БАНК РОССИИ

АССОЦИАЦИЯ РОССИЙСКИХ БАНКОВ

АССОЦИАЦИЯ РЕГИОНАЛЬНЫХ БАНКОВ РОССИИ (АССОЦИАЦИЯ «РОССИЯ»)

Методические рекомендации

по выполнению законодательных требований при

обработке персональных данных в организациях

банковской системы Российской Федерации

(на основе комплекса документов в области стандартизации Банка России

«Обеспечение информационной безопасности организаций банковской системы Российской Федерации») 2010   Содержание I. Введение

II. Общие положения

III. Особенности и ограничения

IV. Программа действий по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных»

V. Комментарии к программе действий

a. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных» (пункт программы действий)

b. Разработка плана по приведению в соответствие (пункт 3 программы действий)

c. Типовой перечень персональных данных (пункт 4 программы действий).. d. Классификация ИСПДн (пункт 6 программы действий)

e. Разработка частной модели угроз (пункт 7 программы действий).............. f. Оценка возможности обезличивания персональных данных (пункт программы действий)

g. Реализация плана и документирование процесса обработки персональных данных (пункт 11 программы действий)

         I. Введение В Банк России, Ассоциацию российских банков и Ассоциацию региональных банков России (Ассоциацию «Россия») поступают многочисленные обращения организаций банковской системы Российской Федерации (БС РФ) по вопросу применения положений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»). Банками отмечается, что выполнение норм Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных является крайне важной задачей и способствует защите интересов граждан.

С целью выполнения в организациях банковской системы Российской Федерации (далее - БС РФ) требований Федерального закона "О персональных данных" и требований (рекомендаций) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее Роскомнадзор), Федеральной службы безопасности Российской Федерации (далее – ФСБ России) и Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) Центральный банк Российской Федерации при участии Роскомнадзора, ФСБ России, ФСТЭК России (далее – Регуляторы, если по смыслу не требуется детализация), Ассоциации российских банков (далее - АРБ) и Ассоциации региональных банков России (Ассоциации «Россия») разработал отраслевые документы по приведению организаций БС РФ в соответствие с требованиями законодательства в области персональных данных. Эти документы включают:

1. Четыре документа, входящие в комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (далее – Комплекс БР ИББС):

- Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации» (РС БР ИББС-2.4) (далее – Отраслевая модель угроз).

       - Доработанные в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз стандарты Банка России отраслевого применения СТО БР ИББС-1. «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее - стандарт Банка России СТО БР ИББС-1.0) и СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации.

Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».

- Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации» (далее – рекомендации в области стандартизации Банка России РС БР ИББС-2.3).

2. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ (далее – Методические рекомендации).

Методические рекомендации разработаны Ассоциацией российских банков и Ассоциацией региональных банков России (Ассоциацией «Россия») совместно с Банком России для обеспечения методической поддержки применения организациями БС РФ Комплекса БР ИББС.

Место вышеуказанной документации показано на примерной структурной схеме документационного обеспечения выполнения законодательных требований при обработке персональных данных в организациях БС РФ (Рис.1).

Рис 1 Примерная структурная схема верхних уровней документационного обеспечения выполнения законодательных

(ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ БС РФ)

(АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА) (ОБРАБОТКА без СРЕДСТВ АВТОМАТИЗАЦИИ

Положение по организации и проведению работ по II. Общие положения Отраслевая модель угроз разработана на основе «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», рекомендованной ФСТЭК России, и содержит перечень угроз безопасности персональным данным, актуальных для организаций БС РФ.

Стандарты Банка России Банка России позволяют обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных (ИСПДн), т.е. в системах, целью создания которых является обработка персональных данных и к защите которых требования и рекомендации по обеспечению безопасности персональных данных предъявляют ФСБ России и ФСТЭК России, так и в иных автоматизированных банковских системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (режим защиты сведений, составляющих банковскую тайну, коммерческую тайну и др.).

При введении Стандартов Банка России в организации БС РФ приказом требования по получению лицензий на деятельность по технической защите конфиденциальной информации и требования аттестации ИСПДн не являются обязательными (в соответствии с пунктом 9.6 СТО БР ИББС-1.0-2010).

В случае применения организацией БС РФ для обеспечения безопасности персональных данных шифровальных (криптографических) средств защиты информации (далее - СКЗИ), организации БС РФ обязаны получать лицензии ФСБ России в соответствии с законодательством Российской Федерации.

Рекомендации содержат набор практик, способствующих выполнению в организациях БС РФ требований Стандартов Банка России и тем самым – выполнению требований Федерального закона «О персональных данных», а также требований и рекомендаций Регуляторов.

III. Особенности и ограничения В соответствии с Федеральным законом от 27 декабря 2002г. № 184-ФЗ «О техническом регулировании» все стандарты носят рекомендательный характер.

Вместе с тем, в случае введения их в организации БС РФ приказом, стандарты принимают статус документов, обязательных для выполнения в этой организации. В этом случае организация БС РФ добровольно принимает на себя обязательство внедрить Стандарты Банка России, оценить соответствие организации БС РФ его требованиям (с использованием стандарта Банка России СТО БР ИББС-1.2) и официально подтвердить это, направив в адрес Банка России и территориальных органов Регуляторов – Роскомнадзора, ФСТЭК России, ФСБ России (в пределах их полномочий) «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0».

Если организация БС РФ не вводит Стандарты Банка России приказом, то ее деятельность при обработке персональных данных подлежит оценке при осуществлении надзора и контроля уполномоченными государственными органами на соответствие требованиям нормативных документов Регуляторов в области персональных данных, без учета отраслевых особенностей банковской сферы деятельности, отраженных в Комплексе БР ИББС.

IV. Программа действий по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных»

1. Принятие решения о присоединении или не присоединении к Стандартам Банка России. Подготовка и выпуск приказа.

2. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных». Указанная комиссия будет координировать работы по приведению организации БС РФ в соответствие с требованиями Стандартов Банка России и настоящих рекомендаций и по проведению самооценки.

3. Разработка плана по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных» (в соответствие с требованиями Стандартов Банка России).

4. Формирование перечня обрабатываемых персональных данных, а также формулирование целей и оснований для обработки этих данных.

5. Определение и выработка условий и принципов обработки персональных данных в организации БС РФ.

6. Составление перечня систем организации БС РФ, в которых обрабатываются персональные данные. Выделение ИСПДн и проведение их классификации.

7. Принятие решения о вводе в действие в организации БС РФ Отраслевой модели угроз. Разработка, в случае необходимости, собственной частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных организации БС РФ.

8. Оценка возможности обезличивания персональных данных.

Проведение обезличивания. Проведение, в случае необходимости, повторной классификации ИСПДн.

9. Оценка существующих защитных мер на предмет соответствия требованиям Стандартов Банка России.

10. Решение вопроса о выделении необходимых материальных, кадровых и финансовых ресурсов для реализации мероприятий, предусмотренных планом мероприятий.

11. Реализация плана, включая выпуск необходимых документов.

Доработка уже существующих документов с целью их соответствия требованиям Федерального закона «О персональных данных».

12. Проведение контроля в форме:

Оценки соответствия организации БС РФ положениям стандарта Банка России СТО БР ИББС-1.0-2010 внешней организацией (аудита).

Самооценки соответствия организации БС РФ положениям стандарта Банка России СТО БР ИББС-1.0-2010.

13. Выпуск документа о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).

14. Направление этого документа в адрес Банка России и территориальных органов Регуляторов (по готовности, но не позже 31 декабря 2010 года, в дальнейшем – один раз в три года).

V. Комментарии к программе действий a. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных» (пункт программы действий) Перед началом работ по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных»

организационно-распорядительным порядком создается комиссия, на которую будет возлагаться реализация приведенных выше этапов. В состав данной комиссии входят представители юридического подразделения, подразделений общей и информационной безопасности, подразделений информатизации (разработки и обеспечения банковских технологий и обработки информации), кадровой службы (отдела кадров), управления делами (делопроизводства), подразделений по работе с клиентами (физическими лицами), а также представители других структурных подразделений, имеющих непосредственное отношение в организации БС РФ к сфере действия Федерального закона «О персональных данных».

Целесообразно, чтобы председатель комиссии был одновременно назначен ответственным за выполнение законодательных требований при обработке персональных данных в организации БС РФ.

Одной из задач комиссии является классификация информационных систем персональных данных.

После выполнения плана по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных»

рекомендуется продолжить работу комиссии на постоянной основе.

b. Разработка плана по приведению в соответствие (пункт 3 программы действий) Все этапы программы действий (кроме первого) могут быть детализированы в поэтапном плане по приведению организации БС РФ в соответствие с требованиями Федерального Закона «О персональных данных».

Данный поэтапный план утверждается с указанием конкретных сроков реализации каждого этапа.

c. Типовой перечень персональных данных (пункт 4 программы действий) В организации БС РФ рекомендуется сформировать перечень персональных данных с указанием целей и сроков их обработки (в т.ч. и хранения). Это позволит облегчить решение ряда задач, например:

разработка положения о защите персональных данных и иной организационно-распорядительной документации в области обработки персональных данных;

планирование и реализация мероприятий по защите персональных данных;

разработка уведомления в Роскомнадзор;

реагирование на запросы субъектов персональных данных.

При составлении Перечня персональных данных организация БС РФ может воспользоваться примерным перечнем, приведенным в Приложении 3.

При составлении перечня персональных данных, обрабатываемых организацией БС РФ, важно определить цели и сроки такой обработки.

Например, если для регистрации паспортных данных посетителей организации БС РФ выбрана цель - «однократный проход посетителей на территорию организации БС РФ», то покидание посетителем организации БС РФ приводит к необходимости уничтожения зафиксированных персональных данных. Этого требует Федеральный закон «О персональных данных», так как по достижению цели обработки персональные данные должны быть уничтожены. Это пример некорректно выбранной цели. Теперь приведем пример некорректно выбранного срока хранения персональных данных. Если во внутренних документах организации БС РФ написано, что «хранение персональных данных персонала организации БС РФ осуществляется в течение срока действия трудового договора», то организация БС РФ может столкнуться с ситуацией, когда персональные данные уволенного работника должны быть удалены, а сделать это невозможно, так как эти данные должны быть использованы при предоставлении отчетности в органы Федеральной налоговой службы, Пенсионный Фонд Российской Федерации, Фонд обязательного медицинского страхования и т.п. С целью упрощения определения целей и сроков обработки персональных данных организация БС РФ может воспользоваться формулировками, приведенными в Перечне персональных данных, обрабатываемых организацией БС РФ (Приложение 3).

Данный этап также позволит выделить персональные данные, которые потребуют особых условий обработки – видео и фотоизображения человека, геометрия руки и дактилоскопия, голосовые данные в центрах обработки вызовов и т.п.

При наличии в организации БС РФ утвержденного Перечня сведений конфиденциального характера допускается включить в него новый пункт – «персональные данные» (вместо разработки и утверждения отдельного Перечня обрабатываемых персональных данных). Это позволит легитимным образом распространить уже существующие режимы конфиденциальности, а также разработанную по этим вопросам нормативно-распорядительную документацию, и на обрабатываемые в организации БС РФ персональные данные.

При обработке персональных данных клиентов организации БС РФ рекомендуется минимизировать обработку персональных данных, отнесенных Федеральным законом «О персональных данных» (статья 10) к специальным категориям персональных данных.

d. Классификация ИСПДн (пункт 6 программы действий) В связи с тем, что согласно статье 19 Федерального закона «О персональных данных» операторы обязаны защитить персональные данные от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий, то все ИСПДн организации БС РФ относятся к категории специальных в соответствии с пунктом 8 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн.

По результатам классификации ИСПДн составляется Акт классификации.

e. Разработка частной модели угроз (пункт 7 программы действий) В соответствии с пунктом 16 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» для специальных информационных систем персональных данных должна быть разработана модель угроз безопасности персональных данных.

В качестве модели угроз безопасности персональных данных при их обработке в ИСПДн организация БС РФ может использовать Отраслевую модель угроз, содержащую актуальные угрозы безопасности персональных данных при обработке в ИСПДн организаций БС РФ (применительно к большинству организаций БС РФ) и согласованную с Регуляторами.

В случае необходимости, в организации БС РФ может быть составлена частная модель угроз безопасности персональных данных при их обработке в ИСПДн организации БС РФ (далее – частная модель угроз), учитывающая особенности обработки персональных данных в конкретной организации БС РФ.

В качестве методики выбора актуальных для организации БС РФ угроз и последующего составления частной модели угроз используются рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций БС РФ. Методика оценки рисков нарушения информационной безопасности.

f. Оценка возможности обезличивания персональных данных (пункт программы действий) Персональные данные, обрабатываемые в ИСПДн, можно обезличить с целью понижения уровня требований по обеспечению безопасности. Согласно Федеральному закону «О персональных данных» обезличивание – это действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Полностью обезличить все персональные данные невозможно – в информационных системах всегда будут присутствовать технические средства (например, автоматизированные рабочие места операционистов или принтеры), на которых будет происходить процесс, обратный обезличиванию, - для целей сверки данных, печати на принтере, отправки по электронной почте и т.п.

На основе анализа национальных и международных стандартов 1 может быть составлен следующий список алгоритмов обезличивания персональных данных (см. Таблица 1).

                                                              NIST SP800122 «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)», BS10012:2009  «Data protection – Specification for a personal information management system», ISO 25237:2008 «Health  informatics – Pseudonymization»  Таблица 1. Алгоритмы обезличивания персональных данных (ПДн) обезличивания Абстрагирование ПДн Сделать ПДн менее Например, вместо Внесение шума в ПДн Добавить небольшое Замена данных средним Заменить выбранные Разделение ПДн на части Использование таблиц Например, вместо одной Использование Маскирование ПДн или специальных алгоритмов подмена определенных криптографического преобразования g. Реализация плана и документирование процесса обработки персональных данных (пункт 11 программы действий) Обеспечение безопасности персональных данных осуществляется в соответствии с доработанными для использования в целях защиты персональных данных и согласованными с Регуляторами Стандартами Банка России.

Организация работ по обработке и обеспечению безопасности персональных данных сопровождается разработкой различных документов в соответствии с требованиями федерального законодательства, требованиями и рекомендациями Регуляторов. Эти документы разрабатываются в организации БС РФ и предъявляются Регуляторам в случае проведения ими контроля и надзора за соответствием обработки персональных данных законодательным требованиям. Примерный перечень документов приведен в Таблице 2, типовые шаблоны части этих документов приведены в приложениях к данным рекомендациям.

п/п 1 Приказ о создании комиссии по приведению Раздел V пункт a Одной из задач комиссии является классификация организации БС РФ в соответствие с Рекомендаций информационных систем персональных данных.

персональных данных».

2 План по приведению организации БС РФ в Раздел V пункт b В Приложении 2 приведен пример такого плана соответствие требованиям Федерального закона Рекомендаций «О персональных данных».

3 Перечень персональных данных, Раздел V пункт c В Приложении 3 приведен примерный перечень, обрабатываемых организацией БС РФ в своей Рекомендаций который может быть скорректирован (сокращен 4 Приказ о назначении ответственного за Пункт 13 Шаблон документа – в Приложении 4.

обеспечение безопасности персональных данных Постановления Допускается возложение ответственности на (структурного подразделения или должностного Правительства № 781 существующее в организации БС РФ 5 Список лиц, доступ которых к персональным Пункт 14 Возможно существование перечня (списка) в данным, обрабатываемым в ИСПДн, необходим Постановления электронном виде, при условии предоставления для выполнения служебных (трудовых) Правительства № 781 работникам прав доступа в ИСПДн только на 6 Список систем, в которых обрабатываются Раздел V пункт d Шаблон документа – в Приложении 7 Акт классификации информационных систем Пункт 18 Приказа Шаблон документа – в Приложении персональных данных организации БС РФ. Раздел V пункт d 8 Заключение о возможности эксплуатации Пункт 12 Шаблон документа – в Приложении 7.

средств защиты информации. Постановления Заключение составляется по результатам 9 Политика информационной безопасности Постановление 1. Разрабатывается на основе положений организации БС РФ, в части разделов, Правительства № 781 стандарта Банка России СТО БР ИББС-1.0- касающихся обеспечения безопасности Пункт 16 Приказа 2. Включаются требования:

10 План проведения контроля (как внутреннего Пункт 12 1. Разрабатывается на основе положений контроля, так и контроля с привлечением Постановления стандарта Банка России СТО БР ИББС-1.0- внешних независимых проверяющих Правительства № 781 2. Включает, в частности, контроль за 11 Документы, подтверждающие постановку на Пункт 12 Такими документами могут, в частности, учет средств защиты информации, применяемых Постановления являться справки о постановке на балансовый безопасности персональных данных.

12 Журнал учета носителей персональных данных. Пункт 12 Шаблон документа – в Приложении 8.

13 Эксплуатационная и техническая документация Пункт 12 Предоставляется разработчиком или на средства и системы защиты информации. Постановления поставщиком средств и систем защиты персональных данных в организации БС РФ. Постановления 15 Уведомление об обработке персональных Статья 22 Закона Типовая форма уведомления и рекомендации по 16 Положение о порядке обработки персональных Пункты 64.1.5, 64.1.7 1. Разрабатывается на основе положений раздела 17 Документ, определяющий процедуру допуска Пункт 67.1 регламента Такими документами могут быть, например, работников организации БС РФ к работе с Роскомнадзора утвержденная процедура допуска, 18 Должностные регламенты/инструкции лиц, Пункт 67.1 регламента Могут быть написаны явно или содержаться в имеющих доступ и (или) осуществляющих Роскомнадзора иных документах, устанавливающих права, 19 Типовые формы документов, содержащие Пункт 67.1 регламента Под типовой формой документа понимается 20 Журналы (реестры, книги), содержащие Пункт 67.1 регламента Требования к ведению установлены персональные данные, необходимые для Роскомнадзора Постановлением Правительства РФ от 21 Договоры с субъектами персональных данных Пункт 67.1 регламента 22 Типовая форма письменного согласия субъектов Пункт 64.1.4 регламента Шаблон документа – в Приложении персональных данных на обработку их Роскомнадзора персональных данных.

23 Документы, содержащие письменные согласия Пункт 64.1.4 регламента Письменные согласия получает организация БС субъектов персональных данных на обработку Роскомнадзора РФ в установленных законодательством случаях 24 Журналы (книги) учета обращений граждан Пункт 67.1 регламента Шаблон документа – в Приложении (субъектов персональных данных) по вопросам Роскомнадзора Журналы могут вестись как в бумажном, так и в 25 Акт об уничтожении персональных данных Пункт 64.1.6 регламента Шаблон документа – в Приложении субъекта(ов) персональных данных (в случае Роскомнадзора достижения цели обработки).

26 Документы, содержащие свидетельства Пункт 64.1.3 регламента 1. В том случае, если ранее проводились выполнения организацией предписаний об Роскомнадзора проверки.

законодательства Российской Федерации в планы устранения выявленных нарушений и 27 Подтверждение соответствия организации БС Разделы III и IV Шаблон документа – в Приложении РФ стандарту Банка России СТО БР ИББС-1.0- Рекомендаций В случае использования организацией БС РФ для обеспечения безопасности персональных данных средств криптографической защиты информации (СКЗИ) помимо определенных выше документов разрабатываются следующие документы:

28 Акты ввода СКЗИ в эксплуатацию. Документы, Регламент ФСБ Допускается не составлять акты ввода СКЗИ в содержащие описание соответствия размещения Документы ФСБ эксплуатацию. При этом составляется заключение и монтажа СКЗИ требованиям документации на о возможности эксплуатации СКЗИ (по 29 Журнал поэкземплярного учета СКЗИ. Регламент ФСБ Шаблон документа – в Приложении 30 Порядок организации контроля за соблюдением Регламент ФСБ Может быть написан явно или содержаться в условий использования СКЗИ. Документы ФСБ Методике внутреннего контроля безопасности 31 Договора на приобретение СКЗИ организации Регламент ФСБ 32 Лицензии и сертификаты на используемые Регламент ФСБ СКЗИ (или разрешения ФСБ на использования Документы ФСБ 33 Эксплуатационная документация на СКЗИ. Регламент ФСБ Предоставляется разработчиком или 34 Приказ о назначении лиц (пользователей СКЗИ), Регламент ФСБ Шаблон документа – в Приложении 35 Документы, подтверждающие функциональные Регламент ФСБ Должностные инструкции и регламенты.

обязанности работников организации БС РФ. Документы ФСБ 36 Документы, подтверждающие прохождение Регламент ФСБ Сертификаты, справки, отчеты и др.

обучения работников организации БС РФ. Документы ФСБ 37 Журнал учета криптографических ключей. Регламент ФСБ Шаблон документа – в Приложении 16  * В столбце приведены сокращенные названия документов:

1. Рекомендации – Рекомендации по выполнению законодательных требований при обработке персональных данных в организации БС РФ.

2. Закон - Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" 3. Постановление Правительства № 781 - Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" 4. Приказ - Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" 5. Приказ ФСТЭК – Приказ федеральной службы по техническому и экспортному контролю от 5 февраля 2010 года № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»

6. Документы ФСБ - «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены Руководством 8 Центра ФСБ России 21 февраля 2008 года) 7. Регламент ФСБ - Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден Руководством 8 Центра ФСБ России августа 2009 года № 149/7/2/6-1173) 8. Регламент Роскомнадзора - Административный регламент проведения проверок Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утвержден приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций № 630 от 01.12.2009 года).

ПРИКАЗ

в соответствие с требованиями Федерального закона от 27 июля 2006 года С целью исполнения законодательных требований при обработке персональных данных в ПРИКАЗЫВАЮ:

1. Создать комиссию по приведению_ в соответствие с требованиями Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» в составе:

Председатель комиссии:

Члены комиссии:

2. Возложить на созданную комиссию задачу по классификации информационных систем персональных данных, а также иные задачи по приведению_ в соответствие с требованиями Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных».

2. Контроль за исполнением настоящего приказа оставляю за собой.

План приведения в соответствие с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»

1. Изучить бизнеспроцессы организации технологические процессы обработки информации.

2. Идентифицировать и описать все бизнеспроцессы (технологические процессы), в рамках обрабатываются ПДн.

3. Определить какие программные и технические средства используются в технологических процессах, в рамках обрабатываются ПДн.

4. Определить работников организации (должности), участвующих в технологических процессах, в рамках обрабатываются ПДн.

организации ПДн (тип, категория, объем).

условия и принципы обработки ПДн.

обработка специальных категорий ПДн. Если основании.

(коммерческая тайна, банковская тайна и др.) информации относятся обработки (убрать избыточные данные).

получения согласия на обработку тех случаев, когда необходимо, получить письменном виде.

12. Сообщать субъекту Скорректиро уведомить субъектов.

14. Определить порядок организациям и лицам.

внести в такие договора соглашений передаваемых ПДн.

16. Определить, трансграничная передача ПДн. Если да, государством, на территорию которого осуществляется передача персональных обеспечивается адекватная защита прав персональных данных, или в противном случае имеется обоснование для такой передачи.

18. Определить порядок Инструкция уполномоченного органа по защите ПДн о начале обработки необходимость есть, то составить и отправить ответственное за безопасности ПДн персональные данные. персональны 25. Оценить необходимость и обезличивания ПДн.

обезличивание ПДн.

При необходимости провести повторную классификацию 26. Определить требования Политика 27. Разработать требования Политика безопасности ПДн при их обработке в ИСПДн нештатных ситуаций 31. Анализ существующих предмет соответствия Стандартов Банка России и требованиям, определенным на 32. Выявление невыполненных в требований Стандартов определенных на этапах 19, 20, принятие решений о создании персональных данных, доработке ИСПДн, доработке документов 34. Разработать систему защиты в соответствии Стандартов Банка требованиями, определенным на технических заданий на задания.

технических заданий на доработку ИСПДн.

36. Вести учет носителей Справки криптографических необходимый уровень квалификации 38. Обеспечить оборудование, охрану и организацию режима в помещениях, где установлены СКЗИ или криптографические ответственных за эксплуатацию средств защиты информации с безопасности ПДн информационных системах, правилам существующих разработка новых документов с целью приведения документов требованиями Федерального закона «О персональных данных» и Стандартов необходимость получения лицензий (в БР ИББС-1.0-2010) несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, привести к нарушению конфиденциальности персональных данных снижению уровня защищенности персональных данных, разработку и принятие предотвращению возможных опасных последствий подобных 44. Выполнять постоянный Справки, безопасности ПДн 45. Провести самооценку Отчет о персональных данных) требованиям СТО БР ИББС-1.0-20….

персональных данных) требованиям СТО БР ИББС-1.0-20….

стандарту Банка России стандарту «Подтверждение соответствия стандарту Банка России СТО БР ИББС-1.0Выполнять постоянный Справки, Перечень персональных данных, обрабатываемых в 1.1. Перечень персональных данных, подлежащих защите в (далее – Перечень), разработан в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Уставом _ (далее Организации).

2. СВЕДЕНИЯ, СОСТАВЛЯЮЩИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Сведениями, составляющими персональные данные, в является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе:

2.1. Фамилия, имя, отчество (в т.ч. прежние), дата и место рождения.

2.2. Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство.

2.3. Характеристики, идентифицирующие физиологические особенности человека и на основе которых можно установить его личность.

2.4. Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания.

2.5. Номера телефонов (мобильного и домашнего), в случае их регистрации на субъекта персональных данных или по адресу его места жительства (по паспорту).

2.6. Сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками и другие сведения).

2.7. Сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и другие сведения).

2.8. Сведения о трудовой деятельности (данные о трудовой занятости на текущее время с полным указанием должности, подразделения, наименования, адреса и телефона организации, а также реквизитов других организаций с полным наименование занимаемых ранее в них должностей и времени работы в этих организациях, а также другие сведения).

2.9. Сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней.

2.10. Содержание и реквизиты трудового договора с работником Организации или гражданско-правового договора с гражданином.

2.11. Сведения о заработной плате (номера счетов для расчета с работниками, данные зарплатных договоров с клиентами, в том числе номера их спецкартсчетов, данные по окладу, надбавкам, налогам и другие сведения).

2.12. Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии\снятии на(с) учет(а) и другие сведения).

2.13. Сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруга(и), паспортные данные супруга(и), данные брачного контракта, данные справки по форме 2НДФЛ супруга(и), данные документов по долговым обязательствам, степень родства, фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев и другие сведения).

2.14. Сведения об имуществе (имущественном положении):

- автотранспорт (государственные номера и другие данные из свидетельств о регистрации транспортных средств и из паспортов транспортных средств);

- недвижимое имущество (вид, тип, способ получения, общие характеристики, стоимость, полные адреса размещения объектов недвижимости и другие сведения);

- банковские вклады (данные договоров с клиентами, в том числе номера их счетов, спецкартсчетов, вид, срок размещения, сумма, условия вклада и другие сведения);

- кредиты (займы), банковские счета (в том числе спецкартсчета), денежные средства и ценные бумаги, в том числе в доверительном управлении и на доверительном хранении (данные договоров с клиентами, в том числе номера счетов, спецкартсчетов, номера банковских карт, кодовая информация по банковским картам, коды кредитных историй, адреса приобретаемых объектов недвижимости, сумма и валюта кредита или займа, цель кредитования, условия кредитования, сведения о залоге, сведения о приобретаемом объекте, данные по ценным бумагам, остатки и суммы движения по счетам, тип банковских карт, лимиты и другие сведения).

2.15. Сведения о номере и серии страхового свидетельства государственного пенсионного страхования.

2.16. Сведения об идентификационном номере налогоплательщика.

2.17. Сведения из страховых полисов обязательного (добровольного) медицинского страхования (в том числе данные соответствующих карточек медицинского страхования).

2.18. Сведения, указанные в оригиналах и копиях приказов по личному составу Организации и материалах к ним.

2.19. Сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения) работников Организации.

2.20. Материалы по аттестации и оценке работников Организации.

2.21. Материалы по внутренним служебным расследованиям в отношении работников Организации.

2.22. Внутрибанковские материалы по расследованию и учету несчастных случаев на производстве и профессиональным заболеваниям в соответствии с Трудовым кодексом Российской Федерации, другими федеральными законами.

2.23. Сведения о временной нетрудоспособности работников Организации.

2.24. Табельный номер работника Организации.

2.25. Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и другие сведения).

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Целью обработки указанных выше персональных данных является:

- осуществление возложенных на Организацию законодательством Российской Федерации функций в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве) кредитных организаций», «О страховании вкладов физических лиц в банках Российской Федерации», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», нормативными актами Банка России, а также Уставом и нормативными актами Организации;

- организация учета служащих кредитной организации для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия служащему в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и нормативными актами Организации.

4. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Сроки обработки указанных выше персональных данных определяются в соответствие со сроком действия договора с субъектом ПДн, приказом Росархива от 06.10.2000 «Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства и нормативными документами Банка России.

ПРИКАЗ

О назначении ответственного за обеспечение безопасности приведения в соответствие с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и исполнения законодательных требований при обработке персональных данных ПРИКАЗЫВАЮ:

1. Назначить ответственным за обеспечение безопасности персональных данных _.

(наименование подразделения организации БС РФ) или (ФИО, должность) 2. Контроль за исполнением настоящего приказа оставляю за собой.

Должностные лица, участвовавшие в составлении списка:

                                                             Содержание столбца определяется решением комиссии по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных»

СОГЛАСОВАНО СОГЛАСОВАНО

"_" _ 20 г. "_" _ 20 г.

СОГЛАСОВАНО СОГЛАСОВАНО

"_" _ 20 г. "_" _ 20 г.

Должностные лица, составившие Акт классификации ИСПДн                                                              Содержание столбца определяется решением решением комиссии по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных». Могут содержаться следующие данные:

Перечень персональных данных, которые обрабатываются в ИСПДн.

Категория обрабатываемых персональных данных - в том случае, если в организации БС РФ проводится классификация персональных данных, в соответствии с пунктом 7.10.3 стандарта Банка России СТО БР ИББС-1.0-2010.

Объем обрабатываемых персональных данных - количество субъектов персональных данных, персональные данные которых обрабатываются в Виды обработки персональных данных - заполняется в соответствии с частью 3 статьи 3 Федерального закона «О персональных данных».

Характеристики безопасности - Конфиденциальность, целостность, доступность и другие свойства безопасности персональных данных.

Структура ИСПДн, Наличие подключения ИСПДн к сетям связи общего пользования и сетям международного информационного обмена, Режим обработки персональных данных, Режим разграничения прав доступа пользователей к ИСПДн, Местонахождение технических средств ИСПДн заполняется в соответствии с пунктами 9-13 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом ФСТЭК, ФСБ и Минсвязи от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

В соответствии с определенными критериями классификации (пункт 7.11.3 стандарта Банка России СТО БР ИББС-1.0-2010)

ЗАКЛЮЧЕНИЕ

о возможности эксплуатации средств(-а)/системы защиты информации (наименование средств(-а)/системы защиты информации) в информационной системе персональных данных В соответствии с _ комиссией в составе:

Председатель Члены комиссии проведена установка и адаптация средств(-а)/системы защиты информации (наименование средств(-а)/системы защиты информации) на,.

1. Системное и прикладное программное обеспечение.

2. Информация о настройках средств(-а)/системы защиты информации от несанкционированного доступа.

3. Выполнение требований по сертификации средств(-а)/системы защиты информации.

4. Вывод о возможности эксплуатации:

Средство(-а)/система защиты информации готово(-а) к эксплуатации в ИСПДн _.

Журнал начат «» 200 г. Журнал завершен «» 200 г.

/ ФИО должностного лица / / ФИО должностного лица / Я, _ _, данные паспорта (или иного документа, удостоверяющего личность) не возражаю против обработки (адрес ), включая _, перечисление видов обработки (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), следующих моих персональных данных:

_, обрабатываемых с целью _, _.

Настоящее согласие может быть отозвано мной в письменной форме.

Настоящее согласие действует до даты его отзыва мною путем направления письменного сообщения об указанном отзыве в произвольной форме, если иное не установлено законодательством Российской Федерации.

Журнал учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных Журнал начат «» 200 г. Журнал завершен «» 200 г.

/ ФИО должностного лица / / ФИО должностного лица / Комиссия в составе:

Председатель Члены комиссии провела отбор носителей персональных данных и установила, что в соответствии с требованиями руководящих документов по защите информации информация, записанная на них в процессе эксплуатации, подлежит уничтожению:

После утверждения акта перечисленные носители сверены с записями в акте и на указанных носителях персональные данные уничтожены путем _.

(стирания на устройстве гарантированного уничтожения информации и т.п.) После утверждения акта перечисленные носители сверены с записями в акте и уничтожены путем _.

(разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья и т.п.) Уничтоженные носители с книг и журналов учета списаны.

Примечание:

1. Акт составляется раздельно на каждый способ уничтожения носителей.

2. Все листы акта, а так же все произведенные исправления и дополнения в акте заверяются подписями всех членов комиссии.

стандарту Банка России СТО БР ИББС-1.0- Настоящее Подтверждение соответствия является документальным удостоверением того, что в результате проведения оценки соответствия «Наименование организации БС РФ»

положениям стандарта Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»

(далее – СТО БР ИББС-1.0) с использованием стандартов Банка России СТО БР ИББС-1.2-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации.

Методика оценки соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС-1.0» и СТО БР ИББС–1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности»

были получены следующие результаты:

1. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных (регулятор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Роскомнадзор):

2. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации (регулятор – Федеральная служба по техническому и экспортному контролю, ФСТЭК России):

3. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных при использовании средств криптографической защиты информации (регулятор - Федеральная служба безопасности Российской Федерации, ФСБ России):

4. Итоговый уровень соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС-1.0 (регулятор - Центральный банк Российской Федерации):

Оценка соответствия была проведена в форме внешней оценки соответствия «Наименование организации БС РФ» положениям СТО БР ИББС-1.0 «Наименование проверяющей организации» по состоянию на «..20».

Оценка соответствия была проведена в форме самооценки соответствия «Наименование организации БС РФ» положениям СТО БР ИББС-1.0 по состоянию на «..20».

Журнал начат «» 200 г. Журнал завершен «» 200 г.

ПРИКАЗ

Об назначении работников, допущенных к работе с ключами средств С целью исполнения законодательных требований, а также требований внутренних документов при обработке персональных данных ПРИКАЗЫВАЮ:

1. Утвердить список работников, (наименование структурного подразделения организации БС РФ) или (наименование организации БС РФ) информации.

2. Контроль за исполнением настоящего приказа оставляю за собой.

допущенных к работе с ключами средств криптографической защиты Руководитель структурного подразделения или должностное лицо, ответственное за обеспечение безопасности Журнал начат «» 200 г. Журнал завершен «» 200 г.

/ ФИО должностного лица / / ФИО должностного лица / Акт о комиссионном уничтожении криптографических ключей Комиссия в составе:

Председатель Члены комиссии провела уничтожение криптографических ключей:

п/п Всего носителей криптографических ключей На указанных носителях криптографические ключи уничтожены путем _.

(стирания на устройстве гарантированного уничтожения информации и т.п.) Перечисленные носители криптографических ключей уничтожены путем _.

(разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья и т.п.) Типовые ошибки при реализации требований законодательства о В таблице приведены типовые и распространенные ошибки кредитных организаций, допускаемые при реализации законодательства о персональных данных, которые выявляются Роскомнадзором, ФСТЭК России и ФСБ России в процессе исполнения ими функций государственного контроля и надзора.

1. Отсутствует согласие субъекта ПДн на 2. Не уничтожены ПДн после обращения 3. Не послано уведомление субъекту об 4. Предоставление ПДн третьим лицам без 5. Не соответствие реальной обработки ПДн заявленным целям обработки предварительного согласия субъекта ПДн 8. Отсутствие в договоре с третьими лицами условия обеспечения конфиденциальности 9. Отсутствие требований по технической защите персональных данных в ТЗ и проектной документации 10. Незавершенность классификации ИСПДн или 11. Невыполнение работ по анализу угроз информационной безопасности 12. Незавершенность разработки необходимого комплекта организационно-распорядительной 13. Отсутствие необходимых мер и сервисов 14. Непринятие мер по учету машинных 15. Отсутствие в должностных регламентах ответственных лиц за защиту персональных данных и их полномочий по контролю за выполнением требований по защите 16. Отсутствие достаточного количества квалифицированных специалистов 17. Использование средств криптозащиты, сертифицированных версий 18. Невыполнение отдельных требований по 19. Несовершенство отдельных подготовленных оператором документов, регламентирующих конкретной организации