Реферат: Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации

Банк России

Ассоциация российских банков

Методические рекомендации

по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации


(на основе комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»)










2010


Содержание


Содержание 2

I. Введение 3

II. Общие положения 6

III. Особенности и ограничения 6

IV. Программа действий по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных» 7

V. Комментарии к программе действий 9

a. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных» (пункт 2 программы действий) 9

b. Разработка плана по приведению в соответствие (пункт 3 программы действий) 9

c. Типовой перечень персональных данных (пункт 4 программы действий) 10

d. Классификация ИСПДн (пункт 6 программы действий) 11

e. Разработка частной модели угроз (пункт 7 программы действий) 12

f. Оценка возможности обезличивания персональных данных (пункт 8 программы действий) 12

g. Реализация плана и документирование процесса обработки персональных данных (пункт 11 программы действий) 15

Типовые ошибки при реализации требований законодательства о персональных данных 60



^ I. Введение

В Банк России и Ассоциацию российских банков поступают многочисленные обращения организаций банковской системы Российской Федерации (БС РФ) по вопросу применения положений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»). Банками отмечается, что выполнение норм Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных является крайне важной задачей и способствует защите интересов граждан.

С целью выполнения в организациях банковской системы Российской Федерации (далее - БС РФ) требований Федерального закона "О персональных данных" и требований (рекомендаций) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор), Федеральной службы безопасности Российской Федерации (далее – ФСБ России) и Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) Центральный банк Российской Федерации при участии Роскомнадзора, ФСБ России, ФСТЭК России (далее – Регуляторы, если по смыслу не требуется детализация) и Ассоциации российских банков (далее - АРБ) разработал отраслевые документы по приведению организаций БС РФ в соответствие с требованиями законодательства в области персональных данных. Эти документы включают:

1. Четыре документа, входящие в комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (далее – Комплекс БР ИББС):

- Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации» (РС БР ИББС-2.4) (далее – Отраслевая модель угроз).

- Доработанные в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз стандарты Банка России отраслевого применения СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее - стандарт Банка России СТО БР ИББС-1.0) и СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».

- Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации» (далее – рекомендации в области стандартизации Банка России РС БР ИББС-2.3).

2. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ (далее – Методические рекомендации).

Методические рекомендации разработаны Ассоциацией российских банков совместно с Банком России для обеспечения методической поддержки применения организациями БС РФ Комплекса БР ИББС.

Место вышеуказанной документации показано на примерной структурной схеме документационного обеспечения выполнения законодательных требований при обработке персональных данных в организациях БС РФ (Рис.1).




^ II. Общие положения

Отраслевая модель угроз разработана на основе «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», рекомендованной ФСТЭК России, и содержит перечень угроз безопасности персональным данным, актуальных для организаций БС РФ.

Стандарты Банка России Банка России позволяют обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных (ИСПДн), т.е. в системах, целью создания которых является обработка персональных данных и к защите которых требования и рекомендации по обеспечению безопасности персональных данных предъявляют ФСБ России и ФСТЭК России, так и в иных автоматизированных банковских системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (режим защиты сведений, составляющих банковскую тайну, коммерческую тайну и др.).

При введении Стандартов Банка России в организации БС РФ приказом требования по получению лицензий на деятельность по технической защите конфиденциальной информации и требования аттестации ИСПДн не являются обязательными (в соответствии с пунктом 9.6 СТО БР ИББС-1.0-20хх).

В случае применения организацией БС РФ для обеспечения безопасности персональных данных шифровальных (криптографических) средств защиты информации (далее - СКЗИ), организации БС РФ обязаны получать лицензии ФСБ России в соответствии с законодательством Российской Федерации.

Рекомендации содержат набор практик, способствующих выполнению в организациях БС РФ требований Стандартов Банка России и тем самым – выполнению требований Федерального закона «О персональных данных», а также требований и рекомендаций Регуляторов.

^ III. Особенности и ограничения

В соответствии с Федеральным законом от 27 декабря 2002г. «О техническом регулировании» № 184-ФЗ все стандарты Российской Федерации носят рекомендательный характер.

Вместе с тем, в случае введения их в организации БС РФ приказом, стандарты принимают статус документов, обязательных для выполнения в этой организации. В этом случае организация БС РФ добровольно принимает на себя обязательство внедрить Стандарты Банка России, оценить соответствие организации БС РФ его требованиям (с использованием стандарта Банка России СТО БР ИББС-1.2) и официально подтвердить это, направив в адрес Банка России и территориальных органов Регуляторов – Роскомнадзора, ФСТЭК России, ФСБ России (в пределах их полномочий) «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0».

Если организация БС РФ не вводит Стандарты Банка России приказом, то ее деятельность при обработке персональных данных подлежит оценке при осуществлении надзора и контроля уполномоченными государственными органами на соответствие требованиям нормативных документов Регуляторов в области персональных данных, без учета отраслевых особенностей банковской сферы деятельности, отраженных в Комплексе БР ИББС.

^ IV. Программа действий по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных»


1. Принятие решения о присоединении или не присоединении к Стандартам Банка России. Подготовка и выпуск приказа.

2. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных». Указанная комиссия будет координировать работы по приведению организации БС РФ в соответствие с требованиями Стандартов Банка России и настоящих рекомендаций и по проведению самооценки.

3. Разработка плана по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных» (в соответствие с требованиями Стандартов Банка России).

4. Формирование перечня обрабатываемых персональных данных, а также формулирование целей и оснований для обработки этих данных.

5. Определение и выработка условий и принципов обработки персональных данных в организации БС РФ.

6. Составление перечня систем организации БС РФ, в которых обрабатываются персональные данные. Выделение ИСПДн и проведение их классификации.

7. Принятие решения о вводе в действие в организации БС РФ Отраслевой модели угроз. Разработка, в случае необходимости, собственной частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных организации БС РФ.

8. Оценка возможности обезличивания персональных данных. Проведение обезличивания. Проведение, в случае необходимости, повторной классификации ИСПДн.

9. Оценка существующих защитных мер на предмет соответствия требованиям Стандартов Банка России.

10. Решение вопроса о выделении необходимых материальных, кадровых и финансовых ресурсов для реализации мероприятий, предусмотренных планом мероприятий.

11. Реализация плана, включая выпуск необходимых документов. Доработка уже существующих документов с целью их соответствия требованиям Федерального закона «О персональных данных».

12. Проведение контроля в форме:

Оценки соответствия организации БС РФ положениям стандарта Банка России СТО БР ИББС-1.0-20хх внешней организацией (аудита).

Самооценки соответствия организации БС РФ положениям стандарта Банка России СТО БР ИББС-1.0-20хх.

13. Выпустить документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).

14. По готовности, но не позже 31 декабря 2010 года направить этот документ в адрес Банка России и территориальных органов Регуляторов. В дальнейшем направлять этот документ в Банк России и Регуляторам один раз в три года.

^ V. Комментарии к программе действий a. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных» (пункт 2 программы действий)

Перед началом работ по приведению организации БС РФ в соответствие с требованиями Федерального Закона «О персональных данных» необходимо организационно-распорядительным порядком создать комиссию, на которую будет возлагаться реализация приведенных выше этапов. В состав данной комиссии должны войти представители юридического подразделения, подразделений общей и информационной безопасности, подразделений информатизации (разработки и обеспечения банковских технологий и обработки информации), кадровой службы (отдела кадров), управления делами (делопроизводства), подразделений по работе с клиентами (физическими лицами), а также представители других структурных подразделений, имеющих непосредственное отношение в организации БС РФ к сфере действия Федерального закона «О персональных данных».

Целесообразно, чтобы председатель комиссии был одновременно назначен ответственным за выполнение законодательных требований при обработке персональных данных в организации БС РФ.

Одной из задач комиссии является классификация информационных систем персональных данных.

После выполнения плана по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных» рекомендуется продолжить работу комиссии на постоянной основе.
^ b. Разработка плана по приведению в соответствие (пункт 3 программы действий)

Все этапы программы действий (кроме первого) могут быть детализированы в поэтапном плане по приведению организации БС РФ в соответствие с требованиями Федерального Закона «О персональных данных».

Данный поэтапный план необходимо утвердить с указанием конкретных сроков реализации каждого этапа.
^ c. Типовой перечень персональных данных (пункт 4 программы действий)


В организации БС РФ целесообразно сформировать перечень персональных данных с указанием целей и сроков их обработки (в т.ч. и хранения). Это позволит облегчить решение ряда задач, например:

разработка положения о защите персональных данных и иной организационно-распорядительной документации в области обработки персональных данных;

планирование и реализация мероприятий по защите персональных данных;

разработка уведомления в Роскомнадзор;

реагирование на запросы субъектов персональных данных.

При составлении Перечня персональных данных организация БС РФ может воспользоваться примерным перечнем, приведенным в Приложении 3.

При составлении перечня персональных данных, обрабатываемых организацией БС РФ, важно определить цели и сроки такой обработки. Например, если для регистрации паспортных данных посетителей организации БС РФ выбрана цель - «однократный проход посетителей на территорию организации БС РФ», то покидание посетителем организации БС РФ приводит к необходимости уничтожения зафиксированных персональных данных. Этого требует Федеральный закон «О персональных данных», так как по достижению цели обработки персональные данные должны быть уничтожены. Это пример некорректно выбранной цели. Теперь приведем пример некорректно выбранного срока хранения персональных данных. Если во внутренних документах организации БС РФ написано, что «хранение персональных данных персонала организации БС РФ осуществляется в течение срока действия трудового договора», то организация БС РФ может столкнуться с ситуацией, когда персональные данные уволенного работника должны быть удалены, а сделать это невозможно, так как эти данные должны быть использованы при предоставлении отчетности в органы Федеральной налоговой службы, Пенсионный Фонд Российской Федерации, Фонд обязательного медицинского страхования и т.п. С целью упрощения определения целей и сроков обработки персональных данных организация БС РФ может воспользоваться формулировками, приведенными в Перечне персональных данных, обрабатываемых организацией БС РФ (Приложение 3).

Данный этап также позволит выделить персональные данные, которые потребуют особых условий обработки – видео и фотоизображения человека, геометрия руки и дактилоскопия, голосовые данные в центрах обработки вызовов и т.п.

При наличии в организации БС РФ утвержденного Перечня сведений конфиденциального характера допускается включить в него новый пункт – «персональные данные» (вместо разработки и утверждения отдельного Перечня обрабатываемых персональных данных). Это позволит легитимным образом распространить уже существующие режимы конфиденциальности, а также разработанную по этим вопросам нормативно-распорядительную документацию, и на обрабатываемые в организации БС РФ персональные данные.

При обработке персональных данных клиентов организации БС РФ рекомендуется минимизировать обработку персональных данных, отнесенных Федеральным законом «О персональных данных» (статья 10) к специальным категориям персональных данных.
^ d. Классификация ИСПДн (пункт 6 программы действий)

В связи с тем, что согласно статье 19 Федерального закона «О персональных данных» операторы обязаны защитить персональные данные от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий, то все ИСПДн организации БС РФ относятся к категории специальных в соответствии с пунктом 8 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн.

По результатам классификации ИСПДн составляется Акт классификации.

^ e. Разработка частной модели угроз (пункт 7 программы действий)

В соответствии с пунктом 16 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» для специальных информационных систем персональных данных должна быть разработана модель угроз безопасности персональных данных.

В качестве модели угроз безопасности персональных данных при их обработке в ИСПДн организация БС РФ может использовать Отраслевую модель угроз, содержащую актуальные угрозы безопасности персональных данных при обработке в ИСПДн организаций БС РФ (применительно к большинству организаций БС РФ) и согласованную с Регуляторами.

В случае необходимости, в организации БС РФ может быть составлена частная модель угроз безопасности персональных данных при их обработке в ИСПДн организации БС РФ (далее – частная модель угроз), учитывающая особенности обработки персональных данных в конкретной организации БС РФ.

В качестве методики выбора актуальных для организации БС РФ угроз и последующего составления частной модели угроз целесообразно использовать рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций БС РФ. Методика оценки рисков нарушения информационной безопасности.
^ f. Оценка возможности обезличивания персональных данных (пункт 8 программы действий)


Персональные данные, обрабатываемые в ИСПДн, можно обезличить с целью понижения уровня требований по обеспечению безопасности. Согласно Федеральному закону «О персональных данных» обезличивание – это действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Полностью обезличить все персональные данные невозможно – в информационных системах всегда будут присутствовать технические средства (например, автоматизированные рабочие места операционистов или принтеры), на которых будет происходить процесс, обратный обезличиванию, - для целей сверки данных, печати на принтере, отправки по электронной почте и т.п.

На основе анализа национальных и международных стандартов1 может быть составлен следующий список алгоритмов обезличивания персональных данных (см. Таблица 1).

Таблица 1. Алгоритмы обезличивания персональных данных (ПДн)


^ Алгоритм обезличивания

Описание

Примечание

Абстрагирование ПДн

Сделать ПДн менее точными путем группирования общих или непрерывных характеристик

Например, вместо указания конкретного возраста использовать кодификаторы (18-25 лет – 2, 26-33 года – 3 и т.д.)

Скрытие ПДн

Удалить все или часть записи ПДн, не требуемой для деятельности кредитной организации




Внесение шума в ПДн

Добавить небольшое количество посторонней информации в ПДн




Замена ПДн

Переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи




Замена данных средним значением

Заменить выбранные данные средним значением для группы ПДн




Разделение ПДн на части

Использование таблиц перекрестных ссылок

Например, вместо одной таблицы использовать две – одна с ФИО и идентификатором субъекта ПДн, вторая – с тем же идентификатором субъекта ПДн и остальной частью ПДн

Использование специальных алгоритмов

Маскирование ПДн или подмена определенных символов другими




Использование алгоритмов криптографического преобразования

Хэширование или шифрование

Использование средств криптографической защиты требует регулируется отдельным законодательством



^ g. Реализация плана и документирование процесса обработки персональных данных (пункт 11 программы действий)

Обеспечение безопасности персональных данных осуществляется в соответствии с доработанными для использования в целях защиты персональных данных и согласованными с Регуляторами Стандартами Банка России.

Организация работ по обработке и обеспечению безопасности персональных данных сопровождается разработкой различных документов в соответствии с требованиями федерального законодательства, требованиями и рекомендациями Регуляторов. Эти документы должны быть разработаны в организации БС РФ и предъявлены Регуляторам в случае выполнения ими функций по контролю и надзору за соответствием обработки персональных данных законодательным требованиям. Примерный перечень документов приведен в Таблице 2, типовые шаблоны части этих документов приведены в приложениях к данным рекомендациям.




^ Таблица 2. Перечень документов

№ п/п

Документ

Ссылка*

Примечание



Приказ о создании комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных».

Раздел V пункт a Рекомендаций

Одной из задач комиссии является классификация информационных систем персональных данных.

Шаблон документа – в Приложении 1



План по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных».

Раздел V пункт b Рекомендаций

В Приложении 2 приведен пример такого плана



Перечень персональных данных, обрабатываемых организацией БС РФ в своей деятельности.

Раздел V пункт c Рекомендаций

В Приложении 3 приведен примерный перечень, который может быть скорректирован (сокращен или дополнен) в зависимости от специфики деятельности организации БС РФ



Приказ о назначении ответственного за обеспечение безопасности персональных данных (структурного подразделения или должностного лица).

Пункт 13 Постановления Правительства № 781

Приказ ФСТЭК

Шаблон документа – в Приложении 4.

Допускается возложение ответственности на существующее в организации БС РФ подразделение (например, на службу безопасности) с внесением изменений в Положение о данном структурном подразделении.



Список лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей.

Пункт 14 Постановления Правительства № 781

Возможно существование перечня (списка) в электронном виде, при условии предоставления работникам прав доступа в ИСПДн только на основании распорядительного документа в документально зафиксированном в организации БС РФ порядке.

В случае необходимости (в частности, перед проведением проверок) может быть распечатан на бумажный носитель в виде базы пользователей, например, Active Directory или определенной ИСПДн.



Список систем, в которых обрабатываются персональные данные.

Раздел V пункт d Рекомендаций

Шаблон документа – в Приложении 5




Акт классификации информационных систем персональных данных организации БС РФ.

Пункт 18 Приказа Раздел V пункт d Рекомендаций

Шаблон документа – в Приложении 6



Заключение о возможности эксплуатации средств защиты информации.

Пункт 12 Постановления Правительства № 781

Шаблон документа – в Приложении 7.

Заключение составляется по результатам проверки готовности средств защиты информации к использованию.

Допускается издание актов ввода в эксплуатацию АБС, в состав которых входят средства и системы защиты информации.



Политика информационной безопасности организации БС РФ, в части разделов, касающихся обеспечения безопасности персональных данных.

Постановление Правительства № 781

Пункт 16 Приказа Регламент ФСБ

Документы ФСБ

Приказ ФСТЭК

1. Должна быть построена на основе положений стандарта Банка России СТО БР ИББС-1.0-20хх

2. Должна содержать требования:

- по обеспечению безопасности персональных данных в организации БС РФ как при обработке персональных данных в ИСПДн, так и вне ИСПДн;

- (в случае использования СКЗИ) по обеспечению безопасности персональных данных при помощи СКЗИ;

- по хранению носителей персональных данных;

- организации допуска и защиты помещений, в которых обрабатываются персональные данные;

- и др.

3. Может быть единым документом (политика информационной безопасности организации БС РФ, включающая разделы, касающиеся обеспечения безопасности персональных данных) или комплектом документов (набор частных политик, включающих разные аспекты обеспечения безопасности персональных данных)



План проведения контроля (как внутреннего контроля, так и контроля с привлечением внешних независимых проверяющих организаций) обеспечения безопасности персональных данных.

Пункт 12 Постановления Правительства № 781

1. Должен быть построен на основе положений стандарта Банка России СТО БР ИББС-1.0-20хх

2. Включает, в частности, контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.



Документы, подтверждающие постановку на учет средств защиты информации, применяемых в организации БС РФ для обеспечения безопасности персональных данных.

Пункт 12 Постановления Правительства № 781

Такими документами могут, в частности, являться справки о постановке на балансовый учет



Журнал учета носителей персональных данных.

Пункт 12 Постановления Правительства № 781

Шаблон документа – в Приложении 8.

Журнал должен быть пронумерован, сброшюрован, скреплен печатью и подписан работником, на которого возложены соответствующие обязанности



Эксплуатационная и техническая документация на средства и системы защиты информации.

Пункт 12 Постановления Правительства № 781

Предоставляется разработчиком или поставщиком средств и систем защиты информации

Является описанием системы защиты персональных данных



Частная модель угроз безопасности персональных данных в организации БС РФ.

Пункт 12 Постановления Правительства № 781

Пункт 16 Приказа Регламент ФСБ

Документы ФСБ

Приказ ФСТЭК

См Раздел V пункт e Рекомендаций




Уведомление об обработке персональных данных.

Статья 22 Закона

Пункт 64.1.1 регламента Роскомнадзора

Типовая форма уведомления и рекомендации по ее заполнению на официальном интернет-сайте Роскомнадзора www.rsoc.ru



Положение о порядке обработки персональных данных.


Пункты 64.1.5, 64.1.7 регламента Роскомнадзора

1. Должно быть построено на основе положений раздела 7.10 стандарта Банка России СТО БР ИББС-1.0-20хх.

2. Содержит в том числе: порядок и условия обработки специальных категорий и биометрических персональных данных, порядок и условия трансграничной передачи персональных данных, порядок обработки персональных данных, осуществляемой без использования средств автоматизации (если такая обработка есть в организации БС РФ).



Документ, определяющий процедуру допуска работников организации БС РФ к работе с персональными данными.

Пункт 67.1 регламента Роскомнадзора

Такими документами могут быть, например, утвержденная процедура допуска, распорядительные документы организации БС РФ и т.п.



Должностные регламенты/инструкции лиц, имеющих доступ и (или) осуществляющих обработку персональных данных.

Пункт 67.1 регламента Роскомнадзора

Могут быть написаны явно или содержаться в иных документах, устанавливающих права, полномочия и обязанности работников организации БС РФ, имеющих доступ к информации, защищаемой в соответствии с действующим законодательством



Типовые формы документов, содержащие персональные данные.

Пункт 67.1 регламента Роскомнадзора

Под типовой формой документа понимается шаблон, бланк документа или другая унифицированная форма документа, разрабатываемая организацией с целью сбора ПДн.

Требования к типовым формам установлены Постановлением Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"



Журналы (реестры, книги), содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию организации БС РФ, или в иных аналогичных целях.

Пункт 67.1 регламента Роскомнадзора

Требования к ведению установлены Постановлением Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

Шаблон журнала разовых пропусков – в Приложении 9.

Журнал может вестись как в бумажном, так и в электронном виде.

В случае ведения журнала в электронном виде в конце установленного периода времени журнал должен быть распечатан, пронумерован, сброшюрован, скреплен печатью и подписан работником, на которого возложены соответствующие обязанности



Договоры с субъектами персональных данных

Пункт 67.1 регламента Роскомнадзора






Типовая форма письменного согласия субъектов персональных данных на обработку их персональных данных.

Пункт 64.1.4 регламента Роскомнадзора

Шаблон документа – в Приложении 10



Документы, содержащие письменные согласия субъектов персональных данных на обработку их персональных данных.

Пункт 64.1.4 регламента Роскомнадзора

Письменные согласия получает организация БС РФ в установленных законодательством случаях от клиентов и работников организации БС РФ, от их родственников, и других субъектов, персональные данные которых обрабатывает организация БС РФ



Журналы (книги) учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных организацией БС РФ.

Пункт 67.1 регламента Роскомнадзора

Шаблон документа – в Приложении 11

Журналы могут вестись как в бумажном, так и в электронном виде.

В случае ведения журнала в электронном виде в конце установленного периода времени журнал должен быть распечатан, пронумерован, сброшюрован, скреплен печатью и подписан работником, на которого возложены соответствующие обязанности



Акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки).

Пункт 64.1.6 регламента Роскомнадзора

Шаблон документа – в Приложении 12



Документы, содержащие свидетельства выполнения организацией предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных.

Пункт 64.1.3 регламента Роскомнадзора

1. В том случае, если ранее проводились проверки.

2. Примерами таких документов могут быть планы устранения выявленных нарушений и свидетельства выполнения выявленных нарушений



Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх

Разделы III и IV Рекомендаций

Шаблон документа – в Приложении 13



В случае использования организацией БС РФ для обеспечения безопасности персональных данных средств криптографической защиты информации (СКЗИ) помимо определенных выше документов должны быть следующие документы:



Акты ввода СКЗИ в эксплуатацию. Документы, содержащие описание соответствия размещения и монтажа СКЗИ требованиям документации на СКЗИ.

Регламент ФСБ

Документы ФСБ

Допускается не составлять акты ввода СКЗИ в эксплуатацию. При этом должно быть составлено заключение о возможности эксплуатации СКЗИ (по результатам проверки готовности СКЗИ к использованию и соответствия размещения, монтажа и настроек СКЗИ требованиям документации на СКЗИ).

Шаблон документа – в Приложении 7.

Допускается издание актов ввода в эксплуатацию АБС, в состав которых входят СКЗИ.



Журнал поэкземплярного учета СКЗИ.

Регламент ФСБ

Документы ФСБ

Шаблон документа – в Приложении 14



Порядок организации контроля за соблюдением условий использования СКЗИ.

Регламент ФСБ

Документы ФСБ

Может быть написан явно или содержаться в Методике внутреннего контроля безопасности организации БС РФ



Договора на приобретение СКЗИ организации БС РФ (купли-продажи, обмена).

Регламент ФСБ

Документы ФСБ






Лицензии и сертификаты на используемые СКЗИ (или разрешения ФСБ на использования СКЗИ).

Регламент ФСБ

Документы ФСБ






Эксплуатационная документация на СКЗИ.

Регламент ФСБ

Документы ФСБ

Предоставляется разработчиком или поставщиком средств и систем защиты информации



Приказ о назначении лиц (пользователей СКЗИ), допущенных к работе с ключами СКЗИ.

Регламент ФСБ

Документы ФСБ

Шаблон документа – в Приложении 15



Документы, подтверждающие функциональные обязанности работников организации БС РФ.

Регламент ФСБ

Документы ФСБ

Должностные инструкции и регламенты.



Документы, подтверждающие прохождение обучения работников организации БС РФ.

Регламент ФСБ

Документы ФСБ

Сертификаты, справки, отчеты и др.



Журнал учета криптографических ключей.

Регламент ФСБ

Документы ФСБ

Шаблон документа – в Приложении 16



Акт о комиссионном уничтожении криптографических ключей.

Регламент ФСБ

Документы ФСБ

Шаблон документа – в Приложении 17


* В столбце приведены сокращенные названия документов:

Рекомендации – Рекомендации по выполнению законодательных требований при обработке персональных данных в организации БС РФ.

Закон - Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

Постановление Правительства № 781 - Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"

Приказ - Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы б