28 | Акты ввода СКЗИ в эксплуатацию. Документы, содержащие описание соответствия размещения и монтажа СКЗИ требованиям документации на СКЗИ. | Регламент ФСБ Документы ФСБ | Допускается не составлять акты ввода СКЗИ в эксплуатацию. При этом должно быть составлено заключение о возможности эксплуатации СКЗИ (по результатам проверки готовности СКЗИ к использованию и соответствия размещения, монтажа и настроек СКЗИ требованиям документации на СКЗИ). Шаблон документа – в Приложении 7. Допускается издание актов ввода в эксплуатацию АБС, в состав которых входят СКЗИ. |
29 | Журнал поэкземплярного учета СКЗИ. | Регламент ФСБ Документы ФСБ | Шаблон документа – в Приложении 14 |
30 | Порядок организации контроля за соблюдением условий использования СКЗИ. | Регламент ФСБ Документы ФСБ | Может быть написан явно или содержаться в Методике внутреннего контроля безопасности организации БС РФ |
31 | Договора на приобретение СКЗИ организации БС РФ (купли-продажи, обмена). | Регламент ФСБ Документы ФСБ | |
32 | Лицензии и сертификаты на используемые СКЗИ (или разрешения ФСБ на использования СКЗИ). | Регламент ФСБ Документы ФСБ | |
33 | Эксплуатационная документация на СКЗИ. | Регламент ФСБ Документы ФСБ | Предоставляется разработчиком или поставщиком средств и систем защиты информации |
34 | Приказ о назначении лиц (пользователей СКЗИ), допущенных к работе с ключами СКЗИ. | Регламент ФСБ Документы ФСБ | Шаблон документа – в Приложении 15 |
35 | Документы, подтверждающие функциональные обязанности работников организации БС РФ. | Регламент ФСБ Документы ФСБ | Должностные инструкции и регламенты. |
36 | Документы, подтверждающие прохождение обучения работников организации БС РФ. | Регламент ФСБ Документы ФСБ | Сертификаты, справки, отчеты и др. |
37 | Журнал учета криптографических ключей. | Регламент ФСБ Документы ФСБ | Шаблон документа – в Приложении 16 |
38 | Акт о комиссионном уничтожении криптографических ключей. | Регламент ФСБ Документы ФСБ | Шаблон документа – в Приложении 17 |
* В столбце приведены сокращенные названия документов:
1. Рекомендации – Рекомендации по выполнению законодательных требований при обработке персональных данных в организации БС РФ.
2. Закон - Федеральный закон от 01.01.01 г. N 152-ФЗ "О персональных данных"
3. Постановление Правительства № 000 - Постановление Правительства РФ от 01.01.01 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"
4. Приказ - Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 01.01.01 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"
5. Приказ ФСТЭК – Приказ федеральной службы по техническому и экспортному контролю от 5 февраля 2010 года № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»
6. Документы ФСБ - «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены Руководством 8 Центра ФСБ России 21 февраля 2008 года)
7. Регламент ФСБ - Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден Руководством 8 Центра ФСБ России 08 августа 2009 года № 149/7/2/6-1173)
8. Регламент Роскомнадзора - Административный регламент проведения проверок Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утвержден приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций № 000 от 01.01.2001 года).
Приложение 1
ПРИКАЗ
О создании комиссии по приведению
____________________________________________________________________
(наименование организации БС РФ)
в соответствие с требованиями Федерального закона от 01.01.01 года
«О персональных данных»
С целью исполнения законодательных требований при обработке персональных данных в ______________________________________________
(наименование организации БС РФ)
ПРИКАЗЫВАЮ:
1. Создать комиссию по приведению_________________________________________________________
(наименование организации БС РФ)
в соответствие с требованиями Федерального закона от 01.01.01 года «О персональных данных» в составе:
Председатель комиссии:
ФИО | Должность |
Члены комиссии:
ФИО | Должность |
2. Возложить на созданную комиссию задачу по классификации информационных систем персональных данных, а также иные задачи по приведению_________________________________________________________
(наименование организации БС РФ)
в соответствие с требования Федерального закона от 01.01.01 года «О персональных данных».
2. Контроль за исполнением настоящего приказа оставляю за собой.
<Руководитель организации>: _________________ / /
«___» _______________20__ г.
Приложение 2
Утверждаю
<руководитель организации БС РФ>
ФИО
__________________________
«___» _______________20__ г.
План приведения __________________________________________________________________________________
(наименование организации БС РФ)
в соответствие с требованиями Федерального закона от 01.01.01 года «О персональных данных»
№ п/п | Наименование мероприятия | Основание (нормативный акт) | Форма реализации | Статус реализации | Срок выполнения | Ответственное лицо | Примечание |
1. | Изучить бизнес-процессы организации БС РФ и технологические процессы обработки информации. | ||||||
2. | Идентифицировать и описать все бизнес-процессы (технологические процессы), в рамках которых обрабатываются ПДн. | ||||||
3. | Определить какие программные и технические средства используются в технологических процессах, в рамках которых обрабатываются ПДн. | ||||||
4. | Определить работников организации (должности), участвующих в технологических процессах, в рамках которых обрабатываются ПДн. | ||||||
5. | Определить состав обрабатываемых в организации ПДн (тип, категория, объем). | Проект перечня ПДн | |||||
6. | Определить цели, правовое основание, условия и принципы обработки ПДн. | Проект перечня ПДн | |||||
7. | Определить, выполняется ли обработка специальных категорий ПДн. Если да, то на каком основании. | Проект перечня ПДн | |||||
8. | Определить к какому типу защищаемой (коммерческая тайна, банковская тайна и др.) информации относятся ПДн. | Проект перечня ПДн | |||||
9. | Сопоставить объем собираемых ПДн целям обработки (убрать избыточные данные). | Перечень ПДн | |||||
10. | Определить срок хранения ПДн. | Перечень ПДн или отдельный нормативный акт | |||||
11. | Определить необходимость получения согласия на обработку ПДн и для тех случаев, когда необходимо, получить такое согласие в письменном виде. | Согласие субъектов на обработку ПДн | |||||
12. | Сообщать субъекту ПДн о целях обработки при сборе сведений, составляющих ПДн. | Скорректированные формы договоров с субъектами персональных данных | |||||
13. | Определить ПДн, получаемые не непосредственно от субъекта ПДн, и для таких случаев уведомить субъектов. | Типовая форма уведомления субъектов | |||||
14. | Определить порядок передачи ПДн сторонним организациям и лицам. | ||||||
15. | Определить договорные взаимоотношения, в рамках которых выполняется передача ПДн третьей стороне и внести в такие договора требования об обеспечении конфиденциальности передаваемых ПДн. | Изменение форм договоров и заключение дополнительных соглашений к действующим договорам | |||||
16. | Определить, выполняется ли трансграничная передача ПДн. Если да, то убедиться что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, или в противном случае имеется обоснование для такой передачи. | ||||||
17. | Определить порядок реагирования на запросы со стороны субъектов ПДн и предоставления им их ПДн, внесения изменений, прекращения обработки ПДн | Регламент реагирования на обращения субъектов. Журналы (книги) учета обращений субъектов персональных данных. Типовая форма ответа на запросы | |||||
18. | Определить порядок уничтожения ПДн после достижения целей обработки | Инструкция по уничтожению ПДн. Акт об уничтожении персональных данных | |||||
19. | Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление | Уведомление Роскомнадзора | |||||
20. | Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн | Приказ о назначении ответственного | |||||
21. | Провести анализ систем организации и составить перечень систем, в которых обрабатываются персональные данные. Выделить ИСПДн. | Список систем, в которых обрабатываются персональные данные | |||||
22. | Выявить ИСПДн (в том числе государственные) и их границы (в рамках организации БС РФ), в отношении которых организация не определяет цели обработки и требования по защите (например, передача отчетности в Пенсионный фонд, ФНС, ФОМС и др.) | Обеспечение безопасности ПДн в таких системах следует осуществлять в соответствии с предъявляемыми их организатором (владельцем) требованиями | |||||
23. | Разработать модель угроз ПДн | Приказ о вводе в действие в организации БС РФ Отраслевой модели угроз или Частная модель угроз безопасности ПДн организации БС РФ | |||||
24. | Провести классификацию ИСПДн | Акты классификации ИСПДн | |||||
25. | Оценить необходимость и возможности обезличивания ПДн. Провести обезличивание ПДн. При необходимости провести повторную классификацию ИСПДн | ||||||
26. | Определить требования и меры по обеспечению безопасности ПДн | Политика информационной безопасности или отдельный документ | |||||
27. | Разработать требования по обеспечению безопасности ПДн при обработке в ИСПДн | Политика информационной безопасности или отдельный документ, содержащий требования по обеспечению безопасности ПДн | |||||
28. | Разработать должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн | Должностные инструкции персонала и журнал инструктажа | |||||
29. | Определить порядок действий должностных лиц в случае возникновения нештатных ситуаций | Журнал учета нештатных ситуаций | |||||
30. | Определить порядок проведения контроля обеспечения безопасности ПДн | Политика информационной безопасности или отдельный документ | |||||
31. | Анализ существующих защитных мер на предмет соответствия требованиям Стандартов Банка России и требованиям, определенным на этапах 19, 20 | ||||||
32. | Выявление невыполненных в организации требований Стандартов Банка России и требований, определенных на этапах 19, 20, принятие решений о создании системы защиты персональных данных, доработке ИСПДн, доработке документов организации БС РФ и др. | ||||||
33. | Организовать разработку системы обеспечения безопасности персональных данных на основе положений ГОСТ 34 серии. | Приказы, Распоряжения, Договоры с организациями, которые проводят работы по созданию системы защиты информации, Документы в соответствии с положениями ГОСТ 34 серии | |||||
34. | Разработать систему защиты в соответствии с положениями Стандартов Банка России, и требованиями, определенным на этапах 19, 20. | ||||||
35. | Разработка технических заданий на создание системы защиты. Разработка частных технических заданий на доработку ИСПДн. | Технические задания. Частные технические задания | |||||
36. | Вести учет носителей ПДн, СЗИ, в том числе поэкземплярный учет СКЗИ, криптографических ключей | Справки Журналы учета | |||||
37. | Назначить приказом ответственного пользователя СКЗИ, имеющего необходимый уровень квалификации | Приказ о назначении ответственного за СКЗИ | |||||
38. | Обеспечить размещение, специальное оборудование, охрану и организацию режима в помещениях, где установлены СКЗИ или хранятся криптографические ключи | ||||||
39. | Определить подразделения и назначить лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн | Приказы, распоряжения | |||||
40. | Провести обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними | Документы о прохождении обучения | |||||
41. | Доработка существующих документов и разработка новых документов с целью приведения документов организации в соответствие с требованиями Федерального закона «О персональных данных» и Стандартов Банка России | Документы | |||||
42. | Определить необходимость получения лицензий (в соответствии с пунктами 9.6 и 9.7 СТО БР ИББС-1.0-20хх) | Лицензии | |||||
43. | Проводить разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений | Журнал учета нештатных ситуаций | |||||
44. | Выполнять постоянный контроль обеспечения безопасности ПДн | Справки, отчеты | |||||
45. | Провести самооценку соответствия информационной безопасности (в том числе обеспечения безопасности персональных данных) требованиям СТО БР ИББС-1.0-20…. | Отчет о результатах. План устранения выявленных недостатков | |||||
46. | Провести внешнюю оценку соответствия информационной безопасности (в том числе обеспечения безопасности персональных данных) требованиям СТО БР ИББС-1.0-20…. | Отчет и Заключение. План устранения выявленных недостатков | |||||
47. | Подготовить и утвердить «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх» | Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх | |||||
48. | Направить «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх» | ||||||
49. | Выполнять постоянный контроль обеспечения безопасности ПДн | Справки, отчеты, заключения |
Приложение 3
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 |
