Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Программа'
о ценностях и идеях, базовых для классической индийской цивилизации и остающихся актуальными для современной Индии. По каким бы связанным с Индией спе...полностью>>
'Программа'
Маршрут: Новодевичий монастырь – Третьяковская галерея – Красная площадь – Кремль – усадьба Архангельское - музей Ретро автомобилей – усадьба Коломен...полностью>>
'Доклад'
- За последние 10 лет сбор зерновых в крестьянских (фермерских) хозяйствах (далее - КФХ) увеличился в 4 раза и удельный вес составляет около 21% от в...полностью>>
'Задача'
Динамика социально-экономических преобразований в Украине и, в частности, радикальные изменения в структуре форм собственности привели к необходимост...полностью>>

Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации

Главная > Методические рекомендации
Сохрани ссылку в одной из сетей:

Приложение 9

Журнал учета разовых пропусков

Журнал начат «____» ______________________ 200__ г.

Журнал завершен «____» ______________________ 200__ г.

Должность

Должность

______________________ / ФИО должностного лица /

______________________ / ФИО должностного лица /

На _____ листах

Номер пропуска

Номер заявки на выдачу пропуска

ФИО посетителя

Наименование принимающего структурного подразделения

ФИО должностного лица, подписавшего пропуск

Время начала действия пропуска

Вид документа, с которым пропуск действителен

Место посещения

Фактическое время выхода

Отметка о возврате пропуска

Подпись дежурного бюро пропусков

1

2

3

4

5

6

7

8

9

10

11

Приложение 10

Согласие на обработку персональных данных

Я, _______________________________________________________________

(ФИО)

_________________________________________________________________,

данные паспорта (или иного документа, удостоверяющего личность)

не возражаю против обработки ______________________________________

(наименование организации БС РФ)

(адрес ________________________________________________________) , включая

_____________________________________________________________________

____________________________________________________________________,

перечисление видов обработки (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение)

следующих моих персональных данных:

_________________________________________________________________,

(перечень персональных данных)

обрабатываемых с целью

_________________________________________________________________,

(цель обработки персональных данных)

в течение

_________________________________________________________________.

(указать срок действия согласия)

Настоящее согласие может быть отозвано мной в письменной форме.

Настоящее согласие действует до даты его отзыва мною путем направления в Банк России письменного сообщения об указанном отзыве в произвольной форме, если иное не установлено законодательством Российской Федерации.

(подпись) (ФИО)


"____" ______________20___г.

Приложение 11

Журнал учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных

__________________________________________________________________________

(наименование организации БС РФ)

Журнал начат «____» ______________________ 200__ г.

Журнал завершен «____» ______________________ 200__ г.

Должность

Должность

______________________ / ФИО должностного лица /

______________________ / ФИО должностного лица /

На _____ листах

№ п/п

Сведения о запрашивающем лице

Краткое содержание обращения

Цель запроса

Отметка о предоставлении информации или отказе в ее предоставлении

Дата передачи / отказа в предоставлении информации

Подпись ответственного лица

Примечание

1

2

3

4

5

6

7

8

Приложение 12

Разрешаю уничтожить

<руководитель структурного подразделения

или должностное лицо, ответственное

за обеспечение безопасности

персональных данных>

ФИО

__________________________

«___» _______________2009 г.

Акт об уничтожении персональных данных

Комиссия в составе:

ФИО

Должность

Председатель

Члены комиссии

провела отбор носителей персональных данных и установила, что в соответствии с требованиями руководящих документов по защите информации __________________________________________ информация, записанная на них в процессе эксплуатации, подлежит уничтожению:

№ п/п

Дата

Тип носителя

Регистрационный номер носителя ПДн

Примечание

Всего подлежит уничтожению носителей

(цифрами и прописью)

После утверждения акта перечисленные носители сверены с записями в акте и на указанных носителях персональные данные уничтожены путем _____________________________________________________________________.

(стирания на устройстве гарантированного уничтожения информации и т.п.)

После утверждения акта перечисленные носители сверены с записями в акте и уничтожены путем

___________________________________________________________________.

(разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья и т.п.)

Уничтоженные носители с книг и журналов учета списаны.

Председатель комиссии: _________________ / /

Члены комиссии: _________________ / /

_________________ / /

Примечание:

1. Акт составляется раздельно на каждый способ уничтожения носителей.

2. Все листы акта, а так же все произведенные исправления и дополнения в акте заверяются подписями всех членов комиссии.

Приложение 13

Подтверждение соответствия

«Наименование организации БС РФ»

юридический адрес

стандарту Банка России СТО БР ИББС-1.0-20хх

Настоящее Подтверждение соответствия является документальным удостоверением того, что в результате проведения оценки соответствия «Наименование организации БС РФ» положениям стандарта Банка России СТО БР ИББС-1.0-20хх «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее – СТО БР ИББС-1.0)

с использованием стандартов Банка России СТО БР ИББС-1.2-20хх «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС-1.0» и СТО БР ИББС–1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности»

были получены следующие результаты:

1. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных (регулятор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Роскомнадзор):

________________________________________;

2. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации (регулятор – Федеральная служба по техническому и экспортному контролю, ФСТЭК России):

________________________________________;

3. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных при использовании средств криптографической защиты информации (регулятор - Федеральная служба безопасности Российской Федерации, ФСБ России):

________________________________________;

4. Итоговый уровень соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС-1.0 (регулятор - Центральный банк Российской Федерации):

________________________________________.

Оценка соответствия была проведена в форме внешней оценки соответствия «Наименование организации БС РФ» положениям СТО БР ИББС-1.0 «Наименование проверяющей организации» по состоянию на «ХХ.ХХ.ХХХХ».

Оценка соответствия была проведена в форме самооценки соответствия «Наименование организации БС РФ» положениям СТО БР ИББС-1.0 по состоянию на «ХХ.ХХ.ХХХХ».

<Руководитель организации>: _________________ / /

«___» _______________20__ г

Приложение 14

Журнал учета средств криптографической защиты информации

Журнал начат «____» ______________________ 200__ г.

Журнал завершен «____» ______________________ 200__ г.

Должность

Должность

______________________ / ФИО должностного лица /

______________________ / ФИО должностного лица /

На _____ листах

п.п.

Наименование СКЗИ

Регистрационный номер СКЗИ

Отметка о получении

Отметка о выдаче

Отметка о подключении (установке) СКЗИ

Отметка об изъятии СКЗИ из аппаратных средств ИСПДН

Примечание

От кого получены

Дата и номер сопроводи-тельного письма

Ф.И.О. пользователя СКЗИ, производившего подключение (установку)

Дата подключения (установки) и подписи лиц, произведших подключение (установку)

Ф.И.О. пользователя СКЗИ, производившего подключение (установку)

Дата подключения (установки) и подписи лиц, произведших подключение (установку)

Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ

Дата изъятия (уничтожения)

Ф.И.О. пользователя СКЗИ, производившего изъятие (уничтожение)

Номер акта или расписка об уничтожении

1

2

3

5

6

7

8

9

10

11

12

13

14

15

Приложение 15

ПРИКАЗ

Об назначении работников, допущенных к работе с ключами средств криптографической защиты информации

С целью исполнения законодательных требований, а также требований внутренних документов________________________________________________

(наименование организации БС РФ)

при обработке персональных данных

ПРИКАЗЫВАЮ:

1. Приказываю утвердить список работников____________________________________________________________,

(наименование структурного подразделения организации БС РФ) или (наименование организации БС РФ)

допущенных к работе с ключами средств криптографической защиты информации.

2. Контроль за исполнением настоящего приказа оставляю за собой.

<Руководитель комиссии>: _________________ / /

«___» _______________20__г

Приложение

к приказу от «___» _______________20__г. № ______

Список работников,

допущенных к работе с ключами средств криптографической защиты информации

п/п

Наименование СКЗИ

Название должности

ФИО

Наименование ИСПДн

Руководитель структурного подразделения

или должностное лицо, ответственное

за обеспечение безопасности

персональных данных _________________ / /

от «___» _______________20__г.

Приложение 16

Журнал учета криптографических ключей

Журнал начат «____» ______________________ 200__ г.

Журнал завершен «____» ______________________ 200__ г.

Должность

Должность

______________________ / ФИО должностного лица /

______________________ / ФИО должностного лица /

На _____ листах

п.п.

Номера экземпляров (криптографичес-кие номера) ключевых документов

Номера серий криптогра-фических ключей

Наименование СКЗИ

Отметка о получении

Отметка о выдаче

Отметка об уничтожении ключевых документов

От кого получены

Дата и номер сопроводи-тельного письма

Ф.И.О. пользователя

Дата

Дата уничто-жения

Ф.И.О. пользователя СКЗИ, производившего уничтожение

Номер акта или расписка об уничтожении

1

2

3

4

5

6

7

8

12

13

14

Приложение 17

Утверждаю

<руководитель структурного подразделения

или должностное лицо, ответственное

за обеспечение безопасности

персональных данных>

ФИО

__________________________

«___» _______________2009 г.

Акт о комиссионном уничтожении криптографических ключей

Комиссия в составе:

ФИО

Должность

Председатель

Члены комиссии

провела уничтожение криптографических ключей:

№ п/п

Дата

Тип носителя ключа

Регистрационный номер носителя ключа

Наименование СКЗИ

Примечание

Всего носителей криптографических ключей __________________________

(цифрами и прописью)

На указанных носителях криптографические ключи уничтожены путем _____________________________________________________________________.

(стирания на устройстве гарантированного уничтожения информации и т.п.)

Перечисленные носители криптографических ключей уничтожены путем ______ ___________________________________________________________________.

(разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья и т.п.)

Председатель комиссии: _________________ / /

Члены комиссии: _________________ / /

_________________ / /

Приложение 17

Типовые ошибки при реализации требований законодательства о персональных данных

В таблице приведены типовые и распространенные ошибки кредитных организаций, допускаемые при реализации законодательства о персональных данных, которые выявляются Роскомнадзором, ФСТЭК России и ФСБ России в процессе исполнения ими функций государственного контроля и надзора.

Таблица 3.

п/п

Типовая ошибка

Сфера компетенции регулятора

Отсутствует согласие субъекта ПДн на обработку его ПДн

Роскомнадзор

Не уничтожены ПДн после обращения субъекта

Не послано уведомление субъекту об уничтожении его ПДн

Предоставление ПДн третьим лицам без согласия субъекта ПДн

Не соответствие реальной обработки ПДн заявленным целям обработки

Прямой маркетинг без получения предварительного согласия субъекта ПДн

Обработка ПДн без уведомление Роскомнадзора

Лица, обрабатывающие ПДн, не уведомлены об этом

Отсутствие в договоре с третьими лицами условия обеспечения конфиденциальности

Отсутствие требований по технической защите персональных данных в ТЗ и проектной документации

ФСТЭК России

Незавершенность классификации ИСПДн или ее ошибочность

Невыполнение работ по анализу угроз информационной безопасности

Незавершенность разработки необходимого комплекта организационно-распорядительной документации

Отсутствие необходимых мер и сервисов защиты информации

Непринятие мер по учету машинных носителей

Отсутствие в должностных регламентах ответственных лиц за защиту персональных данных и их полномочий по контролю за выполнением требований по защите

Отсутствие достаточного количества квалифицированных специалистов

Использование средств криптозащиты, отличающихся от эталонных сертифицированных версий

ФСБ России

Невыполнение отдельных требований по порядку эксплуатации криптосредств, предусмотренных технической документацией

Несовершенство отдельных подготовленных оператором документов, регламентирующих вопросы обеспечения безопасности в конкретной организации

1 NISTYLE="SP800-122 «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)», BS10012:2009 «Data protection – Specification for a personal information management system», ISO 25237:2008 «Health informatics – Pseudonymization»

2 Содержание столбца определяется решением комиссии по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных»

3 Содержание столбца определяется решением решением комиссии по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных». Могут содержаться следующие данные:

  • Перечень персональных данных, которые обрабатываются в ИСПДн.

  • Категория обрабатываемых персональных данных - в том случае, если в организации БС РФ проводится классификация персональных данных, в соответствии с пунктом 7.10.3 стандарта Банка России СТО БР ИББС-1.0-20хх.

  • Объем обрабатываемых персональных данных - количество субъектов персональных данных, персональные данные которых обрабатываются в ИСПДн.

  • Виды обработки персональных данных - заполняется в соответствии с пунктом 3 статьи 3 Федерального закона «О персональных данных».

  • Характеристики безопасности - Конфиденциальность, целостность, доступность и другие свойства безопасности персональных данных.

  • Структура ИСПДн, Наличие подключения ИСПДн к сетям связи общего пользования и сетям международного информационного обмена, Режим обработки персональных данных, Режим разграничения прав доступа пользователей к ИСПДн, Местонахождение технических средств ИСПДн - заполняется в соответствии с пунктами 9-13 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом ФСТЭК, ФСБ и Минсвязи от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

4 В соответствии с определенными критериями классификации (пункт 7.11.3 стандарта Банка России СТО БР ИББС-1.0-20хх)

4

проект 11.05.2010



Скачать документ

Похожие документы:

  1. 100 Мифы и заблуждения информационной безопасности Лукацкий

    Документ
    Много лет назад я задумал написать книгу «Безопасность для чайников» по примеру англоязычной серии «…for Dummies». Но как-то со временем были проблемы и книга так и вышла в свет.
  2. Методические рекомендации по выполнению выпускной квалификационной

    Методические рекомендации
    Оценка работы руководителем, предзащита, рецензирование … 36 5.2. Подготовка к защите выпускной квалификационной работы 39 5.3.Порядок защиты выпускной квалификационной работы .
  3. Методические рекомендации по выполнению, оформлению и защите выпускных квалификационных работ для студентов мифуб

    Методические рекомендации
    Методические рекомендации рассматривают цели и задачи дипломирования, определяет порядок оформления и последовательность защиты дипломной работы. Методические рекомендации позволяют обеспечить единство требований по качеству и оформлению
  4. Методические рекомендации по выполнению выпускной квалификационной работы Для студентов специальности080801. 65

    Методические рекомендации
    Методические рекомендации по выполнению выпускной квалификационной работы специальности Прикладная информатика (в экономике), разработаны Вдовиным В.М.
  5. Российская федерация трудовой кодекс российской федерации *О

    Кодекс
    Федеральным законом от 22 августа 2004 года N 122-ФЗ (Российская газета, N 188, 31.08.2004) (о порядке вступления в силу см. статью 155 Федерального закона от 22 августа 2004 года N 122-ФЗ);

Другие похожие документы..