ПРИКАЗ
Об назначении работников, допущенных к работе с ключами средств криптографической защиты информации
С целью исполнения законодательных требований, а также требований внутренних документов________________________________________________
(наименование организации БС РФ)
при обработке персональных данных
ПРИКАЗЫВАЮ:
1. Приказываю утвердить список работников____________________________________________________________,
(наименование структурного подразделения организации БС РФ) или (наименование организации БС РФ)
допущенных к работе с ключами средств криптографической защиты информации.
2. Контроль за исполнением настоящего приказа оставляю за собой.
<Руководитель комиссии>: _________________ / /
«___» _______________20__г
Приложение
к приказу от «___» _______________20__г. № ______
Список работников,
допущенных к работе с ключами средств криптографической защиты информации
№ п/п | Наименование СКЗИ | Название должности | ФИО | Наименование ИСПДн |
Руководитель структурного подразделения
или должностное лицо, ответственное
за обеспечение безопасности
персональных данных _________________ / /
от «___» _______________20__г.
Приложение 16
Журнал учета криптографических ключей
Журнал начат «____» ______________________ 200__ г. | Журнал завершен «____» ______________________ 200__ г. |
Должность | Должность |
______________________ / ФИО должностного лица / | ______________________ / ФИО должностного лица / |
На _____ листах
№ п. п. | Номера экземпляров (криптографичес-кие номера) ключевых документов | Номера серий криптогра-фических ключей | Наименование СКЗИ | Отметка о получении | Отметка о выдаче | Отметка об уничтожении ключевых документов | ||||
От кого получены | Дата и номер сопроводи-тельного письма | Ф. И.О. пользователя | Дата | Дата уничто-жения | Ф. И.О. пользователя СКЗИ, производившего уничтожение | Номер акта или расписка об уничтожении | ||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 12 | 13 | 14 |
Приложение 17
Утверждаю
<руководитель структурного подразделения
или должностное лицо, ответственное
за обеспечение безопасности
персональных данных>
ФИО
__________________________
«___» _______________2009 г.
Акт о комиссионном уничтожении криптографических ключей
Комиссия в составе:
ФИО | Должность | |
Председатель | ||
Члены комиссии | ||
провела уничтожение криптографических ключей:
№ п/п | Дата | Тип носителя ключа | Регистрационный номер носителя ключа | Наименование СКЗИ | Примечание |
Всего носителей криптографических ключей __________________________
(цифрами и прописью)
На указанных носителях криптографические ключи уничтожены путем _____________________________________________________________________.
(стирания на устройстве гарантированного уничтожения информации и т. п.)
Перечисленные носители криптографических ключей уничтожены путем ______ ___________________________________________________________________.
(разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья и т. п.)
Председатель комиссии: _________________ / /
Члены комиссии: _________________ / /
_________________ / /
Приложение 17
Типовые ошибки при реализации требований законодательства о персональных данных
В таблице приведены типовые и распространенные ошибки кредитных организаций, допускаемые при реализации законодательства о персональных данных, которые выявляются Роскомнадзором, ФСТЭК России и ФСБ России в процессе исполнения ими функций государственного контроля и надзора.
Таблица 3.
№ п/п | Типовая ошибка | Сфера компетенции регулятора |
1. | Отсутствует согласие субъекта ПДн на обработку его ПДн | Роскомнадзор |
2. | Не уничтожены ПДн после обращения субъекта | |
3. | Не послано уведомление субъекту об уничтожении его ПДн | |
4. | Предоставление ПДн третьим лицам без согласия субъекта ПДн | |
5. | Не соответствие реальной обработки ПДн заявленным целям обработки | |
6. | Прямой маркетинг без получения предварительного согласия субъекта ПДн | |
7. | Обработка ПДн без уведомление Роскомнадзора | |
8. | Лица, обрабатывающие ПДн, не уведомлены об этом | |
9. | Отсутствие в договоре с третьими лицами условия обеспечения конфиденциальности | |
10. | Отсутствие требований по технической защите персональных данных в ТЗ и проектной документации | ФСТЭК России |
11. | Незавершенность классификации ИСПДн или ее ошибочность | |
12. | Невыполнение работ по анализу угроз информационной безопасности | |
13. | Незавершенность разработки необходимого комплекта организационно-распорядительной документации | |
14. | Отсутствие необходимых мер и сервисов защиты информации | |
15. | Непринятие мер по учету машинных носителей | |
16. | Отсутствие в должностных регламентах ответственных лиц за защиту персональных данных и их полномочий по контролю за выполнением требований по защите | |
17. | Отсутствие достаточного количества квалифицированных специалистов | |
18. | Использование средств криптозащиты, отличающихся от эталонных сертифицированных версий | ФСБ России |
19. | Невыполнение отдельных требований по порядку эксплуатации криптосредств, предусмотренных технической документацией | |
20. | Несовершенство отдельных подготовленных оператором документов, регламентирующих вопросы обеспечения безопасности в конкретной организации |
[1] NIST SP800-122 «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)», BS10012:2009 «Data protection – Specification for a personal information management system», ISO 25237:2008 «Health informatics – Pseudonymization»
[2] Содержание столбца определяется решением комиссии по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных»
[3] Содержание столбца определяется решением решением комиссии по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных». Могут содержаться следующие данные:
- Перечень персональных данных, которые обрабатываются в ИСПДн.
- Категория обрабатываемых персональных данных - в том случае, если в организации БС РФ проводится классификация персональных данных, в соответствии с пунктом 7.10.3 стандарта Банка России СТО БР ИББС-1.0-20хх.
- Объем обрабатываемых персональных данных - количество субъектов персональных данных, персональные данные которых обрабатываются в ИСПДн.
- Виды обработки персональных данных - заполняется в соответствии с пунктом 3 статьи 3 Федерального закона «О персональных данных».
- Характеристики безопасности - Конфиденциальность, целостность, доступность и другие свойства безопасности персональных данных.
- Структура ИСПДн, Наличие подключения ИСПДн к сетям связи общего пользования и сетям международного информационного обмена, Режим обработки персональных данных, Режим разграничения прав доступа пользователей к ИСПДн, Местонахождение технических средств ИСПДн - заполняется в соответствии с пунктами 9-13 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом ФСТЭК, ФСБ и Минсвязи от 01.01.01 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»
[4] В соответствии с определенными критериями классификации (пункт 7.11.3 стандарта Банка России СТО БР ИББС-1.0-20хх)
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 |
