Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Документ'
В ПРОГРАММЕ КОНГРЕССАI. Работа по следующим тематикам:- «Производство цветных, редких и радиоактивных металлов»- Физикохимия пиро- и гидрометаллургиче...полностью>>
'Документ'
В соответствии с пунктом 6 статьи 42 Федерального закона от 22 апреля 1996 г. N 39-ФЗ "О рынке ценных бумаг" (Собрание законодательства Рос...полностью>>
'Документ'
1.2. Оскільки між Сторонами налагоджуються тісні взаємовигідні ділові стосунки, позика надається ПОЗИЧАЛЬНИКУ на безвідсотковій (безвідплатній) основ...полностью>>
'Рассказ'
Если возникнут сложности, вопросы любого плана или понадобится что-то уточнить – обращайтесь ко мне по почте admin@mary-jane.ru, отвечу на любые вопр...полностью>>

Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации

Главная > Методические рекомендации
Сохрани ссылку в одной из сетей:

Банк России

Ассоциация российских банков

Методические рекомендации

по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации

(на основе комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»)

2010

Содержание

Содержание 2

I. Введение 3

II. Общие положения 6

III. Особенности и ограничения 6

IV. Программа действий по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных» 7

V. Комментарии к программе действий 9

a. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных» (пункт 2 программы действий) 9

b. Разработка плана по приведению в соответствие (пункт 3 программы действий) 9

c. Типовой перечень персональных данных (пункт 4 программы действий) 10

d. Классификация ИСПДн (пункт 6 программы действий) 11

e. Разработка частной модели угроз (пункт 7 программы действий) 11

f. Оценка возможности обезличивания персональных данных (пункт 8 программы действий) 12

g. Реализация плана и документирование процесса обработки персональных данных (пункт 11 программы действий) 15

Типовые ошибки при реализации требований законодательства о персональных данных 59

I. Введение

В Банк России и Ассоциацию российских банков поступают многочисленные обращения организаций банковской системы Российской Федерации (БС РФ) по вопросу применения положений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»). Банками отмечается, что выполнение норм Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных является крайне важной задачей и способствует защите интересов граждан.

С целью выполнения в организациях банковской системы Российской Федерации (далее - БС РФ) требований Федерального закона "О персональных данных" и требований (рекомендаций) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор), Федеральной службы безопасности Российской Федерации (далее – ФСБ России) и Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) Центральный банк Российской Федерации при участии Роскомнадзора, ФСБ России, ФСТЭК России (далее – Регуляторы, если по смыслу не требуется детализация) и Ассоциации российских банков (далее - АРБ) разработал отраслевые документы по приведению организаций БС РФ в соответствие с требованиями законодательства в области персональных данных. Эти документы включают:

1. Четыре документа, входящие в комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (далее – Комплекс БР ИББС):

- Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации» (РС БР ИББС-2.4) (далее – Отраслевая модель угроз).

- Доработанные в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз стандарты Банка России отраслевого применения СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее - стандарт Банка России СТО БР ИББС-1.0) и СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».

- Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации» (далее – рекомендации в области стандартизации Банка России РС БР ИББС-2.3).

2. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ (далее – Методические рекомендации).

Методические рекомендации разработаны Ассоциацией российских банков совместно с Банком России для обеспечения методической поддержки применения организациями БС РФ Комплекса БР ИББС.

Место вышеуказанной документации показано на примерной структурной схеме документационного обеспечения выполнения законодательных требований при обработке персональных данных в организациях БС РФ (Рис.1).


II. Общие положения

Отраслевая модель угроз разработана на основе «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», рекомендованной ФСТЭК России, и содержит перечень угроз безопасности персональным данным, актуальных для организаций БС РФ.

Стандарты Банка России Банка России позволяют обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных (ИСПДн), т.е. в системах, целью создания которых является обработка персональных данных и к защите которых требования и рекомендации по обеспечению безопасности персональных данных предъявляют ФСБ России и ФСТЭК России, так и в иных автоматизированных банковских системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (режим защиты сведений, составляющих банковскую тайну, коммерческую тайну и др.).

При введении Стандартов Банка России в организации БС РФ приказом требования по получению лицензий на деятельность по технической защите конфиденциальной информации и требования аттестации ИСПДн не являются обязательными (в соответствии с пунктом 9.6 СТО БР ИББС-1.0-20хх).

В случае применения организацией БС РФ для обеспечения безопасности персональных данных шифровальных (криптографических) средств защиты информации (далее - СКЗИ), организации БС РФ обязаны получать лицензии ФСБ России в соответствии с законодательством Российской Федерации.

Рекомендации содержат набор практик, способствующих выполнению в организациях БС РФ требований Стандартов Банка России и тем самым – выполнению требований Федерального закона «О персональных данных», а также требований и рекомендаций Регуляторов.

III. Особенности и ограничения

В соответствии с Федеральным законом от 27 декабря 2002г. «О техническом регулировании» № 184-ФЗ все стандарты Российской Федерации носят рекомендательный характер.

Вместе с тем, в случае введения их в организации БС РФ приказом, стандарты принимают статус документов, обязательных для выполнения в этой организации. В этом случае организация БС РФ добровольно принимает на себя обязательство внедрить Стандарты Банка России, оценить соответствие организации БС РФ его требованиям (с использованием стандарта Банка России СТО БР ИББС-1.2) и официально подтвердить это, направив в адрес Банка России и территориальных органов Регуляторов – Роскомнадзора, ФСТЭК России, ФСБ России (в пределах их полномочий) «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0».

Если организация БС РФ не вводит Стандарты Банка России приказом, то ее деятельность при обработке персональных данных подлежит оценке при осуществлении надзора и контроля уполномоченными государственными органами на соответствие требованиям нормативных документов Регуляторов в области персональных данных, без учета отраслевых особенностей банковской сферы деятельности, отраженных в Комплексе БР ИББС.

IV. Программа действий по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных»

1. Принятие решения о присоединении или не присоединении к Стандартам Банка России. Подготовка и выпуск приказа.

2. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных». Указанная комиссия будет координировать работы по приведению организации БС РФ в соответствие с требованиями Стандартов Банка России и настоящих рекомендаций и по проведению самооценки.

3. Разработка плана по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных» (в соответствие с требованиями Стандартов Банка России).

4. Формирование перечня обрабатываемых персональных данных, а также формулирование целей и оснований для обработки этих данных.

5. Определение и выработка условий и принципов обработки персональных данных в организации БС РФ.

6. Составление перечня систем организации БС РФ, в которых обрабатываются персональные данные. Выделение ИСПДн и проведение их классификации.

7. Принятие решения о вводе в действие в организации БС РФ Отраслевой модели угроз. Разработка, в случае необходимости, собственной частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных организации БС РФ.

8. Оценка возможности обезличивания персональных данных. Проведение обезличивания. Проведение, в случае необходимости, повторной классификации ИСПДн.

9. Оценка существующих защитных мер на предмет соответствия требованиям Стандартов Банка России.

10. Решение вопроса о выделении необходимых материальных, кадровых и финансовых ресурсов для реализации мероприятий, предусмотренных планом мероприятий.

11. Реализация плана, включая выпуск необходимых документов. Доработка уже существующих документов с целью их соответствия требованиям Федерального закона «О персональных данных».

12. Проведение контроля в форме:

  • Оценки соответствия организации БС РФ положениям стандарта Банка России СТО БР ИББС-1.0-20хх внешней организацией (аудита).

  • Самооценки соответствия организации БС РФ положениям стандарта Банка России СТО БР ИББС-1.0-20хх.

13. Выпустить документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).

14. По готовности, но не позже 31 декабря 2010 года направить этот документ в адрес Банка России и территориальных органов Регуляторов. В дальнейшем направлять этот документ в Банк России и Регуляторам один раз в три года.

V. Комментарии к программе действий

a. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных» (пункт 2 программы действий)

Перед началом работ по приведению организации БС РФ в соответствие с требованиями Федерального Закона «О персональных данных» необходимо организационно-распорядительным порядком создать комиссию, на которую будет возлагаться реализация приведенных выше этапов. В состав данной комиссии должны войти представители юридического подразделения, подразделений общей и информационной безопасности, подразделений информатизации (разработки и обеспечения банковских технологий и обработки информации), кадровой службы (отдела кадров), управления делами (делопроизводства), подразделений по работе с клиентами (физическими лицами), а также представители других структурных подразделений, имеющих непосредственное отношение в организации БС РФ к сфере действия Федерального закона «О персональных данных».

Целесообразно, чтобы председатель комиссии был одновременно назначен ответственным за выполнение законодательных требований при обработке персональных данных в организации БС РФ.

Одной из задач комиссии является классификация информационных систем персональных данных.

После выполнения плана по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных» рекомендуется продолжить работу комиссии на постоянной основе.

b. Разработка плана по приведению в соответствие (пункт 3 программы действий)

Все этапы программы действий (кроме первого) могут быть детализированы в поэтапном плане по приведению организации БС РФ в соответствие с требованиями Федерального Закона «О персональных данных».

Данный поэтапный план необходимо утвердить с указанием конкретных сроков реализации каждого этапа.

c. Типовой перечень персональных данных (пункт 4 программы действий)

В организации БС РФ целесообразно сформировать перечень персональных данных с указанием целей и сроков их обработки (в т.ч. и хранения). Это позволит облегчить решение ряда задач, например:

разработка положения о защите персональных данных и иной организационно-распорядительной документации в области обработки персональных данных;

планирование и реализация мероприятий по защите персональных данных;

разработка уведомления в Роскомнадзор;

реагирование на запросы субъектов персональных данных.

При составлении Перечня персональных данных организация БС РФ может воспользоваться примерным перечнем, приведенным в Приложении 3.

При составлении перечня персональных данных, обрабатываемых организацией БС РФ, важно определить цели и сроки такой обработки. Например, если для регистрации паспортных данных посетителей организации БС РФ выбрана цель - «однократный проход посетителей на территорию организации БС РФ», то покидание посетителем организации БС РФ приводит к необходимости уничтожения зафиксированных персональных данных. Этого требует Федеральный закон «О персональных данных», так как по достижению цели обработки персональные данные должны быть уничтожены. Это пример некорректно выбранной цели. Теперь приведем пример некорректно выбранного срока хранения персональных данных. Если во внутренних документах организации БС РФ написано, что «хранение персональных данных персонала организации БС РФ осуществляется в течение срока действия трудового договора», то организация БС РФ может столкнуться с ситуацией, когда персональные данные уволенного работника должны быть удалены, а сделать это невозможно, так как эти данные должны быть использованы при предоставлении отчетности в органы Федеральной налоговой службы, Пенсионный Фонд Российской Федерации, Фонд обязательного медицинского страхования и т.п. С целью упрощения определения целей и сроков обработки персональных данных организация БС РФ может воспользоваться формулировками, приведенными в Перечне персональных данных, обрабатываемых организацией БС РФ (Приложение 3).

Данный этап также позволит выделить персональные данные, которые потребуют особых условий обработки – видео и фотоизображения человека, геометрия руки и дактилоскопия, голосовые данные в центрах обработки вызовов и т.п.

При наличии в организации БС РФ утвержденного Перечня сведений конфиденциального характера допускается включить в него новый пункт – «персональные данные» (вместо разработки и утверждения отдельного Перечня обрабатываемых персональных данных). Это позволит легитимным образом распространить уже существующие режимы конфиденциальности, а также разработанную по этим вопросам нормативно-распорядительную документацию, и на обрабатываемые в организации БС РФ персональные данные.

При обработке персональных данных клиентов организации БС РФ рекомендуется минимизировать обработку персональных данных, отнесенных Федеральным законом «О персональных данных» (статья 10) к специальным категориям персональных данных.

d. Классификация ИСПДн (пункт 6 программы действий)

В связи с тем, что согласно статье 19 Федерального закона «О персональных данных» операторы обязаны защитить персональные данные от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий, то все ИСПДн организации БС РФ относятся к категории специальных в соответствии с пунктом 8 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн.

По результатам классификации ИСПДн составляется Акт классификации.

e. Разработка частной модели угроз (пункт 7 программы действий)

В соответствии с пунктом 16 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» для специальных информационных систем персональных данных должна быть разработана модель угроз безопасности персональных данных.

В качестве модели угроз безопасности персональных данных при их обработке в ИСПДн организация БС РФ может использовать Отраслевую модель угроз, содержащую актуальные угрозы безопасности персональных данных при обработке в ИСПДн организаций БС РФ (применительно к большинству организаций БС РФ) и согласованную с Регуляторами.

В случае необходимости, в организации БС РФ может быть составлена частная модель угроз безопасности персональных данных при их обработке в ИСПДн организации БС РФ (далее – частная модель угроз), учитывающая особенности обработки персональных данных в конкретной организации БС РФ.

В качестве методики выбора актуальных для организации БС РФ угроз и последующего составления частной модели угроз целесообразно использовать рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций БС РФ. Методика оценки рисков нарушения информационной безопасности.

f. Оценка возможности обезличивания персональных данных (пункт 8 программы действий)

Персональные данные, обрабатываемые в ИСПДн, можно обезличить с целью понижения уровня требований по обеспечению безопасности. Согласно Федеральному закону «О персональных данных» обезличивание – это действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Полностью обезличить все персональные данные невозможно – в информационных системах всегда будут присутствовать технические средства (например, автоматизированные рабочие места операционистов или принтеры), на которых будет происходить процесс, обратный обезличиванию, - для целей сверки данных, печати на принтере, отправки по электронной почте и т.п.

На основе анализа национальных и международных стандартов1 может быть составлен следующий список алгоритмов обезличивания персональных данных (см. Таблица 1).

Таблица 1. Алгоритмы обезличивания персональных данных (ПДн)

Алгоритм обезличивания

Описание

Примечание

Абстрагирование ПДн

Сделать ПДн менее точными путем группирования общих или непрерывных характеристик

Например, вместо указания конкретного возраста использовать кодификаторы (18-25 лет – 2, 26-33 года – 3 и т.д.)

Скрытие ПДн

Удалить все или часть записи ПДн, не требуемой для деятельности кредитной организации

Внесение шума в ПДн

Добавить небольшое количество посторонней информации в ПДн

Замена ПДн

Переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи

Замена данных средним значением

Заменить выбранные данные средним значением для группы ПДн

Разделение ПДн на части

Использование таблиц перекрестных ссылок

Например, вместо одной таблицы использовать две – одна с ФИО и идентификатором субъекта ПДн, вторая – с тем же идентификатором субъекта ПДн и остальной частью ПДн

Использование специальных алгоритмов

Маскирование ПДн или подмена определенных символов другими

Использование алгоритмов криптографического преобразования

Хэширование или шифрование

Использование средств криптографической защиты требует регулируется отдельным законодательством



Скачать документ

Похожие документы:

  1. 100 Мифы и заблуждения информационной безопасности Лукацкий

    Документ
    Много лет назад я задумал написать книгу «Безопасность для чайников» по примеру англоязычной серии «…for Dummies». Но как-то со временем были проблемы и книга так и вышла в свет.
  2. Методические рекомендации по выполнению выпускной квалификационной

    Методические рекомендации
    Оценка работы руководителем, предзащита, рецензирование … 36 5.2. Подготовка к защите выпускной квалификационной работы 39 5.3.Порядок защиты выпускной квалификационной работы .
  3. Методические рекомендации по выполнению, оформлению и защите выпускных квалификационных работ для студентов мифуб

    Методические рекомендации
    Методические рекомендации рассматривают цели и задачи дипломирования, определяет порядок оформления и последовательность защиты дипломной работы. Методические рекомендации позволяют обеспечить единство требований по качеству и оформлению
  4. Методические рекомендации по выполнению выпускной квалификационной работы Для студентов специальности080801. 65

    Методические рекомендации
    Методические рекомендации по выполнению выпускной квалификационной работы специальности Прикладная информатика (в экономике), разработаны Вдовиным В.М.
  5. Российская федерация трудовой кодекс российской федерации *О

    Кодекс
    Федеральным законом от 22 августа 2004 года N 122-ФЗ (Российская газета, N 188, 31.08.2004) (о порядке вступления в силу см. статью 155 Федерального закона от 22 августа 2004 года N 122-ФЗ);

Другие похожие документы..