ПДн третьей стороне и внести в такие договора требования об обеспечении конфиденциальности передаваемых ПДн.

Изменение форм договоров и заключение дополнительных соглашений к действующим договорам

Определить, выполняется ли трансграничная передача ПДн. Если да, то убедиться что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, или в противном случае имеется обоснование для такой передачи.

Определить порядок реагирования на запросы со стороны субъектов ПДн и предоставления им их ПДн, внесения изменений, прекращения обработки ПДн

Регламент реагирования на обращения субъектов.

Журналы (книги) учета обращений субъектов персональных данных.

Типовая форма ответа на запросы

Определить порядок уничтожения ПДн после достижения целей обработки

Инструкция по уничтожению ПДн.

Акт об уничтожении персональных данных

Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление

Уведомление Роскомнадзора

Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн

Приказ о назначении ответственного

Провести анализ систем организации и составить перечень систем, в которых обрабатываются персональные данные. Выделить ИСПДн.

Список систем, в которых обрабатываются персональные данные

Выявить ИСПДн (в том числе государственные) и их границы (в рамках организации БС РФ), в отношении которых организация не определяет цели обработки и требования по защите (например, передача отчетности в Пенсионный фонд, ФНС, ФОМС и др.)

Обеспечение безопасности ПДн в таких системах следует осуществлять в соответствии с предъявляемыми их организатором (владельцем) требованиями

Разработать модель угроз ПДн

Приказ о вводе в действие в организации БС РФ Отраслевой модели угроз

или

Частная модель угроз безопасности ПДн организации БС РФ

Провести классификацию ИСПДн

Акты классификации ИСПДн

Оценить необходимость и возможности обезличивания ПДн.

Провести обезличивание ПДн. При необходимости провести повторную классификацию ИСПДн

Определить требования и меры по обеспечению безопасности ПДн

Политика информационной безопасности или отдельный документ

Разработать требования по обеспечению безопасности ПДн при обработке в ИСПДн

Политика информационной безопасности или отдельный документ, содержащий требования по обеспечению безопасности ПДн

Разработать должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн

Должностные инструкции персонала и журнал инструктажа

Определить порядок действий должностных лиц в случае возникновения нештатных ситуаций

Журнал учета нештатных ситуаций

Определить порядок проведения контроля обеспечения безопасности ПДн

Политика информационной безопасности или отдельный документ

Анализ существующих защитных мер на предмет соответствия требованиям Стандартов Банка России и требованиям, определенным на этапах 19, 20

Выявление невыполненных в организации требований Стандартов Банка России и требований, определенных на этапах 19, 20, принятие решений о создании системы защиты персональных данных, доработке ИСПДн, доработке документов организации БС РФ и др.

Организовать разработку системы обеспечения безопасности персональных данных на основе положений ГОСТ 34 серии.

Приказы, Распоряжения, Договоры с организациями, которые проводят работы по созданию системы защиты информации, Документы в соответствии с положениями ГОСТ 34 серии

Разработать систему защиты в соответствии с положениями Стандартов Банка России, и требованиями, определенным на этапах 19, 20.

Разработка технических заданий на создание системы защиты.

Разработка частных технических заданий на доработку ИСПДн.

Технические задания.

Частные технические задания

Вести учет носителей ПДн, СЗИ, в том числе поэкземплярный учет СКЗИ, криптографических ключей

Справки

Журналы учета

Назначить приказом ответственного пользователя СКЗИ, имеющего необходимый уровень квалификации

Приказ о назначении ответственного за СКЗИ

Обеспечить размещение, специальное оборудование, охрану и организацию режима в помещениях, где установлены СКЗИ или хранятся криптографические ключи

Определить подразделения и назначить лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн

Приказы, распоряжения

Провести обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними

Документы о прохождении обучения

Доработка существующих документов и разработка новых документов с целью приведения документов организации в соответствие с требованиями Федерального закона «О персональных данных» и Стандартов Банка России

Документы

Определить необходимость получения лицензий (в соответствии с пунктами 9.6 и 9.7 СТО БР ИББС-1.0-20хх)

Лицензии

Проводить разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений

Журнал учета нештатных ситуаций

Выполнять постоянный контроль обеспечения безопасности ПДн

Справки, отчеты

Провести самооценку соответствия информационной безопасности (в том числе обеспечения безопасности персональных данных) требованиям СТО БР ИББС-1.0-20….

Отчет о результатах. План устранения выявленных недостатков

Провести внешнюю оценку соответствия информационной безопасности (в том числе обеспечения безопасности персональных данных) требованиям СТО БР ИББС-1.0-20….

Отчет и Заключение.

План устранения выявленных недостатков

Подготовить и утвердить «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх»

Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх

Направить «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх»

Выполнять постоянный контроль обеспечения безопасности ПДн

Справки, отчеты, заключения

Приложение 3

Утверждаю

<руководитель организации БС РФ>

ФИО

__________________________

«___» _______________20__ г.



Скачать документ

Похожие документы:

  1. 100 Мифы и заблуждения информационной безопасности Лукацкий

    Документ
    Много лет назад я задумал написать книгу «Безопасность для чайников» по примеру англоязычной серии «…for Dummies». Но как-то со временем были проблемы и книга так и вышла в свет.
  2. Методические рекомендации по выполнению выпускной квалификационной

    Методические рекомендации
    Оценка работы руководителем, предзащита, рецензирование … 36 5.2. Подготовка к защите выпускной квалификационной работы 39 5.3.Порядок защиты выпускной квалификационной работы .
  3. Методические рекомендации по выполнению, оформлению и защите выпускных квалификационных работ для студентов мифуб

    Методические рекомендации
    Методические рекомендации рассматривают цели и задачи дипломирования, определяет порядок оформления и последовательность защиты дипломной работы. Методические рекомендации позволяют обеспечить единство требований по качеству и оформлению
  4. Методические рекомендации по выполнению выпускной квалификационной работы Для студентов специальности080801. 65

    Методические рекомендации
    Методические рекомендации по выполнению выпускной квалификационной работы специальности Прикладная информатика (в экономике), разработаны Вдовиным В.М.
  5. Российская федерация трудовой кодекс российской федерации *О

    Кодекс
    Федеральным законом от 22 августа 2004 года N 122-ФЗ (Российская газета, N 188, 31.08.2004) (о порядке вступления в силу см. статью 155 Федерального закона от 22 августа 2004 года N 122-ФЗ);

Другие похожие документы..