Рекомендации по обработке персональных данных для кредитных учреждений



Pdf просмотр
страница18/30
Дата28.04.2018
Размер0.54 Mb.
ТипЗакон
1   ...   14   15   16   17   18   19   20   21   ...   30
План приведения __________________________________________________________________________________
(наименование организации БС РФ)
в соответствие с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»

п/п
Наименование
мероприятия
Основание
(нормативный
акт)
Форма
реализации
Статус
реализации
Срок
выполнения
Ответственное
лицо
Примечание
1.
Изучить бизнес- процессы организации
БС РФ и технологические процессы обработки информации.
2.
Идентифицировать и описать все бизнес- процессы
(технологические процессы), в рамках которых обрабатываются ПДн.
3.
Определить какие программные и технические средства используются в технологических


25

процессах, в рамках которых обрабатываются ПДн.
4.
Определить работников организации
(должности), участвующих в технологических процессах, в рамках которых обрабатываются ПДн.
5.
Определить состав обрабатываемых в организации ПДн (тип, категория, объем).
Проект перечня ПДн
6.
Определить цели, правовое основание, условия и принципы обработки ПДн.
Проект перечня ПДн
7.
Определить, выполняется ли обработка специальных категорий ПДн. Если да, то на каком основании.
Проект перечня ПДн
8.
Определить к какому типу защищаемой
(коммерческая тайна, банковская тайна и др.) информации относятся
ПДн.
Проект перечня ПДн
9.
Сопоставить объем собираемых ПДн целям обработки (убрать
Перечень
ПДн


26

избыточные данные).
10.
Определить срок хранения ПДн.
Перечень
ПДн или отдельный нормативны й акт
11.
Определить необходимость получения согласия на обработку ПДн и для тех случаев, когда необходимо, получить такое согласие в письменном виде.
Согласие субъектов на обработку
ПДн
12.
Сообщать субъекту
ПДн о целях обработки при сборе сведений, составляющих ПДн.
Скорректиро ванные формы договоров с субъектами персональны х данных
13.
Определить ПДн, получаемые не непосредственно от субъекта ПДн, и для таких случаев уведомить субъектов.
Типовая форма уведомления субъектов
14.
Определить порядок передачи ПДн сторонним организациям и лицам.
15.
Определить договорные взаимоотношения, в
Изменение форм договоров и


27

рамках которых выполняется передача
ПДн третьей стороне и внести в такие договора требования об обеспечении конфиденциальности передаваемых ПДн. заключение дополнитель ных соглашений к действующи м договорам
16.
Определить, выполняется ли трансграничная передача ПДн. Если да, то убедиться что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, или в противном случае имеется обоснование для такой передачи.
17.
Определить порядок реагирования на запросы со стороны субъектов ПДн и предоставления им их
ПДн, внесения изменений, прекращения
Регламент реагировани я на обращения субъектов.
Журналы
(книги) учета обращений


28

обработки ПДн субъектов персональны х данных.
Типовая форма ответа на запросы
18.
Определить порядок уничтожения ПДн после достижения целей обработки
Инструкция по уничтожени ю ПДн.
Акт об уничтожении персональны х данных
19.
Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки
ПДн. Если необходимость есть, то составить и отправить уведомление
Уведомление
Роскомнадзо ра
20.
Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн
Приказ о назначении ответственно го
21.
Провести анализ систем организации и составить перечень
Список систем, в которых


29

систем, в которых обрабатываются персональные данные.
Выделить ИСПДн. обрабатываю тся персональны е данные
22.
Выявить ИСПДн (в том числе государственные) и их границы (в рамках организации БС РФ), в отношении которых организация не определяет цели обработки и требования по защите (например, передача отчетности в
Пенсионный фонд,
ФНС, ФОМС и др.)
Обеспечение безопасности
ПДн в таких системах следует осуществлять в соответствии с предъявляемым и их организатором
(владельцем) требованиями
23.
Разработать модель угроз ПДн
Приказ о вводе в действие в организации
БС РФ
Отраслевой модели угроз или
Частная модель угроз безопасности
ПДн организации
БС РФ
24.
Провести классификацию
ИСПДн
Акты классификац ии ИСПДн


30


25.
Оценить необходимость и возможности обезличивания ПДн.
Провести обезличивание ПДн.
При необходимости провести повторную классификацию
ИСПДн
26.
Определить требования и меры по обеспечению безопасности ПДн
Политика информацио нной безопасности или отдельный документ
27.
Разработать требования по обеспечению безопасности ПДн при обработке в ИСПДн
Политика информацио нной безопасности или отдельный документ, содержащий требования по обеспечению безопасности
ПДн
28.
Разработать должностные инструкции персоналу
ИСПДн в части
Должностны е инструкции персонала и журнал


31

обеспечения безопасности ПДн при их обработке в ИСПДн инструктажа
29.
Определить порядок действий должностных лиц в случае возникновения нештатных ситуаций
Журнал учета нештатных ситуаций
30.
Определить порядок проведения контроля обеспечения безопасности ПДн
Политика информацио нной безопасности или отдельный документ
31.
Анализ существующих защитных мер на предмет соответствия требованиям
Стандартов Банка
России и требованиям, определенным на этапах 19, 20 32.
Выявление невыполненных в организации требований Стандартов
Банка России и требований, определенных на этапах 19, 20, принятие решений о создании системы защиты персональных данных,


32

доработке ИСПДн, доработке документов организации БС РФ и др.
33.
Организовать разработку системы обеспечения безопасности персональных данных на основе положений
ГОСТ 34 серии.
Приказы,
Распоряжени я, Договоры с организация ми, которые проводят работы по созданию системы защиты информации,
Документы в соответствии с положениям и ГОСТ 34 серии
34.
Разработать систему защиты в соответствии с положениями
Стандартов Банка
России, и требованиями, определенным на этапах 19, 20.
35.
Разработка технических заданий на создание системы защиты.
Технические задания.
Частные технические


33


Разработка частных технических заданий на доработку ИСПДн. задания
36.
Вести учет носителей
ПДн, СЗИ, в том числе поэкземплярный учет
СКЗИ, криптографических ключей
Справки
Журналы учета
37.
Назначить приказом ответственного пользователя СКЗИ, имеющего необходимый уровень квалификации
Приказ о назначении ответственно го за СКЗИ
38.
Обеспечить размещение, специальное оборудование, охрану и организацию режима в помещениях, где установлены СКЗИ или хранятся криптографические ключи
39.
Определить подразделения и назначить лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения
Приказы, распоряжени я


34

безопасности ПДн
40.
Провести обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними
Документы о прохождени и обучения
41.
Доработка существующих документов и разработка новых документов с целью приведения документов организации в соответствие с требованиями
Федерального закона
«О персональных данных» и Стандартов
Банка России
Документы
42.
Определить необходимость получения лицензий (в соответствии с пунктами 9.6 и 9.7 СТО
БР ИББС-1.0-2010)
Лицензии
43.
Проводить разбирательство и составление заключений по фактам несоблюдения условий хранения носителей
Журнал учета нештатных ситуаций


35

персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений
44.
Выполнять постоянный контроль обеспечения безопасности ПДн
Справки, отчеты
45.
Провести самооценку соответствия информационной безопасности (в том числе обеспечения безопасности персональных данных) требованиям СТО БР
ИББС-1.0-20….
Отчет о результатах.
План устранения выявленных недостатков
46.
Провести внешнюю оценку соответствия информационной
Отчет и
Заключение.
План


36




37
безопасности (в том числе обеспечения безопасности персональных данных) требованиям СТО БР
ИББС-1.0-20…. устранения выявленных недостатков
47.
Подготовить и утвердить
«Подтверждение соответствия организации БС РФ стандарту Банка России
СТО БР ИББС-1.0-
2010»
Подтвержден ие соответствия организации
БС РФ стандарту
Банка России
СТО БР
ИББС-1.0-
2010 48.
Направить
«Подтверждение соответствия организации БС РФ стандарту Банка России
СТО БР ИББС-1.0-
2010»
49.
Выполнять постоянный контроль обеспечения безопасности ПДн
Справки, отчеты, заключения

1   ...   14   15   16   17   18   19   20   21   ...   30

Похожие:

Рекомендации по обработке персональных данных для кредитных учреждений iconОбразовательная программа "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных"
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных,...
Рекомендации по обработке персональных данных для кредитных учреждений iconМетодические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
Методические рекомендации предназначены для операторов и разработчиков информационных систем персональных данных и охватывают вопросы...
Рекомендации по обработке персональных данных для кредитных учреждений iconМетодика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Есанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение,...
Рекомендации по обработке персональных данных для кредитных учреждений iconМетодические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения
Концепция информационной безопасности информационных систем персональных данных учреждения здравоохранения
Рекомендации по обработке персональных данных для кредитных учреждений iconТиповые требования по организации и обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты персональных данных при их обработке в информационных системах персональных
Федерального закона "О персональных данных" от 27 июля 2006г. №152-фз (Статья 19)
Рекомендации по обработке персональных данных для кредитных учреждений iconМетодические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных
В частности, Методическими рекомендациями необходимо руководствоваться в следующих случаях
Рекомендации по обработке персональных данных для кредитных учреждений icon«Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных»
Целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных,...
Рекомендации по обработке персональных данных для кредитных учреждений iconМетодические рекомендации по определению состава и содержания технических и организационных мер по защите персональных данных при их обработке в информационной системе персональных данных
Порядок действий по определению уровня защищённости пдн, обрабатываемых в испдн оив и омсу ко


База данных защищена авторским правом ©metodir.ru 2019
обратиться к администрации

    Главная страница